Rakkaudesta lajiin

Perustin tämän tietojesiturvaksi.fi blogin 10 vuotta sitten. Käsittelen tässä 10v postauksessa nyt sellaisia aiheita, jotka ovat puhutelleet minua jollain tavalla viimeisten vuosien aikana. Aiheet ei liity suoraan tietoturvaan, vaan bloggaamiseen.

Tämä postaus ei ole vuodatus. Tämä on oman toiminnan ja ajattelun tarkastelua. Oppimista. Ehkä näistä huomioista ja pohdinnoista on hyötyä tulevaisuudessa – sinullekin?

Tämä ei ole blogi! Eikä varsinkaan henkilöbrändäystä!

Muistaakseni blogit oli 2010 aikoihin kova juttu. Kieltäydyin kuitenkin kutsumasta sivustoani blogiksi. Sen sijaan se oli vain sivusto tai tietoturva-aiheinen nettisivu.

En halunnut puhua blogista, koska se olisi tehnyt minusta bloggaajan. Ja bloggaajia pidettiin turhanpäiväisinä huutelijoina, jotka esittävät ”asiantuntijaa”. Mokomatkin itsensä jalustalle nostajat! Nykyäänhän samat manaukset kohdistetaan henkilöbrändäykseen.

Parin vuoden ”sivuston” pitämisen jälkeen minulle tylytettiin päin naamaa, että onhan se blogi. No prkl, niinhän se on! Olisi myös tietämättömyyttä tai suoranaista valehtelua todeta, että tässä ei samalla rakennettaisi henkilöbrändiä.

Täydellisen tekstin tavoittelu

Blogipostausten kirjoittamisessa minulla on yksi törkeän iso ongelma: yksittäisen postauksen tekeminen vie aivan liikaa aikaa ja energiaa. Taustalla piinaa jonkinlainen täydellisen tekstin tavoittelu.

Ongelma muodostuu tällaisen ajatusprosessin läpikäymisestä:

  1. Olenhan huomioinut kaiken olennaisen?
  2. Saisikohan tästä sittenkin useamman postauksen?
  3. Onhan teksti ymmärrettävää, selkeää ja sujuvaa?
  4. Mitäköhän tästä nyt ajatellaan, enhän tee itsestäni täysin pelleä?
  5. Muistinhan kaikki olennaiset hakukonekikkailut?

Voitte vain kuvitella, miten asiat konkretisoitui tässä pitkässä 10v postauksessa. Meni aikaa ja energiaa. Hävettää jo valmiiksi, vaikka en ole julkaissut vielä mitään.

Sinun blogi – sinun juttusi!

Tietoturvasta ja tietosuojasta julkaistaan nykyään valtavasti erilaista materiaalia. On blogeja, videoita, podcasteja, kirjallisuutta, viranomaisohjeita ja laadukasta uutisointia. Minun on ihan turha lähteä uutisoimaan tai analysoimaan jotain tietoturvatapausta, koska monet muut tahot (asiantuntijat, mediatalot, ammattibloggaajat jne) ovat sen jo tehneet – nopeammin ja laadukkaammin.

Unohda yllä oleva – keskity omaan juttuusi.

Vanhat sisällöt on historian taakkaa?

Blogin pitämiseen kuuluu se, että vanhatkin postaukset jäävät muiden luettavaksi. Tästä on toki merkittävää hyötyäkin, mutta itse koen tämän jonkinlaisena taakkana: voiko asiantuntijan blogissa olla vastavalmistuneen opiskelijan tuottamaa materiaalia?

Välissä on toki vierähtänyt 10 vuotta, mutta huomioihan lukija sen?

Onhan tavoitteet, toiminta ja tunteet linjassa?

Blogi voi olla harrastus tai asiantuntijuuden markkinointikanava. Jos tavoitteenasi on tuoda asiantuntemusta esille, myydä asiantuntijapalveluita tms. niin toimi sitten tavoitteiden edellyttämällä tavalla. Toiminta! Luo aiheeseen liittyvää laadukasta sisältöä tarpeeksi usein.

En kirjoita blogia työkseni enkä saa tekemisestä rahaa, mutta koen silti pienimuotoista syyllisyyttä siitä, että en julkaise tarpeeksi usein. Ehkä omat tavoitteet, toiminta ja tunteet eivät ole linjassa.

Blogisi pakottaa sinua toimimaan esimerkillisesti?

Jos pidät asiantuntijablogia valokuvauksesta, muodista, ruuanlaitosta tms. niin lukija varmasti olettaa, että sivustollasi on hienoja valokuvia, muodikkaita vaatteita ja hyviä reseptejä jne.

Koska puhun tietosuojasta, onko kaksinaamaista, jos minulla ei ole lisäksi viimeisen päälle hyvä tietosuojaseloste, tietosuojaa kunnioittava analytiikkasovellus ja somenapit sekä hienot evästehärpäkkeet?

Analytiikkaohjelmisto heiluttaa koiraa

Seurasin aikoinaan hyvinkin aktiivisesti blogin lukijamääriä ja muita tilastotietoja erilaisilla analytiikkaohjelmistoilla (Google Analytics, Piwik/Matomo).

Analytiikka on tärkeää, mutta sen kanssa on oltava varovainen. Huomasin jossain vaiheessa, että minua kiinnosti enemmän numerot kuin uusien postausten kirjoittaminen.

Tuntui jotenkin vapauttavalta, kun poistin koko analytiikkasovelluksen käytöstä. Pakottaa keskittymään olennaiseen.

Jätä ylläpitohommat ammattilaisille

Jätä blogialustan tekninen ylläpito ammattilaiselle, jolla on osaamista ja aikaa. Siis molempia: osaamista ja aikaa.

Ylläpidin itse blogialustaani teknisesti useita vuosia. Tämä kahlitsee melkoisesti. Kun blogialustasta löytyy tietoturvareikä, verkkorikolliset hyökkäävät siihen automaattisesti. Siinä on sitten kiva miettiä arkena, viikonloppuna ja ennen kesälomamatkaa, että kukas sitä palvelua päivittelee poissaolosi aikana.

Tosin, ylläpitämällä itse oppii paljon erilaisia asioita. Opit myös arvostamaan sitä, kun joku muu tekee työn puolestasi.

Miten saan blogiini kommentteja?

Hanki ensin lukijoita. Saat lukijoilta kommentteja kolmella tavalla:

  1. Tuota hyvää sisältöä.
  2. Ärsytä ihmisiä.
  3. Jätä kommenttitoiminnon tietoturva huomioimatta.

Oli aika, kun en ollut huomioinut kommenttikentän tietoturvaa. Sitten tuli botti ja roskapostitti kommenttikentät täyteen pornoa ja pillereitä.

Miten saan blogiini lukijoita?

Lukijoiden määrä on suoraan verrannollinen siihen työmäärään, jonka blogiisi eteen teet. Googleta ”markkinointi”.

Ehkä tästä on jollekin hyötyä?

Perustin tietojesiturvaksi.fi alunperin nettisivuksi, jossa tarjotaan yleistä tietoturvatietoa. Pääsisältö muodostui juuri valmistuneen AMK-opinnäytetyöni teksteistä ja teknisistä ohjeista. Uskoin tuolloin, että näistä olisi hyötyä ja apua muillekin.

Uskon edelleen, että suomenkieliselle digiturvatiedolle on käyttöä.

Huomaan kuitenkin yhä useammin pohtivani: miksi teen tätä? Miksi käytän tähän aikaa, rahaa ja energiaa? Kysymykset ovat ihan aiheellisia.

Toistaiseksi, vastaus löytyy otsikosta – rakkaudesta lajiin!

Tapahtumien tietosuoja – 11 kysymystä suunnittelun avuksi

Tapahtumien tietosuoja muodostuu monesta asiasta. Suunnitelmallisuus on tärkeää, sillä iso osa tapahtuman tietosuojatyöstä tehdään jo ennen ilmoittautumisen avaamista. Suunnittele tapahtumien tietosuoja seuraavien kysymysten avulla:

  1. Miksi tapahtuman järjestäminen vaatii henkilötietojen käsittelyä?
  2. Mitä tietoja oikeasti tarvitaan?
  3. Millaista oheistoimintaa tapahtumassa järjestetään ja käsitelläänkö siinä henkilötietoja?
  4. Miten osallistujien tietoja halutaan hyödyntää myöhemmin?
  5. Miten ulkopuolisia palveluntarjoajia hyödynnetään tapahtuman järjestämisessä?
  6. Millaisia valokuvia tapahtumassa otetaan ja missä niitä julkaistaan?
  7. Mille tahoille osallistujien tietoja luovutetaan?
  8. Miten tapahtuman materiaalit lähetetään osallistujille?
  9. Miten ja minne tarpeelliset tiedot otetaan talteen?
  10. Mitä muille tiedoille tehdään tapahtuman jälkeen?
  11. Missä osallistujalle kerrotaan henkilötietojen käsittelystä?

Aihetta on käsitelty laajemmin Talk-verkkolehdessä: Tietosuoja tapahtumissa – mitä pitää huomioida?

Tapahtumien tietosuojan suunnittelussa voi auttaa myös tietovirtojen kuvaaminen.

10 tietoturvavinkkiä etätöihin

Lapsi uittaa läppärin mehussa. Koira järsii koneen virtajohtoa. Sukulainen haluaa näyttää ”yhden hyvän jutun netistä” … klik klik, yes hyväksyn. Puoliso sentään shoppaa omalla koneellaan.

Ihan perus etätyöpäivä? Toivottavasti ei.

Etätyö laajentaa yrityksen IT-ympäristöä työntekijöiden koteihin. Tämä luo erilaisia haasteita tietoturvallisuudelle niin organisaation kuin työntekijänkin näkökulmasta. Suurin uhka ei aina ole rahan perässä kärkkyvät verkkorikolliset.

Etätyön tietoturva muodostuu monesta asiasta. Erityisesti korostuvat työntekijän osaaminen ja oma vastuu ympäristön fyysisestä ja teknisestä turvallisuudesta. Kotitoimistolla on huomioitava eri asioita kuin työpaikalla.

Ohessa kymmenen käytännön vinkkiä tietoturvallisempaan etätyöhön. Tutustu vinkkien sisältöön tarkemmin Turun AMK:n Talk-verkkolehden artikkelissa Etätyön tietoturva – 10 käytännön vinkkiä.

Vinkit:

  1. Käytä työtehtävien tekemiseen työantajan tarjoamia laitteita.
  2. Suojaa laitteiden fyysistä turvallisuutta etätyöpisteessä.
  3. Hyödynnä suojattuja verkkoyhteyksiä ja -laitteita.
  4. Tiedosta kodin muista älylaitteista aiheutuvat riskit.
  5. Asenna tietoturvapäivitykset ajallaan.
  6. Tiedosta IT-palveluiden normaali toiminta etätyöympäristössä.
  7. Tallenna työtiedostot sovittuun paikkaan.
  8. Jaa tietoa järkevästi ja turvallisesti.
  9. Käytä etätöissä työnantajan tarjoamia ja ohjeistamia IT-palveluita.
  10. Ota selvää, miten varmuuskopiointi toimii.

Tietoturva ei ole pelkästään tiedon piilottelua ulkopuolisilta. Yhtä tärkeää on varmistaa tiedon saatavuus ja laitteiden toimivuus silloin, kun niitä oikeasti tarvitaan.

Pari hyvää lisätietosivua:
Kyberturvallisuuskeskus: Tee etätyöstä turvallista vinkkiemme avulla.
SANS Security Awareness Work-from-Home Deployment Kit.

ps. koiralle ei käynyt mitään.

Miksi yrityksiä hakkeroidaan?

Päivittäinen tietoturvauutisointi pistää miettimään. Verkkorikollisuus on jatkuvasti pinnalla. Onko olemassa yritystä, joka ei kelpaisi kohteeksi?

Rikollisia kiinnostaa meidän rahat, resurssit ja osaaminen.

Rahaa yritetään saada monin eri tavoin. Rahaa rosvotaan väärennetyillä laskuilla ja maksutiedoilla, varastettuja (henkilö)tietoja myymällä ja kiristämällä.

Resursseista rikollisia kiinnostavat esimerkiksi erilaiset tietojärjestelmät. Verkkomedioissa on uutisoitu esimerkiksi siitä, että eri korkeakoulujen kirjastoihin on tehty kohdennettuja tietoturvahyökkäyksiä, joilla tavoitellaan pääsyä kirjastojen tietokantoihin.

Kyllä, kirjatkin viedään käsistä!

IT-resurssejamme (läppärit, puhelimet, palvelimet, IoT-laitteet jne.) yritetään puolestaan valjastaa osaksi laajempia verkkohyökkäyksiä. Osaamisen varastaminen on käytännössä vakoilua. Onneksi vanha vitsaus ”meillä ei ole mitään salattavaa” jäi viime vuosikymmenelle. Toteamusta ei ole hetkeen kuulunut.

Välillä tuntuu siltä, että verkkorikollisille kelpaa kaikki.

Kyberturvallisuuskeskuksen julkaisema Kybersää-raportti avaa hyvin suomalaisten organisaatioiden tietoturvahaasteita. Tässä muutama lumettoman talven värinen poiminta nykytrendeistä:

  • ”Office 365 -tilien kalastelu johtaa edelleen tietomurtoihin päivittäin.” (Kybersää 10/2019)
  • Tietomurroissa ”…Office-365-tapaukset ovat uusi normaali”. (Kybersää 1/2020)

On siellä Kybersäässä myös aurinkoisempia uutisia. Kannattaa tutustua!

Tietovirtojen kuvaaminen – miksi se kannattaa tehdä?

Tietovirtojen kuvaaminen on toimenpide, joka auttaa organisaatiota ymmärtämään ja hallitsemaan tietojaan paremmin. Toimenpide auttaa myös EU:n tietosuoja-asetusten vaatimusten täyttämisessä.

Tarkoitus on, että yritys selvittäisi itselleen, miten sen hallussa olevat henkilötiedot kulkevat paikasta toiseen.

Monesti on niin, että jokin asia vaikuttaa täysin selkeältä… kunnes sen pistää paperille. Saan itseni kiinni tästä ajatusharhasta jatkuvasti. Tietojärjestelmäympäristöissä mikään ei ole niin, kuin ensin luulee olevan. Avaan ajatuksiani oheisten kuvioiden kautta.

Kuviossa 1 asiakas tekee tilauksen yrityksen verkkokaupassa. Tilauksen yhteydessä kysytään henkilötietoja, jotta tiedetään, mihin paketti toimitetaan. Kaupankäynnin jälkeen yritys lähettää vielä markkinointiviestintää asiakkaalle sähköpostitse.

Henkilötietoja menee siis verkkokauppaan, paketin toimittajalle ja sähköpostiin. Kohtuullisen yksinkertainen kokonaisuus, joka on helposti selitetty!

Kuvion 1 tietovirtojen kuvaaminen toi kuitenkin mieleen kaikenlaisia yksityiskohtia. Ne ovat seuraavassa kuviossa.

Kuviossa 2 on todellisuus. Verkkokauppasovellus käsittelee vain tilauksen ja tietojen siirron toimittajalle. Sen jälkeen tiedot siirtyvät yrityksen asiakkuudenhallintajärjestelmään (CRM). Uutiskirjeiden lähetyksessä puolestaan hyödynnetään erillistä palvelua. Tekninen kokonaisuus varmuuskopioidaan erilliseen paikkaan. Mikä tahansa kokonaisuuden osa on voitu tilata EU:n ulkopuolella toimivalta palveluntoimittajalta pilvipalveluna, joka puolestaan tuo kokonaisuuteen lisää huomioitavaa.

Tietovirtojen kuvaaminen auttoi hahmottamaan, ettei kyseessä ollutkaan ihan yksinkertainen kokonaisuus.