Tietoturvaa tehdessä pyritään käyttämään käytännön esimerkkejä siitä, miten asioita voisi tehdä. Olen käynyt itse monella erilaisella asiakkaalla monella eri toimialalla. Käynneillä olen nähnyt erilaisia tapoja toimia, jotka eivät tietoturvan kannalta ole järkeviä. Loogisia kyllä, sillä usein on nähtävissä selkeä toimintaketju siitä, miten tilanteeseen on päädytty. Loogisuus ei kuitenkaan vähennä riskiä, joka yritykselle toimintamalleista syntyy. Koostin näitä yhteneväisyyksiä alla olevaan skenaarioon.

Tässä skenaariossa käydään läpi mitä kaikkea tietoturvamielessä pystytään yrityksessä tekemään. Monessa yrityksessä tilanne on tietenkin parempi kuin mitä alla on kuvattu, mutta harvassa kaikki asiat sattuvat kohdalleen. Jos alla oleva teksti tuntuu tutulta kuvaukselta omasta ATK-ympäristöstä, suosittelen olemaan yhteydessä mahdollisimman pikaisesti. Lupaan olla tuomitsematta – asioilla usein on syitä ja loogisia polkuja. Tärkeintä on saattaa asioita tietoisuuteen ja sitä myöten kuntoon. Alla on siis kuvattu tyypillinen tilanne tyypillisessä yrityksessä tyypillisessä suomalaisessa kaupungissa. Toimialalla ei ole oikeastaan väliä. Miksei? Koska tietotekniikkaa käytetään ihan kaikkialla. Nimetään yritys vaikka TAPI:ksi (Tomin Automaatio, Puuveistos, ja Ihmispalvelutalo)

TAPI:n IT-asioita on pitkään hoidettu eri henkilöiden toimesta oman toimen ohella. TAP:ssa ei ole vielä ollut mahdollista nimetä täysipäiväistä ihmistä hoitamaan vain IT-puolta, joten IT-valtikka on kiertänyt organisaatiossa. Lopulta se on päätynyt talousjohtajan tontille kuin orpo hirvi ruutukaava-alueella ennen metsästyskauden alkamista.

Laitekanta kirjava kuin mummon päiväpeitto

Työasemat yritykseen on pitkään ostettu suoraan Värkkikaupasta tai Gogontista. Uusia henkilöitä on tullut välillä nopeastikin, jolloin työasemat on ollut nopeinta hakea työmatkalla. Samoin rikkoontuneiden tilalle on pitänyt saada mahdollisimman nopeasti uusia koneita, jotta työt voivat jatkua. Vanhat koneet on yleensä annettu joululahjoiksi lapsille ja anopeille – rikkinäiset on viety talon vieressä olevaan roskikseen. Hankintaa koitettiin siirtää kumppanille joskus 2000-luvun alussa, mutta toimitusaikojen ollessa lähempänä kahta viikkoa päätettiin siirtyä nopeampiin kanaviin. Tämän johdosta yrityksen konekanta on kirjava kuin mummon päiväpeitto. Ainoa keskitetysti hallittu komponentti on talousjohtajan sähköpostilla antama ukaasi, jossa kiellettiin asentamasta yrityksen koneille ihan kaikkia sovelluksia, mitä internetistä löytyy.

TAP:ssa on käytössä pieni palvelinympäristö, jossa ajetaan AD:ta, tiedostopalvelinta, ERP:iä, neljää tuotantoon liittyvää palvelinta sekä vanhaa Exchangea arkistona ajalta ennen O365:een siirtymistä. Palvelinympäristö on yrityksen kahden tietoteknisen osaajan pystyttämiä – molemmat ovat tosin nykytehtävissään niin kuormittuneita, etteivät ehdi sen perään enää katsoa. Palvelimet ostettiin paikalliselta IT-firmalta, ja hetken aikaa kaikki oli onnellista auvoa. Auvosta on nyt viisi vuotta. Palvelimia on päivitetty enemmän muistamisen kuin säännöllisyyden ohjaamina. Kahdesta palvelimesta ei ole muuta tietoa kuin se, että jos ne sammuttaa, tuotanto pysähtyy. Ne ovat naapurikunnan AMK:sta valmistuneen insinöörin opinnäytetyöksi pystyttämiä ja hiljalleen siirtyneet vallan keskiöön.

Microsoftin ilmoitukset tuen päättymisestä käytetyille käyttöjärjestelmille ovat menneet samaan osoitteeseen, jota yritys antaa kaikille hälytys-, ilmoitus- ja mainontakanaville. Laatikkoa seurataan sen verran, että se käydään tyhjentämässä kerran kuukaudessa. Varmistuksia järjestelmistä otetaan erilliselle USB-levylle – jos muistetaan. Palautumista on kokeiltu vain kerran, kun tuotannon harjoittelija poisti tiedostopalvelimelta oikeudet kaikkiin kansioihin. Viikonlopun työn jälkeen kaikki toimi taas, ja harjoittelijaa nuhdeltiin ankarasti.

Verkko sieltä, missä aita matalin

Tietoverkkoa yrityksessä on rakennettu pitkään ja hartaudella yli kymmenen ihmisen voimin koko yrityksen olemassaolon ajan. Laitteina on käytetty kevyitä versioita (koska kulut!) siltä toimittajalta, jonka jälleenmyyjältä on edeltävänä jouluna tullut paras joulukortti. Joskus on turvauduttu myös samaan kanavaan kuin työasemissa, jos langatonta verkkoa on pitänyt laajentaa nopeasti tai yksi yrityksen pienistä toimipisteistä on pitänyt perustaa nopeammin kuin paikallisoperaattorilla on ollut kykyä toimittaa kuitua. Liikkuvien työntekijöiden etäyhteyksiin käytetään VPN:ää, mutta ERP piti avata suoraan julkiseen verkkoon, koska toimitusjohtaja ei saanut raporttia ulos eikä saanut asennettua kotikoneelleen VPN-sovellusta.

Verkkoon on asennettu myös muutamia valvontakameroita kuvaamaan yrityksen pihaa sekä varastoa. Pihalla on joskus pyörinyt mopopoikia, ja varastossa taas on paljon rahan arvoista tavaraa säilöttynä. Näppäränä palveluna pihan kameran kuvaa voi katsoa myös selaimella kotoa; firman työntekijät näkevät kätevästi onko parkkipaikkoja miten vapaana. Hassua kyllä, talousjohtaja muisteli taannoin, että kameroita olisi ollut neljä, mutta yhdestä ei ole tietoa, mihin se on joutunut. Samoin hän mietti jossain kohden, mihin ne myyjien tilaamat wlan-tukiasemat oli tarkoitettu? Monesti he olivat valittaneet verkon huonosta kantamasta, ja valitus oli loppunut myyntilaskun saapumisen aikoihin. Yrityksen langaton verkko on sinällään helppokäyttöinen, sillä samaa salasanaa on käytetty aina. Vieraat käyttävät samaa verkkoa, koska vierailun isännöitsijän on näin helpointa muistaa vain yksi salasana.

Toimintamalleja ja prosesseja IT:hen liittyen yrityksellä on paljon. Niitä on kirjattu ATK-valtikan kantajien toimesta vuosien saatossa, mutta kysyttäessä lähes kenelläkään yrityksen nykytyöntekijöistä ei ole mitään hajua, missä ne ovat. Suurin osa toimintatavoista on siis perittyä suullista tietoa. Tosin Matti kertoi omille alaisilleen, että heidän kannattaa ennemmin tehdä niin kuin hän on tottunut tekemään, koska se on helpompaa ja nopeampaa.

Kuulostaako tutulta? Ota ensimmäinen askel kohti tietoturvallisempaa IT:tä osallistumalla webinaariimme “Kuinka sähköpostihuijaus tapahtuu?” 29.1. klo 9.30. Webinaarin tärkein anti on, kuinka sähköpostihuijaukselta voi suojautua ja miksi se on niin tärkeää. Sähköpostihan on helpoin tapa läpäistä suojaukset!

Ilmoittaudu mukaan!

Tuomas Karhula

Kaipaatko lisätietoa aiheesta? Ota yhteyttä!