"Liikenne- ja viestintäministeriön viestintäverkkoyksikön päällikkö Juhapekka Ristola arvioi lehdelle, että ennen sähköpostin tunnistetietojen käsittelyä yrityksen pitäisi tehdä ensin lievemmät tietoturvatoimet, kuten estää nettisähköpostien ja ulkoisten usb-muistien käyttö."

Tämä on ollut juuri naurettavaa että henkilöt jotka käsittelevät yrityssalaisuuksia, on pääsy pikaviestimiin, kolmannen osapuolen nettipalveluihin ym.

Tämähän kertoo että yritys on laiminlyönyt täysin tietoturvan eikä sille voida minkäänlaisia valtuuksia antaa teletunnistetietojen tarkkailuun kun ei se ole osannut edes tietoturvan perusteita tehdä kunnolla.

Mistä ihmeestä tuollaisia järjestelmäylläpitäjiä oikein tulee? En ihmettelisi jos paljastuisi tuollaisissa tapauksissa että työntekijät käyttävät ohjelmistojärjestelmiä järjestelmäylläpitäjän oikeuksin kaikkialla yrityksessä.

Yrityksen täytyisi selkeästi rajata intra- ja Internet-verkot toisistaan käyttäjiltä. Ne missä pyörii yrityssalaisuudet, niissä ei käytetä mitään muuta kuin yrityksen taholta varmistettua koodia. Muistitikkuja ei saa käyttää kukaan muu kuin niitä tarvitsevat ja silloinkin ne on oltava salattuja. Kaikki tiedostojärjestelmät salattuna oli laite vaikka kännykkä, kannettava tai pöytäkone. Kaikki näyttöpäätteet suojattu valokuvaamisen estävillä suojakalvoilla ja firman työntekijät eivät saa pitää hallussaan mitään kamerapuhelinta tai kameraa. Koko firman sisätilat vuorataan pääsääntöisesti verkkolaitteet estävällä häirinnällä ja kaikki tiedonsiirto tapahtuu langallisesti.
Ja sitten firman sisälle päätteitä vapaa-ajan tiloihin joista ei pääse käsiksi yrityksen Intraan ja niihin ei voi liittää mitään massamuisti-laitetta jotta tietoa voisi siirtää yrityksen Intran ja Internetin välillä. Näiltä päätteiltä pääsee sitten sähköpostia kirjoittamaan omilta tileiltä tai muutoin Internettiä käyttämään. Ja tietenkin nämä päätteet sitten vielä kuitenkin siitä huolimatta vaativat käyttäjätunnukset jolloin voidaan seurata kuka on käyttänyt konetta.
Ja jos vielä radikaalimpaa haluaa, metallinpaljastimet ja läpivalaisimet käyttöön. Olkoot sitten töissä kuin jossain NSA/CIA virastossa että kaikki mikä kulkee ulos ja sisään, tarkistetaan.


Näiden esimerkkien jälkeen ongelmaksi jää melkein pelkästään työntekijän luotettavuus. Se tieto mitä päähän saadaan tallennettua, on se mikä vuotaa ulos. Teki yritys ihan mitä tahansa, eikä sitä voi myöskään mikään laki muuttaa. Työntekijä voi aivan hyvin työajan jälkeen kävellä vaikka kioskille ja ostaa prepaid-liittymän ja soittaa/tekstiviestittää muualle tietojaan. Kirjoittaa vaikka kirjastossa tiedot sähköpostilla juuri luomallaan hushmaililla jne.

Ja jos tämä lakiesitys menee toimeen, se ei siltikään estä millään tavoin yritysvakoilua ym jos ei olla valmiita tekemään koko tietojärjestelmästä niin suojattua kuin vain on mahdollista.

Voi voi - yritysten pitäisi kerrankin implementoida oikeasti käsite "Hyvä tiedonhallintotapa". Alkaa yrityksiä kiinnostamaan oikesti ITIL, SABSA, ISO20001,PCI-SSC jne..

Edelleenkin korvien välissä olevaa tietoa on paha logittaa, joten yritysten on parempi alkaa hajauttamaan tehtävät, ettei kenelläkään ole mistään koko kuvaa jne...

Hauskaksi menee tämä FLAX Mokia, kun tuntuu ettei säätäjillä ole itsekkään käsitystä mitä säätävät. Laissa on jotain vikaa, jos siitä ilmestyy joka virastolta oma tulkinta. Arvaatte vaan kuinka monta tulkintaa yritykset tekevät tästä ja kuinka monta uutta tietorikollista synttyy näiden virhetulkintojen jälkeen Suomeen. Kait se sentään on rikollista toimia tämän lain vastaisesti? Mitäs siitä sanktioidaan? Yhteisösakkoja miljoona €/ virhe ja tietohallintopäälikkö linnaan viideksi vuodeksi virhettä kohden.

No jospa tämä laki nyt saisi jäädä tekemättä heti alkuunsa tai kuuntelisivat edes asiantuntijoita, jotka ovat yrittäneet lausuntonsa toistaiseksi turhaan antaa.

Yrityssalaisuuksien vuotamista on teknisin keinoin käytännössä mahdoton estää. Jos yrityssalaisuuksia sisältävästä tietokoneessa on yhteys internetiin, esto pitäisi toteuttaa whitelistien, ei blacklistien, avulla, koska internet on pullollaan palveluita, mihin voi uploadata tiedostostoja. Ja viime kädessä sellaisen voi pystyttää itse. Siinä, että sallitut sivut on erikseen määritelty, ei ole mitään järkeä. Uutisessa mainittu ehdotus ei siis tuo mitään hyötyä.

Yrityssalaisuuksien suojelemisessa tärkeintä olisi rajoittaa tarkemmin pääsyoikeuksia suojattavaan materiaaliin. Ja se pitäisi tehdä mielellään tiedostokohtaisesti.

Yrityksissä hyvin tiedetään, että uusi tietosuojalaki ei vaikuta salaisuuksien vuotamiseen ulos yrityksestä. Osaisiko joku sanoa, mihin niin aktiivisesti lobattua lakia todellisuudessa tarvitaan?

Olli Vihervuori: "Jos yrityssalaisuuksia sisältävästä tietokoneessa on yhteys internetiin, esto pitäisi toteuttaa whitelistien, ei blacklistien, avulla, koska internet on pullollaan palveluita, mihin voi uploadata tiedostostoja. Ja viime kädessä sellaisen voi pystyttää itse. Siinä, että sallitut sivut on erikseen määritelty, ei ole mitään järkeä. Uutisessa mainittu ehdotus ei siis tuo mitään hyötyä."

No, jos vaikka yrityssalaisuuksia omaavassa tietokoneessa on AppArmor kaltainen ohjelmisto, voidaan estää kokonaan tiedostojen lähetys Internettiin vaikka olisi kaikki sivut sallittuja. Riittää että tiedostot profiloidaan siten että Internet-selain, FTP-ohjelma ym voi niihin tiedostoihin koskea.

Eli jos työtiedostoja voi avata vain ja ainoastaan niitä työstettävillä ohjelmilla, mutta tiedostoja ei voi edes kopioida muualle vaikka oikeudet muuten tiedostoihin on. Ei niitä voi lähettää minnekkään.
Tällä tavoin kun jokainen ohjelmisto ja hakemistorakenne profiloidaan, ei kukaan pysty tekemään mitä ei kuulu. Koko suojaus toimii vielä käyttöjärjestelmätasolla, joten se suojaa myös haittaohjelmilta.

Tekniikkaa löytyy mutta ongelmat on jälleen kerran yrityksen ylläpidosta ja järjestelmäsuunnittelusta.
Mitä tietoturvallisemmaksi yrityksien järjestelmät tehdään, sitä vaikeammaksi se oikeastaan käy käyttäjille.

---Yrityksissä hyvin tiedetään, että uusi tietosuojalaki ei vaikuta salaisuuksien vuotamiseen ulos yrityksestä. Osaisiko joku sanoa, mihin niin aktiivisesti lobattua lakia todellisuudessa tarvitaan?---

mahdollisten epätoivotuiksi osoittautuvien työntekijöiden eliminointiin. esim. jonkun pärstä ei miellytä, niin lex nokian avulla saataisiin helposti kenestä tahansa epäilyksenalainen ja jopa tietomurtorikollinen, vaikka ei faktisesti olisikaan toiminut vahingoittamis- tai hyötymistarkituksessa.

omalla työpaikallani on ollut jo vuosia kiellettyinä ulkoiset sähköpostit ja edes kaikkiin uutissyötteisiin ei pääse. tosin kumma kyllä fb toimii ja monet keskustelufoorumitkin. esim. gmail, suomi24, webinfo, luukku, welho, ym on estetty. intranet on erikseen myös olemassa, sieltä kuitenki outolookin kautta on sp-yhteys ulkomaailmaan, että se siitä...

yst. terv. h

"No, jos vaikka yrityssalaisuuksia omaavassa tietokoneessa on AppArmor kaltainen ohjelmisto, voidaan estää kokonaan tiedostojen lähetys Internettiin vaikka olisi kaikki sivut sallittuja. Riittää että tiedostot profiloidaan siten että Internet-selain, FTP-ohjelma ym voi niihin tiedostoihin koskea."

Siis whilelistejä ei tarvita, jos käytössä on ohjelmisto, jolla oikeudet voi määrittää sovelluskohtaisesti. Tällaisten softien käyttöönotto ei mielestäni ole realismia. Ja mistähän se kertoo, että yrityksissä ei myöskään ole siihen kiinnostusta?

Keinot on kuitenkin monet: Onko copy/pastet myös estetty? Entä ruutukaappaukset? Ja administraattorit voivat aina ohittaa turvamekanismit. jne.

"mahdollisten epätoivotuiksi osoittautuvien työntekijöiden eliminointiin. esim. jonkun pärstä ei miellytä, niin lex nokian avulla saataisiin helposti kenestä tahansa epäilyksenalainen ja jopa tietomurtorikollinen, vaikka ei faktisesti olisikaan toiminut vahingoittamis- tai hyötymistarkituksessa."

Miten sähköposteja tarkkailemalla työntekijä saadaan epäilyksenalaiseksi? Päinvastoin, sähköpostiliikenne osoittaa työntekijän olevan syytön, jos tämä on tilanne.

Luulen, että laissa kyse on lähinnä entistä tiukemman kontrollin saamisesta työntekijöihin. Työaikaa kuluu, kun sähköpostissa lähetellään erilaisia hupiviesteja tai youtube-linkkeja. Kun työntekijät tietävät, että sähköpostia tarkkaillaan, he saattavat enemmän keskittyä työasioihin. Samaten järjestäytyminen työnantajaa vastaan ja muu ay-toiminta työsähköpostin avulla vaikeutuisi.

Mielestäni tämä kirjoitus avasi lain tarkoitettua henkeä merkittävästi ja kuulostaa siltä, että pelisäännöt yritysten osalta olisivat tiukentumassa nykyisestä merkittävästi.

Epäselvää vielä on hieman, että mitä lainsäätäjä tarkoittaa yhteisötilaajan vastuusta ja "merkittävästä uhasta palvelulle", joka oikeuttaisi rajoittamaan Internetin käyttöä ja tutkimaan tunnistetietoja. Se osuus laista kuulostaa tekijänoikeusjärjestöjen lobbaukselta, jotta päästäisiin tekemään mm. torrentit laittomiksi. :(

Minä en ymmärrä, mitä nämä "tulkinnat laista" ovat. Jos kerta tehdään uutta lakia, niin miksei saman tien varmistuta siitä, että mitä ko. laki oikeasti sallii tai määrää? Jonkun viraston tulkinta on yhtä sitova asia yritysmaailmassa kuin Ville 5-v:n toivelista joulupukille perheen säännöissä.

Jos laki "saattaa" tai "tehnee", niin silloin ollaan ihan hukassa.