Yle tuotti taannoin viihteellisen dokumentin tietoturvan huonosta tilasta. Yritysyhteistyönä tehty dokumentti on sinänsä tarpeellinen herätys ja monin tavoin asiantunteva, mutta yritysyhteistyön vuoksi siinä on myös älyllistä epärehellisyyttä. Haluaisin lähestyä asiaa vertauskuvin.
Risto ei holvia tarvitse
Olipa kerran pankinjohtaja Risto Rahamies. Kun hänen uuteen pankkikonttoriin asennettiin holvia, siinä ei ollut lukkoa saati panssariseiniä. Se oli vain siivouskomero jonka oveen oli tussilla kirjoitettu ”rahat ovat täällä”. Huoneeseen näki kätevästi myös ikkunan läpi suoraan kadulta. Kun Seija Säästäväinen toi rahojaan pankkiin talteen, hän ihmetteli rahasäilytyksen huonoa jamaa. Pankinjohtaja ymmärsi huolen ja vastasi ystävällisesti: ”Onhan meillä ulko-ovessa lukko, viimeinen työntekijä lähtiessään pistää oven kiinni. Miksi holvissa pitäisi olla toinen lukko?”
Tarinamme kuvastaa sitä tapaa, millä kiinteistöautomaatiofirma Fidelixin edustaja päästettiin pälkähästä dokumenttisarjan haastattelussa. Kyllä, automaatiojärjestelmään on helppo murtautua ja se on täynnä haavoittuvuuksia, mutta koska sitä käyttävä yritys kuitenkin ostaa palomuurin, ei sillä ole väliä. Puhumme järjestelmästä jolla voit jopa fyysisesti vahingoittaa talon lämmitys- ja ilmanvaihtojärjestelmää, sytyttää ja sammuttaa niin valoja, kiukaita kuin jäähallin tekniikkaakin. Tämä kaikki on sen yhden ulko-oven lukon varassa kuin Riston pankkiholvi konsanaan. Tällainen asenne on hurjan vaarallista eikä sitä pitäisi nähdä sen paremmin pankeissa kuin tietotekniikassakaan. Silti sitä tietotekniikan puolella näkee, eikä Fidelix ole suinkaan ainoa syntinen. Itse asiassa monin tavoin heidän järjestelmä on ihan fiksu.
Palomuuri ei yksin pelasta
Fidelixiin pätee se sama mitä lähes kaikkeen nykyiseen etänä ohjattavaan teknologiaan, oli se sitten kameravalvontaa, teollisia valmistuslaitteita tai vaikkapa teollinen automaattivaaka johon taannoin törmäsin. Ne on rakennettu yleisen, tavallisen tietokoneen päälle. Kuten kaikki tiedämme, tietokoneiden ohjelmia pitää päivittää vähintään kuukausittain tietoturvan takia. Kun tietokoneen päälle rakennetaan erikoislaite esim. automaatiota varten, päivityshallinta siirtyy erikoislaitteen valmistajalle jolloin päivitysten hoito lähes aina unohtuu tyystin. Loppukäyttäjä ei voi asiaa korjata. Liian usein päivityksiä ei ole tehty sitten käyttöönoton ja laite voi olla kymmenen vuottakin käytössä. Sinä aikana vakaviakin tietoturva-aukkoja voi löytyä satoja.
Vaan entäpä se palomuuri? Kyllä, se on ehdoton väline, vaikka joiltain se vielä puuttuukin. Siihen on myös heti käyttövalmiita optioita. Hyvähän se on että pankissa on ulko-ovi, vaan kun pankissa – tai siis sisäverkossa – on muitakin. Ei tarvita kuin yksi asiaton taho sisäverkkoon ja kaikki siellä oleva on vaarassa. Yhä useammin sisäverkkoon tunkeutuminen palomuurin läpikin on naurettavan helppoa, kiitos pilvipalveluiden. Kun olet palomuurin kerran ohittanut, on hyökkääjällä valmiiksi katettu pöytä kaikkiin järjestelmiin. Juuri siksi tietoturvan pitää perustua useisiin kerroksiin. Palatakseni vanhaan metaforaan, on ulko-ovi, on vartija, on paksu pankkiholvi jonka avain ei ole pöydällä, on viiveaukaisu, on holvin sisällä edelleen lukittuja lokeroita, on kameravalvontaa ja hälytyspalveluita. Tietoturvaan pätee sama, tärkeitä asioita pitää suojata useilla päällekkäisillä kerroksilla.
Ei rahalla vaan järjellä
Tänä päivänä, kun joka ikinen laite kytkeytyy nettiin, ympärillämme on ennennäkemättömän suuri määrä uhkia teknologian toimivuudelle. Yritystemme tietoturva on keskimäärin tyydyttävällä tasolla, julkishallinnolla se on parhaimmillaankin välttävää. Rahaa sinänsä käytetään joskus liiankin paljon, mutta kokonaisuuksia harvoin suunnitellaan. Kun nyt metaforilla aloitettiin, niihin voi kai lopettaa. Moni julkishallinnon tietoturvasuunnitelma kun muistuttaa sitä että pankin edessä on sata aseistettua vartijaa eikä läpi pääse mitään – mutta samalla pankin takaovi on sepposen selällään.
Tietoturvan viisas suunnittelu ei ole erillinen maailma muun rinnalla. Se on hieman soveltean sitä aivan samaa maalaisjärkeä jota käytämme arkemme turvaamiseksi.