Kootut selitykset: palvelinten ja järjestelmien (epä)ammattimainen päivittäminen

Palvelinten ja järjestelmien päivittäminen on leppoisaa järjestelmäasiantuntijan perustyötä. Ohessa vinkit hommasta kiinnostuneille.

Näin asennat palvelusi tietoturvapäivitykset

1. Suunnittelu

Esimerkiksi korjaus- ja tietoturvapäivitysten asentamisen suunnittelu on turhaa. Ajat vain päivitykset, kun ne tulevat jakoon. Päivitysprosessi etenee suurin piirtein näin:
Päivityksiä tarjolla > Next > Next > Eiku > Oho > Perkele!

2. Viestintä

Palvelun käyttäjille tai sen pääkäyttäjälle ei tarvitse ilmoittaa päivityksistä. He kyllä ymmärtävät, että kyseessä on päivitys, kun palvelu on ollut poissa käytöstä useita tunteja. Käyttäjät myös arvostavat sitä, kun ajat päivitykset aamupäivällä kello 9-12 välisenä aikana.

3. Päivitysten testaaminen

Voit oikeastaan ajaa päivitykset suoraan tuotantoympäristöön, koska ne joutuu ajamaan sinne joka tapauksessa jossain vaiheessa.

4. Palvelinten päivitysjärjestys

Päivitä kaikki palvelun palvelimet yhtä aikaa. Näin kaikkiin tulee saman tien uusimmat versiot. Kaikkien palvelinten yhtäaikainen päivittäminen näkyy käyttäjille vain hetkellisenä käyttökatkona.

5. Päivitysten sisältöön tutustuminen

Tietoturvapäivitys sisältää tietoturvapäivityksiä. Ei niitä tarvitse sen enempää pohtia. Ei ne vaikuta järjestelmän perustoimintaan millään tavalla.

6. Varmuuskopiot

Koska tietoturvapäivitykset ovat tietoturvapäivityksiä, niin järjestelmää on turha varmuuskopioida. Olisi myös yliampuvaa ottaa koko palvelimesta ns. snapshot-varmuuskopiota. Varmuuskopiot vie turhaa tilaa.

7. Uudelleenkäynnistys

Jotta päivitykset asentuisivat oikein, pitää palvelu käynnistää uudelleen. Uudelleenkäynnistystä ei kannata tehdä keskellä päivää. Sehän häiritsisi käyttäjiä! Sen sijaan ohjelmoidaan uudelleenkäynnistys tapahtumaan keskellä yötä. Mieluiten samaan hetkeen, jolloin palvelusta otetaan automaattista varmuuskopiota.

t. nimimerkit

#7oikein
#kokemuksensyvarintaaani
#ammattilainenasialla
#kantapaankautta

Avoin vs suljettu lähdekoodi – kumpi on turvallisempaa?

Mielenkiintoinen ikuisuuskysymys. Kokosin tähän muutamia näkökulmia ja lajittelin ne ohjelmiston lähdekoodin luottamuksellisuuden, eheyden ja saatavuuden perusteella.

Luottamuksellisuus – onko ohjelmakoodi turvallista?

Suljettujen ohjelmistojen tietoturva perustuu sille, että ohjelmiston koodivirheitä ei näe. Avoimissa ohjelmistoissa asia on täysin käänteinen. Kaikki voivat tarkistaa, onko koodissa virheitä vai ei.

Silmäpareja on enemmän, mutta kuinka moni oikeasti katsoo? Vakava Heartbleed-haavoittuvuuskin oli näkyvillä yli kaksi vuotta, mutta kukaan ei huomannut sitä.

Eheys – mitä ohjelmisto oikeasti sisältää?

Suljettujen ja avoimien ohjelmistojen asennuspaketeissa on sama ongelma: et voi tietää, onko paketissa mukana jotain ”ylimääräistä”. Avoimissa ohjelmistoissa on kuitenkin se etu, että voit ladata lähdekoodin ja rakentaa ohjelman itse.

Onko yrityksillä nykyaikana resursseja rakentaa itse lähdekoodista ohjelmistoja sekä ylläpitää niitä?

Saatavuus – onko ohjelmisto aina tarjolla?

Mitä jos ohjelmiston valmistaminen lopetetaan? Avoin lähdekoodi mahdollistaa sen, että kuka tahansa voi muokata ohjelmiston toimivaksi esim. eri käyttöjärjestelmissä. Suljetun koodin ohjelmistoissa sinun on odotettava, että ohjelmiston valmistaja tekee tämän.

Olisiko kuitenkin järkevämpää vaihtaa ohjelmistoa, jos nykyinen ei enää toimi uudemmissa järjestelmissä tai valmistus lopetetaan?

Extranäkökulma – vapaaehtoinen ammattilainen

Olen kuullut useasti väitteen, että vapaaehtoisesti toteutetut avoimen koodin sovellukset ovat harrastajien tekeleitä. Millä perusteella ammattilainen ei voisi olla vapaaehtoinen?

Avoin lähdekoodi mahdollistaa turvallisemman ohjelmiston kehittämisen

Ohjelmiston tietoturvan tasoa ei voi mitata pelkällä lähdekoodin avoimuudella. Avoin lähdekoodi kuitenkin mahdollistaa seuraavat asiat:

  • Voit tarkistaa, onko ohjelmassa virheitä
  • Voit rakentaa ohjelmasi itse koodista
  • Voit muokata ohjelmaa haluamallasi tavalla
  • Voit seurata muiden tekemiä muutoksia
  • Voit valita ohjelmiston toimittajan
  • Voit vaikuttaa ohjelmiston tietoturvaan

Voit tehdä kaiken ylläolevan itse tai tilata jonkun muun tekemään sen puolestasi.

Rajuilma rankaisee varautumatonta

Tietoturvan näkökulmasta luonnonilmiöt ovat hankalia tapauksia. Pitäisi pystyä varautumaan esimerkiksi sähkönjakelun häiriöihin sekä laiterikkoihin ja sitä kautta taas toiminnan jatkuvuuteen.

Varautumissuunnitelmia päästiin…siis jouduttiin testaamaan vkolla 31/2014. Salamat löi kaikkea muuta kuin kirkkaalta taivaalta.

Varautuminen ei ole koskaan ilmaista, mutta jokaisen rahapussia myötäilevät keinot löydetään varmasti. Varautumiskeinot on vain sovitettava riskien ja niiden toteutumisen todennäköisyyden mukaan.

Poimi alla olevasta listasta itsellesi sopivimmat suojautumisvaihtoehdot. Mielellään ennen seuraavaa myrskyä…

  • USB-muisti varmuuskopioille, 4e
  • Ylijännitesuoja tietokoneelle, 40e
  • UPS-laite sähköhäiriöiden varalle, 400e
  • Väärä asenne, laiterikot, menetyt tiedot, tarvittavat extratyöt, 4000 – 40000e ?

 

Haastattelu: Tietoturvallisuus teidän yrityksessänne, osa 2

Keskustelin kolmen eri yrityksen työntekijän kanssa otsikolla ”tietoturvallisuus teidän yrityksessänne”. Tässä juttusarjassa haastateltavat kertovat omakohtaisia kokemuksiaan ja mielipiteitään aiheesta.

Haastattelut:

  1. osa: pk-yrityksen ohjelmistokehittäjää.
  2. osa: yrittäjä
  3. osa: ison yrityksen rivityöntekijä.

Toisena haastattelin yrittäjänä toimivaa henkilöä:

Mitä teidän yrityksessänne pidetään tärkeimpinä suojattavina kohteina?
Käsittelemme paljon ihmisten henkilötietoja. Niiden kanssa on oltava tarkkana. Näiden tietojen menettäminen tai vuotaminen ulkopuolelle johtaisi välittömästi luottamuspulaan yritystämme kohtaan.

Lisäksi meillä on käytössämme muutamia palvelimia. Osa näistä sijaitsee fyysisesti toimitiloissamme ja osa taas ”pilvessä”. Palvelimien suojaaminen on liiketoiminnan kannalta olennaista.

Miten palvelinten tietoturvasta on huolehdittu?
Pyrimme toimimaan parhaiden käytäntöjen mukaan. Tekniset suojaukset ovat kunnossa. Tuotantopalvelimet varmuuskopioidaan päivittäin kahteen eri sijaintiin. Pilveen ja paikallisesti.

Myös fyysiseen turvallisuuteen on kiinnitettävä huomiota. Toimipisteemme sijaitsee normaalia riskialttiimmalla alueella.

Minkälaisia tuntemuksia sana tietoturva saa aikaan yrityksessänne?
Tietoturva on luonnollisesti tärkeää, jotta liiketoiminta jatkuisi. Välillä yrittäjän pitää kuitenkin pohtia, millaisia suojatoimenpiteitä on järkevä toteuttaa. Pitää löytää balanssi työn tekemisen ja tiedon suojaamisen välille.

Miten huolehdit omasta tietoturvaosaamisestasi?
Seuraan ajankohtaisia uutisia ja pyrin oppimaan niistä mahdollisimman paljon. Muualta tietoa ei oikeastaan tule kerättyä. Yrittäjän aika on rajallinen 🙂

Näkyykö tietoturvallisuus yrityksesi päivittäisessä toiminnassa?
Palvelinten varmuuskopioiden lisäksi varmistamme myös työntekijöiden kannettavat tietokoneet. Aina kun läppäri kytketään firman verkkoon, siitä otetaan varmuuskopio.

Palvelinohjelmistojen tietoturvapäivityksiin reagoidaan nopeasti. Esimerkiksi taannoinen Heartbleed-haavoittuvuus tuotti mukavasti ylimääräistä hommaa…

Vinkkejä blogin lukijoille?
Tekee asiat mahdollisimman hyvin, niin ei tarvitse ressata liikaa!

Kiitoksia haastateltavalle!

Päivitetty 19.8.2014: Lisätty linkit muihin haastatteluihin.

Haluatko jännitystä arkeesi? Jätä 8.4.2014 huomioimatta!

Oletko aina halunnut etsiä jännitystä arjen keskeltä? Nyt sinulla on siihen mahdollisuus! Testaa ensin, oletko oikeutettu jännitysmomenttiin. Sen jälkeen voit valita jännitysnäytelmäsi tason.

Mikäli sinulla on Windows-käyttöjärjestelmä, niin:

  • Avaa Käynnistä-valikko
  • Kirjoita Suorita-kenttään: winver
  • Paina Enter

Mikäli ruudulle ilmestyi termi ”Windows XP”, niin olet etuoikeutettu valitsemaan seuraavista vaihtoehdoista…

1) Mielenrauhaa etsiville:

  • Varmuuskopioi tärkeät tiedostot.
  • Tyhjennä vanha kone DBAN-ohjelmalla.
  • Osta uusi kone.
  • Vie vanha kone kierrätykseen.

2) Kokeilunhaluisille:

  • Varmuuskopioi tärkeät tiedostot.
  • Lataa ja asenna koneellesi esim. Debian tai Ubuntu.
  • Nauti uudesta ja turvallisemmasta käyttöjärjestelmästä.

3) Jännitystä etsiville:

ps. en ota neuvoista mitään vastuuta. Suosittelen kuitenkin ohjetta nro 2.