keskiviikko 27. tammikuuta 2010

Vanhasen sähköpostin tietoturvasta

TV-uutisista sai käsityksen, että pääministerin konetta korjaavan mikrotuen tietoturvauhka olisi tullut jotenkin yllätyksenä tietoturvasta vastaaville. Niin ei voi olla - ulkoistuksen turvauhkista on puhuttu pitkään ja ne ovat olleet hyvin tiedossa. Mutta raha näköjään ratkaisee valtion ylimmässä johdossakin.

Ulkoistetun mikrotuen turvallisuutta on vaikea parantaa. Niin kauan kuin ministerin koneille pääsee joku ulkopuolinen, tiedostojen kopiointia ja viestien urkintaa on mahdotonta estää satavarmasti. Turha kuvitella, että ongelma poistuu määräämällä joku seisomaan tukihenkilön viereen tämän työskennellessä. Jotta tarkkailija ymmärtäisi mitä koneelle tehdään, hänen pitäisi itsekin olla IT-asiantuntija.

Valokuvan kopioinut mikrotukihenkilö paljastui ilmeisesti vain, koska hän kaupitteli kuvaa lehdistölle. Kuka tietää, mitä ministerien koneilta on aikaisemmin viety?

Vielä parempi kysymys on, mitä koneille on tuotu? Usb-tikulta koneelle istutettu vakoiluohjelma voisi seurata konetta reaaliajassa ja kertoa kaiken maapallon toisella puolella istuvalle vakoojalle. Organisaatioissa luotetaan sokeasti tietoturvaohjelmiin, koska uhkien odotetaan tulevan ulkopuolelta. Virukset eivät ole mitään räätälöityihin vakoiluohjelmiin verrattuna.

Niitä käyttävät teollisuusvakoojat, mutta kaikesta päätellen myös eräät valtiot. Jos kone jätetään hetkeksikin vieraisiin käsiin, kohdistettuja hyökkäyksiä on liki mahdoton estää.

Tai edes havaita, sillä koneelta ulos lähtevä dataliikenne naamioidaan surffailuksi, joka on Suomessa luottamuksellista viestintää. Jos pääministerin koneelta otetaan outoja yhteyksiä Kiinaan, tietoturvaihmisten pitää vain kääntää katseensa muualle.

Ainoa lohtu on siinä, etteivät suomalaiset ministerit taida olla kansainvälisesti kovin kiinnostavia kohteita. Pienen maan vaikutusmahdollisuudet ovat vähäiset. Suurin riski on EU:lta tuleva luottamuksellinen tieto ja mahdollinen puheenjohtajuuskausi.

Ketä Vanhasen sähköpostit oikeasti kiinnostavat? Henkilökohtainen valokuva saattaa hyvinkin olla sitä kiinnostavinta aineistoa. Jos jotain muuta arvokasta löytyy, se on ehkä kopioitu jo ajat sitten kenenkään kyselemättä ja perään huutamatta. Tässä suhteessa kuvan kopioija saattoi tehdä todellisen palveluksen. Yksi intiimi valokuva on halpa hinta siitä, että turvaihmiset ja etenkin suuri yleisö havahtuvat ongelmaan.

Ministereitä enemmän urkkijoita kiinnostavat suomalaisten hitech-yhtiöiden johtajien koneet. Toivottavasti toimitusjohtajien tietoturvasta on huolehdittu paremmin. Turha säästää mikrotuen ulkoistamisella tuhansia, kun johtajan oma palkka lasketaan sadoissa tuhansissa.

5 kommenttia:

Ossi Mäntylahti kirjoitti...

Minusta jo lähtökohtaisesti sellainen ajatus, että oma henkilökunta on ulkoistuskumppanin henkilökuntaa luotettavampaa, on virheellinen.

Julkisen vallan organisaatiot ovat kautta aikojen vuotaneet asioita lehdistölle ja poliittisille kilpailijoille.

Muistelkaapa vain, mistä Jäätteenmäki Irak-muistioita hankki: omalta presidentin kanslian myyrältään.

Anonyymi kirjoitti...

Ja mitä Vanhasen intiimivalokuva teki yleensäkään työkoneessa. Tämä on se lähtökohta mielestäni ja oleellinen sellainen. Oliko se joku tumputukseen aiheuttava kuva, sitä kun ei tiedä, kun kuva ei ole ollut nähtävillä. Siviilikuvat pitää omalla koneella ja tehdään sillä sitten mitä tahdotaan, mutta työkone on ihan erikseen, toisaalta jos Matti meinas, että tällä koneella suurempi suoja, ihan poliisi tahoja myöten.

Suomen Jallitus kun yleensäkin puhui Lex Nokian puolesta, eli älä tee mitään henkilökohtaista työkoneessa. Tai se on julkista tietoa. Ilmeisesti Jallituksen koneet on lain ulkopuolella.

Ja tämä on ihan EK:n puolesta ajettua lakimuutosta. Itsellä ainakin on ollut se käsitys jo vuosia, että siviiliasiat hoidetaan siviilikoneella. Mailit voi lukea työkoneelta, jos on webmail ja senkin teen mieluummin kotikoneelta. Joskus asioiden hoitoon on kuitenkin pakko saatava hoidettua virka-ajalla, jotenka webmail menettelee. Ja sitä ei pakkoa ei voi edes EK poistaa, kun mahdollisuutta hoitaa asioita nopeasti, kun yhteiskunta sitä vaatii, onneksi ajoittain. Onneksi tuo on satunnaista. Tai sitten tuo vaatinee oman läppärin sallimista työtiloihin verkkoon.

JK. Jokin tässä mättää. Lehdistö veti tapetille nyt ja väitti kuvan ollen myydyksi asti, toisaalla kuvan anastaja väitti hävittäneensä kuvan pian sen saatuaan.

JK2. Ehkä kaikki täsmätieto ei tässäkään tapauksesta tule julki kuin ajan mittaan vuosikymmenten saatossa. Mikä on poliisilaitoksen osuus. Se jää vain arvailujen varaan. Pitäisi kuitenkin pääministeritason ihmisen tajuta, ettei noita kuvia säilytellä valtionhallinnon koneella. Vaikka siten saadaankin poliisitoiminta reagoimaan heti.

jk3. Pääministeri toimi vajakin tavoin, jos luuli kuvan olevan tallessa työkoneellaan. Olisi sangen mielenkiintoista nähdä, onko kuva uuniperunanteosta vai miten. Se antaisi oikean mittasuhteen koko pahuksen kohulle.

ps. Facebook ja Twitter voidaan puolestani poistaa työntekijöiden koneista kokonaan. Ihan vain kun ajatellaan Jungnerin vissiin päivittävän ja keskustellakseen tunnin verran päivässä seuraajiensa kanssa, niin se tekee jo 181k vuosituloilla jo melkoisen ansiottoman lisätulon. Tai sitten se on erikseen merkattava työsopimukseen.

Petteri Järvinen kirjoitti...

@Ossi: Minusta Jäätteenmäen tapaus päinvastoin osoitti, miten lojaaleja ihmiset ovat omalle organisaatiolleen. Luottamus syntyy omaan ryhmään. Lisäksi työnantaja voi valikoida tarkemmin, keitä palkkaa. Mutta se on selvä, ettei riskiä voi kokonaan poistaa.

@Anonyymi: Tietääkseni ministeriö ei ole kieltänyt yksityisasioiden hoitoa sähköpostilla. Ja jos joku lähettää sinulle kuvan sähköpostissa, et voi asialle mitään (paitsi poistaa viestin, mutta sen saapumista et voi estää).

Sillä, mitä kuvassa lopulta oli, ei itse tapahtuman kannalta ole mitään merkitystä.

Anonyymi kirjoitti...

Ihan noviisi näissä verkkopuolen jutuissa olen, ja ehkä juuri siksi ihmettelen, miten on mahdollista että muutamassa minuutissa löysin pääministerin toimiston ip-osoitteen. Voiko asiansa osaava, rikollisia taipumuksia omaava henkilö/ryhmä osoitteen tietoa hyödyntää? Ehkä viisainta asia julkaista, jotta asiaan voidaan tarvittaessa puuttua:

http://www.robtex.com/route/192.49.23.0-24.html

Olli Vihervuori kirjoitti...

Maallikko saattaa kuvitella, että ongelman ytimessä ovat työntekijöiden henkilökohtaiset tietokoneet, jotka sisältävät luottamuksellista tietoa. Oikeasti epärehellisen järjestelmän ylläpitäjän kannattaa kuitenkin urkkia tietoa hallinnassaan olevista palvelimista, jolloin työntekijän tietokonetta ei edes tarvitse saada haltuun. Organisaation sähköpostit, dokumenttiarkisto, varmuuskopiot ynnä muut ovat helposti palvelimien ylläpitäjien luettavissa. Ei kai kukaan luullut, että pääministerin tietokoneella on valtiosalaisuuksia, joita ei ole varmuuskopioitu mihinkään!

Website Security Test