Tulostusversio

2/2012

Työelämä: Onko töissäsi USB:n mentävä tietoturva-aukko?

Teksti: Marjo Rautvuori

Pieni USB-muistitikku jättää ison aukon organisaation tietoturvaan vain siksi, että siihen suhtaudutaan turhan huolettomasti.

Illalla taksin takapenkiltä löytynyt muistitikku kulkee Matin matkassa työpaikalle. Kiireisen päivän jälkeen Matti päättää jatkaa raportin työstämistä kotona. Kun laatikosta ei löydy muistitikkua, Matti muistaa löydöksensä, kaivaa tikun laukustaan ja työntää sen tietokoneen USB-porttiin. Ruudulle ilmestyy lista muistitikun sisällöstä. Selviää heti, että Matin käsiin on tullut yritystietoa, joka vuorenvarmasti ei ole tarkoitettu kuin tallentajan käyttöön.

Tapaus ei ole lainkaan harvinainen. Muistitikkuvalmistaja Kingstonin ja tutkimuslaitos Ponemon Instituten tutkimuksesta selviää, että useampi kuin joka toinen työntekijä on hävittänyt luottamuksellista yritystietoa kadonneen muistitikun mukana kahden viimeisen vuoden aikana.

Matti on rehellinen mies ja pitää mielenkiintoiset tiedot ominaan. Hänelle itselleen olisi kuitenkin voinut käydä huonosti; tikku olisi voinut sisältää haittaohjelman ja päästä tekemään tuhojaan hänen koneelleen.

Välinpitämättömyys käy kalliiksi

Tapauksessa toimivat selkeästi väärin niin tikulle tiedot tallentanut kuin Mattikin.

"Tietoturva-asioissa unohtuu liian usein tavallinen järjen käyttö. Mitä tahansa ei voi tallentaa minne tahansa. Matin kohdalla taas on periaatteessa kyse samasta asiasta kuin löytäisi näkkileivän palasen. Harva sitä pistää suoraan suuhunsa, sillä se saattaa sisältää jonkun pöpön", vertaa Microsoftin tietoturva-asiantuntija Kimmo Bergius.

Järjen käytön unohtaminen tulee yrityksille kalliiksi. Kingston arvioi, että tietojen häviäminen USB-laitteiden mukana tuottaa yrityksen liiketoiminnalle keskimäärin 5,2 miljoonan euron kustannukset. Lähes kaksi kolmasosaa eurooppalaisista yrityksistä on kärsinyt tällaisen menetyksen.

"Yrityksillä on huolestuttavan huonoja tapoja USB-turvallisuudessa. Tallennusmedioiden mukana hävinneen henkilökohtaisen ja yritystiedon määrä on lisäksi selvässä kasvussa, etenkin uusien mobiililaitteiden ja mukana kulkevien tallennusmedioiden yleistyessä", toteaa Kingstonin Suomen liiketoimintojen johtaja Mikko Maanoja.

Koska USB-tikkuja käytetään tallentamisen lisäksi tiedonsiirtoon koneelta toiselle, ne altistuvat haittaohjelmille ja viruksille. Ohjelmilla voidaan varastaa henkilötietoja ja luottamuksellisia asiakirjoja ja muistitikun mukana kulkeva haittaohjelma voi tartuttaa yrityksen järjestelmän tavalla, joka mahdollistaa esimerkiksi tietomurron. Myös suurta huomiota herättänyt Stuxnet-mato levisi juuri tikkujen kautta.

Tikut mukaan tietoturvapolitiikkaan

Koska USB-tikkuja käytetään valtavasti, tietoturvaongelma on otettava tosissaan. Asiantuntijat patistavat organisaatioita tekemään työntekijöille selväksi, miten muistitikkuja käytetään turvallisesti.

Ensinnäkin organisaatio tarvitsee tietoturvapolitiikan, johon sisältyy myös USB-laitteita koskeva osa. Siinä määritellään, millaisen tiedon tallentamiseen tarvitaan salaus ja miten erilaisia aineistoja on käsiteltävä. Työntekijöille on myös kerrottava, millaisia muistilaitteita saa käyttää ja millaisia keinoja muistitikun suojaamiseen on tarjolla.

Tärkeintä on kuitenkin tietoturvapolitiikan jalkauttaminen. Lisäksi asiat on tehtävä käyttäjälle mahdollisimman helpoksi.

”Tekniikka ei ratkaise tietoturvaa, vaan ainoastaan tukee ihmisen toimintaa. Vaikka esimerkiksi luottamuksellisen tiedon luvattoman kopioinnin havaitsemiseen ja estämiseen on jo tekniikoita, tunnistamiseen liittyy selkeitä ongelmia. Kun ihmisenkin on monesti vaikea tunnistaa, mikä tieto on luottamuksellista, on tunnistamistehtävä koneelle aika mahdoton”, Kimmo Bergius muistuttaa.

Luottamukselliset tiedot pitää salata

Julkisuudessa esillä olleet tapaukset kadonneista tikuista paljastuneista salaisuuksista eivät ole säikäyttäneet kaikkia, sillä työpaikoilla tikkujen suojaamisessa on yhä puutteita. Kingstonin tutkimuksen mukaan 39 prosenttia yrityksistä ei tarjoa työntekijöilleen varmistettuja muistitikkuja. Niissäkin yrityksissä, joissa niitä tarjotaan, peräti 60 prosenttia työntekijöistä myöntää käyttävänsä silti myös omia suojaamattomia tikkujaan yritystiedon siirtämiseen.

Jotta luottamuksellista tietoa ei joudu inhimillisen erehdyksen tai varkauden takia vääriin käsiin, tiedon salaus on välttämätöntä.

Mikko Maanoja suosittelee yrityksiä käyttämään 256-bittisellä AES-salauksella (Advanced Encryption Standard) suojattuja USB-tikkuja. 256-bittinen AES-salausalgoritmi on tällä hetkellä vahvin käytettävissä oleva salausmuoto.

Niinkin on käynyt, että upouusi tikku on sisältänyt valmiiksi jonkun haittaohjelman. Työpaikoilla tulisikin ehdottomasti käyttää laatutarkastettuja tikkuja, jotka täyttävät yrityskäyttöön suunnitellut turvallisuusvaatimukset.

Etäsuojaustekniikat yleistyvät

Mikko Maanoja uskoo, että tulevaisuudessa useimmissa USB-tikuissa on jonkinlainen salaus. Yksittäisten laitteiden suojaamisen lisäksi edistystä tapahtuu keskitetyissä suojaustekniikoissa:

”Yrityksissä lisääntyvät keskitetysti hallitut muistilaitteet, joiden sisällön pystyy esimerkiksi tuhoamaan ja pelastamaan etänä. Näitä tekniikoita hyödynnetään jo USB-muistilaitteissa”, Maanoja kertoo.

---

USB (Universal Serial Bus) on yleisin käytettävä liitäntä, jolla voi kytkeä oheislaitteita tietokoneeseen. Yleisimpiä USB-oheislaitteita ovat muistitikku, hiiri, näppäimistö ja tulostin.

Ulkoisia muistilaitteita on muitakin, kuten erikokoiset kameroiden SD-muistikortit, joiden lukemiseen tietokoneessa tarvitaan erillinen muistikorttipaikka. 

Kaikkia muistilaitteita on syytä käsitellä samojen sääntöjen mukaan, eli niihin tallennettavat luottamukselliset tiedot pitää salata ja tietokoneeseen kannattaa kytkeä vain sellaisia laitteita, joiden alkuperän tietää.

Lue myös

Työelämä: Suuryritykset tietoturvaloukkausten kohteina »
Työelämä: USB-tikuissa varottava automaattista toistoa »
Työelämä: Turvatikku vai ei tikkuja lainkaan? »
Työelämä: Toisen kirjettä ei saa avata luvatta »
Työelämä: Tarvitaanko Lex Nokiaa? »
Työelämä: Työtoverin sähköpostiin ei kosketa »
Henkilötiedot: Saako pomo nähdä sairauslomatodistuksen? »
Laatua tietojärjestelmiin: Tietotilinpäätös tueksi »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.