perjantai 29. lokakuuta 2010

Miksi lukot eivät riitä

Monen organisaation turvallisuustasoa tarkastellessa huomaa, että vaikka paloturvallisuuteen, kulunvalvontaan ja rikosilmoitinjärjestelmiin satsaukset ovat kohdallaan, on tietoturvan taso kuitenkin hyvin alhainen.

Yleensä tietoturvan alhainen taso tulee myös yllätykenä. Saman ilmiön on todennut varmaan jokainen, joka on ottanut käyttöön tai soveltaa oman organisaationsa toiminnassa jotain laajempaa johtamis- tai hallintakehystä. Myös erilaisissa auditoinneissa (KATAKRI, ISO27000, jne.) samaan ilmiöön törmää melko nopeasti. Fyysinen turvallisuus on ihan sitä, mitä sen oletettinkin olevan, edes kohtalaista tasoa. Tietoturvallisuus vaikuttaa olevan täysin toivoton tehtävä saattaa edes vähimmäistasolleen.

Tähän on tietenkin hyvä selitys, joka on pääteltävissä uusimmista haavoittuvuuksistakin. Esimerkiksi Firesheep , joka käyttää hyväkseen salatusta tunnistautumisesta huolimatta salaamattomaksi jääviä cookie-tiedostoja ja sallii pääsyn kenen tahansa tietoihin samassa verkossa. Eli pääsy yritysverkkoon voi olla pääsy yritysverkossa kaikkialle. Kun taas saavun jonkin organisaation pihaan, en voi automaattisesti etsiä, käyttää hyväkseni tai väärentää organisaation toimistotyöntekijöiden tietoja. Kulunvalvonta pitää huolen siitä, että paperit ovat turvassa. Tietoturvallisuuden vaatimustaso on juuri tästä syystä korkeampi.

Tämä kannattaa huomioida etenkin fyysisten turvallisuusauditointien yhteydessä. Esimerkiksi KATAKRI asettaa lisävaatimuksia fyysiselle turvallisuudelle silloin, kun auditoitavat alueet pitävät sisällään tietojräestelmiä tai osia loogisesta ympäristöstä. Juurisiitä syystä, että pääsy yhdelle laitteelle on sama kuin pääsy koko organisaation ytimeen.

Kun organisaatiosi fyysinen turvallisuus auditoidaan tai kartoitetaan, on syytä ottaa huomioon samalla myös erilaiset tietoturvalle asetettavat vaatimukset, joita kiinteistöpuoli tai lukkoliike ei tunne. Mutta tämä pätee myös toisinpäin. Pelkkä IT-osaston kartoitus tietoturvallisuudesta ei riitä, sillä IT-henkilöstö harvoin tuntee fyysiselle turvallisuudelle asetettavia luokituksia ja vaatimuksia.

torstai 28. lokakuuta 2010

Tietoturvaloukkaukset vähenivät – rehellisyys palaa verkkoon?

Microsoft julkaisi hiljattain oman raporttinsa globaalista tietoturvasta, missä se kertoi tietoturvaloukkausten määrän romahtaneen alkuvuonna. Lieneekö syynä rehellisyyden ja tunnollisuuden paluu internettiin vai olisiko kenties taustalla jotain muuta? 

Raportti käsittelee vuoden 2010 ensimmäistä puoliskoa ja sen mukaan tapaukset ovat tippuneet yli sadalla vuoden takaisesta. Huolimattomuus pitää edelleen kärkitilaa mutta viimeisen vuoden aikana ero kohdennettuihin hyökkäyksiin on kaventunut. Raportin tuloksille on olemassa muutama mahdollinen selitys. Suoranaiseen tietoturvaloukkausten vähenemiseen on kovin vaikea uskoa joten syytä on etsittävä muualta. Luonnollisia syitä vaihtoehtoja tulee mieleen kaksi: 
a) niitä ei enää havaita tai
b) yhteen käytetään enemmän resursseja, joilloin vahingotkin ovat suuremmat.

Havaintojen määrän väheneminen olisi suora seuraus taloudellisen tilanteen kiristymisestä ja siten tietoturvaan kohdistuvien panostusten vähenemisestä. Henkilöstö ei yksinkertaisesti havaitse toteutuneita vahinkoja tai ne tapahtuvat palvelutoimittajille, eivätkä todennäköisesti päädy ostajan tietoisuuteen. Tätä teoriaa tukee muidenkin tutkimusten havainnot, joista kirjoitimme 6.10 otsikolla Onko kumppanisi suurin riskisi? Vaihtoehto b on myös kelpo selitys. Tietorikosten kohdentuminen ja sitä kautta vahinkojen laajeneminen on ollut kasvava trendi. Huippuna tälle kehitykselle on Stuxnet - mistä uutisoitiin laajalti. Stuxnet oli ennen kaikkea osoitus haittaohjelmien "korkeasta tasosta" ja niistä aiheutuvien vahinkojen suuruudesta. Microsoftin raportoimasta kehityksestä huolimatta tietojärjestelmiin kohdistuvat uhat eivät ole katoamassa, ne vain muuttavat muotoaan ammattimaisempaan suuntaan ja siten myös vastatoimien on seurattava perässä.

torstai 21. lokakuuta 2010

Paljonko tietorikos teillä maksaa?

Tietorikollisuuteen suhtaudutaan vieläkin Suomessa kuin joulupukkiin. Hauska ja mielenkiintoinen juttu, mutta eihän sitä oikeasti ole olemassa? Cert-fi tuo uudessatietoturvakatsauksessaan esiin taas hyvän esimerkin siitä, miten huonosti hoidettu tietoturva voi tulla kalliiksi.

Monessa yrityksessä on siirrytty VOIP-puhelinjärjestelmiin. Karkealla tasollahan se tarkoittaa sitä, että yrityksen tietokoneet ja puhelimet ovat samassa verkossa. Näin puhelinvaihteen hallinta on mahdollista tietoverkon jonkin haavoittuvuuden kautta, missä tahansa muualla yritysverkossa. Vaihteeseen pääsyn jälkeen voidaan alkaa käyttämään yrityksen rahalla hankkimia resursseja hyväksi. Se miten tähän voi varautua on osittain tekniikkaa tai ohjelmistoja, mutta jokainen yritysjohdossa toimiva osaa varmasti luetella jo tässä kohtaa lausetta vähintää kaksi tai kolme kohtaa joissa prosessikontrolleilla voi ongelman myös havaita. Ennenkuin se tulee liian kalliiksi.

Verkkosuunnittelu ja perustason infrastruktuurin ylläpito on paljon tärkeämmässä roolissa yrityksissä tänä päivänä kuin aikaisemmin. Puhelinvaihteet, rikosilmoitinjärjestelmät, kiinteistöohjaus, tuotantolaitteiden ohjaus, henkilörekisterit, asiakasrekisterit ja moni muu asia on kiinni siitä vastaako joku toimistossa myöntävästi kysymykseen: "Oletko varma, että haluat asentaa tämän selaimen lisäosan?" Nyt kiinnittämällä huomiota perusasioihin, säästää yrityksensä monelta murheelta jatkossa. Jos IT-ylläpitosi hoitaa kumppanisi, vaadi häneltä ehdotuksia, vaihtoehtoja ja keskustelua sinun asioistasi. Vaadi häntä myös sitoutumaan sinun tavoitteisiisi ja seuraa tuloksia - vastuuta ei voi ulkoistaa.

Kun perusasiat on kunnossa ja infrastruktuurin perusrakenne kunnossa, on tietoturvan hinta pieni. Samoin ympäristön riskit ovat pieniä. Kun perusteita ei ole hoidettu, kasvaa vahinkojen riski ja niiden vaikutusten hinta. Myös korjaavat toimenpiteet tulevat tällaisessa ympäristössä kalliiksi ja ne jäävät usein juuri siksi tekemättä. Tämähän on tietysti kuin painaisi kaasua tien lopun lähestyessä, mutta silti sitä ikävän usein näkee. Pidä turvallisuus mukana alkaen - silloin se maksaa vähiten.

perjantai 15. lokakuuta 2010

Valito valvomaan yritysturvallisuutta?

Helsingin Sanomat uutisoi eilen yrityksiin kohdistuvista tietoverkkohyökkäyksistä. Jutussa esitettiin myös Mikael Kiviniemen toive siitä, että Suomeen saataisiin valvomo, josta maahan kohdistuvia uhkia voitaisiin seurata.

Keskustelua tällaisesta valvomosta on ollut muuallakin ja itse ainakin oletan tällaisen kuuluvan länsimaisen yhteiskunnan perustoimintoihin. Muutakin rikollisuutta valvotaan kansallisella - jopa kansainvälisellä - tasolla. Miksi siis ei tietoverkkorikollisuuttakin? Realistisen kokonaiskuvan muodostaminen uhasta edellyttää, että havainnot kootaan yhteen, niitä verrataan, analysoidaan ja ilmiöitä seurataan laajasti. Samoin tietoverkoissa olisi valvonnan ja rikollisuuden ennaltaehkäisyn oltava suunnitelmallista ja johdettua, sekä kansainvälisen yhteistyön merkeissä tapahtuvaa toimintaa.

Poliisi varoittaa ja informoi yrityksiä tänä päivänä uhista, joita yrityksiin saattaa kohdistua perinteisen rikollisuuden alueella. Poliisi suojaa omalla toiminnallaan yhteiskuntajärjestystä ja tarvittaessa nostaa oma valmiuttaan estääkseen yleistä järjestystä ja turvallisuutta uhkaavat tilanteet. Miksi näin ei tehtäisi myös tietoverkkorikollisuuden osalta? Onhan keskusrikospoliisi jo esimerkiksi tällaista roolia ottanutkin, kuten totesimme kirjoituksessamme rikostietopalvelun raportista.

Haluaisin kuitenkin alleviivata erästä asiaa. En usko, että kenenkään suunnitelmissa on se, että poliisi valvoisi yksittäisten yritysten toimintaa tai muuttuisi organisaatioksi, jolle voi reklamoida silloin, kun tietoriski toteutuu. Eihän kukaan jätä yrityksensä oviakaan yöksi auki, luottaen siihen, että poliisi "hoitaa homman". Tilanne tietoturvallisuusympäristön osalta on kuitenkin nyt surullinen. Monella yrityksellä on ostettu virustorjuntaohjelmistot, jotka käyttäjät ovat kytkeneet pois päältä, kun kone oli vähän hidas. Monella on palomuurit, joiden konfiguraatio meni joskus vähän vaikeaksi ja sitten oli helpompaa vain sallia kaikki liikenne. Monella yrityksellä kilpailija lukee jo nyt yrityksen dataa, eikä siitä edes tiedetä kohdeyrityksessä! Oma tietoturvallisuustaso tulee monella puhtaana arvauksena, perustumatta mihinkään faktaan.

Yritykset ovat ottaneet asiakseen hoitaa fyysisen turvallisuuden kuntoon. Vartijat, hälyttimet ja palontorjunta ovat jo sääntö enemmän kuin poikkeus. Milloinkahan huomataan tietoturvallisuuden tärkeys, vai odotammeko, että valtio hoitaisi? Turvallinen yhteiskuntajärjestelmä ja yritystoiminta perustuu viranomaisten ja yritysmaailman yhteistyölle. Edellytys on kuitenkin se, etä jokainen hoitaa oman tonttinsa - samalla tavalla kuin yritykset tarvitsevat turvallisen toimintaympäristön, tarvitsee viranomainen myös oikeaa tietoa siitä, millaisten ongelmien kanssa käytännössä ollaan tekemisissä.

maanantai 11. lokakuuta 2010

Ohjelmistohankkeet – toimitusjohtajan muistilista

Melko usein tietoturvasta puhuttaessa keskitytään vain infrastruktuuriin – palomuureihin, verkkoihin ja virustorjuntaan. Alustat ovat vain yrityksen varsinaisia työkaluja varten ja käytetyt sovellukset ja ohjelmat voivat olla suurempi riski kuin tietokone ilman virustorjuntaa.

Vuoden 2008 aikana sovellusten ja ohjelmistojen haavoittuvuuksissa oli merkittävä nousu. Kaupallisten ohjelmistojen haavoittuvuudet nousivat 13,5% vuoteen 2007 verrattuna. Myös haavoittuvuuksien vakavuus paheni – suurten ja kriittisten haavoittuvuuksien määrä kaikista oli 15,3% ja jopa 92% kaikista haavoittuvuuksista oli etänä hyödynnettävissä. Sovelluksia hankittaessa ja kehitettäessä on niidenkin toiminnallisuutta kyettävä katsomaan organisaation tietoturvavaatimusten läpi. Vaikka monessa yrityksessä edellytetään verkkoon etäkirjautumista salattuna, voivat yrityksen sovellukset sallia kuitenkin pääsyn salaamatomana jopa sisäverkkoon asti. Usein taustalla on kuitenkin vain ohjelmistojen pääkäyttäjien ja organisaation ylläpidon heikko keskusteluyhteys. Tai jomman kumman puuttuminen kokonaan – pahimmassa tapauksessa puuttuu koko tietoturvallisuuden vaatimusmäärittely.

Oman ongelmansa tuovat vielä sovellukset, jotka ovat vahvasti räätälöityjä, tai joita räätälöidään jatkuvasti organisaation tarpeiden muuttuessa. Ongelma on olemassa riippumatta siitä, onko kehittäjä yrityksen palkkalistoilla, vai ostetaanko kehitys ulkoa. Vastuukysymysten kirjallisesta sopimisesta on etua paitsi turvallisuusasioissa, mutta myös laajemmasta näkökulmasta katsottuna. Usein on sopimatta kokonaan, mitkä ovat esimerkiksi tekijänoikeudelliset rajaukset. Ulkoa ostetussa työssä on etenkin oltava tarkka siitä, kuka todellisuudessa tekee ohjelmiston kehitystä ja miten se on sopimuksissa ja jälleenmyyntioikeuksissa huomioitu. Usein ostaja tekee varsinaisen järjestelmäkehityksen toimittajan vain toimittaessa ohjelmointityötä.

Ohjelmistohankkeissa on syytä määritellä ainakin seuraavia asioita – tietenkin kirjallisesti.

1. Määrittele projektiorganisaatio ja johto selkeästi. Myös sidosryhmät ja heidän roolinsa on syytä tunnistaa ja kirjata. 

2. Kouluta ja opasta kaikki projektin kanssa tekemisissä olevat turvalliseen toimintaan. Kouluta myös organisaatiosi vaatimukset. 

3. Määrittele vastuut turvallisuudessa ja valitkaa ainakin yksi vastuuhenkilö, joka koordinoi turvallisuuteen liittyviä kysymyksiä. Myös palkkiojärjestelmän käyttöä on syytä miettiä. 

4. Sopikaa hyväksyntämenettelystä ja tarkistuksista ennen tuotantoonvientiä. Näin varmistetaan, ettei mitään keskeneräistä viedä häiritsemään organisaatiosi toimintaa. 

5. Ja viimeisenä – dokumentoi, dokumentoi ja dokumentoi. Tehty työ, virheet, häiriöt, saavutukset, muutokset – ihan kaikki. Juuri se vastaanottotarkistuksen merkkityksettömimmältä tuntuva asia voi olla huomenna liiketoimintasi suurin este.

keskiviikko 6. lokakuuta 2010

Onko kumppanisi suurin riskisi?

Globaalin taloustilanteen ailahdellessa viimevuosina, yritysten turvallisuustoimintojen jatkuvuus häilyy kahden voiman välissä. Tietoturvallisuuden merkitys yrityksen koko liiketoiminnan jatkuvuuden kannalta ymmärretään yritysjohdossa entistä paremmin ja sitä arvostetaan, mutta tiukka taloustilanne ja varovaisuus investoinneissa on tuonut mukanaan uusia haasteita.

Global State of Information Security Survey 2011® on kahdeksatta kertaa toteutettu maailmanlaajuinen yritysten tietoturvallisuustoimintojen tilaa selvittänyt tutkimus, joka perustuu lähes 13 000 johtavassa asemassa olevan henkilön vastauksiin yrityksensä tilasta. Viimevuosien heikko taloustilanne ja siitä selviämien on nostanut turvallisuustoimintojen merkityksen tärkeyttä yritysjohdon silmissä. Varovaisuus investoinneissa sekä kustannusten leikkaaminen on kuitenkin johtanut turvallisuustoimintojen heikkenemiseen, sekä kykenemättömyyteen varautua muuttuviin uhkiin. Yrityksissä on nipistetty esimerkiksi työntekijöiden taustaselvitysten tekemisessä, sekä turvallisuuskoulutuksen järjestämisestä henkilöstölle. Juuri tästä syystä huoli onkin enenevässä määrin kääntynyt yritysten yhteistyökumppaneiden ja toimittajien suuntaan. Kuinka pahasti taloustilanne on heitä heikentänyt ja onko kustannussäästöjä haettu väärästä paikasta, turvallisuuden kustannuksella? IT- ja turvallisuuspalveluita ulkoistettaessa kumppanin tunteminen onkin entistä tärkeämpää, sillä kumppanisi riskit voivat olla sinun riskejäsi.

  • Kuinka tietohallinto on järjestetty yrityksesi ja kumppanisi välillä ja kuinka toimintaa valvotaan? 
  • Onko kumppanisi ympäristöä ja toimintaprosesseja auditoitu. Tiedätkö kuinka ja missä tietojasi säilytetään. Tiedätkö ketä kumppanillasi on töissä ja onko heidän taustojaan tarkistettu? 
  • Ovatko kumppanisi toimintaprosessit linjassa yrityksesi turvallisuus-strategian tai lakisääteisten määräysten kanssa? 
Voimakkaimmin kasvavan ja huonoimmin yrityksissä huomioidun riskin aiheuttavat kasvavat sosiaaliset verkostot, sekä vuorovaikutteisemmaksi muuttuvat netin sovellukset. Mahdollisiin maineriskeihin tai tietovuotoihin voitaisiin varautua hyvinkin edullisin investoinnein koulutuksen ja käyttöpolitiikan avulla, mutta silti 77% yrityksistä ei ole varautunut uusiin uhkakuviin lainkaan. Toteutuneiden uhkien tekemät vahingot tiedetään kuitenkin paremmin ja tehostunut seurantaa paljastuu hälyttäviä lukuja: 20% yrityksistä raportoi toteutuneista taloudellisista menetyksistä, 15% tietovarkauksista ja 14% toteutuneista brändi- tai mainehaitoista. Yksityiskohtaisempaa tietoa tutkimuksesta löytyy alta ja koko englanninkielisen dokumentin voi ladata osoitteesta http://www.pwc.com/giss2011 

Investoinnit ja budjetit: Tasapainoilua varovaisuuden ja optimismin välillä.


Investointimahdollisuudet ovat tiukassa. Lähes puolet vastanneista kertoi lykänneensä tänä vuonna turvallisuuteen liittyviä ensisijaisen tärkeitä investointeja. Selkeä viesti kuitenkin on, että tilanne on muuttumassa ja erityisesti lyhyen aikavälin projekteihin investoidaan jo herkemmin. Innostavana merkkinä optimistisesta suhtautumisesta tulevaan kertoo myös se, että tulevan vuoden investointien kasvua povaa 52% vastanneista. Luku on suurin sitten vuoden 2005

Mahdollisuudet ja riskit: Trendit ovat liian voimakkaita huomiotta jätettäviksi.

Viimeisen kolmen vuoden aikana turvallisuustoimintoihin investoiminen on ollut voimakkaassa kasvussa. Yhä suuremmalla osalla yrityksistä on tehty esimerkiksi päätason strategia yrityksen tietoturvallisuuden takaamiseksi, toimintaprosessit poistuvien laitteiden hävittämiseksi, ympäristön auditointi teknisellä tasolla jne. Vuonna 2010 kasvu on kuitenkin pysähtynyt ja kääntynyt paikoin jopa laskuun. Erityisesti uusien työntekijöiden taustaselvityksen tekemiseen, sekä työntekijöiden tietoisuuden lisäämiseen turvallisuusuhkista kiinnitetään yhä harvemmin huomiota.

Tietoisuus toteutuneiden turvallisuusuhkien vaikutuksista liiketoimintaan tunnetaan kuitenkin paremmin kuin koskaan. Vuonna 2007 40% vastanneista ei tiennyt kuinka monta uhkatilannetta yrityksessä on ollut viimeisen 12kk aikana. Tänä vuonna vastaava luku oli 23%. Kun seuranta tehostuu, paljastuu hälyttäviä lukuja: 20% yrityksistä raportoi toteutuneista taloudellisista menetyksistä, 15% tietovarkauksista ja 14% toteutuneista brändi- tai mainehaitoista.

Paineita turvallisuustoimintoihin investoimiseen siis on. Ei vain niiden ylläpitämiseksi, vaan tehostamiseksi ja ydinliiketoimintaa paremmin tukevaksi. Selkeä muutos tänä vuonna onkin, että turvallisuustoimintojen seuranta on siirtymässä yhä tiukemmin pois IT-osastoilta ja operatiiviselta puolelta liiketoimintajohdolle ja yrityksen korkeimmille päättäjille.

Uudet painopisteet: Mistä löytyvät nousevat uhkatekijät?

Verkostoitumisen ja pilvipalveluiden yleistyessä tiedon suojaaminen eri sovellusten, verkkojen ja laitteiden välillä on yrityksille suuri haaste, mutta nopeimmin kasvava uhka tulee erilaisista sosiaalisista verkostoista. Suurimpia sosiaalisen median luomia riskejä ovat tietovuodot, mahdolliset maineriskit, laittoman materiaalin lataamisen aiheuttamat mahdolliset vastuutekijät, sekä identiteettivarkaudet. Vain harva yritys on varautunut näihin uhkiin riittävällä tavalla. 77% yrityksistä ei omaa minkäänlaista käyttöpolitiikkaa sosiaalisen median suhteen tai toiminnallisempien nettisovellusten käyttöön (web 2.0). Kyse on strategiasta, jonka käyttöönotto on lähes ilmaista!

63% yrityksistä ei myöskään omaa mielestään tehokasta toimintasuunnitelmaa uhkatilanteiden toteutumisen varalta. Lähes puolella vastanneista (46%) on myös olemassa vakuutus joka suojaa tietovarkauksilta ja väärinkäytöksiltä. 17% heistä oli hakenut korvauksia ja 13% oli saanut niitä.

Aikuisviihdesivustot turvallisempia kuin Facebook

Erilaiset netissä leviävät haittaohjelmat ovat nykyään niin yleisiä, että käyttäjät törmäävät niihin todennäköisemmin suosituilla ja moraalisesti hyväksyttävillä sivustoilla vieraillessaan kuin porno- tai pelisivustoilla. Näin kertoo viimeviikolla julkaistu Websensen tutkimus.

Haittaohjelma livahtaa koneelle yhä useammin turvalliseksi ja hyväksyttäväksi mielletyn sivuston kautta. Yleisenä ja tunnettuna esimerkkinä mainittakoon Facebook, jonka "like" sovelluksen kautta leviävät haittaohjelmat ovat yhä yleisempi riesa.

Tutkimuksen mukaan vain klikkauksen tai parin päässä haittaohjelmista sijaitsee: 

  • Yli 70% netin suosituimmista uutis- ja mediasivustoista. 
  • Yli 70% suosituimmista keskustelufoorumeista 
  • Yli 50% sosiaalisen median yhteisösivustoista. 

Lisäksi tutkimuksen mukaan hakukoneiden suosittujen hakuehtojen listoille pyrkiminen on riskisivustojen perusteella kaksinkertaistunut pelkästään alkuvuoden aikana. On siis todennäköisempää, että onnistut saastuttamaan koneesi etsimällä sivustoja esimerkiksi jääkiekon SM-liigaan viittaavia hakusanoja käyttäen kuin eroottista sisältöä etsiessä.

Haittaohjelmat eivät enää sijaitse sivustoilla itsessään vaan löytyvät usein linkin tai kahden päästä, jonkin sivuston sisällöntuotantoon osallistuvan tahon kautta. Virustorjuntasi saattaa siis pitää sivustoa täysin luotettavana, mutta olet vain klikkauksen päässä tartunnasta.

Sivustojen jakaminen turvallisiin ja vaarallisiin on siis jo täysin turhaa. Vaaroja vaanii verkossa kaikissa väreissä ja muodoissa, eikä turvallisuutta löydetä kieltämällä erinäisten web-sivustojen selailua. Vaarojen tiedostaminen, turvallinen ja vastuullinen koneen käyttö, sekä selkeä toimintaohjeistus ja koulutus ovat ainoita tehokkaita keinoja, joilla tämän päivän uhkia vastaan voidaan tehokkaasti suojautua.

Vielä hieman triviatietoa facebookista:

Noin 40% kaikista status -päivityksistä facebookissa sisältää linkin ja tällä hetkellä joka kymmenes näistä linkeistä on joko roskapostia, tai haittaohjelmia.

Hälytyskellojen pitäisi siis soida, ennenkuin painat sitä "Voi paska, katso miten kävi kun isä näki tyttärensä webcam-esityksen" -linkkiä. Haksahtaneita suomalaisia on jo lähes 100 000, kertoo tietokone -lehti

lauantai 2. lokakuuta 2010

Pilvipalvelut ja turvallisuus - Osa 2

Jari pohti pilvipalveluista kertovan artikkelisarjan ensimmäisessä osassa ulkoistukseen liittyviä ongelmia yritysturvallisuuden näkökulmasta. Tässä osassa on tarkoitus keskittyä hieman tarkemmin toimintaympäristön teknisiin ratkaisuihin, jotka on hyvä ottaa huomioon palveluiden ulkoistamista suunnitellessa. Palveluiden ulkoistamisesta neuvoteltaessa keskustelu toimittajan kanssa jää helposti palvelutarjoajan laiteympäristön hehkutuksen ympärille. Elämää suuremmat laiteympäristöt (joita ne varmasti toimittajan mukaan aina ovat) ovat kuitenkin vain kortin toinen puoli. Se toinen, oleellisesti tärkeämpi, on se kuinka ympäristön hallinta on nykyisessä ympäristössäsi ja toimittajasi ympäristössä järjestetty. Mikäli toimittaja ei tunne yrityksesi nykyistä tilannetta ja esimerkiksi sen käyttövaltuushallinnan prosesseja, ei turvallista toimintaa voida taata minkääntasoisessa pilvi-ympäristössä.

perjantai 1. lokakuuta 2010

IT-katkot vaikuttavat liikevaihtoon

IT-katkot maksavat menetettynä liikevaihtona suomalaiselle yli 50 henkeä työllistävälle yritykselle keskimäärin 200 000 € vuodessa. Menetysten estämiseksi on keinoja, mitkä voidaan lukea tavanomaisten riskienhallinnan toimenpiteisiin.
Yritysten riippuvuus tietojärjestelmiä on nykyisin sitä tasoa ettei toimintaa useinkaan voida jatkaa edes puolittain ilman niitä. Tämän vahvistaa myös IT-yhtiö CA Technologiesin teettämän raportti, minkä mukaan suomalaiset yritykset menettävät IT-katkojen takia vuosittain noin 440 miljoonaa euroa liikevaihtoaan. Tietojen varmistaminen on yrityksissä on kuitenkin sellaisella tasolla ettei tietojen katoaminen ole enää suurin haittatekijä vaan ensisijaiset syyt liikevaihdon menetykseen ovatkin katkojen pituudessa sekä katkojen yleisyydessä. IT-osastot ovat vuosien ajan kehittäneet varmistusjärjestelmiä sillä teratavujen mittoihin paisuneet datamäärät ovat vaatineet järjestelmien kapasiteetin ja tallennusnopeuden kasvattamista. Kehitystyön keskittyminen kaikkien tietojen varmistamiseen ilman suurempaa pohtimista liiketoiminnan jatkuvuudesta on jättänyt aukon jatkuvuuden hallintaan.

IT-katkojen ehkäiseminen ja toipumiseen kuluvan ajan vähentäminen kannattaa aloittaa riskien tunnistamisesta ja analysoinnista. Liiketoimintakriittisten järjestelmien ja niihin kohdistuvien uhkien kartoittaminen auttaa kohdistamaan toimenpiteet tehokkaasti.  Suunnittelemalla toimintatavat ja komponentit oikealla tavalla, voidaan jo pienillä investoinneilla parantaa järjestelmien häiriöttömyyttä ja yrityksen toiminnan jatkuvuutta.

Tähtäimessä teollisuus

Virukset ovat olleet kaikkien yritysten ja toimialojen riesa, joilla tietokoneita ylipäätään on käytetty. Keskustelu Stuxnet -viruksesta on siirtänyt huomiota nyt myös toimistoista teollisuushalleihin virusuhkakuvan muuttuessa.

IT-viikko kirjoittaa artikkelissaan maailmalla, etenkin Iranissa, levinneestä Stuxnet-viruksesta. BBC on nyt julkaissut epäilyjä siitä, että virus oli kohdistettu Bushehrissa sijaitsevaa ydinvoimalaa vastaan. Virukseen liittyy paljon muutakin huomionarvoista ja poikkeavaa, mutta se kertoo myös virustehtailun muutoksesta.

Vielä tänä päivänä toteutuneen virusongelman vahingot realisoituvat melkein välittömästi. Koneet ovat käyttökelvottomia tai hitaita, tuotanto seisoo, kuljetukset viivästyvät tai salasanat vuotanut käyttäjätili on pois käytöstä. Stuxnet taas on perinteisiin viruksiin nähden paljon pelottavampi. Virus sisältää toiminnallisuutta, jolla tuotantolaiteita voidaan ohjata tai parametroida uudestaan. Mitään ei näy päälle päin, työt jatkuvat kuten ennenkin, mutta jokin on huomaamatta muuttunut.

Miltä kuulostaa tilanne, jossa turvallisuuskriittinen toimiala - esimerkiksi ilmailuteollisuus, ydinvoimatuotanto tai sotateollisuus - tilaa alihankintana tavaraa, jonka laadusta ei olekaan taetta. Esimerkiksi turvajärjestelmien osia, kiinnityspultteja tai vaikkapa ydinvoimalan betonia valmistettaessa alihankkijan järjestelmät ja laadunvalvonta väittää kaiken olevan kunnossa, mutta pultti onkin oikeasti ohuempi, betoni heikkolaatuisempaa tai turvallisuusjärjestelmässä on haavoittuvuus jo kokoonpanolinjalla. Ja ikävä kyllä ne teollisuushallien päätteet ovat useimmiten ne, joita kaikkein vähiten päivitellään.

Onko joku joskus kuullut lauseen "Ei siihen tietokoneeseen kannata koskea, kun siinä on tuon tuotantojärjestelmän ohjaus ja se voi mennä vikaan päivityksestä..."...?