Tarinoita tietoturvasta, osa 2

Turhan julkiset asiakasprojektit

Nykyinen asiakkaamme ylläpiti aikaisemmin itse omaa IT-ympäristöään. Organisaation ollessa pieni ei haluttu investoida ulkopuoliseen apuun ja uskottiin että Ville pystyy hoitamaan konsulttitöidensä ohessa yrityksen lähituen ja tuotantojärjestelmien ylläpidon. Järjestely toimi päällisin puolin hyvin. Ville tunsi kaikki työntekijät, oli paljon toimistolla ja aikaisemmin hän harrasti ohjelmointia, joten tietotekniikka oli hänelle tuttua. Hän oli itse toteuttanut yrityksen dokumentinhallintajärjestelmän, jota yritys piti yhtenä kilpailuvalttinaan.

Uuden toimitusjohtajan tullessa taloon hän pyysi meitä tekemään tietoturvakartoituksen. Kartoituksessa havaitsimme useita epäkohtia, joista vakavimpana oli päivittämätön PHP-versio palvelimella. Ville oli toteuttanut dokumentinhallintajärjestelmän haavoittuvan vanhan version päälle eikä ollut ehtinyt uudistaa koodia siten että se olisi toiminut uudella versiolla. Yrityksessä tätä ei pidetty kovin vakavana ongelmana, kunnes näytimme heille miten Internetistä pääsee pelkkää nettiselainta käyttämällä lukemaan yrityksen dokumenttikantaa - vieläpä tietämättä salasanoja! 

Mitä tästä opimme?

Yrityksessä laiminlyötiin ajantasaisten ohjelmistoversioiden käyttäminen, koska uskottiin vanhojen olevan täysin käyttökelpoisia. Vanhoissa ohjelmistoista on usein tietoturva-aukkoja, joita ohjelmistotoimittajat eivät enää paikkaa. Tämä altistaa vanhojen ohjelmien käyttäjät haavoittuvuuksille ja väärinkäytöksille.

Yrityksen kannattaa laatia ohjelmistoille päivityssuunnitelma. Turvallisuuteen liittyvät ohjelmistot, kuten tietokoneiden käyttöjärjestelmät, selaimet, niiden liitännäiset, palomuuri ja virustorjunta on pidettävä ajan tasalla. Tietoturvaan liittyvät päivitykset on hyvä automatisoida, jotteivät ne jää käyttäjän vastuulle. Ohjelmistotoimittajien kanssa on hyvä käydä läpi uusien ja vanhojen versioiden erot ja laadittava suunnitelma isommille versiopäivityksille. Lisenssienhallintaan liittyy myös riittävien ylläpito- ja tukipalveluiden hankkiminen.

Tietotekniset laitteet ovat kulutustavaraa eivätkä kestä ikuisesti. Sama koskee myös ohjelmistoja. Niiden elinkaari on yleensä muutamia vuosia. Investoimalla laadukkaisiin työkaluihin turvallisuus on taattu ja usein uusien ohjelmistojen ja tehokkaampien koneiden avulla myös työn tehokkuus ja laatu paranevat. 

Kysymyksiä, joihin sinulla on hyvä olla vastaus:

  1. Miten pidätte ohjelmistojen ja verkon aktiivilaitteiden tietoturvapäivitykset ajan tasalla?
  2. Minkälaista ohjelmisto- ja laitetukea palveluntarjoajanne antaa? 
  3. Kuinka paljon käyttäjät voivat itse vaikuttaa tietoturva-asetuksiin?