Ads 468x60px

tiistai 31. tammikuuta 2012

KPMG:n ja yhteistyökumppanien Tietoturvaseminaari 2012

Perinteinen tietoturvaristeilymme lähestyy. Toukokuussa KPMG tarjoaa yhteistyökumppaneidensa kanssa erinomaisen mahdollisuuden irtautua hetkeksi arkirutiineista. Tule laivalle kuuntelemaan ja keskustelemaan tietoturvallisuuden ajankohtaisista aiheista, mahdollisuuksista ja haasteista.

Ohjelmassa on ajankohtaisia esityksiä tietoturvallisuudesta, hyviä keskusteluita sekä tietenkin loistavaa seuraa. Aikaisempina vuosina risteilyä on kiitelty hyvistä esityksistä ja etenkin keskustelevasta ilmapiiristä. Risteilyllä osallistujat ovat pystyneet jakamaa ajatuksia ja kokemuksia heitä askarruttavista tietoturva-asioista paremmin, kuin ”perinteisissä” tietoturvaseminaareissa.

Katso seminaariohjelma ja ilmoittaudu mukaan: https://events.kpmg.fi/tietoturva.aspx?TapahtumaID=37586

keskiviikko 25. tammikuuta 2012

Haavoittuvuuksien hallintaa isommassa ympäristössä

Organisaatioiden on tärkeää tiedostaa, mitä teknisiä haavoittuvuuksia omassa IT-ympäristössä on, jotta ne pystytään riittävän nopeasti ja oikealla priorisoinnilla korjaamaan. Haavoittuvuuksien hallinta sisältää ainakin seuraavat vaiheet
  1. Omien verkossa kiinni olevien laitteiden luettelointi
  2. Haavoittuvuuksien ja konfigurointipuutteiden skannaus
  3. Havaittujen puutteiden riskiluokittelu ja priorisointi
  4. Korjausvastuiden määrittely ja seuranta
  5. Korjauksen jälkeen poikkeuksen merkitseminen korjatuksi / poikkeuskäsittely
  6. Haavoittuvuushallinnan raportointi ja seuranta
Monissa organisaatioissa haavoittuvuuksien hallinta voidaan tehdä hyvinkin manuaalisesti hyödyntämällä erikoisohjelmia vain skannausvaiheessa. Organisaation ja IT -ympäristön koon kasvaessa manuaalisen työn määrä kasvaa. Tällöin saattaa olla hyödyllistä automatisoida eri työvaiheita mahdollisimman pitkälle. KPMG on tehnyt julkaisun, jossa kuvataan haavoittuvuuksien hallintaprosessin automatisointi käyttäen kolmea erilaista teknologiaa:
  1. Haavoittuuvuuksien skannausohjelma(t)
  2. Security Posture Management (SPM) -ohjelmisto
  3. IT –Governance, Risk Management, and Compliance (GRC) -ohjelmisto
Keskeinen automatisoinnin astetta lisäävä ohjelma on SPM -ohjelmisto. Sen vastuulla on verkossa kiinni olevien laitteiden inventointi ja haavoittuvuuksien riskiluokittelu. SPM -ohjelmisto luokittelee järjestelmiä esimerkiksi sillä perusteella, onko järjestelmä saavutettavissa Internetistä tai minkälainen laite on kyseessä, esim. domain controller. Lisäksi ohjelmistolle voi kertoa, mikäli järjestelmään kohdistuu erilaisia vaatimuksia, kuten PCI-DSS.

GRC -järjestelmän vastuulla on tikettien luonti skannausohjelmista tulevien haavoittuvuuksien perusteella. Kuitenkin ennen tikettien luomista SPM -ohjelmisto luokittelee haavoittuvuudet ympäristön mukaisiksi.

Yllä kuvattu malli vaatii järjestelmien, prosessien ja alustakonfiguraatioiden kehitystä hyvin määritellylle tasolle, mutta tarjoaa haavoittuvuuksien hallinnan automatisoinnin ja raportoinnin, jolloin siitä tulee seurattavaa ja manuaalisen työn määrä vähenee.

KPMG:n julkaisun voi ladata osoitteesta http://www.kpmg.com/FI/fi/Ajankohtaista/Uutisia-ja-julkaisuja/Neuvontapalvelut/Sivut/Enhanced-vulnerability-management-process.aspx

tiistai 24. tammikuuta 2012

EU-komission ehdotus uudeksi tietosuoja-asetukseksi

Kuten aikaisemmassa blogimerkinnässä uumoilin, EU:n tietosuojasääntelyä tullaan lähivuosina uudistamaan kovalla kädellä. Henkilötietodirektiivi tullaan korvaamaan tietosuojaa koskevalla asetuksella, joka koskee suoraan kaikkia jäsenmaita, jolloin säännösten voimaansaattamista eri jäsenvaltioissa ei enää aiheudu ongelmia.

Uuden asetuksen tarkoitus on yhtenäistää henkilötietojen käsittelyn sääntely EU:n alueella, selkeyttää toimivaltakysymyksiä ja tehostaa viranomaisyhteistyötä. Konkreettisemmin, asetuksen tarkoitus on mm. selkeyttää sääntelyn käsitteitä, ottaa kantaa uusiin ilmiöihin ja tekniikoihin, sekä vahvistaa rekisteröityjen asemaa ja oikeuksia.

Internetiin on vuodettu asetuksen luonnos (EDIT: asetusluonnoksen virallinen versio löytyy tästä, ja LIBE komitean jälkeinen versio, josta äänestettiin europarlamentissa maaliskuussa 2014 löytyy tästä), joka onkin aiheuttanut vilkasta keskustelua ”tietosuojapiireissä”. Tässä lyhyesti tärkeimmistä uudistuksista, satunnaisessa järjestyksessä.

1. Jatkossa lainvalintaproblematiikkaa ei ole, koska asetus koskee kaikkia rekisterinpitäjiä koko EU:n alueella. Toimivaltakiistoja eri jäsenvaltioiden tietosuojaviranomaisten välillä pyritään välttämään määräämällä toimivaltaiseksi sen maan viranomainen, jossa rekisterinpitäjällä on pääasiallinen toimipaikka.

2. Säännökset koskevat jatkossa tietyin edellytyksin myös EU:n ulkopuolisia rekisterinpitäjiä, jotka käsittelevät EU-kansalaisten henkilötietoja ja/tai suorittavat EU-asiakkaiden profilointia esim. evästeiden avulla.

3. Paikkatiedot, IP-osoitteet ja evästeet määritellään kuuluvaksi asetuksen piiriin.

4. Kaikkien rekisterinpitäjien, joiden henkilöstön määrä on yli 250, tulee nimittää riippumaton tietosuojavastaava, joka raportoi suoraan johdolle ja jonka tehtävänkuvaan kuuluu henkilötietojen käsittelyn ohjaus sekä yhteydenpito viranomaisiin sekä rekisteröityihin.

5. Rekisterinpitäjien tulee noudattaa nk. tilivelvollisuuden periaatetta, mikä tarkoittaa käytännössä sitä, että rekisterinpitäjän tulee tarvittaessa osoittaa toimivansa aktiivisesti yksityisyyden suojaa ja rekisteröityjen oikeuksia edistävällä tavalla. Velvoite on yleisluontoinen ja toteuttamiskeinot jäävät rekisterinpitäjien päätettäviksi.

6. Rekisterinpitäjän tulee suorittaa vaikuttavuusarviointi, mikäli se suunnittelee ottavansa käyttöön uutta tekniikkaa tai henkilötietojen käsittelyn muotoja, joissa voidaan katsoa piilevän erityinen riski rekisteröityjen yksityisyyden suojalle.

7. Henkilötietojen tietovuodoista tulee jatkossa aina informoida tietosuojaviranomaisia, ja mikäli tietovuodosta aiheutuu riskiä myös rekisteröityjen yksityisyyden suojalle, tulee myös heitä informoida ja ohjeistaa vahinkojen minimoimiseksi.

8. Henkilötietojen siirtoa EU:n ulkopuolelle koskeviin säännöksiin kaavaillaan muutoksia, joiden tarkoitus on tuoda selkeyttä ja yksinkertaistaa tietojen siirtoja.

9. Vastuita tullaan selkeyttämään tilanteissa, joissa rekisterillä on monta rekisterinpitäjää, tai joissa alihankkija suorittaa henkilötietojen käsittelyä rekisterinpitäjän lukuun.

10. ’Privacy by design’ ja ’Privacy by default’ – ensiksi mainitun termin ajatus on kokonaisvaltaisessa lähestymistavassa yksityisyyden suojan ja liiketoimintaprosessien integroimiseen, proaktiivisuuteen ja yksityisyyden suojaan kilpailutekijänä. Jälkimmäinen käsite taas viittaa siihen, että palvelut tulee rakentaa siten, että ne oletusarvoisesti, ’perusasetuksillaan’, suojaavat käyttäjien yksityisyyden suojaa mahdollisimman hyvin.

Komissio on luvannut lopullisen luonnoksen tälle keväälle, ja voimaan asetusta voi odotella parin vuoden sisällä. Tietosuoja-ammattilaisilla on mielenkiintoiset ja haastavat ajat edessään!

/ Mikko V.

torstai 19. tammikuuta 2012

Onko vahvan salasanan käyttäminen sittenkin turhaa?!?

Tietoviikko uutisoi tällä viikolla kriittisesti vahvojen salasanojen tarpeellisuudesta [1]. Artikkelissa todettiin, että joissain tapauksissa vaiva vahvan salasanan keksimiseen on suurempi kuin mitä vahvasta salasanasta saatava hyöty. Näin tietoturva-asiantuntijan korvaan väite kuulostaa suorastaan oudolta. Tilanne on rinnastettavissa tapaukseen, jossa henkilö väittäisi, että turvavöiden käyttäminen autoillessa aiheuttaa enemmän vaivaa kuin hyötyä.

Mistä artikkelissa esitetty väite on siis peräisin? Pienen pohdinnan jälkeen tulin siihen tulokseen, että väitteen täytyy pohjautua (hieman vanhakantaiseen) ajatukseen, jossa vahva salasana määritellään seuraavasti: ”Salasanan tulee olla vähintään kahdeksan merkkiä pitkä, siinä tulee olla pieniä ja isoja kirjaimia, numeroita ja erikoismerkkejä. Parasta olisi, jos salasana olisi satunnaisgeneraattorilla generoitu”.

On totta, että mikäli käyttäjän täytyy muistaa kymmeniä yli kahdeksan merkkiä pitkiä täysin satunnaisia merkkejä sisältäviä merkkijonoja, niin varmasti on vaikeaa. (Itse en ainakaan muistaisi, varsinkin jos salasanat vaihtaa kolmen kuukauden välein.) Tämän johdosta olen itse päätynyt suosimaan salasanalauseita, jotka on helppo muistaa, mutta jotka ovat hankalasti arvattavissa. Käyttäjien onneksi(?) netti onkin pullollaan erilaisia ohjeita, jossa neuvotaan kuinka vahva salasana voidaan keksiä ja muistaa (muutamia esimerkkejä CERT.fi[2] ja F-Secure [3, 4])

Kuitenkin, hyvätkään salasanat eivät auta, jos jonkin palvelun koko käyttäjätietokanta selväkielisine salasanoineen dumpataan nettiin. Näin ollen oleellista käyttäjän näkökulmasta on se, että
  1. samaa salasanaa ei käytetä ”liian” monessa eri paikassa (mieluummin jokaiseen palveluun eri salasana),
  2. salasana ei löydy suoraan sanakirjasta ja että
  3. se on riittävän pitkä (mieluummin yli 10 merkkiä).
Kun eri palveluissa käytetään eri salasanoja, niin nettiin vuotanut salasana ei päästä hyökkääjää suoraan kaikkiin palveluihin. Salasanojen eron ei tarvitse olla kuin yksi merkki vähimmillään.

Palvelun tarjoajan näkökulmasta taasen on oleellista varmistaa, että salasanoja ei tallenneta koskaan suojaamattomana (ja suolaamattomana) ja että käyttäjät voivat käyttää haluamiaan merkkejä salasanoissaan. (Jos käyttäjät eivät saa vapaasti valita käyttämiään merkkejä, niin hyvin todennäköisesti käyttäjien muistisäännöt eivät toimi. Tämä johtaa väistämättä huonoon lopputulokseen kaikkien kannalta.)

Näinpä; vaikka nelipisteturvavyöt ovatkin turvallisemmat kuin ”normaalit” turvavyöt, niin ehkä ne ovat joskus hieman ylimitoitetut. Samoin, ehkä meidän ei aina tarvitse käyttää ueber-turvallisia 24 merkin mittaisia kertakäyttösalasanoja. Aloitetaan siitä, että hoidamme ensin yllämainitut perusasiat kuntoon.

terveisin
Antti

[1] http://www.tietoviikko.fi/kaikki_uutiset/vahva+salasana+on+hankala+murtaa++mutta+onko+sellaisen+keksimisessa+sittenkaan+jarkea/a757168?s=r&wtm=tietoviikko/-17012012&
[2] http://www.cert.fi/tietoturvanyt/2011/11/ttn201111141503.html
[3] http://www.f-secure.com/weblog/archives/00001691.html
[4] http://safeandsavvy.f-secure.com/2010/03/15/how-to-create-and-remember-strong-passwords/

keskiviikko 11. tammikuuta 2012

Tietoturvametriikkaa

Tietoturvamenetelmien tehokkuuden ja tehollisuuden vuoksi tietoturvallisuutta tulee mitata. Monen tietoturvallisuuden hallintamallin keskeinen osa onkin tietoturvallisuuden mittaaminen ja mittauksen avulla toiminnan kehittäminen. Jos ajatellaan jo kybernetiikasta tuttua järjestelmää, niin mittaus olisi se palaute silmukka ulostulosta sisäänsyöttöön. Tietoturvamittaamisen tuloksista puhutaan tietoturvametriikoina. Metriikat voivat olla joko laadullisia tai määrällisiä.

Metriikoiden tarpeellisuus lisääntyy jatkuvasti. Valitettavasti on myös yleisesti tiedossa että tietoturva on yksi harvoja alueita, joissa ei ole selkeitä tietoturvallisuuden tehokkuutta ja tehollisuutta indikoivia metriikoita. Metriikat voidaan kuitenkin karkeasti jakaa kolmeen erilaiseen tasoon, niiden tyypin mukaan; strategiset metriikat, taktiset metriikat ja operatiiviset metriikat.

Tietoturvallisuusmetriikoiden tärkeys johdolle on kiistämätön. Yrityksen tietoturvahallinnon (=governance) perusajatuksena on command & control, komenna ja kontrolloi. Ohjaaminen ja kontrolloiminen vaatii sitä että tiedetään ajanmukainen tilanne (control), jotta voidaan ohjata (command). Ilman ajantasaisia, merkityksellisiä metriikoita ohjataan sokkona. Vastaavasti viivästyksellä saadut metriikat voivat johtaa harhaan. Palatakseni alussa mainitsemaani kybernetiikkaan, tilanne on sama kun hitaasti toimivassa termostaatissa; lämpötilan säätämisestä palaute tulee viiveellä, joka johtaa lämpötilan edes takaisin säätämiseen.

Organisaation johto on lopulta vastuussa organisaation tietoturvasta. Miten johto voi tietää organisaation tietoturvallisuuden tilasta, jos heillä ei ole käytössä ajantasaista ja tarkkaa tietoa tietoturvallisuuden tilasta? Jotta metriikat olisivat merkityksellisiä johdolle, tulee niiden tarjota riittävän abstrakti kuva tilanteesta. Toisin sanoen, metriikat eivät voi vain raportoida käyttöjärjestelmän versioita ja versio historiaa. Sen sijaan, johdolla tulisi olla yleiskuva järjestelmien ajantasaisuudesta. Yleisesti, metriikoilla tulisi seurata sitä miten hyvin tietoturvallisuuteen liittyvät politiikat on onnistuttu kääntämään käytännön teoiksi ja miten kustannus-tehokkaasti siinä on onnistuttu.


/Marko

maanantai 9. tammikuuta 2012

Nobody knows nothing

Tietoturva hämmentää. Olen pitkän linjan nörtti ja laaja-alainen ITC-ammattilainen, joten tiedän, että ala muuttuu nopeasti. Luotettavia, syvällisesti ymmärrettyjä, pysyviä perustekniikoita ja teorioita on vähän. Joka muuta väittää, nolaa itsensä. Tietoturvassa tämä korostuu. Kaikki on vieläkin uudempaa ja muuttuu vielä nopeammin.

Mikä on tietoturvan suhde bisnekseen ja maailmaan yleensä? Entä IT:n ja tietoturvan suhde? Ovatko bisnes, johtaminen ja riskienhallinta ne yleiskäsitteet, joiden sisään tietoturva ja IT mahtuvat? Toimivatko nämä käsitteet hallinnon organisoimisessa? Mihin sijoittuvat "tietojärjestelmätarkastus" osana tilintarkastusta ja "sisäinen tarkastus" osana muuta taloushallinnon valvontaa? ”Kieleni rajat ovat maailmani rajat”, sanoi filosofi Ludwig Wittgenstein. Joka tapauksessaa tietoturva ei mahdu IT:n sisälle. Se koskettaa henkilöstöhallintoa, kaikkea esimiestyötä ja ihmisten yhteistoimintaa. Petokset, liikesalaisuuksien vuotaminen, yksityisyyden loukkaukset ja huijaukset tapahtuvat myös IT:stä riippumatta.

Ja jos suo on siellä, on vetelä täällä. Liika salailu ja väärä kontrolli näkyy kankeutena ja tehottomuutena. Kuinka voimme rakentaa näillä eväillä ja näillä ehdoilla kustannustehokasta tietoturvaa? Tiedonkulun ja tiimityöskentelyn ulkoisesti ja sisäisesti pitäisi pysyä tehokkaana kontrolleista huolimatta. Formulassa on jarrut siksi, että se kulkisi kovempaa. Organisaatio ilman tehokasta tietoturvaa joutuu ajamaan varovasti ja hitaasti kaikki vaaranpaikat, mutta liian kalliit ja raskaat jarrut eivät ole hyvä asia. Kuinka organisaatio, jonka omakin sisäinen IT-järjestelmä on huonosti ymmärretty ja todennäköisesti turvaton, voisi ketterästi avata datansa ja rajapintansa nettiin ja extranetteihin? Ei mitenkään, vaan se jää tekemättä, vaikka tarvetta olisi.

Moderni yritys tai julkinen laitos on IT-keskeinen. Mitkä ovat taikasanat jolla IT:n turvallisuuden saa haltuun? ISO 27001-standardin (ilmainen näyte) oleellisin jaottelu on: tietoaineistot, operointi, pääsynvalvonta, järjestelmien kehitys, häiriöt, ja jatkuvuussuunnittelu. Suomen valtion tietoturvatasot-ohjeistus jakaa homman ensinnäkin kahtia organisaation ja IT-järjestelmän tietoturvallisuutta miettiessään. Muissa tietoturvastandardeissa (COBIT, SoGP) ja käytännöissä on omat jaottelunsa. Ja kaikki pitää liittää ITILin mukaisiin IT-hallinnan yleisiin tietoturvakäytäntöihin.

”No war plan survives contact with the enemy”, sanoi Helmuth von Moltke vanhempi, tosin saksaksi. Vihollispuolella on vastassa OWASP Top 10 –listan (uusin suomenkielinen) ja SANS-instituutin ongelmien, hallintakeinojen ja riskien listat. Eli siis kaikki ne tekniset hyökkäykset, joihin nämä ohjeet liittyvät. Lisäksi jokaiseen protokollaan, käyttöjärjestelmään ja sovellusohjelmaan liittyvät sille ominaiset, vähemmän yleiset potentiaaliset haavoittuvuudet. Ja muistetaan, että nämä muuttuvat jatkuvasti, jokaisen päivityksen myötä.

Lisäksi huijareilla ja rikollisila on runsaasti vanhoja ja uusia IT:stä riippumattomia kikkoja varastossaan, kuten esim. The Real Hustle –ohjelmasarja näytti, tai vaikkapa lista Top 10 ways to break into and out of anything.

Joudun työni puolesta antamaan suosituksia ja neuvomaan. Mutta tiedettä tämä ei ole, ja tuskin sitä kehtaa taiteeksikaan kutsua. Se on ihmistuntemukseen, kohdeorganisaation tuntemiseen ja tekniseen osaamiseen perustuvaa käytännön käsityötä, kädet savessa hommaa. Mikään ei ole niin käytännöllinen kuin hyvä teoria, mutta hyvää tietoturvan teoriaa jäämme odottomaan. Joka tapauksessa hommaa ei voi hoitaa pelkästään ylhäältä ja kokonaisuudesta käsin, eikä pelkästään alhaalta ja tekniikasta käsin. Moderni sodanjohto ei pysty tekemään mitään ilman hienoja aseteknologioita. Mutta hienot aseet rivisotilaiden käsissä ilman hyvää sodanjohtoa ovat parhaimmillaankin tuhlausta, ja huonoimmillaan suorastaan vaarallisia. Sama pätee IT:n tietoturvaan.

Hollywoodissa ja viihdebisneksessä on alan epävarmuutta, muutosherkkyyttä ja puoskarien huhuille alttiutta korostava sanonta: nobody knows nothing. Tämä on hyvä, nöyrä lähtokohta tietoturvallisuuteenkin.

keskiviikko 4. tammikuuta 2012

Vielä tietoturvapolitiikasta

Tietoturvapolitiikka on termi, joka on osa liturgiaa, jota hoemme. Antti Pirinen pohti aiemmin täällä, mitä politiikan pitäisi sisältää, ja miten se suhtautuu muuhun ohjeistukseen. Mielestäni tärkeintä on, että muodostuu ymmärrettävä ja hallittava kokonaisuus. Yrityksellä voi olla yksi työntekijän käsikirja, joka sisältää kaiken tietoturvaohjeistuksen ja dokumentaation ja muuta työohjeistusta. Olen hyväksynyt tällaisen ”politiikaksi” pienen tehtaan tietoturva-auditoinnissa. Tai firmalla voi olla kymmeniä tietoturvaan liittyviä dokumentteja, joista yksi on ”politiikka”.

Pieleen voi mennä monella tavalla. Yhdestä käsikirjasta tulisi ehkä liian pitkä ja sen hallittu ylläpito olisi hankalaa. Tai lukuisten dokumenttien suhde toisiinsa on epäselvä ja tietoa ei käytetä hyödyksi tai edes löydetä. Kenties ”Tietoturvapolitiikka” ei sisällä kuin tyhjiä korulauseita ja itsestäänselvyyksiä.

Oleellista on, että tietoturvan (erityisesti ei-triviaalit) periaatteet, tavoitteet, vastuut, toteutus, jalkauttaminen, motivointi, koulutus, valvonta ja kehittäminen on hahmoteltu yhdessä paikassa. Jotta tietoturvapolitiikka ei olisi sanahelinää, sen pitää ottaa kantaa kiistakysymyksiin, asioiden painoarvoihin ja satsauksiin. Ei-triviaalista periaatteesta esimerkki: firman strategiana voi olla antaa asiakkaille mahdollisimman hyvä road map tulevaisuudesta ja tulevista tuotteista, tai juuri päinvastoin pitää uutuudet mahdollisimman pitkään salaisina kilpailijoilta. Tällainen tietoturvallisuuteen vaikuttava strateginen päätös olisi hyvä määritellä jo politiikassa. Politiikka on niitä jännittäviä ja kenties kiistanalaisia arvovalintoja, joita järjestelmä tekee, niin eduskunnassa kuin yritysjohdossakin.

Politiikassa pitää olla viitteet. Kaikki ohjeet pitää pystyä löytämään politiikasta lähtien. Dokumentaation pitää muodostaa verkko tai puu, jonka pitää olla täydellinen ja navigoitavissa. Kaikki pitää olla löydettävissä politiikkadokumentista aloittamalla. Irrallisia kokonaisuuteen linkittämättömiä dokumentteja ei saa olla. Itse Tietoturvapolitiikan pitää olla se dokumentti, jonka kaikki lukevat ja oppivat. Siellä annetaan viitteet muihin ohjeisiin ja kerrotaan myös, kenen pitää niitä lukea ja ylläpitää. Siellä ei tarvitse olla sellaista, jota kaikkien ei tarvitse tietää. Toisaalta siellä voi olla pikkutarkkoja ja teknisiäkin yksityiskohtia, jos kaikkien pitää ne tietää.

Lopetetaan esimerkkiin:

Antin yksityisessä Macbookissa, jolla hän tekee myös firman töitä, on TCP-portti 22 kuuntelussa. Muistelet Tietoturvapolitiikkaa. Siellä kerrotaan, että firman työntekijät ja free lancerit liikkuvat ja vaihtuvat paljon ja käytössä on Bring Your Own Device eli omia koneita saa käyttää. Johtuen näistä kahdesta tietoisesta riskistä politiikka korostaa tietoliikenneturvallisuutta ja viittaa dokumenttiin Tietoliikenneturvallisuus. Kaivat sen esiin. Siellä sanotaan, että ainoa portti, joka saa olla läppäreissä kuuntelussa on TCP 22, ja se sallitaan vain, mikäli siellä pyörii hyväksytty SSH-konfiguraatio. Siellä on viite SSH-konfiguraatio -dokumenttiin, jossa kerrotaan että SSH-palvelimen pitää olla hyväksytty ja asiallisesti päivitetty ja konfiguraation turvallinen. Huomaat, että kaikki on muuten ok, mutta käytössä on Antin oma privaatti avainpari, kun SSH-ohjeen mukaan vain kirjautuminen firmassa luodulla virallisella Antin avainparilla sallitaan. Koska politiikka korosti tietoliikenneturvallisuutta, et voi sallia tätä poikkeamaa, vaan
vedät piuhan irti!