Ads 468x60px

keskiviikko 12. helmikuuta 2014

Tietoturvallisuus – olisiko minun pitänyt osata pyytää tätä erikseen?

Tarkoitukseni oli kirjoittaa ohjelmistotoimittajille asetettavien tietoturvavaatimusten asettamisen sietämättömästä keveydestä. Törmäsin eilen kuitenkin tapaukseen, joka sai minut jälleen miettimään mikä on ammattilaisen vastuu tekemisestään ja kuinka paljon turvallisuutta meidän tulee osata vaatia.

Lähipiirissäni ilmeni tapaus, jossa yhdistyksen verkkosivuille oli murtauduttu (ei ole Tietoturva ry ;). Sen jälkeen kun tapahtuneesta oli kysytty sivuston toimittajalta, he vastasivat murron tapahtuneen tammikuun (2014) alussa ja koska tapauksesta on niin pitkä aika, ei varmuuskopioita ollut enää olemassa. Toimittaja kuitenkin totesi, että heiltä löytyisi joku varmuuskopio vuoden takaa ja että samassa yhteydessä olisi varmaan hyvä ajaa tietoturvapäivitykset palveluun. Tämä he voisivat tehdä XXX€ hinnalla.

Ilkeä päättelijä saattaisi todeta, että vastauksessa on rahastuksen makua: ”Emme ota mitään vastuuta tapahtuneesta mutta saamme lisämyyntiä kun voimme veloittaa sotkun siivoamisesta.”

Mielenkiintoiseksi tapauksen tekee se, että toimittaja oli aikoinaan myynyt palvelun avaimet käteen periaatteella eikä tilaajalle ole missään vaiheessa tarjottu mitään tietoturvapalvelua kotisivutilan lisäksi. Tilaaja ei myöskään näe web-palvelun alustaa eikä välttämättä edes tiedä käytetyn CMS:n versiota. Toisaalta tilaaja ei ole myöskään osannut vaatia tietoturvaa järjestelmälle.

Kumpi on siis suurempi syyllinen siihen, että murto pääsi tapahtumaan? Toimittaja, joka ei huolehtinut tietoturvasta vai asiakas, joka ei osannut vaatia tietoturvaa? Asia olisi hyvin helppo, jos toimittaja olisi tarjonnut asiakkaalle tietoturvapalvelua, mutta asiakas ei olisi tätä halunnut. Tai mikäli toimittaja olisi kertonut tilaajalle, että nyt asiakkaan järjestelmästä on löytynyt vakava haavoittuvuus ja se tulisi korjata pikaisesti, mutta asiakas ei ole halunnut tätä. Toisaalta, toimittaja toimittaa vain sen mitä tilaaja tilaa. Olisiko tilaajan siis pitänyt osata vaatia tietoturvan toteuttamista toimittajalta (Jos ostat autoa, niin muistatko vaatia, että myös jarrut tulevat mukaan?).

Suomi on täynnä erilaisia harrasteyhdistyksiä, joiden toiminnan kannalta verkkonäkyvyys on oleellista. Läheskään kaikilla ei ole kuitenkaan osaamista vaatia tietoturvallisuutta vaan suurin osa haluaa luottaa palvelun tarjoajan olevan ammattilainen, joka osaa kertoa oleellisista asioista. Näinpä ohessa muutamia vinkkejä, joita kannattaa hyödyntää sopivinta verkkopalvelua valitessa (*):

  1. Tiedustele, sisältääkö palvelu myös tietoturvapäivityksistä huolehtimisen. (Tietoturvapäivitykset tulee ajaa säännöllisesti eikä vain kertaluontoisesti.)
  2. Tiedustele, miten palvelun tarjoaja varmistaa, että järjestelmässä ei ole tunnettuja haavoittuvuuksia. Kenen vastuulla on seurata mahdollisten haavoittuvuuksien julkaisua?
  3. Tiedustele, miten palvelun varmuuskopiointi on järjestetty. Miten kauas taaksepäin on mahdollista palata varmuuskopioissa? Entä minkä milloin varmuuskopiot viimeistään tuhotaan?
  4. Tiedustele mikä on palvelun saatavuus (kuinka monta tuntia päivässä / viikossa / tms. aikayksikössä palvelun tulisi olla käytettävissä.)
  5. Tiedustele, miten toimittaja toimii, mikäli sivustolle murtaudutaan.

Jos et saa vastauksia, tai et yrityksistäsi huolimatta ymmärrä, mitä sinulle on vastattu, niin harkitse huolella haluatko valita kyseistä palvelua.

Turvallista verkkonäkyvyyttä itse kullekin yhdistykselle!
Antti

* Lista ei ole mitenkään kattava eikä vastaukset kohtiin takaa palvelun turvallisuutta, mutta tämä antaa nyt edes jonkun alkupisteen turvallisuuden huomioimiselle.

Ei kommentteja:

Lähetä kommentti