Olen kyllästynyt tietoturvahokemiin, joita näkee ja kuulee jatkuvasti mediassa ja erilaisissa tilaisuuksissa. Monessa yhteydessä tulee tunne, ettei hokeman takana ole mitään sisältöä. Sillä vain koetetaan luoda kuva kirjoittajan tai esiintyjän syvällisestä perehtyneisydestä tietoturvaan. Siksi olen varmaan itsekin usein lipsauttanut samaisia hokemia :-). Hokemat ovat toki käteviä muistisääntöjä, jos tiedostetaan sen todellinen merkitys.
Luettuani Pasi Heikuran mainion kirjan: "Näissä merkeissä - Suomen kansan latteimmat sanonnat", päätin kuvata tietoturvahokemia samassa hengessä. En toki yllä Heikuran tasolle, mutta koetetaan.
Näppärä
lausahdus, jolla voidaan puolustella sekä huonosti
toteutettuja
tietoturvaratkaisuja että
tekemättömiä
tietoturvaparannuksia. Lauseen tarkoituksenahan on osoittaa,
että
vika on kuitenkin muualla.
Lenkillä viitattaneen ketjun lenkkeihin, jolloin lauseen
perusteella tietoturvaa voisi testata kokonaisuutena
”vetämällä ketjua molemmista
päistä, jolloin
heikoin lenkki murtuu”. Näinhän ei
tosielämässä ole, vaan tietoturvaa voi
testata vain
lenkki kerrallaan, jolloin heikoimman lenkin
löytäminen
voikin olla hankalaa.
Mikäli lenkki viittaakin makkaraan tai kuntoiluun, niin lauseen merkitys hämärtyy huomattavasti.
Edellisen lauseen täsmennys, jolla voidaan todeta, että kaikki ponnistelu on turhaa – ihmiset kuitenkin tunaroivat tietoturva-asiantuntijoiden suunnittelemat täydelliset ratkaisut. Käyttäjät eivät kykene edes sellaiseen perusasiaan kuin muodostamaan ja muistamaan hyviä salasanoja tyyliin "jhs8KJ+Åsk8(7&ghHt%5KSK9z".
Yhdistämällä lauseet ”tietoturva on yhtä vahva kuin heikoin lenkki” ja ”ihminen on tietoturvan heikoin lenkki”, saadaan lopullinen totuus: ”tietoturva on yhtä vahva kuin ihminen”. Toivotaan, että yhteisin ponnisteluin saamme tulevaisuudessa tietoturvan eläimellisen vahvaksi tai tietokoneet pärjäävät ilman ihmisten mukana sähläämistä.
Suomi tietoyhteiskunnaksi! Laajakaista joka kotiin! HST-kortti jokaiseen lompakkoon! Hienoja visioita, maailman parasta osaamista. Kunhan vielä kotikoneisiin saadaan pakollisiksi virustorjunta, palomuuri, roskapostin torjunta, vakoiluohjelmien tunnistaja, toimikortinlukija ja kortinlukijaohjelmisto, niin kylläpä muut maat kadehtivat infrastruktuuriamme. Samalla tietoturvatuotteita kauppaavien yritysten menestys tuo hyvinvointia koko yhteiskunnalle. Lauseella "kotitietokoneet ovat suurin uhka tietoturvalle" saadaan näppärästi ruotuun epäisänmaalliset vikisijät, jotka kehtaavat väittää, ettei oireen poistaminen poista itse sairautta.
Ilmainen vinkki: verotuksen kotitalousvähennyksen piiriin on ehdottomasti saatava PC ylläpito. Olisipa näppärää, jos kotisiivooja samalla reissulla "siivoaisi" koneen pöpöistä ja asentaisi viikon turvapäivitykset. Monet yrityksethän ovat "kannustaneet" työntekijöitään yrittäjiksi, joten tässäpä oiva mahdollisuus.
Miksei muuten maanteille sovelleta samaa taktiikkaa kuin tiedon valtatielle? Nopeusrajoitukset pois ja markkinoidaan auton omistajille nelivetoa, turvakaaria ja nelipisteturvavöitä.
Valtiohallinnon tietoturvakäsitteistön mukaan "tietoturva" tarkoittaa tavoitetilaa, jossa tiedot ja järjestelmät ovat asianmukaisesti suojattu. Sivistyssanakirjan mukaan "prosessi" tarkoittaa valmistusta tms., joka koostuu useista vaiheista ja joka usein on jatkuvaa. Näin lausahdus "tietoturva on prosessi" viittaa loputtomaan työrupeamaan, jossa haluttuun tavoitetilaan ei koskaan päästä. Erityisesti tietoturvajohdon on hyvä viljellä tätä sanontaa turvatakseen työnsä. Todennäköisesti yritysjohto ei ymmärrä sitoutuvansa loputtomaan projektiin, joka ei koskaan pääse maaliinsa.
Lause sopii hyvin myös yksittäisten tietoturvaratkaisujen epäonnistumisten peittelyyn. Ratkaisuhan oli tietysti mainio, mutta "prosessi" oli jäänyt kesken. Usein vieläpä ihmisiltä, jotka eivät tienneet olevansa osa "prosessia". Usein loputonta työsarkaa korostetaan toteamalla, että "tietoturva on jatkuva prosessi".
Erityishaasteita halajaville perustetaan "projekti", jonka tavoitteena on integroida tietoturva (joka on siis "prosessi") johonkin muuhun "prosessiin", kuten "tuotekehitysprosessiin".
Eipä ei - hyvä pitää mielessä muistuttamassa, että täydellisyyttä ei kannata tavoitella. 100% tietoturvaa on turha tavoitella 99% tietoturvaprojekteista, joissa ennemminkin pätee 20/80 sääntö. Palvelujamme vastaan hyökkäävät ovat kuitenkin ennenkuulumattoman taitavia hakkereita, jotka hyödyntävät aiemmin tuntemattomia tietoturva-aukkoja ja sitä paitsi palvelumme toteutti ulkopuolinen ohjelmistotalo, tietoturvan varmisti tietoturvakonsultti ja palvelut on vieläpä ulkoistettu. Syyllisiä kyllä löytyy, jos aletaan mahdottomia vaatimaan.
Linnakemallia on käytetty iät ja ajat. Tässäkin motiivina on se, että tietoturvaratkaisut kuitenkin vuotavat ja on syytä käyttää sekä vyötä että henkseleitä. Linnakemalli on hyvä, jos oletetaan tietotekniikassa elettävän keskiaikaa ja sen aikuiset puolustusmekanismit ovat riittävät. Roskapostiritarit suojelevat meitä hakkeri Attilaa vastaan? Taitaa kuitenkin olla niin, että hakkereilla on jo täsmäohjukset käytössään, joten puolustuksessakin tarvitaan tutkia, hälytysjärjestelmiä ja ilmatorjuntaa.
Näin ainakin tuotetoimittajan mielestä, jos heidän ratkaisunsa on tarkoitettu sisäverkon suojaamiseen. Tilastot toki tukevat tätä väitettä. Tietysti on kovin ikävää, jos yrityksen suurin ongelma on omat työntekijät. Tietoturvaa YT-neuvotteluilla?
Näin ainakin tuotetoimittajan mielestä, jos heidän ratkaisunsa on tarkoitettu Internetistä tapahtuvien hyökkäysten torjumiseen. Tilastot toki tukevat tätäkin väitettä. There are lies, damn lies and statistics.
Tietoturvabudjettia
pitäisi
kasvattaa ja leikkikaluja saada lisää - harmi vain,
että
nykyisetkin
suojaukset näyttävät
riittävän. Hyvä tapa
saada oikeutusta
tietoturvatyölle on mainita resurssien ja budjetin olevan niin
heikossa
jamassa, ettei edes tiedetä millaisia
ilkiöitä,
nilkkaanpotkijoita ja
rikollisia tietojärjestelmissämme majailee. Onneksi
eivät näytä tekevän
oikeaa vahinkoa...
Käytetään
myös englanninkielisistä
termeistä koostettua lyhennettä, CIA, joka hauskasti
samalla
viittaa tiedusteluorganisaatioon. Kaikkien
tietoturva-asiantuntijoiden on syytä opetella
tämä
litania voidakseen nopeasti vastata kysymykseen: "mitä on
tietoturva". Jatkokysymykset: "mitä noilla termeillä
tarkoitetaan", "miten ne vaikuttavat jokapäiväiseen
toimintaan", "mitä ne kattavat", jne. ovatkin sitten
vaikeampia.
Kannattaa siis hokea vain tuota litaniaa eikä erehtyä
aukaisemaan termejä ja miettiä
kiistämättömyyttä, luotettavuutta,
oikeellisuutta,
yksityisyyden suojaa, anonymiteettiä,
jäljitettävyyttä,... Mikäli haluaa
kyselijästä äkkiä eroon, kannattaa
hokea
englanninkielistä lyhennettä: CIA, CIA, CIA.
Vinkkinä
todettakoon, että vastaava suomenkielinen lyhennys ei ole KRP
eikä SUPO.
Palomuurilla
on siis
estetty pääsy
sovellukseen? Enpä usko. Palomuuri taitaa ennemminkin suojata
*muita* sovelluksia teidän sovelluksenne ongelmilta.
SSL-salaus?
Hienoa - mahdollistatte siis hyökkäyksen
sovellustanne
vastaan käyttäen salattua yhteyttä? Onko
"client-proxy"
tuttu termi tai "man-in-the-middle"? Palomuuri + SSL mainostus viittaa
kovasti siihen, että sovellussuunnittelussa ei ole tietoturva
huomioitu lainkaan ja käyttöönottovaiheessa
on
täytynyt keksiä jotain. Suosittelen monimutkaistamaan
termejä hiukan - kuullostaa luotettavammalta ja pelottaa
hakkerit:-) "Suojauksemme perustuu stateful inspection fw-tekniikkaan
ja 128 bit SSL-cryptoon".
Varma
tapa osoittaa
olevansa tietoturvaguru on parjata
Windowsia ja vihjata olevansa Linux-käyttäjä
jo
1990-luvun loppupuolelta lähtien. Mainframe- ja "vanhan
polven"
BSD-, SYSV-, HP-UX, AIX- ja Solaris-osaajatkin voivat vain
ällistellä Linux-käyttäjien
gurumaisuutta. Vaatii
todellista näkemystä huomata, että parin
vuosikymmenen
takaisten vaatimusten perusteella tehty Windows ei
pärjääkään nykymaailmassa.
Miksi ihmeessä
niitä miljoonia koodirivejä ei kirjoiteta uusiksi -
kuka
sitä yhteensopivuutta vanhoihin järjestelmiin kaipaa
-
kotikäyttäjät eivät ainakaan.
Lopullinen niitti oli
tietysti Microsoftin tietoturvaparannusponnistus - jos kaikkea koodia
ei saada välittömästi uudelleenkirjoitettua
turvallisemmaksi, niin kyseessä täytyy olla vain
markkinointikikka. Olisikohan Gatesin aika väistyä?
Avun
löytäminen ainakin olisi helppoa -
riittää lukea
viimeisin tietoviikkosanomat ja poimia
ärhäkkäin
Windowsin arvostelija
konsultiksi.