Salasanojen hallinta retuperällä Suomessa
3
Suomalaiset olivat neljätoista maata kattaneen tutkimuksen pahnan pohjimmaisia ylläpitäjäkäyttäjien hallinnassa.
Joka toinen suomalaisyritys noudattaa it-osastollaan huonoja käytäntöjä. Yritys esimerkiksi jakaa tärkeitä salasanoja useille käyttäjille. Tämä aiheuttaa tietoturvariskejä ja saattaa rikkoa yritysten omia tietoturvakäytäntöjä.
CA kuvaa tiedotteessaan suomalaisia sanalla "surkea". Raflaava kielenkäyttö ei ole pelkkää omien hallintaohjelmistojen markkinointia. Kysymys on aidosta ihmettelystä, yhtiön asiantuntija sanoo.
– En odottanut, että suomalaiset olisivat aivan viimeisiä. Toisaalta näin nämä asiat ovat pyörineet varmaankin parikymmentä vuotta. Se on tapa, mikä on tähän asti toiminut moitteetta, CA:n tietoturva-asiantuntija Antti Saalamo miettii.
Tietovarkautta
odotellessa?
Suomessa tutkitut kymmenen organisaatiota työllistävät kukin 2000-5000 ihmistä. Saalamo tähdentää, että tämän kokoluokan yritykset ovat suunnannäyttäjiä pienemmille.
Salasanojen levittely johtunee muun muassa siitä, että arkinen työnteko halutaan pitää tehokkaana ja helppona vaikka sitten tietoturvan kustannuksella. Vielä ei Suomessa ole tapahtunut sellaista merkittävää tietovarkautta, joka saisi yritykset harkitsemaan käytäntöjään uudelleen, Saalamo pohtii.
Saalamo muistuttaa, että ylläpitäjäkäyttäjät voivat tehdä järjestelmissä "melkein mitä tahansa".
– Lisäksi on paljon niin sanottuja etuoikeutettuja käyttäjiä, jotka ovat saattaneet työskennellä talossa parikymmentä vuotta, ja joille on ajan saatossa kasaantunut käyttöoikeuksia ilman, että niihin on nykyisen työtehtävän kautta mitään tarvetta.
Tyypillisesti etuoikeutettu käyttäjä on it-järjestelmän- tai verkonvalvoja, joka vastaa järjestelmien ylläpidosta ja käytettävyydestä. Heihin kuuluvat myös sovellusten turvallisuudesta tai tietokantojen valvonnasta vastaavat henkilöt. Tutkimuksen mukaan suomalaisyritykset suhtautuvat kevyesti heidänkin käyttöoikeuksiin liittyviin riskeihin.
Yksikään
ei käytä
Pohjoismaiset yritykset laajemminkin sijoittuivat tutkimuksen viimeisille sijoille.
Suomessa CA kummeksui muun muassa seuraavia asioita: yksikään kyselyyn osallistuneista suomalaisista organisaatioista ei käyttänyt etuoikeutettujen käyttäjien hallintajärjestelmiä tai edes manuaalista käyttäjien hallintaprosessia. Muissa Pohjoismaissa tilanne ei ollut tällainen.
CA:n Privileged User Management – It’s Time to Take Control -kyselytutkimus (pdf) tehtiin kesäkuussa ja siinä haastateltiin kaikkiaan 270 eurooppalaista it-johtamiseen osallistuvaa henkilöä eri toimialoilta.
Kommentit (3)