torstai 12. elokuuta 2010

Koirankuola -turvallisuusmalli

Roger G. Johnston esitteli USENIX 2010 turvallisuussymposiumissa Washingtonissa turvallisuusmallin, joka useimmissa organisaatioissa on vielä käytössä. Kyseessä on malli, jossa on älykkyyttä ja maalaisjärkeä, mutta jossa niitä ei käytetä.

Dog snot security model –nimi tuli siitä, kun Johnston seurasi omia koiriaan, jotka lähtevät ulkona juoksevan oravan perään ja törmäävät kuistilla lasioveen kerta toisensa jälkeen. Tästä seuraa, että ikkuna on ennen pitkää koiran kuolassa. Kyse on siis toisin sanoen pään seinään lyömisestä kerta toisensa jälkeen. Useimmiten turvallisuuden osalta tapahtuneissa laiminlyöneissä on kyse samasta asiasta. Tietoa tai taitoa olisi ollut saatavilla, mutta jostain syystä sitä ei ole käytetty. Tämä ilmiö on meillä kotosuomessa myös hyvin tuttu.

Varsin tavallinen on myös ilmiö, jossa yritys ei tee minkäänlaista riskikartoitusta tai auditointia omasta turvallisuusympäristöstään ennakolta. Kun jotain tapahtuu, suoritetaan nopeasti täysin ylimitoitettuja ja riskiin nähden turhan kalliita toimia. Miltä kuulostavat turvakamerat, joista ei huonon resoluution vuoksi voi tunnistaa ihmistä? Tai erinomainen ja kallis palomuuri, jonka on konfiguroija ei ymmärrä yritysturvallisuudesta edes perusteita? Tai yrityksen pääkäyttäjätunnusten luovuttaminen henkilölle, joka ”vähän sivutoimenaan korjailee näitä tietokoneita”? Tyypillistä on myös, että alihankkijoiden, toimittajien tai omien suorittavan tason työntekijöiden taustoista ei olla millään tavalla kiinnostuneita.

Tyypillisimmät toteutuneet turvallisuusriskit liittyvät epäkohtiin, jotka jokaisessa yrityksessä osataan korjata. Lukitsemattomat ovet, salasanojen väärä säilytystapa, kokoustiloihin tavaroiden unohtaminen ja puhelinten hukkaamiset ovat edelleen niitä kaikkein yleisimpiä ongelmia. Ja varmasti jokaisessa yrityksessä näihin osattaisiin myös puuttua. Mistä sitten johtuu, että tämä malli on edelleen niitä käytetyimpiä, vaikka parempiakin olisi tarjolla?

Ei kommentteja:

Lähetä kommentti