14
oct

Kuinka monta tietoturvayritystä Suomeen mahtuu?

Posted by BlogNo Comments

Luovuttuamme kännyköiden valmistuksesta Suomi on pääasiassa peliyritysten ja tietoturvayritysten kotimaa. Kansainvälisten tähtien (Blancco, F-Secure) lisäksi ponnistavat jatkuvasti suurempaan kokoluokkaan esimerkiksi Nixu ja monta muuta asiantuntevaa yritystä. Luulisi siis, että maa on jo täynnä tietoturvaa tarjoavia yrityksiä.

Tietoturva on kuitenkin hyvin laaja käsite. Jos sanomalehti keräisi gallupin, olettaisin että valtaosa kansasta ymmärtää sen virustutkana (F-Secure, McAfee, Norton jne). Toki ICT alan ihmiset ymmärtävät sen olevan hyvin laaja asia, käsittäen mm. eri palvelinkerrosten ja verkkokerroksen aktiivista valvontaa, konfigurointia ja tilanteisiin reagointia sekä tietysti koko organisaatio vaikuttaa omalla toiminnallaan tietoturvaan. Ja se perinteinen heikoin lenkki pätee tässäkin asiassa.

Mitä on sitten tietokantojen tietoturva?

Yksinkertaistetaan asiaa vähän:
1. Kaikki järjestelmät tallentavat tietonsa tietokantaan, olipa se sitten Oracle, DB2, SQL Server, PostgreSQL, MySQL, MariaDB, MongoDB, Hadoop johdannainen tai vaikka TokuMX.
2. Sovelluksiin rakennetut tietoturvakerrokset ja lokitukset voi ohittaa kirjautumalla suoraan tietokantaan sovelluksen ohi.
3. Suoraan tietokantaan kirjautumalla ei jää mitään järjestelmä/sovellustason jälkeä tietojen hausta ja datat saadaan imuroitua talteen.

Kirjautumalla suoraan tietokantaan datat voidaan siis viedä ilman, että kukaan on huomannut mitään. Järjestelmän loki ei näytä mitään, eikä murrosta jää näkyvää jälkeä. Ei kovin toivottava tilanne!

Noista johtamalla siis tietoturva ei ole kattava ennenkuin käyttö on valvottu nimenomaan tietokantatasolla.
Sisäisen tarkastuksen näkövinkkelistä ei ole myöskään mitään mahdollisuutta osoittaa, ettei tietoja ole viety ellei tietoturvakerros ole nimenomaan tietokantatasolla.

Olemassaolevien järjestelmien turvaaminen

Käännetäänpä tilanne täysin päälaelleen. Olemassaolevat järjestelmät on rakennettu eri aikoina pääasiassa toimittamaan tiettyjä toiminnallisuuksia. Tässä välissä viittaisin Jaakko Lindgrenin ansiokkaaseen kirjoitukseen asiasta.

Järjestelmiin on voitu rakentaa jotain vaatimuksia täyttävää tietoturvatoiminnallisuutta esim. reilu 10 vuotta sitten. Joskus on riittänyt, että loppuasiakkaille on saatu uskoteltua sovellukseen rakennetun lokituksen olevan kattava.

Vaatimukset kuitenkin kasvavat jatkuvasti ja yritysten asiakaskenttä laajenee uusille markkinoille.
Esimerkiksi USAn vaatimukset tietyillä alueilla ovat olleet jo pitkään huomattavasti euroalueen vaatimuksia tiukempia. Nyt Euroopan vaatimustasoa nostetaan esim. henkilötietojen turvaamisen osalta USAn vaatimuksia tiukemmiksi ja varsinkin povatut liikevaihtoon pohjautuvat sanktiot tuntuvat varsin järisyttäviltä.

Eli tietokantojen tietoturva on itse asiassa olemassaolevien järjestelmien turvaamista.

Olemassaolevaan, kriittiseen järjestelmään luodaan juuri niin tiukka tietoturvakerros kuin halutaan.
Siinä voidaan ottaa huomioon tiedon salaus levypinnalla, verkkoliikenteessä, lokitukset joita ei voi ohittaa, auditointi jonka jälkiä ei voi poistaa, vastaukset erittäin hankaliin kysymyksiin kuten kuka on hakenut viimeisen vuoden aikana tämän henkilön tietoja tietokannasta jne.
Adminien pääsyn estäminen itse dataan, adminien valvonta niin ettei heillä ole edes tietoa siitä että heitä valvotaan.
Aktiivinen käytön esto / yhteyden katkaisu / hälytys sillä hetkellä kun yritetään päästä hakemaan sensitiivistä dataa.

Nämä kaikki ominaisuudet voidaan rakentaa olemassaolevaan järjestelmään ja saada ne uusien vaatimusten tasolle. Niitä ovat tietokantojen tietoturvaratkaisut.

Palataanpa lopuksi vielä hetkeksi otsikkoon.
Emme onneksi jääneet pohtimaan vastausta otsikon kysymykseen, vaan käytimme senkin tarmon töiden tekemiseen.

Muutenkin tuntuu erinomaiselta tehtävältä olla Suomen yritysmaailmassa mukana turvaamassa asiakasyritystemme liiketoiminnan jatkuvuutta ja turvallisuutta.

Yritysten liiketoimintaa turvaamassa jo vuodesta 2014!

Terveisin,
Pasi Parkkonen / Advance

19
aug

Toimitusjohtajan terveiset

Posted by BlogNo Comments

message bottle on the sand Ennätyshelteiden pehmentämää olemustamme ovat ensimmäiset syyssateet ja  -tuulet ehtineet jo raikastaa. Yrityksemme on viime kevään poikueesta, mutta koemme vahvasti olevamme nk. vanha sielu. IT-alan kokemusta meillä on yli puoli vuosisataa, liike-elämän oppivuosia vieläkin enemmän ja lisää saamme tiimiimme koko ajan rekrytointien sekä tietenkin tekemisen myötä. Tehtäväkenttämme on tuttu vuosikymmenien ajalta, joten monilta osin asiakkaillemme ja kumppaneillemme uutta on vain yritysnimi. Monelle tulee tietysti mieleen kysymys – miksi uusi joukkue ja vaihtunut peliasu?

Olemme työskennelleet monissa hienoissa organisaatiossa, mutta silti on jäänyt tunne että jotain puuttuu. Tämä koskee oman tekemisen laadun ja tavoitetason määrittämistä, mutta myös mielessä hiertänyttä näkemystä siitä, että vieläkin parempaan pitää tietotekniikan asiantuntija- ja palveluyrityksen pystyä. Nyt haluamme koota parhaat käytännöt ja lisätä niihin vielä joukon uusia ideoita, jotta voisimme palvella asiakkaitamme entistäkin paremmin. Eikä ainakaan tarvitse syyttää valtameren takaista kvartaalisykleissä elävää korporaatiota tai ituniskaista omistajaa, jos ei suksi luista. Pelkkä peiliin vilkaisu riittää.

Moni pitää yrityksien asiakaslähtöisyyttä, korkeaa ammattiosaamista, innovatiivisuutta sekä horjumatonta liiketoimintamoraalia itsestään selvinä asioina. Olisipa hienoa, jos näin aina olisikin.

Olemme erityisen mielissämme lämpimästä vastaanotosta kaikissa sidosryhmissämme – asiakkaiden, päämiesten ja asiantuntijoiden parissa sekä yleisestä kiinnostuksesta yritystämme kohtaan. Tietotekniikka on yhä keskeisemmässä roolissa haettaessa kilpailukykyä markkinoilla ja erityisen haasteellista on huomata tiedon keräämisen, tallentamisen, jalostamisen ja turvaamisen kokonaisvaltainen merkitys. Kulunutta sanontaa käyttäen – kokonaisuus on yhtä vahva, kuin sen heikoin lenkki.

Erityisiä haasteita asettavat datan määrällinen kasvu, reaaliaikaisen käytettävyyden turvaaminen myös yllätyksien varalta, virheettömyys, tietolähteiden yhdistely sekä datan jalostaminen liiketoimintaa edistäväksi tietämykseksi.

Tietojärjestelmien muuttuessa yhä liiketoimintakriittisemmiksi on käytettävyyden turvaaminen ja tiedon suojaaminen yhä tärkeämpää. Ikävä sanoa, mutta samalla kun suomalainen rehellisyys ja suoraselkäisyys ovat hienoimpia kansallisia luonteenpiirteitämme, maailma on muuttunut aika raadolliseksi ja tarpeettomasta hyväuskoisuudesta voi joutua maksamaan hyvinkin kalliisti.

EU:n tasolla ollaan voimakkaasti sanktioimassa asiakastietoon liittyviä tietosuojaratkaisuja, mutta on yhtä oleellista suojata muukin yrityksen kriittinen tieto. Esimerkiksi tutkimuksen ja tuotekehityksen alueella jopa valtiolliset toimijat hakevat tapoja päästä käsiksi organisaatioiden kaikkein pyhimpään, eli tietoon ja osaamiseen.

Monipuolistuvat tarpeet sekä osaamisen että resursoinnin osalta eivät useinkaan mahdollista tämän kaiken kapasiteetin hankkimista omaan organisaatioon. Tällöin osaava ja luotettava kumppani voi osoittautua korvaamattomaksi. Sellaiseen yhteistyöhön me pyrimme ja sitä tavoittelemme.

Timo Peltonen