keskiviikko 23. marraskuuta 2011

Heikko tietoturva jo IT-alan rakenteissa?

Viime aikoina on uutisoitu paljon tietoturvasta ja siihen liittyvistä ongelmista. IT-ala on kuitenkin hyvin poikkeuksellisesti muodostunut, verrattuna muihin yhteiskunnan aloihin. Onko vika itse alan rakenteissa

Tietotekniikan tulo jokapäiväiseen elämäämme ja yritysten arkeen tapahtui todella nopeasti. Niinkuin kaiken tekniikan. Poikkeuksellisen tästä tekniikasta teki kuitenkin se, että se mahdollisti kaksisuuntaisen viestinnän ja yksilöiden sekä organisaatioiden aktiivisen toiminnan välittömästi vuorovaikutuksessa toisiin ja muihin ympäristöihin. Ensimmäinen auto ei ajanut heti hengenvaarallisia nopeuksia - saati että olisi ollut edes teitä, joilla olisi voinut ajaa niin lujaa. 1500-luvun pirttien rakennuskätköistä ja kylävahdeista on tultu pitkä matka nykyaikaiseen viranomaisjärjestelmään ja kassakaappiin. Mutta IT-alalla tuo kaikki tapahtui tähän aikajanaan verrattuna silmänräpäyksessä.

Kysymyksen herätti se, että kokemustemme mukaan melko monessa ympäristössä suurin haavoittuvuus on ollut IT itse. Eroa ei ole havaittavissa ilman pätevää vertailututkimusta julkishallinnon, IT-palveluntarjoajien eikä yksityisyritysten omien IT-osastojen välillä. Organisaation verkkoa käytetään tiedostojen jakoon tuttujen ja ystävien kesken, sitä käytetään pelien pelaamisessa servereinä ja sallitaan epämääräisiä yhteyksiä ulkomaailmasta ja joissain ympäristöissä toimitusjohtajan sähköpostikin luetaan yleensä aamulla IT:n työvuoron alkaessa. Helpottaahan se elämää, kun ei YT-ilmoitukset tule yllätyksenä. IT-alalla puhutaan myös perustuslaillisten oikeuksien sijaan jostain ihmeellisistä "hakkereiden etiikoista" ja viitataan, että olisi olemassa ympäristö, jonka valtarakenne poikkeaisi siitä, mihin yhteiskuntasopimuksilla olemme tottuneet.

Usein varsinaiset vallanpitäjät - organisaatioiden omistajat ja johto - joutuvat nielemään nämä asiat sellaisenaan. Aina asioista ei tiedetä ja jossain ongelmat myönnetään suoraan, mutta omat keinot eivät riitä välttämättä edes omien työntekijöiden perustuslaillisten oikeuksien suojaamiseen. Jossain johto käyttää tätä hyväksi. Mutta mistä johtuu, että IT-alalla ei tarvita minkäänlaista henkilön taustatarkistusta tai organisaatiolta mitään osoitusta pätevyydestä, että IT-henkilöstö voi toimia tehtävissä, joissa joutuu puuttumaan päivittäin perustuslaillisiin oikeuksiin? Turvallisuusalalla ja viranomaispuolella nämä asiat ovat itsestään selviä. Viestintä, yksilön suoja, oikeudet työpaikalla ja vapaa-ajalla otetaan huomioon edellä mainituilla aloilla hyvinkin tarkkaan. IT-alan regulaatio ei ole mitenkään verrattavissa muun yhteiskunnan regulaatioon. Onko se on edelleen se "villi länsi", josta odotetaan vain sitä "uutta nokiaa" kuin Kalevalan Sampoa?

Omien kokemustemme mukaan syy ei ole se, että yritysten johto ylläpitäisi tällaista kulttuuria siksi, että sitä voisi tarvittaessa hyödyntää itse. Usein vain siksi, että sen edessä ollaan voimattomia. Asiasta ei voi edes puhua, koska heti leimaa organisaationsa julkisuudessa epäluotettavaksi. Eikä kukaan oikeastaan ole edes kysynyt, että onko tämä oikein? Nyt pitäisi kysyä, että sitooko jokainen tietovuoto meidät henkisesti vain tiukemmin riippuvaisiksi näiden ongelmien todellisista syistä?

tiistai 22. marraskuuta 2011

Onko meillä tapahtunut tietomurto? Muista ennen aloitusta!

Tietovuotoja ja tietomurtoja ovat uutiset ja netti täynnä. Organisaatioiden on syytä kiristää viimeistään nyt otettaan tieto-omaisuudestaan, mutta kannattaa varoa, ettei prosessin aikana syyllisty itse rikokseen.

Organisaatioilla, joilla IT-osasto on työsuhteessa omaan yritykseen, on hiukan enemmän mahdollisuuksia tutkia oman ympäristönsä väärinkäytöksiä. Tänä päivänä on kuitenkin hyvin tavallista, että tietotekniikan ylläpito on ostettu ulkoa. Jos tällöin kumppani tai alihankkija alkaa tutkia mahdollisia rikosepäilyjä, puhutaan rikosten paljastamisesta ansaintatarkoituksessa. Tätä saa tehdä vain kyseisen luvan omaava organisaatio. Laki yksityisistä turvallisuuspalveluista rajaa oikeuden vartioimisliikkeille.

Rikosten ja väärinkäytösten paljastaminen on toimintaa, jota ei pidä tehdä vasemmalla kädellä kenen tahansa IT-toimittajan kanssa. Vaakalaudalla ovat ensinnäkin omien todisteiden näyttökelpoisuus, lain mukainen prosessi sekä omien työntekijöiden ja kumppaneiden tietosuoja. Jo pelkästään viimeksimainittujen syiden takia kannattaa valita kumppani, jolle luottamuksellisuuden velvoite ja hyvä tapa eivät ole vain myyntilupauksia, vaan lain kautta tulevia velvoitteita. Tietenkin todeisteiden keruun näytön painoarvon säilyminen on ensisijaista, koska mitäpä hyötyä on käyttää resursseja väärinkäytösten esillesaamiseksi, jos tulosten perusteella ei voi edetä tai pahimmassa tapauksessa on itse syytettynä.

Tietoturvallisuudesta puhuttaessa joudutaan usein alueelle, joka ei kuulu tämän päivän tietotekniikan insinöörienkään koulutukseen mitenkään. Ja miksi kuuluisikaan? Kyse ei ole vain tietoteknisestä osaamisesta tai erinomaisuudesta. Tällaisissa asioissa joudutaan usein alueelle, jossa puututaan yksilöiden perustuslaillisiin oikeuksiin tai vapauksiin. Väärinkäytösten ja rikosepäilyjen esilvitysprosessiin liittyy paljon muutakin, kuin tietämys siitä, mistä tiedon valtatiet on rakennettu. Jo pelkästään tämän vuoksi jokainen vastuunsa tunteva organisaatio varmistuu siitä, että se ei toiminnallaan loukkaa oman henkilöstönsä tai yhteistyökumppaniensa oikeuksia tai vapauksia. Eipä meidän lainsäädännössä as sakottele ylinopeuksista, eivätkä rakennusalan ammattilaiset selvitä rakennusmurtoja. Miksi näin olisi tietotekniikan puolella?

maanantai 21. marraskuuta 2011

Tietoturvallisuus on myöhässä

Tietoturvallisuus liiketoimintana on erittäin pahassa paikassa. Sen täytyy vastata nykyaikaisiin uhkiin, mutta se on kahden paikalleen juuttuneen alan yhtymäkohdassa.

Turvallisuusalasta…

Turvallisuusalan kasvulla tuuletetaan julkisuudessa, kun 24/7 ABC:t palkkaavat lisää yömyyjiä vartijoista. Uusia moniosaajia viedään turvallisuuskylki edellä vaikka mihin. Kuitenkin jokainen osaa tällaisten tehtävien turvallisuusvaikutuksen arvioida. Hankinnan arvioinnin perusteena taitaakin useimmiten olla työehtosopimuksen arviointi. Todellisuudessa nämä moniosaajapalvelut ovat jääneet siihen mihin tietoturvakin, monen alan ristipaineeseen – esimerkiksi kiinteistöalan, kaupan ja turvallisuusalan – siten, että oikein missään ei olla hyviä. Kulunvalvontaa myydään edelleen, vaikka yksikään järjestelmä ei enää vastaa tulevaisuuden työnteon haasteisiin: Miten seuraat työntekijän liikkumista tai työaikaa, kun hän tekee työnsä etänä, asiakkaalla tai on kokonaistyöajalla, koska työnantaja ei oikein itsekään enää tiedä, milloin työt on parasta suorittaa? Ja sitä paitsi – turvallisuusala ei edes kasva.

IT-alasta…

IT-alan uusinta uutta moniin vuosiin on jokin hämäräperäinen pilvipalvelu, jonka SWOT-analyysi on vieläkin kesken. Saati, että kukaan tietäisi käykö se parhaiten heille vaiko noille (. Myyjät ajavat sitä kuin käärmettä pyssyyn, vaikka puolet sitä käyttävistä organisaatioista eivät usko, että heillä on edes riittäviä keinoja hallita sitä ( esimerkit 1 ja 2). Huh. Ei yhtään innovaatiota vuosiin. Onneksi välillä pääsin ostamaan iPhonen – ja vaikka innovaatioarvo silläkään ehkä kovin suuri ollut, niin ainakin se toimii.

Tulevaisuudesta?

Oikein odotan, että turvallisuusalalla joku keksii IT-alan ohjelmistotuotannosta ehkä asiakasvastaisimman ”innovaationsa”. Taustaksi: Koulutusjärjestelmää myyvä ohjelmistotalo, jolla ei ole pedagogiikan opintoja edes alkeiden vertaa. Sosiaalista mediaa kaupitteleva talo, jossa on töissä nörttejä, joilla ei ole mitään käsitystä siitä mitä on normaalin ihmisen sosiaalisuus. Tai viestintäpalveluita myyvä ohjelmistotalo, jossa ei tunneta viestintää kuin oman järjestelmän kautta ja unohdetaan viestinnän koko kenttä. Enpä haluaisi nähdä heidän perhe-elämäänsä… Tämä uusi turvallisuusalan innovaatio olisi turvallisuusjohtamisen tuote, jossa myyjä ja asiantuntija yhdistetään ja sitten tämä kummassakin roolissaan vain välttävästi suoriutuva risteymä ”konsultoi” asiakkaalle edustamansa yrityksensä peruspalvelut. Ojentakaa oksennuspussi, kiitos.

”Hang out with the dull and become dull.” Niinkö? Tietoturva tarvitsisi kipeästi uutta ja innovatiivista seuraa. Maailma ei muutu – se on jo muuttunut. Me olemme ainakin kaksi askelta jäljessä. Onneksi olemme tajunneet edes sen. Nyt ovat hyvät ideat tarpeen. Kaikille meille.

sunnuntai 13. marraskuuta 2011

Taas tietovuoto, so what?

Amerikkalaisten tutkimusten mukaan identiteettivarkauksien ja -petosten määrä on ollut jonkin aikaa laskussa. Silti yksittäisen rikoksen uhriin kohdistuvat taloudelliset menetykset kasvavat. Mutta luvuista voi päätellä kuitenkin yhden asian...

Amerikkalaiset ovat seuranneet identiteettivarkauksia, -petoksia ja niiden tilastoja jo lähemmäs 10 vuotta. Helmikuussa 2007 yhdysvalloissa identiteettivarkauden tai -petoksen uhreja oli enää 8,4 miljoonaa, kun vuonna 2003 luku oli yli kymmenen miljoonaa uhria. 2007 yksittäiseen uhriin kohdistuvat tappiot olivat noin 5 700,00 yhdysvaltain dollaria (Javelin Strategy & Research). Tällä laskukaavalla viimeisimmän arkaluontoisten henkilötunnusten tietovuodon arvo harrastelijamaisella "vertailulla" voisi olla noin 64 miljoonaa euroa. USA:ssa tappiot ovat sitä luokkaa, että Suomen "kreikkatakuut" eivät vielä pahimmassakaan skenaariossa kata edes puolta petosten kautta hävitystä rahamäärästä.

Yksittäisen kuluttajan, yrityksen tai muun organisaation tappiot ovat kasvaneet arvioiden mukaan lähinnä petosten luonteen muuttumisen vuoksi ja ympäristön monimutkaistumisen takia. Hyväksikäyttö on tänä päivänä pidempikestoista ja kertatappiot ovat pieniä ja huomaamattomia. Rikolliset eivät enää keskity tuottamattomiin kohteisiin, vaan hyväksikäyttö keskittyy sinne, missä panoksilla saadaan aikaan tulosta. Rikosten määrän vähenemistä selitetään usein paremmalla suojautumisella, mutta kuten tuloksista voi huomata, on pelkkä palomuuri verkon laidalla jo vanhentunut menetelmä. Tappiot ovat silti kasvussa, vaikka palomuuri on varmasti jo jokaisella kotisurffajallakin. Organisaatioiden näkökulmasta tulee tärkeämmäksi kokonaiskuva, tilannetietoisuus ja ympäristön jatkuva seuranta. Tähän ollaankin onneksi jo suomalaisissa yrityksissä heräämässä. Yksittäiset teknologiatyökalut ja ohjelmistot eivät enää riitä yritysjohdolle, maailma muuttuu ja ratkaisujen on muututtava mukana.

Tärkeää on huomioida etenkin varautuminen ja jälkihoito. Nimittäin lähestulkoon ainut varma asia tässä on, että tämä arpa osuu kohdalle ennen pitkää. Jos lentokentällä lomakauden ruuhkissa myyntipäällikön ostaessa lippua Aasiaan tärkeään vientineuvotteluun selviää, että luottokortti ei kelpaa, seuraa siitä ongelmia yritykselle, vaikka kertaluontoinen taloudellinen tappio on mahdollista rajata ja usein jääkin vain muutamiin tuhansiin. Tietysti kuluttajalla luotomerkintä voi vaatia pitkänkin jälkiselvittelyn, mutta yrityksillä tämä ongelma on vain järjestelykysymys. Jälkihoito ja paluu normaalitilanteeseen ovat tärkeitä suorittaa nopeasti, ennenkuin vahingot alkavat kertaantua. Tässä organisaation johto ja sen toiminta ovat avainasemassa, sillä tähän ei saa ohjelmistoa suoraan kaupan hyllyltä.

Mutta kuten alussa todettiin, yhden asian luvuista voi pätellä. Nimittäin sen, että ilmiö on jo arkipäivää, vaikka me näennäisesti uuden asian äärellä vielä kauhistelemmekin. Maailma muuttuu eikä aika entinen koskaan enää palaa, vai miten se meni? Päätellen siitä, että viimeisimmän murron yhteydessä oli jopa 4 vuotta vanhoja tilitietoja, niin varautuminen tähän riskiin piti olla arkipäivää jo 2007. Ja olihan se sitä, joten voimme rauhassa todeta, että: "No news."

Turvallisuus 2010

Jos turvallisuuspäällikkösi kaivaa ensimmäisenä tietoturvallisuudesta puhuttaessa esiin jonkin kirjain- ja numeroyhdistelmien pyhittämän kirjasen, kivitä hänet.

Ennen

Se mikä ennen toimi, ei vaikuta toimivan enää. Eikä sen tietenkään pitäisikään. Epävakaus, muutos ja epävarmuus tuntuu leimaavan joka asiaa. Työmarkkinoilla normaali työsuhde on nyt poikkeus, kukkarossa olevan rahan arvosta, saati vaakunasta, ei voi mennä takuuseen ja hakkerit julkaisevat sosiaaliturvatunnuksesi ja puhelimen pin-koodisi netissä. Lisäksi saat todennäköisesti harmaita hiuksia siitä, kun jokainen työntekijäsi haluaa käyttää töissä omia laitteitaan ja järjestelmiään, koska ”ovat vaan niihin kasvaneet.”

”Muutos kuvaa tätä aikaa”. Se on tietenkin kliseisesti todettu, johtuen siitä, että jokaisen aikakauden ihminen sanoo ihan samaa. Mutta ydin onkin juuri siinä, että muutos on väistämätön; kaikki kehittyy ja mihinkään ei ole paluuta. Teknologian kehitys tuntuu kiihdyttäneen tätä muutosta melkoisesti. Siksi 2000-luvun turvallisuudella ei pärjää enää 2010. Se EI tarkoita sitä, että 2000 luvun menetelmät tai opit olisivat vanhentuneita, vaan sitä, että ajattelutapa on haudattava. Menetelmiä voi käyttää, mutta ajattelutapa… Muutu tai kuole.

Perinteinen turvallisuus oli konservatiivista, staattista, säilyttävää, kaavamaista ja riippuvaista melko muuttumattomasta ympäristöstä. Tämän päivän ympäristö muuttuu ja elää. Kaikki on jatkuvassa vuorovaikutuksessa ja monet inkrementaaliset muutokset prosesseissa, toimintatavoissa ja jopa rakenteissa ovat erittäin nopeita. Nykyaikojen markkinat ovat rakennettu juuri nopeudelle. Kuten Progressiven Peter Lewis sanoi: "We dont sell insurances anymore, we sell speed". Työmarkkinoilla puhutaan tulevaisuuden työntekijästä, joka hoitaa työt, raportoinnin, laatuvalvonnan ja osittain myynnin ja asiakassuhteet. ”Managing partner” – oman itsensä päällikkö, jolla on hyppysissään suuri vastuu ja paljon… tietoa. Asiakkaat vaativat joustavia ja laadukkaita palveluita. Hyvä toimittaja elää asiakkaan tarpeiden mukaan, ei ainoastaan hinnalla. Tämän vuoksi ajattelutavan muutos myös turvallisuudessa on väistämätön.

Nyt

Tulevaisuuden turvallisuustyö on nopeaa, reflektiivistä, tilannetietoista ja reagoivaa. Keinovalikoimaa on oltava enemmän kuin yhden varapalomuurin verran. Sitä on kyettävä käyttämään joustavasti ja tehokkaasti – ei välttämättä massalla, mutta tietoon ja ennakointiin perustuvana täsmäiskuna. Turvallisuuden on elettävä, mentävä kaksi askelta edellä ja tarjottava vaihtoehtoja. Turvallisuus ei saa olla rajoittavaa ja säilyttävää, vaan uteliasta, rohkeaa ja älykästä. Sen täytyy kyetä luovaan ajatteluun ja sen on palveltava asiakkaan menestystä – ei sertifiointiorganisaatiota, jonka bisnes ei ole asiakkaan menestyksesä, vaan myytyjen lisenssien määrässä. Vanhalla tavalla pärjäät nyt hyvin, mutta pysäyksestä tulee rajumpi ja pudotuksestasi syvempi.

???Niin, ja ne nuoret. Ne tulevat varmasti tekemään asiat omalla tavallaan. Siihenhän me olemme heidät opettaneet.

Identiteettipetokset vähenemässä, taloudelliset menetykset kasvamassa

Amerikkalaisten tutkimusten mukaan identiteettivarkauksien ja -petosten määrä on ollut jonkin aikaa laskussa. Silti yksittäisen rikoksen uhriin kohdistuvat taloudelliset menetykset kasvavat.

Helmikuussa 2007 yhdysvalloissa identiteettivarkauden tai -petoksen uhreja oli enää 8,4 miljoonaa, kun vuonna 2003 luku oli yli kymmenen miljoonaa uhria. 2007 yksittäiseen uhriin kohdistuvat tappiot olivat noin 5 700,00 yhdysvaltain dollaria (Javelin Strategy & Research). Tällä laskukaavalla viimeisimmän arkaluontoisten henkilötunnusten tietovuodon arvo harrastelijamaisella "vertailulla" voisi olla noin 64 miljoonaa euroa.

Yksittäisen kuluttajan, yrityksen tai muun organisaation tappiot ovat kasvaneet arvioiden mukaan lähinnä petosten luonteen muuttumisen vuoksi ja ympäristön monimutkaistumisen takia. Hyväksikäyttö on tänä päivänä pidempikestoista ja kertatappiot ovat pieniä ja huomaamattomia. Rikolliset eivät enää keskity tuottamattomiin kohteisiin, vaan hyväksikäyttö keskittyy sinne, missä panoksilla saadaan aikaan tulosta. Rikosten määrän vähenemistä selitetään usein paremmalla suojautumisella, mutta kuten tuloksista voi huomata, on pelkkä palomuuri verkon laidalla jo vanhentunut menetelmä. Organisaatioiden näkökulmasta tulee tärkeämmäksi kokonaiskuva, tilannetietoisuus ja ympäristön jatkuva seuranta. Tähän ollaankin onneksi jo suomalaisissa yrityksissä heräämässä. Yksittäiset teknologiatyökalut ja ohjelmistot eivät enää riitä yritysjohdolle, maailma muuttuu ja ratkaisujen on muututtava mukana.

Toinen tärkeä asia on miettiä jälkihoitoa. Jos lentokentällä lomakauden ruuhkissa myyntipäällikön ostaessa lippua Aasiaan tärkeään vientineuvotteluun selviää, että luottokortti ei kelpaa, seuraa siitä ongelmia yritykselle, vaikka kertaluontoinen taloudellinen tappio on mahdollista rajata. Jälkihoito, varautuminen ja paluu normaalitilanteeseen ovat tärkeää suorittaa nopeasti, ennenkuin vahingot alkavat kertaantua. Tässä organisaation johto on avainasemassa, sillä tähän ei saa kaupan hyllyltä ohjelmistoa. Johtaminen, riskienhallinta ja selkeät toimintaohjeet ovat asioita, jotka voi kaikeksi onneksi hoitaa jo etukäteen.

lauantai 5. marraskuuta 2011

Miten me luotamme?

Otsikoissa on tällä hetkellä Suomessa toistaiseksi suurin julkisuuteen päätynyt yksittäisiin ihmisiin kohdistunut tietovuoto. Vuodosta tekee vakavan se, että mukana on mm. henkilötunnuksia, joka suomalaisessa käytännössä ovat arkaluontoinen tieto.

Tapaus ei ole ensimmäinen kerta, jossa verkon kautta saadaan käsiin tietoa, joka sisältää arkaluonteista materiaalia kohteestaan. Eikä se ole viimeinenkään. Merkittävää tapauksessa ei ole sekään, että oliko vuoto tahallinen vaiko pelkkää huolimattomuutta. Tai oliko sen taustalla tahallinen, tavoitteellinen murtautuminen vai oliko kyse vain tilaisuuden hyödyntämisestä. Tärkeintä on muistaa, että tämä ei ollut viimeinen kerta.

Pankeille ei ole onneksi enää hetkeen riittänyt puhelinpalvelussa se, että muistat henkilötunnuksesi. Ikävän monesta paikasta saat kuitenkin vielä hankittua ja muutettua omia tietojaan pelkästään esimerkiksi soitolla. Jotkut yritykset ja julkishallinnon organisaatiot pyytävät ehkä henkilötunnuksen, etevimmät sen lisäksi esimerkiksi lähiosoitteen. Mutta aikana, jona sekä osoite, ammatti, henkilötunnus ja muita tietoja voidaan hankkia tuhansista kansalaisista kerralla, ei tällainen kaikissa organisaatioissa voi enää riittää.

Organisaatioiden on melko tarkkaan syytä miettiä, mitä vaihtoehtoja asioimiseen ja henkilön tunnistamiseen on käytössä. Asioinninhan pitää kuitenkin sujua - monella yrityksellä puhelinpalvelu ja erilaiset verkkopalvelumuodot ovat liiketoiminnan edellytys. Ei voida vaatia henkilökohtaista käyntiä, biometristä passia ja sormenjälkeä, jos halutaan pysyä markkinoilla. Toinen tärkeä asia mietittäväksi on se, mitä tietoja asiakas ylipäätään voi muuttaa ja hankkia esimerkiksi puhelinpalvelun kautta. Kaikkeahan ei ole aina välttämätöntä hoitaa heti ja vain yhdellä viestintäkanavalla. Myös erilaisten varmistusten käyttöä kannattaa miettiä; esimerkiksi puhelusta voisi jäädä merkintä asiakashistoriaan, joka voisi olla tarkistettavissa verkon kautta milloin tahansa. Näin esimerkiksi kontaktit, joita itse ei ole tehnyt, tulisivat ilmi ja niihin voisi reagoida.

Viimeistään nyt on aika miettiä sitä, miten ja mihin me verkossa liikkuessamme luotamme. Ja miten vältetään se, ettei itse joudu hyväksikäytetyksi.