Tietoturva tietokannoissa

sanna.makinen

Jokseenkin kaikki keskeiset IT-tietoturvan asiantuntijatahot toistelevat nykyisin yritys- ja tietohallintojohdolle sanontaa ”älkää puhuko, jos teille murtaudutaan, vaan kun teille murtaudutaan”. Tietojärjestelmiin kohdistuva laiton ja ilkivaltainen toiminta on saavuttanut jo sellaiset mittasuhteet, että monet perinteisemmät rikollisuuden muodot ovat jäämässä kauas jälkeen. Taloudellisissa vahingoissa puhutaan sadoista miljardeista euroista vuosittain. Lisäksi välilliset vahingot ovat usein niin mittavia, ettei niistä rahallakaan selvitä.

Valtiolliset toimijat ovat osaamiseltaan ja resursseiltaan oma lukunsa, mutta on hyvä huomata, ettei hakkeriksi ryhtyminen nykyisin vaadi kuin muutaman kympin maksavan sovelluksen hankinnan verkosta, tai jos sekin tuntuu liian vaivaloiselta, voi tilata myös ’avaimet käteen’ – hyökkäyksiä. Tietomurrot ovat tulleet pitkälle taannoisesta opiskelijoiden osaamisnäyte- ja rohkeuskisailuista.

Vuoden 2015 lopussa voimaan tullut ja eduskunnassa toukokuussa ratifioitu EU-asetus on nostanut henkilödatan suojaamisen keskustelun keskiöön. Usein sillä alueella sattuvat vahingot ovat imago- ja mainevaikutuksiltaan erittäin kiusallisia ja etenkin välillisesti hyvinkin vahingollisia. Kuitenkin useimmissa tapauksissa muun kriittisen datan ja osaamisen karkaaminen rikollisten ja/tai kilpailijoiden käsiin on paljon kohtalokkaampaa. Tuotekehitys- ja tutkimustiedot, prosessikuvaukset, alihankinta- ja muut sidosryhmäsuhteet, hallinto, taloustiedot, yms. voivat vieraissa käsissä rakentua murron kohteeksi joutuneen joutsenlauluksi ja johtaa suoraan yritystuonelan porteille.

Mitä suojata ja miten?


Eivätkö palomuurit, virustorjunnat, kehittyneet käyttäjä- ja tapahtumahallinnat sitten riitäkään? Tiedonhallinnan ympäristöt homogenisoituvat ja pirstaloituvat. Monitoimittajaympäristöt ja multiplatform-ratkaisut, pilvipalvelut, käyttäjien omat laitteet (BYOD) ja monet muut kehityskulut ovat tehneet miltei mahdottomaksi järjestelmien kaikkien aukkojen seurannan ja tilkitsemisen. Vielä vaikeammaksi asian tekee se, että tietomurroista 2/3 on sisäisiä, jolloin väärinkäyttäjillä on jo valmiina lukemattomia erilaisia käyttöoikeuksia.


Toinen paljon käytetty mantra tietoturvagurujen suusta on ”unohtakaa ympäristöt ja laitteistot, suojatkaa data”.

Jopa 90% kaikesta maailman datasta on kertynyt tietojärjestelmiin parin viime vuoden aikana ja vauhti kiihtyy. Lisäksi organisaatiot kilpailevat tietämyksellä, jonka on oltava kilpailukykyä rakentavaa, reaaliaikaista ja luotettavaa. Yhä useamman yrityksen koko olemassaolo pohjautuu tietojärjestelmiin.

Nykyaikaisilla tietokantojen tietoturvaratkaisuilla voidaan kontrolloida kaikkien käyttäjien toimintaa kantojen ympärillä, asiattomat haut ja pyynnöt niin käyttäjiltä kuin vaikkapa haittaohjelman SQL-injektiolla toteutettuna voidaan tunnistaa, keskeyttää ja lokittaa. Toisin kuin yleensä riittävän kattavilla käyttöoikeuksilla (esim. DBA) voi toimia murtojäljet hävittäen, on kantojen lokitus ohittamaton.

Erääksi keskeisimmäksi tietokantojen tietoturvaratkaisujen takaisinmaksu (ROI) kriteeriksi on muodostunut auditointiprosessien automatisointi. Niitä edellyttävät nykyisin yhä useammat viranomaiset, loppuasiakkaat ja muutkin sidosryhmät. Myös testidata voidaan maskata, jolloin ohjelmistokehityksessä ja testauksessa voi käyttää ajantasaista tuotantodataa, mutta sisällöltään salattuna. Etuna ovat tietenkin huomattavasti kattavammat testaustulokset ja sitä kautta lopputuotteiden laatu, kuin ilman tätä olisi mahdollista saavuttaa.

Data voidaan suojata tehokkaasti myös nykyisissä ympäristöissä, ilman että tehtäisiin merkittäviä uus- ja korvaushankintoja.


Yhteistyössä on voimaa


Ficololla ja Advancella on paljon yhteistä niin ammatillisella kuin arvopohjallakin arvioituna. Puoli vuosisataa vanha IT-ala on murroksessa, eikä enää riitä se kenen bitti heittää veikeimmin kuperkeikkaa tai kuka on suurin ja mahtavin. Liiketoimintalähtöisyys, aito asiakaskeskeisyys, kustannuskilpailukyky, toiminnan joustavuus ja läpinäkyvyys sekä mitattavuus ovat uuden tietotekniikkatoimittajasukupolven avainteesejä. Niitä peräänkuuluttaa myös esimerkiksi julkishallinnon keskeinen kilpailuttaja Hansel, jonka nelivuotisen puitesopimuksen Advance sai vuonna 2015 kolmella keskeisellä painopistealueella. Rakennamme yhdessä laadukkaampaa ja turvallisempaa tiedonhallintaa. 


Timo Peltonen                  

CEO, Advance IT Solutions Oy 



  • Advance IT Solutions Oy:
  • Tiedonhallintaan erikoistunut IT-palvelutalo
  • Tuottaa tietokantojen aktiivivalvontaa ja ylläpitopalveluita sekä tietokantojen tietoturvaratkaisuja
  •  Palveluihin kuuluvat myös järjestelmiensaatavuuden varmistaminen, lisenssit, suorituskyvyn optimointi ja koulutuspalvelut 
  •  www.advance.fi 
  •  tutustu myös Timon videoon ”Tiesitkö tämän kyberturvallisuudesta” 

Muut blogit

Arkistoidut