torstai 29. heinäkuuta 2010

Minulla on oikeus!

Käyttöoikeuksien asettaminen vastaamaan työtehtävien mukaisia tarpeita on erittäin tehokas keino ehkäistä niin tahallisia kuin tahattomiakin tietoriskejä. Oikeudet ovat oikealla tasolla silloin, kun käyttäjä voi tehokkaasti hyödyntää tietojärjestelmiä työssään mutta ne eivät mahdollista hänelle kuulumattomien tietojen käsittelyä tai järjestelmän asetusten muutoksia. Tästä huolimatta käyttöoikeudet on usein määritelty yksinkertaisella kaikille-kaikkea mallilla.

Ennen nykyistä Windows-sukupolvea oli käytössä merkkipohjainen DOS ja sen päälle rakennetut Windows 95 ja 98. Näiden järjestelmien käyttäjäoikeuksien hallinta oli puutteellinen eivätkä tuon aikakauden sovelluksetkaan juuri tukeneet käyttäjien toimien ja tiedonsaannin hallintaa. Järjestelmät ovat kehittyneet ja sovellusten tekijät ovat myös huomioineet muuttuneet tarpeet. Jostain syystä ylläpitäjät ja käyttäjät ovat kuitenkin jääneet kelkasta, ainakin asenteiltaan. Tämän havaitsee siitä että useilla meistä käyttäjistä on vieläkin palava halu saada järjestelmänvalvojan oikeudet vaikka se ei mitenkään ole työtehtävien tai käyttötarpeiden puolesta perusteltavissa. Tämä oikeuksien tarve on jotenkin sisäänrakennettu meihin tietotekniikan käyttäjiin ja käyttöoikeuksien rajaamiseen suhtaudutaan ynseästi. Toinen asenneongelman aiheuttaja on laiskuus. Vähäinenkin ylimääräinen vaihe, kuten käyttäjätunnuksen ja salasanan syöttäminen, koetaan sellaiseksi haitaksi että vanhoja toimintamalleja ollaan valmiita puolustamaan suurella työllä.

Käyttöoikeuksien asettamista puoltavat monet seikat, sillä niiden avulla voidaan esimerkiksi estää tietovuotoja, vähentää käyttäjien virheiden aiheuttamia ongelmia ja rajoittaa haittaohjelmien leviämistä. Jo nämä ovat riittävät syyt alkaa toteuttamaan asianmukaista käyttöoikeuksienhallintaa.

Työ kannattaa aloittaa tunnistamalla käyttäjät, tiedot ja järjestelmät. Seuraavassa vaiheessa määritellään soveltuvat oikeustasot käyttäjille tai käyttäjäryhmille. Lopuksi suoritetaan järjestelmien vaatimat toimet käyttöoikeuksien asettamiseksi. Onnistuneeseen operaatioon kuuluu myös käyttäjien kuuleminen ja asenteiden muokkaus käyttöoikeuksista saatavien hyötyjen kautta sekä tietenkin koulutus muuttuneen tilanteen osalta.

torstai 22. heinäkuuta 2010

Asetus tietoturvallisuudesta valtionhallinnossa

Valtioneuvosto antoi asetuksen tietoturvallisuudesta valtionhallinnosta 1.7 ja asetus astuu voimaan 1.10.2010. Mitä tämä tarkoittaa julkishallinnossa ja julkishallinnon kanssa toimiville yrityksille? Entä onko asetuksesta hyötyä yksityisyrittäjälle?

Asetuksen tavoitteena on yhtenäistää käytäntöjä sekä lisätä asiakkaiden ja sidosryhmien luottamusta valtionhallintoon. Asetuksen sisältö koostuu kahdesta vaatimuksesta organisaatioille 

1. Yleisistä tietoturvallisuusvaatimuksista 
2. Asiakirjojen luokittelun perusteista ja käsittelyohjeista

Yleiset tietoturvallisuusvaatimukset eivät sinällään tuo mitään uutta. Vaatimukset ovat tuttuja jo hyvään tiedonhallintatapaan perehtyneille organisaatioille. Näiden ohjeiden mukaan tietoturvallisuuden toteuttamisessa on esimerkiksi suoritettava riskikartoitukset, määriteltävä tiedon käsittelymenetelmät ja vastuut, noudatettava käsittelyssä tarpeellisuusperiaatetta ja huolehdittava käsittelyssä ja säilytyksessä riittävistä turvallisuustoimista. Lisäksi henkilöstö on ohjeistettava ja koulutettava sekä annettujen ohjeiden toteutumista on valvottava. Tämän perustason saavuttamiselle on määritelty kolmen vuoden siirtymisaika.

Jokaisessa organisaatiossa liikkuu eritasoista tietoa jonkin tiedon ollessa erityisen kriittistä ja jonkin toisen taas ollessa vähemmän tärkeää. Asiakirjojen luokittelulla pyritään siihen, että informaation käsittelylle organisaatiossa on olemassa selkeät toimintaohjeet eritasoisesti luokitellulle tiedolle. Tietojen luokitukseen perustuvan ohjeistuksen on katettava koko tiedon elinkaari organisaatiossa asiakirjan luomisesta sen hävittämiseen asti. 

Luokittelu on neliportainen ja vastaa siten kansainvälisiä käytäntöjä. Asetus koskee yhtä lailla paperista, mutta myös sähköistä aineistoa sen formaatista riippumatta.

Valtionhallinnon kanssa toimivien sidosryhmien on hyvä tuntea kyseisen asetuksen sisältö, etenkin yrityksissä, joissa viranomaisten tietoa käsitellään. Vaatimukset koskevat tiedon käsittelyä myös esimerkiksi IT -alan palveluyrityksissä. Asetuksen vaatimusten käyttöönotto yksityisyrityksissä ei ole turhaa, vaikkei siihen velvoitteita olisikaan. Hyvä tiedonhallintatapa lisää toiminnan varmuutta, yrityksen luotettavuutta ulkopuolisten silmissä sekä selkiyttää yrityksissä olennaisen tiedon tunnistamista ja sen suojaamista. Lisäksi asiakirjaluokittelu on melko kevyt ja helppo tapa täyttää esimerkiksi suomalaisen työlainsäädännön vaatimus luottamuksellisen tiedon osoittamisesta työsuhteen salassapitopykäliin liittyen.

tiistai 13. heinäkuuta 2010

Yritysvakoilua PK-sektorilla?

Yritysvakoilu mielletään yleensä joko suurten kansainvälisten pörssiyritysten ongelmaksi tai sitten sellaisten yritysten päänvaivaksi, joilla on ainutlaatuista ja siksi suojattavaa erikoisosaamista. Tarkoittaako tämä, että PK-sektorin yrittäjä voi nukkua yönsä rauhassa?

Taloussanomat kirjoitti 11.7 artikkelissaan yritysvakoilusta. Näkökulma on sama johon olemme tottuneet aina kyseisen sanan esiintyessä julkisuudessa. Nokian puhelinmallit, valtiolliset intressit ja satojen miljoonien vahingot. Kaikesta yrityksiin kohdistuvasta tiedustelusta uutisoitaessa saa helposti kuvan, että PK-sektori on täysin suojassa tältä. Toisaalta jos alihankkijalta varastetaan se uusin Nokian alusta, niin eipä sitä Härmän Data:n ongelmana varmaan uutisoitaisikaan. Se ei ole ehkä suoraan todistettavissakaan ja vaikka olisikin, niin yhdellä koodinpätkällä elävän kymmenen hengen pumpun murskaaminen ei varmaan auttaisi päämiestä. Tosin sen kymmenen hengen yrityksen kannalta tilanne on ehkä vähintäänkin epämukava.

PK-sektori on mukana kuitenkin tässä samassa suuressa bisneksessä, missä isotkin. Pelkkä parin tunnin perjantai-illan baarikierros Seinäjoella ja saaliiksi jää pari Nokian alihankkijaa, pari Wärtsilän ja eräs joka tekee "surelle suomalaiselle puolustusteollisuuden organisaatiolle" alueen rakennusurakat. Ja tuopin ääressä jokainen tekee mielellään työstään sankaritarinan. "Eikä sen kertomisesta nyt haittaakaan voi olla, koska eihän se varsinaisesti ole edes meidän yrityksemme sisäistä tietoa", toteaa häiritsevästä, mutta ohimenevästä, omantunnonpistosta kärsivä kertoja.

Sama ongelma on kuitenkin vaikkapa pienillä palveluyrityksillä. Asiakasrekisterit, palvelukonseptit, menetelmät ja asiakkaat ovat elintärkeää tietoa. Mitä pienempi yritys, sen pienempi tietovuoto on kohtalokas. Pelkästään suojattavan asian kertominen omalle porukalle ennaltaehkäisee suurimman osan tahattomista lipsahduksista. Mitä paremmin asian onnistuu vielä konkretisoimaan, sen parempi. Eivät kaikki yhdistä jokaista dokumenttia ja tilannetta toimitusjohtajan ylimalkaiseen ohjeeseen: "Tähän asiaan liittyvät jutut pysyvät sitten näiden seinien sisällä." Eikä lainsäädäntö ole tietovuototapauksissa yrittäjän puolella, ellei hän ole nähnyt vaivaa kertoa työntekijöilleen, mikä sitä suojattavaa tietoa nyt ihan konkreettisesti on.

tiistai 6. heinäkuuta 2010

Salasana vai Salalause

Salasana on edelleen yksi tietoturvan peruskivistä. Kuitenkin niihin liittyy useita käytännön ongelmia, joihin ratkaisut voivat olla yksinkertaisempia kuin luuletkaan.

Salasanat ovat olleet tietojen turvana ja käyttäjien kiusana jo vuosia. Niiden merkitys on kasvanut verkottumisen myötä ja samalla haasteet salasanojen monimutkaisuuden ja pituuden kanssa ovat tulleet tietoturvasta vastaavien pohdittavaksi. Totuushan on että käyttäjät eivät yksinkertaisesti pidä salasanoista, eikä niitä useinkaan koeta edes tarpeellisiksi. Tämän päälle kun lisätään vielä vaatimukset vaikeasta ja pitkästä salasanasta, joka pitää myös vaihtaa usein, niin ei pidä ihmetellä, miksi yleinen mielipide on tietoturva-asiantuntijoiden neuvoja vastaan.

Minä ratkaisisin asiaa turvallisuuden ja käytännöllisyyden kannalta. Koska salasanan pituus vaikuttaa parhaiten sen turvallisuuteen niin käytetään pidempiä salasanoja. Mm. Jesper M. Johansson suosittaa kirjassaan Windows Server 2008 Security Resource Kit käyttämäänsalalauseita. Näin saadaan varmasti riittävä pituus sillä jo muutaman sanan lause nostaa merkkien määrän sellaiseksi ettei salasana murru ainakaan tällä vuosituhannella. Lauseet on myös helpompi muistaa eikä yhden numeron tai erikoismerkin ujuttaminen sinne ole vaikeaa.

Turvallinen salasana ei siis välttämättä ole ihmismielen vastainen merkkiyhdistelmä vaan kenties jotain helposti muistettavaa ja silti turvallista. Oma lauseeni sisältää 22 merkkiä joista yksi on iso kirjain, yksi numero, 3 erikoismerkkiä ja loput pieniä kirjaimia. Lause on helppo muistaa sekä nopea kirjoittaa kun vertaan aikaisempaan 9 merkin kryptiseen salasanaani.

Taustaa:

Salasanoihin liittyy kaksi ominaisuutta, pituus ja käytössä olevien merkkien määrä. Näistä kahdesta arvosta voidaan laskea kaikkien mahdollisten vaihtoehtojen määrä. Salasanan murtamiseksi hyökkäjän tulee jollain keinolla testata nämä vaihtoehdot ja sitä kautta löytää oikea salasana. Hyökkäyksen tehostamiseen on keinoja, mutta kuitenkin kaikki perustuvat vaihtoehtojen läpikäyntiin. 6 merkkinen kirjaimista koostuva salasana murtuu nykyisillä laitteilla lähes välittömästi. Kasvattamalla salasanan pituutta ja merkistön määrä, nousee murtamiseen kuluva aika reilusti.

torstai 1. heinäkuuta 2010

Milloin korvata työntekijä epähenkilöllä

Epähenkilöllä viitataan esimerkiksi sähköpostilaatikkoon, jolla ei ole luonnollisen henkilön nimeä. Yrityksen toiminnan kannalta on erittäin suuri ero, viestivätkö yrityksessä henkilöt vai epähenkilöt. Kummassakin tavassa on ongelmansa, mutta yritysympäristöstä riippuen asiaa on hyvä pohtia.


Monessakaan yrityksessä ei ole työsuojelusuunnitelman yhteydessä luotua sähköpostisuunnitelmaa, joka on paitsi lakisääteinen vaatimus, myös jatkuvuussuunnittelun ja riskienhallinnan näkökulmasta perusasioita. Käytännössä tämä ei yrityksen toiminnassa näy, niin kauan kun kaikki menee hyvin, mutta kun ongelmia tulee, voivat menetykset olla korvaamattomia. Nykyisen lainsäädännön aikana työnantaja ei voi pelkkää postilaatikon omistajuuteen vedoten lukea esimerkiksi työnsä lopettaneen henkilön posteja. Entä sitten kun henkilö on vastannut kaikista yrityksen tilauksista, toimituksista tai muusta avaintehtävästä yrityksessä? Kysymys kuuluukin tässä tapauksessa: "Miten monta päivää yrityksemme voi toimia ilman tilauksia/toimituksia/jne..?"

Niin sanotuissa epähenkilöpostilaatikoissa (tilaukset@yritys.com, myynti@yritys.com, laskutus@yritys.com, jne...) ei ole tätä ongelmaa, koska ne eivät ole kenenkään henkilökohtaisia, eikä tietosuojalainsäädäntö näin ollen rajoita yrityksen mahdollisuuksia käyttää laatikoita. Tietenkin voidaan ajatella, että palvelukokemus tällä toimintatavalla ei ole yhtä henkilökohtainen. Mikä voi joillakin toimialoilla olla merkittäväkin asia.

Tämä asia on hyvä pohtia yrityksessä ennen kuin ongelmia tulee. Toimintatavan valinnan jälkeen suoritetaan toimenpiteet, joilla varaudutaan jatkuvuusongelmiin. Kumpi tahansa toimintatapa, eivät kustannukset ole murto-osaakaan verrattuna vahinkoihin riskien toteutuessa. Vaikka osaaminen pitäisi ostaa ulkoakin, voi esimerkiksi alle 30 henkilön yritys saada jo muutamilla satasilla tämän riskin hallintaansa.