You are here: TUTWiki>Tietoturva/Tutkielmat>TalvitieT?>2008-14 (revision 2)

-- TuireTalvitie? - 23 Sep 2009

Laura Niittylä:

Microsoftin tietoturvasivusto käyttäjäryhmittäin tarkasteltuna

Johdanto

Tehtäväni aiheena on johonkin tietoturvasivustoon tutustuminen ja tarkempi analyysi tästä. Valitsin sivustoksi tehtävän esimerkkisivustona olleen Microsoftin tietoturvasivuston, ja tästä nimenomaan suomenkielisen version. Analysoin sivuston sisältöä, ottaen huomioon kaikki esitetyt kohderyhmät ja heidän tarpeet. Tutkielmassa pyrin ottamaan huomioon sivuston sisällön mahdollisimman monesta näkökulmasta ja havaitsemaan mahdollisia puutteita, sekä esittämään parannusehdotuksia sisällön ja esitystavan suhteen.

1. Sivuston rakenne

1.1 Käyttäjäryhmät

Tietoturvasivusto on jaoiteltu neljään käyttäjäryhmään, joille on omat osiot. Nämä neljä ryhmää ovat kotikäyttäjät, PK-yritykset, IT-asiantuntijat ja sovelluskehittäjät. Käyttäjäryhmien jaoittelu on mielestäni selkeä ja perusteltu, sillä kaikilla neljällä käyttäjäryhmällä on hyvin erilaiset tietoturva vaatimukset ja käyttötarkoitukset.

1.2 Sisältö

Tietoturvasivusto on tehty vastaamaan eri käyttäjäryhmille ominaisiin tarpeisiin. Sivustoilta löytyy kattavasti tietoa niin ajankohtaisista asioista, kuin hyödyllisistä ohjelmista, kuin myös aivan perustietoa aloitteleville käyttäjille. Sisällöllisesti sivusto on hyvinkin erilainen eri käyttäjäryhmien kohdalla; siinä missä kotikäyttäjän ohjeet painottuvat virustorjuntaan ja paremman tietoturvaosaamisen lisäämiseen, sovelluskehittäjien osio keskittyy enemmän ajankohtaisien ja tulevien tapahtumien tiedottamiseen. Suomenkielisillä sivuilla tietoa on annettu kuitenkin hieman suppeammin kuin englanninkielisillä, jossa jaottelu eri käyttäjäryhmien välillä on paitsi hieman laajempi, myös sisältöä eri käyttäjäryhmien osuuksissa on enemmän kuin suomenkielisissä. Linkki kuitenkin näille englanninkielisille sivuille on selkeästi esitetty, joten lisää sisältöä käyttäjä löytää tarvittaessa näiltä sivuilta helposti.

2.Tietoturvaohjeita käyttäjäryhmittäin

2.1 Kotikäyttäjät

Kotikäyttäjien ryhmän kohdalla sivuston sisältö on mielestäni kaikista kattavin. Kotikäyttäjille suunnattu osa on jaettu kolmeen pääkategoriaan; Oman tietokoneen suojaus, omien tietojen suojaus, sekä vanhemmille suunnattu "suojaa perheesi tiedot"-osio. Oman tietokoneen suojaus- osio sisältää tietoa muun muassa käyttöjärjestelmän ylläpidosta, virustorjunnasta, palomuureista, sekä haittaohjelmista. Näiden lisäksi tästä osiosta löytyy paljon hyödyllistä tietoa tietoturvasta, sekä tietoturvaa parantavista tuotteista ja palveluista. Tämä osio pitää siis sisällään kaiken perustiedon tietoturvallisuudesta, jonka avulla tietoisuutta tietoturvasta voidaan lisätä käyttäjien kesken, ja joka kaikkien käyttäjien olisi hyvä tietää ja osata.

Toisessa osiossa keskitytään omien tietojen suojaamiseen. Osiossa käydään läpi niin internetin turvallisuuteen liittyviä asioita kuin verkkoasiointiin liittyviä asioita, sekä henkilötietojen suojaamistakin. Tietoa löytyy myös roskapostisuodattimista, sekä eri tekniikoista tietojen kalastelun estämiseksi. Kolmannessa osiossa pyritään antamaan vanhemmille kattavasti tietoa siitä, miten lapsia kuuluisi ohjeistaa tietokoneiden käytössä, ja siitä kuinka heidän tulisi lastensa tietokoneen käyttöä valvoa. Ohjeita annetaan niin yleisten tietokoneen käytön sääntöjen luomiseen, kuin myös tietoja siitä, kuinka lapsia tulisi opastaa netin käytössä niin, että henkilökohtaiset tiedot eivät joudu vääriin käsiin. Lisäksi kotikäyttäjien osuudessa annetaan tietoa erilaisista asioista, kuten identiteettivarkauksista, olemassa olevista vakoiluohjelmista ja viruksista, sekä eri suojaus ohjelmien lataus mahdollisuuksista.

Kotikäyttäjille suunnattu osio on varsin kattava. Asiat on jäsennelty selkeästi ja tarvittavien tietojen löytäminen on helppoa, selkeän rakenteen ansiosta sivut eivät vaikuta liian täyteen ahdetuilta vaikka tietoa löytyykin yllättävän paljon. Selkeänä puutteena näissä ohjeissa on kuitenkin esimerkiksi (langattomien) lähiverkkojen sekä matkapuhelinten turvallisuuteen liittyvät ohjeet, jotka on löydettävissä esimerkiksi viestintäviraston sivuilta. (Viestintävirasto) Tämä kuitenkin on ymmärrettävää, kun otetaan huomioon se, että Microsoftin sivut keskittyvät luonnollisesti omaan toimialaansa liittyviin ohjeisiin, joihin puuttuvat asiat eivät kuulu. Ongelmana on tietysti se, että koska käyttäjä saa helposti kuvan siitä että tältä sivustolta löytyy kaikki tarvittava tieto tietoturvallisuuteen liittyen, jolloin muut tärkeät osuudet saattavat jäädä heikommalle osaamiselle ja näin vaarantaa kotikäyttäjän tietoturvaa.

2.2 PK-yritykset

PK-yrityksille suunnatu osio puolestaan ei ole samalla tavalla yhtä selkesti jaoiteltu, kuin kotikäyttäjien osio. Tietoa osiosta löytyy paljon, lähinnä artikkeleita ja ajankohtaista tietoa tietoturvasta, sekä myös yleistietoa siitä, miten tietoturvallisuuden saa paremmaksi, on esitetty varsin helposti havaittavasti—suoraan etusivulta löytyy linkki osioon "suojaa yrityksesi seitsemällä vaiheella", sekä mm.testiin tietoturvan tasosta yrityksessä. Paljon lisätietoa Microsoftin tietoturva-tuotteista löytyy myös. Sivut ovatkin huomattavasti enemmän markkinointi painotteiset verrattuna kotikäyttäjälle suunnattuihin sivuihin, jotka keskittyivät paremmin tiedonantoon. Monet osiot tuntuvatkin vain olevan sivuilla sen vuoksi, että käyttäjät tulisivat siihen uskoon, että tarvitsevat ehdottomasti näitä tuotteita, joiden saatavuus on tehty sivujen kautta yksinkertaiseksi.

Hyvänä puolena tässä osiossa on, että tietoa löytyy paljon, taustatukea saa helposti kotikäyttäjän oppaasta, mutta tässä osiossa syvennytään jo hieman perusasioita syvemmälle. Puutteita tietysti tässä on, että esimerkiksi tietoa erilaisista koulutuksista työntekijöille ja tiedon hankkimisesta ei juuri kerrota, vaan käyttäjää yritetään ohjata ostamaan tietoturvapalvelut suoraan microsoftilta, ilman sen suurempia koulutuksia. Esimerkiksi Valtiovarainministeriön sivuilla löytyy muun muassa hyvä henkilöstön tietoturvaohje, joka varsinkin PK-yrityksissä olisi jokaisen työntekijän kannattava lukea. (Valtiovarainministeriö)

2.3 IT-ammattilaiset

IT-ammattilaisille suunnattu osa, TechNet?, on huomattavasti syvemmälle tietoturvallisuuteen menevä sivusto kuin kaksi edeltävää. Etusivulla suurimman huomion vie uusimmat tietoturvatiedotteet ja varoitukset, joista löytyy paljon ajankohtaista asiaa tietoturvan kehityksestä, ongelmista ja havainnoista. Sen lisäksi etusivulta löytyy paljon tietoturvallisuuteen liittyviä artikkeleita, linkki erilaisten työkalujen lataamiseen, sekä tietoturvaan liittyvää koulutusta varten linkki.

Tämän lisksi sivuilta löytyy erilaisia arviointiohjelmistoja, tietoa lisensseistä ja muita teknisiä ohjeita. Merkittävimpänä erona muihin osioihin tässä on, että niin sanottua perustietoa ja yleisohjeita ei tästä osiosta löydy juurikaan, IT-ammatilaisilla kun oletetaan näiden asioiden olevan jo tiedossa. Toisaalta myös peruskäyttäjälle monet asiat ovat jo niin syvälle asiaan meneviä, että näistä on vaikea mitään kunnollista saada irti.

2.4 Sovelluskehittäjät

Sovelluskehittäjien oma osio, CodeZone? on hyvin eri tyyppinen kuin kolme muuta sivuston osiota, eikä tämä varsinaisesti kuulu enää Microsoftin sivustoihin, vaan linkki Microsoftin tietoturvasivujen pääsivulta ohjaa codezone.net-sivuille. Tällä sivulla löytyy tietoa ajankohtaisista ja tulevista tapahtumista; erilaisista seminaareista ja koulutustilaisuuksista sekä julkaisuista. Tietoturva-osio on jateeu kolmeen osaan; yleiseen osioon, sovellusten tietoturvaan, sekä Windowsin tietoturvaan. Kaikista näistä löytyy osion mukaista tietoa uutisten ja artikkeleiden muodossa, eikä varsinaisesti enää uutta materiaalia edellisiin osioihin nähden ole saatavilla.

3. Päätelmät

Yleisesti otaen Microsoftin tietoturvasivustot ovat hyvät puutteista huolimatta. Kaikki käyttäjäryhmät on otettu hyvin huomioon, mutta suurin painotus on selkeästi kotikäyttäjän tietoturva-osiossa. Selkeitä puutteita sivustoilla on, jos tarkoitus olisi tarjota täysivaltainen tietoturvasivusto, mutta tässä tapauksessa painopiste luonnollisesti on asioissa, joissa Microsoft tarjoaa palveluita. Sivusto on siis yhtiölle eräänlainen markkinointikanava, sillä tuotteet saavat sivuilla varsin paljon näkyvyyttä, mutta varsinaisen tyrkytyksen tunnetta ei tule. Kun yhdistetään nämä sivut muutamaan muuhun tietoturvaohjeita sisältävään sivuun, on käyttäjän mahdollista saada todella hyvä käsitys tietoturvallisuuden eri osa-alueista. Kuitenkaan tätä ei tuoda millään tavalla esille sivustoilla, eikä linkkejä muille sivuille löydy, vaan käyttäjän on itse tajuttava etsiä puuttuvat tiedot muualta.

Lähteet:

Microsoftin tietoturvasivusto, saatavilla: www.microsoft.com/Finland/security/default.mspx (Viitattu 25.9)

Viestintäviraston verkkosivut - peruskäyttäjän tietoturvaohjeet, saatavilla: http://www.ficora.fi/index/palvelut/palvelutaiheittain/tietoturva/tietoturvaohjeet.html (Viitattu 25.9)

Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) tietoturvaohjeet saatavilla: www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_Tietoturvallisuus/02_tietoturvaohjeet_ja_maaraykset/index.jsp (Viitattu 25.9)
Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r2 - 23 Sep 2009 - 19:35:41 - TuireTalvitie?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback