Tietoturvaa pitää olla nyt kaikkialla. Tietoturvan nimissä näemme hirvittävästi vaivaa suojataksemme tietoja, joiden suojaaminen ei aiemmin tullut edes mieleen. Tietoturvayhtiöt maalaavat lohdutonta kuvaa tietoturvan nykytilasta, heidän mielestään Internet on saastunut pohjiaan myöten. Lääkkeeksi tähän ongelmaan tarjotaan massiivisiksi paisuneita anti-virus, anti-malware, anti-bot, total security firewall suiteja, joiden tehtävänä on suojella meitä kaikelta pahalta. Huvittavinta tässä on se, että nämä massiivisiksi paisuneet tietoturvaohjelmistot aiheuttavat itsessään enemmän ongelmia kuin ne uhat joilta yrittävät meitä suojata. Esimerkkinä näiden ohjelmien kyseenalaisesta suunnittelusta antavat niiden mukana tuleva palomuuri. Perusasetuksiltaan nämä palomuurit (aivan kuten oikean palomuurin kuuluukin tehdä) sulkevat KAIKEN lähtevän ja saapuvan liikenteen. Aina kun kone yrittää keskustella verkkoon, estää palomuuri liikenteen oletuksena, kysyen sallitaanko vai estetäänkö kyseinen liikenne. Ilmoitus on yleensä kryptinen tyyliin: Do you want to allow Svchost.exe to connect to UDP:1234? Tavallisella käyttäjällä ei ole hajuakaan mitä se tarkoittaa, mutta jatkuvat kysymykset ärsyttävät, jolloin siihen vastataan vaihtoehdolla yes/always. Samalla kaavalla vastataan kaikkiin kysymyksiin. Lopputuloksena palomuuri on aivan hyödytön koska kaikkeen vastataan kuitenkin myöntävästi. Palomuureista ei kuitenkaan tehdä järkeviä joihin olisi esikonfiguroitu ”normaali” liikenne, koska raflaavasti reagoiva palomuuri antaa tunteen, että se toimii.
Jos kävelet Giganttiin tai vastaavaan ja ostat sieltä uuden tietokoneen, niin sinun ei tarvitse olla lainkaan huolissasi tietoturvasta. Kone on näet jo esiasennettu täyteen kaikkea paskaa jo valmistajan toimesta. On Media smartia, advisoria, Adobe speed launcheja, toolbareja ja lukuisten ohjelmien hyödyttömiä kokeiluversioita jne. Yksi sähköpostia lähettävä mato ei tässä tunnu enää missään, kone on käyttökelvoton jo tehtaalta lähtiessään. Miten suojautua tältä?
Yritykset astuvat samaan tietoturvamiinaan kuin kotikäyttäjätkin, ne vain maksavat siitä enemmän. Firmoihin lampsii tietoturvakonsultteja saarnaamaan tietoturvauhista lisäten samaan hengenvetoon kuinka tietoturvaan haaskatut rahat pitää nähdä investointina eikä kuluina. Tyytyväisenä sitten ostellaan kalliita palomuureja, web-suodattimia, salaustekniikoita jne. Pätemättömyytensä tason saavuttanut tietohallintopäällikkö uskoo olevansa turvassa, kunhan on sijoittanut tietoturvaan tarpeeksi rahaa. Kukaan ei ole sisäistänyt, että tietoturvan mahdollinen puute on sosiaalinen ongelma, johon ei löydy teknistä ratkaisua. Olen esimerkiksi aina ihmetellyt yritysten käsittämätöntä salasanapolitiikkaa. Salasanan pitää olla tietyn pituinen, sen pitää sisältää kaikki mahdollisia merkkejä maan ja taivaan väliltä, lisäksi se pitää vaihtaa usein ja järjestelmä muistaa viisi edellistä, joka tekee kierrättämisen hankalaksi. Mitä sellaiselle salasanalle tehdään? Aivan oikein, se kirjoitetaan jonnekin (helppoon paikkaan) muistiin. Ilmainen vinkki kaikille oman arvonsa tunteville tietohallintapäälliköille tai vastaaville: pitäkää salasanat min. 15 merkkisinä. Salasana voi olla vaikkapa selväkielinen lause välilyönteineen. Ei varmasti aukea kuin aseella uhaten. Lisähyötynä on se, että sellaista salasanaa ei käytetä kun kirjaudutaan Facebookiin. Ihmiset näet haluavat käyttää samaa salasanaa mahdollisimman useaan paikkaan. Tällaista salasanaa ei tarvitse juurikaan vaihdella, koska sen teoreettinen murtamisaika on toistaiseksi valovuosia.
Etätyö on vihreyttä parhaimmillaan ja se onkin mahdollistettu monessa yrityksessä. Etäyhteyksien turvaamiseksi RSA:n lottonumeroita arpovat pulikat ovat käyneet hyvin kaupaksi. Konkreettinen härpäke antaa turvallisuuden tunteen. Nerokasta. Pulikassa ei olekaan mitään vikaa, mutta pelkällä lottonumerolla ei pääse vielä yrityksen verkkoon, vaan se vaatii kaverikseen vähintään salasanan. Salasana onkin kätevä liimata tarralla pulikan kylkeen. Oma nimi on myös hyvä siihen lisätä, ettei pulikka sekaannu kaverin kanssa.
Kaikesta huolimatta liputan itsekin tietoturvan nimeen, voisinpa väittää olevani jopa sen jonkinlainen ammattilainen. Kritisoin vain sitä tapaa jolla sitä markkinoidaan. Joka viikko on jossain lehdessä kuvaa F-securen alipaineistetusta viruskammiosta josta julistetaan maailmanloppua jonkin pöpön muka uhatessa. Tällä nimenomaan halutaan vahvistaa sitä käsitystä, että asiat ovat oikeasti kuin 24 tv-sarjassa. Kassavirta pysyy positiivisena. Lehdet kirjoittavat viikoittain kuinka jostain on löytynyt jokin vakava haavoittuvuus. Tosiasia on kuitenkin, että tästä ”vakavasta haavoittuvuudesta” on pitkä matka siihen, että sitä hyödynnetään. Silloinkin syy on yleensä laiskan ylläpitäjän johon ei teknistä ratkaisua löydy.
Kun asiaa tarkastellaan sen valossa, että millaisia oikeasti vakavia tietomurtoja tai vastaavia on tehty, niin ovat ne huomattavasti arkisempia kuin mitä James Bond elokuvissa on nähty. Luottokorttitietoja varastetaan jatkuvasti ja näitä tietoja myös käytetään hyväksi. Ongelma ei taaskaan ole tekninen. Luottokortteja oli jo ennen kuin koko käsitettä tietoturva oli edes olemassa. Luottokortista itsestään on paljaalla silmillä luettavissa kaikki ne tiedot mitä tarvitaan ostosten tekemiseen. Niin kauan kun hyväksymme tämän, ei parannusta ole luvassa, pyöri se F-securen keltainen valo kuinka vinhaan tahansa. Pankkitunnuksia kysellään ihmisiltä ystävällisesti erilaisin viestein, moni niitä antaa ja menettää rahansa. Rikas Nigerialainen leskirouva tarvitsee apuasi ja lupaa korvata sen ruhtinaallisesti. Sanotaan, että on rikollista antaa typerien pitää rahansa. Et oikeasti tarvitse sitä virusturvaa puhelimeesi, helpompaa on vain sulkea se Bluetooth. Tieturvaan on olemassa paljon enemmän ratkaisuja kuin on ongelmia.
Entries (RSS)