tiistai 12. huhtikuuta 2011

Todellinen uhka vai ohjelmiston ominaisuus?

Kaikki muistavat tarinan yövahdista, joka herätteli kyläänsä turhan usein tulipaloa huutaen. Ja kun tulipalo vihdoin tuli, ei kukaan enää viitsinyt herätä. Tarina on vanha ja sen opetus on kaikille selvä, mutta vielä tänäkään päivänä sen opetusta ei ole sisäistetty.

Joudun käyttämään itse työkalua jossa on hyvin tavallinen ominaisuus. Kyseistä työkalua käytetään etänä Microsoftin Remote Desktop -yhteyden yli ja johtuen osittain Remote Desktopin ja työkalun yhteistoiminnan ongelmista, saan vähän väliä ilmoituksen "Toinen käyttäjä on kirjautunut tunnuksellasi sisään, yhteytesi katkaistaan." Kyseessä on tietenkin erittäin häiritsevä ominaisuus jo työnteon kannalta, sillä joka kerta joudun palaamaan työssäni vähän matka taaksepäin ja tekemään osan työstä kahteen kertaan. Minulle tämä on enimmäkseen häiritsevä ominaisuus, koska tiedän mistä se johtuu, ymmärrän sen syyt, eikä itse ilmoituksen sisältö ole mieltäni juuri koskaan vaivannut.

Mutta istutetaanpa penkkiin joku toinen, joka ei tiedä sitä, mitä IT-ammattilainen tietää. Keskiverto käyttäjä lukee ilmoituksen, toteaa, että joku käyttää minun tunnustani ja pienen epäröinnin jälkeen soittaa tukeen ja tekee asiasta ilmoituksen. Sieltä kerrotaan, että ei hätää, sen kuuluukin toimia siten, joten älä soittele tällaisista turhaan. Luo vaan yhteys uudestaan. Tuki kertoo, että joku on joskus ehkä asiaa ainakin ollut tutkivinaan ja vika ehkä poistunee lähiaikoina. Käyttäjä saa kuulla lisäksi miten paljon tärkeämpiäkin asioita juuri nyt on menossa organisaation tietojärjestelmissä.

Kerrankin käyttäjä toimi oikein ja palkkioksi toiminnastaan sai rangaistuksen. Tiedättehän, kaikista on tuntunut tältä joskus. Vähän hölmö olo, häiritsi "tärkeämpien ihmisten" töitä, ehkä pieni suuttumuskin, kun ovat siellä mikrotuessa niin olevinaan. Tämän jälkeen kynnys ilmoittaa yhtään mistään tietoturvapoikkeamasta on korkeampi kuin palkankorotuksen pyytäminen YT-neuvottelujen alla. Hoitakoot itse tietoturvansa, kun ovat muka muita parempia!

Ohjelmisto tai ratkaisu, jonka ominaisuutena on tehdä vääriä hälytyksiä on mielestäni keskeneräinen sovellus, eikä sen kuuluisi olla tuotannossa. Organisaatio, jossa rangaistaan tietoturvapoikkeamien ilmoittamisesta, aiheuttaa itselleen riskin pysyä "tuotannossa". Pienistä puroista syntyvät isot virrat. Helpompaa olisi ohjailla niitä pieniä puroja kuin suuria virtoja.

keskiviikko 6. huhtikuuta 2011

Rahanpesua ja muuta

Maaliskuun aikana suomalaista urheilun ystäviä puhutti jalkapallo-otteluiden vedonlyöntiin liittyneet epäselvyydet. Tapauksen taustat näyttäisivät johtavan ulkomaille ja järjestäytyneen rikollisuuden rahanpesutoimintaan. Sama ilmiö on myös tavallisen yritystoiminnan riesana, eikä sitä pitäisi yhdenkään yrityksen sivuuttaa olan kohautuksella.

Maaliskuussa julkisuutta saanut tapaus vedonlyönnin hyödyntämisestä rahanpesussa ei tullut yllätyksenä Veikkaukselle sillä kyseessä on maailmanlaajuinen ilmiö. Me suomalaiset olemme tottuneet siihen, etteivät suuren maailman ikävät asiat kuulu meille, mutta tämä tapaus jälleen osoittaa että järjestäytyneen rikollisuuden eri muodot ovat tulleet osaksi yhteiskuntaamme. Vedonlyönti on oma säännelty toimialansa meillä ja siten Veikkauksella on suuri rooli seurata siellä tapahtuvaa toimintaa. Rikollisten kohteet eivät kuitenkaan siihen lopu. Tavallinen yritys jolla ei omasta mielestään ole mitään rikollisia kiinnostavaa, voi olla aivan hyvin tarpeellinen väline rahanpesussa, logistiikassa tai muussa toiminnassa. Rikollinen toiminta pyritään peittämään ja mielellään vielä siten ettei välikätenä toimiva edes tiedä mistä on kyse, aivan kuten vedonlyönnissä oli tavoitteena. Tietoriskien arviointi on merkittävässä asemassa varauduttaessa tämän kaltaiseen uhkaan. Yrityksen tärkeimmät tiedot tai omaisuus eivät välttämättä ole välittömästi vaarassa, sillä rikolliset eivät ole kiinnostuneita kohteena olevasta organisaatiosta itsestään, vaan se hyödyntämisestä omassa toiminnassaan. Tavoitteita voi olla monia; asiakirjojen hyväksikäyttö, henkilö-, ajoneuvo- ja kiinteistötietojen hyödyntäminen, logistiikka-alihankkijoiden hyväksikäyttö tai vain organisaation käyttö peitetarkoituksessa kolmannelle osapuolelle. Vaikka yritys ei suoraan olisi kohteena, asettaa se turhaan itsensä melkoiseen vaaraan tällaisessa tilanteessa. Luottamus yritystoiminnassa on arvostettua pääomaa ja pelkästään sen menettäminen on jo vaarallista. Ja kun haitallinen mielenkiinto kerran kohdistuu organisaatioon, haetaan siitä varmasti muutkin heikkoudet ajan kanssa esiin. Jos tällaiseen tilanteeseen ei ole varauduttu, se todennäköisesti havaitaan liian myöhään.

Tietoriskien arviointi rikostorjunnan näkökulmasta

Maaliskuun aikana suomalaista urheilun ystäviä puhutti jalkapallo-otteluiden vedonlyöntiin liittyneet epäselvyydet. Tapauksen taustat näyttäisivät johtavan ulkomaille ja järjestäytyneen rikollisuuden rahanpesutoimintaan. Sama ilmiö on myös tavallisen yritystoiminnan riesana, eikä sitä pitäisi yhdenkään yrityksen sivuuttaa olan kohautuksella.

Maaliskuussa julkisuutta saanut tapaus vedonlyönnin hyödyntämisestä rahanpesussa ei tullut yllätyksenä Veikkaukselle sillä kyseessä on maailmanlaajuinen ilmiö. Me suomalaiset olemme tottuneet siihen, etteivät suuren maailman ikävät asiat kuulu meille, mutta tämä tapaus jälleen osoittaa että järjestäytyneen rikollisuuden eri muodot ovat tulleet osaksi yhteiskuntaamme.

Vedonlyönti on oma säännelty toimialansa meillä ja siten Veikkauksella on suuri rooli seurata siellä tapahtuvaa toimintaa. Rikollisten kohteet eivät kuitenkaan siihen lopu. Tavallinen yritys jolla ei omasta mielestään ole mitään rikollisia kiinnostavaa, voi olla aivan hyvin tarpeellinen väline rahanpesussa, logistiikassa tai muussa toiminnassa. Rikollinen toiminta pyritään peittämään ja mielellään vielä siten ettei välikätenä toimiva edes tiedä mistä on kyse, aivan kuten vedonlyönnissä oli tavoitteena.

Tietoriskien arviointi on merkittävässä asemassa varauduttaessa tämän kaltaiseen uhkaan. Yrityksen tärkeimmät tiedot tai omaisuus eivät välttämättä ole välittömästi vaarassa, sillä rikolliset eivät ole kiinnostuneita kohteena olevasta organisaatiosta itsestään, vaan se hyödyntämisestä omassa toiminnassaan. Tavoitteita voi olla monia; asiakirjojen hyväksikäyttö, henkilö-, ajoneuvo- ja kiinteistötietojen hyödyntäminen, logistiikka-alihankkijoiden hyväksikäyttö tai vain organisaation käyttö peitetarkoituksessa kolmannelle osapuolelle. Vaikka yritys ei suoraan olisi kohteena, asettaa se turhaan itsensä melkoiseen vaaraan tällaisessa tilanteessa.

Luottamus yritystoiminnassa on arvostettua pääomaa ja pelkästään sen menettäminen on jo vahingollista. Ja kun haitallinen mielenkiinto kerran kohdistuu organisaatioon, haetaan siitä varmasti muutkin heikkoudet ajan kuluessa esiin. Jos tällaiseen tilanteeseen ei ole varauduttu, se todennäköisesit havaitaan liian myöhään.