Mistä tunnet sä ystävän?

Mistä tunnet sä ystävän?

Miten käyttäjä voi tietää mikä pilvipalvelu on turvallinen? Mitä sovelluksia uskaltaa ladata ja voiko edes kotimaisten toimijoiden tietoturvaan enää luottaa? Kenen apua uskaltaa ottaa vastaan, kun moni toimija tarjoaa apuaan tietoturvaongelmissa?

Tietoturva nousee tyypillisesti otsikoihin, kun vahinko on jo tapahtunut. Silloin on helppo ottaa kantaa ja olla kriittinen. Tulevien tietoturvapoikkeamien järkevä torjunta on huomattavasti vaikeampaa. Nyt lausuntokierroksella oleva tietoturvallisuuden päivitetty arviointityökalu KATAKRI tunnistaa kyllä kattavasti monet turvallisuuden osa-alueet, mutta sen vaatimusten täyttäminen ketterissä tiimeissä on haastavaa. Sama koskee Kyberturvallisuuskeskuksen juuri julkistamaa Kybermittaria, jonka avulla kyberriskejä ja -kyvykkyyksiä voidaan tunnistaa.

Mutta miten päästä liikkeelle ja tunnistaa tärkeimmät tietoturvauhat ja -keinot itsensä ja oman tiimin kannalta? Miten kyberelefantti syödään? Turvallisuus on hankala asia, mutta samalla yksinkertainen. Kysymys on luottamuksesta ja riskienhallinnasta.

Luottamuksen rakentaminen

Luottamusta yritetään luoda ja vahvistaa monella tavalla. IT-palveluissa tietoturvaa on kehitetty vuosikymmeniä, mutta tämä kannattaa suhteuttaa esimerkiksi nykymuotoiseen yritysten taloushallintaan, jonka luottamusmekanismeja on kehitetty jo ainakin tuhat vuotta. Väärinkäytösten ja huijausten estämiseksi yrityksillä pitää olla tilinpäätökset, kirjanpito, prokuristit ja sopimukset, mutta mitä vastaavaa IT-palvelut voivat tarjota vakuudeksi?

IT-puolella on hallinnollisia menettelyitä, joilla voi yrittää vakuuttaa asiakkaita ja sidosryhmiä, että palveluun ja datan turvallisuuteen voi luottaa. Sertifioinnit, auditoinnit, pitkät tietosuojaselosteet tai henkilötietosopimukset, jossa on puolisen tusinaa liitettä ovat osittain tätä. Tietoturvaprosessien ja -kuvausten pitää tietenkin olla kohtuullisessa kunnossa, mutta tämän lisäksi tarvitaan myös käytännön toteutukset, osaamista ja oikeaa asennetta.

Tietotekniikan puolella on myös paljon työkaluja, tai teknisiä kontrolleja kuten alalla sanotaan, turvallisuuden tunteen luomiseksi. Vahva salaus, monivaiheinen tunnistaminen, tunkeutumisen havainnointi ja esto sekä haittaliikenteen suodatus kuuluvat tähän työkalupakkiin. Tekniikan puolella pitää myös yksityiskohtien olla kunnossa. Ei riitä että liikenne "on salattu", vaan voidaan esimerkiksi vaatia, että rajatun käytön tiedon osalta tiivistefunktio pitää olla vähintään hmac-sha2-256.

Kuluttaja- ja, jos sellaista sanaa enää on olemassa, loppukäyttäjäpuolella on vyörytetty rekisteröidyn suostumuksen yksiselitteisen ja aidosti vapaaehtoisen tahdonilmaisun käyttö oikeusperusteena sellaisella kapulakielellä, että käytännössä lähes kaikki palvelun käyttäjät suostuvat järkyttävän monisanaisiin tietosuojaehtoihin niitä lukematta. Lueppas joskus edes yhden kansainvälisen verkkopalvelun tietosuojaehdot ja katso kuinka monelle henkilötietokauppiaalle tietosi menevät, kun painat "I Accept". Kansainväliset laatulehdet ja hupipalstat ovat hyvä esimerkki tästä, mutta kyllä täällä kotimaassakin osataan. Tätäkö EU halusi, kun kansalaisten henkilötietoja piti suojata asetuksin ja direktiivein? Lopputuloksena meillä on klikkausviidakko jokaisessa verkkopalvelussa ennen kuin palvelua pääsee käyttämään. Itse yritän kieltää aina kaiken ylimääräisen henkilötietojeni käsittelyn kaupallisissa palveluissa, mutta hankalaksi tämä on tehty. Ilmeisen epäluotettavia palveluita en käytä, kuten "ilmaisia salasanojen hallintapalveluita".

Kyse on myös riskienhallinnasta

Tietoturva voi kuitenkin olla myös helppoa ja yksinkertaista - kysymys on riskienhallinnasta. Pitää tunnistaa suojattava kohde, oli se sitten omat tai asiakkaiden tiedot. Tietoturvassa ei ole ensisijaisesti kysymys tietokoneiden tai muiden laitteiden suojaamisesti, vaan tietojen ja palveluiden. Kun suojattava tieto tai palvelu on selvillä, tulee tunnistaa mitä sitä uhkaa, miten uhkaa voi estää tai vähentää ja kuka tästä on vastuussa.

Tuo viimeksi mainittu kohta on vaikea, koska siinä on kysymys ihmisistä ja johtamisesta. Tekniikka voi olla hyvinkin monimutkaista, mutta siihen yleensä löytyy siedettäviä ratkaisuja. Varsinkin, jos ratkaisuun voi käyttää edes kohtuullisesti rahaa ja vaivaa.

Vaikka olen tehnyt tietoturvan parissa töitä vasta neljännesvuosisadan, on oma kokemukseni, että tietoturvaongelmat ovat yleensä ihmis- ja johtamisongelmia. Asioista ei välitetä, asioihin ei ole perehdytty, vastuut ovat epäselviä, siiloudutaan eikä toimita yhdessä tai ongelma on asenteissa. Näistä tietoturvaongelmat ovat usein tehty.

Riskien tunnistaminen on yleensä sitä vaikeampaa mitä kauempana ja monimutkaisempia palvelut ovat. Kuitenkin trendi on ollut jo pidemmän aikaa, että siirrymme käyttämään globaaleja pilvipalveluita. Tärkeintä on ymmärtää mitä tietoja riski koskee. Hakukonetta ja some-palveluita käytän minäkin, ovat käteviä ja joskus hauskoja, mutta työpaikan ja perheen sisäisten asioiden kanssa olen paljon varovaisempi. En esimerkiksi menisi antamaan koko perheeni DNA-näytteitä geenitestiä varten somen klikkimainoksen perusteella.

Vanha totuus on, että jos (turvallisuus)lupaus kuulostaa liian hyvältä ollakseen totta, se ei ole totta.

Kirjoitukseni alussa provosoin kysymällä, kuka meidän apunamme on: tietoturvanörtti, tietosuojahenkilö vai asiaan erikoistunut konsultti?  Oikea vastaus on, että me kaikki yhdessä olemme.

IT-palvelu saadaan turvalliseksi, kun asiakkaat, palvelun tuottajat, johto, asiantuntija, palveluvastaava ja se tietoturvavastaava osaavat toimia hyvin yhdessä ja varmistua käytännöllisellä ja järkevällä tavalla siitä, että riskit ovat riittävän hyvin hallinnassa.

Lisää tästä aiheesta » Siirry sisältöihin ja uutisiin »

Urpo Kaila

Urpo Kaila on CSC:n tietoturvapäällikkö