Tietoturvapäällikön työtä tekevänä viikon uutinen tietomurrosta psykoterapiakeskus Vastaamoon on iskenyt kovaa monellakin tapaa – niin ammattikunnan ylpeyteen kuin inhimilliseen huoleen äärimmäisen arkaluonteisista tiedoista. Kokeilen nyt hieman metaforien ja suurempien kuvien kautta kuvastaa ongelman nimeä. Avainasia on ymmärtää tietoturva osana suurempaa strategiaa, ei erillisenä sektorina.
”Olemme valmiina saksalaisten tuloon”
Väliotsikon kaltainen tunnelma oli liittoutuneilla Belgiassa toisen maailmansodan alussa. He tiesivät mistä saksalaiset hyökkäisivät ja olivat valmiina. Etuovi Ranskaan oli niin sanotusti muurattu tiukasti umpeen. Sääli vaan että saksalaiset eivät välittäneet etuovesta vaan salamasodan keinoin he hyökkäsivätkin keittiön kautta ja yllättivät liittoutuneet housut kintuissa. Liittoutuneet olettivat tietävänsä mistä hyökkäys tulee ja varautuivat siihen. He eivät kuitenkaan varautuneet epätodennäköisiin vaihtoehtoihin ja lopputulos on historiaa.
Hyvin usein tietoturvan suunnittelu tapahtuu juuri näin: suojataan todennäköisin hyökkämisreitti tehokkaasti, mutta unohdetaan että reittejä on useita. Vastaamo oli tunaroinut tietoturvansa aivan täydellisesti ja lopputulos oli samaa tasoa kuin jos pankkiholvista olisi takaovi seppoisen selällään suoraan kadulle. Kokonaisuutta ei nähty, ei asioiden välisiä riippuvuuksia, ei tehty lain vaatimaa oletusarvoisen tietoturvan suunnittelua. Ehkä rahaa oli käytetty paljon, mutta osaamista vähän. Merkkejä on jo ilmassa siitä, että Vastaamo oli myös muilta osin laiminlyönyt räikeästi tietosuojan ja -turvan velvoitteita, esimerkiksi jättämällä poistamatta tietoja joita olisi pitänyt poistaa. Toivottavasti firman johto löytää itsensä ja ylpeytensä tuomarin edestä ennen pitkää.
Kaikkea järkeä ei voi ulkoistaa
Tietotekniikan ammattilaisen tehtävät ovat muuttuneet. Tänä päivänä ei tarvitse osata hallita perinteisiä palvelimia tai pääkoneita, tai moniakaan muita pieniä yksityiskohtia. Pilvipalvelut ja palvelukonseptit antavat mahdollisuuden ulkoistaa kätevästi monia rutiinitöitä. Myös tietoturvan valvontaan ja toteutukseen on tehokkaita ja osaavia ulkoistuskumppaneita. Tästä syntyy hyvin nopeasti mielikuva, että lähes tai koko tietotekniikkaosaston voi ulkoistaa, riittää että hankkii sopivat konsultti- ja ulkoistuskumppanit. Voin luvata, että Vastaamo ei ole ensimmäinen tai ainoa tästä ongelmasta kärsivä firma, niitä on terveysalan lisäksi esimerkiksi talouspuolella ja se huolettaa minua. Julkisella sektorilla ongelma on vielä suurempi.
Jos jokaisen vipstaakin ja palasen tarkka osaaminen ei ole tietotekniikan ammattilaisen työtä, sitäkin suurempi vastuu on kokonaisuuden ymmärtämisellä. Tämä on asia jota ihan oikeasti ei voi ulkoistaa toimivasti. Talossa on oltava henkilö tai henkilöitä, jotka ymmärtävät miten ja miksi jokainen palanen toimii, mitkä ovat niiden riippuvuudet, mitkä ovat heikkoja kohtia, yms. Kokonaiskuvan hallinnassa pitää yhdistää vähimmilläänkin yrityksen leipätyön operatiiviset tarpeet, tietoturvanäkökulmat, juridiset vaateet, käytettävyys, budjetointi ja viestintä. Tuossa on hiton monta liikkuvaa osaa ja hyvä selitys sille, miksi strategiapelit ovat tietotekniikkaväen suosiossa. Sadan eri tavoin liikkuvan asian samanaikainen pohdinta on haastavaa, mutta myös palkitsevaa.
Virheistä oppiminen
Perustuen siihen, miten paljon terveydenhuoltoalan tietotekniikassa on käynyt eri kokoisia farsseja viime vuosina, en ole vakuuttunut että tämä tapahtuma johtaa juurikaan korjauksiin. Olisi ideaalia, että esimerkiksi Valvira ottaisi asiasta tiukemman otteen. Heillä voisi myös olla palkkio-ohjelma, jossa turva-aukon paljastamisesta heille maksettaisiin pieni palkkio. Moinen on yleistä suurten tietotekniikkayritysten parissa. Pelkään kuitenkin, että toimenpiteet jätetään konsulttien harteille, eli sinne mistä ongelma ilmeisesti alun perin lähtikin.
”Sillä se lähtee millä se tulikin” on pöhkö sanonta, joka on suunnilleen yhtä hyödyllinen tällä kertaa kuin vinkkinä krapulaa potevalle. Nyt olisi syytä tuijottaa peiliin, särki päätä tai ei, ja hyväksyä että arkaluonteiset tietojärjestelmät kaipaavat vastuuta ja osaamista. Näistä kumpaakaan ei voi ulkoistaa. Joskus työ pitää vain tehdä.
Eikö tällainen mammuttijärjestelmä ole irrotettu verkosta omaksi ”tallenteeksi” turvalliseen tietovarastoon ? Sieltä verkkoratkaisulla vain ”pintaan”, josta eteenpäin vain erillishauin.
Näin pääarkistoon ei pääse kukaan muu kuin tietoturvan rekisteröimät henkilöt. Kuulostaa hitaalta ja vanhanaikaiselta mutta, minne tallettajalla, terapeutilla tai kysyjällä on kiire ?
Heikki, monta vastausta tulee mieleen. Periaatteessa pitäisi olla juuri kuten sanot, eli koko tietokanta ei olisi saatavilla koneesta joka on edes sisäisessä verkossa suoraan. Mennään tietoverkkojen rakentamiseen, segmentointiin yms. tässä. Vaikuttaa siltä että myös tietoverkon suunnittelussa oli tehty oikoteitä, muistakin kun tietoturvasyistä.
Lopulta jokainen laite on jossain verkossa, mutta jos mutkia on matkalla useita, hyökkäyksen matka on pidempi. Ei se estä käyttämistä. Voidaan rakentaa rajapinta josta voi hakea vain yksittäisen henkilön (oman potilaan) tiedot, mutta sitä kautta ei voi hakea kaikkea.
Poikkeus edelliseen on ydinvoimala, jossa on myös ohjausjärjestelmä joka ei ole fyysisesti kiinni verkossa lainkaan.
Mikään, joka on yhdistetty internettiin ei ole täysin turvallinen. Riittävästi resursseja kohdentamalla pääsee murtautumaan mihin hyvänsä ja riittävästi resursseja kohdentamalla myös mikä hyvänsä salaus voidaan purkaa.
Kyseessä on optimointiongelma. Vaikkapa Pirkan Blogeihin murtautumisesta ei ole suurta vahinkoa, joten ei tarvita järeitä turvallisuustoimenpiteitä. Sitten on järjestelmiä joihin tunkeutuminen on epämukavaa, mutta ei vaarallista. Jne.
Tärkeimmät järjestelmät täytyy pitää kokonaan erossa netistä, muistitikuista, jne.
Tälläkin hetkellä verkot vuotaa…
Tietoturva kunnollinen rahasta kyse ja osaajista ao firmassa kuten Kyuu sanoo.
Tämän päivän hesarissa juttu, eli kannattaa lukea, niin saa laajemman kuvan.
B-luokan turvataso?
Tietotekniikasta ymmärtämättä tuli mieleen, että olisiko nyt irtisanotulla toimarilla ollut mahdollisuus päästä käsiksi po. tiedostoihin, kopioida ne muistikortille ja myydä jollekin, joka ymmärtää niiden arvon!?
Jää ”sormenjälki” kopioinnista.
On aiheellista kysyä aiheuttaako Vastaamon tietomurto myös ihmisuhreja ?
Itse en yllättyisi vaikka niin tapahtuisi, pikimminkin sen todennäköisyys on verrattain korkea.
Tuo on oikeasti vakava uhka.
Heikki, niinhän se on. Joukossa voi ja todennäköisesti myös on hyvin hauraita ihmisiä, jotka voivat murtua paljon pienemmästäkin.
Siis tarkennuksena, tarkoitan kuolonuhreja.