Artikkelit kirjoittajan mukaan

Miten kilpailija on saanut selville liikesalaisuuden? Miksi näin oikein on tapahtunut? Olisiko tämä voitu estää? Miten tieto on joutunut kilpailijan haltuun?

Edellä on muutamia kysymyksiä, jotka varmasti tulevat mieleen kun käy ilmi, että jotain tärkeää tai vähemmän tärkeää, mutta luottamuksellista tietoa on joutunut vieraisiin käsiin. Ulkopuolelta tulevia uhkia on helppo torjua. Palomuurit, virustorjunta, erilaiset verkkoliikennettä analysoivat ohjelmistot ja laitteet auttavat pitkälle torjumaan ulkopäinä tulevia uhkia. Lisäksi ulkopuolelle näkyvät palvelimet on helppo rajata ja valvoa mitä tietoa niissä on. Ovella seisova vartija, kulunvalvonta ja kamerat suojaavat ulkoa tulevilta fyysisiltä uhilta. Edellä mainitut asiat ovat osa tietoturvaa. Usein kuitenkin unohdetaan jotain oleellista; ohjelmistoihin ja laitteisiin on helppo investoida lisää ja luoda sitä kautta turvallisuuden tuntua, mutta monesti teknologian ja termien sekaan unohdetaan tietoturvan tärkein osa.

Päivittäin saamme lukea, kuinka miljoonia luottokorttien numeroita on varastettu, tai miten on saatu haltuun tietoja salaisista ohjuksista. Yrityksen työntekijä on tärkein tietoturvan osa ja samalla sen heikoin lenkki. Miksi kilpailijan kannattaisia yrittää edes murtautua kaliiden palomuurien läpi, jos tieto on saatavilla helpomminkin. Yksinkertaisimmillaan puhelinsoitto sopivalle henkilölle riittää, hyvällä tuurilla keskus ohjaa suoraan oikealle henkilölle ja tiedon voi saada kysymällä tai henkilön nimi on löytynyt yrityksen internet sivuilta. Käyttäjäntunnistuksen parissa työskennellessäni myös minulle on lähetetty ongelmatilateissa sähköpostilla käyttäjätunnuksia ja salasanoja yhdellä sähköpostilla jopa minun niitä pyytämättä. Enkä siis ole ollut kyseisten henkilöiden kanssa missään tekemisissä aikaisemmin. Ulkopuolinenkin voi tärkempia tietoja voi hankkia kysymällä käyttäjän salasanan tai vaikka huijaamalla henkilö lähettämään tiedot. Pienemmissäkään yrityksissä kaikki työntekijät eivät tunne toisiaan. Salasanojen huijaaminen onnistuu todistettavasti jopa tietoturvan ammattilaisilta kongressin aikana johon he osallistuivat suklaapatukkaa vasten. He ovat henkilöitä jotka ovat valveentuneita ja joiden pitäisi tuntea nämä asiat. Normaalilta käyttäjältä tämä siis todennäköisesti onnistuu vielä helpommin. Normaali käyttäjä voi myös vahingossa lähettää tietoja ulkopuolelle tai väärille henkilöille. Tai epähuomiossa julkaista jotain tietoa jossain. Mahdollisesti hän voi säilyttää tietoa kotikoneellaan ja tietämättömyyttään myydä sen kaikkine luottamuksellisine tietoineen eteenpäin. Myös IT-henkilöstö voi epähuomiossa jättää kovalevyjä tyhjentämättä koneista, jotka ovat menossa kierrätykseen tai kaatopaikalle.

Tämä ei koske ainoastaan isoja yrityksiä vaan myös pienempiä. Isolle yritykselle yhden dokumentin hukkaaminen ei välttämättä ole kohtalokasta, mutta pienelle patentoitavan keksinnön piirustusten joutuminen kilpailijalle voi muodostua kohtalokkaaksi koko yrityksen tulevaisuutta ajatellen.

Tilannetta voidaan parantaa hankkimalla ohjelmistoja, jotka esimerkiksi estävät dokumenttien siirtämisen palvelimelta muistikortille tai liittämästä sitä sähköpostiin. Nämä eivät kuitenkaan itsessään ratkaise ongelmaa. Dokumentin tuottajan on osattava määritellä riittävä suojaustaso dokumentin sisältämän tiedon perusteella. Hänen on osattava käyttää ohjelmistoa oikeen ja käyttäjien oikeudet on oltava määriteltynä. Tällaiset ohjelmat on tarkoitettu ennemmin suojaamaan vahingoilta ja käyttäjän virheiltä, kuin estämään pahantahtoisen käyttäjän toimia (toki ne hankaloittavat sitä). SIEM -teknologialla voidaan tunnistaa hyökkäyksiä ja tietovuotoja. Jopa estää niitä, jos järjestelmä huomaa ongelman ajoissa ainakin uhkan tullessa ulkoa päin. Dokumentin sisällän voi esimerkiksi edelleen lukea puhelimessa toiselle, sitä ei voi estää toistaiseksi millään ohjelmalla. Tai jos loppukäyttäjä haluaa julkistaa sen kaikille Facebook:ssa, sen estäminen on hankalaa.

Tietoturva alkaa siis käyttäjästä ja käyttäjän toimia ohjaa yrityksen tietoturvapolitiikka. Ulkopuolelta tulevia uhkia vastaan ja tietovuotojen havaitsemista vasten paras apu tulee tekniikasta.

Mielenkiinnolla odotettu tiedotustilaisuus on nyt sitten takana. Jäikö tilaisuudesta muutakin käteen, kuin sanoma “We are hiring”.

Kuten arvata saattoi tilaisuus keskittyi hyvin pitkälle laitteistoihin ja tallennusratkaisuihin, sekä mitä etuja tämä yhteenliittymä tuo. Lisäksi Java:n tulevaisuutta käsiteltiin laajasti ja mitään suuria muutoksia tälle alueelle ei ollut tulossa. Oracle yhdistää omaa ja yrityshankintojen mukana tullutta tekniikkaa, jolloin tuloksena pitäisi olla jotain entistä parempaa ja tehokkaampaa. Myös MySQL tulee jatkamaan olemassa oloaan suurin piirtein kuten tähänkin asti. Myöskään Weppiserverien ja aplikaatioserverien osalta ei tullut yllätyksiä. Kaikki jatkuu kuten tähänkin asti.

IAM sai tilaisuudessa jopa odotettua enemmän huomiota. Osaltaan siksi, että Oracle korosti olevansa talo joka pystyy tarjoamaan kokonaisvaltaisia ratkaisuja ja tietoturva oli yksi tärkeistä osa-alueista kaikilla eri kerroksilla alkeaen käyttöjärjestelmistä loppukäyttäjän sovelluksiin. IAM-tuotteiden osalta tulevaisuuden näkymiä avattiin myös, toki tietyiltä osin jäi avoimia kysymyksiä joihin varmasti myöhemmin tulee lisää vastauksia. Sanoma pääasia toki oli, että SUN:n tuotteiden tukea jatketaan aikasempien suunnitelmien mukaisesti, mutta toki pitkällä tähtäimellä muutoksia on tulossa.

Hakemistojen osalta tilanne oli suoraviivainen. SUN:n ja Oraclen LDAP hakemistot jatkavat rinnakain eloaan. SUN Directory Server hakemistoja kehitetään eteenpäin ja ne tarkoitetaan kevyempiin ratkaisuihin kun Oracle Internet Directory hakemisto pysyy vaativan raskaan sarjan ratkaisuna. Hakemistojen osalta tilanteeseen ei siis tule merkittäviä muutoksia.

Oracle Identity Manager tulee olemaan pääasiallinen IdM tuote tulevaisuudessa. SUN:n tuotteesta otetaan kaikki hyvä ja liitetään Oraclen tuotteeseen. Esimerkkinä tällaisista mainittiin mm. SPML-adapterit/connectorit. Role Management puolella Oraclella on kokonaan oma tuote, mutta SUN:n roolien hallinta on ollut liitettynä Identity Manageriin. Roolien hallinnassa Oracle tulee ottamaan ison osan työvälinesitä ilmeisesti SUN:n tuotteiden puolelta. Mm. roolien analysointiin liittyviä sovellus osuuksia, mutta ilmeisesti merkittäviltä osin koko Oraclen roolien hallintaan tulee SUN:n tuotteiden puolelta.

Access Management puolella Oraclen Access Manager tulee olemaan jatkossakin käytettävä tuote. OpenSSO asema jätettiin hiukan auki, mutta mitä ilmeisimmin sen kehittäminen tulee entistä vahvemmin siirtyhmään Open Source yhteisön harteille. Yhteisö tulee kuitenkin saamaan jonkinlaista tukea Oraclen puolelta, mutta tuen laatu lienee lähinnä taloudellista. Itse tuotetta ei Oraclen toimesta ilmeisestikään kehitetä.

Suurilta osin suunnitelmat esiteltiin hyvin korkealla tasolla ja yksityiskohdat tarkentunevat lähitulevaisuudessa. Yleisestiottaen IAM alueella mitä ilmeisimmin Oraclen omat tuotteet kuitenkin korvaavat suurimmalta osin SUN:n omat tuotteet, siten että kaikki hyödylliset toiminnot irroitetaan ja lisätään Oraclen tuotteisiin. SUN:n tuotteita tuetaan suunnitelmien mukaisesti niiden tuen loppuun asti, mutta monilta osin niiden jatkokehitys pysähtynee ja painopiste siirtyy Oraclen vastaaviin tuotteisiin.