Talous-Sanomat 2.2.2000

Tietoturva on psykologiaa

Liiketoiminnan siirtyessä verkkoihin yritykset joutuvat kiinnittämään tietoturvaan aiempaa enemmän huomiota. Se näkyy myös pörssikursseissa: Stonesoftin ja F-Securen kurssit kipuavat uusiin ennätyksiin, koska markkinat näyttävät rajattomilta. Yritysten on jatkossakin suojauduttava yhä taitavampia hakkereita ja yhä kehittyneempiä viruksia vastaan.

Tietoturva nähdään usein teknisenä ongelmana. Silloin kuvitellaan, että insinöörit pystyvät suojaamaan yrityksen parhaiten. Todellisuudessa apua kannattaisi hakea psykologeilta - tietoturva kun on yhä enemmän psykologiaa ja yhä vähemmän tekniikkaa. Tietoturvan heikkona lenkkinä on aina ihminen itse. Mitä merkitystä on esimerkiksi sähköisen henkilökortin (HST) allekirjoitusavainten pituudella tai salausalgoritmin luotettavuudella, jos sen haltija säilyttää PIN-koodia samassa lompakossa kortin kanssa?

Tietoturva on laaja ja moniulotteinen asia. Koska asiakkaan on vaikea hahmottaa sitä itse, hän on usein myyjän armoilla. Myyjät puolestaan loihtivat uhkakuvia sinne, missä ne voidaan ratkaista ostamalla jokin tekninen laite. Sen jälkeen keskustelukin kääntyy helposti tuotteen teknisiin yksityiskohtiin.

Esimerkiksi kalliit palomuurit voivat kääntyä jopa itseään vastaan, mikäli hieno ohjelma on vaikea konfiguroida ja ylläpitää. Hakkeri luultavasti tuntee ohjelman paremmin kuin yrityksen oma asiantuntija. Lisäksi palomuuri vie ajatukset pois siitä tosiseikasta, että suurin osa tietovarkauksista tulee talon sisältä ja yleensä vielä oman henkilökunnan taholta. Näitä uhkia vastaan palomuuri on voimaton. Tehokkaampaa on pyrkiä pitämään oman henkilökunta tyytyväisenä sekä havaitsemaan epäilyttävät seikat ajoissa.

Toinen hankala alue on virustorjunta. Televisio ja lehdet kertovat säännöllisesti toinen toistaan pahemmista ja pirullisimmista viruksista, jotka uhkaavat käyttäjien tiedostoja. Eri virusten määrä lasketaan jo kymmenissä tuhansissa. Suurinta osaa maailman viruksista ei kuitenkaan ole koskaan havaittu vapaana. Esimerkiksi pari viikkoa sitten tiedotusvälineet uutisoivat näyttävästi ensimmäisen Windows 2000-viruksen löytymisen. Todellisuudessa viruksen nimettömänä pysytellyt tekijä lähetti sen itse tutkijoille ja virusta tuskin koskaan nähdään vapaana. Virusten näyttävä uutisointi lisää torjuntaohjelmien myyntiä ja rohkaisee uusia virusten kirjoittajia. Torjunta-alan kannalta kyse on hyvästä bisneksestä - onneksi alan kotimaiset yrittäjät ovat olleet tässä esimerkillisen maltillisia.

Torjuntaohjelmien hankkiminen ja jatkuva päivittäminen vaatii sekä aikaa että rahaa. Eikä suoja silloinkaan ole täydellinen. Torjuntaohjelmat kävisivät tarpeettomiksi, jos ihmiset saataisiin jollain psykologisella tempulla noudattamaan yksinkertaisia sääntöjä: ei tarpeettomia tiedostoliitteitä, ei pelejä, ei epämääräisiä ohjelmia netistä. Vastoin ohjeita työntekijät lähettävät toisilleen pilaohjelmia, vitsidokumentteja, videoleikkeitä ja pornokuvia, mikä luo otollisen maaperän virusten leviämiselle. Joudumme korvaamaan puutteellista käyttäjähallintaa teknisillä apuvälineillä.

Moni pelkää vieläkin antaa VISA-kortin numeroa verkkokauppiaalle, vaikka todellisuudessa VISAn käyttö verkossa on turvallisempaa kuin kortin kantaminen takataskussa. Tiedossa ei ole yhtään tapausta, jossa kortin numero olisi varastettu sen liikkuessa verkon läpi - sen sijaan lompakoita varastetaan yhtenään. Pelätään myös, ettei sähköpostin lähettäjätietoihin voi luottaa, mutta faksien väärentäminen se vasta helppoa onkin, kuten Saksan Kohl-uutinen osoitti. Ja sellaisetkin, jotka pelkäävät verkossa tapahtuvaa tietojen keräämistä, vinguttavat huoletta kauppojen kanta-asiakaskorttia, vaikka juuri se mahdollistaa kaikkein tehokkaimman tiedonkeräyksen. Uhkakuvia liioitellaan helposti uuden tekniikan yhteydessä ja vähätellään, kun kyse on tutuista, arkipäiväisistä asioista.

Lopuksi eräs parhaista kuulemistani tietoturvaa parantavista neuvoista. Se on hyvin yksinkertainen: nosta palvelinhuoneessa olevat koneet pöydälle. Todennäköisin koneita kohtaava uhka on nimittäin vesivahinko, jolloin lattialla olevat palvelimet vahingoittuvat. Mutta koska ratkaisu on yksinkertainen eikä sitä varten voida myydä valmista tuotetta, asia jää yleensä huomaamatta.

<takaisin