Tietoturva? Tylsää?

Tietoturva saa jo sanana monen huokailemaan, että tylsääää… Noh, niin on myös hampaiden pesu, mutta silti siitä kannattaa huolehtia.

MFA, VPN, DLP, CFOP, SIEM, EDR, IAM, PIM, ATP, MDR. Onpa paljon termejä, lähes kaikki liittyvät jopa tietoturvaan, mutta ei mennä nyt niihin.

Tietoturvan parantamiseksi on kehitelty paljon erilaisia teknisiä ratkaisuja, mutta kuten kaikki varmasti jo tietävät, niin ylivoimaisesti tärkein tietoturvakomponentti on se käyttäjä itse. Nyt te tietysti kysytte, että jos tämän jo kaikki tietävät, niin miksi haluan siitä silti puhua. No, minäpä kerron teille tarinan hyvästä ystävästäni Irmelistä, joka asustelee laillani täällä kaakonkulmalla ja teki äskettäin ikimuistoisen matkan Helsinkiin. Tämä kertomus avaa hieman sitä, miksi asiasta on edelleen tärkeää puhua.

Matka voi alkaa

Kuva tehty tekoälyllä

Irmelin matka alkoi mukavasti junan Ekstra-luokassa. Hetken matkattuaan Irmeli päätti hakea kupposen kahvia vaunun toisesta päästä. Vaunu oli täynnä työmatkalaisia, jotka tekivät ahkerasti töitä läppäreillään ja ohi kulkiessaan Irmeli huomasi, että vain yhdellä oli läppärissään näytönsuojakalvo. Yhdellä, kun pitäisi olla ihan jokaisella. Vaunussa oli myös neljän hengen seurue, joka lähti heti alkumatkasta nauttimaan aamiaista ravintolavaunuun ja joista jokainen jätti läppärinsä pöydälle avoimena. Irmelin teki mieli käydä laittamassa edes kannet niistä kiinni, toki viestin jättäminen muistion muodossa houkutteli myös. Kilttinä ihmisenä Irmeli kuitenkin vastusti näitä mielitekoja.

Helsinkiin päästyään Irmeli suuntasi lääkärin vastaanotolle. Kesken vastaanoton lääkäri kutsuttiin käymään naapurihuoneessa ja lääkärihän lähti. Ja jätti Irmelin istumaan huoneeseen, kone lukitsematta, potilastietojärjestelmä auki ja toki myös toimikortti kortinlukijassa. Irmeli olisi voinut käydä katsomassa tuttujen ihmisten terveystietoja tai kirjoittaa itselleen tai vaikkapa naapurin Tommille jonkun kivan reseptin. Ei toki näin tehnyt, mutta olisi voinut tehdä.

Lounasta nauttiessaan Irmeli sai kuulla viereisen pöytäseurueen keskustelevan asiakkaan Entra ID -säädöistä. Asiakas mainittiin useaan kertaan nimeltä ja Irmelille tuli myös selväksi, millaisia CA-sääntöjä kyseiselle asiakkaalle oli juuri tehty. Tässä vaiheessa päivää Irmelin tietoturva-ahdistuspisteet olivat jo kohtalaisen korkealla ja päivä oli vasta puolessa…

”Ei mulla ole mitään salattavaa”

Iltapäivällä Irmelillä oli sovittu käynti autoliikkeessä uuden auton koeajoa varten. Automyyjä kävi tulostelemaan tarvittavia papereita ja koneelle kirjautuessaan tarkisti salasanansa, joka oli kirjoitettu ovelasti ei post-it -lapulle (ei kai kukaan enää sellaista nyt tee), vaan pöydällä olevan paperikalenterin takasivulle. Tässä vaiheessa Irmelin hyväkäytöksisyys alkoi jo hieman rakoilemaan eikä hän voinut olla kysymättä, että onko tuo yleinenkin käytäntö kyseisessä firmassa. Kuulemma on, koska ”ne it-osaston hemmot pakottaa vaihtamaan tän salasanan kolmen kuukauden välein ja tän pitää olla tosi kryptinen, ei näitä kukaan ulkoa muista”.

Irmeli oli sopinut illanvietosta ystävänsä Maijan kanssa. Lähestyessään Maijan työpaikkaa Irmeli huomasi kävelevänsä jalkakäytävällä juuri Maijan työpisteen ikkunan ohi. Maija istui selin ikkunaan ja naputteli ahkerasti näppäimistöä. Ikkunasta avautui suora näköyhteys Maijan näytölle. Päästyään Maijan luo ja vaihdettuaan kuulumiset Irmeli huomautti Maijalle, että tietoturvasyistä voisi olla hyvä idea joko laskea sälekaihtimet alas tai muuttaa työpisteen sijaintia, mutta sai vastaukseksi Maijalta, että ”ei mulla ole mitään salattavaa ja ketä nää mun taulukot edes kiinnostaa”.

Illanvieton jälkeen Irmeli kirjautui hotelliin ja oli juuri laskeutumassa rentouttavaan vaahtokylpyyn, kun sai puhelun ystävältään Antilta. Antti oli hieman hädissään, koska oli tajunnut langenneensa tietojenkalasteluun ja kysyi Irmeliltä, että onko se oikeasti niin vaarallista mitä sanotaan.  ”Tartteeko tässä oikeesti jollekin ilmotella, huomaako tuota kukaan välttämättä?” ja jatkoi, että ”Mihin mie ees ilmottaisin, it-tyypit ei oo töissä tähän aikaan ja pomolle jos kertoo, niin se vaan huutaa”.

Vaahtokylvyssä lojuessaan Irmeli yritti laskea, kuinka monta kertaa oli päivän aikana huokaissut syvään ja totesi, että liian monta.

Tarinan oppi

Mitä tästä Irmelin tarinasta nyt sitten opitaan? No ei ainakaan sitä, että ongelma on vain tietoturvattomissa työntekijöissä!  Opitaan vaikka se, että niille työntekijöille pitää antaa tietoturvakoulutusta. Ja sen tulee olla toistuvaa ja ajantasaista. Se, että uuden työntekijän tullessa töihin annetaan linkki, joka johtaa kolme vuotta vanhaan tietoturvaoppaaseen ja kehotetaan tutustumaan siihen itsenäisesti EI ole riittävä toimenpide. Kouluttakaa, opastakaa ja kertokaa, miksi niitä ohjeita annetaan. Koulutuksessa on hyvä myös kertoa paitsi se, miten mahdollisilta tietoturvaloukkauksilta vältytään, mutta myös se, mitä tehdään, jos kaikesta huolimatta vahinko tapahtuu.

Miettikää myös ne tekniset ratkaisut kuntoon! Niillä saadaan aikaan paljon. Jos kaipaatte vinkkejä mistä aloittaa tai perusasiat ovat jo kunnossa, mutta tuorein tieto puuttuu, tulkaa kuuntelemaan Netoxin Security Bootcampia. Kuulet päivän aikana mm. Entra ID:n uusista kujeista, VPN:n viimeisestä syksystä ja Copilotin monenkirjavista tietoturvajutuista. Tietenkin Zero Trustia unohtamatta!

Palataan vielä hetkeksi tuohon Irmelin ystävän Antin tilanteeseen, joka on valitettavan yleinen: mihin käyttäjä voi ilmoittaa ja miten, jos tajuaa tunnuksiensa joutuneen vääriin käsiin. Harmillisen harvassa yrityksessä tähän on luotu selkeä, työntekijöiden tiedossa oleva toimintatapa. Identiteettivarkauden tapahduttua aikaa ongelman rajoittamiseksi on muutenkin vähän, joten edes tämä olisi hyvä olla kunnossa.  Onneksi juuri voimaan astunut NIS2-direktiivi antaa tähän ja moneen moneen muuhunkin asiaan hieman lisäpotkua. NIS2 on myös yhtenä mielenkiintoisena aiheena Security Bootcampissa, joten tervetuloa mukaan!

Ja niin, meiltä saa toki myös niitä tietoturvakoulutuksia.

,