Vuokramies on erimies

Mikä oikeastaan on vuokramies?

Verkoston tietoturvapolitiikkaa pohtiessa on määriteltävä käsitteitä. Yksi hankalasti määriteltävä käsite on vuokramies. Yleisemmin vuokramies mielletään vuokratyötoimiston kautta vuokratuksi apuhenkilöksi, joka tulee työntekijän sijaiseksi tai rinnalle työskentelemään. Tietoturvan ja myös verkoston tietoturvan kannalta vuokramiehen tekee mielenkiintoiseksi se, millaisia välineitä ja oikeuksia hänelle suodaan. Tässä kolme erilaista vuokramiestä:

1. Vuokramies A. Henkilö toimii yrityksen tiloissa, yrityksen tietokoneella ja oikeuksilla. Vain palkanmaksu tapahtuu vuokraavan yrityksen kautta.
2. Vuokramies B. Henkilö toimii yrityksen tiloissa, oman yrityksen tietokoneella. Hänellä on etäyhteydet tarvittaviin järjestelmiin.
3. Vuokramies C. Henkilö toimii yrityksen alueella omissa tiloissa. Kulunvalvonta hoidetaan yrityksen järjestelmän kautta.

Vuokramiehen A ongelmina ovat lähinnä tuntien kuittaus oman yrityksen tuntikirjausjärjestelmään ja oman yrityksensä sähköpostien lukeminen. Verkostolle päin käyttövaltuuksien myöntäminen nikottelee kun henkilölle ei löydy henkilöstöhallinnon henkilönumeroa.

Vuokramiehen B ongelmina ovat yhteiset verkkolevyt ja -tulostimet. Samassa tilassa toimiminen luo myös haasteita yhtiötasolla luottamuksellisen tietoaineiston käsittelyn suhteen.

Vuokramiehen C ongelmina ovat lähinnä tietoliikenneyhteyksien järjestäminen ja purkaminen. Kulunvalvonta voi aiheuttaa ongelmia.

Yhteistä kaikille on se, että ohjeistaminen on haastavaa, kun ei ole vakiintuneita käsitteitä vuokratyömiehestä. Käsitteitä sen mukaan, mitä välineitä vuokramies tuo mukanaan ja mitkä välineet tulevat yrityksen puolesta.

Kimmo Metso

Turvaluokiteltu projekti

Tieto leviää varmasti kun sen turvaluokittelee...

Jollet usko, niin käy vilkaisemassa mitä kaikkea löytyy WikiLeaksistä. Verkoston tietoturvan kannalta turvaluokitellun aineiston käsittelyohjeita on turha lähteä ohjeistamaan. Eri viranomaisilla kun on hieman toisistaan poikkeavat tavat käsitellä turvaluokiteltua materiaalia. Myös mikä materiaali on turvaluokiteltua ja millä perusteilla vaihtelee viranomaisten kesken. Käytännössä ohjeistus kannattaakin laatia projektin tullessa eteen viranomaiskohtaisesti huomioiden projektin vaatimukset.

Suomessa julkisuuslaki rajoittaa mitä kaikkea tietoa voi turvaluokittaa. Oma näkemykseni on, että mitä vähemmän on turvaluokiteltua tietoa, sitä varmemmassa turvassa on turvaluokiteltu tieto. On helpompaa käsitellä pientä määrää, sopia siitä ja käyttää turvaluokiteltua tietoa kun sen määrä on kohtuullinen projektin kokoon nähden. Jos koko projekti on turvaluokiteltua tietoa, niin silloin koko toiminnan tulisi tapahtua "turvaluokitellussa tilassa". Tämä ei käytännössä ole mahdollista kun projektia tehdään verkoston kanssa yhdessä.

Yksinkertaisetkin toiminteet muuttuvat turvaluokittellun materiaalin kohdalle monimutkaisiksi. Tulostaminen, tilojen siivoukset, tietokoneen kovalevyn vaihto jne. aiheuttavat harmaita hiuksia. Isojen piirustusten kopiointiin käytetään pääsääntöisesti kopiointiin erikoistunutta yritystä. Pitää siis olla kopiolaitos, jolla on turvaluokiteltu tila piirustusten käsittelyyn. Vielä parempi on, jos kopiointilaitoksen kuljetuspalvelutkin on turvaluokiteltu. Turvaluokitellun materiaalin käsittelyyn tarkoitettu tilakin pitää joskus siivota kunnolla. Turvaluokitellun tilaan "naulatut" laitteet hajoavat. Niitä pitää huoltaa ja niihin pitää asentaa uusia ohjelmia.

Verkoston sopimuksessa on hyvä sopia periaatteet miten toimitaan turvaluokiteltujen projektien kohdalla. Ovaatko ne täysin erikseen veloitettavia? Miten toimitaan, jos viranomainen tai asiakas edellyttää uhkasakkoa ja se kohdistuu palvelun tuottajan toimintaan? Verkoston tietoturvaohjeisiin ei kuitenkaan kannata lähteä kuvaamaan turvaluokiteltujen projektien osalta tietoturva toimenpiteitä ja vaatimuksia. Ne kannattaa sopia erikseen projektikohtaisesti.

Kimmo Metso

Maton alle lakaistuja salaisuuksia

Verkoston tietoturvapoikkeamista tiedottaminen on vaikea asia. Yrityksenkin sisälläkin poikkeamista kertominen on jo hyvin rajattua ja pienen piirin asioita. Puhumattakaan sitten kumppaniverkostosta.

Yhteistyökumppanin tietoturvapäällikkö otti yhteyttä ja kertoi, että heillä epäillään tietomurtoyrityksestä kesätyöntekijää. Näyttöä on sen verran, että työsopimus on päätetty purkaa. Nyt selvitellään mihin kaikkiin tietoihin hän on yrittänyt päästä ja onko mahdollisesti onnistunut saamaan tietoonsa hänelle kuulumatonta tietoa.

"Hienoa! Jälleen yksi yhteistyökumppani, jolla tietoturvaan on oikeasti panostettu". Minua epäillyttää aina yhteistyökumppanit, joilla ei ole mitään tietoturvaan liittyviä poikkeamia. Omassa verkossamme niitä on koko ajan. Välillä Kiinalaiset testailevat sähköpostipalvelintamme, isolle ryhmälle käyttäjiä tulee samasta lähteestä lyhyellä jaksolla haittaohjelmia kun joku on löytänyt jonkun "kivan" jutun, järjestelmien logeissa on outoa käyttäytymistä tai joku on päättänyt tuoda kotoa jonkin eksoottisen nettiiin liitettävän laitteen verkkoomme. Suurin osa näistä ei ole vakavasti otettavia tietoturvapoikkeamia. Niihin löytyy joku luonnollinen tai hyväksyttävä selitys, mutta viikottain tietoturvapoikkeamiksi kirjattavia asioita tapahtuu.

Edellä mainittu verkostolle raportoitu kesätyön tekijän hölmöily oli verkoston tietoturvan kannalta oleellinen tietoturvapoikkeama. Verkosto rakentuu luottamukselle. Kaikkea ei ole suojattu loppuun saakka. Kun joku yrittää päästä järjestelmiin, joihin hänellä ei ole tarvetta, niin on syytä olettaa, ettei yritys ole kohdentunut vain oman työpaikan tietojärjestelmiin. Myös verkoston tietojärjestelmät ovat voineet olla kohteena.

Verkkoskannaukset ja järjestelmien murtautumisyritykset tulee tiedottaa verkoston tietoturvasta vastaaville. Samoin, jos verkoston jonkun yhteistyökumppanin palveluissa on haittaohjelmia. Vaikka haittaohjelma itsessään ei olisi vaarallinen, niin sen leviäminen verkostossa aiheuttaa helpdeskiin tarpeettomia yhteydenottoja ja tietokoneiden tarkastamisia.

Kimmo Metso

Ollako vai eikö olla?

Milloin verkosto on tietoturvan kannalta "oikea" verkosto?

Yritysten resurssit ovat rajallisia. Myös tietoturvaan kohdennettavat. Ei verkoston tietoturvan eteen kannata tehdä erityistä työtä jos ei olla oikeasti verkostoiduttu. Mikä sitten on oikeaa verkostoitumista ja toisinpäin mikä ei ole verkostoitumista?

• Tietoturvan kannalta merkittävää verkostoitumista tapahtuu, kun yritykset tekevät yhdessä samaa projektia ja jakavat projektiin liittyvää tietoa keskenään.
• Tietoturvan kannalta merkittävää verkostoitumista ei tapahdu, jos yritykset toimittavat tuotteita tai palveluja samaan projektiin jakamatta projektiin liittyvää tietoa keskenään.

Yleisenä ohjeena voisi sanoa, että kun ollaan normaalissa kauppasuhteessa, niin erityistä verkostoitumista ei tapahdu verkoston tietoturvan kannalta. Sopimuksia asioiden hoitamisesta voi olla, mutta yhteistyön kannalta ei ole tarvetta rakentaa erityistä verkoston tietoturva ohjeistusta.

Kimmo Metso

BLOGI.VERKOSTONTIETOTURVA.FI

Olen luennoinut usealla foorumilla verkoston tietoturvasta niin kotimaassa kuin ulkomailla. Lähtökohtana on, että yritykset verkottuvat yhä enemmän ja yhä tiiviimmin. Minusta ihan aiheellinen epäilys, terve epäluulo, yhteistyökumppanin toimintatavoista on tehnyt verkoston tietoturvasta suositun. Kuulijoita ja keskustelijoita on riittänyt. Halutaan varmistautua siitä, että tietoturva-asiat tuleva hoidettua myös verkottuneessa toimintatavassa.

1.12.2010 Finlandia talossa TIVI tietoturva 2011 tilaisuudessa pitämäni esitelmän yhteydessä julkaisin pikaoppaan verkoston tietoturvasta. Opas on saatavilla http://www.verkostontietoturva.fi/ sivuston kautta.
Ensimmäiseen versioon oppaasta on koottu 14 sivun verran asiaa ja tarinoita verkoston tietoturvasta.

Pikaoppaan tueksi aloitin tämän verkoston tietoturva blogin. Tarkoitus on julkaista useampi versio pikaoppaasta. Oppaaseen tulevia asioita käsittelen ensin täällä ja vasta sitten kirjoitan ne oppaaseen.

Kaikki kommentit, aihe-ehdotukset ja aiheeseen liittyvät keskustelut ovat tervetulleita. Verkoston tietoturvasta kiinnostuneet vierailijakirjoittajat ovat myös tervetulleita.

Kimmo Metso