perjantai 15. lokakuuta 2010

Valito valvomaan yritysturvallisuutta?

Helsingin Sanomat uutisoi eilen yrityksiin kohdistuvista tietoverkkohyökkäyksistä. Jutussa esitettiin myös Mikael Kiviniemen toive siitä, että Suomeen saataisiin valvomo, josta maahan kohdistuvia uhkia voitaisiin seurata.

Keskustelua tällaisesta valvomosta on ollut muuallakin ja itse ainakin oletan tällaisen kuuluvan länsimaisen yhteiskunnan perustoimintoihin. Muutakin rikollisuutta valvotaan kansallisella - jopa kansainvälisellä - tasolla. Miksi siis ei tietoverkkorikollisuuttakin? Realistisen kokonaiskuvan muodostaminen uhasta edellyttää, että havainnot kootaan yhteen, niitä verrataan, analysoidaan ja ilmiöitä seurataan laajasti. Samoin tietoverkoissa olisi valvonnan ja rikollisuuden ennaltaehkäisyn oltava suunnitelmallista ja johdettua, sekä kansainvälisen yhteistyön merkeissä tapahtuvaa toimintaa.

Poliisi varoittaa ja informoi yrityksiä tänä päivänä uhista, joita yrityksiin saattaa kohdistua perinteisen rikollisuuden alueella. Poliisi suojaa omalla toiminnallaan yhteiskuntajärjestystä ja tarvittaessa nostaa oma valmiuttaan estääkseen yleistä järjestystä ja turvallisuutta uhkaavat tilanteet. Miksi näin ei tehtäisi myös tietoverkkorikollisuuden osalta? Onhan keskusrikospoliisi jo esimerkiksi tällaista roolia ottanutkin, kuten totesimme kirjoituksessamme rikostietopalvelun raportista.

Haluaisin kuitenkin alleviivata erästä asiaa. En usko, että kenenkään suunnitelmissa on se, että poliisi valvoisi yksittäisten yritysten toimintaa tai muuttuisi organisaatioksi, jolle voi reklamoida silloin, kun tietoriski toteutuu. Eihän kukaan jätä yrityksensä oviakaan yöksi auki, luottaen siihen, että poliisi "hoitaa homman". Tilanne tietoturvallisuusympäristön osalta on kuitenkin nyt surullinen. Monella yrityksellä on ostettu virustorjuntaohjelmistot, jotka käyttäjät ovat kytkeneet pois päältä, kun kone oli vähän hidas. Monella on palomuurit, joiden konfiguraatio meni joskus vähän vaikeaksi ja sitten oli helpompaa vain sallia kaikki liikenne. Monella yrityksellä kilpailija lukee jo nyt yrityksen dataa, eikä siitä edes tiedetä kohdeyrityksessä! Oma tietoturvallisuustaso tulee monella puhtaana arvauksena, perustumatta mihinkään faktaan.

Yritykset ovat ottaneet asiakseen hoitaa fyysisen turvallisuuden kuntoon. Vartijat, hälyttimet ja palontorjunta ovat jo sääntö enemmän kuin poikkeus. Milloinkahan huomataan tietoturvallisuuden tärkeys, vai odotammeko, että valtio hoitaisi? Turvallinen yhteiskuntajärjestelmä ja yritystoiminta perustuu viranomaisten ja yritysmaailman yhteistyölle. Edellytys on kuitenkin se, etä jokainen hoitaa oman tonttinsa - samalla tavalla kuin yritykset tarvitsevat turvallisen toimintaympäristön, tarvitsee viranomainen myös oikeaa tietoa siitä, millaisten ongelmien kanssa käytännössä ollaan tekemisissä.

Ei kommentteja:

Lähetä kommentti