MODERNIA VERKKOMAGIAA™

 

PALVELUT KOULUTUS YRITYS YHTEYSTIEDOT

 

Erilaisia tietoturvariskejä

Mitä pitäisi suojata?
Yrityksen resurssien suojaaminen ei välttämättä ole yksinkertainen asia. Mitä pitäisi suojata? Ainakin yrityksen tietoa, mainetta ja omaisuutta. Mutta yhtälailla yrityksen oikeutta päättää miten sen laitteita/palveluita käytetään ja kenen toimesta. Jos joku murtautuu yrityksen web-palvelimelle ja käyttää sitä lainvastaisen materiaalin jakopisteenä Internetissä, mitä siitä voi yritykselle seurata? Miten tällaisen julkitulo voisi vaikuttaa yrityksen maineeseen? Entä asiakasluottamukseen?

Miltä pitää suojella?
Toinen määriteltävä asia on miltä yrityksen resursseja suojataan? Helposti päättelemme että ainakin varastamiselta, hävittämiseltä, muuttamiselta, luvattomalta käytöltä tai käytön estämiseltä. Mutta mitä on luvaton käyttö? Onko sitä työntekijän suorittama verkkolaskun maksaminen? Entä työntekijän käyttöön luovutetulla kannettavalla koneella työntekijän teinin kotona suorittama IRC-keskustelu pommin rakennusohjeista?

Keneltä niitä suojellaan?
Tänä päivänä usein määritellään tarve suojautua mahdollisilta hyökkääjiltä kuten uteliailta nuorilta (script kiddies), teollisuusvakoilijoilta, kilpailevilta yrityksiltä tai heidän edustajiltaan, entisiltä työntekijöiltä (mahdollisesti kaunaisilta) jne. Onpa lehdistössä esiintynyt artikkeleita siitä kuinka jotkut ”yrittäjät” maailmalla hyökkäävät lähes kaikkia yrityksiä kohtaan löytääkseen jotain mitä voisivat kaupata tuon yrityksen kilpailijoille tai mahdollisesti yritykselle itselleen (kiristys-periaatteella).

Esimerkkejä riskien käytännön toteutumisesta
Tietokonevirus voi aiheuttaa yritysverkossa tiedon häviämisen tai pahemmassa tapauksessa tiedon muutoksen (joten tieto ei ole tämän jälkeen luotettavaa). Virus voi myös kuormittaa laitteita sekä työntekijöitä tarpeettomasti, haitaten siten normaalia työskentelyä. Troijalainen voi mahdollistaa ulkopuolisen tahon yhteyden yrityksen verkkoon ja sitä kautta esim. idean varastamisen, teollisuusvakoilun tai kilpailutiedon menetyksen. Jos yrityksesi luottamukselliseksi tai salaiseksi määrittelemä tieto olisikin yhtäkkiä julkista, miten se vaikuttaisi sinun liiketoimintaasi?

Tietoturvan heikoin lenkki
Ihmiset ovat yhä tänään ja todennäköisesi tulevaisuudessakin tietoturvan heikoin lenkki. Kaikki ihmiset voivat tehdä virheitä, inhimillisiä erehdyksiä jne. Ihmistä voidaan ”sumuttaa”, hänelle voidaan esittää tekaistuja todisteita, häntä voidaan huijata ja kiristää. Keinoja on lukemattomia ja yleensä asiasta puhutaan termillä Social Engineering.

Tietoturvaresurssien käyttö
Tähän kannattaa paneutua asian vaatimalla vakavuudella. Kukapa esim. oikeasti lähtisi uuteen taloonsa lisäämään varmuusketjuja ja lukkoja etuoveen, jos ikkunat on vielä asentamatta? Mihinkä kukin sijoittaa pelimarkat tietoturvaa rakentaessaan? Jotta voisi tietää, mitä pitää tehdä missäkin vaiheessa, pitäisi tietää kokonaisuus sekä mikä voi olla vialla kussakin vaiheessa. Tieto on valtaa!

Esim. Internet-yhteyksien lisääntyessä pitää ottaa huomioon mitä yhteys mahdollistaa. Vaikka yhteyttä voi nyt käyttää uusien palveluiden hyödyntämiseen ja globaaliin sähköpostiin, voi yhteydestä olla myös haittavaikutuksia.

luettelomerkki Yrityksen verkko on voitava suojata Internetistä tulevilta murtoyrityksiltä
luettelomerkki Luottamuksellisen tiedon pitää pysyä luottamuksellisena myös Internetissä
luettelomerkki Tieto ei saa muuttua kulkiessaan Internetissä (ainakaan tietämättämme)

Tietoturvaa ovat tekninen turvallisuus ja käytetyt salausmekanismit. Nämä asiat koetaan usein seksikkäiksi ja niihin kohdennetaan paljon huomioita. Ne ovat tärkeä osa tietoturvaa kuten myös esim. tietoturvapolitiikka ja toimintaohjeet tietomurron varalle. Suosi siis kokonaisuuden hahmottamista ja ratkaisujen yhteensovittamista ymmärrettävällä tavalla.