tiistai 12. huhtikuuta 2011

Todellinen uhka vai ohjelmiston ominaisuus?

Kaikki muistavat tarinan yövahdista, joka herätteli kyläänsä turhan usein tulipaloa huutaen. Ja kun tulipalo vihdoin tuli, ei kukaan enää viitsinyt herätä. Tarina on vanha ja sen opetus on kaikille selvä, mutta vielä tänäkään päivänä sen opetusta ei ole sisäistetty.

Joudun käyttämään itse työkalua jossa on hyvin tavallinen ominaisuus. Kyseistä työkalua käytetään etänä Microsoftin Remote Desktop -yhteyden yli ja johtuen osittain Remote Desktopin ja työkalun yhteistoiminnan ongelmista, saan vähän väliä ilmoituksen "Toinen käyttäjä on kirjautunut tunnuksellasi sisään, yhteytesi katkaistaan." Kyseessä on tietenkin erittäin häiritsevä ominaisuus jo työnteon kannalta, sillä joka kerta joudun palaamaan työssäni vähän matka taaksepäin ja tekemään osan työstä kahteen kertaan. Minulle tämä on enimmäkseen häiritsevä ominaisuus, koska tiedän mistä se johtuu, ymmärrän sen syyt, eikä itse ilmoituksen sisältö ole mieltäni juuri koskaan vaivannut.

Mutta istutetaanpa penkkiin joku toinen, joka ei tiedä sitä, mitä IT-ammattilainen tietää. Keskiverto käyttäjä lukee ilmoituksen, toteaa, että joku käyttää minun tunnustani ja pienen epäröinnin jälkeen soittaa tukeen ja tekee asiasta ilmoituksen. Sieltä kerrotaan, että ei hätää, sen kuuluukin toimia siten, joten älä soittele tällaisista turhaan. Luo vaan yhteys uudestaan. Tuki kertoo, että joku on joskus ehkä asiaa ainakin ollut tutkivinaan ja vika ehkä poistunee lähiaikoina. Käyttäjä saa kuulla lisäksi miten paljon tärkeämpiäkin asioita juuri nyt on menossa organisaation tietojärjestelmissä.

Kerrankin käyttäjä toimi oikein ja palkkioksi toiminnastaan sai rangaistuksen. Tiedättehän, kaikista on tuntunut tältä joskus. Vähän hölmö olo, häiritsi "tärkeämpien ihmisten" töitä, ehkä pieni suuttumuskin, kun ovat siellä mikrotuessa niin olevinaan. Tämän jälkeen kynnys ilmoittaa yhtään mistään tietoturvapoikkeamasta on korkeampi kuin palkankorotuksen pyytäminen YT-neuvottelujen alla. Hoitakoot itse tietoturvansa, kun ovat muka muita parempia!

Ohjelmisto tai ratkaisu, jonka ominaisuutena on tehdä vääriä hälytyksiä on mielestäni keskeneräinen sovellus, eikä sen kuuluisi olla tuotannossa. Organisaatio, jossa rangaistaan tietoturvapoikkeamien ilmoittamisesta, aiheuttaa itselleen riskin pysyä "tuotannossa". Pienistä puroista syntyvät isot virrat. Helpompaa olisi ohjailla niitä pieniä puroja kuin suuria virtoja.

Ei kommentteja:

Lähetä kommentti