Ads 468x60px

maanantai 9. tammikuuta 2012

Nobody knows nothing

Tietoturva hämmentää. Olen pitkän linjan nörtti ja laaja-alainen ITC-ammattilainen, joten tiedän, että ala muuttuu nopeasti. Luotettavia, syvällisesti ymmärrettyjä, pysyviä perustekniikoita ja teorioita on vähän. Joka muuta väittää, nolaa itsensä. Tietoturvassa tämä korostuu. Kaikki on vieläkin uudempaa ja muuttuu vielä nopeammin.

Mikä on tietoturvan suhde bisnekseen ja maailmaan yleensä? Entä IT:n ja tietoturvan suhde? Ovatko bisnes, johtaminen ja riskienhallinta ne yleiskäsitteet, joiden sisään tietoturva ja IT mahtuvat? Toimivatko nämä käsitteet hallinnon organisoimisessa? Mihin sijoittuvat "tietojärjestelmätarkastus" osana tilintarkastusta ja "sisäinen tarkastus" osana muuta taloushallinnon valvontaa? ”Kieleni rajat ovat maailmani rajat”, sanoi filosofi Ludwig Wittgenstein. Joka tapauksessaa tietoturva ei mahdu IT:n sisälle. Se koskettaa henkilöstöhallintoa, kaikkea esimiestyötä ja ihmisten yhteistoimintaa. Petokset, liikesalaisuuksien vuotaminen, yksityisyyden loukkaukset ja huijaukset tapahtuvat myös IT:stä riippumatta.

Ja jos suo on siellä, on vetelä täällä. Liika salailu ja väärä kontrolli näkyy kankeutena ja tehottomuutena. Kuinka voimme rakentaa näillä eväillä ja näillä ehdoilla kustannustehokasta tietoturvaa? Tiedonkulun ja tiimityöskentelyn ulkoisesti ja sisäisesti pitäisi pysyä tehokkaana kontrolleista huolimatta. Formulassa on jarrut siksi, että se kulkisi kovempaa. Organisaatio ilman tehokasta tietoturvaa joutuu ajamaan varovasti ja hitaasti kaikki vaaranpaikat, mutta liian kalliit ja raskaat jarrut eivät ole hyvä asia. Kuinka organisaatio, jonka omakin sisäinen IT-järjestelmä on huonosti ymmärretty ja todennäköisesti turvaton, voisi ketterästi avata datansa ja rajapintansa nettiin ja extranetteihin? Ei mitenkään, vaan se jää tekemättä, vaikka tarvetta olisi.

Moderni yritys tai julkinen laitos on IT-keskeinen. Mitkä ovat taikasanat jolla IT:n turvallisuuden saa haltuun? ISO 27001-standardin (ilmainen näyte) oleellisin jaottelu on: tietoaineistot, operointi, pääsynvalvonta, järjestelmien kehitys, häiriöt, ja jatkuvuussuunnittelu. Suomen valtion tietoturvatasot-ohjeistus jakaa homman ensinnäkin kahtia organisaation ja IT-järjestelmän tietoturvallisuutta miettiessään. Muissa tietoturvastandardeissa (COBIT, SoGP) ja käytännöissä on omat jaottelunsa. Ja kaikki pitää liittää ITILin mukaisiin IT-hallinnan yleisiin tietoturvakäytäntöihin.

”No war plan survives contact with the enemy”, sanoi Helmuth von Moltke vanhempi, tosin saksaksi. Vihollispuolella on vastassa OWASP Top 10 –listan (uusin suomenkielinen) ja SANS-instituutin ongelmien, hallintakeinojen ja riskien listat. Eli siis kaikki ne tekniset hyökkäykset, joihin nämä ohjeet liittyvät. Lisäksi jokaiseen protokollaan, käyttöjärjestelmään ja sovellusohjelmaan liittyvät sille ominaiset, vähemmän yleiset potentiaaliset haavoittuvuudet. Ja muistetaan, että nämä muuttuvat jatkuvasti, jokaisen päivityksen myötä.

Lisäksi huijareilla ja rikollisila on runsaasti vanhoja ja uusia IT:stä riippumattomia kikkoja varastossaan, kuten esim. The Real Hustle –ohjelmasarja näytti, tai vaikkapa lista Top 10 ways to break into and out of anything.

Joudun työni puolesta antamaan suosituksia ja neuvomaan. Mutta tiedettä tämä ei ole, ja tuskin sitä kehtaa taiteeksikaan kutsua. Se on ihmistuntemukseen, kohdeorganisaation tuntemiseen ja tekniseen osaamiseen perustuvaa käytännön käsityötä, kädet savessa hommaa. Mikään ei ole niin käytännöllinen kuin hyvä teoria, mutta hyvää tietoturvan teoriaa jäämme odottomaan. Joka tapauksessa hommaa ei voi hoitaa pelkästään ylhäältä ja kokonaisuudesta käsin, eikä pelkästään alhaalta ja tekniikasta käsin. Moderni sodanjohto ei pysty tekemään mitään ilman hienoja aseteknologioita. Mutta hienot aseet rivisotilaiden käsissä ilman hyvää sodanjohtoa ovat parhaimmillaankin tuhlausta, ja huonoimmillaan suorastaan vaarallisia. Sama pätee IT:n tietoturvaan.

Hollywoodissa ja viihdebisneksessä on alan epävarmuutta, muutosherkkyyttä ja puoskarien huhuille alttiutta korostava sanonta: nobody knows nothing. Tämä on hyvä, nöyrä lähtokohta tietoturvallisuuteenkin.

1 kommentti:

Anssi kirjoitti...

Unohdin vielä mainita laatutyön. Mikä pitäsisi olla esim. ISO 9001 ja ISO 27001 sertifiointien suhde, ja miten oganisaation "laatutyö" ja tietoturvatyö pitäisi yhdistää?

Lähetä kommentti