Kirjoittanut: Matti Suominen | 23.11.2011 |
Vierailevana blogikirjoittajana:
Matti Suominen, Technology Manager/W3
Tietovuoto havaitaan vasta kun lattia on veden peitossa, siksi vuotojen ennaltaehkäisy on ensisijaisen tärkeää. Viimeisten kuukausien aikana tietovuodot eri verkkopalveluissa ovat olleet julkisuudessa. Mediassa on ollut esillä ainakin puolen tusinaa erillistä tapausta, joissa ihmisten henkilötietoja on päätynyt vääriin käsiin. Monet näistä ovat olleet suomalaisia palveluita, mutta mukaan on mahtunut myös joitain korkean profiilin tapauksia maailmalta.
Tietovuodot tilastoituna
Alaa seuranneille tilanne on valitettavan tuttu. Tietovuotoja tilastoiva Open Security Foundationin pyörittämä DataLossDB [*] pitää kirjaa julki tulleista tietovuodoista maailmalla. Palvelua pyöritetään yhteisön voimalla käymällä läpi eri julkaisuja ja etsimällä sieltä artikkeleja julki tulleista vuodoista.
Nopealla silmäyksellä listauksista voidaan todeta, että päivittäin julki tulee maailmalla useampia tällaisia tapauksia. Osa näistä on pieniä, toisissa taas puhutaan miljoonien ihmisten tiedoista. Vaikka tämäkään luku ei ole kovin lupaava, on syytä muistaa, että kaikki julki tulleet tapaukset eivät todennäköisesti päädy kyseisen palvelun listalle. Vieläkin suurempi määrä tapauksista jää täysin pimentoon, eikä niitä näin ollen lasketa mukaan mihinkään tilastoihin.
Tietovuotoa ei usein huomata
Tyypillistä tietovuodoille on se, että niitä ei välttämättä ikinä huomata. Hiljattain tapahtunut tietovuoto [**] koulutusalan palveluissa on tästä hyvä esimerkki. Tiedot olivat päätyneet yleiseen jakoon, mutta kesti oman aikansa ennen kuin tiedoille löytyi omistaja. Tällaista vuotoa ei välttämättä koskaan huomattaisi, ellei tietojen päätyminen julkisuuteen olisi pakottanut aloittamaan etsintöjä.
Missä murtojäljet?
Tietomurron tapahtumista voi olla hyvinkin vaikea todentaa jälkikäteen, jos perusasiat eivät ole kunnossa. Toisin kuin fyysisissä murroissa, jotka huomataan viimeistään tavaroiden hävitessä, tietomurto ei välttämättä jätä itsestään merkkejä.
Tietoturvakäytäntöjen laittaminen kuntoon on erityisen haastavaa pienille toimijoille, joilla ei ole mahdollisuuksia pitää palkkalistoilla tietoturvasta vastaavaa henkilöä. Toisaalta oma osaaminen ei useinkaan riitä palveluiden pyörittämiseen noudattaen alan parhaita käytäntöjä.
Mistä ohjeita tietoturva-asioihin?
Suomen CERT-FI -palvelu tarjoaa ajankohtaisia ohjeita ja tiedotteita tietoturvaan liittyvissä asioissa. Palvelun sisältöön kannattaa tutustua jo hyvissä ajoin, ennen kuin ohjeet tulevat tarpeeseen. Palvelu on täysin ilmainen ja monista muista palveluista poiketen katsoo tilannetta suomalaisesta näkövinkkelistä.
Toinen taho, johon kannattaa pitää yhteyttä, on omien palveluiden tuottaja. Verkkokauppaa tai vastaavaa palvelua pyörittävä yritys hankkii yleensä teknisen toteutuksen yhden tai useamman kumppanin kautta. Tietovastuunsa tunteva palveluntarjoaja pyrkii varmistamaan, että asiakkaan tiedot ovat turvassa sekä reagoimaan mahdollisiin ongelmiin viipymättä.
Tietojen vuotaminen on yksilölle ikävä tilanne, mutta verkkopalvelun kohdalla kuluttajien luottamus palveluun saattaa kadota täysin. Loppuviimeksi palvelun omistajalla on eniten menetettävää. Varmista siis jo nyt, että yrityksenne palvelut ovat osaavissa käsissä ja asiallisesti hoidettu.
- *) DataLossDB
Sivustolle on kerätty informaatiota globaalisti tietovuodoista. - **) Tietoturva nyt!
CERT-FI
Viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen.