Servicedesk on osa organisaation tietoturvaa

Organisaation tukipalvelulla, esim. Helpdesk tai Servicedesk, on oma roolinsa organisaation tietoturvallisuuden toteuttamisessa. Lähestyn aihetta kolmen kokonaisuuden kautta: tilannekuva, toiminta ja tietoisuus.

Tilannekuva: Servicedesk tunnistaa tietoturvapoikkeamat

Servicedeskin työntekijät näkevät päivän aikana useita erilaisia palvelupyyntöjä, vikailmoituksia ja häiriötilanteita. Heille muodostuu nopeasti käsitys siitä, mikä on normaalia päivittäistä toimintaa. Servicedesk tuottaa organisaatiolle tilannekuvaa omasta näkökulmastaan.

Tukipalvelun työntekijöillä on hyvä olla tietoa yleisimmistä tietoturvaongelmista ja niiden ilmentymisistä käytännön työssä. Näin heillä on parempi kyky havaita tietoturvaongelmiin liittyvät poikkeamat. Kannattaa pohtia, pitäisikö tukipalvelun työntekijällä olla pääsy myös tietojärjestelmien ja verkkoympäristön tilannekuvaan, jolloin työntekijä voi arvioida, johtuuko vika järjestelmistä vai voisiko kyseessä olla laajempi tietoturvaongelma

Esimerkki
Servicedesk vastaanottaa useita ilmoituksia organisaation tarjoaman palvelun toimimattomuudesta. Asiakkaat eivät pääse palvelun nettisivulle. Verkkoympäristön tilannekuvan mukaan palveluun kohdistuu epänormaalin suuri määrä verkkoyhteyksiä. Ilmenee, että kyseessä on palvelunestohyökkäys. Servicedesk ilmoittaa ongelmasta organisaation verkkosivustolla ja pyrkii näin ollen vähentämään asiakkaiden huolia. Verkosta vastaavat tahot saavat keskittyä tietoturvaongelman ratkaisemiseen.

Toiminta: Varmista Servicedeskin toimintakyky

Tukipalvelun työntekijöillä on oltava velvollisuus ja kyky toimia, kun he saavat tietoonsa tietoturvallisuuteen liittyvän ilmoituksen asiakkaalta. Nopea toiminta on olennaista lisävahinkojen välttämiseksi.

Esimerkki
Asiakas ilmoittaa saaneensa huijaussähköpostin ja asiakas on luovuttanut käyttäjätunnuksensa ja salasanansa huijaussivustolle. Tukipalvelun työntekijä ilmoittaa asiakkaalle lukitsevansa asiakkaan käyttäjätunnuksen ja vaihtavansa salasanan. Näin pyritään estämään tunnuksen välitön väärinkäyttö.

Tietoisuus: Servicedesk nostaa tietoturvatietoisuutta

Jokainen viesti asiakkaalle on mahdollisuus parantaa asiakaskokemusta ja lisätä tietoisuutta eri asioista. Tukipalvelun viestien loppuun voidaan laittaa kevyet kesäterveiset tai viikon tietoturvavinkit. Viestit toimivat hyvänä kanavana tietoturvatietoisuuden lisäämiseksi.

Esimerkki
Asiakas haluaa jakaa tiedostoja usealle vastaanottajalle. Hän pohtii, olisiko Dropbox vai sähköposti parempi vaihtoehto.

Servicedeskin työntekijä kertoo, että sähköpostin liitteenä voidaan jakaa tiedotusluonteisesti muutamia julkisia tiedostoja. Jos tiedostoja pitää jatkossa vielä muokata, niin keskitetty tiedostojen jakopaikka on parempi vaihtoehto. Jos tiedostojen luottamuksellisuus pitää varmistaa, niin tiedostot olisi hyvä jakaa keskitetyn paikan kautta, jossa voidaan asettaa tarvittavia käyttöoikeuksia tiedostojen avaamiselle. Asiakas saa tietoonsa vaihtoehtoisia toimintamalleja sekä näiden hyviä ja huonoja puolia tietoturvallisuuden näkökulmasta. Servicedesk asiantuntija muuttaa asenteita!

Koonti

Servicedeskin työntekijöillä on oltava:

  • tilanneälyä ja osaamista poikkeamien havaitsemiseksi,
  • pääsy tarvittaviin tietoihin ja teknisiin välineisiin, sekä
  • valtuudet toimia nopeutta vaativissa tilanteissa.

Servicedeskillä on olennainen rooli organisaation tietoturvallisuuden toteuttamisessa. Varmista, että tämä mahdollisuus hyödynnetään!

Yritysjohto möhlii tai mahdollistaa tietoturvan

Yritysjohdon sitoutuminen tietoturvaan on yksi tärkeimmistä tietoturva-asioista. Jos yritysjohto ei ole kiinnostunut tietoturvasta, ei bisneskään kauan kukoista. Tietoturvan merkitystä yritykselle voi osoittaa tietoturvapolitiikan toteuttamisella, resurssien antamisella sekä riskienhallintaan osallistumalla.

Kyseessä on ihan perusjuttuja, jotka jokainen yritys voi toteuttaa. Asioiden olennaisuudesta kertoo se, että ne on huomioitu esimerkiksi ISO27001 tietoturvastandardissa sekä valtionhallinnon tietoturvallisuuden perustason vaatimuksissa (VAHTI 2/2010).

Sitoutuminen osoitetaan tietoturvapolitiikalla

Tietoturvapolitiikka osoittaa yritysjohdon sitoutumisen. Tietoturvapolitiikassa kerrotaan yleisellä tasolla, miten tietoturvallisuus on huomioitu yrityksessä. Dokumentti kuvaa myös eri tahojen vastuita ja velvollisuuksia sekä muita kannanottoja tietoturvallisuuteen liittyen. Asiakkaille luodaan luottamusta tietoturvapolitiikan avulla.

Esimerkki
Yrityksesi on päässyt neuvottelemaan palvelun toimittamisesta isolle asiakkaalle. Asiakas on positiivisesti yllättynyt, koska yrityksesi pystyi konkreettisesti todentamaan tietoturva-asioitaan tietoturvapolitiikan avulla. Useat aikaisemmat palvelutoimittajat ovat puhuneet paljon, mutta todentaminen on ollut ongelmallisempaa. Yritysjohdon sitoutuminen tietoturvatyöhön mahdollistaa neuvottelujen jatkumisen.

Tietoturvaresurssit luovat mahdollisuuksia

Yritysjohto osoittaa tietoturvatyölle tarvittavat resurssit. Ne voivat olla esimerkiksi koulutusta, työaikaa tai rahaa tietoturvateknologioihin. Resurssit mahdollistavat osaavamman henkilökunnan, turvallisemman työskentely-ympäristön ja jopa uudet asiakkuudet.

Esimerkki
Yrityksen asiantuntijat ovat havainneet, että tietoturvaan ja tietosuojaan liittyviä kysymyksiä tulee jatkuvasti enemmän. Lisäksi potentiaaliset asiakkaat kysyvät usein, miten tietoturvallisuus on organisoitu. Yritysjohto tarjoaa eräälle asiantuntijalle mahdollisuutta perehtyä lisää tietoturvallisuuteen koulutusten kautta sekä osoittamalla hänelle työaikaa tietoturvatehtävien hoitamiseksi. Asiakaskokemus paranee ja yritykseen luotetaan enemmän.

Riskienhallinta on yritysjohdon arkea

Päivittäisessä työssä ilmenee tilanteita, jotka vaativat riskien arviointia. Yritysjohto lopulta päättää, mitä riskeille tehdään: poistetaan, vähennetään, siirretään vai hyväksytään.

Esimerkki
Yrityksen IT-asiantuntija on havainnut, että varmuuskopiointipalvelimen kiintolevyt tuottavat silloin tällöin virheitä. Vaikuttaisi siltä, että levyt ovat hajoamassa. Asiantuntija suosittelee levyjen uusimista. Vaikka yrityksen taloustilanne on tiukka, yritysjohto päättää hankkia uudet levyt. Yritysjohto ei halua ottaa riskiä, että varmuuskopiot menetetään, koska siitä aiheutuu lisäriskejä koko yritystoiminnalle.

Yritysjohtaja,

  • Osoita suhtautumisesi tietoturvaan.
  • Varmista työntekijöiden tietoturvaosaaminen, edes yleisellä tasolla.
  • Tiedä tietoturvan pääpointit ja kuuntele asiantuntijoitasi.

Älä möhli vaan mahdollista!

Salasanat näppäimistön alle vai päälle?

Salasanat voi kirjoittaa paperille vaikkapa muistin helpottamiseksi. Mieti kuitenkin, mihin paperin sijoitat. Perinteinen piilopaikka näppäimistön alla ei ole se huonoin paikka.

Kävin turkulaisessa lastentarvikeliikkeessä ostoksilla. Vuoroa odotellessani huomasin, että toisen kassapäätteen näytön alareunaan oli kirjoitettu käyttäjätunnus ja salasana. Tunnusten perusteella ne arvattavasti toimivat liikkeen verkkokaupassa.

Tunnukset olivat sen verran helpot, että muistan ne monta päivää jälkikäteen. Toimintaympäristö huomioiden ei varmaan tule yllätyksenä, että salasana perustui suosittuun lastentarvikebrändiin. Tietysti! Miksi ei perustuisi. Sehän on loogista ja helppoa. Todennäköisesti salasanaa ei kuitenkaan kukaan arvaa. Helppo muistaa, mutta vaikea arvata. Kaikesta huolimatta kyseessä on siis hyvä salasana?

Salasana ja tunnus paljastuvat asiakkaille myyntipöydän mallista johtuen. Päätteet on sijoitettu pitkän L-kirjaimen mallisen pöydän molemmille reunoille. Vaikka pöytä aiheuttaakin (minimaalisen) riskin tunnusten väärinkäytölle, niin myyntihenkilöstön turvallisuuden näkökulmasta pöytä on hyvä. Uhkaavasti käyttäytyvä asiakas ei pääse helposti myyjään käsiksi. Lisäksi myyjän on mahdollista paeta tilannetta useaan eri suuntaan.

Salasanat näppäimistön alle vai päälle? Mieluummin alle.

Lue myös 1) miksi kuvaamista kannattaa välttää työpaikalla, 2) miksi kannattaa pitää oma työpöytä puhtaana.

Pokemon Go on melkoinen tietoturvashow

Ihmisen on sanottu olevan tietoturvan heikoin lenkki. Supersuosioon noussut Pokemon Go mobiilipeli näyttäisi taas tukevan tätä väitettä.

Peli ei ole ollut saatavilla kaikialla maailmassa, joten ihmiset ovat ladanneet sen epävirallisista lähteistä. Epäviralliset sovellusversiot ovat tietysti olleet hieman viritettyjä. Niistä löytyy haittaohjelmia, jotka ottavat haltuun koko mobiililaitteen. Hieman yllättäen myös virallisessa versiossa oli ollut tietoturvaongelmia. Pelifirmalla oli teoriassa pääsy pelaajan Googlen-tilin sisältöön. Siis sähköposteihin jne.

Pelin suosio on aiheuttanut myös muita haittailmiöitä. On tapahtunut onnettomuuksia ja ihmisiä on tullut ryöstetyksi. Jotkut paikat ovat jopa kieltäneet pelin pelaamisen alueillaan.

Jotta tämäkin blogipostaus ei päätyisi negatiivisuutta viljeleväksi valitusviestiksi, on todettava, että peli tekee myös paljon hyvää. Se näyttää, miten uutta teknologiaa voidaan soveltaa hienolla tavalla. Peli saa ihmiset kommunikoimaan livenä toistensa kanssa. Ihmiset saadaan myös ulos nauttimaan kauniista kesäpäivästä* sen sijaan, että he vain bloggaisivat henkilökohtaisissa datakeskuksissaan.

Tietoturvallisuuden osalta peli muistuttaa, että uhat on todellisia, mutta niiltä voi välttyä hyvin yksinkertaisilla ja helpoilla toimenpiteillä. Asenne ratkaisee paljon, tässäkin asiassa.

Lisätietoja Pokemon Go -pelin tietoturvariskeistä ja muita lähteitä:

* 15.7.2016, Varsinais-Suomi, +15C, kohtalaisen kovaa sadetta.

Salasitko myös poistetut tiedostot?

USB-tikun tai levyosion salaaminen ei välttämättä salaa aikaisemmin poistettuja tiedostoja. Osiolta on siis mahdollista palauttaa jo poistetut tiedostot. Asiasta kysyttiin alunperin Truecrypt-ohjeen kommenttiosiossa. Laittakaa vastaavia haastavia ja mielenkiintoisia kysymyksiä tulemaan!

Kun poistat tiedoston esim. USB-tikulta, niin tiedosto ei oikeasti poistu. Käyttöjärjestelmä ei vain enää näe tiedostoa. Tiedosto on kuitenkin olemassa edelleen. Lue aiheesta lisää: Tiedostojen turvallinen poistaminen.

Salausta tehdessä pitää tietää, salataanko tiedostojen lisäksi myös vapaa tila. Jo poistetut tiedostot sijaitsevat käyttöjärjestelmän näkökulmasta tuossa vapaassa tilassa. Jos vapaata tilaa ei salata, tiedostot on palautettavissa.

Testasin tätä käytännössä. Tallensin 6 tiedostoa osiolle. Poistin niistä sen jälkeen 3 ensimmäistä.

Testdisk poistetut tiedostot

Yllä olevasta kuvasta huomaa, että käyttämäni TestDisk-työkalu näkee edelleen poistetut tiedostot. Ne on merkitty kuvassa (heikosti luettavalla) punaisella tekstillä. Seuraavaksi salasin osion Truecryptillä. Käytin salauksen yhteydessä osion pikaformatointia, joka ei salaa vapaata tilaa.

photorec tiedostojen palauttaminen

Salauksen jälkeen ajoin Photorec-työkalun. Photorec löysi ja palautti salatulta osiolta jopa 7 tiedostoa (kuva yllä). Ne olivat tässä sekä aikaisemmassa testissä poistamani tiedostot.

Jotta poistettujen tiedostojen palauttaminen salatulta muistitikulta tai osiolta ei olisi mahdollista, pitää myös vapaa tila salakirjoittaa. Toinen vaihtoehto on ylikirjoittaa tila ennen salausta esimerkiksi DBAN-ohjelmalla. Jotkut salausohjelmat voivat myös ylikirjoittaa tyhjän tilan salauksen yhteydessä.

Linkkejä aiheeseen liittyville ulkopuolisille sivuille: