Laskuvarjo on yksinkertainen ja hyvin luotettava laite. Oikein pakattu laskuvarjo avautuu uskomattoman luotettavasti. Silti kukaan ei luota päävarjon avautumiseen, vaan mukana on lentokoneesta hypättäessä aina varavarjo. Kukaan tervejärkinen laskuvarjohyppääjä ei sokeasti luota omaan pakkaustaitoonsa, laskuvarjon rakenteelliseen virheettömyyteen ja kymmeniin muihin seikkoihin niin täydellisesti että hyppäisi ilman varavarjoa.

(Vuonna 2011 Suomessa käytettiin varavarjoa 43 kertaa yhteensä 46450 hypystä – päävarjolla 99,91% käyttövarmuus. Varavarjon käytöistä vain yksi (1) varavarjon käyttö liittyi päävarjon hajoamiseen loppujen ollessa kategoriaa ”käyttäjävirhe”. Tämä vastaa kaluston 99,998% käyttövarmuutta. Varavarjo vuorostaan toimi jokaisella käyttökerrolla moitteettomasti. Tarkat tiedot löytyvät täältä.)

Jokaisen meistä pitäisi suhtautua samalla tavalla tietoturvaan. Sen pitää olla luotettavaa, toimivaa ja ennen kaikkea turvallista. Mutta siihen, että se toimisi aina ei vain pidä luottaa.

Viimeisen kuukauden aikana on tullut ilmi useita verkkosivustojen tunnusten ja salasanojen vuototapauksia. Voimme vähätellä tapahtumia, selittää niiden johtuneen yksittäisten tahojen osaamattomuudesta – eihän kukaan oikeasti ja vakavasti tietoturvan ottava taho jätä ylläpitäjän salasanaa asettamatta? Paitsi että jättää.

Gartnerin tuoreen tutkimuksen mukaan 18% PCI DSS-komplianteista yrityksistä ei ole oikeasti kompliantteja. Ne eivät siis suojaa järjestelmiään kuten niiden odotetaan tekevän.

Kyseessä eivät ole nakkikioskit. PCI DSS on tarkoitettu maksuvälinetietoja käsitteleville yrityksille, eli niille jotka käsittelevät sekä henkilö- että luottokorttitietojasi.

Tietomurtoja tulee tapahtumaan jatkossakin. Ihminen on erehtyväinen. Joskus tavoitteista lipsutaan tahallisesti (vaikkapa kustannuspaineiden takia). Joskus asetetut tavoitteet eivät ole riittävät – ja niiden puutteellisuus huomataan vasta liian myöhään. Tietomurtoja tulee väistämättä tapahtumaan tulevaisuudessa. Todennäköisesti ne myös muuttuvat sitä vakavammiksi, mitä vahvemmin oma arkemme verkottuu.

Vakavan tietomurron kohteeksi joutuminen on tulevaisuudessa, ellei ihan todennäköistä niin selkeästi mahdollista. Kun seuraamuksetkin ovat vakavia, on järkevää miettiä myös pahan tapahtuman estämisen lisäksi miettiä mitä tehdään silloin, kun jotain pahaa on jo tapahtunut. Vähän kuin palovaroittimet ja varovainen tulen käsittely (muistattehan sen näin joulun aikaan!) verrattuna palovakuutukseen.

Miten yksilö voi varautua vahinkoon?

Itselläni on tallessa lista kaikista niistä verkkopalveluista joihin kännykässäni on tunnistusavaimet – facebook, twitter, sähköpostit jne. Ei, en luota siihen, että pystyn luotettavasti etäpyyhkimään puhelimen sisällön. Jos puhelin häviää, minulla on valmis lista niistä palveluista jotka ovat uhattuina – ja joiden salasana pitää käydä pikapikaa vaihtamassa.

Miksei tätä voi tehdä automaattisesti? Jos verkkopalveluissa olisi rajapinta, jota kautta voisin pakottaa palvelun lukitsemaan minut ulos järjestelmästä kunnes olen tunnistautunut siihen jotain muuta, luotettua kanavaa pitkin. Ja jos kännykän sovellukset rekisteröisivät itsensä tähän rajapintaan siten, että kun etäpyyhin kännykän niin sama palvelu automaattisesti lukitsisi kaikki ne tunnukset joiden salasana (tai joku muu käyttöoikeus) on kyseisessä kapineessa?

Oi jos.

Yhä alati palveluiden välillä verkottuva identiteettimme ei ole turvassa pelkän tietoturvan takana. Digitaalinen identiteettimme on monena pirstaleena maailmalla.

Artikkelin tagit:
 

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Voit käyttää näitä HTML-tageja ja attribuutteja: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>