{"id":8721,"date":"2025-09-16T07:00:00","date_gmt":"2025-09-16T04:00:00","guid":{"rendered":"https:\/\/www.silven.fi\/?p=8721"},"modified":"2025-09-13T19:44:37","modified_gmt":"2025-09-13T16:44:37","slug":"sisainen-tarkastus-2","status":"publish","type":"post","link":"https:\/\/www.silven.fi\/index.php\/2025\/09\/16\/sisainen-tarkastus-2\/","title":{"rendered":"Tietoturvattomuutta"},"content":{"rendered":"\n

Oulun yliopiston hallituksen kokouksen 16.12.2024 p\u00f6yt\u00e4kirjan<\/a> 9 \u00a7 koskee sis\u00e4isen tarkastuksen raportointia. Kyseisen kohdan liiteluettelo on seuraava:<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

N\u00e4ist\u00e4 erityisen kiintoisiin kuuluu mm. osittain salassapidett\u00e4v\u00e4 (tietoturva ja) k\u00e4ytt\u00f6valtuushallinta -dokumentti. Kyseisten prosessien toimivuudesta minullakin on henkil\u00f6kohtaista kokemusta. Erin\u00e4isi\u00e4 esihenkil\u00f6tason k\u00e4ytt\u00f6valtuuksia tarvinneita hyv\u00e4ksymisteht\u00e4vi\u00e4 on tarjottu viel\u00e4 yli vuosi my\u00f6hemmin j\u00e4\u00e4ty\u00e4ni niist\u00e4 pois 1.1.2024.<\/p>\n\n\n\n

Oulun yliopistossa esim. UFO-k\u00e4ytt\u00e4j\u00e4tunnuksen on saanut pelk\u00e4ll\u00e4 yksik\u00f6njohtajan p\u00e4\u00e4t\u00f6ksell\u00e4 tarvitsematta miss\u00e4\u00e4n vaiheessa todistaa henkil\u00f6llisyytt\u00e4\u00e4n. Keill\u00e4 muilla on ollut valtuus my\u00f6nt\u00e4\u00e4 k\u00e4ytt\u00e4j\u00e4tunnus? En viitsi spekuloida, mutta selvisik\u00f6h\u00e4n t\u00e4m\u00e4 tarkastuksessa? Toivottavasti tilanne on muuttunut.<\/p>\n\n\n\n

Tietoturvassa on muitakin isoja ongelmia, joista toivottavasti ei koskaan seuraa tai ole seurannut mit\u00e4\u00e4n ik\u00e4v\u00e4\u00e4. Kuitenkin mm. Major Incident Management (MIM) -valmiuden olisi sis\u00e4isess\u00e4 tarkastuksessa pit\u00e4nyt saada arvio ”housut kintuissa odotamme taivaankannen putoamista”. <\/p>\n\n\n\n

Mm. k\u00e4ytt\u00e4j\u00e4tunnuksia on kalasteltu yliopiston verkon sis\u00e4ll\u00e4 jo pidemp\u00e4\u00e4n. Kuinhahan moni on saanut yliopiston sis\u00e4lt\u00e4 l\u00e4htenytt\u00e4<\/em> ’Microsoftin’ s\u00e4hk\u00f6postia<\/em>, jossa pyydetaan uudellenkirjautumista yliopiston tilille? Olet ehk\u00e4 n\u00e4hnyt tuon kirjautuessasi palveluihin, joten asianmukaiselta n\u00e4ytt\u00e4v\u00e4 kalastelus\u00e4hk\u00f6posti voi h\u00e4m\u00e4t\u00e4. Mik\u00e4li kyse on useamman yliopistolaisen tietokoneeseen pesiytyneest\u00e4 haittaohjelmasta, niin tunnusten ahkerakaan vaihto ei taida heti auttaa.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Suosittelenkin mielest\u00e4ni eritt\u00e4in perustellusti, ett\u00e4 kukaan ei k\u00e4ytt\u00e4isi yliopistolla k\u00e4ytt\u00e4m\u00e4\u00e4ns\u00e4 tunnusta ja salasanaa miss\u00e4\u00e4n muussa palvelussa.<\/p>\n\n\n\n

Kokouksessa 16.12.2024 raportoidut havainnot ja johtop\u00e4\u00e4t\u00f6kset sain kirjaamosta olennaisilta osiltaan salattuina. Pit\u00e4isik\u00f6 salaamisperusteeksi tulkita intressi piilottaa tietoturvan todellinen tila? Sis\u00e4isen tarkastuksen k\u00e4sitys mm. k\u00e4ytt\u00f6valtuuksien hallinnasta on kohtelias ”C: tyydytt\u00e4v\u00e4”. Onko tuo jokin neuvottelutulos?<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Koko raportti on t\u00e4m\u00e4n artikkelin lopussa. Voinemme tulkita sen salatut osuudet kriittisiksi ”kehityskohteiksi”: Ehk\u00e4 Oulun yliopiston ei tarvitse tavoitella ISO27001 -sertifikaattia, mutta ryhdist\u00e4ytymisen tarvetta on ollut ja on edelleenkin melkoisesti.<\/p>\n\n\n\n