keskiviikko 23. marraskuuta 2016

Mitä tiedät ja missä se on?

Onko enää mahdollista tietää, mitä kaikkea organisaatio tietää? Ja osaavatko organisaatiot enää kertoa, missä tämä tieto sijaitsee? Yllätyksiä harvoin tulee sellaisen tiedon osalta, jota käytetään päivittäin ja jonka tuottamiseen on käytetty yhdessä aikaa. Yllätyksiä tulee usein siitä, mitä ei tiedetty tietävämme ja etenkin silloin, kun se löytyy väärästä paikasta.

Tietoa on kaikenlaista, mutta haluan tässä kiinnittää huomiota kahteen tyyppiin, joita kokemuksemme mukaan organisaatioista löytyy "kutsumattomana vieraana".

Ensimmäinen laji tietoa, joka on joskus haluttu kerätä tai tuottaa, mutta jonka käyttötarkoitus tai tarve käytölle on päättynyt. Tämä johtaa usein siihen, että kyseisen tiedon tietosäilöt ja käsittely unohdetaan. Koska kukaan ei käytä sitä, siitä tulee helposti jonnekin "levyn nurkalle unohdettu" palanen, joka vaan kulkee mukana. Se voi olla edelleen arvokasta organisaation kannalta, mutta samasta asiasta löytyy jo päivitetyt versiot uusilla dokumenttipohjilla uudessa dokumentinhallintajärjestelmässä.

Tällaisella tiedolla on tapana myös kertautua. Sitä ei haluta hävittää, koska se on joskus ollut tai on yhä tärkeää. Sen vuoksi siitä on jo yhdellä varmuuskopiollakin 7 erilaista versiota eri paikasta. Pahinta kaikessa on se, että tällainen tieto on helposti kaikkein huonoiten suojattua. Se voi johtua käytännön syistä: se voi olla tuotettu esimerkiksi aikana, jolloin suojaustoimia ei tehty tai ollut olemassa. Tai kuten tavallista, sen olemassaoloa ei kukaan enää muista. Niinpä sen tietosäilöjäkään ei muisteta ottaa huomioon ympäristöä kehitettäessä.

Se toinen laji tietoa on se, jota ei ole koskaan alun perin haluttukaan organisaatioon, mutta joidenkin yksilöiden tavoitteiden ja päätösten vuoksi se on sinne päätynyt. Tähän kategoriaan menee työntekijöiden ja usein vastuuhenkilöiden organisaatioon tuoma tieto. Se voi olla muualta tuotua tai hankittua taustamateriaalia oman kehityksen tueksi. Se voi olla hyviä ideoita oman toiminnan tueksi koulutuksista muualta. Tai hienoja kehitysajatuksia tuotekehityspuolen todella onnistuneesta kehityspäivästä. Useimmiten se on pornoservereitä, peliservereitä, roskapostittajia tai muita kyseenalaisia alustoja, joita perustelevat ne organisaation työntekijät, jotka uskovat kaiken olevan yhteistä. Sanomattakin selvää, kuka kantaa viime kädessä vastuun sellaisen löytymisestä. Mutta vielä haitallisempaa voisi olla sen tuotekehityspäivän idealaatikon sisällön vuotaminen ulos...


Seurauksena...

Lopputulos yrittäjälle voi olla, että olet vastuussa laittoman tai laittomasti hankitun tiedon vuotamisesta, etkä edes tiennyt sen olemassaolosta. Tai lainvastaisesta, vaikkakin laillisesti hallussa olevan tiedon käsittelystä. Uusi tietosuoja-asetus ja monet NDA-sopimukset moneen suuntaan, eivät helpota.


Miten korjaan ?
On siis selvää, että omien tietosäilöjen ja tieto-omaisuuden inventointi on enemmän kuin suositeltavaa ajoittain. Tässä kannattaa käyttää apuna myös asiantuntijaa, jolla on riittävät työkalut ympäristön analysointiin. Tänä päivänä moni tiedonpalanen ei ole välttämättä muuta kuin valon eri aallonpituuksia näytöllä. Tietoa on pilvessä, omalla koneella, mobiilissa, puhelimen ekosysteemitoimittajan pilvessä, ostetuilla serverialustoilla, itse ylläpidetyillä palvelimilla, työasemilla, kannettavilla, tableteilla ja niissä mobiililaitteissa. Kartoitus ilman kokonaisvaltaista automatiikkaa ja kunnon työkaluja on ikävä kyllä ihan mahdotonta. Me käytämme apuna avoimesti saatavilla olevien järjestelmien lisäksi rikostutkinnassa käytettyjä menetelmiä ja alustoja, joilla kokonaiskuvan ja riittävän syvällisen analyysin tuottaminen on helppoa ja kustannustehokasta.

Kerran kunnolla tehty tietoaineiston inventointi antaa pitkälle hyvät yöunet!

perjantai 4. marraskuuta 2016

Tietoturva-ajatuksia ja golfia

Mitä tietoturva tarkoittaa yrityksessäsi?

  • virustorjunta?
  • palomuuri?
  • kassakaappi?
  • kameravalvonta?
  • salasanat?

Useimmiten tietoturva on “kunnossa” kun virustorjunta ja palomuuri on ajan tasalla - NÄIN AINAKIN AJATELLAAN.

Riippuen toki yrityksestä tämäkin joskus riittää, mutta usein nämä kaksi asiaa ei tee yrityksestäsi vielä tietoturvallista. Ajatellaan, että koneet ja laitteet asiallisine ohjelmistoineen ja komponentteineen tekee yrityksestä tietoturvallisen.

Ajatellaampa asiaa nyt toisesta kulmasta. Mikäli golflyönti ei onnistu niin katsotaan mailan lapaan tai syytetään kulunutta grippiä ja unohdetaan katsoa itse mailasta pitävää yksilöä. Sama pätee koneisiin ja laitteisiin. Esimerkin taustalla on kuitenkin se, että me yksilöt niitä koneita ja laitteita käytämme; tavalla tai toisella.

Miten me yksilöt toimimme laitteiden kanssa julkisilla paikoilla, miten itse tiedämme / tunnistamme tietoturvaan liittyvät riskit yrityksessämme ja mikä tärkeintä, miten ennaltaehkäistä ettei tilanteita pääse tulemaan. “Kyllä MINÄ tiedän, miten toimia tietoturvallisesti koneiden kanssa, koska meille on tehty tietoturvaohje”, sanoi eräs toimitusjohtaja. Hyvä niin, mutta tietääkö muu henkilöstösi miten toimia ja ennaltaehkäistä riskitilanteita (varsinkin ne liikkuvat “myyntitykit”)?

Meillä ihmisillä on tapana olettaa asioita. Oletamme, että kerran tehty tietoturvaohje on luettu ja on koko henkilöstön tiedossa. Väitän, että usein ei näin ole. Väitän myös, että tietoturvaohjeistusta ei useimmissa tapauksissa ole käyty yhteisesti läpi vaan sen tulee jokaisen itse lukea vaikkapa kahvitunnilla. Väitän myöskin, että kerran tehty ohjeistus on jää usein päivittämättä ajan saatossa, vaikka toiminnot muutoin muuttuvat. Olenko väärässä? Oletan etten ole.

Laitetaampas vielä loppuun yksi golfiin liittyvä mielikuva, koska blogin otsikkokin sitä vaatii (perustuu tositapahtumiin).

Joka kerta ajellessani golfkentälle käyn mielessäni läpi ajatuksia tulevasta pelistä. Lyön perusvarmoja lyöntejä enkä ota turhia riskejä pelissäni. Tällä simppelillä kaavalla kuvittelen nakuttelevani kentän sen ihannetulokseen tai ainakin sen tuntumaan.

Otan työkalut pois auton perästä ja astelen itseluottamusta uhkuen ensimmäiselle lyöntipaikalle. Muutama harjoituslyönti ja putti lämmittelyksi, jonka jälkeen olen valmis toteuttamaan suunnitelmaani. Ykköstiillä vakuuttava katse horisonttiin (niin kuin ne ammattilaisetkin tekee), mailan heilautus, hyvä kontakti palloon ja loppuasento kuin telkkarissa. Pallo kentän rajojen ulkopuolelle näyttävässä kaaressa. Kysyvä katse pelikavereihin. - Saisinkohan lyödä avauslyöntini uudelleen, ilman rangaistusta? Ilmeet pelikavereille on sen näköiset etten saa. Kolmas lyönti lähtee tiiauspaikalta. Tällä lyönnillä on korvattava edellinen huono lyönti. Tällään niin lujaa kuin lavoista lähtee. Tämän täytyy lentää pitkälle. Pallo lentää hiekkaesteeseen ja sen myötä ensimmäiselle väylälle tuloskorttiin merkataan 4 lyöntiä enemmän, mitä olin autossa suunnitellut. Tunnen kuinka verisuonet räjähtelee päässä, kun ajattelen, että tämäpä lähti mukavasti liikkeelle. Enää ei tarvitse päristä kuin neljä tuntia kentällä!! Nautinnollisen nelituntisen jälkeen on mahtavaa palata kotiin kiukkuisena, nälkäisenä ja väsyneenä. Aamuksi vielä töihin. Tyypillistä harrastelijagolfarin arkea.

Niin ja se lopputulos. Mailojen vika. Ja kentän. Ei minun.

Summa summarum: Uskalla katsoa välillä peiliin. Uskalla tunnustaa tosiasiat ja pyytää osaavalta henkilöltä apua. Tämä toimii hyvin niin vapaa-ajalla kuin työelämässäkin.

***
Matias Lampinen
Opsec Oy



maanantai 31. lokakuuta 2016

Tietosuoja-asetus tulee - mitä organisaatiossani on tehtävä?

EU:n tietosuoja-asetus astui voimaan 24.5.2016 ja sen soveltaminen alkaa 25.5.2018 2 vuoden siirtymäajan jälkeen. Aikaa on vielä, mutta paljon on myös tekemistä. Aihetta on käsitelty paljon rekisteröidyn näkökulmasta. Tässä neljä kohtaa, mitä se tarkoittaa yrityksissä, yhdistyksissä ja kaikissa henkilötietoja keräävissä organisaatioissa.

Uutta aikasempaan henkilötietolainsäädäntöön on organisaatiokeskeinen ja riskilähtöinen lähestymistapa. Jatkossa ei voi ladata tietosuojavaltuutetun toimiston sivuilta valmiita rekisteriselosteita, joihin valmiisiin kenttiin vastaamalla täyttäisi lain vaatimukset. Vaikka työtä on enemmän, asioiden toteuttaminen tuo kuitenkin paljon muitakin hyötyjä kuin lain vaatimusten täyttäminen.

Olennaista on se, että organisaatiossa toteutetaan vähintään seuraavat toimet:

1. Henkilötietojen käsittelyä koskeva arviointi

Jokaisen täytyy käydä läpi oman organisaation osalta henkilötietojen keräämisen, tallentamisen, käsittelyn ja poistamisen elinkaari. Samassa yhteydessä on arvioitava riskejä, joita henkilötietoihin kohdistuu. Tämä on koettu yrityksissä aluksi työlääksi, mutta projektimme jälkeen palaute on ollut ihan erilainen. Asiakkaamme ovat olleet tyytyväisiä siihen, että arvioinnin läpikäynti on opettanut omasta organisaatiosta ja sen toiminnasta paljon muutakin. Joissain projekteissa on kyetty parantamaan ja tehostamaan myös yrityksen perustoimintoja, kun omia käytänteitä ja järjestelmiä katsotaan vähän uudesta näkökulmasta.

2. Ilmoitusvelvollisuus tietoturvaloukkauksista 

Yritysten on ilmoittettava rekisteröidyille ja valvovalle viranomaisille henkilötietoihin kohdistuvista tietoturvaloukkauksista. Tämä tarkoittaa sitä, että loukkaukset on myös kyettävä havaitsemaan! Lisäksi täytyy olla menettelytavat vahinkojen rajaamiseksi ja minimoimiseksi. Samalla kun nämä vaatimukset toteutetaan, parannetaan ja tehostetaan myös tietotekniikan toimintavarmuutta ja tietoturvallisuutta organisaatiossa. Nämä parannukset säästävät pidemmällä aikavälillä myös rahaa vikamäärien laskiessa ja IT:n toimintavarmuuden parantumisessa.

3. Tietosuojavastaava

Arvioinnin tuloksena voi olla, että organisaatiossa tarvitaan tietosuojavastaava. Tietosuojavastaava valvoo henkilötietojen käsittelyä, kouluttaa ja tukee henkilökuntaa, toimii yhteyshenkilönä yrityksen sisällä ja viranomaisiin ja raportoi suoraan organisaation johdolle. Tietosuojavastaavan pätevyydelle on joitain perusvaatimuksia. Tietosuojavastaava voi olla joko organisaation omasta henkilöstöstä nimetty tai hän voi olla sopimusperusteisesti organisaation lukuun toimiva henkilö.

4. Tilivelvollisuus

Organisaation on kyettävä jälkikäteen osoittamaan, että lain vaatimukset on huomioitu ja tarvittavat toimet on viety käytäntöön. Vastuut on oltava määriteltyinä, riskienarviointiprosessi on oltava kirjallinen ja sen toimenpiteet on dokumentoitava. Myös ennakointi ja varautuminen ennalta kuuluu suunnitella ja dokumentoida etukäteen.

Entä jos...?

Erilaista aikaisempaan lainsäädäntöön on myös tiukempi sanktiointi. Aiemmin korvausvastuita ja sanktioita mietitiin vain, jos jotain sattui. Myös lainsäädännön vaatimukset koettiin epäselviksi ja niiden toteuttamista voitiin tulkita monella eri tavalla. Nyt asetus määrittelee tietyt toimet hyvin selkeästi. Toki paljon avoimiakin kysymyksiä vielä on. Sanktiot ovat aika tuntuvia. 2 - 4 % yrityksen maailmanlaajuisesta kokonaisliikevaihdosta on minkä kokoiselle yritykselle tahansa kova maksu.

Toisaalta velvoitteiden toteuttamiseen vaadittavat investoinnit on myös suhteessa organisaation kokoon ja toimintatapaan. Pienemmissä organisaatioissa henkilötietojen käsittelyprosessit ovat usein yksinkertaisempia ja hallittavampia. Toimintaympäristö on myös yksinkertaisempi. Näin ollen myös tietojen suojaamisen suunnittelu ja toimenpiteet eivät vaadi välttämättä monia tuhansia euroja. 

Olemme mielellämme auttamassa alkuun ja ohjaamassa näissä asioissa. Kannattaa kuitenkin olla ajoissa liikkeellä, sillä toimenpiteet on hyvä päästä toteuttamaan ajoissa. Näissäkin asioissa kiire tulee yleensä kalliiksi. 

torstai 8. syyskuuta 2016

Salasana on helppo vaihtaa, verkkokalvo onkin hankalampi...

Käyttäjätunnusten ja salasanojen määrä kasvaa edelleen vaikka sen hillitsemiksesi on pyritty keksimään monenlaisia tekniikoita. Yleisimpiä ovat apuohjelmat, joiden tarkoituksen on tallentaa salasanat yhden "kuningasavaimen" taakse ovat käteviä mutta niissä nousee huoli kaiken purkavasta salasanasta ja itse ohjelman turvallisuudesta.

Salasanojen korvaajiksi on ehdotettu myös biometrisiä tunnisteita. Tunnistusmenetelmiä on kehitetty erilaisiin  fyysisiin ominaisuuksiin perustuen, kuten sormenjälkiin ja verkkokalvoihin.
Uusimpana tällä listalla on sydämen syke, minkä jotkin asiantuntijat sanovat olevan vieläkin tarkempi tunniste.

Biomteristen tunnisteiden haasteista puhutaan, mutta mielikuvat liikkuvat usein melkein elokuvien tunnelmissa. "Mitäpä jos kyberkriminaali katkaisee sormeni ja murtautuu koneelleni?". Mielestäni tärkeämpi seikka piilee vaihdettavuudessa. Salasanan voi aina vaihtaa, sormenjälkeä tai verkkokalvoa ei niin helposti! Mitäpä jos massiivinen tietomurto paljastaa miljoonia verkkokalvojen tunnisteita? Pyytääkö palveluntarjoaja sinua kohteliaasti vaihtamaan takaisin salasanaan? Ja pahoittelee, ettet voi enää ikinä luottaa siihen, ettei juuri sinun iiriksen kuvaa käytettäisi identiteettivarkauteen?

Tämä herättääkin minulla ajatuksen, olisiko meidän nähtävä nyt inhokin ja kaikenlaisen halveksinnan kohteena olevat salasanat uudessa valossa. Niiden tarkoituksena on tarjota meille turvaa ja yksityisyyttä, mutta niiden luonteesta johtuen ne voidaan vaihtaa uuteen koska tahansa. Ja useimmiten selvitään vieläpä kohtuullisen pienellä harmilla. Salasanojen heikkouksia paikkaamaan voidaan sitten käyttää tilanteeseen soveltuen muita tekniikoita, kuten USB-avaimia ja kertakäyttöisiä koodeja.

Niiden käyttöön ja muihin tunnistamisen haasteisiin pystymme Opseciltä antamaan käytännön elämää helpottavia ja turvaavia ratkaisuja.

tiistai 9. elokuuta 2016

Hyvää palautumissuunnitelmaa rakentaa koko henkilöstö


Meiltä tilataan usein jatkuvuus- ja palautumissuunnitelmia erilaisten organisaatioiden käyttöön. Lähes aina tilaaja hämmästyy projektin aloituksessa, kun alamme kysellä muidenkin kuin IT-osaston yhteystietoja.
Jatkuvuussuunnitelmia ja palautumissuunnitelmia tehdään kahdesta syystä. Ensinnäkin tietenkin koko organisaation mahdollisimman häiriöttömän toiminnan varmistamiseksi. Toinen syy on tärkeämpi ja useimmiten unohtuu. Vaikka jatkuvuussuunnitelma olisi miten hyvä tahansa, jotain sattuu aina. Palautuminen vika-, onnettomuus- tai muista poikkeustilanteista on syytä suunnitelma etukäteen. Näin kaikki tapahtuu mahdollisimman nopeasti.



Yksi tärkeä syy koko henkilöstön osallistamiseen on tuotannon automatisoituminen. Tuotantotyössä on nykyään yhä enemmän tietotekniikkaa, jota käyttää ja ylläpitää suoraan tuotantotyöntekijät. IT-osasto ei välttämättä edes tunne kaikkia suoraan tuotantoon tilattuja järjestelmiä. Niiden kriittisyyden ja toiminnan osaa arvioida parhaiten niitä käyttävä henkilöstö. Tuotantotyötä tekevät osaavat myös määritellä kriittisen tiedon arvon paremmin. IT-henkilöstö on enemmän kiinnostunut laitteiden ja alustojen toiminnasta, ei niinkään niiden sisällöstä. Kun taas tuotantotyöntekijät ovat kiinnostuneita juuri sisällöstä enemmän kuin laitteiden ja järjestelmien toiminnasta. Ja järjestelmien sisältämä tieto on organisaatiolle se arvokkain asia.


Koulutettu henkilöstö paras sensori häiriötilanteiden ennaltaehkäisyssä. Tästä syystä IT-osaston on syytä kuunnella käyttäjiä hyvin tarkkaan. Kattava valvontajärjestelmä on tietenkin syytä olla. Mutta sen kautta ei nähdä kuin yksittäisiä tapahtumia. Henkilöstö auttaa näkemään kokonaisuuden. Jos IT-osasto huomaa yhtäkkiä kielletyn yhteysyrityksen työasemalta jollekin serverille, se ei ole heille ongelma. Yhteysyritys oli kielletty ja se terminoitiin. Jos lisäksi käytössä olisi tieto henkilöstöltä, että samaan aikaan joku yritti avata sähköpostissa ollutta toimimatonta liitettä, olisi juttu toinen. Ongelmaa tutkittaisiin haittaohjelman leviämisenä, eikä todettaisi vain yhden kielletyn yhteysyrityksen ongelmaa ratkaistuksi. Yhteyden terminointihan ei tuhoa haittaohjelmaa, vaan se jää ympäristöön odottamaan uutta mahdollisuutta.


Henkilöstö on hyvä arvioimaan myös toiminnan kannalta poikkeavia hiljaisia merkkejä. Miksi joku kone takkuilee vaan tiettynä aikana, minkä vuoksi joku rutiiniajo vie liian kauan, miksi tiettyä tietoa ei löydy sieltä, missä se on aina sijainnut? Usein nämä hiljaiset merkit ovat ensimmäisiä viestejä siitä, että jotain on pielessä. Siksi koulutetun työntekijän intuitio on parempi poikkeamien havainnointi- ja ennaltaehkäisytyöväline kuin yksikään tähän tarkoitukseen rakennettu automaattinen järjestelmä.


Viimeisimpänä koko henkilöstön osallistamisen puolesta puhujana nostan esiin kriisiviestinnän. Kun jotain poikkeavaa tapahtuu, on kaikkien kuitenkin tiedettävä, miten asioista viestitään ja kenelle. Tähän liittyy niin organisaation sisäinen viestintä kuin organisaation ulkoinenkin viestintä. Palautumistilanteessa tarvitaan usein henkilöstöhallintoa, viestintää, verkkosivuylläpitoa ja esimerkiksi myyntiedustajia isomman tuotannollisen ongelman ratkaisun aikana.

maanantai 18. huhtikuuta 2016

Kybervakuutukset


Monenlaiset kyber- ja IT-vakuutukset ovat alkaneet yleistyä maailmalla. Ne voivat olla hyvä täydentäjä organisaation riskienhallinnalle. Mutta yksistään vakuutus ei riitä. Tässä muutama huomioitava asia.  

Tärkeää niistä on ensinnäkin selvittää, mitä ne kattavat ja mitä eivät. Harva kattaa esimerkiksi toiminnan keskeytymisestä aiheutuneen tuotantokatkon vuoksi saamatta jäänyttä liikevaihtoa. Lisäksi IPR-oikeuksien menetys tai joutuminen kolmansille osapuolille on erittäin vaikeasti mitattava vahinko ja usein korvausten ulkopuolella. Korvausluokissa voi olla kattoja, jotka on syytä tarkistaa. Esimerkiksi viestintä- tai tutkintakustannukset voivat olla vaikkapa tietomurtotapauksissa hyvinkin suuria.

Yhtä vaikeaa kuin IPR-oikeuksien arvon mittaaminen on myös brändivahinkojen mittaaminen. Organisaation julkisuuskuvalle aiheutunut vahinko voi olla hyvin suuri, mutta aina vakuutusten ulkopuolella. Kaikki eivät myöskään korvaa fyysisiä vahinkoja, vaikka ne aiheutuisivatkin esimerkiksi SCADA:n tai muun tietoteknisen ympäristön ohjauksen ongelmista. Valtioiden välinen tai sellaiseksi luokiteltava toiminta on usein myös korvausten ulkopuolella. Tämä kannattaa huomioida, jos organisaatio on toimittajana tai kumppanina mukana verkostossa, joka voisi edes välillisesti vetää puoleensa valtiolähtöisiksi luokiteltavia toimijoita. Julkisuudessa näkee tämän tästä erilaisten hyökkäysten alkuperän arviointia - mielenkiintoista on myös se, millä perusteella vakuutuksen antaja luokittelee tapahtuman alkuperää.

Tahallisesti tai huolimattomuudella aiheutettu vahinko on myös lähes aina kaikenlaisen vakuuttamisen ulkopuolella. Niin myös näissä vakuutuksissa. Tahallisesti aiheutetulle vahingolle ei tietoteknisissä ympäristöissä ole aina yksinkertaista löytää korvaajaa. Ja vaikka se olisi mahdollista, on ICT-ympäristöjen luonteen ja niiden sisältämän tietomäärän vuoksi tutkinta usein aikaavievää.

Mutta tärkein huomioitava kohta on huolimattomuudella aiheutettu vahinko. Vakuutukset sisältävät usein tiettyjä velvoitteita, jotka yrityksen on hoidettava vakuutuksen voimassaolon edellytyksenä. Niiden tulkinta voi olla joskus organisaatioissa hyvin vaikeaa. Ja kokemuksesta tiedän, että vakuutuksen antajakaan ei osaa aina tyhjentävästi kertoa, millainen ratkaisu heillä täyttää vakuutuksen huolehtimisvelvoitteen vaatimukset. Vaikka huolehtimisvelvoitteet ovatkin paperilla usein helppoja "rasti ruutuun" -tehtäviä, kannattaa niiden toteutumisesta olla varma. Ihan yksinkertaiset toimet eivät aina riitä täyttämään niiden vaatimuksia. Joidenkin vakuutusten tietoturvavaatimukset ovat myös niin korkeita, että on syytä epäillä vakuutukselle jäävän mitään tarvetta enää sen vaatimusten toteuttamisen jälkeen.

Mikään ei ole organisaation kannalta pahempaa kuin riskikontrolli, joka ei riskin toteutuessa toimi. Mikään kybervakuutus ei siis korvaa orgnisaation omaa huolellista tietoturvatyötä ja varautumissuunnittelua. Mutta täydentäjänä ne voivat olla hyviä.


keskiviikko 20. tammikuuta 2016

Kenelle varmuuskopioit?

Eräs yleinen organisaatioiden turvallisuuteen liittyvistä puutteista liittyy varmuuskopiointiin. Hyvin monessa organisaatiossa ne jo löytyvät, mutta se miten näitä tietokokoelmia säilytetään, vaihtelee suuresti.

Lähtökohtaisesti varmuuskopioilla on koottuna kaikki organisaation tieto yhteen paikkaan. Joskus jopa kaikki sellainenkin tieto, jota ei ole varsinaisesti tarkoitettu sinne. Esimerkiksi työntekijöiden henkilökohtaiseenkin viestintään liittyvää tietoa voi päätyä organisaation varmuskopioille. Esimerkiksi silloin, jos joku työntekijöistä varmuuskopioi vaikka kännykkänsä työkoneelle, joka varmuuskopioidaan yrityksen omaan järjestelmään. Näin varmuuskopiot voivat sisältää tekstiviestejä, puhelutietoja ja muuta henkilöiden viestintäkäyttäytymiseen ja verkostoihin liittyvää tietoa. Varmuuskopioiden sisältämä tieto on joskus paljon enemmän, kuin organisatiosta haluttaisiin edes kertoa ulos. Eikä ihme, että ne siksi kiinnostavat ulkopuolisia.

Varmuuskopioihin liittyy myös hiukan psykologinenkin ongelma. Niitä kerätään itse ja niitä harvoin tarvitaan. Pahimmassa tapauksessa ei aina pidetä edes tarkasti kirjaa siitä, mihin tietoja on varmuuskopioitu. Niiden säilytyksen aikaiseen suojaamiseenkaan ei välttämättä muisteta panostaa yhtä paljon kuin organisaation operatiivisessa käytössä olevan tiedon suojaamiseen. Varmuuskopiot tosin kiinnostavat uteliasta usein todella paljon jo edellisessä kappaleessakin mainittujen seikkojen takia. Lähtökohtaisesti varmuuskopiot pitää suojata aina samalla tavoin kuin niiden sisältämä arkaluontoisin tieto suojattaisiin.

Jos varmuuskopiot ovat helposti saatavilla, avaavat ne myös hyökkäysvektorin organisaation sisään. Maailmalta löytyy esimerkkejä siitä, että varmuuskopiot on ensin saastutettu haittaohjelmilla ja kun niiltä palautetaan tuotantoon aineistoa, päätyvät haittaohjelmat tuotantoympäristöihin. Koska varmuuskopioilla on organisaation kaikki tieto, on hyökkääjällä mahdollisuus sovittaa ja valita haittaohjelmat siten, että niiden havaitsemisen todennäköisyys on todella pieni. Varmuuskopioiden suojaaminen pitäisi siis olla suunnittelupöydällä heti siitä hetkestä alkaen, kun niitä aletaan organisaatioissa tekemään.