"Yhdysvaltojen standardiviranomainen NIST haluaa muuttaa sellaisia salasanojen käyttöä koskevia suosituksia, joista on enemmän haittaa kuin hyötyä." (MB). Eli jopa viranomaiset ovat alkaneet huomioida esimerkiksi sitä, että liian usein vaihdettavat salasanat voivat aiheuttaa pahemman tietoturvariskin kuin se, että salasanaa ei olisi koskaan vaihdettu. Salasanojen käytöstä ollaan luopumassa, ja esimerkiksi se, että salasanan sijasta voidaan käyttää Pin-koodia tekee tietokoneista suojatumpia. Mutta varsinaisesti biometriset tunnistimet kuten sormenjälkiin sekä kasvoihin ja verkkokalvoon perustuvat tunnistusmenetelmät parantavat tietojärjestelmien turvallisuutta.
Kuitenkin meidän pitää muistaa se, että esimerkiksi tilanne jossa joku pääsee katsomaan suoraan ruutua pitkän matkan päästä on yhtä vaarallinen kuin jos hakkeri pääsee järjestelmään. Se että hakkeri jää kiinni ja häntä rangaistaan ei kuitenkaan poista sitä, että jos hän on myynyt tai julkaissut saamansa tiedot, niin vahinko on jo tapahtunut. Kun tiedot on siirretty nettiin, niin ne saattavat levitä hyvinkin laajalle alueelle.
Tietoturva on tärkeä asia, mutta sen yliampuminen saattaa olla yhtä vaarallista kuin sen hoitamatta jättäminen.
Tietoturvaa voidaan aina hoitaa kahdella tavalla. Yksi on oikea ja toinen väärä. Ja aina pitää huomioida se, että tietoturvaa koskevat ohjeet ovat merkityksettömiä, jos niitä ei kukaan viitsi noudattaa. Se että tietoturva ulkoistetaan ulkoisille toimijoille ei poista tiedon omistajan vastuuta tiedon suojelemiseksi. Eli vastuu tietoturvasta on viimekädessä niillä, jotka tiedon omistavat. Liioiteltu tietoturva on kuitenkin asia, joka saattaa vaarantaa hyvin paljon.
Pahimmassa tilanteessa joku uskoo kieltojen ja käskytyksen voimaan. Se että joku asia on yhtiön koneilla kiellettyä ei tarkoita, että se on kiellettyä ihmisten omilla koneilla. Siis itse en tätäkään tekstiä kirjoita millään yhtiön koneella, vaan se on tehty ihan omalla koneellani. Se että uskomme johonkin asiaan sokeasti saattaa vaarantaa hyvin paljon. Me emme saa luottaa siihen, että ihmiset eivät koskaan tee mitään oma-aloitteisesti. Vaikka yhtiön koneilla olisi miten hyvät estot ja valvonta-ohjelmat, niin kuitenkaan se ei rajoita omien, itse ostettujen koneiden käyttöä millään tavalla.
Kaikille käyttäjille ei kannata laittaa samoja oikeuksia. Esimerkiksi pitkään talossa olleilla voi olla laajemmat oikeudet järjestelmään kuin kesäapulaisilla. Samoin konsultteja ja muita talossa vierailevia varten kannattaa olla omat protokollansa. Eli konsultit voivat käyttää omia välineitään, ja sitten toimittaa raportit vaikka sähköpostiin.
Kun puhutaan esimerkiksi zero trust menettelystä, niin tietenkin jokainen joka talossa käy tai joka talossa työskentelee voi pettää. Ihminen saattaa toimia tietämättään väärin. Hän ei ehkä muista salasanan kirjoitusasua, ja painaa salasanan näkyville kun joku seisoo selän takana. Hän saattaa pudottaa muistikirjan, istua sellaisessa kulmassa, että kadulta näkee suoraan ruudulle. Tai sitten hän saattaa tarkoituksella luovuttaa tietoja ulkopuolisille. Eli ihminen jolla on varsinkin huume- tai jotain muita vastaavia velkoja on erittäin altis kiristykselle.
Ei ole väärin epäillä ihmisiä ja heidän vaikuttimiaan. Jos joku tekniikan tohtori hakee työpaikkaa, mutta ei pyydä siitä palkkaa. Niin silloin kannattaa miettiä, että millä tuo henkilö elää? Vakooja on aina sellainen, että hän vaikuttaa aluksi hyvinkin miellyttävältä sekä valitettavasti myös liian hyvältä ollakseen totta. Zero trust tarkoittaa sitä, että kukaan ei automaattisesti ole luotettava. Eikä yhtiön syvimpiä salaisuuksia uskota kenellekään, joka on ensimmäistä päivää talossa.
Samoin meidän pitää muistaa se, että pettynyt työntekijä on aina riski. Jos ärsytämme työkaveria jatkuvasti, niin silloin altistamme hänet kaiken maailman houkuttelu-yrityksille. Eli avoimuus sekä läpinäkyvyys tarkoittaa sitä, että henkilö uskaltaa kertoa, jos häneltä on yksityiselämässä kyselty asioita, jotka liittyvät työpaikkaan sekä erityisesti kirjautumiskäytäntöihin.
Ihmiset ovat vain ihmisiä. Me emme ole immuuneja houkutuksille. Jos ihminen erotetaan omasta mielestään ilman syytä, tai häntä kohdellaan huonosti, niin hän saattaa lopulta suutuspäissään kävellä paikalliseen moottoripyöräkerhoon ja myydä halussaan olevat salaisuudet noille MC-miehille.
Mikäli salasanaa pitää jatkuvasti vaihtaa, niin silloin saattaa käydä niin, että salasanaa ei enää muista, ja sen takia salasana pitää kirjoittaa paperille. Se taas aiheuttaa ongelmia, koska tällainen paperi saattaa unohtua esimerkiksi näppäimistön alle. Ja silloin se saattaa päätyä hakkereiden käsiin. Nykyään kun kaikilla on kamerakännykkä, niin lappua ei tarvitse varastaa tai siihen ei tarvitse edes koskea, eli riittää että lapusta otetaan kuva.
Kun sitten jossain julkisessa tilassa lähdetään muistelemaan salasanaa, niin silloin saattaa mieleen tulla painaa salasana näkyväksi. Tuolloin oikeassa paikassa oleva hakkeri saattaa jopa ottaa kuvan tuosta sanasta. Erittäin merkittävää olisi se, että julkisessa tapahtumassa käytetään esimerkiksi vanhaa salasanaa, ja sitten kun tapahtuma on loppu, niin salasanan voi vaihtaa. Toinen vaihtoehto olisi se, että messuille tai muihin tapahtumiin olisi oma erillinen salasana, jonka voi käydä asettamassa ennen kuin menee noihin tapahtumiin.
Ja tilaisuuden jälkeen palataan taas normaaliin salasanaan. Samoin koneella voi olla kaksi selainta, joista toinen kirjataan jo valmiiksi sisään esimerkiksi google docsiin tai sitten yhtiöllä voi olla käytössään myös esimerkiksi messukäyttöä varten varattu oma virtuaalinen työtila, jossa olevat tiedot on eristetty muusta yhtiön toiminnasta. Se että messuja ja muuta "julkista käyttöä" varten avataan oma google tili ei liene kovin vaativa prosessi, ja tuolla tilillä ei tietenkään kannata pitää mitään kovin räjähdysherkkiä blogeja. Eli sinne kannattaa laittaa vain sellaisia asioita, joita voi esitellä esimerkiksi metrossa.
https://www.mikrobitti.fi/uutiset/nyt-leikkasi-viranomaisellakin-haluaa-kieltaa-vuosikymmenia-arsyttaneen-salasanakaytannon/3c6fe523-a3e7-4321-973c-e6168c7cc6a2
Kuva:
https://www.ct.co.uk/insights/data-security-and-its-importance/
Ei kommentteja:
Lähetä kommentti
Huomaa: vain tämän blogin jäsen voi lisätä kommentin.