Ihminen on suurin tietoriski, virus tunnetuin

IF VAHINKOVAKUUTUS 1.9.2003 Riskienhallintajohtaja Tiina Danilotschkin-Forsman, If Vahinkovakuutus: Ihminen on suurin tietoriski, virus tunnetuin Tietoon kohdistuu lukuisia riskejä, joista tunnetuimpien eli virusten osuus on varsin pieni kaikista tietoriskitapahtumista. Virusten arvioidaan olevan viidenneksi yleisin syy viimeisen vuoden aikana sattuneisiin tiedon käyttökatkoksiin. Suurin uhka tietoturvallisuudelle on ihmisten toiminta. Sitten ensimmäisen vuonna 1986 löydetyn Brain-nimisen viruksen tietotekniikkaa ja tietoliikenneyhteyksiä ovat haavoittaneet kymmenet tuhannet virukset. Vuoden 2003 alkuun mennessä oli löydetty kaikkiaan noin 80 000 virusta. Elokuussa 2003 tietokoneyhteyksiä haavoitti kuusi uutta virusta, joista tunnetuimmat ovat Sobig-virus ja Lovsan -mato. - Tietoturvariskeistä virukset ovat yksi riskilaji monien joukossa ja pienimmästä päästä muutaman vuoden takaisen Tietoturva-tutkimuskyselyn mukaan. Kuitenkin ne ovat selkeästi kasvussa ja niiden oletetaan olevan viidenneksi yleisin syy viimeisen vuoden sisällä sattuneisiin käyttökatkoksiin, kertoo tietoturvallisuuteen erikoistunut riskienhallintajohtaja Tiina Danilotschkin-Forsman If Vahinkovakuutuksesta. Yleisin tietoriski on käyttäjän virhe, joka yhdessä järjestelmävirheiden ja ylläpitopuutteiden kanssa aiheuttaa lähes puolet tietoriskeistä. Tietokoneisiin kohdistuvan rikollisuuden kustannuksista virukset aiheuttavat runsaan kymmenesosan. Eniten erilaisia kustannuksia ja taloudellisia menetyksiä aiheutuu luottamuksellisen tiedon varastamisesta , toiseksi eniten taloudellisesta rikoksesta ja kolmanneksi eniten viruksista. - Tietoturvallisuuden tavoitteena on kaikessa muodossa olevan tiedon käytettävyyden, luottamuksellisuuden ja eheyden eli oikeellisuuden turvaaminen tiedon elinkaaressa. Avoimissa verkoissa tapahtuva toiminta (Internet) edellyttää myös kiistämättömyyden eli tiedon antajan ja tiedon saajan aitouden varmistamisen, Danilotschkin- Forsman tiivistää. Tietoon kohdistuvat riskit hän jakaa kolmeen ryhmään: häiriöihin ja vahinkoihin, asiattomaan ja rikolliseen toimintaan sekä laadullisiin riskeihin. - Häiriöt ja vahingot vaikuttavat eniten tiedon käytettävyyteen, asiaton ja rikollinen toiminta voivat kohdistua niin luottamuksellisuuteen, eheyteen kuin käytettävyyteen. Laadulliset puutteet vaikuttavat tiedon paikkansa pitävyyteen ja ajankohtaisuuteen eli eheyteen, mutta myös käytettävyyteen ja luottamuksellisuuteen, Danilotschkin-Forsman kuvaa. Taloudellisiin menetyksiin varaudutaan teknisin ja hallinnollisin keinoin Tietoriskin toteutumisesta voi seurata, että tietoja menetetään, tietojen käyttö estyy tai tiedon siirto keskeytyy. Riskejä ovat myös tietojen muuttuminen tai niiden joutuminen asiattomien käsiin sekä tietojen virheellisyys, puutteellisuus ja epätäsmällisyys. Seuraukset vaikuttavat lisäkustannuksina, tuottojen ja tulojen vähentymisinä tai menettämisinä sekä asiakkaiden reagointeina. Myös julkisuuskuva uhkaa heiketä, jos uskottavuus kärsii ja menetetään esimerkiksi yhteistyökumppaneiden luottamus. Toiminnan jatkuvuutta voivat vaikeuttaa myös mahdolliset sopimusrikkomukset ja lainvastaisuudet. Tietoturvalliset toimintatavat lähtevätkin ihmisten tiedosta, taidosta ja asenteesta, joten tarvitaan myös hallinnollisia keinoja. - Pelkällä tekniikalla ei tietoturvallisuutta siis ratkaista, joskin teknisillä keinoilla voidaan pienentää inhimillisten syiden, kuten esimerkiksi huolimattomuuden, kiireen tai osaamattomuuden aiheuttamia vahinkoja ja häiriöitä. Tekniikasta on myös suuri apu rikollisen toiminnan havaitsemisessa, estämisessä ja pienentämisessä. Tunnetuimpia teknisiä keinoja ovat virustorjunta, tunnistaminen ja todentaminen, digitaalinen allekirjoitus, palomuuri, järjestelmään tunkeutumisten havainnointi, lukitukset, varmuuskopiointi sekä varalaitteistot. Hallinnollisiin keinoihin kuuluu niin seurannat, ohjeet, opastus, koulutus kuin henkilöstövalinta ja jatkuvuuden hallinta. Vakuuttaminen on osana jatkuvuuden hallintaa mahdollisuus kattaa tietoriskejä eli siirtää riski vakuutusyhtiön kannettavaksi. Riskien tiedostamisen ja hallinnan merkitys korostuu entisestään sellaisissa tietoriskeissä, joita vastaan ei ole saatavilla vakuutusturvaa. If Vahinkovakuutuksen maanantaisessa (1.9.2003) syysfoorumissa tiedotusvälineille keskusteltiin myös muista ajankohtaisista riskeistä, kuten sähkökatkoksista. Vakuuttamisessa ajankohtaista on mm. muuttuneet jälleenvakuutusmarkkinat (11.9.2001 WTC-iskujen jälkeen). Tilaisuudessa kerrottiin myös Ifin roolista meklarisopimuksissa ja Ifin aikataulua nettohinnoittelujärjestelmään siirtymisessä. Lisätiedot: Tiina Danilotschkin-Forsman, riskienhallinta, puh. 010 514 5267, 050 424 5267 Anja Talasmo, viestintä, puh. 010 514 4027, 0500 507 793 www.ifvakuutus.fi ------------------------------------------------------------ Tämän tiedon Teille välitti Waymaker, http://www.waymaker.fi Seuraavat tiedostot ovat ladattavissa: http://www.waymaker.net/bitonline/2003/09/01/20030901BIT00490/wkr0001.doc http://www.waymaker.net/bitonline/2003/09/01/20030901BIT00490/wkr0002.pdf