Tulostusversio

4/2012

Tietoturva: ”Haavoittuvuustestaus on kaikkien velvollisuus”

Teksti: Antti J. Lagus

Ennakointi tulee huomattavasti halvemmaksi kuin vahinkojen korjaaminen, muistuttaa USA:n presidenttien tietoturvaneuvonantaja Howard A Schmidt.

Kymmenen vuotta sitten tuskin yksikään pääministeri olisi edes tiennyt, mitä ovat niin sanotut bottiverkot. Nyt ministeritkin ovat kiinnostuneita tietoturvasta, sillä se vaikuttaa nyky-yhteiskunnan toimintakykyyn; siihen, että saamme sähköä ja rahaa seinästä sekä vettä hanasta.

Tietoturvauhkiin voi ja pitää varautua jo etukäteen. Tietoturva-asiantuntija Howard A. Schmidtin mielestä haavoittuvuustestaus on kaikkien velvollisuus. Hän muistuttaa, että on huomattavasti halvempaa toimia etukäteen kuin koettaa minimoida vahinkoja jälkikäteen.

Kybertsaari-lisänimen saanut Schmidt on Microsoftin ja eBayn entinen tietoturvajohtaja, ja hän on toiminut USA:n presidenttien Bill Clintonin, George W. Bushin ja Barack Obaman tietoturvaneuvonantajana. Hän jättäytyi pois Valkoisen talon tietoturvaneuvonantajan tehtävästä toukokuussa 2012. Schmidt osallistui lokakuussa Viestintäviraston ja Huoltovarmuuskeskuksen Helsingissä järjestämään seminaariin.

Suomeen Schmidt tutustui ensimmäistä kertaa vuoden 2001 terrori-iskun jälkeen, kun Oulun yliopistossa – josta kukaan ei ollut kuullutkaan – oli löydetty merkittävä tietoverkkojen toimintaan vaikuttanut haavoittuvuus. Sittemmin Schmidt on myös ollut oululaisen tietoturvayrityksen Codenomiconin hallituksessa.

Noudata hyviä käytäntöjä

”Yli neljä viidennestä tietoturvasta on kiinni hyvästä hygieniasta”, Schmidt huomauttaa. Tällä hän tarkoittaa tietoturvakäytäntöjä ja niiden noudattamista.

Jäljelle jäävän viidenneksen selättämiseen tarvitaan muun muassa CERT-FI:n kaltaisia tietoturvaviranomaisia ja eri tahojen yhteistyötä.

Schmidtin mukaan tietoturva-asioissa on aina tehty yhteistyötä: Jo silloin, kun Sunin ja Oraclen sekä Microsoftin keskinäinen julkinen esiintyminen muistutti amerikkalaistyylistä televisiopainia, kulissien takana yhtiöt toimivat yhdessä tietoturva-asioissa.

Yhteistyön tarpeellisuus on korostunut kaiken aikaa, kun rikollisilla on käytössään entistä tehokkaampia välineitä. Esimerkiksi haittaohjelmia voi ostaa jopa verkkokaupasta. Toisaalta Schmidt näkee, että niin sanotuissa edistyneissä uhissa on kyse vanhoista asioista. Vain käsitteet ovat uusia.

Salaa tieto varkaalle kelvottomaksi

”Vanhalla hakkeri 1.01 -kaudella pyrittiin pääsemään vieraaseen verkkoon ja jättämään sinne takaovi. Nyt käytetään kehittyneitä liitetiedostoja, palvelunestohyökkäyksiä ja muita, mutta tavoitteena on yhä päästä käsiksi tietoon tai rahoihin”, Schmidt sanoo.

Jos hyökkääjä pääsee varotoimista huolimatta sisään, pitää varmistaa, että se tieto, johon hän pääsee käsiksi, on hänelle käyttökelvotonta. Tähän päästään vahvalla salauksella, joka tarkoittaa käytännössä, ettei salausta pystytä purkamaan edes tehokkaimmilla tietokoneilla. Ja viiden tai kymmenen vuoden kuluttua, kun tietokonekapasiteetin jatkuva tehostuminen tämän ehkä mahdollistaisi, varastetulla tiedolla ei enää todennäköisesti ole sen alkuperäistä arvoa.

Lue myös

Tietoturva: Mistä sähköpostille toimiva salaus? »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.