torstai 30. joulukuuta 2010

KATAKRI myyntivalttina

Verkostoituminen on nostanut vuosi toisensa jälkeen voimakkaammin pintaan kumppaneihin liittyvät turvallisuusriskit. Mitattavissa olevat turvallisuustoimintoihin liittyvät toimenpiteet ovat valtti joka tarjoaa etulyöntiaseman kilpailutilanteessa ja kertoo luotettavasta ja vastuuntuntoisesta kumppanista.

KATAKRI (Kansallinen turvallisuusauditointikriteeristö) tarjoaa vuosittaisen seurannan ja ylläpidon kohteena olevan turvallisuuskriteeristön ja todelliset mittarit. Viranomaisten turvallisuusluokittelun lisäksi KATAKRI sisältää lähtötason suositukset. Nämä suositukset ovat erityisesti yritysten näkökulmasta luotuja raja-arvoja ja punainen lanka, jonka avulla yrityksen sisäinen turvallisuustyö saadaan heti alusta pitäen selkeästi mitattaviin ja seurattaviin raameihin. Lähtötason suositukset ovat pohja turvallisuustyölle koko organisaatiossa, joten niiden pohjalta toimintoja voidaan kehittää kustannustehokkaasti kohti vaativampia tasoja yrityksen tarpeiden mukaan.

Verkostoitumiseen suuntautunut liiketoimintakenttä tekee oman liiketoiminnan riskien arvioimisesta entistä vaikeammin hallittavaa. Kuten aikaisemmassa kirjoituksessamme totesimme, kumppanit nähdään maailmanlaajuisesti yhtenä yritysten suurimmista riskeistä turvallisuusjohtamisen näkökulmasta. Kansallisen kriteeristön vaatimusten täyttäminen antaa valmiudet vastata asiakkaiden mahdollisiin auditointivaatimuksiin ja viestii päämäärätietoisesta ja hallitusta turvallisuusjohtamisesta. Kyseessä on siis selkeä liiketoimintavaltti!

Suositustason täyttäminen etukäteen edesauttaa myös huomattavasti tarjoustilanteessa vaadittavien turvallisuustodistusten saamista, mikä on usein kuukausia kestävä prosessi. Mahdollisiin viranomaistason vaatimukset täyttäviin, tai esimerkiksi ulkomaankaupan turvallisuusvaatimukset sisällyttäviin tarjouskilpailuihin osallistuminen voi olla ilman etukäteen liiketoiminnan tarpeet huomioivaa turvallisuusjohtamista liian myöhäistä. Yritys joka on tietoinen toimintaansa sisältyvistä riskeistä ja on tehnyt tarvittavat toimenpiteet KATAKRIn lähtötason vaatimusten täyttämiseksi, on markkinoilla etulyöntiasemassa. Turvallisuuden ei tarvitse olla vaikeasti mitattava ylimääräinen kustannuserä, vaan myyntivaltti markkinoinnissa ja kilpailutilanteessa.

Että turvallisuusjohtamista voitaisiin tehdä kustannustehokkaasti ja hallitusti on tunnettava riskit, niiden toteutumisen suhteellinen todennäköisyys, sekä syntyvät vahingot. Kun riskianalyysi on olemassa, tarjoaa KATAKRI suuntaviivat toimenpiteille riskeihin reagoimiseksi. 

  • Tuotekehitykseen liittyvä tieto 
  • Asiakkaiden luovuttama arkaluontoinen tieto ja yrityssalaisuudet 
  • Strateginen tieto markkinoihin liittyen 
  • viranomaisluokan vaatimukset täyttävän tiedon käsitteleminen 
Suurin osa yrityksistä käsittelee tietoa joka sopii jollekin näistä osa-alueista ja hallittua riskin ottamista ei tämän tiedon käsittelemiseen liittyen ole olemassakaan. Onneksi turvallisuusjohtamiseen liittyvien kysymysten kanssa ei tarvitse olla yksin. Käytettävissäsi on kumppani joka ymmärtää niin viranomaistason vaatimukset, kuin yksityisen elinkeinoelämänkin tarpeet.

keskiviikko 15. joulukuuta 2010

GPL riisiä vai miten se oli?

Maailmalla voimakkaasti kasvava GM-viljely on kovaa vauhtia tekemässä sellaisesta perusasiasta kuin ruuasta suuryritysten omistaman tuotteen. Se joka omistaa siemenet, hallitsee koko ruoantuotannon perustaa ja geenimanipuloinnin tavoitteena usein on päästä tähän päämäärään joko tekemällä siemenistä lisääntymiskyvyttömiä, jolloin siemenet on ostettava joka vuosi uudestaan, tai valvomalla käyttöä lisensoinnin ja patenttien avulla. Patenttijärjestelmien avulla voidaan hallita tuotteiden puolueetonta tutkimusta, sillä tutkimukseen ja tulosten julkaisuun voidaan joissain tapauksissa vaatia patentinhaltijan lupa. GMO-kasvit saattavat myös vaatia erityisiä viljely- ja torjunta-aineita, jotka luonnollisesti ovat saman yrityksen tuotteita kuin itse siemenetkin.

Ruuantuotannon piirissä tällainen politiikka on uutta ja se tuntuu röyhkeältä, mutta ilmiö sinänsä on tuttu lähes kaikilla liiketoiminnan aloilla ja tällaisten riippuvuuksien syntyminen on hyvä huomata ajoissa. Sitoutuminen esimerkiksi yhden yrityksen teknologiaan ilman riittävän laajaa kokonaisuuden hallintaa voi osoittautua tekijäksi joka sitoo yrityksen liiketoiminnan jatkuvuuden yhteen toimittajaan epäterveellä tavalla. Tilanne voi syntyä paitsi järjestelmiin sitouduttaessa, myös pienempien osien summana silloin kun esimerkiksi yrityksen IT-toimintoja ostetaan palveluna ulkoa. Jos IT-hallinnon osaaminen tulee ulkoa, eikä yrityksen liiketoimintajohdolla ole käsitystä kuinka toiminnot on järjestetty, tai osaa arvioida dokumentoinnin tasoa, on riippuvuus kumppanista epäterveellä pohjalla. 

Kansallinen turvallisuusauditointikriteeristö (KATAKRI) esittää ympäristön dokumentaatioon liittyen yhden olennaisen kysymyksen.

Onko yrityksen järjestelmät mahdollista palauttaa kriisitilanteessa pelkän dokumentaation pohjalta?


Tämän kysymyksen voi esittää omalle palveluntarjoajalleen. Jos se ei ole mahdollista kuin palveluntarjoajan toimesta (koska he tuntevat ympäristön), ovat langat jossain muualla kuin liiketoimintajohdon käsissä. 

Jokainen toimittaja haluaa tehdä itsestään korvaamattoman. Korvaamaton on kuitenkin määritelmä joka toivottavasti tehdään vain tasapainoisen ja riippumattoman asiakassuhteen pohjalta. Riippumattomuus taas syntyy vain jos tietohallinto on järjestetty siten, ettei tätä IT-alalla niin yleistä "vasen käsi pesee oikean käden" ilmiötä tapahdu. 

Kirjoittaja on luonnollisen ruuan, riippumattoman viljel

maanantai 6. joulukuuta 2010

Tietoturvallisuutta kivikaudelta

Tämän päivän ihmisille on käytettävissään massiivinen arsenaali erilaista teknologiaa. Tehokas teknologia on voimakas työkalu, mutta tuo mukanaan myös riskejä.

Tämän päivän kommunikointityökalut kuten sähköposti, pikaviestimet, erilaiset blogit, Facebook, Skype, google docs, flickr, Deviant Art jne. jne. ovat jokaisessa yrityksessä käytössä päivittäin. Niitä ei käytetä vain työpaikan välineillä, vaan henkilökohtaisilla tietokoneilla ja puhelimilla. Nämä teknologiat voivat olla ajattelemattomasti käytettynä vaarallisia.

Henkilökohtaiseksi huviksi tehty Youtube-video voi aiheuttaa yritykselle suuria mainevahinkoja, työpaikkailmoituksista ilmoittelu voi epäsuorasti paljastaa yrityksen liiketoimintastrategiaan liittyviä asioita ja nämä eivät ole vielä edes suoria tietoturvauhkia.

Työntekijät voivat olla uhka edustamilleen yrityksilleen heidän saatavillaan olevan massiivisen teknologia-arsenaalin vuoksi, jota he myös aktiivisesti käyttävät niin viran puolesta, kuin henkilökohtaisessakin elämässään. Kuinka siis yrityksen IT-osastossa voidaan hallita tätä teknologiaa ja rajata käyttöä siten, että riski saadaanpoistettua? Ei mitenkään!

Oli aika kun turvallisuusosasto pystyi asettamaan henkilöstönsä muurien sisäpuolelle, jossa he pystyivät työskentelemään rauhassa ja turvassa ulkopuoliselta uhalta. Mahdollisista uhista heidän ei tarvinut edes välittää, koska turvallisuusosasto valvoi että ympäröivät muurit sisäpuolelle ei ollut kutsumattomilla asiaa. Tämä oli pari sataa vuotta sitten ja mahdolliset uhkatekijät pysäytettiin muun muassa jousiasein.

On harmillista että vielä tänäkin päivänä suurin osa IT-alan yrityksistä suhtautuu tietoturvaan tällä samalla mentaliteetilla. turvattava piiri on kuitenkin muuttunut merkittävästi. Työntekijät eivät enään toimi vain muurien sisäpuolella sillä he eivät pysty työskentelemään siellä tehokkaasti. Linnoitukseen sulkeutuminen ei palvele enään heidän tarpeitaan. He liikkuvat ja toimivat siellä missä heidän työnsä suorittaminen ja elämänsä täysipainoinen eläminen sitä vaatii. Useimmiten se on turvallisten muurien ulkopuolella, johon vahvimmankaan jousen nuoli ei yllä.

Turvamuuri tarvitaan edelleen, mutta että se vastaisi muuttuneita uhkia, sen on täytynyt siirtyä, muuttua dynaamiseksi ja aineettomaksi. Sen muodostaa tämän päivän maailmassa yrityksen henkilöstö, ei käytetty teknologia. Tervetuloa pois keskiajalta.

torstai 2. joulukuuta 2010

Virtuaaliyleisavain

Pääkäyttäjän tai ylläpitäjän salasana suojaa verkon kaikkein laajimmat käytöoikeudet omaavan käyttäjätunnuksen. Usein kuitenkin juuri tämä salasana kaikkien salasanoihin liittyvien vaatimusten ulkopuolella.

Suurimmalla osalla organisaatioita on nykyisin käytössään jonkin tasoiset käytännöt salasanoihin. Niissä määritellään salasanan vaatimukset, vaihtoväli ja mahdollinen lukkiutuminen väärinkäyttöyrityksissä. Yksi salasana on kuitenkin näiden ulkopuolella - nimittäin se kaikkein laajimmat oikeudet omaava pääkäyttäjän salasana. Usein se on luvattoman heikko, usean henkilön tiedossa ja voimassa lähes ikuisuuden.

Pääkäyttäjän salasanaa kohdellaan huolimattomasti, vaikka sillä päästään käsiksi kaikkiin organisaation tietoihin. Syitä tähän löytyy monia, joista useimmat olisi vältettävissä hyviä hallintatapoja noudattamalla. Pääkäyttäjän salasanaa käytetään usein erilaisten teknisten toimenpiteiden automatisointiin sekä taustajärjestelmien ajamiseen. Salasana on usein tallennettuna niin moneen erilaiseen asetustiedostoon tai ohjelmistoon, etteivät edes ylläpitäjät tiedä kaikkia. Luistaminen näennäisestä rutiinitoimenpiteestä (vaikkakin turvallisuuden kannalta merkittävästä) vain sen vaatiman "inhottavan manuaalisen työn" takia on tietenkin inhimillistä, mutta liiallinen itseluottamus omien työtapojen suhteen voi olla asia josta asiakas maksaa kalliin hinnan. Inhimillisen virheen mahdollisuutta voidaan kuitenkin vähentää hyvällä tietohallinnolla.

Pääkäyttäjän salasanan suojaaminen aloitetaan dokumentoimalla ja ohjeistamalla sen käyttö. Ylläpitävälle henkilöstölle tulee olla erilliset tunnukset, jolloin varsinaista pääkäyttäjän tunnusta ei tarvita. Erilaisiin teknisiin ylläpitotoimiin ja ja ohjelmistojen käyttöön luodaan erilliset tunnukset, joiden oikeudet rajoitetaan tarpeen mukaan. Näillä muutamalla kohtuullisen yksinkertaisella toimenpiteella nostetaan turvallisuuden tasoa merkittävästi.

tiistai 23. marraskuuta 2010

Yli puolet tietorikoksista jää ilmoittamatta

Helsingin kauppakamari teki lokakuussa 2010 tutkimuksen yritysten tiedon suojaamisesta ja tietoihin kohdistuneista rikoksista. Tutkimus paljastaa että yli puolet tietorikoksista jää ilmoittamatta viranomaisille, ja syy tähän on usein yrityssalaisuuden suojeleminen. Tutkimus paljastaa karun totuuden tietorikosten käsittelystä yrityksissä 

  • 46 % yrityksistä on joutunut tai vahvasti epäilee joutuneensa tietorikoksen kohteeksi, 59% jätti kuitenkin rikosilmoituksen tekemättä 
  • yritysten tekniset suojaukset ovat hyvätasoisia ja suunnattu ulkoisia uhkia vastaan, 47% väärinkäytöksistä ja rikoksista on oman henkilökunnan tekemiä 

Suurimmat syy ilmoittamatta jättämiseen olivat ettei siitä uskottu olevan apua tai yrityssalaisuuksia ja imagoa haluttiin suojella. Yritysten tulisikin varautua tilanteeseen etukäteen toimintasuunnittelemalla väärinkäytöstä tai rikosta epäiltäessä. Ulkopuolisia asiantuntijoita käytettäessä tulee varmistaa toimijoiden laillisuus, sillä rikosten paljastaminen on luvanvaraista toimintaa. Tutkimus osoittaa että pahimmat aukot turvallissuudessa ovat samoja KRP:n julkaiseman yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuvan kanssa, mistä kirjoitimme viime viikolla. Tiedon merkityksen tunnistaminen yrityksen toiminnassa sekä siihen kohdistuvien uhkien arviointi on edelleen puutteellista ja tutkimuksessa todetaankin "yritysten riskitietoisuudessa ja yrityksien sisäisten prosessien aukottomuudessa on parantamisen varaa". Tekniset suojaukset ovat kunnossa mutta hallinta puuttuu. Useiden tapausten taustalla on ollut liian vapaa pääsy järjestelmiin ja pääsynhallinnan prosessien puuttuminen. Tämäkin tutkimus osoittaa että suomalaisten yritysten tekniset suojaukset ovat keskitasoa paremmat. Vastaajien mukaan kuitenkin sinisilmäisyys ja liiallinen luottamus aiheuttavat tietojen vuotamista, teknisistä suojauksista huolimatta. Asennekasvatus ja riskitietoisuuden parantaminen ovatkin tie turvallisempaan toimintaan.

maanantai 8. marraskuuta 2010

KRP: Tietoturvallisuuden hallinnan merkitys kasvaa

Keskusrikospoliisi julkaisi ensimmäisen otsikon raporttinsa vuodesta 2009 viime vuoden lopulla. Nyt 5.11.2010 julkaistiin päivitetty raportti. Jotain on vuodessa muuttunut, mutta paljon on pysynyt samana.

Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuva sisältää tietoa suomalaisen viranomaisen näkökulmasta lähitulevaisuuden uhista sekä ohjeita uhkiin varautumisesta. Vuoden 2009 raportin yhteenveto löytyy jutustamme viime vuoden lokakuulta. Tänä vuonna keskeiset havainnot ovat: 

  • Ulkomaisten tilausperiaatteella toimivat rikollisryhmien lisääntyminen Suomessa 
  • Sähköiseen tietoon ja sen käsittelyyn kohdistuvat uhat 
  • Tietoturvallisuusriskit ja riskienarviointi organisaatioissa 
  • Tietojenkäsittely-ympäristön tekniset haavoittuvuudet 
  • Harmaan talouden vaikutukset 
  • Työssä koetun väkivallan lisääntyminen 

Selkein muutos viime vuoteen on tietoturvallisuuden selvästi korostunut merkitys. Viime vuonna vain yksi kohdista liittyi tietoturvaan. Tämä ei mielestäni johdu välttämättä suoraan toteutuneiden uhkien lisääntyneestä määrästä, vaan ihmisten heräämisestä tämän päivän toimintaympäristöön. KRP:n seurannan mukaan tosin myös uhkien määrä on kasvussa. Yhä useamman organisaation on pakko alkaa tunnustamaan, että toiminta ei todellakaan jatku ilman, että tietty tieto on koko ajan saatavilla. Se on myös useimmiten sähköisenä, eikä sen käsittely paperilla ole enää mahdollista ilman tietojenkäsittely-ympäristöä. Ikävä kyllä kyseinen ympäristö on juuri se asia, jonka yrityksen johto tuntee heikoiten.

Tätä tukee myös KRP:n raportti. ”Tällä hetkellä tietorikokset tekee erityisen helpoksi puutteellinen tietojenkäsittely-ympäristön hallinta.” (KRP, 5.11.2010). Eli suurin syy on se, että organisaatioiden tärkein ympäristö ei ole hallinnassa! Siihen kohdistuvia riskejä ei välttämättä edes tunneta. Vaikka IT-asiat ovat yleensä hankalia, suosittelen ehdottomasti asiaan tarttumista. Sen voi tehdä itse tai sen voi ulkoistaa – itse tekeminen edellyttää IT-tietämystä, mutta ulkoistus vaatii jatkuvaa sopimushallintaa ja sopimusjuridiikan tuntemista. Mitä ei hallitse, ei voi johtaa ja jos yksi tärkeimmistä tuotantotekijöistä ei ole johdettavissa, ollaan tuuliajolla. Hienoa on kuitenkin ollut käytännössä huomata, että organisaatiot ovat tähän vihdoin heräämässä ja rohkeita toimenpiteitä on aloitettu monessa paikassa.

perjantai 29. lokakuuta 2010

Miksi lukot eivät riitä

Monen organisaation turvallisuustasoa tarkastellessa huomaa, että vaikka paloturvallisuuteen, kulunvalvontaan ja rikosilmoitinjärjestelmiin satsaukset ovat kohdallaan, on tietoturvan taso kuitenkin hyvin alhainen.

Yleensä tietoturvan alhainen taso tulee myös yllätykenä. Saman ilmiön on todennut varmaan jokainen, joka on ottanut käyttöön tai soveltaa oman organisaationsa toiminnassa jotain laajempaa johtamis- tai hallintakehystä. Myös erilaisissa auditoinneissa (KATAKRI, ISO27000, jne.) samaan ilmiöön törmää melko nopeasti. Fyysinen turvallisuus on ihan sitä, mitä sen oletettinkin olevan, edes kohtalaista tasoa. Tietoturvallisuus vaikuttaa olevan täysin toivoton tehtävä saattaa edes vähimmäistasolleen.

Tähän on tietenkin hyvä selitys, joka on pääteltävissä uusimmista haavoittuvuuksistakin. Esimerkiksi Firesheep , joka käyttää hyväkseen salatusta tunnistautumisesta huolimatta salaamattomaksi jääviä cookie-tiedostoja ja sallii pääsyn kenen tahansa tietoihin samassa verkossa. Eli pääsy yritysverkkoon voi olla pääsy yritysverkossa kaikkialle. Kun taas saavun jonkin organisaation pihaan, en voi automaattisesti etsiä, käyttää hyväkseni tai väärentää organisaation toimistotyöntekijöiden tietoja. Kulunvalvonta pitää huolen siitä, että paperit ovat turvassa. Tietoturvallisuuden vaatimustaso on juuri tästä syystä korkeampi.

Tämä kannattaa huomioida etenkin fyysisten turvallisuusauditointien yhteydessä. Esimerkiksi KATAKRI asettaa lisävaatimuksia fyysiselle turvallisuudelle silloin, kun auditoitavat alueet pitävät sisällään tietojräestelmiä tai osia loogisesta ympäristöstä. Juurisiitä syystä, että pääsy yhdelle laitteelle on sama kuin pääsy koko organisaation ytimeen.

Kun organisaatiosi fyysinen turvallisuus auditoidaan tai kartoitetaan, on syytä ottaa huomioon samalla myös erilaiset tietoturvalle asetettavat vaatimukset, joita kiinteistöpuoli tai lukkoliike ei tunne. Mutta tämä pätee myös toisinpäin. Pelkkä IT-osaston kartoitus tietoturvallisuudesta ei riitä, sillä IT-henkilöstö harvoin tuntee fyysiselle turvallisuudelle asetettavia luokituksia ja vaatimuksia.

torstai 28. lokakuuta 2010

Tietoturvaloukkaukset vähenivät – rehellisyys palaa verkkoon?

Microsoft julkaisi hiljattain oman raporttinsa globaalista tietoturvasta, missä se kertoi tietoturvaloukkausten määrän romahtaneen alkuvuonna. Lieneekö syynä rehellisyyden ja tunnollisuuden paluu internettiin vai olisiko kenties taustalla jotain muuta? 

Raportti käsittelee vuoden 2010 ensimmäistä puoliskoa ja sen mukaan tapaukset ovat tippuneet yli sadalla vuoden takaisesta. Huolimattomuus pitää edelleen kärkitilaa mutta viimeisen vuoden aikana ero kohdennettuihin hyökkäyksiin on kaventunut. Raportin tuloksille on olemassa muutama mahdollinen selitys. Suoranaiseen tietoturvaloukkausten vähenemiseen on kovin vaikea uskoa joten syytä on etsittävä muualta. Luonnollisia syitä vaihtoehtoja tulee mieleen kaksi: 
a) niitä ei enää havaita tai
b) yhteen käytetään enemmän resursseja, joilloin vahingotkin ovat suuremmat.

Havaintojen määrän väheneminen olisi suora seuraus taloudellisen tilanteen kiristymisestä ja siten tietoturvaan kohdistuvien panostusten vähenemisestä. Henkilöstö ei yksinkertaisesti havaitse toteutuneita vahinkoja tai ne tapahtuvat palvelutoimittajille, eivätkä todennäköisesti päädy ostajan tietoisuuteen. Tätä teoriaa tukee muidenkin tutkimusten havainnot, joista kirjoitimme 6.10 otsikolla Onko kumppanisi suurin riskisi? Vaihtoehto b on myös kelpo selitys. Tietorikosten kohdentuminen ja sitä kautta vahinkojen laajeneminen on ollut kasvava trendi. Huippuna tälle kehitykselle on Stuxnet - mistä uutisoitiin laajalti. Stuxnet oli ennen kaikkea osoitus haittaohjelmien "korkeasta tasosta" ja niistä aiheutuvien vahinkojen suuruudesta. Microsoftin raportoimasta kehityksestä huolimatta tietojärjestelmiin kohdistuvat uhat eivät ole katoamassa, ne vain muuttavat muotoaan ammattimaisempaan suuntaan ja siten myös vastatoimien on seurattava perässä.

torstai 21. lokakuuta 2010

Paljonko tietorikos teillä maksaa?

Tietorikollisuuteen suhtaudutaan vieläkin Suomessa kuin joulupukkiin. Hauska ja mielenkiintoinen juttu, mutta eihän sitä oikeasti ole olemassa? Cert-fi tuo uudessatietoturvakatsauksessaan esiin taas hyvän esimerkin siitä, miten huonosti hoidettu tietoturva voi tulla kalliiksi.

Monessa yrityksessä on siirrytty VOIP-puhelinjärjestelmiin. Karkealla tasollahan se tarkoittaa sitä, että yrityksen tietokoneet ja puhelimet ovat samassa verkossa. Näin puhelinvaihteen hallinta on mahdollista tietoverkon jonkin haavoittuvuuden kautta, missä tahansa muualla yritysverkossa. Vaihteeseen pääsyn jälkeen voidaan alkaa käyttämään yrityksen rahalla hankkimia resursseja hyväksi. Se miten tähän voi varautua on osittain tekniikkaa tai ohjelmistoja, mutta jokainen yritysjohdossa toimiva osaa varmasti luetella jo tässä kohtaa lausetta vähintää kaksi tai kolme kohtaa joissa prosessikontrolleilla voi ongelman myös havaita. Ennenkuin se tulee liian kalliiksi.

Verkkosuunnittelu ja perustason infrastruktuurin ylläpito on paljon tärkeämmässä roolissa yrityksissä tänä päivänä kuin aikaisemmin. Puhelinvaihteet, rikosilmoitinjärjestelmät, kiinteistöohjaus, tuotantolaitteiden ohjaus, henkilörekisterit, asiakasrekisterit ja moni muu asia on kiinni siitä vastaako joku toimistossa myöntävästi kysymykseen: "Oletko varma, että haluat asentaa tämän selaimen lisäosan?" Nyt kiinnittämällä huomiota perusasioihin, säästää yrityksensä monelta murheelta jatkossa. Jos IT-ylläpitosi hoitaa kumppanisi, vaadi häneltä ehdotuksia, vaihtoehtoja ja keskustelua sinun asioistasi. Vaadi häntä myös sitoutumaan sinun tavoitteisiisi ja seuraa tuloksia - vastuuta ei voi ulkoistaa.

Kun perusasiat on kunnossa ja infrastruktuurin perusrakenne kunnossa, on tietoturvan hinta pieni. Samoin ympäristön riskit ovat pieniä. Kun perusteita ei ole hoidettu, kasvaa vahinkojen riski ja niiden vaikutusten hinta. Myös korjaavat toimenpiteet tulevat tällaisessa ympäristössä kalliiksi ja ne jäävät usein juuri siksi tekemättä. Tämähän on tietysti kuin painaisi kaasua tien lopun lähestyessä, mutta silti sitä ikävän usein näkee. Pidä turvallisuus mukana alkaen - silloin se maksaa vähiten.

perjantai 15. lokakuuta 2010

Valito valvomaan yritysturvallisuutta?

Helsingin Sanomat uutisoi eilen yrityksiin kohdistuvista tietoverkkohyökkäyksistä. Jutussa esitettiin myös Mikael Kiviniemen toive siitä, että Suomeen saataisiin valvomo, josta maahan kohdistuvia uhkia voitaisiin seurata.

Keskustelua tällaisesta valvomosta on ollut muuallakin ja itse ainakin oletan tällaisen kuuluvan länsimaisen yhteiskunnan perustoimintoihin. Muutakin rikollisuutta valvotaan kansallisella - jopa kansainvälisellä - tasolla. Miksi siis ei tietoverkkorikollisuuttakin? Realistisen kokonaiskuvan muodostaminen uhasta edellyttää, että havainnot kootaan yhteen, niitä verrataan, analysoidaan ja ilmiöitä seurataan laajasti. Samoin tietoverkoissa olisi valvonnan ja rikollisuuden ennaltaehkäisyn oltava suunnitelmallista ja johdettua, sekä kansainvälisen yhteistyön merkeissä tapahtuvaa toimintaa.

Poliisi varoittaa ja informoi yrityksiä tänä päivänä uhista, joita yrityksiin saattaa kohdistua perinteisen rikollisuuden alueella. Poliisi suojaa omalla toiminnallaan yhteiskuntajärjestystä ja tarvittaessa nostaa oma valmiuttaan estääkseen yleistä järjestystä ja turvallisuutta uhkaavat tilanteet. Miksi näin ei tehtäisi myös tietoverkkorikollisuuden osalta? Onhan keskusrikospoliisi jo esimerkiksi tällaista roolia ottanutkin, kuten totesimme kirjoituksessamme rikostietopalvelun raportista.

Haluaisin kuitenkin alleviivata erästä asiaa. En usko, että kenenkään suunnitelmissa on se, että poliisi valvoisi yksittäisten yritysten toimintaa tai muuttuisi organisaatioksi, jolle voi reklamoida silloin, kun tietoriski toteutuu. Eihän kukaan jätä yrityksensä oviakaan yöksi auki, luottaen siihen, että poliisi "hoitaa homman". Tilanne tietoturvallisuusympäristön osalta on kuitenkin nyt surullinen. Monella yrityksellä on ostettu virustorjuntaohjelmistot, jotka käyttäjät ovat kytkeneet pois päältä, kun kone oli vähän hidas. Monella on palomuurit, joiden konfiguraatio meni joskus vähän vaikeaksi ja sitten oli helpompaa vain sallia kaikki liikenne. Monella yrityksellä kilpailija lukee jo nyt yrityksen dataa, eikä siitä edes tiedetä kohdeyrityksessä! Oma tietoturvallisuustaso tulee monella puhtaana arvauksena, perustumatta mihinkään faktaan.

Yritykset ovat ottaneet asiakseen hoitaa fyysisen turvallisuuden kuntoon. Vartijat, hälyttimet ja palontorjunta ovat jo sääntö enemmän kuin poikkeus. Milloinkahan huomataan tietoturvallisuuden tärkeys, vai odotammeko, että valtio hoitaisi? Turvallinen yhteiskuntajärjestelmä ja yritystoiminta perustuu viranomaisten ja yritysmaailman yhteistyölle. Edellytys on kuitenkin se, etä jokainen hoitaa oman tonttinsa - samalla tavalla kuin yritykset tarvitsevat turvallisen toimintaympäristön, tarvitsee viranomainen myös oikeaa tietoa siitä, millaisten ongelmien kanssa käytännössä ollaan tekemisissä.

maanantai 11. lokakuuta 2010

Ohjelmistohankkeet – toimitusjohtajan muistilista

Melko usein tietoturvasta puhuttaessa keskitytään vain infrastruktuuriin – palomuureihin, verkkoihin ja virustorjuntaan. Alustat ovat vain yrityksen varsinaisia työkaluja varten ja käytetyt sovellukset ja ohjelmat voivat olla suurempi riski kuin tietokone ilman virustorjuntaa.

Vuoden 2008 aikana sovellusten ja ohjelmistojen haavoittuvuuksissa oli merkittävä nousu. Kaupallisten ohjelmistojen haavoittuvuudet nousivat 13,5% vuoteen 2007 verrattuna. Myös haavoittuvuuksien vakavuus paheni – suurten ja kriittisten haavoittuvuuksien määrä kaikista oli 15,3% ja jopa 92% kaikista haavoittuvuuksista oli etänä hyödynnettävissä. Sovelluksia hankittaessa ja kehitettäessä on niidenkin toiminnallisuutta kyettävä katsomaan organisaation tietoturvavaatimusten läpi. Vaikka monessa yrityksessä edellytetään verkkoon etäkirjautumista salattuna, voivat yrityksen sovellukset sallia kuitenkin pääsyn salaamatomana jopa sisäverkkoon asti. Usein taustalla on kuitenkin vain ohjelmistojen pääkäyttäjien ja organisaation ylläpidon heikko keskusteluyhteys. Tai jomman kumman puuttuminen kokonaan – pahimmassa tapauksessa puuttuu koko tietoturvallisuuden vaatimusmäärittely.

Oman ongelmansa tuovat vielä sovellukset, jotka ovat vahvasti räätälöityjä, tai joita räätälöidään jatkuvasti organisaation tarpeiden muuttuessa. Ongelma on olemassa riippumatta siitä, onko kehittäjä yrityksen palkkalistoilla, vai ostetaanko kehitys ulkoa. Vastuukysymysten kirjallisesta sopimisesta on etua paitsi turvallisuusasioissa, mutta myös laajemmasta näkökulmasta katsottuna. Usein on sopimatta kokonaan, mitkä ovat esimerkiksi tekijänoikeudelliset rajaukset. Ulkoa ostetussa työssä on etenkin oltava tarkka siitä, kuka todellisuudessa tekee ohjelmiston kehitystä ja miten se on sopimuksissa ja jälleenmyyntioikeuksissa huomioitu. Usein ostaja tekee varsinaisen järjestelmäkehityksen toimittajan vain toimittaessa ohjelmointityötä.

Ohjelmistohankkeissa on syytä määritellä ainakin seuraavia asioita – tietenkin kirjallisesti.

1. Määrittele projektiorganisaatio ja johto selkeästi. Myös sidosryhmät ja heidän roolinsa on syytä tunnistaa ja kirjata. 

2. Kouluta ja opasta kaikki projektin kanssa tekemisissä olevat turvalliseen toimintaan. Kouluta myös organisaatiosi vaatimukset. 

3. Määrittele vastuut turvallisuudessa ja valitkaa ainakin yksi vastuuhenkilö, joka koordinoi turvallisuuteen liittyviä kysymyksiä. Myös palkkiojärjestelmän käyttöä on syytä miettiä. 

4. Sopikaa hyväksyntämenettelystä ja tarkistuksista ennen tuotantoonvientiä. Näin varmistetaan, ettei mitään keskeneräistä viedä häiritsemään organisaatiosi toimintaa. 

5. Ja viimeisenä – dokumentoi, dokumentoi ja dokumentoi. Tehty työ, virheet, häiriöt, saavutukset, muutokset – ihan kaikki. Juuri se vastaanottotarkistuksen merkkityksettömimmältä tuntuva asia voi olla huomenna liiketoimintasi suurin este.

keskiviikko 6. lokakuuta 2010

Onko kumppanisi suurin riskisi?

Globaalin taloustilanteen ailahdellessa viimevuosina, yritysten turvallisuustoimintojen jatkuvuus häilyy kahden voiman välissä. Tietoturvallisuuden merkitys yrityksen koko liiketoiminnan jatkuvuuden kannalta ymmärretään yritysjohdossa entistä paremmin ja sitä arvostetaan, mutta tiukka taloustilanne ja varovaisuus investoinneissa on tuonut mukanaan uusia haasteita.

Global State of Information Security Survey 2011® on kahdeksatta kertaa toteutettu maailmanlaajuinen yritysten tietoturvallisuustoimintojen tilaa selvittänyt tutkimus, joka perustuu lähes 13 000 johtavassa asemassa olevan henkilön vastauksiin yrityksensä tilasta. Viimevuosien heikko taloustilanne ja siitä selviämien on nostanut turvallisuustoimintojen merkityksen tärkeyttä yritysjohdon silmissä. Varovaisuus investoinneissa sekä kustannusten leikkaaminen on kuitenkin johtanut turvallisuustoimintojen heikkenemiseen, sekä kykenemättömyyteen varautua muuttuviin uhkiin. Yrityksissä on nipistetty esimerkiksi työntekijöiden taustaselvitysten tekemisessä, sekä turvallisuuskoulutuksen järjestämisestä henkilöstölle. Juuri tästä syystä huoli onkin enenevässä määrin kääntynyt yritysten yhteistyökumppaneiden ja toimittajien suuntaan. Kuinka pahasti taloustilanne on heitä heikentänyt ja onko kustannussäästöjä haettu väärästä paikasta, turvallisuuden kustannuksella? IT- ja turvallisuuspalveluita ulkoistettaessa kumppanin tunteminen onkin entistä tärkeämpää, sillä kumppanisi riskit voivat olla sinun riskejäsi.

  • Kuinka tietohallinto on järjestetty yrityksesi ja kumppanisi välillä ja kuinka toimintaa valvotaan? 
  • Onko kumppanisi ympäristöä ja toimintaprosesseja auditoitu. Tiedätkö kuinka ja missä tietojasi säilytetään. Tiedätkö ketä kumppanillasi on töissä ja onko heidän taustojaan tarkistettu? 
  • Ovatko kumppanisi toimintaprosessit linjassa yrityksesi turvallisuus-strategian tai lakisääteisten määräysten kanssa? 
Voimakkaimmin kasvavan ja huonoimmin yrityksissä huomioidun riskin aiheuttavat kasvavat sosiaaliset verkostot, sekä vuorovaikutteisemmaksi muuttuvat netin sovellukset. Mahdollisiin maineriskeihin tai tietovuotoihin voitaisiin varautua hyvinkin edullisin investoinnein koulutuksen ja käyttöpolitiikan avulla, mutta silti 77% yrityksistä ei ole varautunut uusiin uhkakuviin lainkaan. Toteutuneiden uhkien tekemät vahingot tiedetään kuitenkin paremmin ja tehostunut seurantaa paljastuu hälyttäviä lukuja: 20% yrityksistä raportoi toteutuneista taloudellisista menetyksistä, 15% tietovarkauksista ja 14% toteutuneista brändi- tai mainehaitoista. Yksityiskohtaisempaa tietoa tutkimuksesta löytyy alta ja koko englanninkielisen dokumentin voi ladata osoitteesta http://www.pwc.com/giss2011 

Investoinnit ja budjetit: Tasapainoilua varovaisuuden ja optimismin välillä.


Investointimahdollisuudet ovat tiukassa. Lähes puolet vastanneista kertoi lykänneensä tänä vuonna turvallisuuteen liittyviä ensisijaisen tärkeitä investointeja. Selkeä viesti kuitenkin on, että tilanne on muuttumassa ja erityisesti lyhyen aikavälin projekteihin investoidaan jo herkemmin. Innostavana merkkinä optimistisesta suhtautumisesta tulevaan kertoo myös se, että tulevan vuoden investointien kasvua povaa 52% vastanneista. Luku on suurin sitten vuoden 2005

Mahdollisuudet ja riskit: Trendit ovat liian voimakkaita huomiotta jätettäviksi.

Viimeisen kolmen vuoden aikana turvallisuustoimintoihin investoiminen on ollut voimakkaassa kasvussa. Yhä suuremmalla osalla yrityksistä on tehty esimerkiksi päätason strategia yrityksen tietoturvallisuuden takaamiseksi, toimintaprosessit poistuvien laitteiden hävittämiseksi, ympäristön auditointi teknisellä tasolla jne. Vuonna 2010 kasvu on kuitenkin pysähtynyt ja kääntynyt paikoin jopa laskuun. Erityisesti uusien työntekijöiden taustaselvityksen tekemiseen, sekä työntekijöiden tietoisuuden lisäämiseen turvallisuusuhkista kiinnitetään yhä harvemmin huomiota.

Tietoisuus toteutuneiden turvallisuusuhkien vaikutuksista liiketoimintaan tunnetaan kuitenkin paremmin kuin koskaan. Vuonna 2007 40% vastanneista ei tiennyt kuinka monta uhkatilannetta yrityksessä on ollut viimeisen 12kk aikana. Tänä vuonna vastaava luku oli 23%. Kun seuranta tehostuu, paljastuu hälyttäviä lukuja: 20% yrityksistä raportoi toteutuneista taloudellisista menetyksistä, 15% tietovarkauksista ja 14% toteutuneista brändi- tai mainehaitoista.

Paineita turvallisuustoimintoihin investoimiseen siis on. Ei vain niiden ylläpitämiseksi, vaan tehostamiseksi ja ydinliiketoimintaa paremmin tukevaksi. Selkeä muutos tänä vuonna onkin, että turvallisuustoimintojen seuranta on siirtymässä yhä tiukemmin pois IT-osastoilta ja operatiiviselta puolelta liiketoimintajohdolle ja yrityksen korkeimmille päättäjille.

Uudet painopisteet: Mistä löytyvät nousevat uhkatekijät?

Verkostoitumisen ja pilvipalveluiden yleistyessä tiedon suojaaminen eri sovellusten, verkkojen ja laitteiden välillä on yrityksille suuri haaste, mutta nopeimmin kasvava uhka tulee erilaisista sosiaalisista verkostoista. Suurimpia sosiaalisen median luomia riskejä ovat tietovuodot, mahdolliset maineriskit, laittoman materiaalin lataamisen aiheuttamat mahdolliset vastuutekijät, sekä identiteettivarkaudet. Vain harva yritys on varautunut näihin uhkiin riittävällä tavalla. 77% yrityksistä ei omaa minkäänlaista käyttöpolitiikkaa sosiaalisen median suhteen tai toiminnallisempien nettisovellusten käyttöön (web 2.0). Kyse on strategiasta, jonka käyttöönotto on lähes ilmaista!

63% yrityksistä ei myöskään omaa mielestään tehokasta toimintasuunnitelmaa uhkatilanteiden toteutumisen varalta. Lähes puolella vastanneista (46%) on myös olemassa vakuutus joka suojaa tietovarkauksilta ja väärinkäytöksiltä. 17% heistä oli hakenut korvauksia ja 13% oli saanut niitä.

Aikuisviihdesivustot turvallisempia kuin Facebook

Erilaiset netissä leviävät haittaohjelmat ovat nykyään niin yleisiä, että käyttäjät törmäävät niihin todennäköisemmin suosituilla ja moraalisesti hyväksyttävillä sivustoilla vieraillessaan kuin porno- tai pelisivustoilla. Näin kertoo viimeviikolla julkaistu Websensen tutkimus.

Haittaohjelma livahtaa koneelle yhä useammin turvalliseksi ja hyväksyttäväksi mielletyn sivuston kautta. Yleisenä ja tunnettuna esimerkkinä mainittakoon Facebook, jonka "like" sovelluksen kautta leviävät haittaohjelmat ovat yhä yleisempi riesa.

Tutkimuksen mukaan vain klikkauksen tai parin päässä haittaohjelmista sijaitsee: 

  • Yli 70% netin suosituimmista uutis- ja mediasivustoista. 
  • Yli 70% suosituimmista keskustelufoorumeista 
  • Yli 50% sosiaalisen median yhteisösivustoista. 

Lisäksi tutkimuksen mukaan hakukoneiden suosittujen hakuehtojen listoille pyrkiminen on riskisivustojen perusteella kaksinkertaistunut pelkästään alkuvuoden aikana. On siis todennäköisempää, että onnistut saastuttamaan koneesi etsimällä sivustoja esimerkiksi jääkiekon SM-liigaan viittaavia hakusanoja käyttäen kuin eroottista sisältöä etsiessä.

Haittaohjelmat eivät enää sijaitse sivustoilla itsessään vaan löytyvät usein linkin tai kahden päästä, jonkin sivuston sisällöntuotantoon osallistuvan tahon kautta. Virustorjuntasi saattaa siis pitää sivustoa täysin luotettavana, mutta olet vain klikkauksen päässä tartunnasta.

Sivustojen jakaminen turvallisiin ja vaarallisiin on siis jo täysin turhaa. Vaaroja vaanii verkossa kaikissa väreissä ja muodoissa, eikä turvallisuutta löydetä kieltämällä erinäisten web-sivustojen selailua. Vaarojen tiedostaminen, turvallinen ja vastuullinen koneen käyttö, sekä selkeä toimintaohjeistus ja koulutus ovat ainoita tehokkaita keinoja, joilla tämän päivän uhkia vastaan voidaan tehokkaasti suojautua.

Vielä hieman triviatietoa facebookista:

Noin 40% kaikista status -päivityksistä facebookissa sisältää linkin ja tällä hetkellä joka kymmenes näistä linkeistä on joko roskapostia, tai haittaohjelmia.

Hälytyskellojen pitäisi siis soida, ennenkuin painat sitä "Voi paska, katso miten kävi kun isä näki tyttärensä webcam-esityksen" -linkkiä. Haksahtaneita suomalaisia on jo lähes 100 000, kertoo tietokone -lehti

lauantai 2. lokakuuta 2010

Pilvipalvelut ja turvallisuus - Osa 2

Jari pohti pilvipalveluista kertovan artikkelisarjan ensimmäisessä osassa ulkoistukseen liittyviä ongelmia yritysturvallisuuden näkökulmasta. Tässä osassa on tarkoitus keskittyä hieman tarkemmin toimintaympäristön teknisiin ratkaisuihin, jotka on hyvä ottaa huomioon palveluiden ulkoistamista suunnitellessa. Palveluiden ulkoistamisesta neuvoteltaessa keskustelu toimittajan kanssa jää helposti palvelutarjoajan laiteympäristön hehkutuksen ympärille. Elämää suuremmat laiteympäristöt (joita ne varmasti toimittajan mukaan aina ovat) ovat kuitenkin vain kortin toinen puoli. Se toinen, oleellisesti tärkeämpi, on se kuinka ympäristön hallinta on nykyisessä ympäristössäsi ja toimittajasi ympäristössä järjestetty. Mikäli toimittaja ei tunne yrityksesi nykyistä tilannetta ja esimerkiksi sen käyttövaltuushallinnan prosesseja, ei turvallista toimintaa voida taata minkääntasoisessa pilvi-ympäristössä.

perjantai 1. lokakuuta 2010

IT-katkot vaikuttavat liikevaihtoon

IT-katkot maksavat menetettynä liikevaihtona suomalaiselle yli 50 henkeä työllistävälle yritykselle keskimäärin 200 000 € vuodessa. Menetysten estämiseksi on keinoja, mitkä voidaan lukea tavanomaisten riskienhallinnan toimenpiteisiin.
Yritysten riippuvuus tietojärjestelmiä on nykyisin sitä tasoa ettei toimintaa useinkaan voida jatkaa edes puolittain ilman niitä. Tämän vahvistaa myös IT-yhtiö CA Technologiesin teettämän raportti, minkä mukaan suomalaiset yritykset menettävät IT-katkojen takia vuosittain noin 440 miljoonaa euroa liikevaihtoaan. Tietojen varmistaminen on yrityksissä on kuitenkin sellaisella tasolla ettei tietojen katoaminen ole enää suurin haittatekijä vaan ensisijaiset syyt liikevaihdon menetykseen ovatkin katkojen pituudessa sekä katkojen yleisyydessä. IT-osastot ovat vuosien ajan kehittäneet varmistusjärjestelmiä sillä teratavujen mittoihin paisuneet datamäärät ovat vaatineet järjestelmien kapasiteetin ja tallennusnopeuden kasvattamista. Kehitystyön keskittyminen kaikkien tietojen varmistamiseen ilman suurempaa pohtimista liiketoiminnan jatkuvuudesta on jättänyt aukon jatkuvuuden hallintaan.

IT-katkojen ehkäiseminen ja toipumiseen kuluvan ajan vähentäminen kannattaa aloittaa riskien tunnistamisesta ja analysoinnista. Liiketoimintakriittisten järjestelmien ja niihin kohdistuvien uhkien kartoittaminen auttaa kohdistamaan toimenpiteet tehokkaasti.  Suunnittelemalla toimintatavat ja komponentit oikealla tavalla, voidaan jo pienillä investoinneilla parantaa järjestelmien häiriöttömyyttä ja yrityksen toiminnan jatkuvuutta.

Tähtäimessä teollisuus

Virukset ovat olleet kaikkien yritysten ja toimialojen riesa, joilla tietokoneita ylipäätään on käytetty. Keskustelu Stuxnet -viruksesta on siirtänyt huomiota nyt myös toimistoista teollisuushalleihin virusuhkakuvan muuttuessa.

IT-viikko kirjoittaa artikkelissaan maailmalla, etenkin Iranissa, levinneestä Stuxnet-viruksesta. BBC on nyt julkaissut epäilyjä siitä, että virus oli kohdistettu Bushehrissa sijaitsevaa ydinvoimalaa vastaan. Virukseen liittyy paljon muutakin huomionarvoista ja poikkeavaa, mutta se kertoo myös virustehtailun muutoksesta.

Vielä tänä päivänä toteutuneen virusongelman vahingot realisoituvat melkein välittömästi. Koneet ovat käyttökelvottomia tai hitaita, tuotanto seisoo, kuljetukset viivästyvät tai salasanat vuotanut käyttäjätili on pois käytöstä. Stuxnet taas on perinteisiin viruksiin nähden paljon pelottavampi. Virus sisältää toiminnallisuutta, jolla tuotantolaiteita voidaan ohjata tai parametroida uudestaan. Mitään ei näy päälle päin, työt jatkuvat kuten ennenkin, mutta jokin on huomaamatta muuttunut.

Miltä kuulostaa tilanne, jossa turvallisuuskriittinen toimiala - esimerkiksi ilmailuteollisuus, ydinvoimatuotanto tai sotateollisuus - tilaa alihankintana tavaraa, jonka laadusta ei olekaan taetta. Esimerkiksi turvajärjestelmien osia, kiinnityspultteja tai vaikkapa ydinvoimalan betonia valmistettaessa alihankkijan järjestelmät ja laadunvalvonta väittää kaiken olevan kunnossa, mutta pultti onkin oikeasti ohuempi, betoni heikkolaatuisempaa tai turvallisuusjärjestelmässä on haavoittuvuus jo kokoonpanolinjalla. Ja ikävä kyllä ne teollisuushallien päätteet ovat useimmiten ne, joita kaikkein vähiten päivitellään.

Onko joku joskus kuullut lauseen "Ei siihen tietokoneeseen kannata koskea, kun siinä on tuon tuotantojärjestelmän ohjaus ja se voi mennä vikaan päivityksestä..."...?

tiistai 28. syyskuuta 2010

Selainhistoria kuuluu tietosuojan piiriin

Sähköpostien seurannan osalta ollaan jo organisaatioissa tarkempia, mutta monelle on vielä uutta, että myös käyttäjän selainhistoria on tietosuojan piiriin kuuluvaa tietoa. Se, että tietokone ja selain ovat työnantajan omaisuutta, ei muuta tätä.

Meille tulee hyvin paljon kyselyjä siitä, voiko työnantaja tai yhteisötilaaja tutkia web-selaamisesta syntyvää historiaa. Sähköisen viestinnän tietosuojalaissa sanotaan selvästi Internet-selaamisesta syntyneistä tiedoista. Jostain syystä kuitenkin kentällä kuulee koko ajan, että eihän web-selaaminen ole viestintää. Laissa tämä on kuitenkin yksiselitteisesti määritelty.
SVTSL 2 luku Yksityisyyden ja luottamuksellisen viestin suoja 4 §Viestin, tunnistamistietojen ja paikkatietojen luottamuksellisuus Viesti, tunnistamistiedot ja paikkatiedot ovat luottamuksellisia, jollei tässä tai muussa laissa toisin säädetä. Viesti ei ole luottamuksellinen, jos se on saatettu yleisesti vastaanotettavaksi. Viestiin liittyvät tunnistamistiedot ovat kuitenkin luottamuksellisia. Verkkoviestin tunnistamistietojen luovuttamisesta säädetään sananvapauden käyttämisestä joukkoviestinnässä annetun lain (460/2003) 17 §:ssä. Edellä 1 momentissa säädetty koskee myös verkkosivustojen selaamisesta kertyviä tunnistamistietoja.

Keinot Internet-selaimen käytön kautta tulevien ongelmien ja riskien eliminoimiseksi on oltava proaktiivisia ja automaattisia. Kun jotain on tapahtunut, on myöhäistä ihmetellä, ellei organisaatio ole huolehtinut sähköisen viestinnän tietosuojalain velvoitteista. Organisaatioilla on mahdollisuus tutkia väärinkäytöksiä myös jälkeenpäin, mutta se edellyttää tiettyjä toimia etukäteen. Käytännössä kyse on allaolevista toimenpiteistä: 

1. huolehtimisvelvollisuus (SVTSL 13 b §) 
2. suunnittelu- ja yhteistoimintavelvoite (SVTSL 13 c §) 
3. ennakkoilmoitus tietosuojavaltuutetulle (SVTSL 13 i § 1 momentti) 



tiistai 21. syyskuuta 2010

Järjestelmä muistaa

Tiedon elinkaaren viimeinen vaihe on hävittäminen tai pysyvä arkistointi. Henkilötietolaki taas määrittelee rekisterin hävitettäväksi kun se lakkaa olemasta tarpeellinen. Tästä huolimatta tietojärjestelmiin tallennetut rekisterit muistavat turhia ja vanhentuneita asioita vuosienkin takaa. Tämä kävi hyvin ilmi saatuani yllättävän kirjeen parisen viikkoa sitten.

Asioin erään tunnetun valtion viraston kanssa ensimmäistä kertaa vuonna 1998 silloisen asuinpaikkani toimipisteessä. Asiakkuuteni oli lyhyt ja päättyi jo kahden viikon kuluttua. Tiemme kohtasivat jälleen viime syksynä, tällä kertaa eri paikkakunnalla, ja asiakassuhde syntyi uudestaan. Olen ollut kyseisen viraston asiakkaana nyt siis noin vuoden ja sain heiltä pari viikkoa sitten ihmetystä herättävän kirjeen. Kirjeessä kyseinen viranomainen tiedotti heidän luovuttaneen minua koskevaa tietoa toiselle kaikkien suomalaisten elämää sivuavalle viranomaisella. Tämä ei sinällään ole ihmeellistä, mutta kirjeessä mainittu toimipiste sijaisee paikkakunnalla missä asuin 12 vuotta sitten. Selvittelin asiaa puhelimitse ja minulle kerrottiin että asiakkuuteni on elänyt heidän järjestelmässään reilun 10 vuotta ja siksi myös automaattiset tiedotteet muille viranomaisille ovat säilyneet. Jotenkin ajatus henkilökohtaisten mutta vanhentuneiden tietojen säilymisestä jossain konesalin uumenissa näin pitkään tuntui kiusalliselta ja päätin ottaa yhteyttä tietosuojavaltuutetun toimistoon. Neuvonnan mukaan yksiselitteistä lakimääräistä aikaa tietojen hävittämiseen ei ole ja tietoja voidaan säilyttää jos se katsotaan tarpeelliseksi toiminnan kannalta. Neuvonta kuitenkin muistutti että joissain tapauksissa voi asian tarkemmin määritellä kyseistä viranomaista koskeva laki. Pienen tutkinnan jälkeen minulle selvisi että tähän tapaukseen todellakin löytyy erillinen laki, minkä mukaan tiedot tulisi poistaa viiden vuoden kuluttua asiakkuuden päättymisestä. Aikaisemmasta asiakassuhteestani ei siis pitäisi olla mitään jälkiä kyseisen viranomaisen rekistereissä. Järjestelmä todellakin muistaa ja tämän vuoksi rekistereitä ylläpitävän organisaation tulisikin selvittää vastuunsa alusta loppuun. Useimmiten loppuosa jää kaikessa perustamisvaiheen tohinassa unholaan ja kaikenlaiset tiedonjyväset jäävät elämään omaa elämäänsä verkkolevyjen ja tietokantojen syvyyksiin. Tarina jatkuu ja palaan aiheeseen saatuani vastauksen tietojani säilyttäneeltä viranomaiselta.

tiistai 14. syyskuuta 2010

Kenelle sinä luovutat yrityksesi avaimet?

Kun yritys hankkii rikosilmoitinjärjestelmää tai lukituksia, on tavallista kysyä turvasuojaajahyväksyntää asentajalta. Kun seuraavaksi taloon saapuu nörtin näköinen kaveri, joka pyytää yrityksen pääkäyttäjän salasanaa, luotetaan pelkkään kolapulloon ja suuren tietotekniikkavalmistajan T-paitaan.

Laki yksityisistä turvallisuuspalveluista määrittelee turvasuojaustehtävän seuraavasti (LYTP 282/2002):
Tässä laissa tarkoitetaan..

18) hyväksymistä edellyttävällä turvasuojaustehtävälläturvasuojaustehtävää, johon liittyy pääsy sellaisiin toimeksiantajan turvallisuusjärjestelyjä koskeviin luottamuksellisiksi määriteltyihin tietoihin, joiden avulla on mahdollista tunkeutua tai olennaisesti helpottaa tunkeutumista toimeksiantajan hallitsemaan ulkopuolisilta suljettuun paikkaan;

Laki lähestyy turvallisuutta siis täysin fyysisen turvallisuuden näkökulmasta. Monen yrityksen kilpailutekijät ovat kuitenkin tänä päivänä muualla kuin omaisuudessa. Palveluyritykset, asiantuntijayritykset, julkishallinto ja tuotekehitys eivät välttämättä arvosta kovin pitkälle tietokoneen hankintahintaa, mutta tieto, jota sillä käsitellään on usein korvaamatonta. Siksi on ihme, että usein luotetaan toimittajan epämääräisiin vihjailuihin "hankkeista suuren suomalaisen maanpuolustukseen liittyvän toimijan kanssa" tai epämääräisiin taustatarkistusvakuutteluihin, joista ei vaadita edes mustaa valkoisella.

Vaikka laki ei pakota huomioimaan IT-ympäristöä ja toiminta olisi kiinni vain omaisuudessa, on huomattava eräs asia. IT-ympäristöstä käsin ohjataan tänä päivänä lähes kaikkea fyysisessäkin ympäristössä. Sillä samalla pääkäyttäjän salasanalla on pääsy kiinteistönohjausjärjestelmiin ja usein jopa rikosilmoitinjärjestelmiin. Ja vaikka hallinta ei onnistuisi, lamauttaminen voi olla jopa lapsellisen helppoa. Niinpä usein pääsy tietojärjestelmiin tarkoittaa myös pääsyä fyysisiin tiloihin.

Kun organisaatio luovuttaa pääsyoikeuden ulkopuoliselle toimijalle, on varmistuttava myös käsittelijästä. Vakuuksia voi antaa viranomainen, toimittaja tai vastuut sanktioineen voidaan määritellä sopimustasollakin. Tärkeintä on, että ne on huomioitu - vaihtoehtoja löytyy.

maanantai 13. syyskuuta 2010

Pahojen työntekijöiden ongelma

Monilla organisaatioilla on ilmeisesti pahojen ja ilkeiden työntekijöiden ongelma. Heinäkuussa julkishallinnolle kohdistettu tutkimus Yhdysvalloissa kertoo, että 59% turvallisuusasiantuntijoista pitää henkilöstöään suurimpana uhkana organisaatiolleen.

Nextgov esittelee artikkelissaan yhteenvedon heinäkuussa tehdystä tutkimuksesta, jonka mukaan yli puolet organisaatioista pitää henkilöstöään edelleen suurimpana riskinä IT-turvallisuudelle. Tätä samaa on toisteltu jo pitkään, joskin onneksi yhä vähemmän koko ajan. On totta, että suurin osa väärinkäytöksistä ja tiedonhankinnnasta kohdistetaan yhä useammin henkilöstöön, kuten tässäkin blogissa on useaan kertaan todettu. Kuitenkin puhuminen henkilöstöstä riskinä ohjaa mielestäni huomion pois itse ongelman aiheuttajasta.

Tuskin missään organisaatiossa työskentelee henkilöitä, joista suurin osa ei välitä turvallisuudesta tai haluaisi vahingoittaa omaa organisaatiotaan. Oman työympäristönsä vaarantaminen on aina myös oman henkilökohtaisen turvallisuuden vaarantamista. Kun ottaa huomioon, miten korkealla ovat turvallisuuden tarpeet ihmisen tarvehierarkiassa, en usko kenenkään vapaaehtoisesti tai mielellään vaarantavan omaa organisaatiotaan. Ja kuten monista lähteistä voi todeta, on turvallisuusohjeiden ohittaminen yleensä tiedon puutteesta johtuvaa. Joko riskejä ei nähdä, seurauksia ei tunneta tai ohjeistus on niin monimutkainen ja irrallaan toiminnasta, että sen noudattaminen on käytännössä mahdotonta.

Todellisuudessa kysymys on siitä, että organisaatio ei hallitse turvallisuusympäristönsä sosiaalista ulottuvuutta. Henkilöstöstä ja työntekijöistä on pidettävä huolta samoin kuin järjestelmäpäivityksistä. Heidänkin tietojajaan täytyy kartuttaa, kerrata ja päivittää sekä sisäisen motivoitumisen saavuttamiseksi vuorovaikutusta merkittävistä asioista on oltava säännöllisesti. Koulutukset, keskustelut, riskien analysointi ja siitä tiedottaminen ovat avaintekijöitä. Turvallisuusohjeet on kyettävä sitomaan normaalitoimintaan ja konkretisoimaan siten, että ihmisillä on mahdollisuus toimia oikein.

Kun organisaatio hankkii tuotantolaitteita, tehdään ylläpitosuunnitelmat ja tarvittaessa huoltosopimukset, koska laitteet ovat investointeina yritykselle tärkeitä. Onhan teillä jalkautettu laatukäsikirjan mapeista myös suunnitelmat henkilöstön osaamisen, hyvinvoinnin ja tehokkuuden kehittämiseksi? Teidänkin organisaatiossanne työskentelee alanne ammattilaisia ja asiantuntijoita, jotka haluavat tehdä laadukasta työtä, kehittää ja kehittyä. Tarjoaako organisaationne siihen mahdollisuuden?

Loppuajatuksena:

"Osallisuus ei ole sitä, että osallistuu johonkin, vaan sitä, että syntyy kokemusta siitä, että kuuluu johonkin." (Juha Kreus, 2009, osallistujan kommentti sisäisen turvallisuuden seminaarissa 29.1.2009). Tätä kautta kasvaa myös vastuuntunto ja motivaatio.

maanantai 30. elokuuta 2010

Kuka saa selvittää tietorikoksia?

Ympäristön valvonta on oltava sillä tasolla, että tietorikos havaitaan ja tunnistetaan rikokseksi. Aina näin ei ole. Ja kuka sen lain mukaan saa varmistaa niin, että materiaali on laillisesti hankittu ja sillä on tarvittava painoarvo oikeudessa?

Tietorikosten hankaluus verrattuna omaisuusrikollisuuteen on usein sen varmistaminen, että onko mitään todella tapahtunut. Kun organisaatiolta katoaa omaisuutta, sen käyttö tuotannossa estyy ja rikos paljastuu. Kun yrityksestä katoaa tietoa, ei sitä voi havaita pelkästään seuraamalla omaa toimintaa. Tiedon abstraktius, kopiointimahdollisuus ja monet siirtotavat tekevät koko asiasta yleensä erittäin vaikeasti lähestyttävän asian. Tämä on usein syynä myös siihen, miksi tietorikokset eivät usein tule viranomaisten tietoon. Tämä puolestaan vaikeuttaa rikollisuuden ennaltaehkäisyä.

Yhteistyö viranomaisten kanssa on erittäin tärkeää. Poliisin tehtävä on oikeus- ja yhteiskuntajärjestyksen turvaaminen ja parhaiten se onnistuu yhteiskunnan toimijoiden kanssa yhteistyössä. Ei ole kenenkään etu, jos organisaatioissa esimerkiksi yritysvakoilu, tietovarkaudet, luvaton resurssien käyttö ja muu rikollisuus jää havaitsematta. Tällöin myös ennaltaehkäisevä työ hankaloituu. Viranomainen selvittää tapauksia, jotka tunnistetaan rikoksiksi tai on syytä epäillä rikoksen tapahtuneen. Syy siihen, miksi ilmoitukset jäävät usein tekemättä, on epäily siitä onko mitään edes tapahtunut. Organisaatiolla itselläänkin on tiettyjä oikeuksia tehdä selvityksiä, edellyttäen, että ympäristö täyttää lain vaatimukset kaikilta osin. Organisaation ulkopuolelta ostettuna taas rikosten paljastamiseen liittyvästä työstä on Suomen lainsäädännössä yksielitteinen ohjeistus.

Tietorikoksia ei voi selvittää kuka tahansa tilauksen perusteella. Laki yksityisistä turvallisuuspalveluista (2002/282) määrittelee rikosten paljastamisen luvanvaraiseksi toiminnaksi. Käytännössä se tarkoittaa sitä, että rikosten paljastamista tekevä organisaatio on oltava sisäasiainministeriön hyväksymä ja tarkastama liike, jolla vartioimisliikelupa ja jonka henkilöstö on koulutettu ministeriön ohjeiden mukaan. Myös toimijan käyttämien alihankkijoiden on täytettävä nämä vaatimukset.

OpSec Oy sai poliisihallitukselta oikeudet tietorikosten paljastamiseen johtavaan tutkintaan 21.6.2010. Henkilöstömme on nyt kokonaan koulutettu; viimeisten osalta sisäasiainministeriön määrittelemät tentit suoritettiin viime viikolla ja koko henkilöstömme on valmiina palvelemaan asiakkaitamme. Toimintamme perustuu ehdottomaan luottamuksellisuuteen toimeksiantajamme ja meidän välillä. Mieluiten teemme kanssanne ennaltaehkäisevää työtä, mutta nyt olemme käytettävissänne myös silloin, kun jotain epäillään jo tapahtuneen.

Pilvipalvelut ja turvallisuus - osa 1

Pilvipalveluista, saati niiden turvallisuudesta, kirjoitetaan suomeksi vielä hyvin vähän. Vielä vähemmän siitä kirjoitetaan ymmärrettävällä suomen kielellä. Pilvipalvelut ovat vasta hakemassa muotoaan, eivätkä kaikki palveluntarjoajat puhu samasta asiasta, vaikka käytetyt termit olisivat samoja.

Tässä kirjoituksessa en käsittele sitä, mitä pilvipalvelut ovat. Pilvipalveluiden perusperiaatteesta löytyy kansankielinen kirjoitus esimerkiksi Louhen uudesta Pilvi.com –blogista. Pilvipalveluissa on yritysturvallisuuden näkökulmasta muutamia hyviä puolia, mutta myös ansoja, joiden mahdollisuus ostajan on tunnettava.

Positiivinen asia pilvipalveluissa yrityksen turvallisuusnäkökulmasta on ensisijaisesti rahallinen säästö. Oman ympäristön investointien sijasta maksetaan vain siitä, mitä käytetään. Toimialasta riippuen vaadittava skaalautuvuus voi tulla hyvinkin kalliiksi ja tuottamattomaan pääomaan rahan sitominen on aina riski. Etenkin kun oman infrastruktuurin kustannukset ovat aina suuria saavutettuun etuun nähden varsinkin PK-sektorilla. Pilvipalveluiden skaalautuvuus on myös teknisistä näkökulmista ehkä merkittävin päätösperuste. Kun resursseja tarvitaan, niitä löytyy, mutta vararesurssista ei tarvitse maksaa aikana, jolloin sitä ei tarvita ja kun tarvetta on, resursseja myös saadaan. Teknisiä hyötynäkökulmia on myös ympäristön hajautuneisuus. Hajautettua ja ”epäsymmetristä” ympäristöä vastaan on vaikeampaa kohdistaa minkäänlaisia koottuja hyökkäyksiä. Tällaisen ympäristön tiedustelu ulkopuolisena ja ympäristöstä kokonaiskuvan muodostaminen on myös hankalampaa.

Negatiivisiakin puolia on. Suurin on se, että palveluiden vasta kehittyessä ne eivät monellakaan palveluntarjoajalla ole vielä sitä mitä myyntimateriaalissa luvataan. Investointeja ei ole uskallettu tehdä, kun kysynnästä ei ole varmuutta. Tämä johtaa siihen, että esimerkiksi edullinen levytila on kahdennettu, mutta kaikki on silti yhden kytkimen takana. Fyysisiä tilojakin voi olla kaksi erillistä, mutta jos ne ovat samassa kiinteistössä saman varavoimakoneen takana, onko se todellinen kahdennus? Lisäksi pelkkä kahdennus ei ole sitä, mitä pilvipalveluilla tarkoitetaan, vaikka monet myyvätkin pilveä taustalla vain pari tuotantoympäristöä. Ja hallitseeko palveluntarjoaja todella kaiken kapasiteettinsa, vai voiko iso vika aiheuttaa sen, että muutamaan paikkaan keskittyvä kuorma kaataa loputkin palvelun tuotantolaitteet? Pahimmillaan tavoiteltu skaalautuvuuskaan ei ole välitöntä ja automaattista, vaan saattaa tapahtua hyvinkin pitkällä viiveellä henkilötyönä. Pilvipalveluissa ostajan on myös mahdoton tuntea ”naapureitaan” – riskianalyysiin vaikuttaa melkoisesti kohteen houkuttelevuus, mutta pilvestä ostettaessa ei ostaja salassapitovelvoitteiden vuoksi saa tarvittavaa tietoa analyysin tekemiseksi.

Kaikkein suurin ongelma on kuitenkin auditoitavuus; ostajan on lähestulkoon mahdotonta selvittää mitä hän todella ostaa. Etenkin ilman teknistä tietotaitoa on myyntikalvojen taustat todella vaikea selvittää. Aidosta pilvestä kannattaa hyötyjen puolesta maksaa enemmän, mutta jos palvelu ei ole aito, menevät rahat hukkaan. Myös turvallisuussertifiointeja varten tehtävissä tarkastuksissa joudutaan luottamaan usein vain palveluntarjoajan sanaan. Näin ollen riskit on kyettävä hallitsemaan enemmän ja enemmän sopimustasolla, mikä taas vaatii hyvää IT-alan osaamista.

Ja se varasuunnitelma, sen varalle, kun jotain tapahtuu. Edes pilvi ei pelasta jatkuvuussuunnittelulta, koska varmaa ei ole tässäkään trendissä mikään.

lauantai 28. elokuuta 2010

Tietorikosten ennaltaehkäisy

Fyysinen turvallisuus, toimitilaturvallisuus ja omaisuuden suojaaminen on pääsääntöisesti hyvin hoidettu joka organisaatiossa. Tiedon abstraktius vaikuttaa usein siihen, että vaikka halua suojaukseen olisi, on asian lähestyminen usein monimutkaista.

Tehokkain tapa on kehittää tietojärjestelmiin ja infrastruktuuriin selkeä ja kattava omavalvontajärjestelmä, joka ei vain seuraa normalitoimintaa, vaan ottaa huomioon myös poikkeukset. Ne ovat niitä, joista rikokset usein helpoiten tunnistaa. Tärkeää on myös järjestelmäympäristön luominen sellaiseksi, että mahdollisissa epäilyissä voidaan pureutua syvemmälle omaan toimintaan. Perustasolla ennaltaehkäisy alkaa kolmivaiheisella prosessilla – tietenkin edellyttäen, että riskianalyysit on tehty ja suojattava tieto tunnistettu. Tästä enemmän Riskienhallintaa PK-yrityksissä -jutussani. 

1. Esimerkiksi kysymykset kuten tuotetaanko lokitiedostoja, mistä, kauanko niitä säilytetään ja mitä niihin kerätään, ovat lähtökohtaisia kysymyksiä seurannan toteuttamiseksi. Tässä usein myös tarkennetaan sitä, mitä kaikkea organisaation loogisessa ympäristössä todella on. 

2. Seuraava kysymys on lainmukaisuus. Organisaatioilla ei ole oikeutta kerätä mitä tahansa tietoa mistä tahansa. Myös säilytysvelvollisuudet sekä käsittelyvelvollisuudet ovat lakiin kirjattuja asioita. Henkilöstön ja asiakkaiden turvallisuus sekä heidän tietosuojansa ovat perusoikeuksia, joiden osalta laki on ehdoton. Seurannan on oltava tarkkaa, mutta käyttökelpoisuutensa vuoksi myös lainmukaista, että rikoksen tapahduttua syytetyn penkillä on oikea taho. 

3. Kolmanneksi pohditaan tiedon analysointia. Se ei saa olla kuormittavaa eikä saa syödä resursseja enempää kuin mitä sillä saavutettava hyöty on. Missä käytetään automatiikkaa, missä jätetään manuaalisen haun varaan ja millaisia analyyseja halutaan? Esimerkiksi kulunvalvontajärjestelmän ja verkkokirjautumisten vertailu voi olla jossain hedelmällistä. Myös analyysitietoihin pääsy on mietittävä tarkkaan; kuka, miten, millä oikeuksilla ja missä tilanteissa. 

Avoin viestintä ei ole vain vastuullisesti toimivan organisaation merkki, vaan hyvin toteutettuna myös ennaltaehkäisee rikollisuutta ja sitouttaa henkilöstöä. Kukapa meistä ei haluaisi työskennellä turvallisessa ympäristössä?

lauantai 21. elokuuta 2010

Sosiaalinen hakkerointi – oletko sinä kohde?

Monet julkaisuistamme sivuavat yleistyvää ilmiötä nimeltä sosiaalinen hakkerointi (social engineering). Jos ilmiö ei ole tuttu, tarjoamme tässä lyhyesti johdannon aiheeseen ja muutamaan perusasian, joista voit epäillä olevasi kohteena.

Kuten edellisessä artikkelissa totesin, Sosiaalisella hakkeroinnilla tarkoitetaan sitä, kun teknisten järjestelmien sijasta pyritään manipuloimaan ihmisiä toimimaan halutulla tavalla. Tekniset suojaukset ovat monessa yrityksessä jo ajan tasalla ja useimmat ovat suojanneet jo yrityksensä teknisesti riittävällä tasolla. Tämä on pakottanut epärehellisissä aikeissa toimivat ihmiset miettimään uusia keinoja. Teknisten suojausjärjestelmien ansiosta täsmäiskujen tekeminen, jonkin ennalta määritellyn tiedon hankkiminen, on myös vaikeutunut. Arvokkaammat, siis myös kiinnostavimmat, osat on jo yleensä melko tehokkaasti suojattu. Mutta järjestelmäpäivitysten lisäksi olisi hyvä päivittää myös henkilöstön osaaminen

Sosiaalinen hakkerointi voi tapahtua puhelimitse, verkossa, yrityksen tiloissa tai jopa vapaa-ajallasi, mikäli työsuhteesi ja harrastuksesi voidaan päätellä julkisista lähteistä. Ja julkisista lähteistähän löytyy sinusta lähes kaikki tarpeellinen tieto, niin kuin Taloussanomien artikkelissahuhtikuussa todettiin. Siihen voit aina luottaa, että epärehellisissä aikeissa lähestyvä henkilö on aina tehnyt kotiläksynsä hyvin. Puhelimitse lähestyessä käytetään näennäisesti rehellisiä tekosyitä. Henkilö esittelee soittavansa oikealta yhteistyökumppanilta tai asiakkaalta, hänen tarinansa on uskottava ja hän näyttää pintapuolisen keskustelun perusteella tuntevan organisaatiosi ja sen toimintatavat hyvin. Yrityksen tiloihin saapuva vaikuttaa olevan oikealla asialla; sähkömiehellä on haalarit ja atk-huollon kaveri vaikuttaa varmasti nörtiltä ja hänellä on vähintään jonkin suuren IT-brändin paita päällään. Vapaa-ajalla peitetarina voi olla melkein mitä tahansa, mutta jotain piirteitä siitäkin on tunnistettavissa. Kohdehenkilön valinnassa hakkeri pyrkii välttämään päättävässä asemassa olevia tai erityisvastuussa olevia henkilöitä, joilla on eniten menetettävää.

Sosiaalinen hakkeri on aina kohtelias. Hän hoitaa asiansa jämäkästi, vaikuttaa itsevarmalta ja tuntuu tietävän mitä haluaa, mutta esiintyy nöyrästi ja mahdollisesti käyttää jopa imartelua apunaan. Hän tarjoaa sinulle aina jotain. Jos hän arvioi, ettei kehuminen riitä, se voi olla jokin pieni lahja joko sinulle tai yrityksellesi – ylimääräinen ateriakuponki, kilpailun voittopalkinto tai mikä tahansa muu asia, joka asettaa sinut kiitollisuuden velkaan. Hän haluaa sinulta jotain, mahdollisesti jopa hyvin pientä palvelusta. Varmaa on se, että selitys tälle hänellä on aina valmiina. Hänen pyyntönsä suostumatta jättäminen ei vaikuttaisi haittaavan muuten, mutta saattaisi esimerkiksi johtaa sosiaalisesti epämiellyttävään tilanteeseen joko sinun tai hänen näkökulmastaan. Hän vetoaa lähes aina tunteisiin. Painostaminen tai uhkailu on harvinaista, vaikka sitäkin voi esiintyä.

Kaikille tilanteille yhteistä on kuitenkin se, että yksityiskohdat eivät täsmää. Henkilökortti puuttuu, jokin tieto puuttuu, jokin on eri tavalla kuin yleensä, kyseessä on ”vakituisen työntekijän sijainen”, tai mikä tahansa muu syy sille, että jokin oleellinen tieto tai pääsyoikeus puuttuu. Yleensä kannattaa luottaa omiin vaistoihinsa, sillä vaikka syytä ei heti tunnista, ihminen yleensä vaistoaa poikkeavat tilanteet. Uskalla käyttää aikaa ja kysyä itseltäsi: ”Mikä minua tässä tilanteessa vaivaa?”

keskiviikko 18. elokuuta 2010

Haavoittuvuus yritysjohdossa?

Viimeksi esittelemämme turvallisuusmalli toi esiin, että suurin osa turvallisuusongelmista ja yrityksen haavoittuvuuksista johtuu välinpitämättömyydestä, tietämättömyydestä tai kuvitelmasta, että mitään ei satu minulle. Jokaisessa yrityksessä on lisäksi eräs henkilöstöryhmä, joka on erityisen haavoittuva näille.

Sosiaalinen hakkerointi on tänä päivänä varmin tapa hankkia luottamuksellisia tietoja tai saada käyttöönsä jonkun muun resursseja. Sosiaalisella hakkeroinnilla tarkoitetaan sitä, kun teknisten järjestelmien sijasta pyritään manipuloimaan ihmisiä toimimaan halutulla tavalla. Tekniset tavat ovat usein volyymiperusteisia, epävarmoja ja hyökkääjän on usein mahdoton ennalta tietää, mitä hän saa käsiinsä. Vaikka tarkkuus ja tehokkuus kasvaa, sosiaalisessa hakkeroinnissa on kuitenkin isompi kiinnijäämisen riski. Tämän vuoksi siihen liittyy usein ihmisen luontaisten toimintamallien tai vaistokäyttäytymisen hyväksikäyttö, mutta mukaan voi tulla myös pelottelu, painostus tai jopa uhkailu. Useimmiten meistä suurin osa menee kuitenkin siihen helpoimpaan – imarteluun ja kehumiseen.

Yrityksen johto on erityisen ongelmallinen ryhmä sosiaalisen hakkeroinnin uhreina. Näin sanoo Stratagem 1 Solutionsin tietohallintopäällikkö Jayson Street viime kuussa haastattelussaan. Hän esittelee neljä syytä, miksi johtajat ovat erityisen hedelmällinen kohde.

1. Johtajat kuvittelevat, että säännöt ovat muita varten
2. Johtajat uskovat, että tekniikka ja tietohallinto suojelevat heitä
3. Johtajat käyttävät usein viimeisintä teknologiaa
4. Johtajilla on perhe, joka ei tiedä, että voivat olla kohteita

Erivapaudet ja poikeamat tietohallinnossa ovat aina ongelmia. Useiden poikkeamien salliminen, erilaisten menetelmien ylläpito ja erilaiset käyttäjäryhmät vaikeuttavat kaikki ympäristön seurantaa ja valvontaa. Kaikkea sähköpostia ei vieläkään voida suodattaa täysin varmasti, vaikka viesti saapuisi yrityksen tärkeimmälle henkilölle. Viimeisin teknologia on usein kokemusten ja testauksen puutteen vuoksi suurin mahdollinen riski yrityksen tietohallinnolle. Ja jos yrityksen suojausjärjestelmät ehkä kestävätkin hyökkäykset, onko johtajan kotona oleva verkko samalla tasolla?

Johtajat ovat myös avainasemassa tuloksellisessa ja vaikuttavassa turvallisuustyössä organisaatioissa. Esimerkkinä oleminen on tärkeää, sillä henkilöstö omaksuu arvostukset ja työympäristön kulttuurin esimiehiltään ja ylemmiltään. Ja kun säännöt ja kulttuuri ovat ristiriidassa, kulttuuri voittaa aina. Mitä ei itse ole valmis tekemään, ei tule saamaan muiltakaan. Vaikka ohjeissa lukisi mitä.

torstai 12. elokuuta 2010

Koirankuola -turvallisuusmalli

Roger G. Johnston esitteli USENIX 2010 turvallisuussymposiumissa Washingtonissa turvallisuusmallin, joka useimmissa organisaatioissa on vielä käytössä. Kyseessä on malli, jossa on älykkyyttä ja maalaisjärkeä, mutta jossa niitä ei käytetä.

Dog snot security model –nimi tuli siitä, kun Johnston seurasi omia koiriaan, jotka lähtevät ulkona juoksevan oravan perään ja törmäävät kuistilla lasioveen kerta toisensa jälkeen. Tästä seuraa, että ikkuna on ennen pitkää koiran kuolassa. Kyse on siis toisin sanoen pään seinään lyömisestä kerta toisensa jälkeen. Useimmiten turvallisuuden osalta tapahtuneissa laiminlyöneissä on kyse samasta asiasta. Tietoa tai taitoa olisi ollut saatavilla, mutta jostain syystä sitä ei ole käytetty. Tämä ilmiö on meillä kotosuomessa myös hyvin tuttu.

Varsin tavallinen on myös ilmiö, jossa yritys ei tee minkäänlaista riskikartoitusta tai auditointia omasta turvallisuusympäristöstään ennakolta. Kun jotain tapahtuu, suoritetaan nopeasti täysin ylimitoitettuja ja riskiin nähden turhan kalliita toimia. Miltä kuulostavat turvakamerat, joista ei huonon resoluution vuoksi voi tunnistaa ihmistä? Tai erinomainen ja kallis palomuuri, jonka on konfiguroija ei ymmärrä yritysturvallisuudesta edes perusteita? Tai yrityksen pääkäyttäjätunnusten luovuttaminen henkilölle, joka ”vähän sivutoimenaan korjailee näitä tietokoneita”? Tyypillistä on myös, että alihankkijoiden, toimittajien tai omien suorittavan tason työntekijöiden taustoista ei olla millään tavalla kiinnostuneita.

Tyypillisimmät toteutuneet turvallisuusriskit liittyvät epäkohtiin, jotka jokaisessa yrityksessä osataan korjata. Lukitsemattomat ovet, salasanojen väärä säilytystapa, kokoustiloihin tavaroiden unohtaminen ja puhelinten hukkaamiset ovat edelleen niitä kaikkein yleisimpiä ongelmia. Ja varmasti jokaisessa yrityksessä näihin osattaisiin myös puuttua. Mistä sitten johtuu, että tämä malli on edelleen niitä käytetyimpiä, vaikka parempiakin olisi tarjolla?

torstai 5. elokuuta 2010

Myrskyn jälkeen

Suomalaisen pk-yrityksen riskianalyysissa eivät luonnonilmiöt useinkaan nouse kovin suureen rooliin. Viime aikaiset myrskyjen aiheuttaneet laajat sähkönjakelun ja tietoliikenneyhteyksien katkokset ovat kuitenkin herättäneet useammankin pohtimaan niitä uudestaan. 

Parin viikon aikana on luonto näyttänyt voimansa. Asta ja Veera myrskyt ovat katkoneet puita sekä heitelleet asuntovaunuja. Iltapäivälehtien lööpit ovat täyttyneet kauhukertomuksista, joiden kuvituksen perusteella voi vain ihmetellä ettei henkilövahinkoja ole tullut enempää. Kirjoitus hetkellä on viimeisimmästä myrkystä kulunut vajaa vuorokausi ja edelleen itäisessä Suomessa on yli 10000 taloutta ilman sähköä. Samalla ovat tietoliikenneyhteydet ja matkapuhelinverkot hiljentyneet. Näiden 10000 joukossa lienee myös yrityksiä ja yritysten toiminta on riippuvaista sähköstä. Tuotantolaitteiden lisäksi merkittävässä roolissa ovat tietotekniset järjestemät ja tietoliikenneyhteydet. 

Tekniset ratkaisut eivät ensi kädessä auta näin mittavien katkosten yhteydessä. Tietotekniikan sähkönsyötön ongelmia ehkäistään UPS-laitteilla mutta niiden kestävyys on kymmenistä minuuteista muutamaan tuntiin. UPSien pääasiallinen käyttökohde on kriittisen laitteiden suojaaminen lyhyt aikaisilta katkoksilta tai virtapiikeiltä. Seuraava aste on varavoimakoneet mutta niiden hankinta on harvalle pk-yritykselle järkevää. Pelkästään teknisten ratkaisujen sijaan tulisikin tarkastella yrityksen toimintoja laajemmin sillä IT-osasto tai laitetoimittaja ei sitä todennäköisesti ole tehnyt. Riskienhallintaa tehtäessä tulee määritellä yrityksen kriittisimmät toiminnot ja tietojärjestelmät sekä niihin kohdistuvat uhat. Tämän jälkeen voidaan pohtia miten niiden toimivuus voidaan järjestää myös poikkeustilanteissa. Riskienhallinnasta PK-yrityksissä voit lukea lisää Jari Latvalan kirjoituksesta

torstai 29. heinäkuuta 2010

Minulla on oikeus!

Käyttöoikeuksien asettaminen vastaamaan työtehtävien mukaisia tarpeita on erittäin tehokas keino ehkäistä niin tahallisia kuin tahattomiakin tietoriskejä. Oikeudet ovat oikealla tasolla silloin, kun käyttäjä voi tehokkaasti hyödyntää tietojärjestelmiä työssään mutta ne eivät mahdollista hänelle kuulumattomien tietojen käsittelyä tai järjestelmän asetusten muutoksia. Tästä huolimatta käyttöoikeudet on usein määritelty yksinkertaisella kaikille-kaikkea mallilla.

Ennen nykyistä Windows-sukupolvea oli käytössä merkkipohjainen DOS ja sen päälle rakennetut Windows 95 ja 98. Näiden järjestelmien käyttäjäoikeuksien hallinta oli puutteellinen eivätkä tuon aikakauden sovelluksetkaan juuri tukeneet käyttäjien toimien ja tiedonsaannin hallintaa. Järjestelmät ovat kehittyneet ja sovellusten tekijät ovat myös huomioineet muuttuneet tarpeet. Jostain syystä ylläpitäjät ja käyttäjät ovat kuitenkin jääneet kelkasta, ainakin asenteiltaan. Tämän havaitsee siitä että useilla meistä käyttäjistä on vieläkin palava halu saada järjestelmänvalvojan oikeudet vaikka se ei mitenkään ole työtehtävien tai käyttötarpeiden puolesta perusteltavissa. Tämä oikeuksien tarve on jotenkin sisäänrakennettu meihin tietotekniikan käyttäjiin ja käyttöoikeuksien rajaamiseen suhtaudutaan ynseästi. Toinen asenneongelman aiheuttaja on laiskuus. Vähäinenkin ylimääräinen vaihe, kuten käyttäjätunnuksen ja salasanan syöttäminen, koetaan sellaiseksi haitaksi että vanhoja toimintamalleja ollaan valmiita puolustamaan suurella työllä.

Käyttöoikeuksien asettamista puoltavat monet seikat, sillä niiden avulla voidaan esimerkiksi estää tietovuotoja, vähentää käyttäjien virheiden aiheuttamia ongelmia ja rajoittaa haittaohjelmien leviämistä. Jo nämä ovat riittävät syyt alkaa toteuttamaan asianmukaista käyttöoikeuksienhallintaa.

Työ kannattaa aloittaa tunnistamalla käyttäjät, tiedot ja järjestelmät. Seuraavassa vaiheessa määritellään soveltuvat oikeustasot käyttäjille tai käyttäjäryhmille. Lopuksi suoritetaan järjestelmien vaatimat toimet käyttöoikeuksien asettamiseksi. Onnistuneeseen operaatioon kuuluu myös käyttäjien kuuleminen ja asenteiden muokkaus käyttöoikeuksista saatavien hyötyjen kautta sekä tietenkin koulutus muuttuneen tilanteen osalta.

torstai 22. heinäkuuta 2010

Asetus tietoturvallisuudesta valtionhallinnossa

Valtioneuvosto antoi asetuksen tietoturvallisuudesta valtionhallinnosta 1.7 ja asetus astuu voimaan 1.10.2010. Mitä tämä tarkoittaa julkishallinnossa ja julkishallinnon kanssa toimiville yrityksille? Entä onko asetuksesta hyötyä yksityisyrittäjälle?

Asetuksen tavoitteena on yhtenäistää käytäntöjä sekä lisätä asiakkaiden ja sidosryhmien luottamusta valtionhallintoon. Asetuksen sisältö koostuu kahdesta vaatimuksesta organisaatioille 

1. Yleisistä tietoturvallisuusvaatimuksista 
2. Asiakirjojen luokittelun perusteista ja käsittelyohjeista

Yleiset tietoturvallisuusvaatimukset eivät sinällään tuo mitään uutta. Vaatimukset ovat tuttuja jo hyvään tiedonhallintatapaan perehtyneille organisaatioille. Näiden ohjeiden mukaan tietoturvallisuuden toteuttamisessa on esimerkiksi suoritettava riskikartoitukset, määriteltävä tiedon käsittelymenetelmät ja vastuut, noudatettava käsittelyssä tarpeellisuusperiaatetta ja huolehdittava käsittelyssä ja säilytyksessä riittävistä turvallisuustoimista. Lisäksi henkilöstö on ohjeistettava ja koulutettava sekä annettujen ohjeiden toteutumista on valvottava. Tämän perustason saavuttamiselle on määritelty kolmen vuoden siirtymisaika.

Jokaisessa organisaatiossa liikkuu eritasoista tietoa jonkin tiedon ollessa erityisen kriittistä ja jonkin toisen taas ollessa vähemmän tärkeää. Asiakirjojen luokittelulla pyritään siihen, että informaation käsittelylle organisaatiossa on olemassa selkeät toimintaohjeet eritasoisesti luokitellulle tiedolle. Tietojen luokitukseen perustuvan ohjeistuksen on katettava koko tiedon elinkaari organisaatiossa asiakirjan luomisesta sen hävittämiseen asti. 

Luokittelu on neliportainen ja vastaa siten kansainvälisiä käytäntöjä. Asetus koskee yhtä lailla paperista, mutta myös sähköistä aineistoa sen formaatista riippumatta.

Valtionhallinnon kanssa toimivien sidosryhmien on hyvä tuntea kyseisen asetuksen sisältö, etenkin yrityksissä, joissa viranomaisten tietoa käsitellään. Vaatimukset koskevat tiedon käsittelyä myös esimerkiksi IT -alan palveluyrityksissä. Asetuksen vaatimusten käyttöönotto yksityisyrityksissä ei ole turhaa, vaikkei siihen velvoitteita olisikaan. Hyvä tiedonhallintatapa lisää toiminnan varmuutta, yrityksen luotettavuutta ulkopuolisten silmissä sekä selkiyttää yrityksissä olennaisen tiedon tunnistamista ja sen suojaamista. Lisäksi asiakirjaluokittelu on melko kevyt ja helppo tapa täyttää esimerkiksi suomalaisen työlainsäädännön vaatimus luottamuksellisen tiedon osoittamisesta työsuhteen salassapitopykäliin liittyen.

tiistai 13. heinäkuuta 2010

Yritysvakoilua PK-sektorilla?

Yritysvakoilu mielletään yleensä joko suurten kansainvälisten pörssiyritysten ongelmaksi tai sitten sellaisten yritysten päänvaivaksi, joilla on ainutlaatuista ja siksi suojattavaa erikoisosaamista. Tarkoittaako tämä, että PK-sektorin yrittäjä voi nukkua yönsä rauhassa?

Taloussanomat kirjoitti 11.7 artikkelissaan yritysvakoilusta. Näkökulma on sama johon olemme tottuneet aina kyseisen sanan esiintyessä julkisuudessa. Nokian puhelinmallit, valtiolliset intressit ja satojen miljoonien vahingot. Kaikesta yrityksiin kohdistuvasta tiedustelusta uutisoitaessa saa helposti kuvan, että PK-sektori on täysin suojassa tältä. Toisaalta jos alihankkijalta varastetaan se uusin Nokian alusta, niin eipä sitä Härmän Data:n ongelmana varmaan uutisoitaisikaan. Se ei ole ehkä suoraan todistettavissakaan ja vaikka olisikin, niin yhdellä koodinpätkällä elävän kymmenen hengen pumpun murskaaminen ei varmaan auttaisi päämiestä. Tosin sen kymmenen hengen yrityksen kannalta tilanne on ehkä vähintäänkin epämukava.

PK-sektori on mukana kuitenkin tässä samassa suuressa bisneksessä, missä isotkin. Pelkkä parin tunnin perjantai-illan baarikierros Seinäjoella ja saaliiksi jää pari Nokian alihankkijaa, pari Wärtsilän ja eräs joka tekee "surelle suomalaiselle puolustusteollisuuden organisaatiolle" alueen rakennusurakat. Ja tuopin ääressä jokainen tekee mielellään työstään sankaritarinan. "Eikä sen kertomisesta nyt haittaakaan voi olla, koska eihän se varsinaisesti ole edes meidän yrityksemme sisäistä tietoa", toteaa häiritsevästä, mutta ohimenevästä, omantunnonpistosta kärsivä kertoja.

Sama ongelma on kuitenkin vaikkapa pienillä palveluyrityksillä. Asiakasrekisterit, palvelukonseptit, menetelmät ja asiakkaat ovat elintärkeää tietoa. Mitä pienempi yritys, sen pienempi tietovuoto on kohtalokas. Pelkästään suojattavan asian kertominen omalle porukalle ennaltaehkäisee suurimman osan tahattomista lipsahduksista. Mitä paremmin asian onnistuu vielä konkretisoimaan, sen parempi. Eivät kaikki yhdistä jokaista dokumenttia ja tilannetta toimitusjohtajan ylimalkaiseen ohjeeseen: "Tähän asiaan liittyvät jutut pysyvät sitten näiden seinien sisällä." Eikä lainsäädäntö ole tietovuototapauksissa yrittäjän puolella, ellei hän ole nähnyt vaivaa kertoa työntekijöilleen, mikä sitä suojattavaa tietoa nyt ihan konkreettisesti on.

tiistai 6. heinäkuuta 2010

Salasana vai Salalause

Salasana on edelleen yksi tietoturvan peruskivistä. Kuitenkin niihin liittyy useita käytännön ongelmia, joihin ratkaisut voivat olla yksinkertaisempia kuin luuletkaan.

Salasanat ovat olleet tietojen turvana ja käyttäjien kiusana jo vuosia. Niiden merkitys on kasvanut verkottumisen myötä ja samalla haasteet salasanojen monimutkaisuuden ja pituuden kanssa ovat tulleet tietoturvasta vastaavien pohdittavaksi. Totuushan on että käyttäjät eivät yksinkertaisesti pidä salasanoista, eikä niitä useinkaan koeta edes tarpeellisiksi. Tämän päälle kun lisätään vielä vaatimukset vaikeasta ja pitkästä salasanasta, joka pitää myös vaihtaa usein, niin ei pidä ihmetellä, miksi yleinen mielipide on tietoturva-asiantuntijoiden neuvoja vastaan.

Minä ratkaisisin asiaa turvallisuuden ja käytännöllisyyden kannalta. Koska salasanan pituus vaikuttaa parhaiten sen turvallisuuteen niin käytetään pidempiä salasanoja. Mm. Jesper M. Johansson suosittaa kirjassaan Windows Server 2008 Security Resource Kit käyttämäänsalalauseita. Näin saadaan varmasti riittävä pituus sillä jo muutaman sanan lause nostaa merkkien määrän sellaiseksi ettei salasana murru ainakaan tällä vuosituhannella. Lauseet on myös helpompi muistaa eikä yhden numeron tai erikoismerkin ujuttaminen sinne ole vaikeaa.

Turvallinen salasana ei siis välttämättä ole ihmismielen vastainen merkkiyhdistelmä vaan kenties jotain helposti muistettavaa ja silti turvallista. Oma lauseeni sisältää 22 merkkiä joista yksi on iso kirjain, yksi numero, 3 erikoismerkkiä ja loput pieniä kirjaimia. Lause on helppo muistaa sekä nopea kirjoittaa kun vertaan aikaisempaan 9 merkin kryptiseen salasanaani.

Taustaa:

Salasanoihin liittyy kaksi ominaisuutta, pituus ja käytössä olevien merkkien määrä. Näistä kahdesta arvosta voidaan laskea kaikkien mahdollisten vaihtoehtojen määrä. Salasanan murtamiseksi hyökkäjän tulee jollain keinolla testata nämä vaihtoehdot ja sitä kautta löytää oikea salasana. Hyökkäyksen tehostamiseen on keinoja, mutta kuitenkin kaikki perustuvat vaihtoehtojen läpikäyntiin. 6 merkkinen kirjaimista koostuva salasana murtuu nykyisillä laitteilla lähes välittömästi. Kasvattamalla salasanan pituutta ja merkistön määrä, nousee murtamiseen kuluva aika reilusti.

torstai 1. heinäkuuta 2010

Milloin korvata työntekijä epähenkilöllä

Epähenkilöllä viitataan esimerkiksi sähköpostilaatikkoon, jolla ei ole luonnollisen henkilön nimeä. Yrityksen toiminnan kannalta on erittäin suuri ero, viestivätkö yrityksessä henkilöt vai epähenkilöt. Kummassakin tavassa on ongelmansa, mutta yritysympäristöstä riippuen asiaa on hyvä pohtia.


Monessakaan yrityksessä ei ole työsuojelusuunnitelman yhteydessä luotua sähköpostisuunnitelmaa, joka on paitsi lakisääteinen vaatimus, myös jatkuvuussuunnittelun ja riskienhallinnan näkökulmasta perusasioita. Käytännössä tämä ei yrityksen toiminnassa näy, niin kauan kun kaikki menee hyvin, mutta kun ongelmia tulee, voivat menetykset olla korvaamattomia. Nykyisen lainsäädännön aikana työnantaja ei voi pelkkää postilaatikon omistajuuteen vedoten lukea esimerkiksi työnsä lopettaneen henkilön posteja. Entä sitten kun henkilö on vastannut kaikista yrityksen tilauksista, toimituksista tai muusta avaintehtävästä yrityksessä? Kysymys kuuluukin tässä tapauksessa: "Miten monta päivää yrityksemme voi toimia ilman tilauksia/toimituksia/jne..?"

Niin sanotuissa epähenkilöpostilaatikoissa (tilaukset@yritys.com, myynti@yritys.com, laskutus@yritys.com, jne...) ei ole tätä ongelmaa, koska ne eivät ole kenenkään henkilökohtaisia, eikä tietosuojalainsäädäntö näin ollen rajoita yrityksen mahdollisuuksia käyttää laatikoita. Tietenkin voidaan ajatella, että palvelukokemus tällä toimintatavalla ei ole yhtä henkilökohtainen. Mikä voi joillakin toimialoilla olla merkittäväkin asia.

Tämä asia on hyvä pohtia yrityksessä ennen kuin ongelmia tulee. Toimintatavan valinnan jälkeen suoritetaan toimenpiteet, joilla varaudutaan jatkuvuusongelmiin. Kumpi tahansa toimintatapa, eivät kustannukset ole murto-osaakaan verrattuna vahinkoihin riskien toteutuessa. Vaikka osaaminen pitäisi ostaa ulkoakin, voi esimerkiksi alle 30 henkilön yritys saada jo muutamilla satasilla tämän riskin hallintaansa.

tiistai 22. kesäkuuta 2010

OpSec paljastaa: Juhannustaiat huijausta!

Keskikesän juhla eli Juhannus on jo vuosisatoja hämärtänyt meidän suomalaisten harkintakyvyn hetkellisesti. Kansamme keskuudessa elää edelleen vankka usko juhannustaikoihin, joiden todellisen taustan OpSec on päättänyt paljastaa.

Juhannustaikojen keskeisin teema on tulevaisuus ja ennustaminen. Todellisuudessa näiden taikojen taustalla on samat vaikuttimet kuin muissakin huijauksissa ja uskomuksissa eli taloudellinen hyöty, pila ja väärinymmärrys. Tässä muutama esimerkki, niin tajuatte mistä on kyse.

1. Kun juhannusyönä alastomana juoksee pihansa ympäri kolmesti , näkee unessa tulevan puolisonsa.

Tämän uskomuksen taustalla on tapahtuma 1800-luvun alkupuolelta Nurmosta. Talossa oli vieraana serkkupoika Kuopiosta, jonka onnistui savolaisella kieroudella ja vedonlyönnillä houkutella talon naimaikäinen poika koikkelehtimaan pihallaan ilman rihmankiertämää. Naapurit kuulivat savolaisen kannustushuudot väärin ja kuvittelivat Nurmolaispojan yrittävän ennustaa tulevaa puolisoaan.

2. Jos juhannuksena syö 9 silliä, näkee unessa tulevan vuoden sadon.

Tämä juhannustaika on tuottanut eniten taloudellista hyötyä keksijälleen. Sillin syönnin juhannustaiaksi muutti Nauvolainen konkurssin partaalla ollut kalakauppias vuonna 1934. Hänellä oli varastot täynnä huonoa silliä eikä kauppa käynyt. Lopulta kauppias pisti huhun liikkeelle keskikesän maagisuudesta ja voitte kuvitella että sillit vietiin käsistä. Kerrotaan että vieläkin kauppiaan haamu palaa juhannuksena myymään silliä Nauvon vanhaan kalasatamaan.

3. Juhannuskokon savu kääntyy sen suuntaan, joka pääsee pian naimisiin.

Tässä taiassa on kyse pelkästä itsekkyydestä. Saarijärveläisessä talossa poltettiin kokkoa yhdessä vieraiden kanssa. Kokko oli lähes loppuun palanut ja sen ääressä paisteltiin makkaraa. Talon isäntä tuli paikalle ja huomasi että vapaita paikkoja oli jäljellä vain sillä suunnalla minne savu painui. Lopulta hän murahti "keneen savu osuu, pääsöö pian vihille". Hetken kuluttua savun seassa istui 5 nuorta neitoa ja isäntä pääsi haluamalleen paikalle.

Olkoon nämä esimerkit varoituksena kaikille juhannustaikoja suunnitteleville. OpSec toivottaa kaikille iloista ja rentouttavaa keskikesän juhlaa!
ps. Joulun tienoilla kerromme lisää hätkähdyttäviä paljastuksia.

perjantai 18. kesäkuuta 2010

IT-toimittajien identiteettiongelmat

Nopea selailu useimpien IT-palvelutoimittajien sivuilla paljasti hetkessä, mistä asiakkaidemme tuska johtuu. Ellei taustan värimaailma muuttuisi, ei edes tietäisi vaihtaneensa sivustoa.

Samat teemat toistuvat melkeinpä sanasta sanaan. Lupaukset kokonaisvaltaisista palveluista, asiakkaan kaikkien huolien poistamisesta ja kustannusten tehokkaasta kontrollista löytyvät joka sivustolta. Jopa kopiokonemyyjät ja laitesalitoimittajat vakuuttavat osaavansa kaiken IT:stä asiakkaan puolesta A:sta Ö:hön. Ei se ole mikään ihme, että valinnan tuska on melkoinen. Itsestään selvää on vain se, että kaikki eivät voi hallita kaikkea, mutta ongelmaksi ostajalle jää selvittää, kuka valehtelee vähiten.

EK:n Palvelut 2020 raportti  tuo esiin IT -alan uusia haasteita. Tietotekniikan kenttä laajenee koko ajan ja samalla myös osaamisvaatimukset. Tekniikan leviäminen uusille aloille ja alueille alkaa vaikuttaa jopa koulutusjärjestelmään. Se luo paineita IT -kokonaispalvelutoimittajille todella lunastaa suuret lupauksensa, eivätkä siihen monet pysty tänäkään päivänä. Lisäksi toimittajanäkökulmasta erityisesti peruspalveluiden pelkkä hintakilpailu on bisnestä, jossa vain suuret pärjäävät.

Suuret kokonaispalveluratkaisut edellyttävät raskasta infrastruktuuria. Keskisuurillakaan toimijoilla ei ole tähän rahkeita. Toimittajan pitää kyetä varautumaan kaikkeen, jos se lupaa hoitaa kaiken. Se maksaa, luo epävarmuutta, heikentää laatua ja nostaa riskejä, joista loppujen lopuksi asiakas maksaa. Tämä onkin nurinkurista – asiakas maksaa enemmän huonommasta laadusta. Ennen pitkää syntyy myös tilanne, jossa jokainen yritys on vain toisensa kopio, tarjoamatta mitään lisäarvoa. Se johtaa myös tiukkaan hintakilpailuun, jossa ei ole yleensä kuin yksi voittaja.

Erikoistuminen, palveluosaaminen omalla erikoisalueellaan, ainutlaatuisen arvon tarjoaminen, yhteistyökyvyt ja verkottuminen ovat mm. EK:n raportin mukaan tapoja vastata tulevaisuuden haasteisiin. Se edellyttää muutosta nykyisessä palvelukentässä. Mutta onneksi se on jo alkanut. Tervetuloa mukaan!

torstai 17. kesäkuuta 2010

Riskienhallintaa PK-yrityksessä

OpSecin omat turvallisuusasiakirjat alkavat vihdoin valmistua. Työ lähti liikkeelle luontevimmasta kohdasta: Riskien tunnistamisesta ja riskianalyysistä. Mutta yllätys oli, että senhän ei tarvitse olla raskasta!

Käytössämme oli VTT:n menetelmät ja periaatteena, että työ on pidettävä koko ajan mahdollisimman yksinkertaisena ja rajattuna. Ensinnäkin tämän kokoisen yrityksen resurssit ovat rajalliset, eikä työ saa kuormittaa liikaa. Työn sisältö ei saa nousta itse tarkoitukseksi, vaan työn on tuettava liiketoimintaa. Asiat, joiden suunnittelu ei ole ajankohtaista, on kyettävä pudottamaan nopeasti pois. Tehokas rajaus myös parantaa kustannusten kontrollointia. Tavoitteena oli meillä myös, että prosessista on kyettävä kaikkien oppimaan – lähinnä tämän vuoksi eräät kansainväliset IT-yrityksille ehkä paremmin sopivat menetelmät jäivät pois (OCTAVE, FAIR, jne...). Haluttiin siis säilyttää tietty määrä ”manuaalityötä”.

Alle on kerätty muutama vinkki nopeasta, tehokkaasta ja hallitusta, mutta tuloksellisesta riskienhallintaprosessista.
  • Tutustu menetelmään kokonaan ennen työn aloitusta
    -Projektin vetäjän on hyvä käydä koko projekti läpi menetelmineen ennen kuin projekti edes alkaa. Hänen tehtävänsä on ohjata etenemistä, koska eksymisen vaara tällaisessa työssä on suuri! Tämä on erittäin kriittinen vaihe 
  • Valitse menetelmä tutkittavan kohteen mukaan
    -Osa soveltuu paremmin teknisten menetelmien riskienhallintaan, osa toimii paremmin yleisessä henkilöstön turvallisuuden kehittämisessä 
  • Säilytä luovuus koko prosessin ajan
    -Alkuvaiheessa liian tiukka tavoite voi johtaa liian pintapuoliseen riskien, ongelmien ja tapahtumien tarkasteluun. Turvallisuusasiakirja nousee tärkeämmäksi kuin turvallisuus! Anna keskustelujen – etenkin aivoriihivaiheissa – vähän karata. 
  • Mieti miten organisaatiosi oppii yhdessä
    -Auttaa suunnittelemaan aikataulutusta, mutta on tärkeää osallistamisen kannalta. Kyseessä on koko henkilöstön oppimistapahtuma, jossa jokainen on asiantuntija. Silti projektin vetäjän vastuulla on varmistaa, että kaikki ymmärtävät tavoitteet ja tulokset! 
  • Muista, ettei kyseessä ole syyllisten etsintä
    -Työlle hyvä lähtökohta ei ole toteutunut vakava riski. Vaikka se työn käynnistäisi, ei prosessi saa jäädä vain yhden tapahtuman vatvomiseen. Muista, että negatiiviset tunnetekijät voivat ehkäistä uuden oppimista ja omaksumista vahvasti!
Tutustu, aikatauluta, osallista, rajaa, dokumentoi ja säilytä avoin ilmapiiri! Suurin osa työstä on yrityksesi henkilöstön vastuulla, mutta ammattilaisesta voi myös olla apua kriittisissä kohdissa, joita ovat lähinnä aloitus, analyysien valinta, työtavoissa konsultointi ja yhteenvedon analyysi.

maanantai 14. kesäkuuta 2010

Toimiston muisti

Uuden Seelannin televisio varoittaa, että toimistolla tylsänä päivänä kopiokoneella pilan päiten kopioitu takapuolesi voi tulla sinua vielä vastaan…

Samalla tavoin voi tietenkin tulla kaikki muukin aineisto, mitä samaisella kopiokoneella on kopioitu. Hallituksen pöytäkirjat, tuotekehityksen piirustukset, myynnin tarjouslaskennat ja kaikki muukin, mikä koneen läpi menee. Muisteja ei ole enää vain tietokoneissa, eikä tallennusväline ole aina mappi, nauha tai levyke. Muistia ja tallennuspaikkoja alkaa olla keskiverto toimistossa jo niin paljon, että voidaan jo hyvin puhua ”toimiston muistista”.

Dataa on puhelimissa, kameroissa, kopioikoneissa, tulostimilla, mp3-soittimissa, sanelukoneissa, laskimissa ja monissa muissa normaaleissa toimistotyökaluissa. Suurin osa ainakin joskus käy myös verkossa. Niiden muistikortteja vaihdellaan uusiin, siirretään laitteista toisiin, jätetään lojumaan laatikoihin, eikä sellainen kynnenpään kokoinen musta muovinpalanen ole päällepäin sen ihmeellisempi, oli sen sisällä yrityksen kannalta elintärkeää tietoa tai toimistotyöntekijän humppasuosikit. Myös pääsynhallinta – eli erilaisten käyttöoikeuksien jakaminen eri henkilöille – on usein näin sekavassa ympäristössä vähintään epäluotettavaa. Ja miksi varastaa tietokone, jos voit hakea haalarit päällä yrityksestä kuin yrityksestä tulostimen ”huoltoon”?

Miten monessa yrityksessä mietitään toiminnan yhteydessä, mitä kaikkea toimistosi muistaa? Ja mitä se saisi muistaa…

Lex Nokia – Puolustuksen puheenvuoro

Vuosi sitten voimaan tulleet muutokset sähköisen viestinnän tietosuojalakiin tunnetaan vieläkin vain urkintalakina. Suomalainen ei siis vuodessa ehdi lukea jokaista koskettavia lakimuutoksia tai sitten asian ymmärtämiseen vaan menee pitkään.

Keskusteluissa sähköisen viestinnän tietosuojalain muutoksista, "Lex Nokiasta", muistetaan aina vain se, miten se antaa työnantajalle oikeuden lukea työntekijän sähköpostia. Laki puhuu yhteisötilaajasta, joka on laajempi käsite, mutta puhun tässä asiasta vain yritysnäkökulmasta. Työnantajat "tietenkin ja pelkkää kunniallisuuttaan" vastustavat moista oikeutta, vaikka sitä moni käytti esimerkiksi sähköpostilaatikon omistajuuteen vedoten jo ennen lakimuutosta ja käyttää vieläkin - laittomasti. Työntekijätkin ovat sitä vastaan - totta kai - onhan se saatu kuulostamaan mediassa yksilön suojan kannalta todella pahalta. Mutta todellisuus on jotain muuta.

Laki ei itse asiassa anna työnantajalle noin vain mitään oikeuksia, vaan se edellyttää työnantajalta tiettyjä toimia ennen sitä. Muun muassa avointa tiedottamista työntekijöille, pelisääntöjen sopimista yhdessä työntekijöiden kanssa ja tiettyjen yleistä turvallisuutta lisäävien toimien suorittamista yrityksen verkossa. Tässä kohtaa yleensä aina työnantajaedustajan ääni nousee oktaavin verran korkeammalle ja alkaa väittely siitä, miten tällaisista mahdottomia kustannuksia aiheuttavista asioista ei saisi ääneen puhuakaan.

Lain vaatimusten noudattaminen olisi pitkällä tähtäimellä sekä työnantajan, että työntekijän etu. Vielä yleisemmällä tasolla se on koko valtion kilpailukyvyn etu, sillä se käytäntöön vietynä nostaisi merkittävästi suomalaisten yritysten turvallisuustasoa ja laatua kansainvälisessäkin vertailussa.

Pari faktaa Lex Nokian käyttöönotosta:

1. Se ei ole kohtuuttoman kallista - kyse on vain oikeiden toimenpiteiden valinnasta
2. Se lisää kaikkien osapuolten turvallisuutta - myös asiakkaiden, kumppanien ja yhteistyötahojen osalta!
3. Se lisää henkilöstön tietosuojaa ja tyytyväisyyttä
4. Se lisää avoimuutta työyhteisössä
5. Se viestii vastuullisesta ja laadukkaasti toimivasta yrityksestä

IT-kokonaispalvelut – mikä mättää?

Jokin aika sitten minulta pyydettiin ytimekästä sanallista yhteenvetoa markkinoilla olevista it-palveluiden toimittamismalleista. Yksi näistä on kokonaispalvelu, joita on tullut viime vuosina markkinoille iso kasa. Lähes kaikilla it-toimittajilla on ainakin markkinnointikalvojen mukaan jonkinlainen kokonaispalvelu. Kokonaispalvelun ideana on hallita koko it-ympäristö tehokkaasti, mikä ostajan korvaan kuulostaa lupaavalta. Totuus tämän lupauksen takana on kuitenkin hieman erilainen, etenkin kun ryhdyin sitä hieman pohdiskelemaan.

Ensimmäinen tarkasteltava seikka on mittaaminen. Kokonaispalvelu sisältää kaiken peruspalvelusta hallintoon ja siten myös mittaamisen. Toimittaja siis tuottaa kaikki palvelut ja mittaa itse tuottamaansa palvelua. Tästä tietenkin seuraa se ettei asiakkaalla ei ole todellisia keinoja mitata kokonaispalvelun toimivuutta, eikä siten myöskään sen mahdollista tehokkuutta. Kokonaispalvelun tehokkuuden ja palveluvasteiden toteutuminen jää siis hämärään. 

Toisena kyseenalaistettavana asiana on teknologiariippuvuus, etenkin kun se liitetään merkkiedustukseen. Merkkiedustus itsessään ei ole huono asia, sillä edustuksensa tunteva toimittaja on tärkeä lenkki toteutuksessa. Kokonaispalvelussa teknologiariippuvuus ja merkkiedustus aiheuttavat kuitenkin asiakkaalle ratkaisuvaihtoehtojen supistumisen vain toimittajan edustuksiin ja siten muut markkinoilla olevat ratkaisut rajautuvat pois. Jokainen asiakkaan tarve ratkaistaan aina toimittajan teknologialla koska osaaminen rajautuu vain tiettyyn ratkaisuun. Lisäksi merkkiedustuksessa on paineet lisämyyntiin ja sitä kautta bonuksiin. Asiakkaan kehityksen suuntaa siis ei ratkaise tarve vaan toimittajan osaaminen ja myyntitavoitteet. 

Kolmas kohta on yritysten erilaisuus. Kokonaispalvelun tehokkuus luodaan vakioitujen prosessien ja tapahtumien suuren määrän kautta. Toiminta on tietenkin tehokasta jos asiakkaan toiminta sopii siihen mutta useimmissa yrityksissä toiminta poikkeaa aina hieman naapurista, kilpailijasta tai kumppanista. Kokonaispalvelun kanssa on siis aina valittava toimittajan prosessi ja muutettava organisaation käytännöt siihen soveltuvaksi. Muutoin toiminta on kokonaispalvelun näkökulmasta tehotonta ja vaikeaa, minkä tietenkin maksaa asiakas. 

Kokonaispalvelu on idealtaan hyvä mutta käytännössä sen vahvuudet ovat samalla sen suurimmat heikkoudet. Asiakkaalla ei ole juurikaan keinoja hallita palvelua ja toimittajan omat intressit ajavat asiakkaan tarpeen edelle.

Riippuvuudet riskeinä PK-yrityksissä – Vinkit tj:lle

Liiketoiminnassa on jokaisella yrityksellä paljon erilaisia riippuvuuksia muista markkinoilla olevista toimijoista. Alihankkijat, kumppanit ja asiakkaat ovat tahoja, joista ainakin yhtä jokainen yritys tarvitsee liiketoimintansa toteuttamiseksi. Kun jonkin ulkopuolisen tahon merkitys alkaa olla kriittinen liiketoiminnan näkökulmasta, puututaan siihen kuten mihin tahansa liiketoiminnan riskiin – riskienhallinnan työvälinein. Yleisin tapa vähentää tai poistaa riippuvuuksien mukanaan tuomia riskejä on sopimustekniikka. Tässä kohtaa paras apu on oman liiketoiminta-alueen kokemus ja liiketoimintaa sekä mahdollisesti omaa toimialaa tunteva sopimustekniikan asiantuntija. Myös hankintoja hajauttamalla ja välttämällä liikaa erikoistumista tai yksipuolisuutta voidaan riippuvuusriskejä poistaa. Oma ongelmansa ovat sitten ne liiketoiminnan osa-alueet, joiden mekaniikkaa tai toimintaa ei kokonaan tunneta yrityksessä. Jälkimmäinen aiheuttaa yleensä tietotekniikkaresurssien ja tiedonhallinnan alueella suurimmat riskit. Usein yritys ei edes tiedä riskien olemassaoloa, koska tietotekniikka yrityksessä on joko täysin jonkun siihen palkatun henkilön tai yhden toimittajan varassa. Useassa yrityksessä tilausten on kuitenkin kuljettava, toimitusten lähdettävä ja varastosaldoja on kyettävä seuraamaan koko ajan. Myös asiakasrekisterit ja laskutustieto ovat usein korvaamattomia. Saattaa olla, että koko liiketoiminnan perusta on tunteeseen pohjautuvan luottamuksen varassa. Joskus on kyse myös epäluottamussuhteesta, mutta asian selvittämisyritykset koetaan ehkä omaa yritystä vahingoittavaksi, jos ulkopuolisella kumppanilla on liian suuri hallinta yrityksen tietoresurssien käyttöön. Tällaisiinkin tilanteisiin törmää silloin tällöin ja on täysin selvää, että tilanne ei ole hedelmällinen pohja yhteiselle menestyksellisen liiketoiminnan kehittämiselle. Tällöin tilanne on kartoitettava, yrityksen on otettava alue hallintaansa ja poistettava haitalliset riskitekijät joko sopimusteknisin menetelmin tai perinteisimmillä keinoilla. PK-yrityksissä ympäristöt ovat usein yksinkertaisempia ja käytetty teknologia yleisempää, joten merkittävästä rahallisesta satsauksesta ei ole kyse. Joskus tällainen tarkastus maksaa itsensä takaisin jo vuodessa lisääntyneenä tehokkuutena ja järkevimpinä sopimuksina. Jos taas toimittajasi syyttelevät ongelmista toisiaan, eivätkä kykene joustoihin, erota molemmat – yhteistyökyky on tämän päivän liiketoiminnassa ehdoton edellytys.

Muutama käytännön vinkki tietotekniikan ja tiedonhallinnan kokonaiskuvan muodostamiseksi:

  • Pyydä tai teetä ympäristön riskianalyysi liiketoimintanäkökulmasta            
  • IT-ihmiset rakastavat yleensä teknistä jargonia, jota ei ymmärrä kukaan
  • Pyydä tai teetä selkeä arkkitehtuurikuva suomen kielellä 
  • Arkkitehtuuri ei ole vain gigoja, bittejä ja protokollia
  • Pyydä tai teetä ehdotukset seurantaa ja mittaamista varten 
  • Hyviä mittareita eivät ole kaistanleveys tai levykapasiteetti, koska niiden pohjalta ei voi kehittää liiketoimintaa
Parhaaseen tulokseen päästään kun seuranta ja mittaristo viedään suoraan joko palkkauksen tai sopimusten laatukriteereiksi, jotka aiheuttavat rahallisia paineita niiden saavuttamiseen, mutta ennen kaikkea kannustavat kehittämiseen!