Miksi tietoturvan takia kannattaa nähdä vaivaa?

Niin moni asia riippuu tietokoneista ja tietoliikenteestä

Tietoturvassa on kyse tietojen, tietojärjestelmien ja tietoliikenteen suojaamisesta turmeltumista, luvatonta käyttöä, häirintää, urkintaa ja muita uhkia vastaan. Yritysmaailmassa tietoturvan tarve on yleensä ilmeinen, koska tietojenkäsittelyllä on niin keskeinen osa toiminnassa. Tietokoneiden hyväksikäyttö miltei kaikessa on tuonut suuria etuja. Toisaalta siitä johtuu, että vakavat häiriöt tietojenkäsittelyssä aiheuttavat erittäin suuria ongelmia.

Lisäksi tietoihin sisältyy liikesalaisuuksia ja muuta salassa pidettävää. Ja esimerkiksi sosiaali- ja terveysalalla asiakkaiden yksityisyyden turvaaminen on olennaista ja lakisääteinen velvollisuus. Kyse ei ole vain siitä, että tietojen on oltava luotettavasti saatavilla. Lisäksi niiden ei pidä olla kenen tahansa saatavilla.

Uhkia on muitakin kuin ilmeisiä

Mutta monissa yhteyksissä tietoturvan tärkeyttä ei tunneta tai ainakaan oteta huomioon, ainakaan käytännön toiminnassa. Esimerkiksi julkisella laitoksella ei ole samanlaista intressiä salata tietojaan kuin yrityksellä. Mutta aina on joitakin tietoja, jotka on pidettävä salassa, ja joka tapauksessa on paljon tietoja, jotka on säilytettävä ja suojattava asiattomalta muuttamiselta. Kun esimerkiksi yliopiston kaikki opintosuoritukset viedään ATK-rekisteriin, monia asia romahtaa monen ihmisen elämässä, jos se tuhoutuu vaikkapa ohjelmistovian takia, ellei rekisteristä ole ajantasaisia varmuuskopioita.

Yksityinen ihminen ajattelee helposti, ettei hänen kotitietokoneessaan olevista tiedoista kukaan ole kiinnostunut. Ilme voi muuttua, kun huomataan, että koneeseen päässyt virus on lähettänyt yksityisen päiväkirjan Internetiin miljoonien ihmisten naureskeltavaksi.

Eri turvataso eri tilanteisiin

Suhteellisuudentaju on tarpeen, koska tietoturvajärjestelyt aiheuttavat aina jonkin verran lisätyötä sekä rajoituksia ja joskus harmiakin tietokoneiden ja tietoliikenteen asialliselle käytölle. Täydellistä tietoturvaa ei voida saavuttaa, mutta voidaan löytää järkevä turvan taso kuhunkin tilanteeseen.

On syytä miettiä, miten vakavia asioita seuraa, jos tietojärjestelmä tai sen jokin osa lakkaa toimimasta tai se joutuu rikollisen käsiin. Miten olennaisia, korvaamattomia tietoja voi tuhoutua tai tulla väärinkäytetyiksi tai väärennetyiksi? Mihin järjestelmästä voi päästä ja mitä siellä voi tehdä? Voiko joku esimerkiksi sitä kautta esiintyä jossakin muussa järjestelmässä toisena ja tehdä tilauksia ja tilisiirtoja, antaa määräyksiä tms.? Riskien arvioinnin perusteella voidaan sitten järkevästi arvioida, millaiset turvatoimet ovat tarpeen. Jos tietokonetta käytetään vain siihen, että kirjailija kirjoittaa sillä romaania, niin keskeisintä on taata, että käsikirjoituksesta on kunnolliset varmuuskopiot. Jos taas "henkilökohtainen" tietokone on yrityksen maksuliikennettä hoitavan työntekijän työväline, on ennen muuta estettävä se, että asiattomat pääsevät maksuliikennejärjestelmään.

Turva-asiantuntijan ja tavallisen käyttäjän vuorovaikutus

Niitä asioita, joissa tietoturva on äärimmäisen tärkeä, hoitavat toivottavasti kovan luokan asiantuntijat. Mutta tämän lisäksi tarvitaan tavallisten käyttäjien myötävaikutusta. Tämä tarkoittaa muun muassa asiantuntijoiden antamien toimintaohjeiden noudattamista, ja ohjeiden ymmärtäminen puolestaan voi vaatia perustietämystä tietoturvasta. Hyvin toimivassa isossa yrityksessä ei esimerkiksi jätetä tiedostojen varmuuskopiointia jokaisen käyttäjän itse tehtäväksi, mutta jokaisen on kyllä osattava tallentaa tärkeät tiedostonsa sellaisiin paikkoihin, että ne tulevat keskitetyn varmuuskopioinnin piiriin.

Turva-asiantuntijoiden on tärkeää saada ongelmat tietoonsa mahdollisimman nopeasti. Siksikin tavalliset käyttäjät tarvitsevat yleistietoa turvaongelmista, jotta he eivät esimerkiksi luokittelisi kaikenlaisia laitteiden ja ohjelmien käytön arkisia pulmia "viruksiksi" mutta toisaalta tunnistaisivat epäilyttävät tilanteet, joista on syytä ilmoittaa asiantuntijalle.

Kotikonekin voi olla astinlauta isoille tietomurroille

Tietoturvassa on myös kyse kokonaisuudesta, jossa yhden osan turvattomuus voi heijastua laajalle. Vaikka kotikone olisikin enimmäkseen pelikoneena, sillä saatetaan ottaa yhteys työpaikan tietojärjestelmään, ja jos tietoturva ei ole kunnossa, luodaan silloin aukko firman turvamuuriin.

Lisäksi verkon kautta saatetaan tunkeutua kotikoneeseen ja käyttää sitä monenlaisiin asioihin, apuvälineenä tietorikollisuuteen. Tunkeutujat erittäin yleisesti pyrkivät peittämään jälkensä sillä, että eivät yritä tietomurtoa suoraan omalta koneeltaan vaan hyvinkin pitkien ketjujen kautta.

Turvan minimitaso on kaikille tarpeen

Vaikka tietoturvan tarve ja tavoiteltava turvataso vaihtelevatkin suuresti, käytännössä kaikki tietokoneet ja tietojärjestelmät on syytä suojata ja varmistaa jollakin tapaa. Tämän moni oppii katkerasti liian myöhään, kun tietokoneen kovalevy lakkaa toimimasta eikä varmuuskopioita ole. Uuden kovalevyn saa kaupasta, lähes valmista väitöskirjaa tai kymmenen vuoden aikana koottua reseptikokoelmaa ei.

Tietoturvan minimitason järjestäminen ei vaadi kovin suurta vaivaa. Siellä, missä tarvitaan suurta luotettavuutta, on tehtävä enemmän töitä. Se voi merkitä myös asioiden opiskelun tarvetta ja rahanmenoa. Yksi keskeinen kysymys onkin, miten kukin käyttäjä voisi löytää hänelle sopivan tavoitetason, jolla panostus tietoturvaan on järkevässä suhteessa saavutettavaan hyötyyn. Tämä opas pyrkii auttamaan tässäkin, ja siksi eri kohdissa kuvaillaan, keille mitkäkin turvajärjestelyt ovat tarpeellisia.

Kaikkea tietoturvaa ei voi ostaa

Monet yritykset, laitokset ja yhteisöt käyttävät merkittävästi rahaa ostaakseen palveluita, ohjelmia ja laitteita, joilla parannetaan tietoturvaa. On myös saatavilla monipuolisia tietoturvapaketteja.

Niin hyödyllistä kuin tietoturvan ostaminen usein onkin, ei kannata tuudittautua siihen uskoon, että kaikki on sillä hoidettu. Jokaisessa organisaatiossa tarvitaan myös omaa tietoisuutta ja valmiuksia. Kuten tässä oppaassa kuvataan, suuri osa tietoturvaan kohdistuvista uhkista toimii ihmisten kautta. Tekniset turvatoimet eivät auta, jos ulkopuolinen saa puhelinsoitolla tietoonsa salasanoja. Sellaista todella tapahtuu.