Tietoturva-asiantuntija painottaa perusasioiden merkitystä turvallisuudessa

Sami Laiho tunnetaan Windows-asiantuntijana ympäri maailmaa, eikä ihme. Mies kiertää puhumassa konferensseissa yli 200 päivää vuodessa. Laihon erikoisalaa on tietoturva ja ala muuttuu jatkuvasti sellaisella vauhdilla, että tekeminen ei lopu kesken. Tietokoneet ovat kuuluneet Laihon elämään hänen nuoruudestaan asti, sillä perheen isä toimi jo 1980-luvulla keskuskoneiden maahantuojana Yhdysvalloista Suomeen. Laihon ura tietotekniikan parissa alkoi 1990-luvulla Pepsin it-tukihenkilönä Suomen toimipisteessä ja myöhemmin myös Euroopassa ja Pohjois-Afrikassa. Maailmalla seikkailtuaan Laiho palasi Suomeen ja aloitti työt Tieturin kouluttajana. Nykyään hänellä on oma tietoturva-alan yritys.

Konferenssipuhuminen tuntui alusta asti omalta jutulta

Ulkomaiset konferenssit ovat kiinnostaneet Laihoa jo pidempään ja hän on aktiivisesti tarjonnut itseään puhujaksi niihin. Lisäksi Laiho kirjoitti aktiivisesti blogeja ja artikkeleita tietoturva-alan aiheista. Suomeksi julkaistut tekstit eivät kuitenkaan riittäneet vakuuttamaan ulkomaisia asiantuntijoita, ennen kuin vuonna 2012 Laiholle avautui ensimmäinen puhujanpesti Microsoftin Techmentor -konferenssissa. Puheenvuoron aihe oli pääkäyttäjäoikeuksien hallinta ja esiintyminen meni kaikin puolin nappiin. Konferenssin lopuksi yleisö äänesti hänet tapahtuman parhaaksi puhujaksi. Tästä alkoi Laihon nousujohteinen ura konferenssipuhujana ja konsulttina, joista nykyään rakentuu myös hänen elantonsa.

Pääkäyttäjäoikeuksista riittää muistutettavaa vuodesta toiseen

Pääkäyttäjäoikeudet ovat säilyneet Laihon mielenkiinnon kohteena läpi vuosien. Hänen pääsanomansa yrityksille on ollut jatkuvasti se, ettei pääkäyttäjäoikeuksia pitäisi antaa tavallisille käyttäjille, sillä tämä estää tehokkaasti tietoturvan rakentamisen. Mikäli usealla käyttäjällä on pääkäyttäjäoikeudet, riittää yhden koneen murtaminen koko verkon valtaamiseen. Ongelma ratkeaisi yksinkertaisesti sillä, että käytettäisiin eri salasanoja. Laiho puhuu voimakkaasti salasananhallintasovellusten puolesta, joiden avulla voi piilottaa useita eri salasanoja yhden tarpeeksi vahvan pääsalasanan taakse. Hän myöntää, että vielä muutama vuosi sitten tietoturva-asiantuntijat ajattelivat juuri päinvastoin ja kehottivat ainoastaan ihmisiä muistamaan eri salasanat. Nykyään salasananhallintasovellukset ovat kuitenkin kehittyneet siihen pisteeseen, että ne ovat paljon ihmisen muistia luotettavampi vaihtoehto.

Pääkäyttäjäoikeuksista riittää muistutettavaa vuodesta toiseen

Etsimässä ratkaisuja ongelmien sijaan

Puheenvuoroissaan Laiho haluaa ennen kaikkea tarjota ihmisille ratkaisuja, joilla tietoturvaa voidaan parantaa. Hän kritisoi sitä, että liian usein konferensseissakin puheenvuorot käsittelevät erilaisia uhkia, tarjoamatta varsinaisesti korjausvaihtoehtoja. Kuulijat poistuvat  tällöin tilaisuudesta huolissaan ja masentuneina. Laihon näkemyksen mukaan organisaation tietoturvan saa varsin hyvälle tasolle, kun vain huolehtii muutamat perusasiat kuntoon. Hän kehuu pankkien ja puolustusvoimien aktiivisuutta asiassa, mutta kehottaa muita organisaatioita tiukentamaan otettaan.

Kiintolevyjen salaus ja salasanat ajan tasalle – ja tietoturva on jo hyvällä mallilla

Suurin ongelma pääkäyttäjäoikeuksien jakamisen lisäksi on Laihon mukaan se, että monet organisaatiot laiminlyövät kiintolevyn salauksen. Monesti tähän ei kiinnitetä huomiota, mikäli organisaatiossa ajatellaan, ettei kiintolevyllä ole muutenkaan hakkereita kiinnostavaa, kriittistä tietoa. Laiho muistuttaa, että kiintolevyn salaus on kuitenkin koko tietoturvan perusta. Ilman salausta yrityksen tiloihin tiensä selvittänyt rikollinen voi napata yhdellä komennolla ja usb-tikulla kaikki tietokoneen salasanat.

Kiintolevyjen salaus ja salasanat ajan tasalle – ja tietoturva on jo hyvällä mallilla

Yksittäisiä käyttäjiä Laiho muistuttaa salasanojen suojaamisen ja vaihtamisen tärkeydestä. Suurin palveluihin kuten LinkedIniin ja Dropboxiin kohdistuneet tietomurrot ovat saaneet käyttäjien salasanat vuotamaan ja tästä huolimatta samat salasanat ovat käytössä monissa muissa palveluissa. Jos useissa palveluissa käyttää samaa salasanaa, avaan yhden palvelun hakkerointi tien kaikkiin muihinkin palveluihin. Tämä olisi helposti käyttäjän itsensä estettävissä. Vähintään salasana pitäisi vaihtaa aina välittömästi, mikäli se on päässyt jonkun palvelun kautta vuotamaan. Laiho korostaa, että mitkään turvatyökalut eivät paranna tietoturvaa, mikäli perusasiat eivät ole kunnossa.