Salasanat näppäimistön alle vai päälle?

Salasanat voi kirjoittaa paperille vaikkapa muistin helpottamiseksi. Mieti kuitenkin, mihin paperin sijoitat. Perinteinen piilopaikka näppäimistön alla ei ole se huonoin paikka.

Kävin turkulaisessa lastentarvikeliikkeessä ostoksilla. Vuoroa odotellessani huomasin, että toisen kassapäätteen näytön alareunaan oli kirjoitettu käyttäjätunnus ja salasana. Tunnusten perusteella ne arvattavasti toimivat liikkeen verkkokaupassa.

Tunnukset olivat sen verran helpot, että muistan ne monta päivää jälkikäteen. Toimintaympäristö huomioiden ei varmaan tule yllätyksenä, että salasana perustui suosittuun lastentarvikebrändiin. Tietysti! Miksi ei perustuisi. Sehän on loogista ja helppoa. Todennäköisesti salasanaa ei kuitenkaan kukaan arvaa. Helppo muistaa, mutta vaikea arvata. Kaikesta huolimatta kyseessä on siis hyvä salasana?

Salasana ja tunnus paljastuvat asiakkaille myyntipöydän mallista johtuen. Päätteet on sijoitettu pitkän L-kirjaimen mallisen pöydän molemmille reunoille. Vaikka pöytä aiheuttaakin (minimaalisen) riskin tunnusten väärinkäytölle, niin myyntihenkilöstön turvallisuuden näkökulmasta pöytä on hyvä. Uhkaavasti käyttäytyvä asiakas ei pääse helposti myyjään käsiksi. Lisäksi myyjän on mahdollista paeta tilannetta useaan eri suuntaan.

Salasanat näppäimistön alle vai päälle? Mieluummin alle.

Lue myös 1) miksi kuvaamista kannattaa välttää työpaikalla, 2) miksi kannattaa pitää oma työpöytä puhtaana.

Välimieshyökkäys vaaransi koevastaukset

Ylioppilaskokeiden vastauksia löytyi parkkipaikalta 31.3.2015 uutisoi Yle. Epäilysten mukaan ”joku” oli vienyt paketin postiautosta, mutta hylännyt dokumentit myöhemmin parkkipaikalle. Ohikulkija otti paperit talteen ja palautti ne koulun rehtorille. Tarkistuskierroksen jälkeen todettiin, että yhtään paperia ei ollut kadonnut.

Tapahtuma sopii hyvin tietoturvaan liittyväksi esimerkkitapaukseksi.

Vastauspaperien (tieto) saatavuus oli hetken aikaa menetetty. Onneksi paperit saatiin takaisin, joten tiedon saatavuus pystyttiin takaamaan. Kolmas osapuoli pääsi kuitenkin lukemaan paketin sisältöä, joten tiedon luottamuksellisuus on menetetty.

Suurimmat ongelmat ovat kuitenkin pääsynvalvonnassa sekä tiedon eheydessä ja kiistämättömyydessä.

Pääsynvalvonta petti, joten kolmas osapuoli pääsi tietoon käsiksi. Vaikka papereita ei ollut kadonnut, niin päätyykö vastaanottajalle sama tieto, jonka lähettäjä on alunperin hänelle tarkoittanut? Mikäli tieto muuttuu matkalla, niin tiedon eheys on menetetty. Koska kenelläkään ei ole todisteita tapahtumien täydellisestä kulusta, niin myös tapahtumien kiistämättömyys on kyseenalaista.

Kyseessä on eräänlainen man-in-the-middle -hyökkäys, mutta fyysisessä maailmassa ja oikeilla paperidokumenteilla.

Muista: tietoturvallisuus ei ole pelkkä IT-asia!

Haastattelu: Tietoturvallisuus teidän yrityksessänne, osa 2

Keskustelin kolmen eri yrityksen työntekijän kanssa otsikolla ”tietoturvallisuus teidän yrityksessänne”. Tässä juttusarjassa haastateltavat kertovat omakohtaisia kokemuksiaan ja mielipiteitään aiheesta.

Haastattelut:

  1. osa: pk-yrityksen ohjelmistokehittäjää.
  2. osa: yrittäjä
  3. osa: ison yrityksen rivityöntekijä.

Toisena haastattelin yrittäjänä toimivaa henkilöä:

Mitä teidän yrityksessänne pidetään tärkeimpinä suojattavina kohteina?
Käsittelemme paljon ihmisten henkilötietoja. Niiden kanssa on oltava tarkkana. Näiden tietojen menettäminen tai vuotaminen ulkopuolelle johtaisi välittömästi luottamuspulaan yritystämme kohtaan.

Lisäksi meillä on käytössämme muutamia palvelimia. Osa näistä sijaitsee fyysisesti toimitiloissamme ja osa taas ”pilvessä”. Palvelimien suojaaminen on liiketoiminnan kannalta olennaista.

Miten palvelinten tietoturvasta on huolehdittu?
Pyrimme toimimaan parhaiden käytäntöjen mukaan. Tekniset suojaukset ovat kunnossa. Tuotantopalvelimet varmuuskopioidaan päivittäin kahteen eri sijaintiin. Pilveen ja paikallisesti.

Myös fyysiseen turvallisuuteen on kiinnitettävä huomiota. Toimipisteemme sijaitsee normaalia riskialttiimmalla alueella.

Minkälaisia tuntemuksia sana tietoturva saa aikaan yrityksessänne?
Tietoturva on luonnollisesti tärkeää, jotta liiketoiminta jatkuisi. Välillä yrittäjän pitää kuitenkin pohtia, millaisia suojatoimenpiteitä on järkevä toteuttaa. Pitää löytää balanssi työn tekemisen ja tiedon suojaamisen välille.

Miten huolehdit omasta tietoturvaosaamisestasi?
Seuraan ajankohtaisia uutisia ja pyrin oppimaan niistä mahdollisimman paljon. Muualta tietoa ei oikeastaan tule kerättyä. Yrittäjän aika on rajallinen 🙂

Näkyykö tietoturvallisuus yrityksesi päivittäisessä toiminnassa?
Palvelinten varmuuskopioiden lisäksi varmistamme myös työntekijöiden kannettavat tietokoneet. Aina kun läppäri kytketään firman verkkoon, siitä otetaan varmuuskopio.

Palvelinohjelmistojen tietoturvapäivityksiin reagoidaan nopeasti. Esimerkiksi taannoinen Heartbleed-haavoittuvuus tuotti mukavasti ylimääräistä hommaa…

Vinkkejä blogin lukijoille?
Tekee asiat mahdollisimman hyvin, niin ei tarvitse ressata liikaa!

Kiitoksia haastateltavalle!

Päivitetty 19.8.2014: Lisätty linkit muihin haastatteluihin.

Turvallisempi ja vastuullisempi internet

112-päivän lisäksi tänään on vietetty myös kahta muuta teemapäivää.

The day we fight back” on tapahtuma, joka protestoi netissä tapahtuvaa järjestelmällistä käyttäjien tietojen keruuta vastaan.

Safer internet day 2014” -tapahtuma on puolestaan suunnattu erityisesti nuorisolle. Päivän tarkoituksena on kertoa nuorille internetin sekä mobiililaitteiden turvallisemmasta ja vastuullisemmasta käytöstä.

Toivottavasti ensi kerralla havahdun itsekin kertomaan näistä tapahtumista hieman aikaisemmin.
Syytän tästä unohduksesta huonoja suksia, huonoja huoltojoukkoja ja pientä flunssaa.

Olympiaterveisin!

YksYksKaks-päivästä vinkkejä turvallisuuteen

Tänään 11.2 vietetään perinteistä 112-päivää. Päivästä on muodostunut vuosien mittaan suuri turvallisuuden yhteistyökampanja. Kannattaa tutustua tapahtuman verkkosivuihin. Käy vaikka testaamassa oletko oman arkesi sankari!

Teemapäivän sloganista kannattaa ottaa itselleen myös ytimekäs turvallisuusvinkki: Ennakointi vie vaaroilta voimat!