keskiviikko 11. maaliskuuta 2015

Tietoturvan "villi länsi"

Minkään muun turvallisuuden osa-alueen kehitys ei ole kai ollut yhtä kaoottista, hallitsematonta ja sekavaa kuin tietoturvan. Kyberturvallisuus -sanakin kuulostaa jo tavallisesta yrittäjästä uhalta, josta pitää pysyä kaukana.

Palo- ja pelastusturvallisuuden nimissä ei tietääkseni ole sytytelty yritysten ja valtion virastojen rakennuksia tuleen. En ole kuullut, että voisin kantaa tavaraa kaupasta ulos maksamatta kaupan hävikintorjunnan testaamiseksi. Jos vierailen pankissa sulkemisajan jälkeen, niin seuraavan päivän otsikoissa ei pääasia ole poliisin muutaman minuutin myöhästyminen hälytystehtävältä. Enkä takuulla saisi millään foorumilla netissä sympatiaa siitä, että olipa tuo Jari noheva, kun huomasi tällaisen puutteen poliisin toiminnassa.

Minkä ihmeen takia tietoturvan nimissä saa tehdä typeryyksiä, rikkoa lakia ja toimia edesvastuuttomasti? Tarkoittaako se, että lain valvonta ei ylety sähköiseen maailmaan vielä? Vaiko että toimialalla on keskimääräistä enemmän vastuuttomia ja hölmöileviä yrittäjiä? Mediasta saa tällä hetkellä kuvan, että kuka tahansa voi hyökätä mihin tahansa, murtaa ja varastaa mitä tahansa ja aina syy on uhrissa. Esimerkiksi eiliseen Tekes -tietomurtoon liittyvä uutisointi keskittyy siihen, mitä Tekes aikoo nyt tehdä. Entä ne rikolliset?!? Minua kiinnostaa paljon enemmän se, että millä tuollainen yritys saadaan pois markkinoilta, vastuuhenkilöt tuomittua ja palautetaan asiat normaalitilaan ja ihmisten usko vastuulliseen yritystoimintaan.


Tietoturvallisuus ja kyberturvallisuus ovat nopean kehitysvauhtinsa vuoksi koko ajan muuttuvassa tilassa. Ja osalla alan toimijoista iskee välillä vauhtisokeus - etenkin jos osaamista ja kokemusta on vähemmän kuin intoa. Tilanne on paha, kun tällainen toiminta alkaa muuttua niin hyväksyttäväksi, että poliisikaan ei välttämättä enää suhtaudu asiaan sen vaatimalla vakavuudella. Jos kuka tahansa voi hyökätä mihin tahansa jälkikäteisselitysten turvin, ei kukaan ole enää turvassa.

  • Entä jos "testaajalla" ei ole oman ympäristön tietoturva kunnossa ja "tietoturvatestaus" aiheuttaa enemmän vaaraa kuin haavoittuvuus
  • Entä jos testaajalla ei olekaan moraali kunnossa? Asiasta ei esimerkiksi ilmoitetakaan, kun huomataan, ettei jääty kiinni ja saatu tieto onkin yllättäen arvokasta ja mielenkiintoista. 
  • Mikä takaa, että haavoittuvuudesta oli alun perin tarkoitus ilmoittaa? Vai tehtiinkö ilmoitus vain siksi, että saadulla tiedolla ei ollutkaan hyötykäyttöä? 
  • Mitä tiedolle tapahtuu sillä välillä kun "testaaja" on haavoittuvuuden todennut siihen, että asiasta ilmoitetaan? Kenen vastuulla on sen luottamuksellisuus?
Millaista sähköistä toimintaympäristöä me tällä luomme? Miten jatkuu tietoyhteiskunnan kehitys? Haavoittuvuuksia on aina ollut ja niitä tulee aina olemaan. Emme me saa koskaan sähköisiä ympäristöjä täydelliseen kuntoon. Pitkästä liikenneturvallisuustyöstä huolimatta kolareja sattuu edelleen. Mutta ei naapurin auton kylkeä silti saa lommoille potkia varashälyttimen testaamiseksi.


Ei kommentteja:

Lähetä kommentti