Myymalat pieni

21.1.2011

Tietoturvan kaksi suurinta uhkaa 2/2

Kategoria: Tietoturva — Timo Haapavuori @ 17.10

Tietoturvasta puhuttaessa heikoin lenkki on aina ollut, ja uskaltaisin väittää, että tulee myös aina olemaan, ihminen. Kuinka moni päivittää tietokoneensa tietoturvapäivitykset säännöllisesti tai edes silloin kun siitä muistutetaan jonkin isomman uhan kohdalla iltauutisissa? Kuinka moni edes tietää mitä nämä tietoturvapäivitykset tarkoittavat? Virustorjuntaohjelmistojen lisenssit on yleensä uusittava tietyin väliajoin. Mutta tuleeko nuo lisenssit aina uusittua? Nämä asiat nostetaan aika usein esille, kun keskustellaan käyttäjän vastuusta. Mutta ovatko nämä niitä oleellisia kysymyksiä?

Yrityksessä nämä ovat asioita jotka tyypillisesti on annettu, tai ainakin olisi pitänyt antaa, ammattilaisten tehtäväksi. Kotikoneella noihinkin asioihin on aiheellista kiinnittää kuitenkin huomiota. Ehkä kuitenkin paljon oleellisempaa on pysähtyä miettimään miten me tietoverkossa liikumme. Pyöräillessämmekin kypärä on tärkeä suoja kaatumista vastaan. Mutta on erittäin todennäköistä, että se ei pelasta meitä, jos ajamme pyörällä vaikkapa ison rekan alle. Sama juttu pätee siis myös tietoturvaan.

Kannattaako meidän avata tuntemattomalta henkilöltä tullut sähköpostin liitetiedosto, kun viestin otsikossa meidän kerrotaan voittaneen 10 miljoonaa arvonnassa toisella puolella maailmaa, jossa emme ole koskaan edes käyneet? Onko järkevää lähettää sähköpostissa verkkopankkimme tunnusluvut tuntemattomalle henkilölle, joka yrittää kovin hyvin perustella, kuinka hän niitä tarvitsee voidakseen auttaa meitä? Netissä surffatessamme, onko järkevää tutkia niitä kaikkein epämääräisimpiä nettisivuja sen vuoksi, että siellä luvataan olevan jotain niin hyvää, että se ei mitenkään voi olla totta? Riittääkö salasanaksemme pienillä kirjaimilla kirjoitettu koiran tai kisan nimi? Jos ajattelette että riittää, niin miettikääpä hetki kauanko noin neljä merkkiä pitkän salasanan murtaminen kestää ammattilaiselta? Voin vakuuttaa ettei kovinkaan kauaa. Onko näppäimistön alla oleva keltainen muistilappu paras tapa säilyttää omia salasanoja? Tätä voisi verrata siihen, että jätämmekö me yleensä kotoa lähtiessänne avaimen kotimme oveen tai kaupassa asioidessanne avaimen auton virtalukkoon.

Kaikesta teknisestä kehittymisestä huolimatta tietoturvassa on kyse mitä suurimmassa määrin maalaisjärjen käytöstä. Tietoturvaan liittyvät ongelmat liittyvät oman kokemukseni mukaan lähes poikkeuksetta käyttäjän ajattelemattomuuteen, laiskuuteen tai väliinpitämättömyyteen. Näitä käyttäjästä johtuvia tekijöitä voidaan yrittää lieventää tekniikan avulla ja tässä tekniikka onkin kehittynyt paljon, mutta taustalla oleva ongelma ei ole muuttunut miksikään.

Siinä missä tavallinen tietoverkossa liikkuva käyttäjä on yleensä itselleen suurin tietoturvariski, niin työskennellessäni nykyisin lähinnä yritysten tietojärjestelmien kanssa, olen havainnut, että kenties vielä loppukäyttäjää suurempi riski tietoturvalle on ”huono admin”. Se henkilö, jonka vastuulla yrityksen tietotekniikka on. Näihin ”huonoihin admineihin” törmää aivan liian usein ja vaikka joskus taustalla voi olla osaamiseen liittyviä haasteita, niin paljon suurempi ongelma näissä tilanteissa on yleensä kiire ja ajattelemattomuus, joskus myös välinpitämättömyys.

Nostin ”huonon adminin” loppukäyttäjää suuremmaksi tietoturvauhaksi ennen muuta sen vuoksi, että siinä missä yksittäinen käyttäjä yleensä asettaa itsensä alttiiksi vaaroille, niin tämä ”huono admin” asettaa organisaation kaikki käyttäjät altiiksi vaaroille ja samalla tuudittaa loppukäyttäjät siihen käsitykseen, että tietoturva olisi hoidettu parhaalla mahdollisella tavalla. Varsin usein tällä ”huonolla adminilla” ei ole yrityksessä esimiestä joka osaisi arvioida tämän henkilön tekojen oikeellisuutta ja varsin harvoilla tavallisilla tietokoneen käyttäjällä on edes lähtökohtaisesti halua tai uskallusta kyseenalaistaa tämän henkilön tekemisiä, sillä kyseessähän on ammattilainen.

Tietoturva on ollut jo pitkään suuri tietotekniseen kehitykseen liittyvä uhka. Näin tulee varmasti olemaan myös jatkossa. Hyväksymällä ajatuksen, että meidän jokaisen on tehtävä oma osuutemme tietoturvatalkoissa, olemme askeleen lähempänä tietoturvallisempaa tietoyhteiskuntaa. Kyse ei ole välttämättä uudesta ja vaikeasta tekniikasta tai muutoin monimutkaisesta varautumisesta. Terve maailaisjärki ja itsestäänselvyyksien kyseenalaistaminen ovat asioita, jotka auttavat meitä jokaista kohta parempaa tietoturvaa.

Myöhemmissä kirjoituksissani pyrin pitämään tietoturva-aspektin mukana ja nostamaan esille konkreettisia käytännön esimerkkejä tietoturvasta niin hyvien kuin huonojenkin esimerkkien avulla.