"Verkkokauppa.com rakentaa it-järjestelmät itse" "Verkkokauppa.comin 60 hengen it-organisaatio on kuin keskikokoinen it-talo." - KYSYMYS!

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

ja c) tietoturva, jollaisesta on (Vastaamosta huolimatta) Suomessa kokemusta, silä onhan meillä ollut esim. F-Secure.

Aika naurettavaa, jos luulet että tietoturva on tänäkin päivänä jokin tietokoneelle asennettava virustentorjuntatuote. F-securen aika on ohi.

Öh, F-securet ja vastaavat tekevät mm. myös palomuurisoftia yms. eli ei vain virustorjuntaa.

Öh itsellesi, ymmärryksesi on edelleen suppea. Nuo asennettavat ohjelmat ovat jokseenkin samaa tuoteperhettä eikä siitä ole kyse tietojärjestelmien tietoturvassa edes alkuunkaan. Sivusta.

Totta kai ihan samoista periaatteista on kyse, kun suojataan verkossa kulkevaa dataa niin, että se ei päädy asiattomiin käsiin.

Kyse on täysin eri periaatteista.

Palomuurin periaate kiteytetysti on sulkea tietoliikenneportteja tarpeettomilta/haitallisilta protokollilta ja palveluilta. 

Virustorjunnan periaate kiteytetysti on tunnistaa tietokoneelle asentuva tai päässyt haittaohjelma vertaamalla tunnettuihin virusten "sormenjälkiin".

Verkossa kulkevan datan suojaaminen ulkopuolisten salakuuntelulta taas perustuu kiteytetysti tiedon salaamiseen sekä vastapuolen luotettavaan autentikointiin. 

Ohjelmistotasoinen tietoturva puolestaan liittyy siihen, kuinka järjestelmään on ohjelmoitu pääsy erilaisiin tietoihin sen oikeutettujen käyttäjien kesken sekä ulkopuolisten kalastelulta. 

Palomuuri on kuin pihatien portti. Jos se suljetaan, siitä ei pääse kukaan. Ei roisto, muttei myöskään ystävä. Palomuurilla ei voi sulkea asialliselta liikenteeltä pääsyä. Esimerkiksi pankkikonttori menettää asiakkaansa jos se sulkee ovensa kaikilta. Ulko-ovi on pidettävä auki. Virustorjunta on kuin valvontakameralaitteisto ja vartija, joka havaitsee väärässä paikassa hiippailevan epämääräisen kulkijan ja ilmeisen epäilyttävän toiminnan ja voi poistaa tämän tai keskeyttää toiminnan. Avoimesta ovesta tai omasta seinään räjäytetystä reiästään päässeet roistot saadaan näin kiinni. Tietoliikenteen suojaaminen vastaa sitä, että pankissa on neuvottelutilat ja palvelutiskit joissa yksityiset asiat käsitellään vieraiden korvien kuulemattomissa ja rahan nostajan tai laskun maksajan henkilöllisyys tarkistetaan. Ohjelmistotasoista tietoturvaa vastaa se joukko ohjeita ja käytäntöjä, joiden perusteella pankki toimii näiden em. rutiinien päälle varsinaisessa työssään. Esimerkiksi pankki tarkistaa, että henkilöllä on käyttöoikeus tiettyyn tiliin ja että tilillä on rahaa. Suljetut portit, virustorjunta ja tietoliikenteen salaminen ovat hyödyttömiä ja turhia, jos itse palvelun tietoturva ei toimi tai sitä ei ole. Tekoviiksillä tai pötypuheilla ohitetaan kaikki hienot F-Securet, kun ohjelmisto itsessään on rikki. Järjestelmätietoturvaa ei saa mistään valmiina eikä asenneta erikseen vaan se on oleellinen osa itse järjestelmää ja suunnitellaan siihen alusta asti. Valmiit yleisratkaisut ovat enintään sitä tukevia osatekijöitä.

Urgh, kyse oli siis periaatteista eikä teknistä yksityiskohdista. Tietoturva ei ole kokoelma softia tai teknisiä ratkaisuja vaan prosessi. t. eri

Lisäksi f-secure tekee paljon muutakin kuin virustorjuntaohjelmistoa mutta tuo menee jo ohi koko ketjun. 

Tuossa aiemmin lueteltiin yksittäisiä teknisiä lähestymistapoja (palomuuri, virustorjunta, tietoliikenteen suojaus) yksittäisiin ja erillisiin ongelmiin. Keskustelu taas koskee tietoturvaa järjestelmissä. Mitään yhteisiä ja yhtäläisiä periaatteita niissä ei oikeastaan ole. Tietoturva ei ole erillinen prosessi vaan se on läpileikkaava aspekti ohjelmistotuotannon ja -ylläpidon prosesseissa. 

Läpileikkaava aspekti joka ei ole prosessi? (eli miten se sitten tapahtuu, asiat muuttuu satunnaisesti kunnes kaikki sattuu toimimaan ja sitten asetukset lukitaan?) Yritätkö nyt saivarrella itsesi ulos itse kaivamastasi kuopasta vai etkö vaan tunne asiaa mistä yrität väitellä?

Joo ei, ei nyt jaksa täysin turhasta asiasta jatkaa. 

Ohjelmistotuotannossa on joukko prosesseja. Ydinprosesseina toimivat ohjelmiston suunnittelun (ja -toteutuksen yms. liitännäiset työvaiheet ja tehtävät) prosessit. Näitä voi olla erikseen jaoteltuna vaikkapa speksaus, suunnittelu, toteutus, testaus, ylläpito, asiakastuki jne. Organisaatiossa voi myös olla oheisprosesseja, kuten johtamisprosessi, tukioprosessit (taloushallinto, IT-tuki, tilankäyttö...) jne. Mitään erillistä tietoturvaprosessia ei ole. Se on vahvasti sisällä ohjelmistosuunnittelun ydinprosessien ihan jokaisessa vaiheessa ja työtehtävässä. Tietoturvaan liittyviä asioita voidaan ja pitäisi kuvata eri prosessien toimintaohjeissa vaikka millä mitalla. Sitä ei voi kapseloida omaksi erillisyydekseen, vaan se muodostuu kaikista muista prosesseista ja niiden tuloksista.

Tietoturva ylipäänsä on sellainen emergentti ja kokonaisuuden ilmentämä ominaisuus tai ominaisuusjoukko, jota ei voi verrata edes tehokkuuteen tai toimintavarmuuteen, jotka myös ovat holistisia, mutta yleensä enumeroituvia. Sille ei ole absoluuttista tai vertailukelpoista mittaria, vaan se on aina suhteellista ja tapauskohtaista, usein myös subjektiivista. Se muodostuu laajasta joukosta erilaisia osatekijöitä. Oikea suunnittelu, virheetön toteutus, asianmukainen käyttö ja moni muu vaikuttaa. Tietoturva on kyynisen lähtökohtaisesti aina puutteellista, mutta kaikissa ydinprosesseissa voidaan vaikuttaa siihen, että puutteellisuus minimoidaan. Kun ohjelmisto jakautuu toiminnallisuuksiensa osalta yleensä helposti hierarkisesti paloiteltaviin osakomponentteihin, joiden funktionaalinen kooste kokonaisuus on, niin tietoturva on läsnä jokaisella koodirivillä. Voidaan osoittaa, että tietty kymmenrivinen koodinpätkä toteuttaa vaikkapa tietyn operaation tietyn tiedon tallettamiselle ja miljoona muuta riviä eivät siihen vaikuta, mutta tietoturva on kaikkialla kokonaisuutena. 

Et siis tunne asiaa ollenkaan. Selkis. 

Ilmeisen paljon paremmin kuin sinä, arvon ”täysin turha asia”.

Tjoo, joku kaltaisesi kaiken tarpeellisen tietäjä ja "me tehdään ite" kaveri oli vastaamossakin pomona. Mutta tiedä vaan omasta mielestäsi paremmin. Hakkerit syö kaltaistesi ylläpitämiä järjestelmiä aamupalaksi. 

Ei, vaan sinun kaltaisten jotka kuvittelevat että tietoturva on jokin tuote jonka voi ostaa kaupasta tai jokin funktio jonka voi ulkoistaa jollekin organisaatiolle. Tuollaiset edellä kuvatut ratkaisut jossa jokainen tekijä ja osa elää ja hengittää tietoturvaa alusta loppuun ovat niitä digitalisaation linnakkeita jotka kestävät murtumattomina kaikissa myrskyissä.

Piti sitten vastata itse kolmeen kertaan kun et saanut järjettömän pitkälle jaarituksellesi mitään tukea muualta? Lisäksi sanastosi on suoraan it-konsulenttia eli älä yritä teeskennellä asiantuntevaa. Jotkut joutuu valitettavasti kuuntelemaan näitä itsestäänselvyyksiä ja alkeita uusilla hypesanoilla koristeltuna jaarittelevia it-konsulentteja työkseen joten siihen turtuu ja kärsivällisyys supistuu nollaan. 

Toiset taas joutuu kärsimään kaltastesi tunarien jälkiä siivotessa kun softa on täynnä reikiä jota on koitettu laastaroida jollain "tietoturvapaketilla" saavuttamatta yhtään mitään konkreettista.