Avarn securityn puutteet

Anonyymi-ap

Olen perehtynyt kolmeen eri ammattikorkeakoulujen opinnäytetyöhön, jotka on tehty Avarn Security Oy:n toimeksiannosta vuosina 2021–2023. Näiden raporttien perusteella yrityksen tekninen ja hallinnollinen tietoturva on ollut pitkään haavoittuvainen. On sanottava suoraan, jos nämä havainnot pitävät paikkansa, puhutaan vakavista rakenteellisista puutteista, sellaisista, joihin minkä tahansa turvallisuusalan yrityksen pitäisi puuttua välittömästi.

1. IT modernisointi (Ekholm 2021)

Ekholmin työ kuvaa tilannetta, jossa Avarn Securityn IT-ympäristö koostui seitsemästä erillisestä toimialueesta. Esimerkiksi arok.fi, prevent360.biz, turvatiimi.local ja g4s.fi, joita ei ollut koskaan yhdistetty hallitusti. Tämä tarkoitti käytännössä sitä, että käyttäjät eivät voineet liikkua toimipisteiden välillä ilman kirjautumisongelmia ja tietoa ei pystytty hallitsemaan keskitetysti.

Raportissa mainitaan, että 47 työntekijällä oli järjestelmänvalvojan oikeudet ja 12:lla Domain Admin -taso, eli korkein mahdollinen pääsy yrityksen verkkoon. Lisäksi osa palvelimista käytti Windows Server 2012 -versiota, jonka tietoturvapäivitykset olivat jo päättyneet. DNS- ja DHCP-palvelut oli määritelty väärin, mikä aiheutti yhteysongelmia ja jopa kymmenen minuutin kirjautumisaikoja. https://www.theseus.fi/handle/10024/501538

Tietoteknisesti tämä tarkoittaa, että yrityksen sisäinen verkko oli altis sekä sisäisille väärinkäytöksille että ulkoisille hyökkäyksille. Hallinnollisesti kyse on valvonnan ja vastuun puutteesta: kenelläkään ei ollut kokonaiskuvaa siitä, kuka hallinnoi mitäkin.

GDPR:n näkökulmasta tällainen ympäristö on riski, koska käyttäjätunnusten ja käyttöoikeuksien hallinta on keskeinen osa henkilötietojen suojaamista. Jos henkilöllä on laajemmat oikeudet kuin työtehtävä vaatii, yritys ei pysty osoittamaan “riittävää suojaustasoa” rekisterinpitäjänä. Tällöin syntyy mahdollisuus, että tietosuojavaltuutettu voisi vaatia selvitystä tietojen käsittelyn valvonnasta.

2. Laitteiden kierrätys ja tietoturvamateriaalin hävittäminen (Granholm 2023)

Granholmin opinnäytetyö nosti esiin konkreettisen ja ehkä kaikkein huolestuttavimman ongelman: tietoturvamateriaalia sisältävien laitteiden hävittämisestä ei ollut kirjallista prosessia. Tämä tarkoittaa esimerkiksi tallentimia, kameroita, kovalevyjä ja muistikortteja, jotka sisälsivät asiakkaiden video- tai henkilötietoja.

Raportissa mainitaan, että sarjanumeroita ei kirjattu ylös, eikä laitteiden tuhoamisesta ollut todisteita. Joissakin tapauksissa laitteet toimitettiin kierrätykseen ilman, että muistikortti tai kovalevy oli poistettu. Työntekijöiden haastattelut osoittivat, että monilla ei ollut selvää käsitystä siitä, miten tietoturvamateriaalia pitäisi käsitellä. https://www.theseus.fi/handle/10024/804111

Tietoteknisesti tämä tarkoittaa, että yrityksellä ei ollut kykyä todentaa, mitä tietoja oli hävitetty ja miten. Hallinnollisesti tämä paljastaa prosessiohjauksen puutteen eli ei ole vastuuhenkilöä, ei lomakkeita, ei valvontaa.

GDPR:n näkökulmasta tämä on riskialue: henkilötietoja sisältävän laitteen tuhoaminen ilman dokumentointia voi täyttää laiminlyönnin tunnusmerkistön, koska yritys ei pysty osoittamaan, että tiedot on hävitetty lain vaatimalla tavalla. Tämä ei automaattisesti tarkoita rikkomusta, mutta on selvästi tilanne, joka voisi johtaa tietosuojavaltuutetun yhteydenottoon, jos esimerkiksi asiakas epäilisi tietovuotoa.

Erityisen ongelmallista tämä on siksi, että Avarn käsittelee monien suurten asiakkaiden, kuten pankkien, viranomaisten ja sairaaloiden tietoja. Niiden osalta myös mahdollinen väärä käsittely voisi tarkoittaa ilmoitusvelvollisuutta viranomaisille.

3. CRM-järjestelmän käyttö ja ohjeistus (Pippingsköld 2022)

Pippingsköldin työ toi esiin inhimillisen mutta merkittävän ongelman: uusi asiakkuudenhallintajärjestelmä otettiin käyttöön ilman kunnollista ohjeistusta. Järjestelmä laajennettiin marraskuussa 2021 koskemaan koko organisaatiota, mutta työntekijöitä ei koulutettu.

Tuloksena oli sekava ja virheellinen asiakastietokanta. Järjestelmässä oli useita päällekkäisiä asiakasprofiileja ja vanhentuneita tietoja, mikä johti vääriin myyntiraportteihin ja tehottomuuteen. Lisäksi ohjeet olivat hajallaan eri paikoissa, eikä kukaan vastannut niiden päivittämisestä. https://www.theseus.fi/handle/10024/748632

Tietoteknisesti tämä näkyi virheellisenä datana ja heikentyneenä järjestelmän luotettavuutena. Hallinnollisesti kyse on sisäisen ohjeistuksen ja vastuun puutteesta. GDPR:n näkökulmasta tilanne on ongelmallinen, koska rekisterinpitäjä ei voi varmistaa henkilötietojen paikkansapitävyyttä, mikä on asetuksen 5. artiklan mukainen velvoite.

Vaikka opinnäytetyö ei väitä suoranaista rikkomusta, se osoittaa selvästi, että yritys ei ole kyennyt hallitsemaan tietojenkäsittelyn laatua ja jäljitettävyyttä tavalla, jota nykyinen tietosuojalainsäädäntö edellyttää.

7

167

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Anonyymi

      Mitä tämä tarkoittaa isossa kuvassa?

      Kun nämä kolme raporttia yhdistää, piirtyy kuva yrityksestä, jonka tekninen perusta, prosessit ja hallinto eivät ole olleet linjassa sen oman toimialan kanssa. Kyseessä on turvallisuusyritys, jonka pitäisi olla tietoturvan ja riskienhallinnan malliesimerkki, mutta opinnäytetöiden mukaan todellisuus on ollut toisenlainen.

      On vaikea välttää kysymystä siitä, pitäisikö tällaiset havainnot tuoda tietosuojavaltuutetun tietoon ei siksi, että kyse olisi rikosepäilystä, vaan siksi, että valvova viranomainen voisi varmistaa, että tietosuoja ja tietoturva toteutuvat käytännössä eikä vain periaatteissa.

      Julkinen kuva ja historia

      Avarn Security tunnetaan monille entisen Otson, FPS:än, G4S:n, ISS:stä irtaantuneen Prevent360:sen ja Turvatiimin seuraajana. Molemmat nimet ovat aiemmin olleet mediassa esillä erilaisissa työehtokiistoissa, henkilöstön kohteluun liittyvissä uutisissa ja yksittäisissä valvontatehtävien väärinkäytöstapauksissa. Viime vuosina Avarn on kuitenkin pyrkinyt esiintymään modernina ja vastuullisena turvallisuusyhtiönä, mikä tekee näistä opinnäytetöiden havainnoista entistä ristiriitaisempia.

      Jos turvallisuutta myyvä yhtiö ei itse pysty osoittamaan tietoturvansa ja prosessiensa luotettavuutta, on selvää, että asiakasluottamus on koetuksella. Tällöin ei puhuta enää yksittäisestä virheestä, vaan organisaatiokulttuurin ja hallintamallin sekä henkilöstöjohtamisen ongelmasta.

    • Anonyymi

      arok ja biz vittu mitä domaineja tommosella firmalla. Siellä on ollut varsinainen jediritari valomiekkansa kanssa vauhdissa!

    • Anonyymi

      No jopas, tällaistako oppia nykyään jaellaan. Taitaa tulla nopeesti kutsu kriisipalaveriin, jos sellaista käytäntöä on edes olemassa. Aika hurjaa kyl, miten kevyesti on voitu lätkästä julkiseen koulutyöhön firmalta tunnistettavaa tietoa.😅

    • Anonyymi

      "Tietoteknisesti tämä tarkoittaa, että yrityksellä ei ollut kykyä todentaa, mitä tietoja oli hävitetty ja miten. Hallinnollisesti tämä paljastaa prosessiohjauksen puutteen eli ei ole vastuuhenkilöä, ei lomakkeita, ei valvontaa."

      No ihmekös kun poliisikaan ei löydä mitään jos yksittäiset väärinkäyttäjät saa hävitellä todisteita...

    • Anonyymi

      Jännää, kuitenkin firmalle myönnetään ISO27001 tietoturva laatusertifikaatti - joka ei hevin kaikille myönnetä? Pistää miettimään missä kunnossa muiden turvallisuusalalla olevien firmojen tietoturva on - niillä joilla ei ole ISO27001?

      • Anonyymi

        Sertifikaatti ei vielä kerro mitään. Hieno se on toki seinällä ripustettuna :)


      • Anonyymi
        Anonyymi kirjoitti:

        Sertifikaatti ei vielä kerro mitään. Hieno se on toki seinällä ripustettuna :)

        Totta! Sertifikaatti on vähän kuin kunniakirja. Komea koriste, mutta se varsinainen osaaminen näytetään teoissa. 😄


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Sanna Marin teki sen, mihin muut eivät pystyneet - sote kerralla maaliin

      Yli 15 vuotta Suomessa vatvottu sote-uudistus meni lopulta läpi Sanna Marinin hallituksen aikana. Edeltävät hallitukset
      Maailman menoa
      78
      9317
    2. Marinin hallitus hyväksyi soten (105-77) vuonna 2021

      vastaan äänesti Kok, persut, KD, Liike Nyt. Nyt on sitten käynyt niin kuin on käynyt. Pääkirjoitus: Sanna Marin jätti
      Maailman menoa
      90
      5947
    3. Pikkupersu osoitti olevansa hieman yksinkertainen

      "Heikosti älykkyystesteissä pärjänneistä lapsista tulee muita todennäköisemmin ennakkoluuloisia ja konservatiivisia", uu
      Maailman menoa
      104
      5785
    4. Jos on heikkolahjainen ja laiska koulupudokas, niin silloin äänestää vasemmistopuolueita

      näin tämä on käytännössä aina mennyt. Jos ei älyä ole paljon suotu, niin ei silloin inssiksi opiskella, vaan päädytään
      Maailman menoa
      39
      4057
    5. Enää viisi yötä Sannan kirjaan

      Ihan täpinöissään tässä odotellaan. Vaikea pysytellä aloillaan, kun koko ajan tekisi mieli jo kirjakauppaan rynnätä, mut
      Maailman menoa
      48
      3995
    6. Kannattaako suomalaisen duunarin enää äänestää vasemmistopuolueita

      sillä eivät ne tunnu kovasti ajavan suomi-duunarin etuja. Jos katsotaan Vasemmistoliittoa, niin sehän on ihan feministi
      Maailman menoa
      78
      3832
    7. Sanna-kulttilaiset hehkuttaa edelleen Marinia, vaikka esim. Sote oli susi jo syntyessään

      mutta kulttilaiset eivät ole järjen jättiläisiä, ja sanoihin Lasse Lehtinenkin, että Suomessa on pohjoismaiden tyhmimmät
      Maailman menoa
      49
      3679
    8. Lehtinen: "Oli demareidenkin onni, että valkoiset voittivat sodan 1918"

      Lasse Lehtisen mukaan vasemmalla on radiohiljaisuus hänen uutuuskirjastaan, "Läheltä piti. Kansakunnan hurjat hetket" L
      Maailman menoa
      113
      3070
    9. IL - 100 000 potentiaalista sotilasta pakeni Ukrainasta!

      "Ukrainasta nuorten miesten joukkopako Liki 100 000 asevelvollisuusikäistä miestä on poistunut Ukrainasta parin viime k
      Maailman menoa
      58
      2885
    10. SDP:n valtuutettu valehtelee koulutuksensa

      SDP:n helsinkiläinen kaupunginvaltuutettu Mahad Ahmed käyttää maisterin titteliä suoritettuaan 60 opintopisteen epäviral
      Maailman menoa
      98
      2859
    Aihe