Helppo tietoturvaratkaisu: Turpa kiinni!

Olin eräässä IT-alan tapahtumassa kuuntelemassa tietoturva-aiheisia esityksiä. Erään organisaation ei-IT-henkilö selosti, kuinka heillä on toteutettu liikkuvien työntekijöiden tietoturvaratkaisuja. Hän yritti selittää teknistä puolta, mutta mainitsi, että ei tiedä tarkalleen kuinka asia on hoidettu.

Teknisen ratkaisun epätarkka selostaminen oli (toivottavasti) tietoinen valinta. Eihän esiintyjä saa kertoa tarkasti koko yleisölle, miten heidän tietoturvansa rakentuu.

Epäselvä selostus loukkasi kuitenkin yleisössä istuvan IT-sankarin ammattiylpeyttä. Hänen oli aivan pakko päästä kertomaan, kuinka hienosta ratkaisusta oli kyse. Olihan hän sen itse toteuttanut. Nyt me muutkin sitten tiedämme, miten tämä kyseinen tekninen ratkaisu heitä suojelee...tai miten sen voi kiertää.

2 vastausta artikkeliin “Helppo tietoturvaratkaisu: Turpa kiinni!”

  1. Käsittämättömän absurdi ja tasoton teksti. Aidot ja oikeat tietoturvaratkaisut perustuvat poikkeuksetta järjestelmän julkisuuteen ja auditointiin, EI siihen että toivotaan ettei vastapuoli saa urkittua selville heikkoja kohtia. Salausalgoritmit ovat julkisia, lukkojen rakenne on julkinen, turvallisimmat käyttöjärjestelmät ovat avointa lähdekoodia. Salaisia asioita puolestaan ovat yksilölliset salasanat, yksityiset salausavaimet ja avainten hammastukset. Jos järjestelmässä on tunnettu haavoittuvaisuus, yrityksen on paikattava se, ei käskettävä työntekijöitä olemaan hyshys.

    1. Puhut asiaa! Olen samaa mieltä kanssasi siitä, että turvallisuuden on oltava tarvittaessa avoimesti todennettavissa. Mielestäni ratkaisuista ei kuitenkaan kannata julkisesti huudella, vaikka ne olisivatkin huippuluokkaa. Mitä lisäarvoa yritys saa paljastamalla tietoturvaratkaisunsa esim. seminaariesityksissä?

      Kuvitellaan, että Joku haluaisi tehdä tietomurron esimerkkitapauksen yrityksen verkkoon. Ennen esitystä hän ei tiennyt yrityksen tietoturvatasosta mitään.
      Nyt hän tietää jo paljon enemmän.

Vastaa

Sähköpostiosoitettasi ei julkaista.