Tietoturvaan liittyvät puheenaiheet ovat olleet pinnalla viime aikoina julkisessa keskustelussa asti. Verkkosivustoille ja palveluihin tehtävien tietomurtojen ja palvelunestohyökkäyksien myötä ihmisillä on herännyt huoli henkilötietojensa ja yksityisasioidensa turvassa pysymisestä, minkä myötä on alettu menettää luottamusta tietojen jakamiseen verkossa ylipäätään.
Vihdan sähköisen ajanvarauspalvelun yksi lähtökohdista on tietoturvan ylläpito sekä erityinen huomio sen jatkuvaan kehittämiseen. Vihtaa kehittävän Netorekin tausta on vahvasti järjestelmäosaamisessa, sillä työ järjestelmänhallinnan, ylläpitopalveluiden sekä tietoturvan parissa on valanut kivijalan koko yrityksen toiminnalle. Vihdalla onkin takanaan osaamista ja kokemusta kohta neljännesvuosisadan ajalta.
Tässä blogitekstissä perehdytään siihen, millaisilla keinoilla Vihta taklaa ulkopuolelta tulevat tietoturvauhat, jotta järjestelmän käyttäjien tiedot pysyvät takuulla turvassa.
Vihdan ajanvarauspalvelun integroitavuus mahdollistaa vahvan tunnistautumisen sekä asiakkaiden että ammattilaisten kirjautumisessa. Sähköisen ajanvarausjärjestelmän käytössä voidaan hyödyntää joustavasti erilaisia tunnistautumistapoja, joista muutamina mainittakoon useissa oppilaitoksissa käytössä oleva Haka, Suomi.fi sekä käyttäjän todennus Google-tilin tai jonkin sosiaalisen median käyttäjätilin kautta.
Ratkaisuna toistuvaan todennuksien kanssa sähläämiseen Vihta tarjoaa Single Sign-On -kertakirjautumismenetelmää, jolla voidaan taata käyttäjän pääsy niin ammatillisen kuin julkisenkin puolen palveluihin yhdellä todennuksella. Kertakirjautumismenetelmä takaa asiakkaalle monipuoliset vaihtoehdot kirjautumiseen sekä tekee sovellusten käytöstä kaikkiaan jouhevampaa. Palvelussa joko opiskelija tai ammattilainen voi siis hyödyntää vahvaa tunnistautumista ja silti päästä esimerkiksi oppilaitoksen useisiin palveluihin kertatunnistautumisella.
Vihdan avulla ammattilaisille voidaan myös suodattaa heille kuuluvat oikeudet järjestelmässä, johon saattaa sisältyä esimerkiksi runsaasti asiakkaisiin, kuten opiskelijoihin, liittyviä tietoja. Opintosihteereille tai -psykologeille voidaan rajata oikeudet tiettyihin toimipisteisiin ja asiakasrekistereihin, eli kaikkien järjestelmän tietojen ei tarvitse olla jokaisen työntekijän nähtävissä.
Vaikka nykypäivänä valtaosa verkossa toimivista sivustoista ja ohjelmistopalveluista pyrkiikin päivittämään tietoturvallisuuttaan säännöllisesti, myös palveluiden loppukäyttäjien on syytä ottaa vastuuta ja varmistaa oma osansa tietojensa pysymisessä oikeissa käsissä.
Oppilaitosten kaltaisissa suurissa organisaatioissa tietoturva saattaa joskus olla salasanojen ja tunnusten osalta yllättävänkin haavoittuvainen. Tietoturva-asiantuntijoilla tulee yhtenään vastaan tilanteita, joissa esimerkiksi oppilaitosten henkilökunnan jäsenillä on käytössään yhteisiä tunnuksia, joita jaetaan vaikkapa sijaistaville opettajille. Näissä yleistunnuksissa piilee vaara haavoittuvuudelle, sillä useiden henkilöiden käyttäessä samoja tunnuksia ei voida välttämättä saada selville, ketkä tunnuksia ovat käyttäneet ja mihin tarkoituksiin. Useille ihmisille yhteisiä tunnuksia kannattaa siis välttää.
Ihmisillä on myös riskialtis tapa käyttää samoja salasanoja niin töissään kuin vapaa-ajallaankin erilaisissa palveluissa, somekanavissa sekä verkkosivuilla. Ideaalitilanne olisi, että käyttäjillä olisi jokaiseen palveluun ja verkkosivustoille omat salasanansa – salasanat kannattaa myös luoda vahvoiksi siten, että ne ovat tarpeeksi pitkiä ja vaikeasti luettavia sekä sisältävät erikoismerkkejä ja numeroita.
Vihdalle tietoturvallisuus on todella tärkeä asia. Haluamme tarjota asiakkaillemme ajanvarauspalvelun kotisivulle, jossa loppukäyttäjien tiedot todella ovat siellä, minne ne kuuluvatkin. Sen vuoksi kehitämme sähköistä ajanvarausjärjestelmää koko ajan riippumatta siitä, syntyykö kauppoja asiakkaiden kanssa vai ei.
Suuret IT-järjestelmiä tarjoavat toimijat tarjoavat kehittämis- ja tietoturvatyötä yleensä projektiluontoisesti. Jos ja kun valmistuneen järjestelmän tai ohjelmiston tietoturvaa halutaan ennen pitkää päivittää, se tietää asiakasyritykselle lisää kuluja.
Erilaisista komponenteista löytyy tihein väliajoin tietoturva-aukkoja, ja koodeja hankitaan sovellusten kehitykseen valmiista ja useiden yritysten käytössä olevista kirjastoista. Jos sovelluksen rakentavasta koodista löytyy yksikin aukko, sovelluksen turvallisuudelta häviää pohja. Sen vuoksi tietoturvaa täytyy ylläpitää keskeytyksettä.
Sen lisäksi, että Vihta hyödyntää runsaasti auditointeja järjestelmänsä kehityksessä, tänä päivänä tietoturvakonsultit tekevät jatkuvaa ja pitkäjänteistä työtä järjestelmän mahdollisten haavoittuvuuksien löytämiseksi.
Turvallisen ajanvarausjärjestelmän olennaisia osia ovat siis
Ohjelmistoja ei voi jättää nykypäivän tietoturvamaailmassa seilaamaan ja odottamaan ulkopuolisia uhkia oman onnensa nojassa. Vihta pyrkii jatkuvalla kehitystyöllään takaamaan sen, että ajanvarausjärjestelmä olisi turvallinen asiakkaalleen joka ikinen päivä.
