Siirry pääsisältöön

Tietoturvan yliampuminen saattaa olla yhtä vaarallista, kuin sen hoitamatta jättäminen.




"Yhdysvaltojen standardiviranomainen NIST haluaa muuttaa sellaisia salasanojen käyttöä koskevia suosituksia, joista on enemmän haittaa kuin hyötyä." (MB). Eli jopa viranomaiset ovat alkaneet huomioida esimerkiksi sitä, että liian usein vaihdettavat salasanat voivat aiheuttaa pahemman tietoturvariskin kuin se, että salasanaa ei olisi koskaan vaihdettu. Salasanojen käytöstä ollaan luopumassa, ja esimerkiksi se, että salasanan sijasta voidaan käyttää Pin-koodia tekee tietokoneista suojatumpia. Mutta varsinaisesti biometriset tunnistimet kuten sormenjälkiin sekä kasvoihin ja verkkokalvoon perustuvat tunnistusmenetelmät parantavat tietojärjestelmien turvallisuutta. 

Kuitenkin meidän pitää muistaa se, että esimerkiksi tilanne jossa joku pääsee katsomaan suoraan ruutua pitkän matkan päästä on yhtä vaarallinen kuin jos hakkeri pääsee järjestelmään. Se että hakkeri jää kiinni ja häntä rangaistaan ei kuitenkaan poista sitä, että jos hän on myynyt tai julkaissut saamansa tiedot, niin vahinko on jo tapahtunut. Kun tiedot on siirretty nettiin, niin ne saattavat levitä hyvinkin laajalle alueelle. 

Tietoturva on tärkeä asia, mutta sen yliampuminen saattaa olla yhtä vaarallista kuin sen hoitamatta jättäminen. 

Tietoturvaa voidaan aina hoitaa kahdella tavalla. Yksi on oikea ja toinen väärä. Ja aina pitää huomioida se, että tietoturvaa koskevat ohjeet ovat merkityksettömiä, jos niitä ei kukaan viitsi noudattaa. Se että tietoturva ulkoistetaan ulkoisille toimijoille ei poista tiedon omistajan vastuuta tiedon suojelemiseksi. Eli vastuu tietoturvasta on viimekädessä niillä, jotka tiedon omistavat. Liioiteltu tietoturva on kuitenkin asia, joka saattaa vaarantaa hyvin paljon. 

Pahimmassa tilanteessa joku uskoo kieltojen ja käskytyksen voimaan. Se että joku asia on yhtiön koneilla kiellettyä ei tarkoita, että se on kiellettyä ihmisten omilla koneilla. Siis itse en tätäkään tekstiä kirjoita millään yhtiön koneella, vaan se on tehty ihan omalla koneellani. Se että uskomme johonkin asiaan sokeasti saattaa vaarantaa hyvin paljon. Me emme saa luottaa siihen, että ihmiset eivät koskaan tee mitään oma-aloitteisesti. Vaikka yhtiön koneilla olisi miten hyvät estot ja valvonta-ohjelmat, niin kuitenkaan se ei rajoita omien, itse ostettujen koneiden käyttöä millään tavalla. 

Kaikille käyttäjille ei kannata laittaa samoja oikeuksia. Esimerkiksi pitkään talossa olleilla voi olla laajemmat oikeudet järjestelmään kuin kesäapulaisilla. Samoin konsultteja ja muita talossa vierailevia varten kannattaa olla omat protokollansa. Eli konsultit voivat käyttää omia välineitään, ja sitten toimittaa raportit vaikka sähköpostiin. 

Kun puhutaan esimerkiksi zero trust menettelystä, niin tietenkin jokainen joka talossa käy tai joka talossa työskentelee voi pettää. Ihminen saattaa toimia tietämättään väärin. Hän ei ehkä muista salasanan kirjoitusasua, ja painaa salasanan näkyville kun joku seisoo selän takana. Hän saattaa pudottaa muistikirjan, istua sellaisessa kulmassa, että kadulta näkee suoraan ruudulle. Tai sitten hän saattaa tarkoituksella luovuttaa tietoja ulkopuolisille. Eli ihminen jolla on varsinkin huume- tai jotain muita vastaavia velkoja on erittäin altis kiristykselle. 

Ei ole väärin epäillä ihmisiä ja heidän vaikuttimiaan. Jos joku tekniikan tohtori hakee työpaikkaa, mutta ei pyydä siitä palkkaa. Niin silloin kannattaa miettiä, että millä tuo henkilö elää? Vakooja on aina sellainen, että hän vaikuttaa aluksi hyvinkin miellyttävältä sekä valitettavasti myös liian hyvältä ollakseen totta. Zero trust tarkoittaa sitä, että kukaan ei automaattisesti ole luotettava. Eikä yhtiön syvimpiä salaisuuksia uskota kenellekään, joka on ensimmäistä päivää talossa. 

Samoin meidän pitää muistaa se, että pettynyt työntekijä on aina riski. Jos ärsytämme työkaveria jatkuvasti, niin silloin altistamme hänet kaiken maailman houkuttelu-yrityksille. Eli avoimuus sekä läpinäkyvyys tarkoittaa sitä, että henkilö uskaltaa kertoa, jos häneltä on yksityiselämässä kyselty asioita, jotka liittyvät työpaikkaan sekä erityisesti kirjautumiskäytäntöihin. 

Ihmiset ovat vain ihmisiä. Me emme ole immuuneja houkutuksille. Jos ihminen erotetaan omasta mielestään ilman syytä, tai häntä kohdellaan huonosti, niin hän saattaa lopulta suutuspäissään kävellä paikalliseen moottoripyöräkerhoon ja myydä halussaan olevat salaisuudet noille MC-miehille. 

Mikäli salasanaa pitää jatkuvasti vaihtaa, niin silloin saattaa käydä niin, että salasanaa ei enää muista, ja sen takia salasana pitää kirjoittaa paperille. Se taas aiheuttaa ongelmia, koska tällainen paperi saattaa unohtua esimerkiksi näppäimistön alle. Ja silloin se saattaa päätyä hakkereiden käsiin. Nykyään kun kaikilla on kamerakännykkä, niin lappua ei tarvitse varastaa tai siihen ei tarvitse edes koskea, eli riittää että lapusta otetaan kuva. 

Kun sitten jossain julkisessa tilassa lähdetään muistelemaan salasanaa, niin silloin saattaa mieleen tulla painaa salasana näkyväksi. Tuolloin oikeassa paikassa oleva hakkeri saattaa jopa ottaa kuvan tuosta sanasta. Erittäin merkittävää olisi se, että julkisessa tapahtumassa käytetään esimerkiksi vanhaa salasanaa, ja sitten kun tapahtuma on loppu, niin salasanan voi vaihtaa. Toinen vaihtoehto olisi se, että messuille tai muihin tapahtumiin olisi oma erillinen salasana, jonka voi käydä asettamassa ennen kuin menee noihin tapahtumiin. 

Ja tilaisuuden jälkeen palataan taas normaaliin salasanaan. Samoin koneella voi olla kaksi selainta, joista toinen kirjataan jo valmiiksi sisään esimerkiksi google docsiin tai sitten yhtiöllä voi olla käytössään myös esimerkiksi messukäyttöä varten varattu oma virtuaalinen työtila, jossa olevat tiedot on eristetty muusta yhtiön toiminnasta. Se että messuja ja muuta "julkista käyttöä" varten avataan oma google tili ei liene kovin vaativa prosessi, ja tuolla tilillä ei tietenkään kannata pitää mitään kovin räjähdysherkkiä blogeja. Eli sinne kannattaa laittaa vain sellaisia asioita, joita voi esitellä esimerkiksi metrossa. 

https://www.mikrobitti.fi/uutiset/nyt-leikkasi-viranomaisellakin-haluaa-kieltaa-vuosikymmenia-arsyttaneen-salasanakaytannon/3c6fe523-a3e7-4321-973c-e6168c7cc6a2

Kuva: 

https://www.ct.co.uk/insights/data-security-and-its-importance/

Kommentit

Lähetä kommentti

Tämän blogin suosituimmat tekstit

Piia Ristikankareen 35 vuotta sitten tapahtunut katoaminen on taas kerran julkisuudessa

Kuva: Nanna Särkkä / Yle, Mapcreator, OpenStreetMap Piia Ristikankareen (s. 18.12.1972) katoaminen 35 vuotta sitten ei jätä ihmisiä koskaan rauhaan. Ja tässä haluan sanoa, että murha tai henkirikos ei koskaan vanhene. Eli Piia Ristikankareen katoamista tutkitaan murhana, ainakin kunnes hänen ruumiinsa löytyy, ja kuolinsyy sitten saadaan selville. 7. Lokakuuta 1988 tuo 15 vuotias tyttö lähti kotoaan, eikä häntä koskaan sen jälkeen olla tavattu. Ja juuri tämä katoaminen on asia, mikä tekee tästäkin tapauksesta merkillisen.  https://yle.fi/a/74-20089138 Veljen lausunnon mukaan Piia Ristikankare paukautti oven kiinni perässään, ja sen jälkeen tuota nuorta tyttöä ei koskaan tavattu, elävänä eikä kuolleena. Ja taas kerran YLEn kotisivuilla on ollut tarina siitä, kuinka joku kalastaja oli lokakuussa 1988 nähnyt oudon veneen, kuullut loiskahduksen sekä sitten myöhemmin epäillyt tämän veneen liittyvän Piia Ristikankareen katoamiseen. Veneessä oli kalastajan mukaan ilmeisesti kolmesta neljä ihmi
Lähetä kommentti
Lue lisää

Tieteen vääristelyn ja taiteellisen vapauden ero

Tieteen tehtävä on luoda tietoa, kun taas taiteen tehtävä on viihdyttää. Tieteen vääristely on taas se, että valheellista eli tekaistua tietoa esitetään totena. Eli romaanista tulee tieteen vääristelyä jos se esitetään totena.  Tieteen tehtävä ei ole olla moraalista, sen ei ole tarkoitus olla viihdyttävää eikä myöskään mitään poliittista agendaa tukevaa. Tieteen tehtävä on luoda tai tuoda ihmisten eteen oikeasti tutkittua tietoa, ja se miten sitten tuota tutkittua tietoa käytetään on tiedon käyttäjän asia. Miten tieto muuttuu tutkituksi sekä todistetuksi tiedoksi on oma prosessinsa, eli ensin esitetään hypoteesi, sitten asiaa tutkitaan, ja tuossa vaiheessa asiaa kutsutaan konjektuuriksi. Sen jälkeen kun asiaa on testattu lukuisin kokein, niin siitä tulee tutkittua ja varmennettua tietoa. Ja tämän jälkeen tutkittu ja varmennettu tieto saattaa kuitenkin muuttua siksi, että havaintovälineet sekä havaintojen analysoimiseen tarkoitetut välineet parantuvat.  Mutta sitten me välillä kohtaamme
Lähetä kommentti
Lue lisää

Sama tukikohta, mikä kestää ydiniskun ei välttämättä kestä drone-iskua.

Miksi Ukrainan isku Toropetsin asevarikolle onnistui, vaikka tuon varikon piti kestää ydinaseen avulla tehty hyökkäys? Syy tähän löytyy dronen erilaisista kyvyistä verrattuna ydinaseeseen. Drone kykenee esimerkiksi lentämään tukikohdan sisään, jos se vain pystyy välttämään törmäykset sekä esimerkiksi potkurien vaurioitumisen. Samoin jos dronen potkurit ovat kehyksen sisällä, niin se voi liikkua maata pitkin kuin auto, ja sen takia tuollainen drone voi liikkua esimerkiksi tukikodan ilmastointikanavaa pitkin kohteeseensa. Samoin drone voidaan laskea maahan, ja sitten kun tukikohdan ovia availlaan, niin se voi lentää sisään avatusta ovesta.  Joten tuollaisten kykyjen takia drone voi tuhota kohteita, joita ydinaseet eivät kykene neutraloimaan. FPV (First Person View) eli VR laitteiden avulla ohjattava drone on erittäin tarkka väline. Joten jos ohjaaja vain kykenee säilyttämän yhteyden droneen, niin hän voi lentää sen hyvinkin ahtaasta aukosta sisään.  Jos drone pääsee esimerkiksi ammusvara
Lähetä kommentti
Lue lisää