Kuinka monta kertaa olet laittanut salassapitopaperiin allekirjoituksesi lukematta paperia huolellisesti? Oletko jättänyt läppärilaukkusi paikallesi junassa käydäksesi vessassa? Kuinka usein olet avannut toimiston oven tuntemattomalle tarkastamatta kuka hän todella oli?

Tietoturvaan suhtaudutaan nyt takavuosia selvästi vakavammin. Ainakin jos lukee erilaisia yrityksien ja valtion sopimuksia tietoturvan kohdalta. Niissä lähes poikkeuksetta siirretään kaikki oikeudet ostajalle ja kaikki velvollisuudet myyjälle. Näin minäkin toki lähtisin sopimusta ostajana laatimaan.

Suurella hämmästyksellä suhtaudun kuitenkin siihen tapaan miten tietoturvaa aidosti käsitellään. Kukaan kun ei tunnu pitävän erittäin raskaita velvoitteita sisältäviä sopimuksia minään. Niitä kun ei ole aidosti tarkoituskaan noudattaa, mutta näin saadaan osoitettua omalle organisaatiolle, että vaatimukset on vieritetty eteenpäin.

Harkintaa tarvitaan

Toimittajien puolella ei tunnu olevan myöskään mitään mielenkiintoa lukea velvoitteita sen tarkemmin puhumattakaan niiden aiheuttamista toimenpiteistä.

Näitä kutsun harkitsemattomiksi säästöiksi. Asiakas säästää siirtämällä asiat toimittajan vastuulle ja toimittaja säästää, kun ei edes ota selvää mistä on vastuun ottanut. Kumpikaan ei siis vaivaudu tekemään paljoa muuta, kun ne normaalit kupongit on jo täytetty ja mappeihin arkistoitu.

Suomessa on totuttu, että lakia noudatetaan ja sopimuksia kunnioitetaan, joten ajatellaan helposti, että ei ole myöskään tarvetta vaatia tietoturvalta enempää. Mehän ollaan jo täällä turvassa ja kuka tänne nyt murtautuisi. Se onkin aivan oikea päätelmä, harvemmin kukaan murtautuukaan, koska ei tarvitse. Ihmiset hölöttävät sisäiset asiat toreilla ja useimpiin toimistoihin riittää kun kävelee sisälle. Toki kaikenlaisia portteja ja tiskejä on pystytetty auloihin, mutta nekin vain meitä kilttejä hämäämään.

Tietoturva on kallista

Tietoturvan ajatellaan yleensä olevan jotain tavattoman kallista vaikka se onkin perusteiltaan vain huolellista ja järjestelmällistä toimintaa, jossa pyritään tekemään asioista jäljitettäviä. Tärkeää on myös saada ihmiset ymmärtämään miksi asioita täytyy tehdä tietyllä tavalla. Ihmisethän koko yhtälössä ovat se heikko kohta, eivät palomuurit, lukot tai vartijat ovella. Tiedämme kaikki esimerkin tutkimuksesta, jossa salasana vaihdettiin suklaapatukkaan. Riskejä riittää salasanan muistavista sovelluksista kännykässä auki olevaan sähköpostilaatikkoon johon voi tilata kaikkien sovelluksien unohtuneet tunnukset tai erilaisiin tiedonkalastelukokeiluihin.

Huonossa maineessa

Tietoturvan etova maine perustunee paljolti huonoihin perusteluihin ja keppihevosiin. IT-osastot torppasivat takavuosina tietoturvalla kaikki sellaiset asiat, joita ne eivät ymmärtäneet, viitsineet tai halunneet tehdä. Edelleenkin huomaa, että joissakin yrityksessä ei voi tietoturvasyistä käyttää vaikkapa pienemmän toimittajan chatti-sovellusta, mutta isomman voi. Tämä silloinkin kun se isompi kopioi kaiken tiedonvaihdon Euroopan ulkopuolelle eikä edes kiellä tietojen vuotamista paikallisten viranomaisten kautta eteenpäin.

Tosiasiassa olemme luiskahtaneet tilanteeseen, jossa ihmiset käyttävät kirjavilla välineillä ja osaamisella organisaatioiden ulkoisia ja sisäisiä sovelluksia sekaisin. Tämä tehdään kuitenkaan ymmärtämättä tietoturvan merkitystä ja periaatteita millään tasolla. Onneksi edes eri ekosysteemeissä on herätty tietoturvapäivityksien ja eri sovellusten asennuksien tarkastamisen tärkeyteen.

Kuten köyhälläkään ei ole varaa halpaan, ei kenelläkään pitäisi olla varaa ottaa tarpeettomia riskejä.  Seuraavan kerran, kun otat tietoturvariskin, niin tiedä ainakin millaisen riskin otat.


Ville Availa on Sytyke ry:n hallituksen jäsen ja Ambientia Group Oy:n toimitusjohtaja