Mitä meillä olisi ilman luottamusta? Turvallisuusasiat ovat alusta alkaen olleet tärkeä osa Membook-palvelua. Ovatko tiedot varmasti tallessa, pääseekö joku asiaankuulumaton katsomaan tietoja, mitä jos jokin menee pieleen inhimillisen virheen tai tarkoituksellisen vahingonteon takia? Hyviä kysymyksiä, eivät lainkaan turhia pelkoja.
Membookilla on tukenaan ja turvanaan jotain mitä ei kaikilla ole: Netorek-niminen yritys. Sen toimitusjohtaja ja yksi pääomistajista, Timo Kero, on osakkaana myös Membookissa. Netorek huolehti vuosikaudet myös Membookin edeltäjästä Nekkarista, joten yhteistyö on tiivistä ja sujuvaa.
Miten tavallinen käyttäjä voi tietää, että nettisovellus on turvallinen?
Ihan ensimmäinen asia mitä kannattaa katsoa on se, onko yhteys turvattu SSL-sertifikaatilla. Tämän näkee helposti: jos selaimen osoitepalkin vasemmassa reunassa näkyy pieni lukkomerkki ja verkkotunnus alkaa lyhenteellä “https”, yhteys on suojattu. Membook käyttää tätä suojausta, ja salaustaso on sama kuin esimerkiksi pankkipalveluissa.
Missä Membookin data sijaitsee?
Fyysisesti palvelinkeskuksemme ovat Suomessa, tarkemmin sanoen Helsingin Pitäjänmäessä, eivät siis missään kaukana maailman pilvissä. Ulkopuolisilla ei ole keskukseen pääsyä, ainoastaan nimetyillä henkilöillä. Varmuuskopiot sijaitsevat luonnollisesti eri palotiloissa.
Mitä siellä palvelimilla on ja mitä järjestelmä on syönyt?
Membookissa on käytössä kolmitasoinen arkkitehtuuri. Se tarkoittaa sitä, että web-palvelin on omassa verkossaan erikseen sovelluspalvelimesta ja tietokantapalvelimesta. Asiakaskäyttöliittymästä ei ole reittiä tietokantaan, eikä palvelimilta pääse ulos internetiin. Palomuurissa ovat auki vain tarvittavat portit: omien työkalujen ujuttaminen palvelimille ei onnistu. Käytämme Linux-käyttöjärjestelmästä minimiasennuksia, mikä edelleen vähentää tietoturvariskejä. Itse Membook-palvelun edessä on itse asiassa neljä palomuuria, ja se, mitä hakemistoja voi lukea ja kirjoittaa, on tarkasti määritelty, samoin portit. Jos tarvetta tulee, turvallisuutta voidaan vieläkin tiukentaa Linux-containerien avulla, joissa eristetään sisäiset palvelut omiin “häkkeihinsä”.
Palvelimilla on ympärivuorokautinen, automaattinen valvonta hälytyksineen. Ylläpito on keskitetty, ja käyttöjärjestelmä päivitetään automaattisesti. Kriittisistä päivityksistä tulee ilmoitus välittömästi. Avoimen lähdekoodin komponentteja voimme itse tutkia ja tarkistaa onko kaikki kunnossa. Päivittäin tietysti ajetaan kaikki mahdolliset virus- ja haittaohjelmaskannaukset.
Virtualisointi on tehty tietoturvallisella KVM-ohjelmistolla. Todettakoon vielä, että Membook skaalautuu automaattisesti ja muutenkin järjestelmä on järeää enterprise-tasoa.
Okei, softa on hienoa ja rauta lujaa. Mutta entäs ne ihmiset?
Palvelimiin pääsevät käsiksi vain nimetyt henkilöt, ja käytössä on kaksivaiheinen autentikointi. Vaihtuvat salasanat ovat voimassa vain 30 sekuntia, ja kiinteä salasana pitää vaihtaa 3 kuukauden välein.
Teillä on ilmeisesti asiasta aikaisempaakin kokemusta?
Näin voi sanoa. Netorek on toiminut vuodesta 1997 ja asiakkainamme on isoja operaattoreita ja pankkeja. Gurutason osaamista meillä edustaa etenkin Linux-guru Ari Lemmke. Netorek on Linux Red Hat -asiantuntija, ja meillä on Skype-yhteyden päässä tarvittaessa valtavat kontaktit yli rajojen.