Tietoturva on kaikkien asia
Tänään vietetään World Password Daytä. Asia itsessään on tärkeä sillä erinäiset salasanojen vuodot ympäri maailmaa osoittavat että suurimmalla osalla ihmisistä ei ole harmainta aavistusta millaisia salasanoja käyttää tai mikä pahempaa, moni ei yksinkertaisesti välitä. Toisaalta, voidaanko asiasta välttämättä syyttää pelkästään loppukäyttäjiä?
Erinäisten ATK-suutareiden on helppo naureskella peruskäyttäjien “tietämättömyydelle”, mutta ollaanko IT-alalla onnistuttu välttämättä tuomaan asiat esiin selkeästi ymmärrettävällä tavalla? Koko IT-ala itsessään menee eteenpäin sellaista kyytiä, että vaikka työskentelee itse alalla niin kaikkea ei yksinkertaisesti ehdi oppia ja sisäistää. Samalla tietoturvan osalta maailma muuttuu todella nopeasti ja sitä myöten erilaiset ohjeet ja suositukset muuttuvat mukana. Täysin mahdotonta olettaa, että ihmiset joille tietokoneet ja älylaitteet ovat vain työväline pysyisivät kaikessa muutoksessa mukana. Helposti moni puhtaasti tekninen ratkaisu (kuten salasanamanagerit tai MFAt) voi tuntua vielä nykyäänkin monimutkaisilta monille.
Myös alan sisällä tietoturva-asiat tuppaavat aivan liian usein unohtumaan tai jäämään taka-alalle. Ongelmaa on sekä asenteissa, että organisaatioiden toimintakulttuureissa ja budjeteissa. Helposti tietoturva-asiat nähdään “jonkun muun” -ongelmana, vaikka tosiasiassa tietoturvan, varsinkin IT-alalla, pitäisi olla aina ja kaikkialla huomioitu. Tämä koskee niin palvelinympäristöjä, pilviympäristöjä, ohjelmistokehitystä, toimintatapoja ... aivan kaikkea. Asiaa ei lainkaan helpota, että monissa organisaatioissa tekeminen tuppaa siiloutumaan ja eri tahojen välillä ei välttämättä ole toimivia kommunikaatiokanavia. Lisäksi on selkeä virhe kuvitella, että tietoturva pystytään korjaamaan vain käyttämällä jotain teknistä ratkaisua X. Erilaisia tietoturvaan liittyviä tuotteita ja palveluita on joka lähtöön ja vaikka niiden myyntimies mitä vaan lupaisi, mikään ei yksinään ratkaise ongelmia. Myös kaikki suuret pilvipalveluntarjoajat tarjoavat laajan skaalan erilaisia työkaluja hallita pilviympäristöjen tietoturvaa, mutta nämäkään eivät ikinä yksinään ratkaise ongelmia ja nekin palvelut on osattava kytkeä päälle. Tämä ei tietenkään tarkoita, että erilaiset tekniset ratkaisut olisivat tarpeettomia tai hyödyttömiä, sellaisiin sokeasti luottaminen aiheuttaa vain virheellisen illuusion turvallisuudesta.
Tietoturva pitäisi aina nähdä kokonaisuuksien kautta. Mikään määrä turvallista koodia ei pelasta jos kaikki palvelimet on jätetty päivittämättä. Pilvipalvelut eivät muutu yksinään turvallisiksi sillä, että ne pyörivät pilvessä, ongelmien luonne vaan muuttuu. Mikään tekninen ratkaisu ei pelasta siltä, että käyttäjät joilla on pääsy ympäristöön käyttävät heikkoja salasanoja tai jos tunnuksia vuodetaan nettiin. Ja niin edespäin - jokaisen palvelun ja ympäristön turvallisuus on viime kädessä kaikkien osapuolien vastuulla, ei vain kenenkään yksittäisen henkilön, jolle on päätetty antaa tietoturvahattu päähän. Täydellistä tietoturvaa ei ole, eikä luultavasti tulekaan, mutta kyse onkin lähtökohtaisesti riskien hallinnasta ja hyväksymisestä.
Käyttäjien kannalta kyse on yleensä henkilökohtaisten tietojen suojaamisesta. Kaikille ei ehkä ole selvää se, että kuinka paljon pahaa voi saada aikaan sinänsä viattomasta vuodosta. Ehkä Vastaamon ikävä tapaus hieman herätti kansaa vakavuudellaan, mutta yllättävän moni tuntuu luottavan pääasiassa siihen että “eihän minulla ole mitään salattavaa”. Ikävä kyllä kaikilla on.
Jos nyt kuitenkin aloittaisit näistä
Muistutetaan vielä lopuksi päivän teeman mukaisista ohjeista miten turvata oma selustansa netissä ja miksei muuallakin. Käytä jokaisessa palvelussa eri salasanaa - niiden muistamista ja käyttöä helpottaa salasanamanagerin käyttö (esimerkiksi 1Password, KeepPass jne). Aina kun mahdollista, ota käyttöön MFA (multi-factor authentication), joka parantaa merkittävästi turvaa missä tahansa palvelussa. Käytännössä kaikki yleisimmin käytössä olevat web-palvelut jne. tarjoavat MFAlle jo mahdollisuuden. Näillä pääset jo alkuun!