Ads 468x60px

maanantai 12. syyskuuta 2011

Miksi emme välitä tietoturvasta?

Pidän itseäni tietoturva-ammattilaisena. Väitän tietäväni, miten asiat tulee hoitaa, jotta lopputulos olisi turvallinen. Tästäkin huolimatta yllätin itseni männä viikolla ”housut nilkoista”:

Lyhykäisyydessään tarkoitukseni oli siirtää html-sivuja kotisivuilleni. Valitettavasti operaattorini kuitenkin tuki vain salaamatonta FTP:tä ja näinpä vaihtoehtoni olivat 1) ottaa riski ja käyttää suojaamatonta yhteyttä tai 2) jättää kuvat julkaisematta. (En myöskään halunnut käyttää netistä löytyviä kuvagalleriapalveluja, koska halusin juuri tietynlaisen ulkoasun sivustolleni.)

Lyhyen pähkäilyn jälkeen päädyin siirtämään tiedostot FTP:llä. Suojaamattomasta yhteydestä aiheutuvaa riskiä pyrin pienentämään sillä, että en ole käyttänyt samaa salasanaa missään muussa palvelussa ja vaihdoin välittömästi salasanani uuteen puhtaaseen salasanaan siirron jälkeen. Tässä yhteydessä siis uskon, että toimin riittävän huolellisesti eikä minulle aiheutunut toiminnasta kohtuutonta riskiä.

Mielenkiintoinen sivujuonne tapauksessa on se, että käyttöehdoissaan operaattori edellyttää seuraavaa: ”Asiakkaan tulee huolehtia, että älykortit (esim. sim- tai ohjelmakortti) ja laitteet on suojattu tunnisteilla (esim. käyttäjätunnus, salasana, pin-koodi, suojakoodi), ja että nämä henkilökohtaiset tunnisteet pysyvät vain hänen omana tietonaan.” Tästä seuraa se ongelma, että mikäli joku olisi kaapannut tunnukseni ja olisi tehnyt sillä muutoksia liittymääni, niin kenen olisi vastuu asiasta? Itse tietysti olen sitä mieleltä, että koska olen käyttänyt vahvaa salasanaa ja en ole luovuttanut tunnustani kenenkään haltuun, niin vastuu ei voi olla minun… (Toisaalta minun kuuluisi tietää, että FTP on turvaton.)

Ja miten tämä tarina liittyy mihinkään?

  1. Ihmiset ovat valmiita ottamaan riskejä (= vaarantamaan tietoturvan) hämmentävän helposti. Aivan sama onko kyseessä ammattilainen vai ei.
  2. Jos on mahdollista käyttää turvatonta tapaa, niin ihmiset käyttävät sitä. Aivan sama mitä käyttöehdoissa lukee -> lukeeko kukaan niitä ylipäätään?
  3. Samaa salasanaa ei pidä käyttää monessa ei palvelussa.

Oman näkemykseni mukaan avain onneen tässä tapauksessa onkin asennekasvatus. Jos käyttäjät eivät ymmärrä, miksi joku asia on kiellettyä, niin he tulevat toimimaan jatkossakin ”väärin”. Tilanne on suurin piirtein sama kuin aikuiset yrittäisivät kieltää murrosikäisiä tekemästä jotain.

Summa summarum: tietoturvan rakentaminen ei siis aina vaadi kalliita investointeja. Itse suositan, että organisaatiot pysähtyisivät miettimään tietoturvaansa vaihteeksi asennekasvatuksen kautta: Mitä meidän tulee opettaa käyttäjille, jotta osaisivat toimia tulevaisuudessa viisaammin?

Terveisin
Antti

Ei kommentteja:

Lähetä kommentti