Lue keskustelun säännöt.
Tervetuloa lukemaan keskusteluja! Kommentointi on avoinna klo 7 - 23.
Tervetuloa lukemaan keskusteluja! Kommentointi on avoinna klo 7 - 23.
Alue: Aihe vapaa
"Verkkokauppa.com rakentaa it-järjestelmät itse" "Verkkokauppa.comin 60 hengen it-organisaatio on kuin keskikokoinen it-talo." - KYSYMYS!
16.02.2021 |
Miksi valtio ei kasaa 60 hengen it-organisaatiota koodamaan sairaaloiden käyttöön sellaisen potilastietojärjestelmän, jollaista juuri Suomessa tarvitaan? Tuollainen järjestelmähän ei varsinaisesti ole mitään rakettitiedettä, pohjalla on vain iso tietokanta, joka on perustekniikkaa, varsinainen juttu on siis se, että a) mitä tietoja missäkin vaiheessa sinne syötetään ja sieltä halutaan lukea ja b) hyvä käyttöliittymä. Täysin mahdollisia asioita toteuttaa suomalaisella osaamisella.
Miksi siis pitää ostaa paska järjestelmä ulkomailta, kun voisi tehdä paremman itse ja halvemmalla?
Kommentit (61)
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
ja c) tietoturva, jollaisesta on (Vastaamosta huolimatta) Suomessa kokemusta, silä onhan meillä ollut esim. F-Secure.
Aika naurettavaa, jos luulet että tietoturva on tänäkin päivänä jokin tietokoneelle asennettava virustentorjuntatuote. F-securen aika on ohi.
Öh, F-securet ja vastaavat tekevät mm. myös palomuurisoftia yms. eli ei vain virustorjuntaa.
Öh itsellesi, ymmärryksesi on edelleen suppea. Nuo asennettavat ohjelmat ovat jokseenkin samaa tuoteperhettä eikä siitä ole kyse tietojärjestelmien tietoturvassa edes alkuunkaan. Sivusta.
Totta kai ihan samoista periaatteista on kyse, kun suojataan verkossa kulkevaa dataa niin, että se ei päädy asiattomiin käsiin.
Kyse on täysin eri periaatteista.
Palomuurin periaate kiteytetysti on sulkea tietoliikenneportteja tarpeettomilta/haitallisilta protokollilta ja palveluilta.
Virustorjunnan periaate kiteytetysti on tunnistaa tietokoneelle asentuva tai päässyt haittaohjelma vertaamalla tunnettuihin virusten "sormenjälkiin".
Verkossa kulkevan datan suojaaminen ulkopuolisten salakuuntelulta taas perustuu kiteytetysti tiedon salaamiseen sekä vastapuolen luotettavaan autentikointiin.
Ohjelmistotasoinen tietoturva puolestaan liittyy siihen, kuinka järjestelmään on ohjelmoitu pääsy erilaisiin tietoihin sen oikeutettujen käyttäjien kesken sekä ulkopuolisten kalastelulta.
Palomuuri on kuin pihatien portti. Jos se suljetaan, siitä ei pääse kukaan. Ei roisto, muttei myöskään ystävä. Palomuurilla ei voi sulkea asialliselta liikenteeltä pääsyä. Esimerkiksi pankkikonttori menettää asiakkaansa jos se sulkee ovensa kaikilta. Ulko-ovi on pidettävä auki. Virustorjunta on kuin valvontakameralaitteisto ja vartija, joka havaitsee väärässä paikassa hiippailevan epämääräisen kulkijan ja ilmeisen epäilyttävän toiminnan ja voi poistaa tämän tai keskeyttää toiminnan. Avoimesta ovesta tai omasta seinään räjäytetystä reiästään päässeet roistot saadaan näin kiinni. Tietoliikenteen suojaaminen vastaa sitä, että pankissa on neuvottelutilat ja palvelutiskit joissa yksityiset asiat käsitellään vieraiden korvien kuulemattomissa ja rahan nostajan tai laskun maksajan henkilöllisyys tarkistetaan. Ohjelmistotasoista tietoturvaa vastaa se joukko ohjeita ja käytäntöjä, joiden perusteella pankki toimii näiden em. rutiinien päälle varsinaisessa työssään. Esimerkiksi pankki tarkistaa, että henkilöllä on käyttöoikeus tiettyyn tiliin ja että tilillä on rahaa. Suljetut portit, virustorjunta ja tietoliikenteen salaminen ovat hyödyttömiä ja turhia, jos itse palvelun tietoturva ei toimi tai sitä ei ole. Tekoviiksillä tai pötypuheilla ohitetaan kaikki hienot F-Securet, kun ohjelmisto itsessään on rikki. Järjestelmätietoturvaa ei saa mistään valmiina eikä asenneta erikseen vaan se on oleellinen osa itse järjestelmää ja suunnitellaan siihen alusta asti. Valmiit yleisratkaisut ovat enintään sitä tukevia osatekijöitä.
Urgh, kyse oli siis periaatteista eikä teknistä yksityiskohdista. Tietoturva ei ole kokoelma softia tai teknisiä ratkaisuja vaan prosessi. t. eri
Lisäksi f-secure tekee paljon muutakin kuin virustorjuntaohjelmistoa mutta tuo menee jo ohi koko ketjun.
Tuossa aiemmin lueteltiin yksittäisiä teknisiä lähestymistapoja (palomuuri, virustorjunta, tietoliikenteen suojaus) yksittäisiin ja erillisiin ongelmiin. Keskustelu taas koskee tietoturvaa järjestelmissä. Mitään yhteisiä ja yhtäläisiä periaatteita niissä ei oikeastaan ole. Tietoturva ei ole erillinen prosessi vaan se on läpileikkaava aspekti ohjelmistotuotannon ja -ylläpidon prosesseissa.
Läpileikkaava aspekti joka ei ole prosessi? (eli miten se sitten tapahtuu, asiat muuttuu satunnaisesti kunnes kaikki sattuu toimimaan ja sitten asetukset lukitaan?) Yritätkö nyt saivarrella itsesi ulos itse kaivamastasi kuopasta vai etkö vaan tunne asiaa mistä yrität väitellä?
Joo ei, ei nyt jaksa täysin turhasta asiasta jatkaa.
Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.
Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena.
Et siis tunne asiaa ollenkaan. Selkis.
Sisältö jatkuu mainoksen alla
Sisältö jatkuu mainoksen alla
kuka tahansa osaa tehdä uuden. esim viro teki niin. ja onnistui. ero suomalaisiin oli vain se, että virolaisten tietoja ei ollut kuin kgb arkistoissa. kukaan järkevä ei aikoinaan halunnut mitää omia tietoja mihinkään. suomessa on vuodesta -52 asti tietoja eri järjestelmissä ja kansioissa. kun tarttee emuloida yli 500 entistä systeemiä uuteen yhteen systeemiin, se on se haaste.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
ja c) tietoturva, jollaisesta on (Vastaamosta huolimatta) Suomessa kokemusta, silä onhan meillä ollut esim. F-Secure.
Aika naurettavaa, jos luulet että tietoturva on tänäkin päivänä jokin tietokoneelle asennettava virustentorjuntatuote. F-securen aika on ohi.
Öh, F-securet ja vastaavat tekevät mm. myös palomuurisoftia yms. eli ei vain virustorjuntaa.
Öh itsellesi, ymmärryksesi on edelleen suppea. Nuo asennettavat ohjelmat ovat jokseenkin samaa tuoteperhettä eikä siitä ole kyse tietojärjestelmien tietoturvassa edes alkuunkaan. Sivusta.
Totta kai ihan samoista periaatteista on kyse, kun suojataan verkossa kulkevaa dataa niin, että se ei päädy asiattomiin käsiin.
Kyse on täysin eri periaatteista.
Palomuurin periaate kiteytetysti on sulkea tietoliikenneportteja tarpeettomilta/haitallisilta protokollilta ja palveluilta.
Virustorjunnan periaate kiteytetysti on tunnistaa tietokoneelle asentuva tai päässyt haittaohjelma vertaamalla tunnettuihin virusten "sormenjälkiin".
Verkossa kulkevan datan suojaaminen ulkopuolisten salakuuntelulta taas perustuu kiteytetysti tiedon salaamiseen sekä vastapuolen luotettavaan autentikointiin.
Ohjelmistotasoinen tietoturva puolestaan liittyy siihen, kuinka järjestelmään on ohjelmoitu pääsy erilaisiin tietoihin sen oikeutettujen käyttäjien kesken sekä ulkopuolisten kalastelulta.
Palomuuri on kuin pihatien portti. Jos se suljetaan, siitä ei pääse kukaan. Ei roisto, muttei myöskään ystävä. Palomuurilla ei voi sulkea asialliselta liikenteeltä pääsyä. Esimerkiksi pankkikonttori menettää asiakkaansa jos se sulkee ovensa kaikilta. Ulko-ovi on pidettävä auki. Virustorjunta on kuin valvontakameralaitteisto ja vartija, joka havaitsee väärässä paikassa hiippailevan epämääräisen kulkijan ja ilmeisen epäilyttävän toiminnan ja voi poistaa tämän tai keskeyttää toiminnan. Avoimesta ovesta tai omasta seinään räjäytetystä reiästään päässeet roistot saadaan näin kiinni. Tietoliikenteen suojaaminen vastaa sitä, että pankissa on neuvottelutilat ja palvelutiskit joissa yksityiset asiat käsitellään vieraiden korvien kuulemattomissa ja rahan nostajan tai laskun maksajan henkilöllisyys tarkistetaan. Ohjelmistotasoista tietoturvaa vastaa se joukko ohjeita ja käytäntöjä, joiden perusteella pankki toimii näiden em. rutiinien päälle varsinaisessa työssään. Esimerkiksi pankki tarkistaa, että henkilöllä on käyttöoikeus tiettyyn tiliin ja että tilillä on rahaa. Suljetut portit, virustorjunta ja tietoliikenteen salaminen ovat hyödyttömiä ja turhia, jos itse palvelun tietoturva ei toimi tai sitä ei ole. Tekoviiksillä tai pötypuheilla ohitetaan kaikki hienot F-Securet, kun ohjelmisto itsessään on rikki. Järjestelmätietoturvaa ei saa mistään valmiina eikä asenneta erikseen vaan se on oleellinen osa itse järjestelmää ja suunnitellaan siihen alusta asti. Valmiit yleisratkaisut ovat enintään sitä tukevia osatekijöitä.
Urgh, kyse oli siis periaatteista eikä teknistä yksityiskohdista. Tietoturva ei ole kokoelma softia tai teknisiä ratkaisuja vaan prosessi. t. eri
Lisäksi f-secure tekee paljon muutakin kuin virustorjuntaohjelmistoa mutta tuo menee jo ohi koko ketjun.
Tuossa aiemmin lueteltiin yksittäisiä teknisiä lähestymistapoja (palomuuri, virustorjunta, tietoliikenteen suojaus) yksittäisiin ja erillisiin ongelmiin. Keskustelu taas koskee tietoturvaa järjestelmissä. Mitään yhteisiä ja yhtäläisiä periaatteita niissä ei oikeastaan ole. Tietoturva ei ole erillinen prosessi vaan se on läpileikkaava aspekti ohjelmistotuotannon ja -ylläpidon prosesseissa.
Läpileikkaava aspekti joka ei ole prosessi? (eli miten se sitten tapahtuu, asiat muuttuu satunnaisesti kunnes kaikki sattuu toimimaan ja sitten asetukset lukitaan?) Yritätkö nyt saivarrella itsesi ulos itse kaivamastasi kuopasta vai etkö vaan tunne asiaa mistä yrität väitellä?
Joo ei, ei nyt jaksa täysin turhasta asiasta jatkaa.
Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.
Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena.
Et siis tunne asiaa ollenkaan. Selkis.
Ilmeisen paljon paremmin kuin sinä, arvon ”täysin turha asia”.
Vierailija kirjoitti:
Apotti maksoi ilmeisesti noin miljardin.
Jos koodari saisi esim. 100000 euroa vuodessa niin tuolla summalla ne 60 koodaria voisivat olla töissä 167 vuotta.
Pelkästään Apotti Oy;ssä on töissä n. 600 henkeä. Apotin vuosittaiset käyttökustannukset ovat n. 60 miljoonaa.
mara2 kirjoitti:
kuka tahansa osaa tehdä uuden. esim viro teki niin. ja onnistui. ero suomalaisiin oli vain se, että virolaisten tietoja ei ollut kuin kgb arkistoissa. kukaan järkevä ei aikoinaan halunnut mitää omia tietoja mihinkään. suomessa on vuodesta -52 asti tietoja eri järjestelmissä ja kansioissa. kun tarttee emuloida yli 500 entistä systeemiä uuteen yhteen systeemiin, se on se haaste.
Sinun ei kannattaisi käyttää isoja sanoja joitten merkitystä et itse tiedä (emuloida).
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
ja c) tietoturva, jollaisesta on (Vastaamosta huolimatta) Suomessa kokemusta, silä onhan meillä ollut esim. F-Secure.
Aika naurettavaa, jos luulet että tietoturva on tänäkin päivänä jokin tietokoneelle asennettava virustentorjuntatuote. F-securen aika on ohi.
Öh, F-securet ja vastaavat tekevät mm. myös palomuurisoftia yms. eli ei vain virustorjuntaa.
Öh itsellesi, ymmärryksesi on edelleen suppea. Nuo asennettavat ohjelmat ovat jokseenkin samaa tuoteperhettä eikä siitä ole kyse tietojärjestelmien tietoturvassa edes alkuunkaan. Sivusta.
Totta kai ihan samoista periaatteista on kyse, kun suojataan verkossa kulkevaa dataa niin, että se ei päädy asiattomiin käsiin.
Kyse on täysin eri periaatteista.
Palomuurin periaate kiteytetysti on sulkea tietoliikenneportteja tarpeettomilta/haitallisilta protokollilta ja palveluilta.
Virustorjunnan periaate kiteytetysti on tunnistaa tietokoneelle asentuva tai päässyt haittaohjelma vertaamalla tunnettuihin virusten "sormenjälkiin".
Verkossa kulkevan datan suojaaminen ulkopuolisten salakuuntelulta taas perustuu kiteytetysti tiedon salaamiseen sekä vastapuolen luotettavaan autentikointiin.
Ohjelmistotasoinen tietoturva puolestaan liittyy siihen, kuinka järjestelmään on ohjelmoitu pääsy erilaisiin tietoihin sen oikeutettujen käyttäjien kesken sekä ulkopuolisten kalastelulta.
Palomuuri on kuin pihatien portti. Jos se suljetaan, siitä ei pääse kukaan. Ei roisto, muttei myöskään ystävä. Palomuurilla ei voi sulkea asialliselta liikenteeltä pääsyä. Esimerkiksi pankkikonttori menettää asiakkaansa jos se sulkee ovensa kaikilta. Ulko-ovi on pidettävä auki. Virustorjunta on kuin valvontakameralaitteisto ja vartija, joka havaitsee väärässä paikassa hiippailevan epämääräisen kulkijan ja ilmeisen epäilyttävän toiminnan ja voi poistaa tämän tai keskeyttää toiminnan. Avoimesta ovesta tai omasta seinään räjäytetystä reiästään päässeet roistot saadaan näin kiinni. Tietoliikenteen suojaaminen vastaa sitä, että pankissa on neuvottelutilat ja palvelutiskit joissa yksityiset asiat käsitellään vieraiden korvien kuulemattomissa ja rahan nostajan tai laskun maksajan henkilöllisyys tarkistetaan. Ohjelmistotasoista tietoturvaa vastaa se joukko ohjeita ja käytäntöjä, joiden perusteella pankki toimii näiden em. rutiinien päälle varsinaisessa työssään. Esimerkiksi pankki tarkistaa, että henkilöllä on käyttöoikeus tiettyyn tiliin ja että tilillä on rahaa. Suljetut portit, virustorjunta ja tietoliikenteen salaminen ovat hyödyttömiä ja turhia, jos itse palvelun tietoturva ei toimi tai sitä ei ole. Tekoviiksillä tai pötypuheilla ohitetaan kaikki hienot F-Securet, kun ohjelmisto itsessään on rikki. Järjestelmätietoturvaa ei saa mistään valmiina eikä asenneta erikseen vaan se on oleellinen osa itse järjestelmää ja suunnitellaan siihen alusta asti. Valmiit yleisratkaisut ovat enintään sitä tukevia osatekijöitä.
Urgh, kyse oli siis periaatteista eikä teknistä yksityiskohdista. Tietoturva ei ole kokoelma softia tai teknisiä ratkaisuja vaan prosessi. t. eri
Lisäksi f-secure tekee paljon muutakin kuin virustorjuntaohjelmistoa mutta tuo menee jo ohi koko ketjun.
Tuossa aiemmin lueteltiin yksittäisiä teknisiä lähestymistapoja (palomuuri, virustorjunta, tietoliikenteen suojaus) yksittäisiin ja erillisiin ongelmiin. Keskustelu taas koskee tietoturvaa järjestelmissä. Mitään yhteisiä ja yhtäläisiä periaatteita niissä ei oikeastaan ole. Tietoturva ei ole erillinen prosessi vaan se on läpileikkaava aspekti ohjelmistotuotannon ja -ylläpidon prosesseissa.
Läpileikkaava aspekti joka ei ole prosessi? (eli miten se sitten tapahtuu, asiat muuttuu satunnaisesti kunnes kaikki sattuu toimimaan ja sitten asetukset lukitaan?) Yritätkö nyt saivarrella itsesi ulos itse kaivamastasi kuopasta vai etkö vaan tunne asiaa mistä yrität väitellä?
Joo ei, ei nyt jaksa täysin turhasta asiasta jatkaa.
Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.
Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena.
Ei viddu mitä jaarittelua. Ei kyllä ihme että suomen it-teollisuus on täyttä paskaa jos tuollaisia kaunokirjailijoita palkkaavat.
mara2 kirjoitti:
kuka tahansa osaa tehdä uuden. esim viro teki niin. ja onnistui. ero suomalaisiin oli vain se, että virolaisten tietoja ei ollut kuin kgb arkistoissa. kukaan järkevä ei aikoinaan halunnut mitää omia tietoja mihinkään. suomessa on vuodesta -52 asti tietoja eri järjestelmissä ja kansioissa. kun tarttee emuloida yli 500 entistä systeemiä uuteen yhteen systeemiin, se on se haaste.
Just näin. Viro itsenäistyi juuri sellaisessa vaiheessa, että se pääsi tekemään jo ihan hyvää puhtaalta pöydältä ilman, että tarvitsee huomioida vanhaa legacya. IT-kehitys oli jo tuohon aikaan hyvällä tasolla, joten pystyi ottamaan käyttöön uusimmat tekniset, prosesseihin ja toimintatapoihin liittyvät ja lainsäädölliset asiat. Eikä tarvitse huomioida sitä vanhas 70-80 luvuilla tehtyä painolastia ja eri paikkakunnilla ja organisaatioissa käytettyjä yhteensopimattomia järjestelmiä.
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
ja c) tietoturva, jollaisesta on (Vastaamosta huolimatta) Suomessa kokemusta, silä onhan meillä ollut esim. F-Secure.
Aika naurettavaa, jos luulet että tietoturva on tänäkin päivänä jokin tietokoneelle asennettava virustentorjuntatuote. F-securen aika on ohi.
Öh, F-securet ja vastaavat tekevät mm. myös palomuurisoftia yms. eli ei vain virustorjuntaa.
Öh itsellesi, ymmärryksesi on edelleen suppea. Nuo asennettavat ohjelmat ovat jokseenkin samaa tuoteperhettä eikä siitä ole kyse tietojärjestelmien tietoturvassa edes alkuunkaan. Sivusta.
Totta kai ihan samoista periaatteista on kyse, kun suojataan verkossa kulkevaa dataa niin, että se ei päädy asiattomiin käsiin.
Kyse on täysin eri periaatteista.
Palomuurin periaate kiteytetysti on sulkea tietoliikenneportteja tarpeettomilta/haitallisilta protokollilta ja palveluilta.
Virustorjunnan periaate kiteytetysti on tunnistaa tietokoneelle asentuva tai päässyt haittaohjelma vertaamalla tunnettuihin virusten "sormenjälkiin".
Verkossa kulkevan datan suojaaminen ulkopuolisten salakuuntelulta taas perustuu kiteytetysti tiedon salaamiseen sekä vastapuolen luotettavaan autentikointiin.
Ohjelmistotasoinen tietoturva puolestaan liittyy siihen, kuinka järjestelmään on ohjelmoitu pääsy erilaisiin tietoihin sen oikeutettujen käyttäjien kesken sekä ulkopuolisten kalastelulta.
Palomuuri on kuin pihatien portti. Jos se suljetaan, siitä ei pääse kukaan. Ei roisto, muttei myöskään ystävä. Palomuurilla ei voi sulkea asialliselta liikenteeltä pääsyä. Esimerkiksi pankkikonttori menettää asiakkaansa jos se sulkee ovensa kaikilta. Ulko-ovi on pidettävä auki. Virustorjunta on kuin valvontakameralaitteisto ja vartija, joka havaitsee väärässä paikassa hiippailevan epämääräisen kulkijan ja ilmeisen epäilyttävän toiminnan ja voi poistaa tämän tai keskeyttää toiminnan. Avoimesta ovesta tai omasta seinään räjäytetystä reiästään päässeet roistot saadaan näin kiinni. Tietoliikenteen suojaaminen vastaa sitä, että pankissa on neuvottelutilat ja palvelutiskit joissa yksityiset asiat käsitellään vieraiden korvien kuulemattomissa ja rahan nostajan tai laskun maksajan henkilöllisyys tarkistetaan. Ohjelmistotasoista tietoturvaa vastaa se joukko ohjeita ja käytäntöjä, joiden perusteella pankki toimii näiden em. rutiinien päälle varsinaisessa työssään. Esimerkiksi pankki tarkistaa, että henkilöllä on käyttöoikeus tiettyyn tiliin ja että tilillä on rahaa. Suljetut portit, virustorjunta ja tietoliikenteen salaminen ovat hyödyttömiä ja turhia, jos itse palvelun tietoturva ei toimi tai sitä ei ole. Tekoviiksillä tai pötypuheilla ohitetaan kaikki hienot F-Securet, kun ohjelmisto itsessään on rikki. Järjestelmätietoturvaa ei saa mistään valmiina eikä asenneta erikseen vaan se on oleellinen osa itse järjestelmää ja suunnitellaan siihen alusta asti. Valmiit yleisratkaisut ovat enintään sitä tukevia osatekijöitä.
Urgh, kyse oli siis periaatteista eikä teknistä yksityiskohdista. Tietoturva ei ole kokoelma softia tai teknisiä ratkaisuja vaan prosessi. t. eri
Lisäksi f-secure tekee paljon muutakin kuin virustorjuntaohjelmistoa mutta tuo menee jo ohi koko ketjun.
Tuossa aiemmin lueteltiin yksittäisiä teknisiä lähestymistapoja (palomuuri, virustorjunta, tietoliikenteen suojaus) yksittäisiin ja erillisiin ongelmiin. Keskustelu taas koskee tietoturvaa järjestelmissä. Mitään yhteisiä ja yhtäläisiä periaatteita niissä ei oikeastaan ole. Tietoturva ei ole erillinen prosessi vaan se on läpileikkaava aspekti ohjelmistotuotannon ja -ylläpidon prosesseissa.
Läpileikkaava aspekti joka ei ole prosessi? (eli miten se sitten tapahtuu, asiat muuttuu satunnaisesti kunnes kaikki sattuu toimimaan ja sitten asetukset lukitaan?) Yritätkö nyt saivarrella itsesi ulos itse kaivamastasi kuopasta vai etkö vaan tunne asiaa mistä yrität väitellä?
Joo ei, ei nyt jaksa täysin turhasta asiasta jatkaa.
Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.
Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena.
Et siis tunne asiaa ollenkaan. Selkis.
Ilmeisen paljon paremmin kuin sinä, arvon ”täysin turha asia”.
Tjoo, joku kaltaisesi kaiken tarpeellisen tietäjä ja "me tehdään ite" kaveri oli vastaamossakin pomona. Mutta tiedä vaan omasta mielestäsi paremmin. Hakkerit syö kaltaistesi ylläpitämiä järjestelmiä aamupalaksi.
Vierailija kirjoitti:
Vierailija kirjoitti:
Se oikeasti iso homma tuossa potilastietojärjestelmässä on se, että sen pitää pystyä kommunikoimaan kaikkien miljoonan eri systeemin kanssa, jotka ovat nyt jo olemassa ja jotka puhuvat ihan eri kieliä.
Verkkokaupalla ei ole tätä ongelmaa.
Kyllä. Tietojärjestelmissä integraatiot maksavat hunajaa ja tuovat ylläpitokustannuksia ihan toisella tapaa kuin erillisjörjestelmässä. Terveydenhuollossa on lisäksi erityisiä toimintavarmuuteen ja tietosuojaan liittyviä piirteitä jotka mutkistavat toteutusta huomattavasti.
Jos nettimyymälä kadottaa asiakkaan tilaushistorian, ei se haittaa, kun kirjanpidon voi korjata tiliotteen perusteella ja kuittia vastaan käy takuutoimintakin. Potilashistoriasta ei saa ikinä kadota mikään vaikka ihmiset tyrisivät ja laitteet särkyisivät. Ketään ei kiinnosta moniko ylläpitäjä urkkii nettimyymälästä yksittäisten asiakkaiden tietoja, mutta potilasjärjestelmissä joka käytöstä on talletettava jälki ja väärinkäytökset ovat rikosasioita.
Tämä. Jokainen järjestelmä on oma ohjelmansa. Kuvantamisohjelmat, labraohjelmat, jne. Kaikki tämä tieto pitää osata yhdistää oikeaan potilaaseen. Ohjelmien välille tehdään isoja integraatioprojekteja jota eri ohjelmien tiedot saadaan viety lääkärille asti. Yksikään suomalainen kooderi ei koodia labrajärjestelmiä.
Sisältö jatkuu mainoksen alla
Valtiolla on nyt tehty työkkärien uutta järjestelmää kohta 4 vuotta, tähän asti on maksettu vasta vähän yli 30 miljoonaa euroa. Homma tökkii pahasti, koska samaan aikaan tehdään kaikille käyttäjille avointa Työmarkkinatoria, johon tallennetut asiakastiedot muuttuvat yllättäen viranomaistiedoksi, jos henkilöstä tulee työtön. Eli ihan kaikki sinne työnhakua varten kirjattu siirtyy työkkärille, jonka jälkeen asiakas ei saa työttömyysaikana tietoja lisätä tai muuttaa, vaikka miten haluaisi tehdä paremman CV:n.
Viranomaispuolella taas tehdään ratkaisuja järjestelmä edellä sillä logiikalla, että 80% tarkkuus riittää, 20% asiakkaista voi jäädä ilman heille kuuluvaa etuutta. Korjataan sitten jälkikäteen, jos asiakas valittaa. Tulossa on myös botti, joka osaa kysyä, että mitä etsit, mutta ei osaa vastata mihinkään kysymykseen. Mutta voidaan hehkuttaa ulospäin, että meillä on täällä tekoäly.
Mutta ihan varoituksen sanana: älä anna tietojasi Työmarkkinatorille ellet hyväksy sitä, että ne ovat jjonain päivänä viranomaistietoa.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Se oikeasti iso homma tuossa potilastietojärjestelmässä on se, että sen pitää pystyä kommunikoimaan kaikkien miljoonan eri systeemin kanssa, jotka ovat nyt jo olemassa ja jotka puhuvat ihan eri kieliä.
Verkkokaupalla ei ole tätä ongelmaa.
Kyllä. Tietojärjestelmissä integraatiot maksavat hunajaa ja tuovat ylläpitokustannuksia ihan toisella tapaa kuin erillisjörjestelmässä. Terveydenhuollossa on lisäksi erityisiä toimintavarmuuteen ja tietosuojaan liittyviä piirteitä jotka mutkistavat toteutusta huomattavasti.
Jos nettimyymälä kadottaa asiakkaan tilaushistorian, ei se haittaa, kun kirjanpidon voi korjata tiliotteen perusteella ja kuittia vastaan käy takuutoimintakin. Potilashistoriasta ei saa ikinä kadota mikään vaikka ihmiset tyrisivät ja laitteet särkyisivät. Ketään ei kiinnosta moniko ylläpitäjä urkkii nettimyymälästä yksittäisten asiakkaiden tietoja, mutta potilasjärjestelmissä joka käytöstä on talletettava jälki ja väärinkäytökset ovat rikosasioita.
Tämä. Jokainen järjestelmä on oma ohjelmansa. Kuvantamisohjelmat, labraohjelmat, jne. Kaikki tämä tieto pitää osata yhdistää oikeaan potilaaseen. Ohjelmien välille tehdään isoja integraatioprojekteja jota eri ohjelmien tiedot saadaan viety lääkärille asti. Yksikään suomalainen kooderi ei koodia labrajärjestelmiä.
Koska tietokantasofta joka yhdistää erilaisia koodeja toisiinsa ja antaa hakea niitä eri kriteereillä onkin varsinaista rakettitiedettä, doh. Ainakin terveydenhoito saa sen kuulostamaan rakettitieteeltä ja hintakin tuppaa olemaan sitä luokkaa.
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
ja c) tietoturva, jollaisesta on (Vastaamosta huolimatta) Suomessa kokemusta, silä onhan meillä ollut esim. F-Secure.
Aika naurettavaa, jos luulet että tietoturva on tänäkin päivänä jokin tietokoneelle asennettava virustentorjuntatuote. F-securen aika on ohi.
Öh, F-securet ja vastaavat tekevät mm. myös palomuurisoftia yms. eli ei vain virustorjuntaa.
Öh itsellesi, ymmärryksesi on edelleen suppea. Nuo asennettavat ohjelmat ovat jokseenkin samaa tuoteperhettä eikä siitä ole kyse tietojärjestelmien tietoturvassa edes alkuunkaan. Sivusta.
Totta kai ihan samoista periaatteista on kyse, kun suojataan verkossa kulkevaa dataa niin, että se ei päädy asiattomiin käsiin.
Kyse on täysin eri periaatteista.
Palomuurin periaate kiteytetysti on sulkea tietoliikenneportteja tarpeettomilta/haitallisilta protokollilta ja palveluilta.
Virustorjunnan periaate kiteytetysti on tunnistaa tietokoneelle asentuva tai päässyt haittaohjelma vertaamalla tunnettuihin virusten "sormenjälkiin".
Verkossa kulkevan datan suojaaminen ulkopuolisten salakuuntelulta taas perustuu kiteytetysti tiedon salaamiseen sekä vastapuolen luotettavaan autentikointiin.
Ohjelmistotasoinen tietoturva puolestaan liittyy siihen, kuinka järjestelmään on ohjelmoitu pääsy erilaisiin tietoihin sen oikeutettujen käyttäjien kesken sekä ulkopuolisten kalastelulta.
Palomuuri on kuin pihatien portti. Jos se suljetaan, siitä ei pääse kukaan. Ei roisto, muttei myöskään ystävä. Palomuurilla ei voi sulkea asialliselta liikenteeltä pääsyä. Esimerkiksi pankkikonttori menettää asiakkaansa jos se sulkee ovensa kaikilta. Ulko-ovi on pidettävä auki. Virustorjunta on kuin valvontakameralaitteisto ja vartija, joka havaitsee väärässä paikassa hiippailevan epämääräisen kulkijan ja ilmeisen epäilyttävän toiminnan ja voi poistaa tämän tai keskeyttää toiminnan. Avoimesta ovesta tai omasta seinään räjäytetystä reiästään päässeet roistot saadaan näin kiinni. Tietoliikenteen suojaaminen vastaa sitä, että pankissa on neuvottelutilat ja palvelutiskit joissa yksityiset asiat käsitellään vieraiden korvien kuulemattomissa ja rahan nostajan tai laskun maksajan henkilöllisyys tarkistetaan. Ohjelmistotasoista tietoturvaa vastaa se joukko ohjeita ja käytäntöjä, joiden perusteella pankki toimii näiden em. rutiinien päälle varsinaisessa työssään. Esimerkiksi pankki tarkistaa, että henkilöllä on käyttöoikeus tiettyyn tiliin ja että tilillä on rahaa. Suljetut portit, virustorjunta ja tietoliikenteen salaminen ovat hyödyttömiä ja turhia, jos itse palvelun tietoturva ei toimi tai sitä ei ole. Tekoviiksillä tai pötypuheilla ohitetaan kaikki hienot F-Securet, kun ohjelmisto itsessään on rikki. Järjestelmätietoturvaa ei saa mistään valmiina eikä asenneta erikseen vaan se on oleellinen osa itse järjestelmää ja suunnitellaan siihen alusta asti. Valmiit yleisratkaisut ovat enintään sitä tukevia osatekijöitä.
Urgh, kyse oli siis periaatteista eikä teknistä yksityiskohdista. Tietoturva ei ole kokoelma softia tai teknisiä ratkaisuja vaan prosessi. t. eri
Lisäksi f-secure tekee paljon muutakin kuin virustorjuntaohjelmistoa mutta tuo menee jo ohi koko ketjun.
Tuossa aiemmin lueteltiin yksittäisiä teknisiä lähestymistapoja (palomuuri, virustorjunta, tietoliikenteen suojaus) yksittäisiin ja erillisiin ongelmiin. Keskustelu taas koskee tietoturvaa järjestelmissä. Mitään yhteisiä ja yhtäläisiä periaatteita niissä ei oikeastaan ole. Tietoturva ei ole erillinen prosessi vaan se on läpileikkaava aspekti ohjelmistotuotannon ja -ylläpidon prosesseissa.
Läpileikkaava aspekti joka ei ole prosessi? (eli miten se sitten tapahtuu, asiat muuttuu satunnaisesti kunnes kaikki sattuu toimimaan ja sitten asetukset lukitaan?) Yritätkö nyt saivarrella itsesi ulos itse kaivamastasi kuopasta vai etkö vaan tunne asiaa mistä yrität väitellä?
Joo ei, ei nyt jaksa täysin turhasta asiasta jatkaa.
Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.
Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena.
Et siis tunne asiaa ollenkaan. Selkis.
Ilmeisen paljon paremmin kuin sinä, arvon ”täysin turha asia”.
Tjoo, joku kaltaisesi kaiken tarpeellisen tietäjä ja "me tehdään ite" kaveri oli vastaamossakin pomona. Mutta tiedä vaan omasta mielestäsi paremmin. Hakkerit syö kaltaistesi ylläpitämiä järjestelmiä aamupalaksi.
Keskitypä sinä vaan asettelemaan virustorjuntoja kotikoneellesi ja kuvittele olevasi sitten tietoturva-asiantuntija.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
ja c) tietoturva, jollaisesta on (Vastaamosta huolimatta) Suomessa kokemusta, silä onhan meillä ollut esim. F-Secure.
Aika naurettavaa, jos luulet että tietoturva on tänäkin päivänä jokin tietokoneelle asennettava virustentorjuntatuote. F-securen aika on ohi.
Öh, F-securet ja vastaavat tekevät mm. myös palomuurisoftia yms. eli ei vain virustorjuntaa.
Öh itsellesi, ymmärryksesi on edelleen suppea. Nuo asennettavat ohjelmat ovat jokseenkin samaa tuoteperhettä eikä siitä ole kyse tietojärjestelmien tietoturvassa edes alkuunkaan. Sivusta.
Totta kai ihan samoista periaatteista on kyse, kun suojataan verkossa kulkevaa dataa niin, että se ei päädy asiattomiin käsiin.
Kyse on täysin eri periaatteista.
Palomuurin periaate kiteytetysti on sulkea tietoliikenneportteja tarpeettomilta/haitallisilta protokollilta ja palveluilta.
Virustorjunnan periaate kiteytetysti on tunnistaa tietokoneelle asentuva tai päässyt haittaohjelma vertaamalla tunnettuihin virusten "sormenjälkiin".
Verkossa kulkevan datan suojaaminen ulkopuolisten salakuuntelulta taas perustuu kiteytetysti tiedon salaamiseen sekä vastapuolen luotettavaan autentikointiin.
Ohjelmistotasoinen tietoturva puolestaan liittyy siihen, kuinka järjestelmään on ohjelmoitu pääsy erilaisiin tietoihin sen oikeutettujen käyttäjien kesken sekä ulkopuolisten kalastelulta.
Palomuuri on kuin pihatien portti. Jos se suljetaan, siitä ei pääse kukaan. Ei roisto, muttei myöskään ystävä. Palomuurilla ei voi sulkea asialliselta liikenteeltä pääsyä. Esimerkiksi pankkikonttori menettää asiakkaansa jos se sulkee ovensa kaikilta. Ulko-ovi on pidettävä auki. Virustorjunta on kuin valvontakameralaitteisto ja vartija, joka havaitsee väärässä paikassa hiippailevan epämääräisen kulkijan ja ilmeisen epäilyttävän toiminnan ja voi poistaa tämän tai keskeyttää toiminnan. Avoimesta ovesta tai omasta seinään räjäytetystä reiästään päässeet roistot saadaan näin kiinni. Tietoliikenteen suojaaminen vastaa sitä, että pankissa on neuvottelutilat ja palvelutiskit joissa yksityiset asiat käsitellään vieraiden korvien kuulemattomissa ja rahan nostajan tai laskun maksajan henkilöllisyys tarkistetaan. Ohjelmistotasoista tietoturvaa vastaa se joukko ohjeita ja käytäntöjä, joiden perusteella pankki toimii näiden em. rutiinien päälle varsinaisessa työssään. Esimerkiksi pankki tarkistaa, että henkilöllä on käyttöoikeus tiettyyn tiliin ja että tilillä on rahaa. Suljetut portit, virustorjunta ja tietoliikenteen salaminen ovat hyödyttömiä ja turhia, jos itse palvelun tietoturva ei toimi tai sitä ei ole. Tekoviiksillä tai pötypuheilla ohitetaan kaikki hienot F-Securet, kun ohjelmisto itsessään on rikki. Järjestelmätietoturvaa ei saa mistään valmiina eikä asenneta erikseen vaan se on oleellinen osa itse järjestelmää ja suunnitellaan siihen alusta asti. Valmiit yleisratkaisut ovat enintään sitä tukevia osatekijöitä.
Urgh, kyse oli siis periaatteista eikä teknistä yksityiskohdista. Tietoturva ei ole kokoelma softia tai teknisiä ratkaisuja vaan prosessi. t. eri
Lisäksi f-secure tekee paljon muutakin kuin virustorjuntaohjelmistoa mutta tuo menee jo ohi koko ketjun.
Tuossa aiemmin lueteltiin yksittäisiä teknisiä lähestymistapoja (palomuuri, virustorjunta, tietoliikenteen suojaus) yksittäisiin ja erillisiin ongelmiin. Keskustelu taas koskee tietoturvaa järjestelmissä. Mitään yhteisiä ja yhtäläisiä periaatteita niissä ei oikeastaan ole. Tietoturva ei ole erillinen prosessi vaan se on läpileikkaava aspekti ohjelmistotuotannon ja -ylläpidon prosesseissa.
Läpileikkaava aspekti joka ei ole prosessi? (eli miten se sitten tapahtuu, asiat muuttuu satunnaisesti kunnes kaikki sattuu toimimaan ja sitten asetukset lukitaan?) Yritätkö nyt saivarrella itsesi ulos itse kaivamastasi kuopasta vai etkö vaan tunne asiaa mistä yrität väitellä?
Joo ei, ei nyt jaksa täysin turhasta asiasta jatkaa.
Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.
Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena.
Et siis tunne asiaa ollenkaan. Selkis.
Tarkoitat varmaan että sinä et tunne asiaa. Tuo jolle vastasit taas näyttäisi ymmärtävän asian sellaisella syvyydellä joka on täysin poikkeuksellista suomalaisessa IT-kentässä.
5/5 palkkaisin heti.
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
ja c) tietoturva, jollaisesta on (Vastaamosta huolimatta) Suomessa kokemusta, silä onhan meillä ollut esim. F-Secure.
Aika naurettavaa, jos luulet että tietoturva on tänäkin päivänä jokin tietokoneelle asennettava virustentorjuntatuote. F-securen aika on ohi.
Öh, F-securet ja vastaavat tekevät mm. myös palomuurisoftia yms. eli ei vain virustorjuntaa.
Öh itsellesi, ymmärryksesi on edelleen suppea. Nuo asennettavat ohjelmat ovat jokseenkin samaa tuoteperhettä eikä siitä ole kyse tietojärjestelmien tietoturvassa edes alkuunkaan. Sivusta.
Totta kai ihan samoista periaatteista on kyse, kun suojataan verkossa kulkevaa dataa niin, että se ei päädy asiattomiin käsiin.
Kyse on täysin eri periaatteista.
Palomuurin periaate kiteytetysti on sulkea tietoliikenneportteja tarpeettomilta/haitallisilta protokollilta ja palveluilta.
Virustorjunnan periaate kiteytetysti on tunnistaa tietokoneelle asentuva tai päässyt haittaohjelma vertaamalla tunnettuihin virusten "sormenjälkiin".
Verkossa kulkevan datan suojaaminen ulkopuolisten salakuuntelulta taas perustuu kiteytetysti tiedon salaamiseen sekä vastapuolen luotettavaan autentikointiin.
Ohjelmistotasoinen tietoturva puolestaan liittyy siihen, kuinka järjestelmään on ohjelmoitu pääsy erilaisiin tietoihin sen oikeutettujen käyttäjien kesken sekä ulkopuolisten kalastelulta.
Palomuuri on kuin pihatien portti. Jos se suljetaan, siitä ei pääse kukaan. Ei roisto, muttei myöskään ystävä. Palomuurilla ei voi sulkea asialliselta liikenteeltä pääsyä. Esimerkiksi pankkikonttori menettää asiakkaansa jos se sulkee ovensa kaikilta. Ulko-ovi on pidettävä auki. Virustorjunta on kuin valvontakameralaitteisto ja vartija, joka havaitsee väärässä paikassa hiippailevan epämääräisen kulkijan ja ilmeisen epäilyttävän toiminnan ja voi poistaa tämän tai keskeyttää toiminnan. Avoimesta ovesta tai omasta seinään räjäytetystä reiästään päässeet roistot saadaan näin kiinni. Tietoliikenteen suojaaminen vastaa sitä, että pankissa on neuvottelutilat ja palvelutiskit joissa yksityiset asiat käsitellään vieraiden korvien kuulemattomissa ja rahan nostajan tai laskun maksajan henkilöllisyys tarkistetaan. Ohjelmistotasoista tietoturvaa vastaa se joukko ohjeita ja käytäntöjä, joiden perusteella pankki toimii näiden em. rutiinien päälle varsinaisessa työssään. Esimerkiksi pankki tarkistaa, että henkilöllä on käyttöoikeus tiettyyn tiliin ja että tilillä on rahaa. Suljetut portit, virustorjunta ja tietoliikenteen salaminen ovat hyödyttömiä ja turhia, jos itse palvelun tietoturva ei toimi tai sitä ei ole. Tekoviiksillä tai pötypuheilla ohitetaan kaikki hienot F-Securet, kun ohjelmisto itsessään on rikki. Järjestelmätietoturvaa ei saa mistään valmiina eikä asenneta erikseen vaan se on oleellinen osa itse järjestelmää ja suunnitellaan siihen alusta asti. Valmiit yleisratkaisut ovat enintään sitä tukevia osatekijöitä.
Urgh, kyse oli siis periaatteista eikä teknistä yksityiskohdista. Tietoturva ei ole kokoelma softia tai teknisiä ratkaisuja vaan prosessi. t. eri
Lisäksi f-secure tekee paljon muutakin kuin virustorjuntaohjelmistoa mutta tuo menee jo ohi koko ketjun.
Tuossa aiemmin lueteltiin yksittäisiä teknisiä lähestymistapoja (palomuuri, virustorjunta, tietoliikenteen suojaus) yksittäisiin ja erillisiin ongelmiin. Keskustelu taas koskee tietoturvaa järjestelmissä. Mitään yhteisiä ja yhtäläisiä periaatteita niissä ei oikeastaan ole. Tietoturva ei ole erillinen prosessi vaan se on läpileikkaava aspekti ohjelmistotuotannon ja -ylläpidon prosesseissa.
Läpileikkaava aspekti joka ei ole prosessi? (eli miten se sitten tapahtuu, asiat muuttuu satunnaisesti kunnes kaikki sattuu toimimaan ja sitten asetukset lukitaan?) Yritätkö nyt saivarrella itsesi ulos itse kaivamastasi kuopasta vai etkö vaan tunne asiaa mistä yrität väitellä?
Joo ei, ei nyt jaksa täysin turhasta asiasta jatkaa.
Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.
Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena.
Et siis tunne asiaa ollenkaan. Selkis.
Ilmeisen paljon paremmin kuin sinä, arvon ”täysin turha asia”.
Tjoo, joku kaltaisesi kaiken tarpeellisen tietäjä ja "me tehdään ite" kaveri oli vastaamossakin pomona. Mutta tiedä vaan omasta mielestäsi paremmin. Hakkerit syö kaltaistesi ylläpitämiä järjestelmiä aamupalaksi.
Ei, vaan sinun kaltaisten jotka kuvittelevat että tietoturva on jokin tuote jonka voi ostaa kaupasta tai jokin funktio jonka voi ulkoistaa jollekin organisaatiolle. Tuollaiset edellä kuvatut ratkaisut jossa jokainen tekijä ja osa elää ja hengittää tietoturvaa alusta loppuun ovat niitä digitalisaation linnakkeita jotka kestävät murtumattomina kaikissa myrskyissä.
Vierailija kirjoitti:
Apotti maksoi ilmeisesti noin miljardin.
Jos koodari saisi esim. 100000 euroa vuodessa niin tuolla summalla ne 60 koodaria voisivat olla töissä 167 vuotta.
Valtio voisi palakat 1 000 suomen parasta ICT-specialistia rakentaan tota järjestelmää.
demokratia on vikana, se lobbarien paratiisi jossa 100.000e kampanjalahjoituksilla ostetaan 300 miljoonan euron valtion hankinnat lobbarin firmalta joka lähtökohtaisesti on ulkomailta koska lahjukset nähdään suomessa moraalittomina. Oppisivat format täälläkin laskuttamaan valtiota ja lahjomaan lansanedustajia niin nousisi kansanedustajien budjetit sinne miljoonaan tai pariin per vaalit.
Eiks jännää miten kannattaa maksaa miljoona että saisi 4v liksaa 5000e/kk? :D
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Se oikeasti iso homma tuossa potilastietojärjestelmässä on se, että sen pitää pystyä kommunikoimaan kaikkien miljoonan eri systeemin kanssa, jotka ovat nyt jo olemassa ja jotka puhuvat ihan eri kieliä.
Verkkokaupalla ei ole tätä ongelmaa.
Kyllä. Tietojärjestelmissä integraatiot maksavat hunajaa ja tuovat ylläpitokustannuksia ihan toisella tapaa kuin erillisjörjestelmässä. Terveydenhuollossa on lisäksi erityisiä toimintavarmuuteen ja tietosuojaan liittyviä piirteitä jotka mutkistavat toteutusta huomattavasti.
Jos nettimyymälä kadottaa asiakkaan tilaushistorian, ei se haittaa, kun kirjanpidon voi korjata tiliotteen perusteella ja kuittia vastaan käy takuutoimintakin. Potilashistoriasta ei saa ikinä kadota mikään vaikka ihmiset tyrisivät ja laitteet särkyisivät. Ketään ei kiinnosta moniko ylläpitäjä urkkii nettimyymälästä yksittäisten asiakkaiden tietoja, mutta potilasjärjestelmissä joka käytöstä on talletettava jälki ja väärinkäytökset ovat rikosasioita.
Tämä. Jokainen järjestelmä on oma ohjelmansa. Kuvantamisohjelmat, labraohjelmat, jne. Kaikki tämä tieto pitää osata yhdistää oikeaan potilaaseen. Ohjelmien välille tehdään isoja integraatioprojekteja jota eri ohjelmien tiedot saadaan viety lääkärille asti. Yksikään suomalainen kooderi ei koodia labrajärjestelmiä.
Koska tietokantasofta joka yhdistää erilaisia koodeja toisiinsa ja antaa hakea niitä eri kriteereillä onkin varsinaista rakettitiedettä, doh. Ainakin terveydenhoito saa sen kuulostamaan rakettitieteeltä ja hintakin tuppaa olemaan sitä luokkaa.
No ei se nyt yksinkertaistakaan ole. Toki tuollainen järjestelmä saattaa vaikuttaa helpolta tehdä ihmiselle joka ei tiedä aiheesta mitään. Minäkään en tiedä aiheesta oikeastaan yhtään mitään, mutta kuitenkin tarpeeksi sanoakseni että tuollainen vaatisi valtavan määrän työtä, työntekijöitä ja kaikenlaista testaamista. Hinnasta valittaminen on tällaisen asian kohdalla huvittavaa, tuskin kukaan haluaisi että potilastiedoista vastuussa oleva järjestelmä tehtäisiin halvasti = liian pienellä porukalla huonosti koulutettuja työntekijöitä.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
ja c) tietoturva, jollaisesta on (Vastaamosta huolimatta) Suomessa kokemusta, silä onhan meillä ollut esim. F-Secure.
Aika naurettavaa, jos luulet että tietoturva on tänäkin päivänä jokin tietokoneelle asennettava virustentorjuntatuote. F-securen aika on ohi.
Öh, F-securet ja vastaavat tekevät mm. myös palomuurisoftia yms. eli ei vain virustorjuntaa.
Öh itsellesi, ymmärryksesi on edelleen suppea. Nuo asennettavat ohjelmat ovat jokseenkin samaa tuoteperhettä eikä siitä ole kyse tietojärjestelmien tietoturvassa edes alkuunkaan. Sivusta.
Totta kai ihan samoista periaatteista on kyse, kun suojataan verkossa kulkevaa dataa niin, että se ei päädy asiattomiin käsiin.
Kyse on täysin eri periaatteista.
Palomuurin periaate kiteytetysti on sulkea tietoliikenneportteja tarpeettomilta/haitallisilta protokollilta ja palveluilta.
Virustorjunnan periaate kiteytetysti on tunnistaa tietokoneelle asentuva tai päässyt haittaohjelma vertaamalla tunnettuihin virusten "sormenjälkiin".
Verkossa kulkevan datan suojaaminen ulkopuolisten salakuuntelulta taas perustuu kiteytetysti tiedon salaamiseen sekä vastapuolen luotettavaan autentikointiin.
Ohjelmistotasoinen tietoturva puolestaan liittyy siihen, kuinka järjestelmään on ohjelmoitu pääsy erilaisiin tietoihin sen oikeutettujen käyttäjien kesken sekä ulkopuolisten kalastelulta.
Palomuuri on kuin pihatien portti. Jos se suljetaan, siitä ei pääse kukaan. Ei roisto, muttei myöskään ystävä. Palomuurilla ei voi sulkea asialliselta liikenteeltä pääsyä. Esimerkiksi pankkikonttori menettää asiakkaansa jos se sulkee ovensa kaikilta. Ulko-ovi on pidettävä auki. Virustorjunta on kuin valvontakameralaitteisto ja vartija, joka havaitsee väärässä paikassa hiippailevan epämääräisen kulkijan ja ilmeisen epäilyttävän toiminnan ja voi poistaa tämän tai keskeyttää toiminnan. Avoimesta ovesta tai omasta seinään räjäytetystä reiästään päässeet roistot saadaan näin kiinni. Tietoliikenteen suojaaminen vastaa sitä, että pankissa on neuvottelutilat ja palvelutiskit joissa yksityiset asiat käsitellään vieraiden korvien kuulemattomissa ja rahan nostajan tai laskun maksajan henkilöllisyys tarkistetaan. Ohjelmistotasoista tietoturvaa vastaa se joukko ohjeita ja käytäntöjä, joiden perusteella pankki toimii näiden em. rutiinien päälle varsinaisessa työssään. Esimerkiksi pankki tarkistaa, että henkilöllä on käyttöoikeus tiettyyn tiliin ja että tilillä on rahaa. Suljetut portit, virustorjunta ja tietoliikenteen salaminen ovat hyödyttömiä ja turhia, jos itse palvelun tietoturva ei toimi tai sitä ei ole. Tekoviiksillä tai pötypuheilla ohitetaan kaikki hienot F-Securet, kun ohjelmisto itsessään on rikki. Järjestelmätietoturvaa ei saa mistään valmiina eikä asenneta erikseen vaan se on oleellinen osa itse järjestelmää ja suunnitellaan siihen alusta asti. Valmiit yleisratkaisut ovat enintään sitä tukevia osatekijöitä.
Urgh, kyse oli siis periaatteista eikä teknistä yksityiskohdista. Tietoturva ei ole kokoelma softia tai teknisiä ratkaisuja vaan prosessi. t. eri
Lisäksi f-secure tekee paljon muutakin kuin virustorjuntaohjelmistoa mutta tuo menee jo ohi koko ketjun.
Tuossa aiemmin lueteltiin yksittäisiä teknisiä lähestymistapoja (palomuuri, virustorjunta, tietoliikenteen suojaus) yksittäisiin ja erillisiin ongelmiin. Keskustelu taas koskee tietoturvaa järjestelmissä. Mitään yhteisiä ja yhtäläisiä periaatteita niissä ei oikeastaan ole. Tietoturva ei ole erillinen prosessi vaan se on läpileikkaava aspekti ohjelmistotuotannon ja -ylläpidon prosesseissa.
Läpileikkaava aspekti joka ei ole prosessi? (eli miten se sitten tapahtuu, asiat muuttuu satunnaisesti kunnes kaikki sattuu toimimaan ja sitten asetukset lukitaan?) Yritätkö nyt saivarrella itsesi ulos itse kaivamastasi kuopasta vai etkö vaan tunne asiaa mistä yrität väitellä?
Joo ei, ei nyt jaksa täysin turhasta asiasta jatkaa.
Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.
Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena.
Et siis tunne asiaa ollenkaan. Selkis.
Ilmeisen paljon paremmin kuin sinä, arvon ”täysin turha asia”.
Tjoo, joku kaltaisesi kaiken tarpeellisen tietäjä ja "me tehdään ite" kaveri oli vastaamossakin pomona. Mutta tiedä vaan omasta mielestäsi paremmin. Hakkerit syö kaltaistesi ylläpitämiä järjestelmiä aamupalaksi.
Ei, vaan sinun kaltaisten jotka kuvittelevat että tietoturva on jokin tuote jonka voi ostaa kaupasta tai jokin funktio jonka voi ulkoistaa jollekin organisaatiolle. Tuollaiset edellä kuvatut ratkaisut jossa jokainen tekijä ja osa elää ja hengittää tietoturvaa alusta loppuun ovat niitä digitalisaation linnakkeita jotka kestävät murtumattomina kaikissa myrskyissä.
Piti sitten vastata itse kolmeen kertaan kun et saanut järjettömän pitkälle jaarituksellesi mitään tukea muualta? Lisäksi sanastosi on suoraan it-konsulenttia eli älä yritä teeskennellä asiantuntevaa. Jotkut joutuu valitettavasti kuuntelemaan näitä itsestäänselvyyksiä ja alkeita uusilla hypesanoilla koristeltuna jaarittelevia it-konsulentteja työkseen joten siihen turtuu ja kärsivällisyys supistuu nollaan.
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Vierailija kirjoitti:
Se oikeasti iso homma tuossa potilastietojärjestelmässä on se, että sen pitää pystyä kommunikoimaan kaikkien miljoonan eri systeemin kanssa, jotka ovat nyt jo olemassa ja jotka puhuvat ihan eri kieliä.
Verkkokaupalla ei ole tätä ongelmaa.
Kyllä. Tietojärjestelmissä integraatiot maksavat hunajaa ja tuovat ylläpitokustannuksia ihan toisella tapaa kuin erillisjörjestelmässä. Terveydenhuollossa on lisäksi erityisiä toimintavarmuuteen ja tietosuojaan liittyviä piirteitä jotka mutkistavat toteutusta huomattavasti.
Jos nettimyymälä kadottaa asiakkaan tilaushistorian, ei se haittaa, kun kirjanpidon voi korjata tiliotteen perusteella ja kuittia vastaan käy takuutoimintakin. Potilashistoriasta ei saa ikinä kadota mikään vaikka ihmiset tyrisivät ja laitteet särkyisivät. Ketään ei kiinnosta moniko ylläpitäjä urkkii nettimyymälästä yksittäisten asiakkaiden tietoja, mutta potilasjärjestelmissä joka käytöstä on talletettava jälki ja väärinkäytökset ovat rikosasioita.
Tämä. Jokainen järjestelmä on oma ohjelmansa. Kuvantamisohjelmat, labraohjelmat, jne. Kaikki tämä tieto pitää osata yhdistää oikeaan potilaaseen. Ohjelmien välille tehdään isoja integraatioprojekteja jota eri ohjelmien tiedot saadaan viety lääkärille asti. Yksikään suomalainen kooderi ei koodia labrajärjestelmiä.
Koska tietokantasofta joka yhdistää erilaisia koodeja toisiinsa ja antaa hakea niitä eri kriteereillä onkin varsinaista rakettitiedettä, doh. Ainakin terveydenhoito saa sen kuulostamaan rakettitieteeltä ja hintakin tuppaa olemaan sitä luokkaa.
No ei se nyt yksinkertaistakaan ole. Toki tuollainen järjestelmä saattaa vaikuttaa helpolta tehdä ihmiselle joka ei tiedä aiheesta mitään. Minäkään en tiedä aiheesta oikeastaan yhtään mitään, mutta kuitenkin tarpeeksi sanoakseni että tuollainen vaatisi valtavan määrän työtä, työntekijöitä ja kaikenlaista testaamista. Hinnasta valittaminen on tällaisen asian kohdalla huvittavaa, tuskin kukaan haluaisi että potilastiedoista vastuussa oleva järjestelmä tehtäisiin halvasti = liian pienellä porukalla huonosti koulutettuja työntekijöitä.
Nyt puhuttiin siis potilastietojärjestelmistä jotka on periaatteessa tietokantoja joihin tallennetaan erilaista tietoa ja sitä voi sieltä hakea ja esittää. Ei siis esim. jonkun röntgenkoneen softaa tai vastaavaa joiden kanssa saa olla tarkkana.
Alue: Aihe vapaa
Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.
Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena.