Avoin koodi uhka yrityksille
6
On monia toimialoja, joita voidaan pitää kriittisinä yhteiskunnan toiminnan kannalta. Yksi näistä on sähköntuotanto. "Ei ole kiva istua kylmässä saunassa lämmin kalja kourassa", nauratti Fortumin yritysturvallisuusjohtaja Juha Härkönen torstain tietoturvatapahtuman yleisöä Messukeskuksessa.
Hän käsitteli puheessaan tietoturvauhkia kriittisen toimijan näkökulmasta, lähinnä niiden tunnistamista ja torjumista.
Härkönen totesi, että haittaohjelmahyökkäykset ovat vähentyneet kymmenesosaan. "Samalla ne ovat kuitenkin muuttuneet räätälöidyiksi, mikä on hyvin huolestuttavaa."
Muiksi merkittäviksi haasteiksi hän mainitsee lisääntyvän sosiaalisen urkinnan, joka tuntuu olevan lisääntymässä, sekä huonosti laaditut sopimukset. "Tietoja yritetään urkkia jatkuvasti puhelimitse, sähköpostitse sekä myös yritysvierailujen kautta. Sopimuksissa puolestaan unohdetaan kovin usein tietoturvavaatimusten asettaminen esimerkiksi automaatiojärjestelmille", Härkönen mainitsee.
Avoin koodikin haasteena
Ehkä hieman yllättäen Juha Härkönen nosti haasteiden joukkoon avoimen koodin ohjelmat. "Asiakas tekee sopimuksen palveluntoimittajan kanssa, jonka myymässä tuotteessa voi olla mukana joukko avoimen koodin sovelluksia. Asiakkaalla ei ole edes käsitystä, että siellä on tuollaisia."
Härkösen mukaan 90 prosenttia palveluntoimittajista siirtää sopimuksissa vastuuna asiakkaalle, jos tulee riitaa avointen ohjelmistojen luvattomasta käytöstä. Tällainen riita saattaa sitten tulla asiakkaalle todella kalliiksi.
Lääkkeet tiedossa
Härkönen nostaa tietoturvahaasteisiin vastaamisessa ensimmäiseksi esiin henkilökunnan tietämyksen ja valppauden parantamisen. "Usein tietoturvaohjeita noudattavat tunnollisesti vain kiltit työntekijät, jotka ajattelevat yrityksen etua. Ohjeita laadittaessa pitää miettiä, mitä etuja henkilökunta saa niitä noudattaessaan. Oma etu on aina lähempänä kuin firman etu", hän toteaa.
Erilaiset vastuut organisaation sisällä on määriteltävä selkeiksi. Samaan pakettiin kuuluu yhteisestä termistöstä sopiminen, jotta kaikki puhuvat samoista asioista.
Härkönen muistutti mieliin vanhan totuuden, jonka mukaan tietoturvan pitää olla sisään rakennettua, ei päälle liimattua. "Se on muistettava jo projektia aloitettaessa, ettei käy niin, että joku muistaa kutsua it-porukan katsomaan tulosta vasta loppumetreillä. Nämä tulevat sitten, sanovat tietoturvan puuttuvat, panevat homman jäihin ja saavat vihat niskoilleen."
