Tietojesiturvaksi.fi
-
PiTuKri – tietoturvatyökalu meille kaikille
PiTuKri on Pilvipalveluiden Turvallisuuden arviointiKriteeristö. PiTuKrin tavoitteena on edistää viranomaisten salassa pidettävän tiedon turvallisuutta. Unohdetaan hetkeksi tuo viranomaisnäkökulma. Kyseessä on oikeasti moniopuolinen ja hyödyllinen työkalu esim. yritysjohdolle, asiantuntijoille ja alaa opiskeleville – meille kaikille. IT-palvelun hankinnassa PiTuKrista on valtava apu. Dokumentista voi ottaa suuntaa, millaisia tietoturvavaatimuksia uudelle IT-palvelulle asetetaan. IT-palvelun tarjoaja voi puolestaan arvioida oman […]
-
Miksi Log4shell-tietoturvaongelma on niin vaarallinen?
Log4j-järjestelmästä löydettiin vaarallinen tietoturvaongelma eli haavoittuvuus joulukuussa 2021. Mikä tekee tästä Log4shell-haavoittuvuudesta niin vaarallisen? Alla on kuvattu ongelmaa eri näkökulmista. Kirjoitin myös aikaisemmin, mistä Log4j-tietoturvaongelmassa on kyse. Tilanteen ymmärtämisen vaikeus ”Vaikuttaako Log4shell-tietoturvaongelma meihin?” taisi olla yleisimpiä kysymyksiä organisaatioissa, kun tieto haavoittuvuudesta julkaistiin. Ei muuta kuin kyselemään IT-asiantuntijoilta ja palveluntarjoajilta. Vastauksen löytäminen ei kuitenkaan ole ihan […]
-
Log4j-tietoturvaongelma – tästä on kyse
Log4j-järjestelmään liittyvä tietoturva-aukko on poikkeuksellisen vaarallinen. Ongelman korjaaminen on aiheuttanut valtavaa liikehdintää eri organisaatioissa ympäri maailmaa. Lue alta, mistä tässä ongelmassa on kyse. Mikä on Log4j? Log4j on nettipalvelun taustajärjestelmän osa, joka vastaa nettipalvelun lokitietojen käsittelystä. Lokitietoa muodostuu aina, kun käytät nettipalvelua. Lokitieto kertoo palvelun ylläpitäjälle, miten palvelu toimii ja miten palvelua on käytetty. Esim. […]
-
Piirros on asiantuntijan lahja maailmalle
Asiantuntijoiden kannattaa avata ajatuksiaan kuvioiksi. Piirros mahdollistaa monta asiaa. Esimerkki: Tietojärjestelmän ylläpitäjänä tiedät, miten järjestelmä on rakennettu. Tiedät mistä palasista kokonaisuus muodostuu, miten tieto liikkuu palasten välillä ja mihin tieto lopulta päätyy. Jossain vaiheessa tulee hetki, kun kokonaisuus on avattava muille. Syy voi olla esimerkiksi järjestelmäkokonaisuuden kehitystyö, perehdyttäminen, henkilövaihdokset tai ulkopuolisen asiantuntijan hyödyntäminen. Olet melkoinen […]
-
Vasara avuksi riskienhallintaan
Nurkissa pyöri muutama vanha kiintolevy, joille piti löytää uusi osoite. Eikun DBAN-sovellus pyörimään ja levyt täyteen random-dataa. Kiintolevyn tiedostot tulee poistaa kunnolla, kun levy on lähdössä uudelle omistajalle tai kierrätykseen. Pelkkä käyttöjärjestelmän Poista-komento ei riitä. Tiedoston poistaminen ei siis poista tiedostoa! Ylen loistavassa Team Whack -hakkerisarjassa näytetään, mitä tietoa levyiltä on palautettavissa. Tavallisesti poistettujen tiedostojen […]
Ideoita, ajatuksia?