Secrets & Lies: Digital Security in A Networked World (Bruce Schneier; Wiley, 2000)

Bruce Schneier on maailman tunnetuimpia tietoturva-asiantuntijoita. Hän on kirjoittanut laajalti käytetyn oppikirjan 'Applied Cryptography'. Lisäksi hän on kehittänyt mm. SSH-ohjelmassa käytetyn Blowfish-salausalgoritmin. Teos 'Secrets & Lies' on suunnattu kaikille tietoturvasta kiinnostuneille, niin tietoverkkojen käyttäjille, yritysten päättäjille kuin varsinaisille tietoturva-asiantuntijoillekin.

Tietoverkkojen turvattomuus on osa nykymaailman todellisuutta. Turvattomuus kuitenkin helposti unohtuu käytännössä. Tosiasia kuitenkin on, että jokainen verkkoon kytketty tietokone on periaatteessa alttiina kaikkien maailman hakkereiden murtoyrityksille.

Täysin varmaa tietoturvaa ei ole olemassa, mutta tämä ei riitä perusteeksi tietoturvan perusteiden laiminnille. Mitä vaikeampaa tietojärjestelmiin on tunkeutua ja mitä varmempaa on kiinni jääminen, sitä vähemmän kärsimme murtojen aiheuttamista ongelmista.

Tietoturva ei ole vain tietotekninen kysymys. Yhä useammin murtautumisessa on kyse 'sosiaalisesta tekniikasta', ihmisten käyttäytymisen hyödyntämisestä murtautumisyrityksissä. Ihmisten uteliaisuus ja luottamus tutuksi luultuun tahoon ovat hyviä lähtökohtia tämän kaltaiselle toiminnalle. Tuttavalta tullut sähköpostiviesti tai tunnetulta verkkokaupalta näyttävä www-sivu ovat perinteisiä esimerkkejä tämän kaltaisesta huijaamisesta.

Tietomurrot eivät ole uusi asia eivätkä pelkästään tietotekninen ongelma. Schneier kertoo kirjassaan mm. Etelä-Afrikan sähkönjakelujärjestelmästä, joka toimi ostettavien polettien avulla. Poletteja tietenkin väärennettiin, sähkömittareita yritettiin sabotoida ja samoja poletteja opittiin käyttämään yhä uudestaan. Huijari saattoi mittarin käyttäjän lisäksi olla polettien jälleenmyyjä. Myös mittarien tekninen toteutus tarjosi huijausmahdollisuuden: riitti aiheuttaa jännitepiikki oikosulun avulla, jolloin korttelin kaikki sähkömittarit antoivat ilmaiseksi rajattoman määrän sähköä.

Schneier esittää selkeässä kirjassaan monia konkreettisia ja mieleenpainuvia esimerkkejä siitä, miten vaikea on saavuttaa hyvää tietoturvaa. Loppujen lopuksi tietoturva ei ole tekninen vaan sosiaalinen kysymys. Kaiken lisäksi ihmisten kekseliäisyys on loputon. Järjestelmän suunnittelija ei yleensä pysty etukäteen keksimään niitä kaikkia temppuja, mitä hyvää tai pahaa tarkoittavat käyttäjät tulevat kokeilleeksi.

Suurin osa tietomurtojen yrityksistä on toki lapsellista ja mekaanista toisten matkimista, mutta tällöinkin tuloksena voi pahimmassa tapauksessa olla isoja taloudellisia menetyksiä ja yrityskuvan tahriutumista. Riittää että joku asiantuntija huomaa teknisen haavoittuvuuden ja toinen kirjoittaa ohjelmakoodin murtokäyttöön. Tällöin hakkerilapsukaiset pääsevät leikkimään murtautumisella maailman toisella puolella oleviin koneisiin.

Unohtaa ei voi myöskään ammattimaista toimintaa, esimerkiksi teollisuusvakoilua tai muuta rikollista toimintaa. Tällöin tietotekninen osaaminen yhdistyy usein myös muiden tiedustelutekniikoiden ja laittomuuksien käyttöön, jolloin tietoturvasta vastaavilla on käsissään lähes mahdoton tehtävä.

Tietoturvasta vastaavien asiantuntijoiden valppaus, hyvät sosiaaliset taidot ja käytännön kokemus auttavat pelastamaan sen mitä pelastettavissa on. Erityisen tärkeää on opastaa käyttäjiä toimimaan niin, että tietoturva säilytetään. Tämä edellyttää paitsi yleistä tiedotusta asiasta myös käytännön koulutusta ja keskusteluyhteyttä käyttäjiin. Schneier esittääkin, että yritysjohdon tulee ottaa tietoturva haltuunsa eikä jättää sitä vain alan asiantuntijoiden vastuulle.

Tietomurron yrittäjät tulee saattaa vastuuseen tekemisistään. Asian painaminen villaisella vain pahentaa ongelmaa. Jos murtautujat saavat edelleen toimia anonyymisti ilman rangaistuksen pelkoa, ei ongelmasta päästä eroon ilman sellaisia tietoteknisiä turvaratkaisuja, jotka ovat pahempia kuin itse ongelma. Pelko kiinnijäämisestä ja rangaistuksesta on paras lääke tietomurtoihin.

Tietoturvaongelmista pitää tiedottaa julkisesti. Näin ongelmat tulevat korjatuksi ajoissa eivätkä murtoyritykset tule yllätyksinä käyttäjille. Pahinta on ongelmien piilottelu ja vähättely, mitä yhä valitettavan usein nähdään suurissakin ohjelmistoyrityksissä.

Hyvä lähestymistapa tietoturvaan on lähdekoodin julkisuus, jolloin ongelmiin saadaan korjaus nopeasti. Toki tällöin tietoturvareikiä raportoidaan useammin, mikä voi saada aikaan kuvan, että avoimen lähdekoodin ohjelmistojen tietoturva on huonompi kuin suljettujen koodien. Kyse on saman kaltaisesta asiasta kuin ihmisoikeusrikkomusten raportoinnista missä tahansa länsimaassa tai Pohjois-Koreassa. Määrällisesti raportteja voi tulla yhtä paljon, mutta itse kukin voi pohtia, mikä on raportoitujen loukkausten osuus kokonaismäärästä: kuinka paljon ilmenneitä ongelmia jää kertomatta julkisuuteen. Uutisoinnissa on kyse ongelmien ennalta ehkäisystä ja asioihin puuttumisesta jo hyvissä ajoin.


Tämä teksti on alunperin ilmestynyt Tietoyhteys-lehdessä.

« Kirja-arvioiden hakemisto.


© Copyright 2007 Juha Haataja. This work is licensed under a Creative Commons License.
Last update: 10/28/07; 10:01:28 PM