Miksi yrityksellä kannattaa olla tietoturvasäännöt?

Yrityksissä on monenlaisia tietoturvasääntöjä. Etätyösäännöt, internetin käyttösäännöt, sosiaalisen median käyttösäännöt, tietojärjestelmien käyttösäännöt, palveluiden ylläpitosäännöt jne. Työntekoa hankaloitetaan säännöllisen säännönmukaisesti?

Tietoturvasääntöjen tarkoituksena ei ole rajoittaa tai hankaloittaa työntekijöiden toimintaa. Tietoturvasäännöt mahdollistavat turvallisen toimintaympäristön luomisen.

Tietoturvasäännöt on negatiivinen käsite?

Kannattaako tietoturvasääntöjä kutsua säännöiksi? Onko termi negatiivinen? Sääntöä voidaan pitää kieltona. Positiivisemmin ajateltuna sääntö on reunaehto tai toimintamalli.

Mitä vaihtoehtoja termille sääntö on? Jos puhutaan esimerkiksi tietojärjestelmien käytöstä:

Tietojärjestelmien käyttöpolitiikka. Joku voisi ajatella, että onpas virallista. Politiikka on jotain yleistä jargonia. Kuulostaa johtotason jutuilta.

Tietojärjestelmien käyttöohjeet. ”Joo joo, käytän tietojärjestelmiä turvallisesti, fiksusti jne. Luen ohjeet, jos tarvitsen ohjeita.” Ohje on säännöistä johdettu tarkempi toimintatapa.

Tietojärjestelmien tietoturvaperiaatteet. Tällä päästään jo lähelle tarkoitusta. Ei kuullosta niin negatiiviselta? Tuntuu mielekkäämmältä sitoutua noudattamaan periaatteita kuin sääntöjä.

Tietojärjestelmien käyttösäännöt on kuitenkin selkeä käsite. Näin toimitaan. Piste.

Tietoturvasäännöistä on hyötyä!

Yrityksellä kannattaa olla yritysjohdon hyväksymät tietoturvasäännöt. Niistä on konkreettista hyötyä päivittäisessä toiminnassa.

Tietoturvasäännöt kertovat, millaista toimintaa työntekijöiltä odotetaan. Yhteiset säännöt ja niiden mukaan toimiminen auttaa turvallisemman toimintaympäristön luomisessa. Tietoturvadokumentaatiota voidaan hyödyntää myös esimerkiksi uuden työntekijän perehdyttämisessä.

Säännöt ja muut tietoturvadokumentit osoittavat yrityksen toimintaperiaatteet muille toimijoille. Ulkopuoliset näkevät, mitä vaadimme itseltämme. Se voi puolestaan nostaa luottamusta ja parantaa yrityksen mainetta.

Yhteistyökumppanit voidaan velvoittaa toimimaan samojen sääntöjen mukaisesti. Ei ole mitään järkeä, että yritys pyrkii laadukkaaseen toimintaan, kun samaan aikaan alihankkija sählää, sooloilee ja sekoilee.

Säännöt auttavat täyttämään lakipykälistä ja standardeista muodostuvat vaatimustenmukaisuusvelvoitteet. Työntekijöiden voi olla helpompi ymmärtää tietoturvasäännöissä kuvattua periaatetta kuin eri lakipykäliin piilotettuja vaatimuksia.

Tietoturvastandardi ISO 27001 asettaa vaatimuksia esimerkiksi suojattavan omaisuuden (tietopääoma, laitteet jne.) käyttösäännöistä sekä ohjelmistojen asennukseen liittyvistä säännöistä. VAHTI 2/2010 dokumentaatiossa kuvatun tietoturvallisuuden perustason saavuttaminen puolestaan edellyttää, että säännöt ja ohjeistukset ovat olemassa (Lähde: VAHTI 2/2010 liite 5, s. 106, osa-alue 1.3.1).

Kyberkaries iskee alle kahdessa kuukaudessa

Tietoturvafirma Kenna tutki tunnettujen tietoturvareikien paikkaamiseen liittyviä aikaikkunoita. Siinä missä hammaslääkäri paikkaa reiät 15 minuutissa,
kuluu yrityksillä keskimääräisesti 100-120 päivää tietoturvareikien tukkimiseen.

Samaisen tutkimuksen mukaan yrityksellä on arviolta 40-60 päivää aikaa tukkia aukot. Muuten kyberkaries iskee 90% todennäköisyydellä.

Tietoturvareikiin hyökätään automaattisten työkalujen avulla. Niitä hyödyntäviä tahoja ei ensisijaisesti kiinnosta mihin hyökätään, kunhan onnistutaan.
Sitten pöllitään kaikki, mikä irti lähtee. Lopuksi vasta katsotaan, mitä on saatu.

Tietoturva-aukoista johtuvia riskejä voidaan pienentää. Kenna suosittelee käyttämään samoja työkaluja kuin vastapuolikin. Toisin sanoen yritysten kannattaa kartoittaa omien järjestelmiensä aukkoja systemaattisesti ja automatisoidusti.

Ellei IT-palveluiden ammattimainen ylläpito ole ydinliiketoimintaasi, niin anna homma jollekin muulle. On hölmöläisen hommaa koittaa hallita tietoturvapäivityksiä muun toiminnan ohella.

Näin selviydyt Ransomwaresta

Tuntien taiteellinen tuska on tuottanut tulosta. Sain kuvattua aikaisemmin julkaisemani Ransomware-tietoiskun pääpointit yhteen kuvioon. Kuvio on saatavilla suomeksi ja englanniksi. Pidän itse enemmän jälkimmäisestä. Ohessa suomiversio:

Lataa Ransomware-selviytymiskaavio suomeksi tai englanniksi.

Kootut selitykset: palvelinten ja järjestelmien (epä)ammattimainen päivittäminen

Palvelinten ja järjestelmien päivittäminen on leppoisaa järjestelmäasiantuntijan perustyötä. Ohessa vinkit hommasta kiinnostuneille.

Näin asennat palvelusi tietoturvapäivitykset

1. Suunnittelu

Esimerkiksi korjaus- ja tietoturvapäivitysten asentamisen suunnittelu on turhaa. Ajat vain päivitykset, kun ne tulevat jakoon. Päivitysprosessi etenee suurin piirtein näin:
Päivityksiä tarjolla > Next > Next > Eiku > Oho > Perkele!

2. Viestintä

Palvelun käyttäjille tai sen pääkäyttäjälle ei tarvitse ilmoittaa päivityksistä. He kyllä ymmärtävät, että kyseessä on päivitys, kun palvelu on ollut poissa käytöstä useita tunteja. Käyttäjät myös arvostavat sitä, kun ajat päivitykset aamupäivällä kello 9-12 välisenä aikana.

3. Päivitysten testaaminen

Voit oikeastaan ajaa päivitykset suoraan tuotantoympäristöön, koska ne joutuu ajamaan sinne joka tapauksessa jossain vaiheessa.

4. Palvelinten päivitysjärjestys

Päivitä kaikki palvelun palvelimet yhtä aikaa. Näin kaikkiin tulee saman tien uusimmat versiot. Kaikkien palvelinten yhtäaikainen päivittäminen näkyy käyttäjille vain hetkellisenä käyttökatkona.

5. Päivitysten sisältöön tutustuminen

Tietoturvapäivitys sisältää tietoturvapäivityksiä. Ei niitä tarvitse sen enempää pohtia. Ei ne vaikuta järjestelmän perustoimintaan millään tavalla.

6. Varmuuskopiot

Koska tietoturvapäivitykset ovat tietoturvapäivityksiä, niin järjestelmää on turha varmuuskopioida. Olisi myös yliampuvaa ottaa koko palvelimesta ns. snapshot-varmuuskopiota. Varmuuskopiot vie turhaa tilaa.

7. Uudelleenkäynnistys

Jotta päivitykset asentuisivat oikein, pitää palvelu käynnistää uudelleen. Uudelleenkäynnistystä ei kannata tehdä keskellä päivää. Sehän häiritsisi käyttäjiä! Sen sijaan ohjelmoidaan uudelleenkäynnistys tapahtumaan keskellä yötä. Mieluiten samaan hetkeen, jolloin palvelusta otetaan automaattista varmuuskopiota.

t. nimimerkit

#7oikein
#kokemuksensyvarintaaani
#ammattilainenasialla
#kantapaankautta

Avoin vs suljettu lähdekoodi – kumpi on turvallisempaa?

Mielenkiintoinen ikuisuuskysymys. Kokosin tähän muutamia näkökulmia ja lajittelin ne ohjelmiston lähdekoodin luottamuksellisuuden, eheyden ja saatavuuden perusteella.

Luottamuksellisuus – onko ohjelmakoodi turvallista?

Suljettujen ohjelmistojen tietoturva perustuu sille, että ohjelmiston koodivirheitä ei näe. Avoimissa ohjelmistoissa asia on täysin käänteinen. Kaikki voivat tarkistaa, onko koodissa virheitä vai ei.

Silmäpareja on enemmän, mutta kuinka moni oikeasti katsoo? Vakava Heartbleed-haavoittuvuuskin oli näkyvillä yli kaksi vuotta, mutta kukaan ei huomannut sitä.

Eheys – mitä ohjelmisto oikeasti sisältää?

Suljettujen ja avoimien ohjelmistojen asennuspaketeissa on sama ongelma: et voi tietää, onko paketissa mukana jotain ”ylimääräistä”. Avoimissa ohjelmistoissa on kuitenkin se etu, että voit ladata lähdekoodin ja rakentaa ohjelman itse.

Onko yrityksillä nykyaikana resursseja rakentaa itse lähdekoodista ohjelmistoja sekä ylläpitää niitä?

Saatavuus – onko ohjelmisto aina tarjolla?

Mitä jos ohjelmiston valmistaminen lopetetaan? Avoin lähdekoodi mahdollistaa sen, että kuka tahansa voi muokata ohjelmiston toimivaksi esim. eri käyttöjärjestelmissä. Suljetun koodin ohjelmistoissa sinun on odotettava, että ohjelmiston valmistaja tekee tämän.

Olisiko kuitenkin järkevämpää vaihtaa ohjelmistoa, jos nykyinen ei enää toimi uudemmissa järjestelmissä tai valmistus lopetetaan?

Extranäkökulma – vapaaehtoinen ammattilainen

Olen kuullut useasti väitteen, että vapaaehtoisesti toteutetut avoimen koodin sovellukset ovat harrastajien tekeleitä. Millä perusteella ammattilainen ei voisi olla vapaaehtoinen?

Avoin lähdekoodi mahdollistaa turvallisemman ohjelmiston kehittämisen

Ohjelmiston tietoturvan tasoa ei voi mitata pelkällä lähdekoodin avoimuudella. Avoin lähdekoodi kuitenkin mahdollistaa seuraavat asiat:

Voit tarkistaa, onko ohjelmassa virheitä
Voit rakentaa ohjelmasi itse koodista
Voit muokata ohjelmaa haluamallasi tavalla
Voit seurata muiden tekemiä muutoksia
Voit valita ohjelmiston toimittajan
Voit vaikuttaa ohjelmiston tietoturvaan

Voit tehdä kaiken ylläolevan itse tai tilata jonkun muun tekemään sen puolestasi.