Myymalat pieni

21.1.2011

Tietoturvan kaksi suurinta uhkaa 2/2

Kategoria: Tietoturva — Timo Haapavuori @ 17.10

Tietoturvasta puhuttaessa heikoin lenkki on aina ollut, ja uskaltaisin väittää, että tulee myös aina olemaan, ihminen. Kuinka moni päivittää tietokoneensa tietoturvapäivitykset säännöllisesti tai edes silloin kun siitä muistutetaan jonkin isomman uhan kohdalla iltauutisissa? Kuinka moni edes tietää mitä nämä tietoturvapäivitykset tarkoittavat? Virustorjuntaohjelmistojen lisenssit on yleensä uusittava tietyin väliajoin. Mutta tuleeko nuo lisenssit aina uusittua? Nämä asiat nostetaan aika usein esille, kun keskustellaan käyttäjän vastuusta. Mutta ovatko nämä niitä oleellisia kysymyksiä?

Yrityksessä nämä ovat asioita jotka tyypillisesti on annettu, tai ainakin olisi pitänyt antaa, ammattilaisten tehtäväksi. Kotikoneella noihinkin asioihin on aiheellista kiinnittää kuitenkin huomiota. Ehkä kuitenkin paljon oleellisempaa on pysähtyä miettimään miten me tietoverkossa liikumme. Pyöräillessämmekin kypärä on tärkeä suoja kaatumista vastaan. Mutta on erittäin todennäköistä, että se ei pelasta meitä, jos ajamme pyörällä vaikkapa ison rekan alle. Sama juttu pätee siis myös tietoturvaan.

Kannattaako meidän avata tuntemattomalta henkilöltä tullut sähköpostin liitetiedosto, kun viestin otsikossa meidän kerrotaan voittaneen 10 miljoonaa arvonnassa toisella puolella maailmaa, jossa emme ole koskaan edes käyneet? Onko järkevää lähettää sähköpostissa verkkopankkimme tunnusluvut tuntemattomalle henkilölle, joka yrittää kovin hyvin perustella, kuinka hän niitä tarvitsee voidakseen auttaa meitä? Netissä surffatessamme, onko järkevää tutkia niitä kaikkein epämääräisimpiä nettisivuja sen vuoksi, että siellä luvataan olevan jotain niin hyvää, että se ei mitenkään voi olla totta? Riittääkö salasanaksemme pienillä kirjaimilla kirjoitettu koiran tai kisan nimi? Jos ajattelette että riittää, niin miettikääpä hetki kauanko noin neljä merkkiä pitkän salasanan murtaminen kestää ammattilaiselta? Voin vakuuttaa ettei kovinkaan kauaa. Onko näppäimistön alla oleva keltainen muistilappu paras tapa säilyttää omia salasanoja? Tätä voisi verrata siihen, että jätämmekö me yleensä kotoa lähtiessänne avaimen kotimme oveen tai kaupassa asioidessanne avaimen auton virtalukkoon.

Kaikesta teknisestä kehittymisestä huolimatta tietoturvassa on kyse mitä suurimmassa määrin maalaisjärjen käytöstä. Tietoturvaan liittyvät ongelmat liittyvät oman kokemukseni mukaan lähes poikkeuksetta käyttäjän ajattelemattomuuteen, laiskuuteen tai väliinpitämättömyyteen. Näitä käyttäjästä johtuvia tekijöitä voidaan yrittää lieventää tekniikan avulla ja tässä tekniikka onkin kehittynyt paljon, mutta taustalla oleva ongelma ei ole muuttunut miksikään.

Siinä missä tavallinen tietoverkossa liikkuva käyttäjä on yleensä itselleen suurin tietoturvariski, niin työskennellessäni nykyisin lähinnä yritysten tietojärjestelmien kanssa, olen havainnut, että kenties vielä loppukäyttäjää suurempi riski tietoturvalle on ”huono admin”. Se henkilö, jonka vastuulla yrityksen tietotekniikka on. Näihin ”huonoihin admineihin” törmää aivan liian usein ja vaikka joskus taustalla voi olla osaamiseen liittyviä haasteita, niin paljon suurempi ongelma näissä tilanteissa on yleensä kiire ja ajattelemattomuus, joskus myös välinpitämättömyys.

Nostin ”huonon adminin” loppukäyttäjää suuremmaksi tietoturvauhaksi ennen muuta sen vuoksi, että siinä missä yksittäinen käyttäjä yleensä asettaa itsensä alttiiksi vaaroille, niin tämä ”huono admin” asettaa organisaation kaikki käyttäjät altiiksi vaaroille ja samalla tuudittaa loppukäyttäjät siihen käsitykseen, että tietoturva olisi hoidettu parhaalla mahdollisella tavalla. Varsin usein tällä ”huonolla adminilla” ei ole yrityksessä esimiestä joka osaisi arvioida tämän henkilön tekojen oikeellisuutta ja varsin harvoilla tavallisilla tietokoneen käyttäjällä on edes lähtökohtaisesti halua tai uskallusta kyseenalaistaa tämän henkilön tekemisiä, sillä kyseessähän on ammattilainen.

Tietoturva on ollut jo pitkään suuri tietotekniseen kehitykseen liittyvä uhka. Näin tulee varmasti olemaan myös jatkossa. Hyväksymällä ajatuksen, että meidän jokaisen on tehtävä oma osuutemme tietoturvatalkoissa, olemme askeleen lähempänä tietoturvallisempaa tietoyhteiskuntaa. Kyse ei ole välttämättä uudesta ja vaikeasta tekniikasta tai muutoin monimutkaisesta varautumisesta. Terve maailaisjärki ja itsestäänselvyyksien kyseenalaistaminen ovat asioita, jotka auttavat meitä jokaista kohta parempaa tietoturvaa.

Myöhemmissä kirjoituksissani pyrin pitämään tietoturva-aspektin mukana ja nostamaan esille konkreettisia käytännön esimerkkejä tietoturvasta niin hyvien kuin huonojenkin esimerkkien avulla.

14.1.2011

Tietoturvan kaksi suurinta uhkaa 1/2

Kategoria: Tietoturva — Timo Haapavuori @ 17.09

Tietoturvasta tai paremminkin sen puutteesta puhutaan nykyään jatkuvasti. Ohjelmistoista löydetään jatkuvasti uusia haavoittuvaisuuksia. Uusia viruksia ja vakoiluohjelmia syntyy nykyään enemmän kuin koskaan. Tietoturvauhat ulottuvat jatkuvasti uusille aluille, riskit matkapuhelimien haavoittuvaisuuksista alkaa olla jo vanha juttu, suosittu yhteisöpalvelu Facebook on sekin osoittanut haavoittuvaisuutensa. Kaikkein eniten luottamusta herättävät tahot, kuten ydinlaitokset, ovat joutuneet erittäin vakavien hyökkäyksien kohteeksi. Ja varmasti meistä jokainen on kuullut verkkopankkeihin liittyvistä uhista.

Normaalia tietoyhteiskunnan kansalaista uhat ja vaarat usein pelottavat, mutta sitten kuitenkin aika usein tätä pelkoa suurempi voima on usko itseensä: ”eihän minulle mitään tapahdu”. Muistan jo vuosien takaa, kun vielä työskentelin aktiivisesti myymälöissämme, kuinka tavallista olikaan kohdata ”eihän minulle mitään tapahdu” –tyyppisiä asiakkaita. Yleensä nämä kohtaamiset vain sattuivat hetkessä, jossa ihminen oli juuri huomannut, että kylläpäs se sitten sattuikin omalle kohdalle. Varsin yleinen asiakas tuohon aikaan oli keski-ikäinen mies, joka oli erehtynyt surffaamaan tietokoneellaan aikuisviihdesivustoille. Tuolloin usein tärkein liikkeelle paneva voima oli saada tietokone korjattua, ennen kuin vaimo tai tyttöystävä huomaisi tapahtuneen. Joku mahdollisesti teistäkin tunnistaa tästä itsensä. Ja ei ole tainnut tilanne noiden vuosien jälkeen hirveän paljon muuttua.

Ehkä sitten kuitenkaan tämän tyypillinen asiakas silloin ennen ei ollut ymmärtänyt, mitä tietoturva oikeasti tarkoittaa, vaikka oli sitä juuri hetkeä aikaisemmin katsonut silmästä silmään. Onko tietoturvan pettäessä suurin riski, että kenties läheisin ihminen oppii tietämään kenties jotain mitä ei vielä aikaisemmin tiennyt? Tämänkö takia tietoturvaan tehdään jatkuvasti uusia investointeja, ettei aviomies tai poikaystävä joutuisi noloon tai kiusalliseen tilanteeseen? Ja tietolähteeni kertovat, ettei tilanne ole vuosien saatossa hirveästi tästä parantunut.

Viruksia ja muita tämänkaltaisia haitakkeita ei tehdä enää nykyään – eikä muuten ole tehty enää vuosiin – pilantekomielessä. Kaiken tämän taustalla on raaka bisnes. Viruksia tehtailevat hakkerit ovat kiinnostuneita sinun luottokortin numerostasi, verkkopankin tunnuksistasi, monet heistä haluavat valjastaa sinun tietokoneesi lähettämään roskapostia yhdessä muiden saastuneiden koneiden kanssa ympärimaailmaan jne. Toisaalta hakkereilla on myös poliittisia päämääriä, kuten esimerkiksi hiljattain tehty täsmävirus, jolla pyrittiin ja ilmeisesti kohtuullisesti myös onnistuttiin vahingoittamaan Iranin yhdinohjelmaa. Ainakin minusta tuntuu, että tietoturvan kanssa meidän tulisi olla huolestuneempia muista vaikutuksista kuin nolosta tilanteesta puolison kanssa. Tilanne voi näyttää seuraavana päivänä paljon nolommalta, kun parin tonnin luottokorttilasku jonkun toisen tekemistä ostoksista kolahtaa postiluukusta tai sähkölaskua maksaessa huomaat säästötilisi saldosta kadonneen juuri useampia nollia.

Tietoturvasta puhuttaessa erilaiset ohjelmat ja niiden merkitys on korostunut. Puhutaan virustorjunnoista ja palomuureista. Tavalliselle käyttäjälle syntyy helposti vaikutelma, että tietoturva on korjattavissa pienellä investoinnilla tarvittavaan tietoturvatuotteeseen. En tässä kirjoituksessa halua vähimmässäkään määrin väheksyä näiden tuotteiden tärkeyttä tieturvasta puhuttaessa, mutta välineurheilussakaan hyvät välineet eivät takaa hyvää urheilusuoritusta.

Seuraavassa kirjoituksessani, arviolta noin viikon kuluttua, jatkan tietoturvakysymysten pohtimista, nostan esille konkreettisia tietoturvauhkia ja pyrin näyttämään, miten jokainen meistä voi omilla toimillaan olla luomassa tietoturvallisempaa tietoyhteiskuntaa.

5.1.2011

Kalliita värikasetteja vai kustannustehokasta tulostamista?

Kategoria: Tulostus — Avainsanat: , , , — Kimmo Haapavuori @ 1.02

Meistä lähes jokainen on ollut ostamassa tulostimeen uutta värikasettia tyhjentyneen tilalle. Ja uskoakseni lähes yhtä moni on manannut joko hiljaa mielessään tai ehkäpä jopa äänekkäästikin, miten pieni mustetilkka voi maksaa niin paljon. Ja tottahan se on. Litrahinnaltaan kymmenvuotias viski ja ranskalainen hajuvesi ovat halpoja tuotteita tulostinmusteen rinnalla.

Jotkut hakevatkin ratkaisua kalliisiin tulostuskustannuksiin niin sanotuista tarvikeväreistä. Tarvikeväreillä siis tarkoitetaan värikasetteja jotka on valmistanut jokin muu taho kuin alkuperäinen tulostinvalmistaja. Toisilla kokemukset näistä kaseteista ovatkin positiivisia, mutta toisenlaisiakin tapauksia on ilmaantunut. Värit ovat saattaneet kulua vielä nopeammin kuin alkuperäisissä värikaseteissa tai värikasetti on saattanut jopa päästää värit kasetin läpi tulostimen sisään. Tarvikekasettien aiheuttamat ongelmat ovat usein harmillisia siinä mielessä, että tulostinvalmistajat nostavat usein kädet pystyyn takuun osalta, kun tulostimessa on käytetty muita kuin alkuperäisiä värejä. Tulostimien takuuehdoissahan mainitaan, että takuu raukeaa, mikäli laitteessa käytetään muita kuin tulostinvalmistajan omia värikasetteja.

Mikä sitten olisi paras ratkaisu tulostuskustannuksien hallintaan? Uutta tulostinta ostettaessa monille yksi tärkeimpiä valintakriteereitä on tulostimen hinta. Tulostin saattaa lähteä tarjouksesta mukaan muutamalla kymmenellä eurolla. Tulostimen ostohetki olisi kuitenkin se, kun tulostuskustannuksia pitäisi pysähtyä miettimään ja vertailemaan. Monilla toki saattaakin olla ajatusta asiasta, ja he tarkistavat, mitä uuden tulostimen värikasetit maksavat. Valitettavasti pelkkä kasetin hinta ei kerrokaan vielä koko totuutta. Hyvin usein edullisen tulostimen värikasetitkin ovat melko edullisia. Kysymys tässä vaiheessa kuuluukin, kuinka nopeasti nämä kasetit tyhjenevät?

Karkeana nyrkkisääntönä voidaan pitää, että mitä edullisempi tulostin on hankintahinnaltaan, sitä kalliimmat ovat kyseisen laitteen tulostuskustannukset. Sama pätee niin mustesuihkutulostimissa kuin lasertulostimissakin. Nykyään monet mieltävät mustesuihkutulostimet aina kalliiksi vaihtoehdoksi ja lasertulostimet edullisemmiksi. Tämä sääntö ei tänä päivänä enää pidä aina täysin paikkaansa. Nykyään esimerkiksi 200 eurolla on mahdollista saada tulostuskustannuksiltaan järkevämpi mustesuihkulaite verrattuna samanhintaiseen värilaseriin.

Tulostinta hankittaessa on kuitenkin muistettava ottaa huomioon monia muitakin seikkoja pelkän hankintahinnan ja tulostuskustannusten lisäksi. Tärkeitä huomioon otettavia asioita ovat muun muassa mitä tulostimella tulostetaan, kuinka paljon tulostetaan, tarvitaanko välttämättä väriä ja onko tarvetta muille ominaisuuksille kuten skannaukselle, kopioinnille, faksille tai kaksipuoleiselle tulostamiselle. Vain muutamia luetellakseni.

Tulostimen hankinnassa voikin olla mietinnän arvoisia seikkoja jopa enemmän kuin tietokoneen ostoa mietittäessä. Tämä seikka vain valitettavan usein unohtuu, niin ostajilta kuin useimmilta myyjiltäkin. Toisaalta, äärimmäisen harvalla ostajalla itsellään on asiasta riittävää tietämystä, eikä sitä heiltä tietenkään voikaan edellyttää. Mutta tulostimien myyjiltä sitä toki voi ja pitää edellyttää. Ammattitaitoisen myyjän tehtävä onkin ensin kartoittaa millaiset ovat asiakkaan tarpeet ja tämän jälkeen miettiä tarpeisiin parhaiten soveltuva laite.

Uskon, että oikeilla tulostinvalinnoilla monien hampaiden kiristely tulostinvärejä ostettaessa, jos nyt ei poistu, niin ainakin vähenee huomattavasti. Ja sen kunniaksi ehkä voi kotiintuomisiksi käydä ostamassa myös pienen pullon viskiä tai vaikkapa sitten ruusun tuoksuista hajuvettä.