keskiviikko 23. marraskuuta 2011

Heikko tietoturva jo IT-alan rakenteissa?

Viime aikoina on uutisoitu paljon tietoturvasta ja siihen liittyvistä ongelmista. IT-ala on kuitenkin hyvin poikkeuksellisesti muodostunut, verrattuna muihin yhteiskunnan aloihin. Onko vika itse alan rakenteissa

Tietotekniikan tulo jokapäiväiseen elämäämme ja yritysten arkeen tapahtui todella nopeasti. Niinkuin kaiken tekniikan. Poikkeuksellisen tästä tekniikasta teki kuitenkin se, että se mahdollisti kaksisuuntaisen viestinnän ja yksilöiden sekä organisaatioiden aktiivisen toiminnan välittömästi vuorovaikutuksessa toisiin ja muihin ympäristöihin. Ensimmäinen auto ei ajanut heti hengenvaarallisia nopeuksia - saati että olisi ollut edes teitä, joilla olisi voinut ajaa niin lujaa. 1500-luvun pirttien rakennuskätköistä ja kylävahdeista on tultu pitkä matka nykyaikaiseen viranomaisjärjestelmään ja kassakaappiin. Mutta IT-alalla tuo kaikki tapahtui tähän aikajanaan verrattuna silmänräpäyksessä.

Kysymyksen herätti se, että kokemustemme mukaan melko monessa ympäristössä suurin haavoittuvuus on ollut IT itse. Eroa ei ole havaittavissa ilman pätevää vertailututkimusta julkishallinnon, IT-palveluntarjoajien eikä yksityisyritysten omien IT-osastojen välillä. Organisaation verkkoa käytetään tiedostojen jakoon tuttujen ja ystävien kesken, sitä käytetään pelien pelaamisessa servereinä ja sallitaan epämääräisiä yhteyksiä ulkomaailmasta ja joissain ympäristöissä toimitusjohtajan sähköpostikin luetaan yleensä aamulla IT:n työvuoron alkaessa. Helpottaahan se elämää, kun ei YT-ilmoitukset tule yllätyksenä. IT-alalla puhutaan myös perustuslaillisten oikeuksien sijaan jostain ihmeellisistä "hakkereiden etiikoista" ja viitataan, että olisi olemassa ympäristö, jonka valtarakenne poikkeaisi siitä, mihin yhteiskuntasopimuksilla olemme tottuneet.

Usein varsinaiset vallanpitäjät - organisaatioiden omistajat ja johto - joutuvat nielemään nämä asiat sellaisenaan. Aina asioista ei tiedetä ja jossain ongelmat myönnetään suoraan, mutta omat keinot eivät riitä välttämättä edes omien työntekijöiden perustuslaillisten oikeuksien suojaamiseen. Jossain johto käyttää tätä hyväksi. Mutta mistä johtuu, että IT-alalla ei tarvita minkäänlaista henkilön taustatarkistusta tai organisaatiolta mitään osoitusta pätevyydestä, että IT-henkilöstö voi toimia tehtävissä, joissa joutuu puuttumaan päivittäin perustuslaillisiin oikeuksiin? Turvallisuusalalla ja viranomaispuolella nämä asiat ovat itsestään selviä. Viestintä, yksilön suoja, oikeudet työpaikalla ja vapaa-ajalla otetaan huomioon edellä mainituilla aloilla hyvinkin tarkkaan. IT-alan regulaatio ei ole mitenkään verrattavissa muun yhteiskunnan regulaatioon. Onko se on edelleen se "villi länsi", josta odotetaan vain sitä "uutta nokiaa" kuin Kalevalan Sampoa?

Omien kokemustemme mukaan syy ei ole se, että yritysten johto ylläpitäisi tällaista kulttuuria siksi, että sitä voisi tarvittaessa hyödyntää itse. Usein vain siksi, että sen edessä ollaan voimattomia. Asiasta ei voi edes puhua, koska heti leimaa organisaationsa julkisuudessa epäluotettavaksi. Eikä kukaan oikeastaan ole edes kysynyt, että onko tämä oikein? Nyt pitäisi kysyä, että sitooko jokainen tietovuoto meidät henkisesti vain tiukemmin riippuvaisiksi näiden ongelmien todellisista syistä?

Ei kommentteja:

Lähetä kommentti