Hyvää kansainvälistä salasanapäivää!

Kuva: Salasana kirjoitettuna muistivihkoon.

Salasanapäivän kunniaksi ajattelin pari päivää sitten kirjoittaa sanan jos toisenkin salasanoista, mutta sehän on jo historiaa. Omalla ristirektkelläni salasanoja vastaan – niin huonoja, kuten kuvassa yllä, kuin myös hyviäkin – pääsin viimein paratiisin porteille. Google julkisti eilen avainkoodit (eng. passkeys), joilla salasanaton kirjautuminen on mahdollista nyt ja heti kuluttaja-asiakkaille ja kohta myös yritysasiakkaille.

Mikä ihmeen passkey?

Passkey, tai avainkoodi (Googlen oma käännös, myös ”pääsyavain” ja jäljempänä ”yleisavain”), on aivan huikea loikka eteenpäin. Se parantaa vahvaa tunnistautumista ja sujuvoittaa samalla kirjautumisia.

Ensinnäkin pääset eroon salasanoista. Salasanat ovat parhammillaankin vain jaettua salaisuuksia, jotka odottavat paljastumistaan. Siirtymällä tunnistautumiseen, joka perustuu johonkin mikä sinulla on hallussasi, eli laite, ja johonkin mitä olet, eli kasvot, sormenjäki tai muu biometrinen tunniste, pääset viimein eroon heikkojen salasanojen, niiden suojausten ja niitä suojaavien tahojen muodostamista riskeistä.

Loppuu se salasanojen kanssa pelleily nyt

Toiseksi pääset eroon näppäilyvirheistä. Sormenjälki on monta kertaa nopeampi kuin salasanan nakuttelu. Lisäksi salasanan unohtamiset, nollaukset ja kaikki muu turha humppa häviää.

Kolmantena etuna on pienellä vaivalla yritystason tietoturva, joka on vihdoin kaikkien saatavilla ja vieläpä ilmaiseksi.

Tee tämä heti(!)

Jos sinulla on Google-tili yksityiskäytössä, niin ota puhelin esille, surffaa osoitteeseen g.co/passkeys ja lopeta salasanojen kanssa pelleily tässä ja nyt. Nosta samalla tietoturvasi tasoa ja ota puhelimesi käyttöön FIDO2-avaimena kaksivaiheista tunnistautumista varten niissä tapauksissa missä salasanaa vielä tarvitaan.

Kaikki turha humppa häviää

Kuva: Yleisavaimen luominen – avain perustuu yksilöidylle laitteelle tallennettuun yksityiseen avaimeen ja palvelimelle tallennettuun julkiseen avaimeen. Sisäänkirjautuessa laitteelle esitetään kirjautumishaaste, jonka allekirjoittamisen käyttäjä valtuuttaa avaamalla laitteen lukituksen. Tämän jälkeen palvelin vahvistaa allekirjoituksen julkisella avaimella ja sallii pääsyn palveluun.

Helpompi ja turvallisempi arki

Tavalliselle kuluttaja-asiakkaalle vaikutus voi näyttää pieneltä, mutta kun otat käyttöön yleisavaimen ohella vielä Google-kirjautumisen lähes kaikkiin palveluihin, niin olet huomaamatta säästänyt muutamia sekunteja joka kirjautumisella, minuutteja päivässä ja useita tunteja kuukaudessa. Lisäksi loppuu jatkuva salasanojen nollaus ja uusien käyttäjäprofiilien luonti. Myös riski tilille murtautumisesta varastetun salasanan avulla jää unholaan, kun hyökkääjä ei pääse käsiksi tiliin ilman luotettua aikaan perustuuva laitteen ja tunnisteen yhdistelmää.

Laite ja ihminen ovat edelleen heikoimmat lenkit

Yleisavaimista vipuvoimaa tuottavuuteen yrityksille

Siinä missä salasanattomuus on normaalia arjen sujuvoittamista kuluttajalle, se on mahtava loikka yrityksille. Kirjatumissekoiluihin säästetty aika kääntyy heti tuottavaan työhön. Varovaisen arvion mukaan 10 hengen yritys, jossa työntekijät käyttävät päivittäin 20–30 eri kirjautumista vaativaa palvelua tai sovellusta, saa vuodessa yli 200 tuntia lisää tuottavaa työaikaa ottamalla käyttöön salasanattoman todentamisen, läpikirjautumisen ja itsepalvelutoimet. Lisäksi merkittävän säästön tuovat parantunut tietoturva ja vähentynyt teknisen ylläpidon työkuorma. Puhumattakaan siitä, että v-käyrä ei toimimattoman tekniikan takia enää jyrkkene.

Gartnerin tutkimuksen mukaan IT-tukipyynöistä 30–50 % kohdistuu salasanojen palauttamiseen. Vastaavasti hukatusta työajasta jopa 30 % kuluu tukitikettien laatimiseen ja niiden ratkaisun odottamiseen. Forrester Research puolestaan arvioi salasanan resetoinnin hinnaksi 70 euroa kertaa kohden ja vuosittaisen hukatun työajan olevan noin 11 tuntia työntekijää kohden. (ks [1] [2])

Tätä menetystä voidaan pienentää itsepalveluratkaisuilla kuten salasanan resetoinnilla, mutta juurisyyhyn, eli salasanojen ongelmiin ne eivät pure. Itsepalvelussakin työntekijä käyttää edelleen viikossa 10–15 minuuttia salasanojen syöttämiseen ja niiden nollaamiseen. Poistamalla salasanat 200 työntekijän yritys lisää yhdessä yössä vuosittaista tuottavuutta yhden asiantuntijan vuosipalkan verran, kun taas tuhannen hengen yritys vapauttaa pitkälti yli neljännesmiljoonan euron arvosta hukattua aikaa suoraan tuottavaan työhön. Yrityksen johtoa miellyttänee myös se, että investointi on suoraan laskettavissa rahana ja kohdistuu suoraan työpanokseen ilman toimintatapojen muutosta tai mittavaa koulutusta.

Ihmiset ja laitteet täytyy suojata paremmin

Salasanattomuuteen ja hyvään sekä vaivattomaan vahvaan tunnistautumiseen siirtyminen mahdollistaa siis heti pääsyn pois turhien helpdesk-tikettien oravanpyörästä.

Muutoksessa tulee keskittyä laitteisiin ja ihmisiin (jäljelle jääneiden salasanojen tappamisen lisäksi). Laite ja ihminen ovat edelleen heikoimmat lenkit ja niiden suojaaminen on siksi erityisen tärkeää. Korkean tietoturvan yhteisöissä laitteet ovat usein toiminnallisuuksiltaan vajaita ja käytetävyydeltään tiiliskiviä. Usein tämä johtuu resurssien puutteesta. Mikä tahansa laite on helppo ”lukita” näennäisesti hyvin turvalliseksi, mutta paljon vaikeampi avata käytettäväksi ja toimivaksi.

Tai näin oli ennen. Nykyään digitaaliset biometriset tunnisteet, laitteissa olevat eriytetyt tietosäilöt ja kehittynyt laitehallinta ovat tuoneet käyttäjäystävälliset, turvalliset ja aina ajantasaiset ratkaisut pk-yritystenkin saataville.

Esteenä on enää IT:n ”mindset”, joka tietysti tylsistyy kun 40 % ajasta menee salasanan palautuksiin. Nyt on korkea aika muuttaa tämä ja tuoda helppous ja turvallisuus yhteen pakettiin sekä valjastaa IT-tuki tekemään koulutustaan vastaavaa työtä.

Ihminen on aina laitteen ja sen sisältämän tiedon ja yhteyksien käyttäjä. Mitä sujuvammin hän pystyy tekemään työtään, sen tuottavampi ja tyytyväisempi hän on. Ihmistäkin suojaamme parhaiten, kun teemme laitteista helposti käytettäviä, emme pakota häntä etsimään porsaanreikiä ja oikopolkuja, pidämme 20-sivuiset tekniset ohjeet IT:n omassa pöytälaatikoissa ja kysymme säänöllisin väliajoin – vaikka parin kysymyksen ”pulssikyselynä” kerran kvartaalissa – että miten laitteet ja annettu tuki palvelee työn tekemistä ja miltä tuntuu. Kun kaikki vastaukset ovat ”kaikki toimii loistavasti”, niin tiedämme että olemme tehneet oikeita asioita oikealla tavalla, jonka jälkeen onkin aika tehdä seuraava työn tuottavuuden digiloikka.

---

Toisto ei tapa – eli rautalanka parempaan tietoturvaan ja helpompaan elämään

1. Mene osoitteeseen g.co/passkeys ja käytä kaksi minuuttia aikaasi. Tee se nyt heti. Investointi maksaa itsensä takaisin kahdessa päivässä. Aseta yksi laiteriippumaton varatunnistautumiskeino.
2. Yksi huoli mielestä pois – metsästä ja tapa jäljelle jääneet salasanat yksi kerrallaan läpikirjautumisella ja salasananhallintasovelluksella.
3. Suojaa laitteesi erityisen hyvin – aseta lukitus aikakatkaisulla ja salaa laitteen muisti (device encryption, HDD encryption, BitLocker jne).
4. Päivitä jäljelle jääneet salasanat vahvoiksi yksi kerrallaan, ks esim blogipostaukseni Ajateltavaa tietoturvasta.
5. Nauti. Hankit juuri paremman tietoturvan ja sujuvamman arjen kuin moni isolla rahalla iiteetä ostava yritys. 🏝️

//James

* * *

P.S. Tässä esittämäni mielipiteet ovat omiani, eivätkä ne heijasta minkään julkisen tai yksityisen yhteisön kantaa. Säännöt: Kommentointi vain omalla nimellä, ellei minun kanssani ole muuta sovittu. Keskustelu asiasta. Asiattomuudet poistetaan ja bannataan. Sama koskee keskustelua somessa. Ollaan ihmisiksi. ❤️

Terroristi, in’shallah?

[K]un tulin avopuolisoni kanssa katsomasta Hurt Lockeria, istui bussissa eteemme kaksi imaamin näköistä kaveria. Voi sitä hikoilun määrää, kun herrat ottivat esiin alkeellisen näköisen Nokia-puhelimensa…

Eräs kolleega turvattomuuden tunteesta pari vuotta sitten

Turvallinen — turvaton

Turvallisuutta on … varma olo. Tuttu tunne. Mikä sitten on arkipäivän turvattomuutta? Sotilaat ottavat tietoisen riskin, laittavat henkensä likoon. Kohtaavat uhkia, torjuvat uhkia. Tuntevatko sotilaat koskaan turvattomuutta? Varmasti, mutta useimmiten vain lyhyinä hetkinä. Kun uhka on tunnistettu kohde, se voidaan torjua tai sitä voidaan rajoittaa. En ole varmaan koskaan tuntenut itseäni oikein turvattomaksi, ikään kuin aseista riisutuksi. [Lue lisää…]

Uusi meridoktriini

Vladimir Putin uuden meridoktriinin esittelyssä. Baltijsk, 26. heinäkuuta 2015. Kuva: kremlin.ru

Venäjän federaation presidentti Vladimir Putin hyväksyi heinäkuun 26. päivänä 2015 Venäjän Federaation meridoktriiinin. Venäjää koskeva bibliografialuetteloni ”Syventyminen Venäjään, osa 2” on nyt päivitetty linkillä uuteen meridoktriiniin. Ohessa suora pdf-linkki.

Meridoktriini on strateginen ohjausasiakirja, jossa määritellään Venäjän meripolitiikan suuntaukset, päämäärät ja tehtävät sekä eritellään merivoimien keskeiset tehtävät niihin liittyen.

En tässä vaiheessa analysoi doktriinia laajemmin, koska se vaatii myös paluun muihin keskeisiin Venäjän federaation strategia-asiakirjoihin. Tarjoan kuitenkin seuraavat ulkomaisen median nopeat analyysit doktriinista:

• РИА Новости – Морская доктрина России – Крым и Арктика в приоритете
• Вести.RU – Морская доктрина: Россия воссоздает атомный ледокольный флот и сдерживает НАТО
• Телеканал Звезда – Основные положения новой Морской доктрины РФ
• The Telegraph – Putin eyes Russian strength in Atlantic and Arctic in new naval doctrine
• The Moscow Times – Kremlin’s New Naval Doctrine Misses the Boat (Op-Ed)
• Foreign Policy News – Russia updates maritime doctrine, criticizing NATO expansion

Seuraavana päivitysvuorossa lienee Venäjän federaation kansallisen turvallisuuden strategia vuodelta 2009 [ ru | en ].

//James

Älkää loukatko

Hyvät johtajat, puolustusvoimien uudet aliupseerit!

Onnittelen Teitä päättyneen aliupseerikurssin johdosta ja ylennyksestä alikersanteiksi! Olette nyt puolustusvoimien päällystöä! Kirjoitin Teidän johtajillenne joulukuun 18. päivänä 2014 otsikolla”Hyvät johtajat” ja heidän johtajilleen heinäkuun 2. päivänä 2014. Toistosta huolimatta pyydän, että käyttäisitte muutaman minuutin aikaa lukeaksenne tämän merkinnän ajatuksella ja toivon, että se auttaisi Teitä asemoimaan tulevaa johtajuuttanne. Avoin ja reipas keskustelu on suotavaa, joten jätä kommentti ja jaa kokemuksiasi ja näkemyksiäsi! Tahdon samalla myös jakaa oman vaikean kokemukseni varusmiesajaltani, kun minä hyväksyin simputuksen.

---

Hyvät johtajat!

Kirjoitan etupäässä Teille, jotka aloitatte johtajakautenne puolustusvoimissa heinäkuun 6. päivänä palvelukseen astuvan saapumiserän 2/15 kanssa. Muodostatte suuren osan puolustusvoimien päällystöstä ja ylivoimaisesti suurimman henkilöstöryhmän.

Minä annan teille uuden käskyn: älkää loukatko!

Muk. Joh 13:34

Yksi puolustusvoimien tehtävistä on:

Kansan elinmahdollisuuksien, perusoikeuksien ja valtiojohdon toimintavapauden turvaaminen ja laillisen yhteiskuntajärjestyksen puolustaminen;

Laki puolustusvoimista (551/2007) 2 §, 1 mom, 1b k.

Teillä tai minulla, eikä kellään esimiehellä, ole oikeutta rajoittaa yksilön vapauksia ja oikeuksia enempää kuin palveluksen suorittamiseksi on tarpeen. Varusmiespalvelus on jo itsessään merkittävin vapauksien rajoitus. Sen lisäksi on muutamia rajoituksia, jotka ovat tarpeen aseellisen taistelun luonteen vuoksi. Ne voivat koskea operatiivista turvallisuutta; yksikön päällikkö voi harjoituksessa kieltää matkaviestimien käytön; sotilasalueella on valokuvauskielto. Nämä kiellot perustuvat lakiin, asetuksiin tai muihin normeihin. On myös selvää kenellä on toimivalta asettaa tällaisia kieltoja.

Sitä vastoin mielivaltaisten kieltojen ja rajoitusten asettaminen palveluksen ulkopuolella (kotiin soittaminen, sotilaskodissa käynti, liikunta ym.), päättymättömät järjestymisharjoitukset ja muut älyvapaat äksiisit, kurinpitovaltaa vailla olevan johtajan määräämät rangaistukset ja ”huumorilla” lausutut alentavat kommentit sotilaistanne eivät kuulu palvelukseen.

Tiedän, että Tietä loukattiin alokkaina. Tiedän, että olette kuulleet ryhmänjohtajien ”johtajatuvassa” naureskelevan älyttömille teoilleen ja pitäneen niitä hyvinä kurin ja järjestyksen kannalta. Näin Tekin olette kasvaneet uskomaan, että näinhän tämän kuulukin mennä.

Management by perkele, eikö niin?

Taistelijan kovuutta ei mitata hänen kyvyllään sietää loukkauksia. Kenenkään ei tarvitse kasvattaa paksua nahkaa vain kestääkseen kaikenlaista p**kaa. Kovuus on sotilaallista osaamista, itsevarmuutta ja luottamusta aseeseen, aseveljiin, johtajiin (Teihin!) ja tehtävään. Tämä Teidän, hyvät johtajat, pitää opettaa ja iskostaa sotilaisiinne. Se voi ainoastaan toteutua Teidän esimerkkinne kautta.

Johda esimerkillä!

Tämän muistatte johtajakoulutuksestanne. Tätä arvostatte. Sen puutetta halveksutte.

Miettikää ensi askelianne puolustusvoimissa ja mitä olitte sitä ennen. Tunsitte tulevanne uuteen paikkaan ja huomasitte että voitte itse ottaa vastuuta tulevaisuudestanne. Olitte tasa-arvoisia ja saitte yhtäläiset mahdollisuudet. Otitte vastuuta ja valitsitte tulla johtajiksi, jotta voisitte johtaa muita. Samalla saitte vaikeimman tehtävän mitä puolustusvoimat voi tarjota. Yhtä moni tovereistanne valitsi ryhtyä taitavaksi taistelijaksi ja asettautua hyvien johtajien johdettavaksi.

Hyvä johtaja!

Kaksi kysymystä: Miten edetään? Miltä homman pitäisi Sinun mielestäsi näyttää?

Hyökkäysvaunumiehistö tutkii karttaa ennen hyökkäykseen lähtöä.
Petroskoi (Äänislinna) 30. syyskuuta 1941. Kuva: SA-kuva, n:o 52052. Erik Blomberg. Källa: SA-kuva

Sinusta ei tehty johtajaa, koska olet toista parempi ihminen. Sinusta tuli johtaja, jotta johdat, opetat ja pidät huolta taitavista sotilaista ja suoritat heidän kanssaan vaikeita tehtäviä aseellisessa taistelussa. Tehtäviä, joissa miehiä kuolee. Maanantaina heinäkuun 7. päivänä astut alokkaiden eteen. Luottamuksesi on siinä vaiheessa nolla. Alokkaiden luottamus on sata. Ja se tulee sinulta.

62. Esimiehen on pyrittävä saavuttamaan alaistensa arvostus ja luottamus.

Yleinen palvelusohjesääntö 2009. Puolustusvoimat.

Tätä kakkua et voi kääntää. Johtajan Sinun tulee ansaita alaistesi arvostus ja luottamus. Ne eivät synny tyhjästä. Arvostus ei asu arvomerkeissä tai eikä se kumpua kovaäänisestä käyttäytymisestä. Arvostus tulee siitä miten Sinä esiinnyt johtajana ja ihmisenä muiden kanssa keskustellen. Luottamusta ei rakenneta machoilulla tai kieroutuneella ”erikoisjoukkojen kurilla”, vaan se syntyy oikeudenmukaisuudesta ja siitä miten Sinä kohtaat sotilaasi yksilöinä.

Drill instructor at the Officer Candidate School aboard Marine Corps Base Quantico, Va.Photo by Lance Cpl. John Kennicutt

60. Esimiehen on oltava alaisiaan kohtaan oikeudenmukainen ja kohdeltava heitä yhdenvertaisesti. Hänen tulee huolehtia heidän hyvinvoinnistaan, hankkia tietoja heidän toiveistaan, ohjata ja neuvoa heitä sekä pyrkiä olemaan heille hyvänä ja kannustavana esimerkkinä. Tehtävissään kunnostautuneita tulee kiittää ja tarvittaessa palkita.

Yleinen palvelusohjesääntö 2009. Puolustusvoimat.

Nämä otteet ohjenuorastamme eivät ole ohjeita, vaan käskyjä. Huomaa ehdottomat ”on oltava,” ”kohdeltava,” ja ”tulee.” Viimeisen lauseen järjestys ”tulee — ja tarvittaessa” merkitsee sitä, että jos joku sotilaistasi on kunnostautunut on Sinun aina kiitettävä häntä ja jos hänen suorituksensa on niin hyvä, että se täyttäisi palkitsemisen määreet, tulee Sinun esittää häntä palkittavaksi.

Muista, että kuten alokkaillasi on Sinun ehdoton luottamuksesi, myös Sinulla on esimiestesi ehdoton luottamus. Varjele sitä niin kuin parhaiten voit – olemalla oikeudenmukainen ja osoittamalla kunnioitusta sekä suurta vastuuntuntoa.

Meidän, siis Sinun ja minun – puolustusvoimien päällystön – tulee kaikessa toiminnassamme ottaa lähtökohdaksi yhteinen arvoperustamme:

Isänmaallisuus ilmenee kunnioituksena aiempien sukupolvien työtä ja uhrauksia kohtaan. Puolustusvoimat huolehtii, että tulevillakin sukupolvilla on mahdollisuus itsenäisiin ratkaisuihin muuttuvassa turvallisuusympäristössä. Henkilön isänmaallisuus kuvastuu ajatteluna ja tekoina, joissa yhteiskunnan etu asettuu yksilön oman edun edelle.

Ammattitaito on tietoa, taitoa, asennetta ja ammatillisia valmiuksia. Ammattitaito ilmenee työtehtävien hallintana, korkeana työmoraalina, tuloksellisena toimintana sekä tehtävässä vaadittavan osaamisen omatoimisena kehittämisenä.

Oikeudenmukaisuus on asevelvollisten ja palkatun henkilöstön tasa-arvoista ja yhdenvertaista kohtelua ilman syrjintää, häirintää tai kiusaamista.

Vastuullisuus näkyy asevelvollisten ja palkatun henkilöstön sitoutumisena ja haluna täyttää annetut tehtävät asetettujen tavoitteiden saavuttamiseksi.

Luotettavuus ilmenee työyhteisön arjessa henkilöstön johdonmukaisena käyttäytymisenä sekä asioiden tekemisenä käskyjen, määräysten ja ohjeiden mukaisesti.Puolustusvoimien on nautittava kaikissa tilanteissa valtionjohdon ja kansalaisten ehdotonta luottamusta.

Yhteistyö on perusedellytys tulosten aikaansaamiselle ja vaativien tehtävien täyttämiselle. Henkilön yhteistyökyky ilmenee yhdessä tekemisenä, toisten kannustamisena, tukemisena ja auttamisena sekä oman työyhteisön ja yhteistyökumppaneiden arvostamisena.

//James

P.S.

Tee hyvin, tee oikein! Jos joskus tuntuu vaikealta, niin voit aina kysyä itseltäsi:

1. Mitä sotilaani kertovat palveluksesta sen jälkeen kun minä olen johtanut ja opettanut heitä?
2. Millaisia uusia johtajia luomme esimerkillämme?

---

Lopuksi jaan vielä kertaalleen omat kokemukseni huonosta johtamisesta. Minulla kesti yli 15 vuotta myöntää, että tapahtunut oli niin väärin. Lue merkintäni Hyväksyin simputuksen.