Tulostusversio

1/2010

Gallup: Tietoturvaan ei helppoja ratkaisuja

Tietosuoja-lehti kysyi suomalaisilta tietoturvavaikuttajilta, mihin tietoturvaan liittyviin seikkoihin pitäisi kiinnittää huomiota alkaneella vuosikymmenellä. Vastausten perusteella uusia tietoturvariskejä voi piillä etenkin internetin yhteisöpalveluissa. Lisääntyneestä yhteistyöstä huolimatta verkkorikollisia ei saada kiinni tarpeeksi tehokkaasti. Katse kääntyykin käyttäjiin, joilta vaaditaan entistäkin enemmän tietoturvatietoisuutta ja -osaamista. 

Varautumispäällikkö Kari Wirman, Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry:

Verkostotalouden yksi kulmakivi on tiedon jakaminen, sillä ilman avointa vuorovaikutusta uudet mahdollisuudet jäävät käyttämättä ja hyödyntämättä.

Tiedon turvaamisesta on aina huolehdittava riippumatta siitä, kuka tietoa käsittelee ja missä. Jokaisella tiedolla on omistaja tai kohde, jonka oikeuksista on kaikissa tilanteissa pidettävä huolta.

Miten tiedon turvaamisesta voidaan varmistua avoimeen tiedon jakamiseen perustuvissa toimintamalleissa? Tarvitaan uusia ajattelu- ja toimintamalleja, joiden avulla omistajan oikeudet ja tekniset toteutukset saadaan kaikkialla kohtaamaan toisensa. Perinteisten vanhojen toimintatapojen rinnalle on luotava ennennäkemättömiä ja -kokemattomia rutiineja!

---

Ylitarkastaja Sari Kajantie, Keskusrikospoliisi:

Rikostorjunnan näkökulmasta keskeisin ongelma on se, että verkon tietorikosten riski-hyötysuhde on aivan liian houkutteleva.

Tietoturva-alan "parhaisiin käytäntöihin" on aina kuulunut riskien huolellinen piilottaminen bittisavuverhon taakse. Tällöin moni fiksu keino vähentää riskien toteutumisen vaikutuksia on jäänyt tunnistamatta. 

Tietoturvaongelmien suuri määrä on ohjelmistoliiketoiminnan suunnitteluvalintojen luonnollinen seuraus. Vika ei ole ohjelmistovalmistajien sinänsä, vaan kyse on systeemisestä ongelmasta. Ohjelmistovalmistajilla ei ole ollut riittävää kannustinta panostaa kalliiseen laadunvalvontaprosessiin, koska kuluttaja ei ole vaatinut avoimeen verkkoon soveltuvaa laatua. Kuluttaja ei ole osannut vaatia, koska riskit on mystifioitu.

Alkaneella vuosikymmenellä teknologisen ympäristön ei enää pitäisi herättää kummastusta. Niinpä tietoturvatyöhön tarvitaan paljon nykyistä enemmän tervettä järkeä ja tyhmiä (viisaita!) kysymyksiä.

Aivan olennaista muutosta tosin tuskin tulee ennen kuin tietoturvaongelmista aiheutuvat rikosvahingot todella ylittävät kipukynnyksen.

---

Verkot ja turvallisuus -tulosalueen johtaja Timo Lehtimäki, Viestintävirasto:

Tulevaisuudessakin mustahatut kiinnittävät huomionsa joko sinne, missä on massoja tai sitten hyvin tarkkaan yksilöityihin kohteisiin. Massoja tavoitellaan yhä enemmän erilaisissa sosiaalisen median muodoissa. Niissä nähdyt huijaukset ym. ovat vasta alkusoittoa.

Pilvipalvelut on myös otettava suurennuslasin alle. Toimintoja suoritetaan maantieteellisistä rajoista riippumatta ja mahdollisesti hyvinkin suurissa volyymeissä. Ottamatta kantaa pilvipalvelujen toteutuksen tietoturvaan on silti ilmiselvää, että tietojen siirtyessä paikasta toiseen on erityisesti kiinnitettävä huomioita niiden eheyteen.

Entistä suurempi mielenkiinto kohdistuu kansainväliseen yhteistyöhön. Esimerkiksi pilvipalveluissa voi tietoturvaloukkauksen selvittäminen vaatia saumatonta kansainvälistä yhteistyötä. Sitä täytyy tehdä sekä teknisellä että juridisella puolella. Poliisiyhteistyö on keskeistä, jotta rikolliset saadaan vastuuseen teoistaan.

Nykyisin tietoturvaongelmat liian usein lakaistaan maton alle. Vaikenemisen sijaan toivoisin avoimempaa lähestymistapaa. Tietoturvaloukkausten käsittelyn tulisi olla normaaliprosessi, jonka seurauksena uhri ei joudu häpeäpaaluun.

----

Johtava tietoturvakonsultti Jonna Särs, Nixu:

Muun muassa sosiaalisten medioiden laajamittaisen käytön seurauksena kohdistettujen hyökkäysten toteuttaminen tulee entistä helpommaksi ja halvemmaksi. Samaan aikaan hyökkääjien tekninen taito kehittyy.

Tämä ja pilvipalveluiden lisääntyvä käyttö vähentävät selvästi "perinteisistä" suojausmekanismeistä kuten virustorjunnasta ja palomuurista saatavaa hyötyä. Niiden rinnalle täytyy tuoda muita tai uusia ratkaisuja.

----

Tietoturvapäällikkö Antti Järvinen, Kesko:

Huomiota pitäisi kiinnittää siihen, miten tietoturva tulee rakentaa tai järjestää, jotta voimme ostaa tietojenkäsittelykapasiteettia samaan tapaan kuin nyt sähköä.

----

Yritysturvallisuusjohtaja Juha Härkönen, Fortum:

Käyttäjien tietoisuutta tietoturva-asioista tulisi lisätä, jotta he osaavat kiinnittää omaan käytökseensä huomiota ja siten minimoida riskejä.

----

Yritysturvallisuustoimiston päällikkö Kalevi Tiihonen, Elinkeinoelämän keskusliitto EK:

Uusien internet-sovellusten määrä kasvaa nopeasti. Niiden tietoturvaratkaisut eivät yleensä joko ole valmiita, tai kaikkia ongelmia ei havaita. Esimerkiksi yhteisöpalvelujen tietoturvaongelmat ovat jääneet pitkälti taka-alalle. Tämä kehitys tulee valitettavasti vieläkin jatkumaan.

Tätä ennakoivat jo aikanaan mobiiliverkot ja niiden käyttölaitteiden tietoturvakysymykset. Vieläkin mobiililiikennöinnin kehityksen "jarruna" ovat pelot edelleen ratkaisemattomista tietoturvaongelmista.

Näistä syistä operaattoreiden sekä ohjelmisto- ja laitevalmistajien tietoturvaosaaminen ja -vastuut lisääntyvät. Uusia nettiasiakkaille tarkoitettuja tehokkaita tietoturvapaketteja tulee lisää. Myös suuret laite- ja sovellusvalmistajat tuottavat nyt enemmän uusia tuotteita ja ominaisuuksia omien järjestelmiensä tietoturvallisuuden parantamiseksi. Ne eivät silti tule korvaamaan monipuolisia tietoturvatuotteita.

Toimijoiden − esimerkiksi hallinnon ja yritysten − tietoturvaosaamista tullaan merkittävällä tavalla lisäämään satsaamalla tietoturvallisuuteen ja tietojärjestelmien toimintaan liittyvään osaamiseen. Tämä tulee näkymään läpi suomalaisen koulutusjärjestelmän.

Kovan tason tietoturvaosaamisen "krooninen" puute johtaa yhä siihen, että tietoturvaa tullaan edelleen ulkoistamaan mutta se koskee lähinnä teknistä tietoturvaa. Muu eli yleinen tietoturvallisuus sen sijaan tulee saamaan entistä merkittävämmän roolin niin yrityksissä kuin julkishallinnossakin. Tietoturvallisuuteen on odotettavissa myös lisää normiohjausta ja uutta lainsäädäntöä.

Uudet ja monimutkaisemmat tietoturvahyökkäykset lisäävät haavoittuvuutta. Siksi käyttäjien ja verkostoituneiden toimijoiden tietoisuutta tietoturvariskeistä on lisättävä merkittävästi.

Tieto- ja -verkkorikollisuus tulevat lisääntymään yksinkertaisesti jo siksi, että valtavien tietomassojen äärelle pääseminen ja luvaton hyödyntäminen lisääntyvät kaiken aikaa. Tässä kilpajuoksussa on oltava kohtuullisesti mukana, jos aikoo säästää yksityisyydensuojan ja yrityssalaisuuksiin sisältyviä arvoja hallitsemattomalta ja luvattomalta käytöltä.

-----

Tutkimusjohtaja Mikko Hyppönen, F-Secure:

Tämän vuosikymmenen aikana tulemme hyvin luultavasti näkemään ensimmäiset maailmanlaajuiset kännykkähyökkäykset.

Tiivis yhteistyö turvayhtiöiden ja mobiiliyritysten välillä on toistaiseksi onnistunut pitämään haittaohjelmat kurissa. Ennemmin tai myöhemmin tulemme näkemään maailmanlaajuisia epidemioita.

----

Riskienhallintajohtaja Kari Oksanen, Nordea:

Suomen kaltaisessa harvaan asutussa ja monella taholla kovien kustannuspaineiden alla olevien toimijoiden maassa verkkoasioinnin kehittäminen on välttämätöntä.

Luottamus verkkoasiointiin on varsin hyvällä tasolla ja se on voitava säilyttää. Uhkista pitää puhua, mutta ei pelottelemalla, vaan antamalla asiallista valistusta verkossa käyttäytymiseen.

Valitettavasti verkossa näkyy varsin paljon kansalaisia kiusaavia haittailmiöitä. Esimerkiksi luottokorttitietojen kalastelua esiintyy aika ajoin. Verkkopankkitunnuksiakin on yritetty kalastella tai saada haltuun haittaohjelmien avulla.

Kansalaisia ajatellen näen tärkeäksi, että:

  • Huolehditaan henkilökohtaisten tietokoneiden käyttäjärjestelmien, selainten ja muiden aktiivikäytössä olevien ohjelmistojen päivityksistä
  • Hankitaan virussuojaukset ja palomuurit tunnetuilta toimittajilta ja huolehditaan niiden ajantasaisista päivityksistä. Verkosta ladattavat ilmaiset virustorjuntaohjelmat eivät löydä ongelmien aiheuttajia yhtä tehokkaasti.
  • Annetaan henkilökohtaisia tietoja verkossa vain tunnetuille toimijoille asioinnin sitä edellyttäessä ja käytetään aina tervettä harkintaa. Tietoja ei anneta yllättävän sähköpostiviestin tai sen sisältämän linkin perusteella.
  • Maksamisessa asioidaan vain tunnettujen toimijoiden kanssa. Maksu suoritetaan vasta, kun voidaan varmistua ostettavan tavaran tai palvelun saamisesta.
  • Käytetään pankkien tuttuja maksujärjestelmiä tai korttimaksua.

 

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.