Turvaketjut seuranamme

2018-08-03

Käytettävyys ja tietoturva ovat liiketoiminnan riitaiset lapset, jotka ollaan aina jollakin kompromissilla saatu hiljaiseksi. Ymmärrämmekö me kuitenkaan aidosti mihin suostumme ja mitä teemme?

Markku Selin Business Manager, Network and Security

Olen urani varrella kuunnellut luentoja ja lukenut eri muodoissa mielipiteitä ja informaatiota aiheesta yli 20 vuoden ajan. Silti minusta inhimillinen puoli meissä voittaa. Laiskuus ja joskus jopa turhamaisuus on valtava voima, jos se voidaan verhoilla käytettävyyden vaatteisiin. Jossakin kuitenkin tulee raja.

Yksi muiden puolesta

Jokainen meistä tuskailee eri käyttäjätunnusten ja salasanojen kanssa. Osa meistä tekee perisynnin siinä, että käyttää samaa käyttäjätunnus/salasanaparia useissa järjestelmissä. Pahimmillaan tämä paritus kulkee mukana työ- ja kuluttajasovelluksissa. Tätä voidaan vielä helpottaa ketjuttamalla. Annetaan tunnukset jollekin sovellukselle, joka tekee sitten kirjaukset meidän puolestamme. Tämän avulla saadaan kätevästi luettua matkapuhelimesta esim. sähköpostit ilman, että kirjaudumme sähköpostijärjestelmään salasanalla.

Puhumalla paranee ja hyväksymällä nopeutuu

Kodin käytettävyyttä voidaan parantaa SmartHome-järjestelmillä. Puheentunnistuksen avulla voidaan näppärästi kysellä säätilaa, säätää valoja ja ketjuttaa eri järjestelmiä toisiinsa. Ostoksia voidaan tehdä puhumalla. Tämä(kin) on esimerkki siitä, miten sovelluksia ja todennuksia voidaan ketjuttaa toisiinsa.

Uskon, että jokainen meistä tuntee pistoksen sydämessään, kun asennamme uusia sovelluksia erityisesti matkapuhelimeen. Kun katsomme haluamaamme sovellusta, se ilmaisee nykyään, mitä tietoja ja mitä sovellusten tietoja se haluaa käyttää. Hyväksymme kevyesti nämä ehdot. Vaatii itse asiassa aika paljon, että ymmärrämme täysin, mitä sovellus haluaa tehdä ja miksi.

Alan itse olla sen verran iäkäs IT-alan ammattilainen, että kaipaan monessa kohtaa todennusta eli kuittausta siitä, että hyväksyn esimerkiksi jonkin hyödykkeen oston. On helppoa ostaa yhdellä painalluksella, mutta omalla kohdallani on välillä ikävä tunne siitä, että mitäköhän kaikkea hyväksyin tällä painalluksella.

Salaisuuksien vartijan rooli

Meille on muodostunut tietoturvakulttuuri, jossa todennusta ei tee käyttäjä vaan sen tekee toinen sovellus eli sen rooli muuttuu portinvartijan rooliksi. Portinvartijalla tarkoitan esimerkiksi matkapuhelimen varmuuskoodia, sormenjälkitunnistetta tai muuta menetelmää, jolla voidaan käskyttää muita sovelluksia. Portinvartijasovellukseen on syötetty kohdesovelluksen todennustiedot ja se on valtuutettu toimimaan käyttäjän puolesta. Tämä sovellus voi olla SmartHome-laite tai tulevaisuudessa jokin vielä käytölle loogisempi, vaikkapa kodinkone tai auton hallintajärjestelmä.

Entä jos portinvartijasovelluksessa on haavoittuvuus tai tämä sovellus joutuu vääriin käsiin (kuten vaikkapa varastettu matkapuhelin vailla asianmukaista suojaa)? Todennus jos mikä vaatii suunnittelua ja pelisääntöjä. Atealta siihen saa monipuolista apua.