Tavallinen tarina tietoturvasta

Tietoturva on helpompi käsittää käytännön esimerkkien kautta. Meille frendyille erilaisia käytännön esimerkkejä yritysten tietoturvasta ja etenkin turvattomuudesta onkin kertynyt vuosien ajalta vaihtelevilta toimialoilta. Koostin kokemuksistani kuvitteellisen tarinan. Ei kai kuulosta tutulta?

Tarina on esimerkki kaikesta siitä, mikä voi mennä vikaan. Keskimäärin yrityksissä on parempi tilanne kuin tarinassa, mutta harvassa kaikki asiat sattuvat kohdalleen. Jos tarina tuntuu tutulta, suosittelen olemaan yhteydessä mahdollisimman pikaisesti. Lupaan olla tuomitsematta – loogisetkin polut voivat johtaa epäloogisiin ja riskialttiisiin ratkaisuihin. Tärkeintä on saattaa asioita tietoisuuteen ja sitä myöten kuntoon.

Alla on siis kuvattu tyypillinen tilanne tyypillisessä yrityksessä tyypillisessä suomalaisessa kaupungissa. Toimialalla ei ole oikeastaan väliä. Miksei? Koska tietotekniikkaa käytetään ihan kaikkialla.

Nimetään yritys vaikka TAP:ksi (Tyypin automaatio- ja palvelutalo).

TAP:ssa ei ole ollut mahdollista nimetä täysipäiväistä ihmistä hoitamaan vain it-puolta, joten it-valtikka on kiertänyt organisaatiossa. Lopulta se on päätynyt talousjohtajan tontille kuin orpo hirvi ruutukaava-alueelle ennen metsästyskauden alkamista.

Konekanta kirjava kuin mummon päiväpeitto

Työasemat yritykseen on pitkään ostettu suoraan Värkkikaupasta tai Gogontista. Uusia henkilöitä on tullut välillä yllättäenkin, jolloin työasemat on ollut nopeinta hakea työmatkalla. Samoin rikkoontuneiden tilalle on pitänyt saada mahdollisimman nopeasti uusia koneita, jotta työt voivat jatkua.

Käytöstä poistetut koneet on yleensä annettu joululahjoiksi lapsille ja anopeille – rikkinäiset on viety talon vieressä olevaan roskikseen.

Hankintaa koitettiin siirtää kumppanille 2000-luvun alussa, mutta toimitusaikojen ollessa lähempänä kahta viikkoa päätettiin siirtyä nopeampiin kanaviin. Tämän johdosta yrityksen konekanta on kirjava kuin mummon päiväpeitto.

Palvelinympäristön auvoon ajan hammas on puraissut

TAP:ssa on käytössä pieni palvelinympäristö, jossa ajetaan AD:ta, tiedostopalvelinta, ERP:iä, neljää tuotantoon liittyvää palvelinta sekä vanhaa Exchangea arkistona ajalta ennen O365:een siirtymistä.

Palvelinympäristö on yrityksen kahden tietoteknisen osaajan pystyttämä – molemmat ovat tosin nykytehtävissään niin kuormittuneita, etteivät ehdi sen perään enää katsoa. Palvelimet ostettiin paikalliselta IT-firmalta, ja hetken aikaa kaikki oli onnellista auvoa. Auvosta on nyt viisi vuotta.

Päivitykset tekee, kuka muistaa, kun muistaa tai jos muistaa

Palvelimia on päivitetty enemmän muistamisen kuin säännöllisyyden ohjaamina. Kahdesta palvelimesta ei ole yleisesti muuta tietoa kuin se, että jos ne sammuttaa, tuotanto pysähtyy. Ne ovat naapurikunnan AMK:sta valmistuneen insinöörin opinnäytetyöksi pystyttämiä ja hiljalleen siirtyneet vallan keskiöön.

Microsoftin ilmoitukset tuen päättymisestä käytetyille käyttöjärjestelmille ovat menneet samaan osoitteeseen, jota yritys antaa kaikille hälytys-, ilmoitus- ja mainontakanaville. Laatikkoa seurataan sen verran, että se käydään tyhjentämässä kerran kuukaudessa.

Varmistuksia järjestelmistä otetaan erilliselle USB-levylle – jos muistetaan. Palautumista on kokeiltu vain kerran, kun tuotannon harjoittelija poisti tiedostopalvelimelta oikeudet kaikkiin kansioihin. Viikonlopun työn jälkeen kaikki toimi taas, ja harjoittelijaa nuhdeltiin ankarasti.

Verkko sieltä, missä aita matalin

Tietoverkkoa yrityksessä on rakennettu pitkään ja hartaudella yli kymmenen ihmisen voimin koko yrityksen olemassaolon ajan. Laitteina on käytetty kevyitä versioita (koska kulut!) siltä toimittajalta, jonka jälleenmyyjältä on edeltävänä jouluna tullut paras joulukortti.

Joskus on turvauduttu myös samaan kanavaan kuin työasemissa, jos langatonta verkkoa on pitänyt laajentaa nopeasti tai yksi yrityksen pienistä toimipisteistä on pitänyt perustaa nopeammin kuin paikallisoperaattorilla on ollut kykyä toimittaa kuitua.

Liikkuvien työntekijöiden etäyhteyksiin käytetään VPN:ää, mutta ERP piti avata suoraan julkiseen verkkoon, koska toimitusjohtaja ei saanut raporttia ulos eikä saanut asennettua kotikoneelleen VPN-sovellusta.

Valvontakamerat ja pari muuta riskiä

Verkkoon on asennettu myös muutamia valvontakameroita kuvaamaan yrityksen pihaa sekä varastoa. Pihalla on joskus pyörinyt mopopoikia, ja varastossa taas on paljon rahan arvoista tavaraa säilöttynä.

Näppäränä palveluna pihan kameran kuvaa voi katsoa myös selaimella kotoa. Firman työntekijät näkevät siis kätevästi, onko parkkipaikkoja miten vapaana. Hassua kyllä, talousjohtaja muisteli taannoin, että kameroita olisi ollut neljä, mihin lie yksi kameroista joutunut?

Wlan, wlan, wlan

Jos kaikki muu tuntuukin tökkivän, yrityksen langaton verkko on ainakin helppokäyttöinen, sillä samaa salasanaa on käytetty aina. Vieraat käyttävät samaa verkkoa, koska vierailun isännöitsijän on näin helpointa muistaa vain yksi salasana.

Prosessit ja toimintamallit oman maun mukaan

Toimintamalleja ja prosesseja IT:hen liittyen yrityksellä on paljon. Niitä on kirjattu IT-valtikan kantajien toimesta vuosien saatossa, mutta kysyttäessä lähes kenelläkään yrityksen nykytyöntekijöistä ei ole mitään hajua, missä ne ovat.

Suurin osa toimintatavoista on siis perittyä suullista tietoa. Tosin Matti kertoi omille alaisilleen, että heidän kannattaa ennemmin tehdä niin kuin hän on tottunut tekemään, koska se on helpompaa ja nopeampaa.

Kuulostaako liiankin tutulta?

Älä hätäile – ota yhteyttä Frendyyn! Me autamme ottamaan yrityksen IT:n haltuun.