maanantai 9. tammikuuta 2012

IT-palvelun ostaminen ja tietoturvariskit


Kun puhutaan tietoturvasta, puhutaan aina vastuusta. Vastuuta omista tekemisistään ei voi kokonaan ulkoistaa, mutta ainakin sen jakautumisen voi huomiotta jättämällä tehdä todella hankalaksi…

Useat käytännöt ja standardit ovat jo pitkään suositelleet tietoturvallisuuteen liittyvien vastuiden jakautumisen määrittelyä kirjallisesti jo IT -palvelusopimuksen tekovaiheessa. Kun asiakas ostaa palvelua toimittajalta, on mukana paljon oletuksia puolin ja toisin. Asiakas ei tiedä, miten teknisiä toteutuksia rakennetaan ja mitä niiden ylläpitoon liittyy. Infratoimittaja tietää, mutta ei osaa sanoa, ovatko asiakkaan liikuttelemat tietosisällöt lailla suojattu ja jos niin miten vahvasti. Ja vaikka tietäisi, voi päivitysten ja ylläpidon esteenä olla ohjelmistotoimittaja, joka ei voi päivittää järjestelmää. Ja niin edelleen. Välillä on tietoliikennetoimittajia, laitemyyjiä ja muita tekijöitä, joilla kaikilla on oma näkemyksensä, miten kokonaisuutta pitäisi tai ei pitäisi rakentaa.
Ja kun eräänä aamuna herätään ja todetaan, että 100 000 henkilötietokorttia sosiaaliturvatunnuksineen on Internetissä, on jokaisella oma näkemyksensä vastuun kantajasta. Niin, asiakas ei voi tietää päivittää alustaa, jolta hänen palveluidensa lisäksi ajetaan todennäköisesti, pilven henkeen, satoja muitakin. Infratoimittaja ei voinut tietää, että asiakas – joka oli apteekki – välittikin järjestelmässä lääkemääräyksiä. Ohjelmistotoimittaja tiesi, mutta vetoaa siihen, ettei asiakas suostunut ostamaan uudempaa ja kallimpaa, mutta turvallista ohjelmistoa. Asiakas ei ostanut, koska olisi pitänyt samalla päivittää alusta toimittajalta, joka vaati siitä kohtuuttomasti rahaa.
Auton katsastamisesta ei saa vapautusta sillä tekosyyllä, ettei ole rahaa katsastukseen tai huoltoon. Ei saa myöskään vastuuvapautusta tietoturvallisuudesta huolehtimisesta. Henkilötietolaki, perustuslaki ja tietosuojaan liittyvät pykälät ovat lakeja. Eivät suosituksia. Ja vaikka tietojärjestelmän murtaakin opiskelijanörtti iltatöinään, pitäisi ensimmäinen kysymys olla, että miten ihmeessä järjestelmä on sillä tolalla, että kuka tahansa opiskelijakin saa sen murrettua?
Kun ostat IT-palveluita:
·      Tee riskianalyysi koko palveluketjusta
·      Älä unohda tietoliikennettä ja ulkoistettuja järjestelmiä, koska oletat jonkun muun vastaavan niistä.

·      Määrittele kirjallisesti, miten haluat vastuun jakautuvan palveluiden toteutuksen missäkin vaiheessa
·      …vaikkapa mallilla: tiedon synty, siirto, säilytys ja poistaminen. Piirrä kuva!
·      Yksinkertainen ”missä tieto milloinkin on ja kuka siitä huolehtii” auttaa jo pitkälle

·      Vaikka sopimuksella olisi vastuut määritelty ja sanktioitu niiden laiminlyönti, mieti silti riskin toteutumisen vaikutukset itsellesi
·      Viime kädessä kuluttajan tai loppuasiakkaan sopimuskumppani vastaa hankaliin kysymyksiin, eivät hänen alihankkijansa.

perjantai 6. tammikuuta 2012

Opsecin loppiasiale!

Kuten niin monessa muussakin paikassa, ovat ahkerat tontut OpSecillakin vääntäneet tietoturvaa niin, että tammikuulla alkaa olla kiire päästä siitä eroon…

”Mikä ihme tuo on?!?”

”Ai tämä vai?!? Siis kysytkin! Kato näitä prosesseja! Tässä on meidän 2012 liiketoiminnan todellinen raketti!!!”, selittää ilmeisesti juhlapöydästä pudotessaan päänsä lyönyt tietoturvatonttu innostuksesta soikeana.

”Rakettiin se näyttää liittyvänkin... Lähinnä jonkin polttoaineen kemiallinen kaava?”

”Juu niin varmaan… Hei kuule, tässä on kuule kaikki mitä asiakas tietoturvalta voi ikinä odottaa! Tässä on siis riskit huomoitu, ja haavoittuvuudet – ja testattukin! Ja sit jokainen eurooppalainen ja USA:nkin standardi! Ja se compliance, joo totta kai! Siis tämä onkin itse asiassa sellainen kunnon kantoraketti, jolla asiakkaan bisnes suorastaan räjähtää nousuun! Ja tietysti samalla meidänkin bisnes!”

”Ihan kaikkiko siinä on?...”

Tätä pitää hämmästellä. Mitähän tämän tontun juhlapöydässä oikein on ollut ruokajuomana… Yksi juttu pitää vielä kysyä...

”Tiedätkö, miltä se kuulostaa.. öh, esimerkiksi nyt vaikkapa liiketoiminnan näkökulmasta, jos käytetään 30 tonnia painavaa kantorakettia tuollaisen keskiverto miehen painoisen ohjuskärjen lennättämiseen?..."

Jep. Typerältä. Ja siksi turvallisuutta ei pidä hankkia tukkuhinnalla paljousalennuksen kanssa. Tietoturvan suunnittelussa on hyvä muistaa noin viisi asiaa: 

1. Mitä suojaat – mikä tieto on todella sinulle on tärkeää?
2. Missä se sijaitsee – missä se on sähköisenä ja mihin paperit päätyvät?
3. Mikä sitä uhkaa – mikä on missäkin kohdassa suurin uhka tiedollesi?
4. Miten suojaat sen – mikä on keinovalikoima jota käytät? 

Niin. Ja se viides. Mutta ennen kuin paljastan sen, on pakko huomauttaa, että juhlapöydän jälkiruokakonjakista on jo pitkä aika. Nimittäin yksi tärkeimpiä asioita on päättää mitä ei suojata ja mitä jätetään tietoturvapuolelle hankkimatta. Nimittäin, jos bisneksesi ei ole tietoturva, älä mieti sitä liikaa. Äläkä ainakaan tuhlaa liikaa rahojasi siihen.


Pidetään riskit hallinnassa myös 2012. Hyvää alkanutta vuotta!