Blogi

4.7.2014

Turvallisuutta sosiaalisesta mediasta

Kuuma Kreikan kesä tarjosi heinäkuun alussa uusinta tutkimustietoa kyberturvallisuudesta 13th European Conference on Cyber Warfare and Security –tapahtuman muodossa. Esitykset pyörivät kyberturvallisuuden ympärillä erilaisista näkökulmista. Yksi otsikko nousi esiin useammassakin esityksessä; sosiaalisen median käyttö tiedustelutiedon lähteenä.

Sosiaalinen media, kuten Facebook, Twitter ja Youtube, pitää sisällään jatkuvasti kasvavan, suuren massan julkista tietoa ihmisten tekemisistä ja mielipiteistä. Koska tieto on julkista, se tarjoaa mielenkiintoisen lähteen analysoida mitä kaikkea sekä yksittäisistä henkilöistä että ryhmistä voidaan päätellä. Erityisesti tutkimuksen kohteena tuntuu olevan, että voidaan tiedon perusteella ennustaa mahdollisia rikoksia tai muita tapahtumia, jotka saattavat vaarantaa yhteiskunnan turvallisuutta.

Esityksissä löytyi jo esimerkkejä kuinka sosiaalisesta mediasta löytyvää tietoa oli käytetty riskianalyyseissä rikosten ehkäisemiseen. Analyysien avulla pystytään tunnistamaan poikkeavia tapahtumia ja ennakoimaan esimerkiksi laittomia mielenosoituksia tai mellakoita. Jälkikäteen sosiaalista mediaa voidaan käyttää myös hyväksi tapahtumien selvittämisessä ja todisteiden keräämisessä. Näistäkin on jo olemassa käytännön esimerkkejä, joissa sosiaaliseen mediaan lisättyä kuvia ja videoita on käytetty todisteena oikeudessa.

Sosiaalisen median sisällön analysointi nostaa esille myös eettisiä kysymyksiä. Voidaanko ihmisten tuottamaa sisältöä kerätä eri lähteistä heidän riskitason analysoimiseen? Vaikka tieto onkin julkisesti saatavilla, tuskin kukaan haluaa sitä käytettävän automaattiseen profilointiin. Eettiset kysymykset ovat hyvin hankalia ja niissä on usein erilaisia näkökulmia. Kansainväliset ja kansalliset lait ja sopimukset lisäksi aiheuttavat omat rajoituksensa.

Toinen merkittävä osa-alue konferenssissa olivat erilaiset turvallisuuden hallinta- ja kehittämismenetelmät. Yhtenä ongelmana koettiin, että vanhat meneltelmät eivät sovellu kaikille. Lisäksi kyberpuolustuksen kustannukset nousevat helposti liian korkeaksi, jos yritetään puolustautua kaikelta mahdolliselta. Puolustautumisen ja hyökkäämisen kustannukset ovat asymmetriset, puolustauminen on kallista ja hyökkääminen toisaalta halpaa.

Tämän jälkeen on hyvä vähän sulatella ajatuksia ja hengähtää kesälomalla ja syyskuussa on sitten kyberturvallisuutta tarjolla Jyväskylässä. Tulkaahan käymään keskustelemassa Relatorin osastolla.

Kirjoittaja Riku Nykänen toimii Relatorissa konsulttina.

12.6.2014

Accent and ligature insensitive comparison in Powershell

Comparing unicode encoded strings without accented characters and ligatures effecting the comparison is easily achieved with Powershell or other languages in a .NET environment.

function CI-Compare {
param
( [String]$str1 = [String]::Empty,
[String]$str2 = [String]::Empty,
[String]$CompareOptionsParams = [String]::"None"
)
# define variables
$CompareOptionsEnums = @{"None" = 0x00000000; "IgnoreCase" = 0x00000001; "IgnoreNonSpace" = 0x00000002; "IgnoreSymbols" = 0x00000004; "IgnoreKanaType" = 0x00000008; "IgnoreWidth" = 0x00000010; "StringSort" = 0x20000000; "Ordinal" = 0x40000000}
$CompareOptions = $CompareOptionsEnums.Get_Item("None")

# Build options value
ForEach ($comopt in $CompareOptionsParams.Split("|")) { $CompareOptions = $CompareOptions -bor $CompareOptionsEnums.Get_Item($comopt) }

# Compare strings with InvariantCulture
$myCI = [System.Globalization.CultureInfo]::InvariantCulture
$myCI.CompareInfo.Compare($str1, $str2, $CompareOptions)
}
# first item fails the ligature comparison, second compares the strings the same,
# third demonstrates case insensitivity and the last some accented characters
@(@("øæØÆ", "oaOA"), @("øæØÆ", "oaeOAe"), @("åäö", "AAO"), @("ôíàõ", "OIAO")) | % { CI-Compare $_[0] $_[1] "IgnoreCase|IgnoreNonSpace"}
-1
0
0
0

# same comparison without compare options: all strings compare different
@(@("øæØÆ", "oaOA"), @("øæØÆ", "oaeOAe"), @("åäö", "AAO"), @("ôíàõ", "OIAO")) | % { CI-Compare $_[0] $_[1] }
-1
1
1
1

The writer Juha Pakkanen works at Relator as a consultant

20.5.2014

Omavalvontasuunnitelma

Omavalvontasuunnitelma – uusi velvoite sosiaali- ja terveydenhuollon asiakastietojen turvallisuudelle

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä muuttui huhtikuussa 2014. Tietoturvallisuuden kannalta oleellisia ovat uudet säädökset tietojärjestelmien olennaisista vaatimuksista ja niiden osoittamisesta sekä palvelujen antajan omavalvonnasta. Sosiaalihuollon ja terveydenhuollon palvelujen antajan on vuoden 2015 alkuun mennessä laadittava tietoturvaan ja tietosuojaan sekä tietojärjestelmien käyttöön liittyvä omavalvontasuunnitelma. Suunnitelman tarkoitus on selvittää, miten laissa erikseen luetellut järjestelmien käyttöön liittyvät asiat varmistetaan.

Potilastiedon arkiston (eArkisto) käyttöönotot ovat täydessä vauhdissa. Terveydenhuollon organisaatioissa mietitään parhaillaan, miten omavalvontasuunnitelma pitäisi laatia ja miten ylipäätään tietoturva ja tietosuoja hoidettaisiin kuntoon mahdollisimman vaivattomasti, mutta kuitenkin jämäkästi. Seuraavassa ajatuksia siitä, miten kokonaisuutta voisi lähestyä.

Velvotteita on useita. Kokonaisturvallisuus lähtökohdaksi
Omavalvonnassa on kaksi osa-aluetta:

• Pitää olla suunnitelma
• Suunnitelman toteuttaminen ja jatkuva tilannetietoisuuden ylläpito sekä tarvittaessa suunnitelman toteutumisen todentaminen sitä kysyville

Omavalvontasuunnitelman tekeminen dokumentiksi on suoraviivaista. Odotellaan kansallisesti määriteltyä mallipohjaa (tai jos sellaista ei ala kuulua, otetaan laista otsikot, mitä suunnitelmassa tulee olla), kirjoitetaan sisältö ja hyväksytetään ja julkaistaan dokumentti. Näin menetellen vaatimus omavalvontasuunnitelman laatimisesta tulee täytettyä. Mutta tietoturvan kehittäminen ei ole suunnitelman kirjoittamista. Se on hyvin laaditun suunnitelman määrätietoista toteuttamista, jatkuvaa kehittymistä sekä toteutumisen arviointia.

Asiakastietolain lisäksi samankaltaisia vaatimuksia sosiaali- ja terveydenhuollon turvallisuusasioiden suunnittelulle ja seurannalle tulee myös terveydenhuoltolaista. Se edellyttää terveydenhuollon toimintayksiköltä suunnitelmaa laadunhallinnasta ja potilasturvallisuuden täytäntöönpanosta. Lääkintälaitelaissa puolestaan säädetään terveydenhuollon laitteiden – jollaisia monet ohjelmistotkin ovat – ammattimaisesta käytöstä ja seurantajärjestelmästä. Yksityisellä puolella omavalvontavelvoite liittyy toimiluvan saamiseen sekä ostopalveluissa sopimuksiin.

Laatimalla kukin suunnitelma erikseen tulee helposti tehtyä turhaa työtä. Suunnitelmien vaatimukset kun ovat osittain päällekkäisiä. Myös tietoturva- ja potilasturvallisuuspoikkeamien havainnointi ja raportointi järjestetään helposti erillisinä saarekkeinaan siitä huolimatta, että käytäntöinä ne eivät juuri toisistaan poikkea. Miten tulisi siis toimia?

Hyödynnä valmista
Organisaation omavalvonta kannattaa suunnitella osana kokonaisvaltaisempaa tietoturvallisuuden ja laadun kehittämistä. Organisaatiolla pitäisi jo olla olemassa hyväksytty tietoturvapolitiikka. Tietoturvan ja omavalvonnan kehittämissuunnitelma kannattaa linkittää siihen. Kokonaisvaltaiseen lähestymiseen on helpommin saatavilla apuja erilaisten toteutusohjeiden ja standardien muodossa. Esim. VAHTI-ohjeissa on paljon käyttökelpoista materiaalia, jota voi hyödyntää heti. Valmista materiaalia voidaan hyvin hyödyntää yleisellä tasolla toiselta toimialalta ja tehdä sen jälkeen tarvittavat toimialakohtaiset räätälöinnit.

Julkaise helposti lähestyttäväksi – seuraa toteutumista.
Tietoturvallisuus-otsikon alle mahtuu paljon asiaa ja yksityiskohdat eivät jää kerralla mieleen. Suunnitelmat, ohjeet ja tilannetiedot pitää olla jatkuvasti saatavilla, jotta yksittäinen työntekijä voi helposti tutustua aineistoon. Omavalvontasuunnitelman tarkoitus on varmistaa, että asiat tulee hoidettua oikein. Asioita hoitavat ihmiset ja ihminen on myös tietoturvan heikoin lenkki.

Relator on ollut alusta asti tekemisissä turvallisuuskriittisten asiakkaiden kanssa ja toimintamme on auditoitu KATAKRI:in perustuen. Jatkuvan tilannetietoisuuden ja kehittämisen tueksi olemme toteuttaneet oman dokumentaatiomme turvallisuuswikiin, johon on tiivistetty tietoturvallisuussertifioinnissa vaaditut käytännöt ja linkit. Turvallisuuswikissämme ylläpidämme ajantasaista tietoa suunnitelman käytännön toteutuksesta, tilanteista ja toimenpiteistä. Oma suunnitelmamme on enemmän työkalu kuin dokumentti. Uskomme, että samankaltaista lähestymistapaa voisi kehittää myös omavalvontasuunnitelman toteuttamiseksi.

Ota meihin yhteyttä, niin keskustellaan asiasta lisää!

Kirjoittaja Juhana Suurnäkki toimii Relatorissa konsulttina.

2.4.2014

”Pitäisikö meidän vaihtaa maceihin?”

Joku aika sitten keskustelin turvallisuusasioista erään teollisuusyrityksen ylempään keskijohtoon kuuluvan henkilön kanssa. Hän esitti kysymyksen: ”Pitäisikö meidän vaihtaa maceihin, kun niille ei ole viruksia?”. Taustalla oli huoli minimoida kaikki turvallisuusriskit eräässä hankkeessa. Tähän kysymykseen törmää muodossa tai toisessa silloin tällöin, joten ajattelin hieman avata kysymyksen taustaa.

Aloitetaan pienellä määrittelyllä. Tietokoneviruksella tarkoitetaan perinteisesti haittaohjelmaa, joka osa levittää itseään tietokoneesta toiseen. Haittaohjelma taas on yleisempi käsite, jolla tarkoitetaan kaikkia ei-toivottuja sovelluksia. Virusten lisäksi muita haittaohjelmia ovat esimerkiksi troijalaiset, mainosohjelmat ja kiristysohjelmat. Eli pelkistä viruksista puhumisen sijaan olisi syytä puhua kuinka voidaan välttyä haittaohjelmilta.

Haittaohjelmien leviämistavat vaihtelevat paljon. Nykyisin yksi yleisimmistä tavoista saada haittaohjelma on käydä selaimella haittaohjelmia levittävällä verkkosivulla. Haittaohjelman voi saada sivustolta joko selaimessa tai sen lisäosassa (kuten Flash) olevan haavoittuvuuden vuoksi. Sivuston ylläpitäjä ei välttämättä edes tiedä levittävänsä haittaohjelmia, sillä haittaohjelma on voitu lisätä sivustolle levitettäväksi esimerkiksi julkaisujärjestelmässä olevan haavoittuvuuden vuoksi. Muita tapoja ovat muun muassa sähköpostin liitetiedostot, jotka käyttävät PDF-lukijassa tai toimisto-ohjelmissa olevia haavoittuvuuksia hyväkseen.

Ongelmana ovat siis haavoittuvuudet, siis mitkä? Haavoittuvuus on yleensä virhe ohjelmistossa, jonka avulla hyökkääjä pystyy suorittamaan ei-toivottuja operaatioita. Esimerkiksi selaimen haavoittuvuus voi mahdollistaa haittaohjelman asentamisen palvelimelta laitteelle, jossa selain on käynnissä. Selainten lisäksi haavoittuvuuksia löytyy käyttöjärjestelmistä ja käytännössä kaikista sovelluksista. Toisaalta kaikki haavoittuvuudet eivät ole yhtä vakavia. Toiset voivat vain ”kaataa” sovelluksen tai käyttöjärjestelmän, kriittiset haavoittuvuudet taas voivat antaa käyttäjälle täyden pääsyn järjestelmään ja sen sisältämiin tietoihin.

Kuinka sitten haavoittuvuuksilta suojaudutaan? Jos haavoittuvuuteen on saatavilla korjaus, niin kyseisen päivityksen asentaminen on helpoin tapa suojautua haavoittuvuuden hyväksikäytöltä. Juuri tämän vuoksi päivitysten asentaminen on tärkeää, koska se on tärkeä osa haavoittuvuuksilta suojautumista. Nollapäivähaavoittuvuudella tarkoitetaan sellaista haavoittuvuutta, jolle ei ole julkaistu korjausta. Nollapäivähaavoittuvuudelta suojautuminen vaatii hyväksikäyttömahdollisuuksien minimoimista esimerkiksi käyttöoikeuksia tai pääsyä rajoittamalla. Samoja tapoja voidaan käyttää myös, jos ei ole mahdollista päivittää ohjelmistoa haavoittuvuuden korjaavaan versioon.

Palataanpa takaisin alkuperäiseen kysymykseen. Esimerkiksi Viestintäviraston Kyberturvallisuuskeskus on vuoden 2014 ensimmäisen neljänneksen aikana varoitellut haavoittuvuuksista Flash Playerissa (Haavoittuvuustiedote 037/2014) ja Google Chromessa (38/2014), joissa kaikissa haavoittuvuudet koskevat Windowsin lisäksi myös Mac OS X ja Linux-versioita. Windows on ollut vuosien ajan hyökkäyksien kohteena enemmän kuin muut alustat, koska sen markkinaosuus on ollut niin merkittävä, että muut alustat eivät ole muodostaneet mielenkiintoista hyökkäysvektoria. Markkinaosuuksien muuttuessa tilanne kuitenkin on muuttumassa ja tietoturvayhtiö Sophos huomioi Mac OS X:n entistä kehittyneemmät uhkat vuosiraportissaan.

Kannattaako siis vaihtaa vai ei? Yksiselitteistä vastausta ei ole. Kaikista alustoista ja ohjelmistoista löytyy haavoittuvuuksia, toisista enemmän ja toisista vähemmän. Turvallisella päivitysprosessilla hallittu ja asianmukaisesti suojattu Windows-työasema on varmasti turvallisempi kuin suojaamaton Mac OS X -työasema. Oli alusta mikä tahansa, on tärkeintä minimoida haavoittuvuuksien hyväksikäyttömahdollisuudet ja mahdollisesta hyväksikäytöstä aiheutuvat vahingot. Tähän vaaditaan usein sekä tehokkaita toimintamalleja että asianmukaisia työvälineitä. Eikä pidä unohtaa mitä kaikkea se heikoin lenkki, työaseman käyttäjä, voi tehdä.

Sopivilla ratkaisuilla voidaan myös tietoturvapäivitysten tilanne saada osaksi normaalia valvontaa. Relatorin tilannekuvaratkaisulla voidaan esimerkiksi tuoda tieto päivitysten viimeisimmästä asennuksesta osaksi tilannekuvaportaalia, joka voi olla alisivusto yrityksen intranetissä. Ei siis erillisiä kirjautumisia muihin järjestelmiin, vaan tilannetieto löytyy helposti osana intranetiä.

Riku

Kirjoittaja Riku Nykänen toimii Relatorissa konsulttina.

6.11.2013

Yksi turvallinen SharePoint, kiitos

Relatorin asiantuntijat toimivat päivittäin projekteissa, joissa ensi silmäyksellä ristiriitaiselta vaikuttavat vaatimukset kohtaavat. Näkökulmasta riippuen esimerkiksi tietojärjestelmän ja siihen liitettyjen toimintojen ykkösprioriteetti voi olla helppokäyttöisyys tai turvallisuus. Useimmiten on helpointa todeta, että helppokäyttöisyys ja tietoturva ovat aina ristiriitainen parivaljakko ja panostus toiseen on pois toiselta. Onko aina näin?

Esimerkiksi Microsoftin SharePoint-alustan käyttöönoton keskeinen tavoite on yleensä ryhmätyön helpottaminen ja tiedonhallinnan kehittäminen. Lähtökohtana on siis helppokäyttöisyys. Kun asiaa ryhdytään pohtimaan tarkemmin, esille tulee tyypillisesti seuraavia kysymyksiä:

  • Miten käyttöoikeudet ja sivustorakenne tulee toteuttaa, että vältytään turhilta tietosiiloilta ja toisaalta tieto ei pääsisi väärien tahojen käsiin?
  • Mistä tiedän, ketkä kaikki voivat nähdä ryhmätyötilani sisällön?
  • Mistä tiedän asiakirjaa luodessani, ketkä sitä tulevat jatkossa oikeasti tarvitsemaan? Mitkä ovat asiakirjan oikeat käyttöoikeudet ja mihin sen luon ja tallennan?

Listaa voisi jatkaa loputtomasti, mutta vastauksia yhdistää yksi yhteinen piirre: mitä yksinkertaisempi toteutus on, sitä selkeämmäksi ja helppokäyttöisemmäksi tietojärjestelmä koetaan ja – yllätysyllätys – sitä helpommin ratkaisun tietoturvaa voidaan hallita ja valvoa. Miksi luoda monimutkainen käyttäjäroolitus, kun siitä seuraa huomattava lisäkuorma käyttäjähallintaan ja erityisesti lisätarpeita asian kouluttamiseksi ja viestimiseksi käyttäjille? Miksi luoda monimutkaisia räätälöityjä toiminnallisuuksia, kun 80% tarpeista täyttyy hyvin yksinkertaisesti ja kaikkien ymmärtävällä tavalla?

Tietoturvan lähtökohtana on aina käyttäjä eikä turvallisuutta lisää käyttäjien epätietoisuus tietojärjestelmän toiminnasta. Käyttäjä on aina loppujen lopuksi se, joka omilla toimillaan tekee tietojärjestelmästä tietoturvauhkan tai organisaation heikon lenkin. Ja jos käyttäjä ei lähtökohtaisesti ymmärrä käyttämänsä tietojärjestelmän logiikkaa, kyse on helppokäyttöisyysongelman lisäksi tietoturvaongelmasta. Pahimmillaan tietojärjestelmän logiikka on epäselvä jopa ylläpitäjän roolissa olevalle käyttäjälle, jolloin seuraukset ovat kriittisiä.

Kun siis seuraavan kerran kehität tietojärjestelmiäsi, mietipä tietoturvaa myös helppokäyttöisyyden kautta. Voit kohdata yllättäviä pikavoittoja ja ahaa-elämyksiä – yksinkertainen on kaunista ja edistää tietoturvallista toimintaa.

24.9.2013

ALM ei ole entisensä

Sovellusten elinkaaren hallinnan (ALM, Application Lifecycle Management) voidaan sanoa olevan kattotermi kaikelle, mitä sovelluksen olemassa olon aikana tapahtuu. Se kattaa tekemisen eri vaiheet ideasta ylläpitoon, niiden koordinoinnin ja hallinnan sekä työkalutuen. Kyseessä ei ole mikään uusi keksintö, mutta se on vuosien varrella kokenut sen verran muutoksia, että alkuperäistä ja uutta yhdistää enää samantyylinen nimi.

Alkuperäinen ALM korosti standardointia, prosessien määritystä sekä niiden mukaista toimintaa. Ohjelmistoprojektin hallinnan avainten nähtiin olevan tarkassa prosessin määrittelyssä. Osa tarkkaa asioiden määrittelyä oli myös perättäisiin vaiheisiin jaettu järjestäytyminen, jonka tunnemme paremmin vesiputousmallin nimellä. Vastaavasti prosessi tuli työkalun mukana, johon oli määritelty paras tapa toimia.

Ketterän ohjelmistokehityksen mukana ALM on saanut oman vastaavan vaihtoehdon. Ketteryyden mukana tärkeään asemaan on noussut ihmisten välinen yhteistyö ja jatkuva oppiminen. Samalla päälaelleen ovat kääntyneet aiemmat valtasuhteet, jossa prosessi määräsi työnteon yksityiskohdat. Tiimitoiminta sekä vastaaminen muutoksiin ja ohjelmistokehityksessä esiin tuleviin ongelmiin vaatii, että prosessi on tiimien hallinnassa. Tämä tarkoittaa, että tiimeillä on myös oltava mahdollisuudet muokata prosessia tarpeen vaatiessa. Tämän päivän ALM on siis enemmän alhaalta ylöspäin kehittyvää.

Työkalutuki on tärkeää, mutta näkökulma ei voi olla puhtaasti tekninen. ALM ei ole ensisijaisesti investointi työkaluihin, vaan investointi ihmisiin ja tiimeihin. Työvälineiden on tuettava tärkeitä ja parempaa toimintaa mahdollistavia asioita, kuten yhteistyötä ja läpinäkyvyyttä.

Työkaluilla on käytännön merkitystä siihen, miten ihmiset työskentelevät yhdessä. Työkalu on lähtökohtaisesti huono, jos sen tarkoitus on esimerkiksi korvata ihmisten välistä keskustelua. Sopivien työkalujen mukana tulee jaettu kieli ja mahdollisuudet tehdä yhteistyötä prosessin alusta loppuun, saada nopeasti palautetta sekä muokata prosessia tilanteen vaatimalla tavalla.

Tämän päivän ALM on prosessi, joka on jatkuvasti kehittyvä. Se ei tule valmiina paketissa, jonka voi ostaa. Ketterä ALM ja sitä tukevat hyvät työkalut ovat sellaisia, jotka tukevat oppimista ja kasvavat kehittymisen mukana.

Toimivalle ohjelmiston elinkaaren hallinnalle on olemassa selkeät perustelut, sillä se kertoo osaamisesta ja oppimisesta. Toimiva ja hyvin ymmärretty sovelluksen elinkaaren hallinta on pakollinen osa toimivaa ohjelmistokehitystä, mutta samalla myös selkeä ammattitaidon merkki. Se paljastaa suoraan ja rehellisesti, kuinka hyvin ohjelmistoa kehittävä organisaatio ymmärtää ja hallitsee useat siihen liittyvät asiat sekä pystyy liittämään ne toimivaksi kokonaisuudeksi ja lopulta menestyviksi ja laadukkaiksi tuotteiksi.

Kirjoittaja Ville Törmälä toimii Relatorissa konsulttina, projektipäällikkönä ja ketteränä valmentajana.

12.7.2013

Kybertietoisuus kasvaa

Jyväskylän yliopisto isännöi  12th European Conference on Cyber Warfare and Security konferenssia 11.-12.7.2013. Konferenssi tunnettiin aiemmin nimellä European Conference on Information Warfare and Security, mutta kyberulottuvuuden merkityksen kasvun myötä, kyber on otettu mukaan myös nimeen.

Konferenssiesitykset käsittelivät kyberturvallisuutta laaja-alaisesti teknisistä yksityiskohdista lainsäädännöllisiin ongelmiin. Useammassakin esityksessä nousi esiin huoli organisaatioiden valmiudesta kyberturvallisuuden osalta. Jarmo Limnéll Stonesoftilta totesi keynote-puheenvuorossaan, että täydellistä kybertuvallisuutta ei voi saavuttaa, mutta sietokyky (resilienssi) on saavutettavissa. Tietoturva-asiantuntijat ovat olleet jo pitkään yksimielisiä, että täydellistä tietoturvallisuutta ei voida saavuttaa.  On siis syytä keskittyä sietokyvyn kehittämiseen. Tavallisen organisaation kannalta on syytä miettiä kauanko se esimerkiksi pystyy selviämään eri tietojärjestelmiään ja kuinka nopeasti mahdollisesti tuhoutunut tietojärjestelmä tai verkkoyhteys pystytään korvaamaan uudella.

Vaikka konferenssin nimi viittaa kybersodankäyntiin, eivät kyberuhat kohdistu pelkästään kansalliselle tasolle vaan myös yrityksiin ja yksittäisiin kansalaisiin. Varsinkin yritysten osalta varautumisessa on toivomisen varaa. Viime aikaiset paljastukset signaalitiedustelun laajuudesta tosin ovat saaneet yritykset reagoimaan erityisesti Yhdysvalloissa olevien palveluiden luottamuksellisuuden suhteen. Onkin mielenkiintoista nähdä miten viime vuosien kehitys pilvipalveluihin siirtymisen suhteen tulee muuttumaan (vai tuleeko se muuttumaan) paljastusten myötä.

Kesäkuussa myös tuli päätös, että työ- ja elinkeinoministeriö on valinnut innovatiiviset kaupungit (INKA) ohjelmaan Jyväskylän kyberturvallisuus-teeman vetovastuulliseksi kaupungiksi. Tämä toivottavasti merkitsee positiivista jatkoa työlle, jota kapungissa on tehty oppilaitosten, yritysten ja muiden julkishallinnon organisaatioiden yhteistyön osalta.

Riku

Kirjoittaja Riku Nykänen toimii Relatorissa konsulttina.

8.2.2013

European SharePoint Conference 2013

Relator osallistui kuluneella viikolla European SharePoint Conference -tapahtumaan. Tapahtuma keskittyi monipuolisesti uuteen SharePoint 2013 -versioon. Esitysten taso oli kirjava – osa esityksistä oli rehellisiä rimanalituksia, mutta pääasiassa tarjolla oli laadukasta kuunneltavaa. Ulkoisesti esitykset noudattivat pääsääntöisesti samaa formaattia: PowerPoint-esityksissä oli kovasti tiiliä (eng. tiles) ja lähes jokaisessa esityksessä esiintyivät taikasanat social, mobile ja cloud. Esityksissä oli käytetty liukuvärejä ja animaatioita kenties hillitymmin kuin pitkään aikaan – ehkäpä tiilet ajavat saman asian?
Lue lisää »

7.11.2012

Sexy cyber

Kyberistä on tullut parin viime vuoden aikana muotisana, jolla markkinoidaan kaikkea mahdollista informaatioturvallisuuteen liittyvää. Ensimmäisessä aallossa tulivat tuotteet ja konsultointipalvelut, jonka jälkeen herättiin koulutusrintamalla. Periaatteessa kaikkeen, jota aiemmin markkinoitiin tietoturvaan kuuluvana, on lisätty kyber-etuliite.

Mistä kyberissä on oikein kyse? Itse sana kyber on peräisin jo vuosikymmenten takaa, jolloin sitä käytettiin osana kybernetiikka-termiä. Yleisin nykyinen määritelmä kyberille on, että se on uusi sähköisen tiedonvälityksen “alue”. Aiemmin on puhuttu englannin kielisellä termillä “global commons” yleisistä alueista, joita ei kukaan omista. Näitä alueita ovat meret, ilmakehä ja avaruus. Määritelmän mukaan kybermaailma on tullut näiden rinnalle neljänneksi yleiseksi alueeksi. Joissakin yhteyksissä kybermaailmasta käytetään myös termiä kyberavaruus.
Lue lisää »

25.10.2012

Lomakkeiden suunnittelusta iloa syksyyn

Syyssateiden pimentäessä iltoja Relator Oy tuo valoa pimeyteen ja kantaa kortensa kekoon parempien käyttöliittymien puolesta. Tällä kertaa kiinnostuksen kohteena ovat sähköiset lomakkeet, joiden täyttäminen monesti virittää kahvipöytäkeskusteluja.
Lue lisää »

31.5.2012

Laadukkaat vaatimukset ohjelmistojen elinkaarenhallinnan kivijalkana

Tarjouksen tulee täyttää Katakri-tietoturvavaatimukset. Käyttöliittymän tulee olla helppokäyttöinen. Sovelluksen tulee toimia Microsoftin tuotteista tutun käyttökokemuksen mukaisesti. Kuulostaako tutuilta lauseilta? Tällaisiin “vaatimuksiin” törmää kaiken aikaa sekä toimittajan roolissa tarjouspyyntöjä lukiessa että konsulttina asiakasprojekteissa.

Mitä vikaa näissä “vaatimuksissa” on? Periaatteessa ei mitään, parempi nimittäin ilmaista vaatimus puutteellisesti kuin olla mainitsematta asiasta lainkaan. Puutteellisestakin vaatimuksesta saa tarvittaessa jonkinlaisen tarttumapinnan aiheeseen ja asioita voi aina tarkentaa aikojen kuluessa. Laadukas vaatimus on kuitenkin yksikäsitteinen, testattavissa oleva – ja paljon muuta. Useimmiten epämääräiset vaatimukset liittyvät ns. itsestään selviin asioihin eli erityisesti tietoturvaan ja käyttöliittymään / käytettävyyteen. Vaatimusmäärittelyä laatiessa on helppo sivuuttaa tällaiset aiheet alkuvaiheessa ja lopussa onkin sitten niin kiire, ettei näihin aiheisiin ehdi riittävästi paneutumaan – kunnes aikaisessa vaiheessa laiminlyöty tietoturvan huomioiminen voi esimerkiksi siirtää tai estää käyttöönoton.
Lue lisää »

5.12.2011

Miksi tieto ei ole turvallista?

Viime viikkojen uutiset ovat nostaneet taas esille tietojärjestelmien tietoturvaongelmat. Tavallisen käyttäjän näkökulmasta voi vaikuttaa erikoiselta, että ihmisten henkilötietoja tai salasanoja ei ole suojattu riittävän hyvin tietovuotojen estämiseksi. Tietojärjestelmän kehittäjän näkökulmasta tietojen suojaaminen ei ole kuitenkaan niin yksinkertaista kuin maallikosta saattaisi vaikuttaa.

Tietojärjestelmiä hankitaan karkeasti yleistäen kahdella tavalla; joko etukäteen määriteltynä kokonaisuutena tai pienemmissä osissa tehtävänä työnä. Ensimmäinen vaihtoehto on enemmän käytössä esimerkiksi julkishallinnossa, jossa hankinnan kokonaiskustannukset täytyy tietää hankinnasta päätettäessä. Jälkimmäistä tapaa taas käytetään usein yritysten tuotekehityksessä, jossa tuotekehitystä tehdään niin monta iteraatiota, että riittävä toiminnallisuuden ja luotettavuuden taso on saavutettu.
Lue lisää »

29.9.2011

ICT-hankinnat otsikoissa

Viime aikoina ei ole voinut välttyä huomaamasta, että suurten ICT-hankintojen onnistumisprosentti ei ole korkea. Jäävuoren huippuna on hehkuteltu VR:n ongelmia uuden järjestelmän käyttöönotossa. Keskustelu on vilkasta, kuten esimerkiksi Otso Kivekkään Muukalaisia vesirajassa -blogin juttu ja sen kommentit osoittavat.
Lue lisää »

10.9.2011

T-paita hankittu

Koville otti, mutta tunne on hieno! Ei kai Alppien ylittämisessä juosten ole kaikista näkökulmista katsottuna järkeä ollenkaan, mutta toisaalta kaikki osakilpailut aikarajan sisällä maaliin juosseille jaettava T-paita on tosi hieno.
Lue lisää »

7.9.2011

Viisi takana – kolme edessä

Kaikki on pitänyt laittaa pelin Alppeja ylittäessä. Vaikka etukäteen oli tiedossa, että jotain hyvin erikoista on kyseessä, niin silti tapahtuma on yllättänyt raskaudellaan. Eli vähän kuin tyypillinen projekti – onneksi ei aina osaa etukäteen sanoa, mikä on lopputulos tai miten siihen päädytään.
Lue lisää »

4.9.2011

Hyvää ja huonoa

Transalpine Runin toinen päivä oli odotetusti armoton. Parini joutui jättämään leikin kesken reilun 11 kilometrin kohdalla, kun jalka ei enää kestänyt alamäkijuoksua. Jotain reitistä kertoo se, että tuohon mennessä aikaa oli kulunut kaksi ja puoli tuntia.
Lue lisää »

3.9.2011

Kovaa peliä

Ensimmäinen päivä takana Transalpine Runissa ja kovaa oli peli liki kolmenkymmenen asteen helteessä. Oma vire oli koko ajan hyvä, mutta tällä kertaa parilla ei ollut paras päivä – huomenna voi sitten osat kääntyä.
Lue lisää »

29.8.2011

H-hetki lähestyy

Transalpine Run alkaa muutaman päivän kuluttua. Tässäpä uteliaille tilastotietoa projektini etenemisestä.

Vuoden vaihteen jälkeen kuntoilukilometrien jakauma on seuraava:

  • Juoksua 136 kertaa, 1209 km
  • Suunnistusta 48 kertaa, 315 km
  • Pyöräilyä 42 kertaa, 414 km
  • Hiihtoa 35 kertaa, 412 km
  • Yhteensä 329 harjoitusta ja 307 tuntia liikkumista tehokkaimmat hyötyliikunnatkin mukaan lukien

Lue lisää »

15.6.2011

Sosiaalista urheilutiedonhallintaa

Lupasin kirjoittaa kuulumisia Transalpine Run -projektistani säännöllisesti. Kevään aikana kaikki on sujunut mukavasti, tosin kiirettä on pitänyt ja joinain päivinä omat urheilut ovat jääneet kiireen keskellä väliin. Tiedonhallinnan konsulttina on kuitenkin ollut ilo todeta, että Internet on pullollaan aktiivikuntoilijoille sopivia ”sähköisiä työpöytiä”, jotka kummasti innostavat liikkumaan – samoin kuin minkä tahansa sähköisen työpöydän tulisi innostaa työntekoon ja tekemään siitä laadukkaampaa.

Kuntoilun näkökulmasta tärkeintä on löytää työpöydälle tarpeeksi helppokäyttöinen harjoituspäiväkirja. Toki excel ja sykemittareiden mukana tulevat harjoituspäiväkirjat ovat aivan käyttökelpoisia. Ne ovat perimmäisen tarpeen näkökulmasta jopa erinomaisia, mutta omalla kohdallani niiden käyttö on alkuinnostuksen jälkeen muuttunut vastenmieliseksi ja unohtunut pitkiksi ajoiksi.
Lue lisää »

18.4.2011

Toimitusjohtaja juoksemalla yli Alppien?

Työssä jaksaminen vaatii tunnetusti hyvää kuntoa. Ja sanonnan mukaan raskas työ vaatii raskaat huvit. En pidä Relatorin toimitusjohtajan hommia maailman rankimpana työnä, joten viime kesänä syntyneen päähänpiston tärkein innoke lienee riittävän vahva syntymähumala. Tarkoituksenani on nimittäin osallistua ensi syyskuussa Transalpine Run -tapahtumaan, jossa juostaan parikilpailuna kahdeksan päivän aikana Saksasta Itävallan ja Sveitsin kautta Italiaan – suoraan matkalle osuvien mäkien yli, tietysti.

Matkaa kertyy kahdeksan päivän aikana noin 250 kilometriä pisimmän päivän ollessa 50,7 km. Joka päivä noustaan enemmän tai vähemmän isoille huipuille, joten nousua kertyy riittävästi. Onneksi Jyväskylästä löytyy Kanavuori, jossa viimeksi eilen kävin haukkaamassa korkeaa ilmanalaa totuttelumielessä.
Lue lisää »

21.3.2011

Android development – requirements

Now that Android gets new security features, which make it a viable choice for enterprise use, it’s time to take a look in some mobile application development. During this design and implementation process I will take some deeper looks into some issues than others, but let’s take the detours when we’re there.

To give you some background why I started to develop a mobile application is that I travel a lot by train. And because of quite severe weather in southern Finland for the last two winters the railroads and especially the train schedules have got their share of it. Earlier the announcements about the delays were close to non-existent during the trips. I must admit that lately this has gotten a lot better. If you’re interested you can find the statistics from the Finnish Transport Agency in Finnish.
Lue lisää »

3.3.2011

Hyvin suunniteltu on puoliksi tehty – hyvin uudelleenkäytetty on valmiiksi suunniteltu?

Vaatimusten sekä yleisesti sisällön uudelleenkäyttö on vanha juttu sekä kehitysprojekteissa että tietojärjestelmähankinnoissa, mutta uudelleenkäytön toimiva toteutus yllättävän harvinaista. Käytännössä yleisintä varmaankin on edellisten hankintojen materiaalin uudelleenkäyttö tavalla tai toisella. Tämä sinänsä toimiva tapa voi johtaa niin pieniin leikkaa-liimaa -virheisiin kuin isompiin sisällöllisiin ongelmiin hankintamateriaalissa.

Kuten ehkä tiedät, Relatorissa tehdään paljon töitä erilaisten tietojärjestelmähankintojen parissa. Vaikka järjestelmät, joiden parissa työskentelemme ovat hyvinkin erilaisia ja tulevat erityyppisiin organisaatioihin ja tarpeisiin, hankinnoissa on myös paljon yhtäläisyyksiä. Tietyt vaatimukset, sopimusmallit, toimintatavat ja monet muut asiat toistuvat hankkeesta toiseen hyvin samankaltaisina.
Lue lisää »

9.2.2011

Suutarin lapsella ei ole kenkiä

Neljä vuotta on jo kulunut siitä, kun perustin Relator Oy:n yhden miehen yritykseksi. Ensimmäiseksi piti tietenkin saada nopeasti aikaiseksi jonkinlaiset välttävät nettisivut – ajatuksena parannella asiaa myöhemmin. Nyt meitä on jo yhdeksän ja liikevaihtokin lähentelee maagista miljoonan euron vuosirajaa. Tähän saakka olemme kuitenkin pärjänneet ajastaan jälkeen jääneellä ratkaisulla. Ilmeisesti nettisivut eivät kuitenkaan ole olleet niin huonot, että asiakkaat olisivat niiden takia jättäneet yhteistyön tai eivät olisi uskaltaneet ottaa yhteyttä. Työtä on riittänyt ja näyttää riittävän jatkossakin. Kiitoksia siitä asiakkaillemme!
Lue lisää »