Aukoton ylläpito/Mission impossible?
Kirjoittanut: Ilkka Lavas | 30.11.2011 |
Turvallisinkaan alusta ei takaa inhimillisten virheiden aiheuttamia ongelmia, oli kyseessä sitten tietoturva tai auto. Volvoa pidetään turvallisena autona, onhan Volvo kehittänyt ensimmäisenä maailmassa sivuturvatyynyt sekä IC-turvaverhot.
”Autoja ajavat ihmiset. Tämän vuoksi pääperiaatteemme Volvolla on turvallisuus.”
Näin totesivat Volvon perustajat Assar Gabrielsson ja Gustaf Larson yritystä perustaessaan. Mutta vaikka minulla olisi Volvo, jossa olisi varashälyttimen ja ajoneston lisäksi yhtä turvalliset istumapaikat, niin silti avaimet voisivat joutua vääriin käsiin tai turvaistuin voisi tulla asennettua kiireessä väärällä tavalla.
Heikoin lenkki on koneen käyttäjä
Ihminen on usein heikoin lenkki tietoturvassa. Yritysten työasemat on usein suojattu viimeisimmillä palomuuri- ja virustorjuntaohjelmilla, mutta on syytä muistaa, että myös serverihuoneessa ja web -järjestelmissä käytettävien ohjelmistojen tulee olla ajan tasalla, sillä uusimmat ohjelmistoversiot sisältävät myös tuoreimmat tietoturvapäivitykset.
Valmiiden ohjelmistojen käyttäjille yleensä riittää, että it-osasto osaa (ja muistaa) asentaa turvallisuuspäivitykset sovellukseen. Omien sovellusten kehittäjien puolestaan tulee huolehtia myös kehitysalustan turvallisuudesta. Automatiikka voidaan asettaa valvomaan tietoturvan tasoa ja automaattitarkistus voidaan laittaa muistutamaan, jos joku päivitys on asentamatta.
Tarkistuta myös servereiden tietoturvapäivitykset!
Toimittajalta kannattaa pyytää säännöllinen kehitysalustan tietoturvatilanteenpäivitys eikä tietoturvapäivityksiä kannata laiminlyödä.
Helistin.fi tietomurto julkaistiin 28.11.2011. Samana päivänä havaittiin, että alustana käytetty phpBB oli jo 4 vuotta vanha (!), eli se oli päivitetty vuonna 2007. Alustaan olisi ollut jo 2008 vuonna tullut phpBB 2 versio ja nyt mennään jo phpBB 3 versiossa! Kyllä noita alustoja voisi vähän useamminkin päivittää kuin kerran neljässä vuodessa.
Heikoin lenkki tässäkin on ihminen: jos et tilaa toimittajaltasi tietoturvapäivitystä vaikka toimittaja ehdottaisi, niin joku hakkeri tarkistaa sen ennemmin tai myöhemmin ja vuotaa asiakastietosi nettiin.
Turvavyö ja suojaamisvelvoite määrätään lain puitteissa
Turvavyö suojaa kuskia ja kanssamatkustajia törmäyksissä. Henkilötietolaki puolestaan määrittää suojaamisvelvoitteen vaatien, että on huolehdittava kerättävien ja käsiteltävien henkilötietojen suojaamisesta on sitten kyse vahingosta tai laittomasta käsittelystä (HetiL 32 §). Suojaamisvelvoitteen piiriin kuuluu myös tietoturvasta huolehtiminen.
Ohje valmiiden ohjelmistojen käyttäjille, sekä kehittäjille
CERT-FI on julkaissut ohjeen verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta. Ohje on tarkoitettu sekä valmiiden ohjelmistojen käyttäjille ja niille, jotka haluavat itse kehittää verkkosovelluksen omaan käyttöönsä.
Lue lisää yrityksenne tietoturvan parhaaksi: www.cert.fi
Kirjoittanut: Ilkka Lavas | 30.11.2011 |