Vasara avuksi riskienhallintaan

Nurkissa pyöri muutama vanha kiintolevy, joille piti löytää uusi osoite. Eikun DBAN-sovellus pyörimään ja levyt täyteen random-dataa.

Kiintolevyn tiedostot tulee poistaa kunnolla, kun levy on lähdössä uudelle omistajalle tai kierrätykseen. Pelkkä käyttöjärjestelmän Poista-komento ei riitä.

Tiedoston poistaminen ei siis poista tiedostoa!

Ylen loistavassa Team Whack -hakkerisarjassa näytetään, mitä tietoa levyiltä on palautettavissa. Tavallisesti poistettujen tiedostojen palauttaminen on myös kotioloissa melko yksinkertaista.

Palautustoimenpiteitä vastaan voidaan suojautua usealla tavalla. Yritysmaailmaan vinkkejä voi ottaa esimerkiksi Kyberturvallisuuskeskuksen ohjeesta ”Kiintolevyjen elinkaaren hallinta – Ylikirjoitus ja uusiokäyttö

Yksi kiintolevyistäni oli sen verran huonossa kunnossa, että ylikirjoitus ei onnistunut luotettavasti. Riskinä oli, että tiedostot voidaan palauttaa kotikonstein. Tämän takia edellä mainittua kirjainyhdistelmää piti hieman soveltaa:

Drill, Bang and Neutralize.

kiintolevyn tuhoaminen

Riskiarvio oikaistiin vasaralla.

Digiturvatyö on vaikuttamista

Pitkittynyt erikoistilanne on antanut mahdollisuuden arvioida digiturvatyötä eri näkökulmista. Työympäristöt ja työn tekeminen muuttuu, ihmiset vaihtuvat ja järjestelmät kehittyy. Pitkä etätyöjakso voi kuitenkin johtaa siihen, että yksittäinen aihealue ja asiantuntija muuttuu näkymättömäksi, jos hän ei tee itseään ja asiaansa näkyväksi.

Edellinen opetti tärkeän asian: digiturvatyö on vaikuttamista.

Ja se on sitä, vaikka erikoistilannetta tai pitkiä etätöitä ei olisikaan.

Digiturvatyössä vaikuttaminen on viestintää, jolla tavoitellaan digiturvallisempaa ympäristöä. Tässä ei ole mitään uutta. Klassisen tietoturvan osa-alueiden jaottelun kautta kyseessä on tietoturvatietoisuuden nostaminen ja tietoturvaviestintä.

Ohessa muutamia esimerkkejä, miksi eri kohderyhmille suunnattu viestintä ja vaikuttaminen on tärkeää.

Ylin johto, johtajat, päälliköt jne.
Täällä majailee se kuuluisa ”ylimmän johdon tuki”. On mukavampi tehdä hommia, kun huomaa, että ylin johto on kiinnostunut aiheesta. He antavat digiturvatyölle ajatuksia, aikaa ja tekijöitä.

He toimivat esimerkkinä päivittäisissä digiturva-asioissa, huomioivat digiturvallisuuden omilla vastuualueillaan ja huolehtivat työntekijöidensä osaamisesta.

Johdon on ymmärrettävä, miten tietoturvallisuus – tai tietoturvattomuus – voi vaikuttaa yrityksen toimintaan. Ymmärrystä voi lisätä viestimällä mahdollisuuksista, riskeistä ja tilannekuvasta.

Työntekijät
Henkilöstön osaaminen ja toiminta vaikuttavat suoraan yrityksen digiturvan toteutumiseen. On tärkeää ymmärtää arjen asioita:

  • miksi verkkorikolliset ovat kiinnostuneet myös tästä yrityksestä,
  • mihin käyttäjätunnuksen kaappaaminen käytännössä johtaa,
  • miksi samaa salasanaa ei saa käyttää vapaa-ajan ja työpaikan järjestelmissä,
  • miten tiedostot kannattaa jakaa kollegalle?

Digiturvallisuus kuuluu kaikille ja se on läsnä jokaisen työtehtävissä, oli sitten työntekijä tai johtaja. Kokeneemmat työntekijät toimivat esimerkkinä uusille työntekijöille. Uudet työntekijät saadaan heti mukaan turvallisuuskulttuurin ylläpitämiseen.

Ymmärryksen muuttuminen voi johtaa haluttuun lopputulokseen, eli käytännössä digiturvallisempaan kokonaisuuteen. Ja se mahdollistaa yrityksen toiminnan ja asiakkaiden tarpeiden täyttämisen.

Digiturvatyö on vaikuttamista.

Rakkaudesta lajiin

Perustin tämän tietojesiturvaksi.fi blogin 10 vuotta sitten. Käsittelen tässä 10v postauksessa nyt sellaisia aiheita, jotka ovat puhutelleet minua jollain tavalla viimeisten vuosien aikana. Aiheet ei liity suoraan tietoturvaan, vaan bloggaamiseen.

Tämä postaus ei ole vuodatus. Tämä on oman toiminnan ja ajattelun tarkastelua. Oppimista. Ehkä näistä huomioista ja pohdinnoista on hyötyä tulevaisuudessa – sinullekin?

Tämä ei ole blogi! Eikä varsinkaan henkilöbrändäystä!

Muistaakseni blogit oli 2010 aikoihin kova juttu. Kieltäydyin kuitenkin kutsumasta sivustoani blogiksi. Sen sijaan se oli vain sivusto tai tietoturva-aiheinen nettisivu.

En halunnut puhua blogista, koska se olisi tehnyt minusta bloggaajan. Ja bloggaajia pidettiin turhanpäiväisinä huutelijoina, jotka esittävät ”asiantuntijaa”. Mokomatkin itsensä jalustalle nostajat! Nykyäänhän samat manaukset kohdistetaan henkilöbrändäykseen.

Parin vuoden ”sivuston” pitämisen jälkeen minulle tylytettiin päin naamaa, että onhan se blogi. No prkl, niinhän se on! Olisi myös tietämättömyyttä tai suoranaista valehtelua todeta, että tässä ei samalla rakennettaisi henkilöbrändiä.

Täydellisen tekstin tavoittelu

Blogipostausten kirjoittamisessa minulla on yksi törkeän iso ongelma: yksittäisen postauksen tekeminen vie aivan liikaa aikaa ja energiaa. Taustalla piinaa jonkinlainen täydellisen tekstin tavoittelu.

Ongelma muodostuu tällaisen ajatusprosessin läpikäymisestä:

  1. Olenhan huomioinut kaiken olennaisen?
  2. Saisikohan tästä sittenkin useamman postauksen?
  3. Onhan teksti ymmärrettävää, selkeää ja sujuvaa?
  4. Mitäköhän tästä nyt ajatellaan, enhän tee itsestäni täysin pelleä?
  5. Muistinhan kaikki olennaiset hakukonekikkailut?

Voitte vain kuvitella, miten asiat konkretisoitui tässä pitkässä 10v postauksessa. Meni aikaa ja energiaa. Hävettää jo valmiiksi, vaikka en ole julkaissut vielä mitään.

Sinun blogi – sinun juttusi!

Tietoturvasta ja tietosuojasta julkaistaan nykyään valtavasti erilaista materiaalia. On blogeja, videoita, podcasteja, kirjallisuutta, viranomaisohjeita ja laadukasta uutisointia. Minun on ihan turha lähteä uutisoimaan tai analysoimaan jotain tietoturvatapausta, koska monet muut tahot (asiantuntijat, mediatalot, ammattibloggaajat jne) ovat sen jo tehneet – nopeammin ja laadukkaammin.

Unohda yllä oleva – keskity omaan juttuusi.

Vanhat sisällöt on historian taakkaa?

Blogin pitämiseen kuuluu se, että vanhatkin postaukset jäävät muiden luettavaksi. Tästä on toki merkittävää hyötyäkin, mutta itse koen tämän jonkinlaisena taakkana: voiko asiantuntijan blogissa olla vastavalmistuneen opiskelijan tuottamaa materiaalia?

Välissä on toki vierähtänyt 10 vuotta, mutta huomioihan lukija sen?

Onhan tavoitteet, toiminta ja tunteet linjassa?

Blogi voi olla harrastus tai asiantuntijuuden markkinointikanava. Jos tavoitteenasi on tuoda asiantuntemusta esille, myydä asiantuntijapalveluita tms. niin toimi sitten tavoitteiden edellyttämällä tavalla. Toiminta! Luo aiheeseen liittyvää laadukasta sisältöä tarpeeksi usein.

En kirjoita blogia työkseni enkä saa tekemisestä rahaa, mutta koen silti pienimuotoista syyllisyyttä siitä, että en julkaise tarpeeksi usein. Ehkä omat tavoitteet, toiminta ja tunteet eivät ole linjassa.

Blogisi pakottaa sinua toimimaan esimerkillisesti?

Jos pidät asiantuntijablogia valokuvauksesta, muodista, ruuanlaitosta tms. niin lukija varmasti olettaa, että sivustollasi on hienoja valokuvia, muodikkaita vaatteita ja hyviä reseptejä jne.

Koska puhun tietosuojasta, onko kaksinaamaista, jos minulla ei ole lisäksi viimeisen päälle hyvä tietosuojaseloste, tietosuojaa kunnioittava analytiikkasovellus ja somenapit sekä hienot evästehärpäkkeet?

Analytiikkaohjelmisto heiluttaa koiraa

Seurasin aikoinaan hyvinkin aktiivisesti blogin lukijamääriä ja muita tilastotietoja erilaisilla analytiikkaohjelmistoilla (Google Analytics, Piwik/Matomo).

Analytiikka on tärkeää, mutta sen kanssa on oltava varovainen. Huomasin jossain vaiheessa, että minua kiinnosti enemmän numerot kuin uusien postausten kirjoittaminen.

Tuntui jotenkin vapauttavalta, kun poistin koko analytiikkasovelluksen käytöstä. Pakottaa keskittymään olennaiseen.

Jätä ylläpitohommat ammattilaisille

Jätä blogialustan tekninen ylläpito ammattilaiselle, jolla on osaamista ja aikaa. Siis molempia: osaamista ja aikaa.

Ylläpidin itse blogialustaani teknisesti useita vuosia. Tämä kahlitsee melkoisesti. Kun blogialustasta löytyy tietoturvareikä, verkkorikolliset hyökkäävät siihen automaattisesti. Siinä on sitten kiva miettiä arkena, viikonloppuna ja ennen kesälomamatkaa, että kukas sitä palvelua päivittelee poissaolosi aikana.

Tosin, ylläpitämällä itse oppii paljon erilaisia asioita. Opit myös arvostamaan sitä, kun joku muu tekee työn puolestasi.

Miten saan blogiini kommentteja?

Hanki ensin lukijoita. Saat lukijoilta kommentteja kolmella tavalla:

  1. Tuota hyvää sisältöä.
  2. Ärsytä ihmisiä.
  3. Jätä kommenttitoiminnon tietoturva huomioimatta.

Oli aika, kun en ollut huomioinut kommenttikentän tietoturvaa. Sitten tuli botti ja roskapostitti kommenttikentät täyteen pornoa ja pillereitä.

Miten saan blogiini lukijoita?

Lukijoiden määrä on suoraan verrannollinen siihen työmäärään, jonka blogiisi eteen teet. Googleta ”markkinointi”.

Ehkä tästä on jollekin hyötyä?

Perustin tietojesiturvaksi.fi alunperin nettisivuksi, jossa tarjotaan yleistä tietoturvatietoa. Pääsisältö muodostui juuri valmistuneen AMK-opinnäytetyöni teksteistä ja teknisistä ohjeista. Uskoin tuolloin, että näistä olisi hyötyä ja apua muillekin.

Uskon edelleen, että suomenkieliselle digiturvatiedolle on käyttöä.

Huomaan kuitenkin yhä useammin pohtivani: miksi teen tätä? Miksi käytän tähän aikaa, rahaa ja energiaa? Kysymykset ovat ihan aiheellisia.

Toistaiseksi, vastaus löytyy otsikosta – rakkaudesta lajiin!

Tapahtumien tietosuoja – 11 kysymystä suunnittelun avuksi

Tapahtumien tietosuoja muodostuu monesta asiasta. Suunnitelmallisuus on tärkeää, sillä iso osa tapahtuman tietosuojatyöstä tehdään jo ennen ilmoittautumisen avaamista. Suunnittele tapahtumien tietosuoja seuraavien kysymysten avulla:

  1. Miksi tapahtuman järjestäminen vaatii henkilötietojen käsittelyä?
  2. Mitä tietoja oikeasti tarvitaan?
  3. Millaista oheistoimintaa tapahtumassa järjestetään ja käsitelläänkö siinä henkilötietoja?
  4. Miten osallistujien tietoja halutaan hyödyntää myöhemmin?
  5. Miten ulkopuolisia palveluntarjoajia hyödynnetään tapahtuman järjestämisessä?
  6. Millaisia valokuvia tapahtumassa otetaan ja missä niitä julkaistaan?
  7. Mille tahoille osallistujien tietoja luovutetaan?
  8. Miten tapahtuman materiaalit lähetetään osallistujille?
  9. Miten ja minne tarpeelliset tiedot otetaan talteen?
  10. Mitä muille tiedoille tehdään tapahtuman jälkeen?
  11. Missä osallistujalle kerrotaan henkilötietojen käsittelystä?

Aihetta on käsitelty laajemmin Talk-verkkolehdessä: Tietosuoja tapahtumissa – mitä pitää huomioida?

Tapahtumien tietosuojan suunnittelussa voi auttaa myös tietovirtojen kuvaaminen.

10 tietoturvavinkkiä etätöihin

Lapsi uittaa läppärin mehussa. Koira järsii koneen virtajohtoa. Sukulainen haluaa näyttää ”yhden hyvän jutun netistä” … klik klik, yes hyväksyn. Puoliso sentään shoppaa omalla koneellaan.

Ihan perus etätyöpäivä? Toivottavasti ei.

Etätyö laajentaa yrityksen IT-ympäristöä työntekijöiden koteihin. Tämä luo erilaisia haasteita tietoturvallisuudelle niin organisaation kuin työntekijänkin näkökulmasta. Suurin uhka ei aina ole rahan perässä kärkkyvät verkkorikolliset.

Etätyön tietoturva muodostuu monesta asiasta. Erityisesti korostuvat työntekijän osaaminen ja oma vastuu ympäristön fyysisestä ja teknisestä turvallisuudesta. Kotitoimistolla on huomioitava eri asioita kuin työpaikalla.

Ohessa kymmenen käytännön vinkkiä tietoturvallisempaan etätyöhön. Tutustu vinkkien sisältöön tarkemmin Turun AMK:n Talk-verkkolehden artikkelissa Etätyön tietoturva – 10 käytännön vinkkiä.

Vinkit:

  1. Käytä työtehtävien tekemiseen työantajan tarjoamia laitteita.
  2. Suojaa laitteiden fyysistä turvallisuutta etätyöpisteessä.
  3. Hyödynnä suojattuja verkkoyhteyksiä ja -laitteita.
  4. Tiedosta kodin muista älylaitteista aiheutuvat riskit.
  5. Asenna tietoturvapäivitykset ajallaan.
  6. Tiedosta IT-palveluiden normaali toiminta etätyöympäristössä.
  7. Tallenna työtiedostot sovittuun paikkaan.
  8. Jaa tietoa järkevästi ja turvallisesti.
  9. Käytä etätöissä työnantajan tarjoamia ja ohjeistamia IT-palveluita.
  10. Ota selvää, miten varmuuskopiointi toimii.

Tietoturva ei ole pelkästään tiedon piilottelua ulkopuolisilta. Yhtä tärkeää on varmistaa tiedon saatavuus ja laitteiden toimivuus silloin, kun niitä oikeasti tarvitaan.

Pari hyvää lisätietosivua:
Kyberturvallisuuskeskus: Tee etätyöstä turvallista vinkkiemme avulla.
SANS Security Awareness Work-from-Home Deployment Kit.

ps. koiralle ei käynyt mitään.