Miten IT-kouluttajat ottavat huomioon tietoturvan?

Miten IT-kouluttajat ottavat huomioon tietoturvan?
IT-kouluttajien jäsentilaisuus TietoEnatorilla 17.9.2003
Muistiinpanot jäsentilaisuudesta laati Eija Kalliala
Riitta Alkula TietoEnatorilta aloitti esityksensä viittaamalla tietoturvan kolmen h:n periaatteeseen: tietoturva ei ole helppoa, hauskaa eikä halpaa.
Tieto on omaisuutta. Omasta kodistaan voi tehdä tietoturva-analyysin ja sen jälkeen päättää, tilaako Securitakselta paketin vai luottaako naapuriin. Talo on konkreettinen, tieto aineeton. Tietojärjestelmien pitäisi olla niin helppokäyttöisiä, ettei tietoa tärvellä vahingossa.
Tietoturvallisuus on tietojen ym. suojaamista riskien hallitsemiseksi. Sen avulla halutaan varmistaa tiedon luottamuksellisuus, eheys ja käytettävyys. Tietoturvan hyöty on yritystoiminnan jatkuvuuden turvaaminen kustannustehokkaasti. Tämä tarkoittaa sitä, että pakolliset vaatimukset täytetään ja kustannuksia pyritään minimoimaan.
Tietoisuus tietoturvariskeistä on lisääntynyt, kun lehdissä kerrotaan, miten isojenkin yritysten tietoturva pettää. Yritysjohto ottaa tietoturvan vakavasti, ettei itse joutuisi iltapäivälehtien otsikoihin. Silti yrityksissä riskien kartoitus on yhä puutteellista, samoin tietoturvasuunnitelmien laadinta ja niiden jatkuvuuden hallinta. Tietoturvaa ei nähdä osana yrityksen normaalia toimintaa ja laatua.
Esimerkkejä tietoturvariskeistä ovat lähiverkon kuunteleminen ja salaamattomien tietojen lukeminen, ylläpitovirheet ja virukset, mutta myös ADSL-yhteys ilman palomuuria, bussissa työasioista puhuminen kännykällä sekä yksinkertaiset salasanat kuten ”moi”. Arkipäivän tietoturvauhkista esimerkkinä on käsilaukkuvaras, joka soittaa poliisina uhrille, kertoo käsilaukun luottokortteineen löytyneen ja kysyy luottokortin pin-koodia, jotta voidaan varmistaa, että löytynyt käsilaukku kuuluu varkauden uhrille.
Paras tapa suojautua tietoturvariskeiltä on henkilöstön koulutus!
Salasana on kuin hammasharja: sitä pitää vaihtaa säännöllisesti eikä sitä saa jakaa muiden kanssa. Salasanan pituuden pitäisi olla yli 13 merkkiä ja sen pitäisi olla sellainen, jota ei löydy sanakirjoista. Sen pitäisi kuitenkin olla helppo muistaa. Tässä auttaisivat salalauseet, jotka ovat helpompia muistaa kuin merkityksettömät merkkiyhdistelmät.
Verkkoliikenteen seuraamista (sniffing) voidaan käyttää verkko-ongelmien ratkaisuun, mutta myös salakuunteluun. Verkossa liikkuvat paketit näkyvät selväkielisinä ja kuuntelun huomaaminen on vaikeaa. WLAN sellaisenaan ei ole turvallinen.
VPN eli Virtual Private Network on suojattu tunneli verkon yli. Jos työaseman ääreen pääsee, niin kaikki siellä olevat tiedot ovat luettavissa.
Yksi tietoturvariski on se, että järjestelmän ylläpitäjille eli administraattoreille jätetään liian helpot salasanat, joita ei ole muutettu. Eräs yritys jätti ylläpitosalasanan pois julkistaessaan uuden palvelunsa.
Mitä virus voi tehdä? Se leviää, huijaa ja näyttää viestejä. Se tuhoaa, muuttaa ja varastaa tietoja.
Yhteenveto suojautumisesta:
* henkilöstön koulutus
* palomuuri myös kotikoneelle
* virustorjunta
* vahva salaus.
Tietoturvallisuusmalli sisältää seuraavia toimenpiteitä:
* estä
* havaitse
* reagoi
* palauta ennalleen
* päivitä.
Organisaatiossa tietoturvan hallintajärjestelmän kehittämisen pitää lähteä organisaation arvoista.
Uhka- ja riskianalyysissa vastataan seuraaviin kysymyksiin:
* Mitkä tiedot ovat tärkeitä?
* Miksi ne kiinnostaisivat ulkopuolisia?
* Keitä ne kiinnostaisivat?
* Mikä on riskin toteutumisen todennäköisyys?
* Mitkä ovat riskin toteutumisen seuraukset?
* Miten riskistä voidaan toipua?
Olennaisinta riskianalyysissa on systemaattisuus, säännöllisyys ja seuranta.
Simo Vuorinen TietoEnatorilta kertoi tietoturvasta osana ohjelmistokehitysmenetelmiä. TietoEnatorin TE Object -mallissa ohjelmistokehitys jaetaan seuraaviin vaiheisiin: määrittely, suunnittelu, toteutus, valvonta ja kehitys. Testausta ei ole erillisenä vaiheena, koska se liittyy jokaiseen vaiheeseen..
Tietojärjestelmät pitää suojata 1.12.2004 mennessä, todetaan laissa viranomaisten toiminnan julkisuudesta. Tämä tarkoittaa laitteiden, kuljetusmedian ja tiedon suojaamista.
Tietoverkkojen mukanaan tuoma uusi palvelumalli on synnyttänyt uudenlaisia tarpeita tietoturvalle. Internet on räjäyttänyt keskustelun tietoturvasta. Nyt ei enää riitä, että osaa koodata: pitää osata koodata turvallisesti.
Erään tutkimuksen mukaan 56 % kyselyyn vastanneista myöntää joutuneensa luvattoman käytön kohteeksi. Näistä peräti 80 % on sisäistä käyttöä, mikä tarkoittaa sitä, että luvaton käyttö on tapahtunut luvallisella tunnuksella ja salasanalla.
Tietoturva-arkkitehtuuri on tekninen näkymä organisaation tietoturvastandardeihin ja menettelyihin. Vaikutusanalyysi on osa riskianalyysia.
Nykytilan määrityksessä lähdetään olemassa olevasta tietoturvasäännöstöstä ja tietoturva-arkkitehtuurista ja laaditaan nykytilan riskianalyysi. Sen jälkeen laaditaan tavoitejärjestelmän tietoturvan hallintasuunnitelma, joka sisältää riskit, niiden vaikutukset, luokitukset ja vastuut. Tätä ei nykyisin tarvitse enää perustella suurille yrityksille: niille se on itsestään selvyys ja ehdottoman tärkeä asia.
Määritysvaiheessa tarkennetaan tietoturvan hallintasuunnitelmaa ja riskianalyysia.
Suunnitteluvaiheessa kuvaan astuvat tietoturvasäännöstö ja tekniikka. Näistä esimerkkeinä ovat ssl-tekniikka ja digitaaliset allekirjoitukset.
Toteutusvaiheessa tietoturva-arkkitehtuuri toteutetaan ja testataan esim. penetraatiotestillä. Ohjelmoinnin pitää olla tietoturvasuuntautunutta. Simo Vuorinen sanoi, että hänen mielestään Internetin päivinä ei kannattaisi pitää yhtään ohjelmointikurssia ilman, että tietoturvan merkitys otetaan huomioon.
Sivu päivitetty 06.10.2003
Eija Kalliala