perjantai 16. joulukuuta 2011

Joko teillä on se Tietoturva?

Keskustelu tietoturvallisuudesta ahdistaa! Lähes aina se käynnistyy joko uutisissa olleen tietomurtohakkerointiepisodin jälkeen, jonkun konsultin täytettyä monivalintatehtävän tai "asiantuntijan" kirjoituksesta tietoturvan tärkeydestä. 

Riippuen keskustelun käynnistäjästä, päivitellään joko hakkerien taitoa ja pahuutta tai sitten todetaan tietoturvan olevan meille todella todella todella tärkeä asia, ihan johtoa myöten se koetaan tärkeäksi. Seuraavaksi sitten unohdetaankin koko juttu koska eihän niitä hakkereita kiinnosta meidän tiedot ja onhan se tietoturva on niin vaikeaa ja kallista. Jos joku oikeasti sattui kiinnostumaan asiasta, niin ensimmäisenä ryhdytään miettimään salauksia, estoja, seurantaa ja kaikkea sellaista mystistä ja jännää. Pohdinnat liikkuvat kyllä tärkeissä salasanoissa, kännyköissä, kannettavien salauksessa ja palomuureissa mutta rajaavat ajatukset kapeaan putkeen. Kun on keksitty itselle sopiva ja kiinnostava kehityskohde, niin sitten rynnätään kauppaan ostamaan jotain ja asennetaan se käyttöön jotenkin. Lopuksi todetaan että meillä on nyt sitten se tietoturva ja kaikki ovat tyytyväisiä. Voidaan taputella toisiamme selkään ja julistaa muillekin kuinka turvallisia meillä ollaan. Ja tämä ahdistaa minua, se ahdistaa minua kuin entistä miestä. Miksi ihmeessä ketään ei kuitenkaan kiinnosta kunnollinen tietoturva? Siis sellainen käytännöllinen, konkreettinen ja järkeenkäypä tietoturva, millä saadaan oikeasti lisättyä turvallisuutta siellä missä sitä tarvitaan. Todellisia uhkia vastaan. Tarkoitan sellaista todellista turvallisuutta, mitä saadaan vasta, kun halutaan tunnistaa 

1. Mitä pitää suojata
2. Mikä suojattavaa kohdetta uhkaa
3. Miten uhilta suojaudutaan kustannustehokkaasti 

Olkoon tämä prosessi nimeltään mikä tahansa, yleensä se on riskienhallintaa, mutta ilman sitä ei kuitenkaan tietoturvaa voida kunnolla kehittää. Kaikki työ tietoturvan eteen ilman suojattavien kohteiden ja niihin kohdistuvien uhkien tunnistamista on kuin ampuisi haulikolla silmät kiinni. Panoksia kuluu rutkasti, osumat ovat täysin tuurista kiinni ja homma on kohtuullisen vaarallista kaikille. ...kylläpä helpotti!

perjantai 9. joulukuuta 2011

Tuloksellista tietoturvallisuutta USA:sta

Suomessa julkisuutta saaneista valelääkäreistä ja viranomaisvalvonnan puutteesta terveydenhuollon suurimmat ongelmat eivät ainakaan USA:ssa vaikuttaisi liittyvän viranomaisvalvontaan, vaan paljon käytännönläheisimpiin asioihin.

Tietovuodot ja niiden kautta tapahtuva potilastiedon vuotaminen ja joko suorat identiteettivarkaudet tai niiden mahdollistuminen vuotojen kautta on lisääntynyt. Jopa 96% terveydenhuollon palveluntarjoajista raportoi, että heillä on tapahtunut ainakin yksi tietovuoto viimeisen kahden vuoden aikana. Yhdysvalloissa terveydenhuollossa suurimmat ongelmat liittyvät turvattomiin mobiilipäätteisiin ja henkilökunnan tekemiin virheisiin. Suurimmat syyt ovat: 

  • Kadonneet tai varastetut laitteet (49%) 
  • Työntekijöiden epätarkoituksenmukainen toiminta (41%) 
  • Kolmansien osapuolten tekemät virheet (46%) 

Yhdysvalloissa on keskitytty viime vuosina lainsäädännön ja vaatimustenmukaisuuden parantamiseen terveydenhuollon ympäristössä. Työ on keskittynyt henkilöstön koulutukseen, toimintapolitiikoihin ja hallintoon. Yhä vähemmän luotetaan ad-hoc –prosesseihin ja pyritään suunnittelemaan turvallisuuden hallinta pitkäjänteisemmäksi ja mitattavaksi organisaatioksi. Työllä onkin ollut tuloksia, sillä yhä useampi ongelma havaitaan mm. työntekijöiden toimesta tehdyissä tarkastuksissa ja potilaiden, terveydenhuollon asiakkaiden, toimesta tehdyt havainnot ovat vähentyneet. Havaintojakson ollessa yhden vuoden, eivät muutokset vielä voikaan olla kovin suuria. Mutta tietoturvallisuuden pitkäjänteisellä ja kokonaisvaltaisella kehittämisellä saadaan siis tuloksia enemmän kuin esimerkiksi vain teknologiaan keskittymällä.

Kuitenkin viimeisin kolmesta on mielenkiintoinen ongelma Suomen näkökulmasta. Tutkimustuloksia ei voi johtaa suoraan Suomen toimintaympäristöön, mutta eräs tärkeä havainto meidänkin näkökulmasta löytyy. Tutkimukseen osallistunen henkilöstön osalta potilastiedon tärkeyden merkityksen ymmärtäminen ei vaikuta olevan kovin korkeaa tasoa. Esimerkiksi IT-henkilöstön osalta 58% sanoo, etteivät he ymmärrä potilastiedon tärkeyttä. Tämä yhdistettynä niihin 46 prosenttiin, joissa tietovuodon syynä on kolmas osapuoli antaa ajattelemisen aihetta. Suomessakin ollaan siirtymässä kansallisen lääketietokannan, reseptikeskuksen ja potilastiedon arkistojen käyttäjiksi. Tämä tarkoittaa väistämättä sitä, että potilastiedon kanssa alkaa olla tekemisissä yhä useampia organisaatioita terveydenhuollon ulkopuolelta esimerkiksi tietotekniikkapalveluiden kautta. Suomen terveydenhuolto on laadukasta ja työntekijöiden moraali on korkeaa. Mutta entä niissä yrityksissä, joille terveydenhuollon alan etiikka ei ole tuttua? Etenkin siirtymävaiheen aikana on muistettava kiinnittää huomiota myös siihen, että kolmansien osapuolten henkilöstö on osaavaa, motivoitunutta ja ymmärtää myös tiukkojen säädösten taustalla olevan tarkoituksen.

Olisiko heidät jopa syytä osallistaa vaikkapa tietoturvapoikkeamien hallintaan liittyviin prosesseihin palveluita ostavan terveydenhuollon organisaation toimesta? Ja kummanko organisaation laadun parantaminen on tällöin itse asiassa kyseessä? Ja miten se huomioidaan jo sopimustasolta lähtien?

keskiviikko 23. marraskuuta 2011

Heikko tietoturva jo IT-alan rakenteissa?

Viime aikoina on uutisoitu paljon tietoturvasta ja siihen liittyvistä ongelmista. IT-ala on kuitenkin hyvin poikkeuksellisesti muodostunut, verrattuna muihin yhteiskunnan aloihin. Onko vika itse alan rakenteissa

Tietotekniikan tulo jokapäiväiseen elämäämme ja yritysten arkeen tapahtui todella nopeasti. Niinkuin kaiken tekniikan. Poikkeuksellisen tästä tekniikasta teki kuitenkin se, että se mahdollisti kaksisuuntaisen viestinnän ja yksilöiden sekä organisaatioiden aktiivisen toiminnan välittömästi vuorovaikutuksessa toisiin ja muihin ympäristöihin. Ensimmäinen auto ei ajanut heti hengenvaarallisia nopeuksia - saati että olisi ollut edes teitä, joilla olisi voinut ajaa niin lujaa. 1500-luvun pirttien rakennuskätköistä ja kylävahdeista on tultu pitkä matka nykyaikaiseen viranomaisjärjestelmään ja kassakaappiin. Mutta IT-alalla tuo kaikki tapahtui tähän aikajanaan verrattuna silmänräpäyksessä.

Kysymyksen herätti se, että kokemustemme mukaan melko monessa ympäristössä suurin haavoittuvuus on ollut IT itse. Eroa ei ole havaittavissa ilman pätevää vertailututkimusta julkishallinnon, IT-palveluntarjoajien eikä yksityisyritysten omien IT-osastojen välillä. Organisaation verkkoa käytetään tiedostojen jakoon tuttujen ja ystävien kesken, sitä käytetään pelien pelaamisessa servereinä ja sallitaan epämääräisiä yhteyksiä ulkomaailmasta ja joissain ympäristöissä toimitusjohtajan sähköpostikin luetaan yleensä aamulla IT:n työvuoron alkaessa. Helpottaahan se elämää, kun ei YT-ilmoitukset tule yllätyksenä. IT-alalla puhutaan myös perustuslaillisten oikeuksien sijaan jostain ihmeellisistä "hakkereiden etiikoista" ja viitataan, että olisi olemassa ympäristö, jonka valtarakenne poikkeaisi siitä, mihin yhteiskuntasopimuksilla olemme tottuneet.

Usein varsinaiset vallanpitäjät - organisaatioiden omistajat ja johto - joutuvat nielemään nämä asiat sellaisenaan. Aina asioista ei tiedetä ja jossain ongelmat myönnetään suoraan, mutta omat keinot eivät riitä välttämättä edes omien työntekijöiden perustuslaillisten oikeuksien suojaamiseen. Jossain johto käyttää tätä hyväksi. Mutta mistä johtuu, että IT-alalla ei tarvita minkäänlaista henkilön taustatarkistusta tai organisaatiolta mitään osoitusta pätevyydestä, että IT-henkilöstö voi toimia tehtävissä, joissa joutuu puuttumaan päivittäin perustuslaillisiin oikeuksiin? Turvallisuusalalla ja viranomaispuolella nämä asiat ovat itsestään selviä. Viestintä, yksilön suoja, oikeudet työpaikalla ja vapaa-ajalla otetaan huomioon edellä mainituilla aloilla hyvinkin tarkkaan. IT-alan regulaatio ei ole mitenkään verrattavissa muun yhteiskunnan regulaatioon. Onko se on edelleen se "villi länsi", josta odotetaan vain sitä "uutta nokiaa" kuin Kalevalan Sampoa?

Omien kokemustemme mukaan syy ei ole se, että yritysten johto ylläpitäisi tällaista kulttuuria siksi, että sitä voisi tarvittaessa hyödyntää itse. Usein vain siksi, että sen edessä ollaan voimattomia. Asiasta ei voi edes puhua, koska heti leimaa organisaationsa julkisuudessa epäluotettavaksi. Eikä kukaan oikeastaan ole edes kysynyt, että onko tämä oikein? Nyt pitäisi kysyä, että sitooko jokainen tietovuoto meidät henkisesti vain tiukemmin riippuvaisiksi näiden ongelmien todellisista syistä?

tiistai 22. marraskuuta 2011

Onko meillä tapahtunut tietomurto? Muista ennen aloitusta!

Tietovuotoja ja tietomurtoja ovat uutiset ja netti täynnä. Organisaatioiden on syytä kiristää viimeistään nyt otettaan tieto-omaisuudestaan, mutta kannattaa varoa, ettei prosessin aikana syyllisty itse rikokseen.

Organisaatioilla, joilla IT-osasto on työsuhteessa omaan yritykseen, on hiukan enemmän mahdollisuuksia tutkia oman ympäristönsä väärinkäytöksiä. Tänä päivänä on kuitenkin hyvin tavallista, että tietotekniikan ylläpito on ostettu ulkoa. Jos tällöin kumppani tai alihankkija alkaa tutkia mahdollisia rikosepäilyjä, puhutaan rikosten paljastamisesta ansaintatarkoituksessa. Tätä saa tehdä vain kyseisen luvan omaava organisaatio. Laki yksityisistä turvallisuuspalveluista rajaa oikeuden vartioimisliikkeille.

Rikosten ja väärinkäytösten paljastaminen on toimintaa, jota ei pidä tehdä vasemmalla kädellä kenen tahansa IT-toimittajan kanssa. Vaakalaudalla ovat ensinnäkin omien todisteiden näyttökelpoisuus, lain mukainen prosessi sekä omien työntekijöiden ja kumppaneiden tietosuoja. Jo pelkästään viimeksimainittujen syiden takia kannattaa valita kumppani, jolle luottamuksellisuuden velvoite ja hyvä tapa eivät ole vain myyntilupauksia, vaan lain kautta tulevia velvoitteita. Tietenkin todeisteiden keruun näytön painoarvon säilyminen on ensisijaista, koska mitäpä hyötyä on käyttää resursseja väärinkäytösten esillesaamiseksi, jos tulosten perusteella ei voi edetä tai pahimmassa tapauksessa on itse syytettynä.

Tietoturvallisuudesta puhuttaessa joudutaan usein alueelle, joka ei kuulu tämän päivän tietotekniikan insinöörienkään koulutukseen mitenkään. Ja miksi kuuluisikaan? Kyse ei ole vain tietoteknisestä osaamisesta tai erinomaisuudesta. Tällaisissa asioissa joudutaan usein alueelle, jossa puututaan yksilöiden perustuslaillisiin oikeuksiin tai vapauksiin. Väärinkäytösten ja rikosepäilyjen esilvitysprosessiin liittyy paljon muutakin, kuin tietämys siitä, mistä tiedon valtatiet on rakennettu. Jo pelkästään tämän vuoksi jokainen vastuunsa tunteva organisaatio varmistuu siitä, että se ei toiminnallaan loukkaa oman henkilöstönsä tai yhteistyökumppaniensa oikeuksia tai vapauksia. Eipä meidän lainsäädännössä as sakottele ylinopeuksista, eivätkä rakennusalan ammattilaiset selvitä rakennusmurtoja. Miksi näin olisi tietotekniikan puolella?

maanantai 21. marraskuuta 2011

Tietoturvallisuus on myöhässä

Tietoturvallisuus liiketoimintana on erittäin pahassa paikassa. Sen täytyy vastata nykyaikaisiin uhkiin, mutta se on kahden paikalleen juuttuneen alan yhtymäkohdassa.

Turvallisuusalasta…

Turvallisuusalan kasvulla tuuletetaan julkisuudessa, kun 24/7 ABC:t palkkaavat lisää yömyyjiä vartijoista. Uusia moniosaajia viedään turvallisuuskylki edellä vaikka mihin. Kuitenkin jokainen osaa tällaisten tehtävien turvallisuusvaikutuksen arvioida. Hankinnan arvioinnin perusteena taitaakin useimmiten olla työehtosopimuksen arviointi. Todellisuudessa nämä moniosaajapalvelut ovat jääneet siihen mihin tietoturvakin, monen alan ristipaineeseen – esimerkiksi kiinteistöalan, kaupan ja turvallisuusalan – siten, että oikein missään ei olla hyviä. Kulunvalvontaa myydään edelleen, vaikka yksikään järjestelmä ei enää vastaa tulevaisuuden työnteon haasteisiin: Miten seuraat työntekijän liikkumista tai työaikaa, kun hän tekee työnsä etänä, asiakkaalla tai on kokonaistyöajalla, koska työnantaja ei oikein itsekään enää tiedä, milloin työt on parasta suorittaa? Ja sitä paitsi – turvallisuusala ei edes kasva.

IT-alasta…

IT-alan uusinta uutta moniin vuosiin on jokin hämäräperäinen pilvipalvelu, jonka SWOT-analyysi on vieläkin kesken. Saati, että kukaan tietäisi käykö se parhaiten heille vaiko noille (. Myyjät ajavat sitä kuin käärmettä pyssyyn, vaikka puolet sitä käyttävistä organisaatioista eivät usko, että heillä on edes riittäviä keinoja hallita sitä ( esimerkit 1 ja 2). Huh. Ei yhtään innovaatiota vuosiin. Onneksi välillä pääsin ostamaan iPhonen – ja vaikka innovaatioarvo silläkään ehkä kovin suuri ollut, niin ainakin se toimii.

Tulevaisuudesta?

Oikein odotan, että turvallisuusalalla joku keksii IT-alan ohjelmistotuotannosta ehkä asiakasvastaisimman ”innovaationsa”. Taustaksi: Koulutusjärjestelmää myyvä ohjelmistotalo, jolla ei ole pedagogiikan opintoja edes alkeiden vertaa. Sosiaalista mediaa kaupitteleva talo, jossa on töissä nörttejä, joilla ei ole mitään käsitystä siitä mitä on normaalin ihmisen sosiaalisuus. Tai viestintäpalveluita myyvä ohjelmistotalo, jossa ei tunneta viestintää kuin oman järjestelmän kautta ja unohdetaan viestinnän koko kenttä. Enpä haluaisi nähdä heidän perhe-elämäänsä… Tämä uusi turvallisuusalan innovaatio olisi turvallisuusjohtamisen tuote, jossa myyjä ja asiantuntija yhdistetään ja sitten tämä kummassakin roolissaan vain välttävästi suoriutuva risteymä ”konsultoi” asiakkaalle edustamansa yrityksensä peruspalvelut. Ojentakaa oksennuspussi, kiitos.

”Hang out with the dull and become dull.” Niinkö? Tietoturva tarvitsisi kipeästi uutta ja innovatiivista seuraa. Maailma ei muutu – se on jo muuttunut. Me olemme ainakin kaksi askelta jäljessä. Onneksi olemme tajunneet edes sen. Nyt ovat hyvät ideat tarpeen. Kaikille meille.

sunnuntai 13. marraskuuta 2011

Taas tietovuoto, so what?

Amerikkalaisten tutkimusten mukaan identiteettivarkauksien ja -petosten määrä on ollut jonkin aikaa laskussa. Silti yksittäisen rikoksen uhriin kohdistuvat taloudelliset menetykset kasvavat. Mutta luvuista voi päätellä kuitenkin yhden asian...

Amerikkalaiset ovat seuranneet identiteettivarkauksia, -petoksia ja niiden tilastoja jo lähemmäs 10 vuotta. Helmikuussa 2007 yhdysvalloissa identiteettivarkauden tai -petoksen uhreja oli enää 8,4 miljoonaa, kun vuonna 2003 luku oli yli kymmenen miljoonaa uhria. 2007 yksittäiseen uhriin kohdistuvat tappiot olivat noin 5 700,00 yhdysvaltain dollaria (Javelin Strategy & Research). Tällä laskukaavalla viimeisimmän arkaluontoisten henkilötunnusten tietovuodon arvo harrastelijamaisella "vertailulla" voisi olla noin 64 miljoonaa euroa. USA:ssa tappiot ovat sitä luokkaa, että Suomen "kreikkatakuut" eivät vielä pahimmassakaan skenaariossa kata edes puolta petosten kautta hävitystä rahamäärästä.

Yksittäisen kuluttajan, yrityksen tai muun organisaation tappiot ovat kasvaneet arvioiden mukaan lähinnä petosten luonteen muuttumisen vuoksi ja ympäristön monimutkaistumisen takia. Hyväksikäyttö on tänä päivänä pidempikestoista ja kertatappiot ovat pieniä ja huomaamattomia. Rikolliset eivät enää keskity tuottamattomiin kohteisiin, vaan hyväksikäyttö keskittyy sinne, missä panoksilla saadaan aikaan tulosta. Rikosten määrän vähenemistä selitetään usein paremmalla suojautumisella, mutta kuten tuloksista voi huomata, on pelkkä palomuuri verkon laidalla jo vanhentunut menetelmä. Tappiot ovat silti kasvussa, vaikka palomuuri on varmasti jo jokaisella kotisurffajallakin. Organisaatioiden näkökulmasta tulee tärkeämmäksi kokonaiskuva, tilannetietoisuus ja ympäristön jatkuva seuranta. Tähän ollaankin onneksi jo suomalaisissa yrityksissä heräämässä. Yksittäiset teknologiatyökalut ja ohjelmistot eivät enää riitä yritysjohdolle, maailma muuttuu ja ratkaisujen on muututtava mukana.

Tärkeää on huomioida etenkin varautuminen ja jälkihoito. Nimittäin lähestulkoon ainut varma asia tässä on, että tämä arpa osuu kohdalle ennen pitkää. Jos lentokentällä lomakauden ruuhkissa myyntipäällikön ostaessa lippua Aasiaan tärkeään vientineuvotteluun selviää, että luottokortti ei kelpaa, seuraa siitä ongelmia yritykselle, vaikka kertaluontoinen taloudellinen tappio on mahdollista rajata ja usein jääkin vain muutamiin tuhansiin. Tietysti kuluttajalla luotomerkintä voi vaatia pitkänkin jälkiselvittelyn, mutta yrityksillä tämä ongelma on vain järjestelykysymys. Jälkihoito ja paluu normaalitilanteeseen ovat tärkeitä suorittaa nopeasti, ennenkuin vahingot alkavat kertaantua. Tässä organisaation johto ja sen toiminta ovat avainasemassa, sillä tähän ei saa ohjelmistoa suoraan kaupan hyllyltä.

Mutta kuten alussa todettiin, yhden asian luvuista voi pätellä. Nimittäin sen, että ilmiö on jo arkipäivää, vaikka me näennäisesti uuden asian äärellä vielä kauhistelemmekin. Maailma muuttuu eikä aika entinen koskaan enää palaa, vai miten se meni? Päätellen siitä, että viimeisimmän murron yhteydessä oli jopa 4 vuotta vanhoja tilitietoja, niin varautuminen tähän riskiin piti olla arkipäivää jo 2007. Ja olihan se sitä, joten voimme rauhassa todeta, että: "No news."

Turvallisuus 2010

Jos turvallisuuspäällikkösi kaivaa ensimmäisenä tietoturvallisuudesta puhuttaessa esiin jonkin kirjain- ja numeroyhdistelmien pyhittämän kirjasen, kivitä hänet.

Ennen

Se mikä ennen toimi, ei vaikuta toimivan enää. Eikä sen tietenkään pitäisikään. Epävakaus, muutos ja epävarmuus tuntuu leimaavan joka asiaa. Työmarkkinoilla normaali työsuhde on nyt poikkeus, kukkarossa olevan rahan arvosta, saati vaakunasta, ei voi mennä takuuseen ja hakkerit julkaisevat sosiaaliturvatunnuksesi ja puhelimen pin-koodisi netissä. Lisäksi saat todennäköisesti harmaita hiuksia siitä, kun jokainen työntekijäsi haluaa käyttää töissä omia laitteitaan ja järjestelmiään, koska ”ovat vaan niihin kasvaneet.”

”Muutos kuvaa tätä aikaa”. Se on tietenkin kliseisesti todettu, johtuen siitä, että jokaisen aikakauden ihminen sanoo ihan samaa. Mutta ydin onkin juuri siinä, että muutos on väistämätön; kaikki kehittyy ja mihinkään ei ole paluuta. Teknologian kehitys tuntuu kiihdyttäneen tätä muutosta melkoisesti. Siksi 2000-luvun turvallisuudella ei pärjää enää 2010. Se EI tarkoita sitä, että 2000 luvun menetelmät tai opit olisivat vanhentuneita, vaan sitä, että ajattelutapa on haudattava. Menetelmiä voi käyttää, mutta ajattelutapa… Muutu tai kuole.

Perinteinen turvallisuus oli konservatiivista, staattista, säilyttävää, kaavamaista ja riippuvaista melko muuttumattomasta ympäristöstä. Tämän päivän ympäristö muuttuu ja elää. Kaikki on jatkuvassa vuorovaikutuksessa ja monet inkrementaaliset muutokset prosesseissa, toimintatavoissa ja jopa rakenteissa ovat erittäin nopeita. Nykyaikojen markkinat ovat rakennettu juuri nopeudelle. Kuten Progressiven Peter Lewis sanoi: "We dont sell insurances anymore, we sell speed". Työmarkkinoilla puhutaan tulevaisuuden työntekijästä, joka hoitaa työt, raportoinnin, laatuvalvonnan ja osittain myynnin ja asiakassuhteet. ”Managing partner” – oman itsensä päällikkö, jolla on hyppysissään suuri vastuu ja paljon… tietoa. Asiakkaat vaativat joustavia ja laadukkaita palveluita. Hyvä toimittaja elää asiakkaan tarpeiden mukaan, ei ainoastaan hinnalla. Tämän vuoksi ajattelutavan muutos myös turvallisuudessa on väistämätön.

Nyt

Tulevaisuuden turvallisuustyö on nopeaa, reflektiivistä, tilannetietoista ja reagoivaa. Keinovalikoimaa on oltava enemmän kuin yhden varapalomuurin verran. Sitä on kyettävä käyttämään joustavasti ja tehokkaasti – ei välttämättä massalla, mutta tietoon ja ennakointiin perustuvana täsmäiskuna. Turvallisuuden on elettävä, mentävä kaksi askelta edellä ja tarjottava vaihtoehtoja. Turvallisuus ei saa olla rajoittavaa ja säilyttävää, vaan uteliasta, rohkeaa ja älykästä. Sen täytyy kyetä luovaan ajatteluun ja sen on palveltava asiakkaan menestystä – ei sertifiointiorganisaatiota, jonka bisnes ei ole asiakkaan menestyksesä, vaan myytyjen lisenssien määrässä. Vanhalla tavalla pärjäät nyt hyvin, mutta pysäyksestä tulee rajumpi ja pudotuksestasi syvempi.

???Niin, ja ne nuoret. Ne tulevat varmasti tekemään asiat omalla tavallaan. Siihenhän me olemme heidät opettaneet.

Identiteettipetokset vähenemässä, taloudelliset menetykset kasvamassa

Amerikkalaisten tutkimusten mukaan identiteettivarkauksien ja -petosten määrä on ollut jonkin aikaa laskussa. Silti yksittäisen rikoksen uhriin kohdistuvat taloudelliset menetykset kasvavat.

Helmikuussa 2007 yhdysvalloissa identiteettivarkauden tai -petoksen uhreja oli enää 8,4 miljoonaa, kun vuonna 2003 luku oli yli kymmenen miljoonaa uhria. 2007 yksittäiseen uhriin kohdistuvat tappiot olivat noin 5 700,00 yhdysvaltain dollaria (Javelin Strategy & Research). Tällä laskukaavalla viimeisimmän arkaluontoisten henkilötunnusten tietovuodon arvo harrastelijamaisella "vertailulla" voisi olla noin 64 miljoonaa euroa.

Yksittäisen kuluttajan, yrityksen tai muun organisaation tappiot ovat kasvaneet arvioiden mukaan lähinnä petosten luonteen muuttumisen vuoksi ja ympäristön monimutkaistumisen takia. Hyväksikäyttö on tänä päivänä pidempikestoista ja kertatappiot ovat pieniä ja huomaamattomia. Rikolliset eivät enää keskity tuottamattomiin kohteisiin, vaan hyväksikäyttö keskittyy sinne, missä panoksilla saadaan aikaan tulosta. Rikosten määrän vähenemistä selitetään usein paremmalla suojautumisella, mutta kuten tuloksista voi huomata, on pelkkä palomuuri verkon laidalla jo vanhentunut menetelmä. Organisaatioiden näkökulmasta tulee tärkeämmäksi kokonaiskuva, tilannetietoisuus ja ympäristön jatkuva seuranta. Tähän ollaankin onneksi jo suomalaisissa yrityksissä heräämässä. Yksittäiset teknologiatyökalut ja ohjelmistot eivät enää riitä yritysjohdolle, maailma muuttuu ja ratkaisujen on muututtava mukana.

Toinen tärkeä asia on miettiä jälkihoitoa. Jos lentokentällä lomakauden ruuhkissa myyntipäällikön ostaessa lippua Aasiaan tärkeään vientineuvotteluun selviää, että luottokortti ei kelpaa, seuraa siitä ongelmia yritykselle, vaikka kertaluontoinen taloudellinen tappio on mahdollista rajata. Jälkihoito, varautuminen ja paluu normaalitilanteeseen ovat tärkeää suorittaa nopeasti, ennenkuin vahingot alkavat kertaantua. Tässä organisaation johto on avainasemassa, sillä tähän ei saa kaupan hyllyltä ohjelmistoa. Johtaminen, riskienhallinta ja selkeät toimintaohjeet ovat asioita, jotka voi kaikeksi onneksi hoitaa jo etukäteen.

lauantai 5. marraskuuta 2011

Miten me luotamme?

Otsikoissa on tällä hetkellä Suomessa toistaiseksi suurin julkisuuteen päätynyt yksittäisiin ihmisiin kohdistunut tietovuoto. Vuodosta tekee vakavan se, että mukana on mm. henkilötunnuksia, joka suomalaisessa käytännössä ovat arkaluontoinen tieto.

Tapaus ei ole ensimmäinen kerta, jossa verkon kautta saadaan käsiin tietoa, joka sisältää arkaluonteista materiaalia kohteestaan. Eikä se ole viimeinenkään. Merkittävää tapauksessa ei ole sekään, että oliko vuoto tahallinen vaiko pelkkää huolimattomuutta. Tai oliko sen taustalla tahallinen, tavoitteellinen murtautuminen vai oliko kyse vain tilaisuuden hyödyntämisestä. Tärkeintä on muistaa, että tämä ei ollut viimeinen kerta.

Pankeille ei ole onneksi enää hetkeen riittänyt puhelinpalvelussa se, että muistat henkilötunnuksesi. Ikävän monesta paikasta saat kuitenkin vielä hankittua ja muutettua omia tietojaan pelkästään esimerkiksi soitolla. Jotkut yritykset ja julkishallinnon organisaatiot pyytävät ehkä henkilötunnuksen, etevimmät sen lisäksi esimerkiksi lähiosoitteen. Mutta aikana, jona sekä osoite, ammatti, henkilötunnus ja muita tietoja voidaan hankkia tuhansista kansalaisista kerralla, ei tällainen kaikissa organisaatioissa voi enää riittää.

Organisaatioiden on melko tarkkaan syytä miettiä, mitä vaihtoehtoja asioimiseen ja henkilön tunnistamiseen on käytössä. Asioinninhan pitää kuitenkin sujua - monella yrityksellä puhelinpalvelu ja erilaiset verkkopalvelumuodot ovat liiketoiminnan edellytys. Ei voida vaatia henkilökohtaista käyntiä, biometristä passia ja sormenjälkeä, jos halutaan pysyä markkinoilla. Toinen tärkeä asia mietittäväksi on se, mitä tietoja asiakas ylipäätään voi muuttaa ja hankkia esimerkiksi puhelinpalvelun kautta. Kaikkeahan ei ole aina välttämätöntä hoitaa heti ja vain yhdellä viestintäkanavalla. Myös erilaisten varmistusten käyttöä kannattaa miettiä; esimerkiksi puhelusta voisi jäädä merkintä asiakashistoriaan, joka voisi olla tarkistettavissa verkon kautta milloin tahansa. Näin esimerkiksi kontaktit, joita itse ei ole tehnyt, tulisivat ilmi ja niihin voisi reagoida.

Viimeistään nyt on aika miettiä sitä, miten ja mihin me verkossa liikkuessamme luotamme. Ja miten vältetään se, ettei itse joudu hyväksikäytetyksi.

torstai 30. kesäkuuta 2011

Kuntien turvallisuussuunnittelu Etelä-Pohjanmaalla

Sisäasiainministeriö julkaisi 2006 asettamansa työryhmän esityksen paikallisesta turvallisuussuunittelusta. Tuon esityksen tuloksina syntyneet turvallisuussuunnitelmat alkavat pääsääntöisesti olla ensimmäisen valtuustokautensa nähneitä ja pian on aika tarkistaa mitä suunnitelmille kuuluu.

Tutustuimme yhteensä seitsemän kunnan ja kaupungin turvalisuussuunnittelmiin maakunnan alueella. Mielenkiinto kohdistui pääasiassa siihen, millaisin eväin turvallisuussuunnitelmia lähdetään päivittämään ja kehittämään sekä millaisen pohjan ne tarjoavat tulevalle turvallisuustyölle kunnissa. Vaihtelu maakunnan alueella suunnitelmissa oli erittäin suuri ja ne heijastelivat varmasti osittain turvallisuustyön historiaakin alueellisesti, sillä suunnitelmista näkyi selkeästi, miten eri lähtökohdista turvallisuutta katsotaan.

Suunnitelmissa suurin ero näkyi siinä, nähtiinkö kunta turvallisuuden tuottajana vai pelkästään turvallisuustoimijoiden integraattorina. Turvallisuuden tuottaja -näkökulmasta kunta nähtiin päätöksineen aktiivisena toimijana, joka päätöksentekonsa kautta vaikuttaa asukkaidensa turvallisuudentunteeseen ja viihtyvyyteen. Integraattori-näkökulma oli välineellisempi ja kunnan päätöksentekoa tarkasteltiin lähinnä kunnan työntekijöihin vaikuttavana asiana. Eroja oli myös siinä, tulkittiinko turvalisuutta pelkästään tilastojen valossa, vai otettiinko kantaa myös turvallisuuden tunteeseen. Esimerkiksi liikenneonnettomuuksien raju nousu ei välttämättä näy asukkaiden kokemassa turvallisuudentunteessa, mutta jo muutama pahoinpitely saattaa vaikuttaa turvattomuuden tunteen nousuun.

Nykytila-analyysin ja pohjatyön tekeminen näytti myös olevan suhteessa siihen, miten konkreettisia ja mitattavia tavoitteita voitiin määritellä. Mitä paremmin oli selvitetty nykytila, sen tarkemmin kyettiin määrittelemään reittipisteitä tavoitteisiin. Osassa suunnitelmissa oli jopa erittäin hienoja vaikuttavuuteen perustuvia tavoiteasetantoja. Mielenkiinnolla odotamme ensimmäisiä tuloksia!


PS: Tulevaisuuden ennustaminen on turvallisuuden kanssa aina hankalaa, mutta se olisi silti kyettävä jotenkin huomioimaan. Maakunnan asioiden muutoksissa ja niiden ennakoinneissa hyvä työkalu oli löytänyt tiensä joihinkin turvallisuussuunnitelmiinkin:http://www.etelapohjanmaa.fi/ennakointi/

keskiviikko 8. kesäkuuta 2011

Bisnes kehittyy - niin myös laiton bisnes

Kun virusturvavalmistajat esittelivät saastuneiden koneiden määriä, kartalla leviäviä punaisia palloja ja laskennallisia lukuja liiketoiminnan keskeytysvahingoista, oli ostaja helpompi vakuuttaa.

IT-markkinat, IT-palvelut sekä niiden toimintalogiikka on monimutkaistunut ja kehittynyt paljon viime vuosien aikana. Esimerkiksi pilvipalveluiden tarjoajilla on vieläkin yksi suuri kaupan este: Ostaja ei tiedä mitä on ostamassa, eikä tuntemattomaan sijoittaminen houkuttele koskaan. Sama ongelma on tavallaan tietoturvaa tarjoavilla palveluntarjoajilla ja tuotemyyjillä tänä päivänä. Tietorikollisuus on kehittynyt niin paljon, että on vaikea enää laskea ratkaisuille arvoa – saati kyetä arvioimaan sitä, että onko niillä edes haluttua vaikuttavuutta.

Tietorikollisuudessa on jo muodostunut oma arvoketjunsa, jossa jaetaan tuottoja, mutta myös riskejä. Haittaohjelmien ja teknisten työvälineiden valmistaminen esimerkiksi ”tutkimustarkoituksessa” ei ole automaattisesti kiellettyä tai laitonta kaikkialla. Kunhan et itse syyllisty sen käyttämiseen. Tähän tasoon onkin jo kehittynyt oma ryhmänsä, joka keskittyy vain ydinosaamiseensa. Ja koska lakia ei suoraan rikota, se tarkoittaa sitä, että perustason työkalun tarjontaa on voitu kehittää niin, että haittaohjelmalle on mahdollista tarjota jopa tekninen tuki.

Karkealla tasolla myös haittaohjelmien levitys ja datan keruu ovat omat toimintonsa, jotka tuottavat palvelunsa ”alihankintana” niille, jotka paketoivat ja myyvät sen, mitä asiakas ostaa. Näin myös kiinnijäämisen riski pienenee ja verkostosta tulee häiriösietoisempi; jos yksi toimija pääsee valtion majoitukseen ilman Internet-yhteyttä, muut voivat nopeasti ottaa hänen paikkansa ja toiminta jatkuu. Rikollisten toiminta ja tuottojen sekä riskien jakaminen on siis kehittynyt jo hyvin toimivaksi markkinaksi. Tämä muutos rikollisten toimintakentässä tarkoittaa minkä tahansa organisaation turvallisuuspäällikön näkökulmasta riskiä, jota ei voi koskaan poistaa kokonaan. Eikä sitä kannata edes yrittää.

Rikolliset hakevat suurimpia hyötyjä, joten voit olla varma, että juuri organisaatiosi ydinosaaminen on tähtäimessä. Tärkeintä on tunnistaa omat riskit ja varautua niihin, jotka ovat oman organisaation kannalta vakavampia. Keinot ovat toissisjaisia. Jokainen investointi pitää olla suunniteltu ja osa kokonaisuutta, jolla on selkeä riskikartoitukseen perustuva päämääränsä. Suunnitelmallisuus, testaus ja mittaus pitää olla jatkuvaa toimintaa – tavoitteena liiketoiminnan mukana eläminen ja sen tukeminen.

perjantai 20. toukokuuta 2011

Kuka organisaatiossanne vastaa oikeudessa?

Nokian vesikriisin oikeudenkäynti on hyvä esimerkki siitä, missä turvallisuudesta huolehtimisen arvo on. Rikosnimikkeet ovat vakavia ja herättävätkin kysymään, kenellä vastuu huolellisuudesta todella on. Organisaatioissa on usein toimintamalleja ja kulttuureita, jotka ohjaavat toimintaa. Nämä ovat pääsääntöisesti hyviä, sillä jokaista rutiinia ei kannata miettiä alusta alkaen. Niiden varjopuolena on se, että kun rutiineihin pääsee vähän kerrallaan vahingollisia käytänteitä, ei niitä yleensä huomata, ennenkuin riski toteutuu.

Rikos- ja prosessioikeuden professori Matti Tolvanen Itä-Suomen yliopistosta Tolvanen toivoo, että oikeudenkäynnillä on kauaskantoistakin merkitystä. - Toivon mukaan tämäntyyppisellä jutulla on ainakin sellaista ennaltaestävää vaikutusta, että jatkossa henkilöt jotka ovat tehtävissä, mistä voi aiheutua suurta vaaraa muille ihmisille, miettivät entistä tarkemmin omaa toimintaansa ja pyrkivät ennalta eri työprosessit sillä tavalla suunnittelemaan, että edes inhimillisestä virheestä ei aiheudu näin vakavia seuraamuksia. (Tolvanen pitää hyvänä sitä, että oikeudessa vastuukysymykset tulevat monipuolisesti käsitellyksi, kun syyttäjä esittää oman käsityksensä ja näyttönsä, ja vastaaja esittää omansa. - Oikeudella on hyvät edellytykset keskustelun ja todistelun perusteella tehdä ratkaisunsa siitä, onko näyttöä, että henkilöt olisivat menetelleet huolimattomasti, ja sitten ottaa kantaa siihen, mikä seuraamus siitä huolimattomuudesta on oikeudenmukainen.) - Tietysti vastaajien kannalta voi tuntua pahalta se, että heidän tapauksensa on esimerkkinä ja oppina ja ojennuksena muille, mutta sillä tavalla tämä systeemi on rakennettu. Näitä yksittäisiä tapauksia käytetään jopa varoittavina esimerkkeinä, Tolvanen sanoo.

Tietoturvallisuus, vastuu tietosuojasta, terveydestä ja hengestä. Toisaalta myös suojaavien mekanismien salassapito (energiajakelu, jne...) joka mahdollistaa väestön vahingoittamisen. http://www.yle.fi/alueet/tampere/2011/05/vesikriisin_oikeudenkaynti_on_ennakkotapaus_2608414.html

tiistai 10. toukokuuta 2011

Kun voimalla ei voita

Tietoturvallisuusuhkiin varautuminen ei ole sotaan varautumista varustelulla nokitellen. Virtuaaliympäristö on maailma, jossa perinteiseen uhka-ajatteluun perustuvat mekanismit eivät välttämättä toimi.

Eräs suurin harha liittyen tietoturvallisuustoimenpiteisiin on voimasuhteiden arvottaminen hyökkääjä - puolustaja -akselilla. Valitaan jokin tietoturvallisuusratkaisu tai -teknologia, joka on "tehokas" tai "monipuolinen". Myyjän mukaan se ratkaisee monia ongelmia yhtä aikaa, on "järeä" tai kustannuksiinsa nähden tuo paljon hyötyjä. Nämä ovat usein niitä viimeisimpiä ja eniten riskejä sisältäviä ratkaisuja.

Tietoturvallisuuden osalta koko virtuaalimaailman taistelukenttä on alue, jossa ei voimalla ole mitään merkitystä. Fyysisessä maailmassa "suurempi kilotonnimäärä" voittaa. Mitä vahvempi lukko, sen parempi suoja on myös osaltaan totta. Järeät rakenteet ja hyvät lukitukset estävät tilaisuusperusteisen negatiivisen mielenkiinnon ja impulsiiviset vahingonteot. Mutta virtuaalimaailmassa hyvät lukot näkyvät vain sisäänpäin, eikä kukaan omalta henkilökunnaltaan toimintaansa suojaa.

Virtuaalimaailmassa hyökkäys perustuu vastustajan heikkouksien hyväksikäyttöön - ei vastustajaa suuremman voiman käyttöön. Voima on lähes merkityksetöntä. Ellei kohteessa ole haavoittuvuutta tai heikkoa kohtaa jota hyödyntää, ovat kaikki hyökkäykset turhia. Korkeintaan pelotevaikutus voi ehkäistä hyökkäystä, mutta yritysmaailmassa tämä ei ole vaihtoehto. Ja tämän kortin pelaaminen voi johtaa tilanteeseen, jossa huomaa olevansa hyvin nopeasti alakynnessä, sillä kun resurssipohjaiselle taistelukentälle astuu, on resursseja todellakin oltava. Valtiollisessa mittakaavassa. Voima vetää usein tulta puoleensa, sillä mitä suurempia resursseja vastustaja esittelee, sen suurempi on palkkio taistelun voittajalle.


Niinpä tietoturvallisuudessa tärkeintä on suunnittelu, kokonaisuuden hallinta ja oman toiminnan jatkuva seuranta. Pienillä asioilla voi saada hyötyjä, joiden arvoa ei rahassa voi mitata.

torstai 5. toukokuuta 2011

Sosiaalinen turvallisuus ja virtuaalimaailma

Vaikka Suomesta ei varmaan löydy enää ketään, joka ei olisi kuullut sosiaalisesta mediasta, niin hämmästyttävän usein sosiaalisen turvallisuuden ja uuden viesintäteknologian yhteyttä ei ymmärretä.

VI Pohjanmaan turvallisuusmessujen avajaispuheessa muistutettiin tänään yhteiskuntamme perusturvallisuuteen liittyvistä asioista. Länsi- ja Sisä-Suomen aluehallintoviraston ylijohtaja Jorma J. Pitkämäki kiinnitti huomiota pariin tietorikollisuuden ja tietoturvallisuudenkin näkökulmasta tärkeään asiaan. Hänen puheessaan huomionarvoisia yhteiskuntaamme kohdistuvia uhkia ovat mm. yksinäisyys ja syrjäytyminen. Mutta heti perään tuli tieto- ja viestintätekniikan kehittyminen. Etenkin lasten ja nuorten osalta sosiaalistuminen ja yhteiskunnan täysivaltainen jäsenyys ovat yhä haastavampia asioita. Puhumme koulukiusaamisesta, aikuiskontaktien puutteesta ja yhteiskunnan ulkopuolelle jäämisestä.

Tieto- ja viestintätekniikan uhka esiteltiin siitä näkökulmasta, että se mahdollistaa esimerkiksi koulu- ja työpaikkakiusaamisen laajentumisen uusille alueille. Ja etenkin lasten ja nuorten ollessa kyseessä, nämä ovat alueita, joita me aikuiset emme välttämättä tunne. Ja tässä kohtaa on juuri kyseisten uhkien keskinäinen linkki: Samoin kuin me opimme yhteisömme täysivaltaiseksi jäseneksi sosiaalisessa kanssakäymisessä perinteisissä tilanteissa, opimme sitä myös teknologiapohjaisissa viestintäympäristöissä. Juuri siinä arkipäiväisessä vuorovaikutuksessa opimme ne yhteiset pelisäännöt, joilla toimitaan ja jotka yhteisössämme pätevät. Juuri siellä meille muodostuu kuva siitä, miten turvallinen tai turvaton yhteiskuntamme on. Kuitenkin tieto- ja viestintäteknologiaympäristöt loistivat poissaolollaan tässäkin tapahtumassa.

Tieto- ja viestintätekniikka liittyy erityisen vahvasti sosiaaliseen turvallisuuteen, sillä uusi viestintäteknologia on vain laajentanut sosiaalista toimintaympäristöämme. Se ei siis ole mikään erillinen todellisuutensa, vaan kiinteä jatkumo nykyiseen perinteisin aistein havaittuun maailmaamme. Jos lapsemme saavat kasvaa virtuaaliympäristöissä itsenäisesti, ei lopputulos välttämättä ole fiasko, mutta ainakaan se ei ole kontrolloitu. Myös keinomme tukea lapsia ja nuoria heidän kehityksessään ovat olemattomat, jos he viettävät osan ajastaan todellisuudessa, jota heidän vanhempansa eivät tunne. Mediakasvatusseura ry:n Lasten mediabarometri 2010 –tutkimuksessa todettiin, että internetiä käyttää vähintään kerran viikossa jo yli 40% kuusivuotiaista. Tulevaisuus on siis jo täällä.


Vain kasvatuksen ja opetuksen kautta voimme vaikuttaa siihen millaiseksi teknologiset viestintäympäristömme kehittyvät ja miten tehokkaasti me niitä kykenemme hyödyntämään. Teknologia tarjoaa kontrollikeinoja ja työkaluja, mutta vasta kasvatus ja opetus tuo turvallisuuden, tehokkuuden ja monimuotoisuuden mahdollisuuden.

maanantai 2. toukokuuta 2011

Markkinoinnin uudet rajat

Markkinointi hakee tänä päivänä koko ajan uusia alueita ja keinoja vaikuttaa ostopäätöksiimme. Päivän sana on kohdentaminen, jota tehdään fyysisessä maailmassa ja virtuaalimaailmassa keinoin, jotka voivat arveluttaa - sekä ostajaa, että myyjää.

Kasvontunnistukseen perustuvat kamerajärjestelmät ovat jo käytössä. Jos saman yrityksen kamera on napannut sinusta kuvan useasti jonkun marketin televisio-osastolla, on mahdollista, että kulkiessasi seuraavassa liikeessä, saat siellä sähköisiin mainostauluihin ilmoituksia tämän liikkeen televisiotarjonnasta. Sinällään tässä ei ole tietenkään mitään ongelmaa. Nimesi tai henkilötietosi eivät tallennu mihinkään ja ainut tieto mitä sinusta voidaan kerätä on se, mistä milläkin viikolla olet eniten kiinnostunut. Tämä hyödyttää myyjää, mutta myös sinua, sillä sen sijaan, että kävelisit kilometrikaupalla kaupan käytäviä, saat sinua kiinnostavan tiedon suoraan ensimmäiseltä mainostaululta.

Samaa tehdään myös verkossa. Ja ihan samalla tavoin kyseessä on molempia osapuolia hyödyttävä suhde. Mutta kun samaa profilointia tehdään viestiliikenteestä, jonka suomalainen on tottunut pitämään luottamuksellisena, ei kysymys ole enää yhtä helppo. Ongelmia tulee nopeasti mieleen monia, mutta tässä pari:

1. Myyjä menettää kaupat kilpailijalle

Tämä tapahtuu siten, että myyjän lähettäessä tarjouksen Kalle Kuluttajalle esimerkiksi tämän Gmail -sähköpostiin, saa Kalle monta tarjousta kerralla. Google tarkistaa viestisisällön - tietenkin automaattisesti ja henkilötietoihin liittämättä - ja esittää samalla sivulla viestikentän ulkopuolella mainoksissa useita vastaavia tarjouksia. Niinpä myyjän plasmatelevisio -tarjous voi kokea inflaation, kun Googlessa mainostavan kilpailijan tarjous sivun alalaidassa on paljon halvempi ja siksi houkuttelevampi kuin tarjouksen lähettäneen myyjän. Vaikka ne eivät olisikaan ehkä vertailukelpoisia keskenään, niin eipä sitä Kalle 160 merkin tarjouksesta voi verrata. Usein asian ratkaisee vain se, että alalaidan mainos on halvempi. Näin tulee mieleen, että se myyjä, joka teki eniten töitä tuotteensa myynnin eteen kirjoittamalla henkilökohtaisen tarjouksen, yrittikin vain huijata.

2. Ostajan profiilitiedot alkavat kertoa henkilöstä enemmän kuin mitä haluaisi itse muille kertoa

Kun Kallesta sitten kerätään tietoa tämän ostotottumuksista ja kiinnostuksen aiheista, paranee Kallen profiili koko ajan. Tuotteiden ja kiinostavien asioiden löytämiseen ei tarvitse kuluttaa aikaa, vaan Internet tuntuu vihdoin pelaavan. Mutta kun tiedot on kerätty luottamuksellisesta viestiliikenteestä, herää kysymys, onko profiili sellainen, jonka sen itse haluaisi olevan. Esimerkiksi Nokialaisia opettajia, jotka harrastavat englantilaisia moottoripyöriä ja toimivat vapaaehtoisina paikallisen SPR:n osastossa ei loppujen lopuksi ole kauhean montaa. Kun profiili on tarpeeksi tarkka, se ei kerro enää vain ostotottumuksiasi. Lisäksi kun tiedot on kerätty liikenteestä, jonka Kalle kuvitteli olevan luottamuksellista, se voi kertoa Kallesta myös paljon sellaista, jota ei haluaisi ehkä ihan kaikille kertoa.

Markkinointiprofiilimme saattavat tulevaisuudessa kertoa meistä ihmisenä enemmän kuin itse itsestämme tiedämme. Samalla myyjän haasteet ovat melko suuret, sillä kaikkiin verkon toimintatavan muutoksiin on kyettävä reagoimaan koko ajan ja joka päivä.

tiistai 12. huhtikuuta 2011

Todellinen uhka vai ohjelmiston ominaisuus?

Kaikki muistavat tarinan yövahdista, joka herätteli kyläänsä turhan usein tulipaloa huutaen. Ja kun tulipalo vihdoin tuli, ei kukaan enää viitsinyt herätä. Tarina on vanha ja sen opetus on kaikille selvä, mutta vielä tänäkään päivänä sen opetusta ei ole sisäistetty.

Joudun käyttämään itse työkalua jossa on hyvin tavallinen ominaisuus. Kyseistä työkalua käytetään etänä Microsoftin Remote Desktop -yhteyden yli ja johtuen osittain Remote Desktopin ja työkalun yhteistoiminnan ongelmista, saan vähän väliä ilmoituksen "Toinen käyttäjä on kirjautunut tunnuksellasi sisään, yhteytesi katkaistaan." Kyseessä on tietenkin erittäin häiritsevä ominaisuus jo työnteon kannalta, sillä joka kerta joudun palaamaan työssäni vähän matka taaksepäin ja tekemään osan työstä kahteen kertaan. Minulle tämä on enimmäkseen häiritsevä ominaisuus, koska tiedän mistä se johtuu, ymmärrän sen syyt, eikä itse ilmoituksen sisältö ole mieltäni juuri koskaan vaivannut.

Mutta istutetaanpa penkkiin joku toinen, joka ei tiedä sitä, mitä IT-ammattilainen tietää. Keskiverto käyttäjä lukee ilmoituksen, toteaa, että joku käyttää minun tunnustani ja pienen epäröinnin jälkeen soittaa tukeen ja tekee asiasta ilmoituksen. Sieltä kerrotaan, että ei hätää, sen kuuluukin toimia siten, joten älä soittele tällaisista turhaan. Luo vaan yhteys uudestaan. Tuki kertoo, että joku on joskus ehkä asiaa ainakin ollut tutkivinaan ja vika ehkä poistunee lähiaikoina. Käyttäjä saa kuulla lisäksi miten paljon tärkeämpiäkin asioita juuri nyt on menossa organisaation tietojärjestelmissä.

Kerrankin käyttäjä toimi oikein ja palkkioksi toiminnastaan sai rangaistuksen. Tiedättehän, kaikista on tuntunut tältä joskus. Vähän hölmö olo, häiritsi "tärkeämpien ihmisten" töitä, ehkä pieni suuttumuskin, kun ovat siellä mikrotuessa niin olevinaan. Tämän jälkeen kynnys ilmoittaa yhtään mistään tietoturvapoikkeamasta on korkeampi kuin palkankorotuksen pyytäminen YT-neuvottelujen alla. Hoitakoot itse tietoturvansa, kun ovat muka muita parempia!

Ohjelmisto tai ratkaisu, jonka ominaisuutena on tehdä vääriä hälytyksiä on mielestäni keskeneräinen sovellus, eikä sen kuuluisi olla tuotannossa. Organisaatio, jossa rangaistaan tietoturvapoikkeamien ilmoittamisesta, aiheuttaa itselleen riskin pysyä "tuotannossa". Pienistä puroista syntyvät isot virrat. Helpompaa olisi ohjailla niitä pieniä puroja kuin suuria virtoja.

keskiviikko 6. huhtikuuta 2011

Rahanpesua ja muuta

Maaliskuun aikana suomalaista urheilun ystäviä puhutti jalkapallo-otteluiden vedonlyöntiin liittyneet epäselvyydet. Tapauksen taustat näyttäisivät johtavan ulkomaille ja järjestäytyneen rikollisuuden rahanpesutoimintaan. Sama ilmiö on myös tavallisen yritystoiminnan riesana, eikä sitä pitäisi yhdenkään yrityksen sivuuttaa olan kohautuksella.

Maaliskuussa julkisuutta saanut tapaus vedonlyönnin hyödyntämisestä rahanpesussa ei tullut yllätyksenä Veikkaukselle sillä kyseessä on maailmanlaajuinen ilmiö. Me suomalaiset olemme tottuneet siihen, etteivät suuren maailman ikävät asiat kuulu meille, mutta tämä tapaus jälleen osoittaa että järjestäytyneen rikollisuuden eri muodot ovat tulleet osaksi yhteiskuntaamme. Vedonlyönti on oma säännelty toimialansa meillä ja siten Veikkauksella on suuri rooli seurata siellä tapahtuvaa toimintaa. Rikollisten kohteet eivät kuitenkaan siihen lopu. Tavallinen yritys jolla ei omasta mielestään ole mitään rikollisia kiinnostavaa, voi olla aivan hyvin tarpeellinen väline rahanpesussa, logistiikassa tai muussa toiminnassa. Rikollinen toiminta pyritään peittämään ja mielellään vielä siten ettei välikätenä toimiva edes tiedä mistä on kyse, aivan kuten vedonlyönnissä oli tavoitteena. Tietoriskien arviointi on merkittävässä asemassa varauduttaessa tämän kaltaiseen uhkaan. Yrityksen tärkeimmät tiedot tai omaisuus eivät välttämättä ole välittömästi vaarassa, sillä rikolliset eivät ole kiinnostuneita kohteena olevasta organisaatiosta itsestään, vaan se hyödyntämisestä omassa toiminnassaan. Tavoitteita voi olla monia; asiakirjojen hyväksikäyttö, henkilö-, ajoneuvo- ja kiinteistötietojen hyödyntäminen, logistiikka-alihankkijoiden hyväksikäyttö tai vain organisaation käyttö peitetarkoituksessa kolmannelle osapuolelle. Vaikka yritys ei suoraan olisi kohteena, asettaa se turhaan itsensä melkoiseen vaaraan tällaisessa tilanteessa. Luottamus yritystoiminnassa on arvostettua pääomaa ja pelkästään sen menettäminen on jo vaarallista. Ja kun haitallinen mielenkiinto kerran kohdistuu organisaatioon, haetaan siitä varmasti muutkin heikkoudet ajan kanssa esiin. Jos tällaiseen tilanteeseen ei ole varauduttu, se todennäköisesti havaitaan liian myöhään.

Tietoriskien arviointi rikostorjunnan näkökulmasta

Maaliskuun aikana suomalaista urheilun ystäviä puhutti jalkapallo-otteluiden vedonlyöntiin liittyneet epäselvyydet. Tapauksen taustat näyttäisivät johtavan ulkomaille ja järjestäytyneen rikollisuuden rahanpesutoimintaan. Sama ilmiö on myös tavallisen yritystoiminnan riesana, eikä sitä pitäisi yhdenkään yrityksen sivuuttaa olan kohautuksella.

Maaliskuussa julkisuutta saanut tapaus vedonlyönnin hyödyntämisestä rahanpesussa ei tullut yllätyksenä Veikkaukselle sillä kyseessä on maailmanlaajuinen ilmiö. Me suomalaiset olemme tottuneet siihen, etteivät suuren maailman ikävät asiat kuulu meille, mutta tämä tapaus jälleen osoittaa että järjestäytyneen rikollisuuden eri muodot ovat tulleet osaksi yhteiskuntaamme.

Vedonlyönti on oma säännelty toimialansa meillä ja siten Veikkauksella on suuri rooli seurata siellä tapahtuvaa toimintaa. Rikollisten kohteet eivät kuitenkaan siihen lopu. Tavallinen yritys jolla ei omasta mielestään ole mitään rikollisia kiinnostavaa, voi olla aivan hyvin tarpeellinen väline rahanpesussa, logistiikassa tai muussa toiminnassa. Rikollinen toiminta pyritään peittämään ja mielellään vielä siten ettei välikätenä toimiva edes tiedä mistä on kyse, aivan kuten vedonlyönnissä oli tavoitteena.

Tietoriskien arviointi on merkittävässä asemassa varauduttaessa tämän kaltaiseen uhkaan. Yrityksen tärkeimmät tiedot tai omaisuus eivät välttämättä ole välittömästi vaarassa, sillä rikolliset eivät ole kiinnostuneita kohteena olevasta organisaatiosta itsestään, vaan se hyödyntämisestä omassa toiminnassaan. Tavoitteita voi olla monia; asiakirjojen hyväksikäyttö, henkilö-, ajoneuvo- ja kiinteistötietojen hyödyntäminen, logistiikka-alihankkijoiden hyväksikäyttö tai vain organisaation käyttö peitetarkoituksessa kolmannelle osapuolelle. Vaikka yritys ei suoraan olisi kohteena, asettaa se turhaan itsensä melkoiseen vaaraan tällaisessa tilanteessa.

Luottamus yritystoiminnassa on arvostettua pääomaa ja pelkästään sen menettäminen on jo vahingollista. Ja kun haitallinen mielenkiinto kerran kohdistuu organisaatioon, haetaan siitä varmasti muutkin heikkoudet ajan kuluessa esiin. Jos tällaiseen tilanteeseen ei ole varauduttu, se todennäköisesit havaitaan liian myöhään.

perjantai 11. maaliskuuta 2011

Arkihuomioita: Langattomuuden vikasietoisuus

Japaniin maanjäristykseen liittyvä uutisointi palautti mieleeni huomion, joka on todettu myös meillä Suomessa. Vaikka langaton tiedonsiirto ja langattomat verkot kuulostavat helpolta ja vaivattomilta, ne eivät ole sitä ylläpidon näkökulmasta. Ainakaan kriisitilanteissa.

Meillä Suomessa uutisoitiin viimeisimpien Itä-Suomen laajojen sähkökatkosten yhteydessä kännykkäverkkojen toimintahäiriöistä. Sähkökatkojen myötä syntyi alueita, joilla kännykät eivät kuuluneet laisinkaan, koska tukiasemilta puuttui sähkö. Nyt Japanin maanjäristyksen ja tsunamin yhteydessä todettiin, että kiinteät yhteydet ovat olleet paljon vikasietoisempia kuin langattomat tiedonsiirtoverkot. Vaikka maanjäristyksen yhteydessä voisi kuvitella asian olevan juuri toisin päin.

Langattomien verkkojen yhteydessä täytyy muistaa, että niiden tukiasemat tarvitsevat sähköä ja usein kiinteän tiedonsiirtoyhteyden tiedon välittämiseksi edelleen. Etenkin tänä päivänä kun tiedonsiirtoverkkojen taajuudet ovat yhä suurempia, ovat kantamat lyhyempiä ja tukiasemia tarvitaan enemmän. Niinpä jo pieni alueellinen ongelma voi vaikuttaa siihen, että kokonaisia verkkoja on pois käytössä.

Suurimmissa ympäristöissä - ja etenkin viranomaistaoiminnassa - tämä on asia, joka on otettava huomioon varautumissuunnittelussa. Langattomien verkkojen kohdalla kun liian helposti voi sattua se ajatusvirhe, että eihän tulipalo nyt langatonta verkkoa katkaise...

Droidin unelmia

Siirryin Androidin käyttäjäksi muutama viikko sitten. Toistaiseksi samainen luuri on edelleen taskussa vaikka aluksi uudenmallinen käyttöliittymä tuottikin tuskaa käyttäjälleen. Androidin sovellustarjontaan tutustuessani muistin aikaisemman kirjoitukseni älypuhelinten turvallisuudesta ja huomasin miettiväni miten tämän laitteen kanssa tulisi toimia.

Älypuhelimien markkinat ovat mielenkiintoisessa vaiheessa. Nokian laitteeseen tungetaan Windowsia, Applen tuotteet kasvattavat osuuttaan ja iso joukko Googlen Androidiin luottavia valmistaja tuo markkinoille yhä uusia puhelimia. Laitteiden turvallisuudesta on käyty jonkin verran keskustelua ammattilaisten keskuudessa mutta suuren yleisön huomio on luonnollisesti keskittynyt muihin seikkoihin. Viime viikolla Androidin kanssa oltiin jo tosipaikan edessä kun Googlen Android Markettiin huomattiin livahtaneen kymmeniä haitallista koodia sisältäviä ohjelmistoja ja saastuttaneen yli 260 000 puhelinta. Haittakoodin tarkoituksena oli tarjota tekijälleen pääsy puhelimiin ja jatkossa myös niiden kautta tuoda taloudellista hyötyä. Google ryhtyi pikaisiin toimiin ja poisti haitalliset ohjelmistot Marketistaan.

Nyt olisi tietenkin hyvä paikka huudella ja olla jälkiviisas. Näen jo lukuisten blogien "minähän varoitin" tyyppiset kirjoitukset mätkimässä niin Googlea kuin muitakin valmistajia. Samalla käyttäjät saavat sapiskaa typeryydestään. Google siivosi Markettinsa ja on ilmoittanut turvallisuuspäivityksistä joilla vastaavat tapaukset estetään jatkossa. Samalla Google poistaa sovellukset myös käyttäjien laitteista. Googlen kontrolli omaan Android luuriin kuulostaa aika ikävältä mutta lienee paras että pohditaan sitä toisella kerralla.

Oikeinhan se on että ongelman syyt kaivetaan esiin mutta olisi varmasti mielekästä miettiä myös miten jatkossa voitaisiin toimia. Voimme kaikki rynnätä kauppaan ostamaan "tietoturvatakuut" sovelluksen muodossa. Tietoturvasovellus sitten aina varoittaa meitä kun lataamme uusia ohjelmia. Hieno idea mutta innostuksen vallassa kuitenkin painamme ok-ok ja sovellus asentuu siitä "tietoturvasta" huolimatta.

Toistan siis itseäni ja kehoitan jälleen kerran miettimään sitä, mitä laitteessaan todella tarvitsee. Uusi alusta, uusi ympäristö ja uudet ohjelmistot, mutta jälleen kerran kriittinen tarveharkinta ja terve järki pelastivat. Eikä niillä ole edes kuukausimaksua.

tiistai 1. helmikuuta 2011

Hyvä tietojärjestelmä turvallisuuden mittaamiseen?

Olemme monissa kirjoituksissa painottaneet turvallisuuden mittaamisen tärkeyttä. Niinpä aika yleinen kysymys meille onkin, että mikä on hyvä ohjelmisto turvallisuuden mittaamiseen. Vastaus on: ei välttämättä mikään.

Ohjelmistot ja tietojärjestelmät ovat erinomainen tapa yhteenvetojen, vertailujen ja laskennan tekemiseen. Mutta niissä on aika usein eräs ongelma, johon kaikki turvallisuuden asiantuntijat ovat törmänneet. Jokainen on varmaan standardien kontrolliluetteloita tai riskienhallinnan kysymyssarjoja täytellessään miettinyt, että kummallakohan puolella rajaa organisaatiomme juuri tässä kohtaa on. Turvallisuus on aika harvoin kyllä/ei -vastauksia tai suojausten olemassaoloa tai olemattomuutta. Etenkin mitä enemmän tarkasteltavaan kohteeseen liittyy inhimillisiä tekijöitä tai vaihtelevia muuttujia, sen vaikeampaa on sanoa kyllä tai ei.

Tietojärjestelmien toinen ongelma on niiden ominaisuus ohjata ajattelua. Kun laitamme rastin kohtaan "ok" ja myöhemmin katselemme - tai pahimmassa tapauksessa joku muu katselee - raporttia, siitä ei selviä vähääkään se mietiskely ja olosuhde-ehdot, jotka "ok" -vastauksen takana ovat. Mutta raportti kädessä olemme taipuvaisia unohtamaan tuon prosessin ja ehdollisuuden, mikä kontrolliin liittyy ja ajattelemaan että kaikki on kunnossa. Näin teemme myös itse raportin tekijänä.

Turvallisuusajattelu vaatii aina luovuutta, kokonaisnäkemystä ja pienintenkin detaljien huomiointia. Etenkin riskienhallintaprosessin ja turvallisuustyön alkuvaiheessa pitää muistaa, että turvallisuustyötä ei tehdä tietojärjestelmää varten, vaan ihmisiä varten! Tietojärjestelmien hankinnan aika tulee vasta sitten, kun organisaationne tietää mitä ja miten asioita halutaan mitata ja esittää.

torstai 27. tammikuuta 2011

Rahat tai henki? Vai molemmat?

Tietoturvallisuusuhat mielletään yleensä liittyvän vain rahallisiin riskeihin tai kohdistuvan omaisuuteen, jonka vahingoittuminen tai katoaminen aiheuttaa vain rahallisia menetyksiä. Tietoturvallisuusuhat voivat kohdistua kuitenkin suoraan henkeen ja terveyteen. Tämä on erinomaisen hyvä muistaa etenkin teknologiaympäristöissä, jotka liittyvät lääketieteeseen ja terveydenhuoltoon.

Yhä useammin ihmisen terveydentilan ylläpito tai häiriöiden korjaaminen on teknologiakysymys. Esimerkiksi defibrillattorit ja sydämentahdistimet ovat tällaisia laitteita. Yleistymässä ovat myös erilaiset hermostollisia toimintoja ohjaavat ja korjaavat tahdistimet ja lähettimet, joita sijoitetaan esimerkiksi aivoihin tai muualle hermokudokseen. Tällaiset laitteet ovat olleet jo vuosikymmeniä ohjelmoitavissa radiolinkin yli. Tällaiset radiolinkit ovat yleensä RFID:n kaltaisia lyhyen kantaman päästä toimivia ratkaisuja.

Jo 2008 DEF CON ja Blackhat -konferenseissa esiteltiin tutkijoiden suorittama "tietomurto" sydämentahdistimeen. Kyseessä oli vain yksi malli, mutta selvitystyön yhteydessä kävi ilmi, että esimerkiksi kyseisen mallin radioliikenne oli täysin salaamatonta. Tällaisia laitteita ei ole välttämättä suunniteltu alun perin tietoturvanäkökulmista. Siitä huolimatta ne ohjelmistoineen ovat ihan yhtä haavoittuvia kuin mikä tahansa tietokone. Kyseinen toimenpide on suoritettu vieläpä täysin kaupan hyllyltä saatavilla, muutamia satoja euroja maksavilla laitteilla (esimerkiksi Kevin Fu, Daniel Halperin, jne).

Tämä antaa varmasti ajattelemisen aihetta muillekin kuin dekkarikirjailijoille. Skenaario, jossa hakkeri murtautuu toiselta puolelta maapalloa Internetin välityksellä matkapuhelimeesi, asentaa haittaohjelman lähietäisyydeltä sydämentahdistimeesi ja kiristää rahaa sillä, on siis täysin mahdollinen. Mikäli hän ei luota yhteistyökykyysi, tahdistimen voi uudelleenohjelmoida ja pyyhkiä rauhassa murron jäljet järjestelmistä, kun olet matkalla sairaalaan. Tahdistimen virtahan ei lopu samalla kun sydämenlyönnit.

keskiviikko 26. tammikuuta 2011

Tilaisuus tekee varkaan

Vanha sanonta hyvän tilaisuuden rötöstelyyn altistavasta vaikutuksesta pitää edelleen paikkansa. Tietovarkauden helppous yllättää jopa tekijänsä ja usein kohteena oleva ei valitettavasti edes tiedä joutuneensa uhriksi - ainakaan ennen kuin on liian myöhäistä.

Yrityksissä käsiteltävän tiedon määrä kasvaa koko ajan ja yhä useammat toiminnot on jollain tavalla "sähköistetty". Kehityksessä on useita haasteita, joiden edessä turvallisuus usein on lakaistu maton alle. Tekniset ongelmat ja projektien tiukka aikataulu ovat toimineet tekosyynä huonolle turvallisuuden määrittelylle ja väljä käyttöoikeuksien jakamisen kulttuuri on muodostunut maan tavaksi. Lopputuloksena on syntynyt joukko järjestelmiä ja käytäntöjä missä kokonaisten yritysten tietoihin päästään käsiksi sieltä kaikken pimeimmästäkin varaston nurkasta kenenkään tietämättä.

Ei siis pidäkään ihmetellä tietovuotojen ja -varkauksien lisääntyvää määrä. Tilaisuus tekee varkaan ja rehellisemmänkin kansalaisen itsekuria koetellaan kun tilaisuuksia on paljon. Motiivit voivat olla monenlaisia ja sitä myöten myös vahinkojen laajuus vaihtelee. Kaikki tiedon väärinkäyttöön liittyvät tapahtumat eivät tietenkään ole toiminnan kannalta katastrofaalisia, mutta on niillä vähintäänkin mainetta tahraava vaikutus. Verkkolevyllä sijaitsevat henkilökohtaiset lomalla napsitut kuvat kun eivät välttämättä ole tarkoitettu kaikkien kollegoiden nähtäväksi tai julkisessa verkossa julkaistavaksi. Tälläisiä pienempiä tapahtumia ei pidä kuitenkaan painaa villaisella, sillä ne ovat merkki vakavammasta häiriöstä, minkä lähteet tulisi selvittää perinpohjaisesti.

Työ turvallisuuden parantamiseen alkaa tässäkin tapauksessa tarpeiden tunnistamisella ja toiminnan kuvaamisella. Vain niiden avulla voidaan ryhtyä luomaan suunnitelmaa toimivalle ja samalla turvalliselle käyttövaltuuksien hallinnalle. Suunnittelutyön tuloksena syntynyt käyttövaltuuksien hallintamalli kytketään osaksi organisaation henkilöstöhallintoa, minkä tueksi tietohallinto tuottaa soveltuvat järjestelmät ja valvoo niiden toimintaa.

perjantai 21. tammikuuta 2011

Mitä itse asiassa pitää kouluttaa?

Olemme puhuneet aikaisemmin blogissamme paljon siitä, miten pelkkä teknologia ei riitä tietoturvallisuuden hallinnassa. Useassa yhteydessä olemme painottaneet koulutuksen tärkeyttä ja osaamisen vahvistamista. Tärkeää on kuitenkin se, mitä itse asiassa koulutetaan.

Kun kouluttaja aloittaa tietoturvallisuuskoulutuksensa määrittelemällä tietoturvallisuuden osa-alueita, ulottuvuuksia ja tavoitteita, on suurin osa henkilöstöstä joko päiväunelmissaan ja ne jotka eivät ole, yrittävät epätoivoisesti keksiä tekosyytä paikalta poistumiseen. Melko usein koulutukset on järjestetty nimenomaan turvallisuus- tai tietohallintoihmisten näkökulmasta. Mikä on paitsi uusi, niin myös aika vaika näkökulma käyttäjälle. Tällä tavalla koulutuksesta saadaan myös itsestään tavoite, ei sen sisällöstä. Ihmiset pyrkivät vain pysymään hereillä koulutuksen ajan, että pääsisivät jatkamaan päivittäisiä töitään.

Koulutus on järjestettävä siitä näkökulmasta, mihin halutaan vaikuttaa. Kun koulutuksen tavoitteena on käsitellä sitä, mitä sosiaalisessa mediassa saa yrityksestä kertoa, on kyse viestintäkoulutuksesta. Kun halutaan parantaa käyttäjien osaamistasoa on kysymys käyttökoulutuksesta. Turvallisuusnäkökohdat konkretisoidaan koulutuksiin päivittäiseksi toiminnaksi. Näin koulutukseen osallistuvat liittävät näkökohdat jo mielessään oikeisiin viitekehyksiin ja asia jäävät paremmin myös mieleen.

Koulutusten kohdentaminen tällä tavoin saa myös aikaan sen, että käyttäjiä ei rasiteta sillä tiedolla, mitä käyttäjät eivät tarvitse. Välillä täytyy muistutella itseäänkin, että tietoturvasta ei ole kiinnostunut oikeastaan kukaan muu kuin tietoturvallisuuden ammattilaiset. Eikä pidäkään. Kun koulutus on oikein suunniteltu, tietoturvallisuus on kiinteä osa normaalia toimintaa.

keskiviikko 12. tammikuuta 2011

Mitä sitten kun...

Näin vuoden alussa on hyvä palauttaa mieliin vuosisuunnitelmat ja uhrata hetki sille, miten turvalliseksi vuoden 2011 teemme. Tässä vuoden toisessa blogissa keskitymme aiheeseen, joka suunnitelmista yleensä puuttuu.
Joulukuussa Jim Romenesko (Poynter) kirjoitti Gawker Mediassa tapahtuneesta palvelinmurrosta ja sitä kautta 1.4 miljoonan oman yhtiön, asiakkaan ja kumppanin käyttäjätilien vaarantumisesta. Tapahtumasta on kirjoiteltu hyvin paljon ja kuten yhtiön teknologiapäällikön memosta käy ilmi, oli ongelmia jo perustason suojautumisessa. Suurimpana ongelmana teknologiasta vastaava päällikkö Thomas Plunkett pitää kuitenkin yrityksen nopeaa kasvua. Nopean kasvun aiheuttamaa riskien ja uhkakuvien muuttumista ei missään vaiheessa huomioitu, eikä suunitelmia oltu päivitetty vastaamaan uutta tilannetta.

Suuri ongelma oli myös se, että yhtiöllä ei ollut mitään suunnitelmia, miten tällaisen riskin toteutuessa toimitaan. Tästä johtuen Thomas Plunkett kirjoittaakin, että yhtiössä tehtiin todella paljon virheitä tapahtuman paljastuessa, sillä kenelläkään ei ollut kuvaa siitä, miten pitäisi toimia.

Tällaisten suunnitelmien puuttuminen on hyvin yleistä. Melko usein tietohallinnolta vaaditaan perustasolla vain teknisten suojausratkaisujen käyttöönottoa. Virusturva pitää olla, palomuurit ovat käytössä ja yrityksen verkossa on edes jonkinlaisia pääsynhallintaan liittyviä menetelmiä käytössä. Kuitenkin se dokumentti, jossa on kriisiviestintäsuunnitelmat, toimenpideluettelot, varajärjestelmät ja ohjeet siihen, miten toteutuneisiin riskeihin reagoidaan, puuttuu todella usein.

Paitsi nopean uhan eliminoinnin takia, tällaiset suunnitelmat ovat muutenkin elintärkeitä. Ellei yrityksessä ole tiedossa, miten uhkatilanteissa tai niitä epäillessä toimitaan, aiheutetaan haparoinnilla siinä kohtaa vain lisäkertoimia vahingoille. Oikea henkilöt eivät saa aina oikeaa tietoa tarvittaessa, väärät henkilöt - esimerkiksi media - saa ennenaikaisesti ja usein väärää, yritystä vahingoittavaa tietoa, rikostapauksessa todisteita tuhotaan omalla toiminnalla tai saatetaan aiheutaa jopa lisävahinkoja omalle ympäristölle.

Jokaisessa yrityksessä pitää olla suunnitelma tietoriskien toteutumisen varalta. Suunnitelma pitää myös joka vuosi tarkistaa, päivittää ja tietyin väliajoin suunnitelma on myös testattava ainakin kriittisiltä osin. Se on myös koulutettava, sen esittely johtoryhmälle ei vielä tee siitä toimivaa.

tiistai 4. tammikuuta 2011

Tulevaisuuden taskuvarkaat

Taskuvarkaat ovat suosituimpien lomakohteiden turistien reisana. Heidän erilaiset hämäykseen ja huijaukseen perustuvat temppunsa voivat aiheuttaa arvoesineiden menetyksiä myös tavallista valppaammalle kansalaiselle. Tulevaisuudessa nämä kaidan tien kulkijat saavat tovereikseen virtuaaliset taskuvarkaat, joiden kohteena ovat lompakon sijaan puhelimet ja muut sähköiset maksuvälineet.

Taskuvarkaiden unelma on lokoisasti lomailemassa oleva isäntä, jonka lompakko keikkuu takataskusta pitkällään. Tähän on helppo tarttua nopealla kädenliikkeellä ja tienata sievoinen summa rahaa. Samanlaiset tarkoitusperät ovat myös tulevilla taskuvarkailla, kohde vain vaihtuu. Mobiililaitteiden kehitys kohti tietokonetta on edennyt huimin harppauksien viimeisen parin vuoden aikana. Iphonen ja sen kaltaisten laitteiden räjähdysmäinen yleistyminen on tuonut myös erilaiset mobiilin maksamisen sovellukset tietokoneista älypuhelimiin. Takataskusta pilkottava lompakko on vaihtunut avoinna oleviin yhteyksiin ja turvattomiin sovelluksiin. Käyttäjän kannalta tilanteen tekee ongelmalliseksi taustalla olevat järjestelmät. Älypuhelinten käyttöjärjestelmät ja sovellukset tuntuvat noudattavan tietokoneiden kehityskaarta. Alkuvaiheessa innostus uusista ominaisuuksista peittää alleen turvallisuuden perusperiaatteet. Haittaohjelmien kirjoittajat ovatkin kaivaneet vanhat konstinsa naftaliinista ja kääntäneet ne uuteen suuntaan, puhelimiin. Mitä käyttäjälle jää vaihtoehtoja, vaihtaa vanha kapula takaisin tietojen ja rahojen menettämisen pelossa? Muutamalla keinolla pystyy jo asettamaan ensimmäiset suojamuurit niin yrityksensä käytössä oleviin kuin henkilökohtaisiin päätelaitteisiin. Vesa Muhonen kirjoitti viime kesänä jo muutaman vinkin, mitkä voit tarkistaa täältä. Niiden lisäksi uusia uhkia vastaan kehoitan miettimään - mitä sovelluksia puhelimeen asentaa - mitä yhteyksiä ja www-palveluita puhelimella käyttää ja tietenkin tärkeimpänä - mitä tietoa puhelimeen tallentaa Kun näihin kysymyksiin on etsinyt vastaukset ja pohtinut vielä niissä piileviä riskejä, on jo hyvällä matkalla