keskiviikko 20. kesäkuuta 2012

Kyberpuolustuskeskus - ketä varten?


Heti alkuun pieni varoitus kirjoituksen tyylistä. Puhun tässä yrittäjän näkökulmasta ja lähinnä sen tavallisimman suomalaisen yrittäjän, eli PK-yrittäjän, näkövinkkelistä. Väkisinkin – kuten lyhyissä kirjoituksissa on pakko – tulee mukaan yksinkertaistamista ja kärjistämistä. Mutta tällaista se yrittäjän elämä on, johonkin on vaan keskityttävä. Kaikkea ei voi tehdä, vaikka haluaisi...

Palaan taannoiseen uutiseen, jossa Erka Koivunen, Viestintäviraston tietoturvallisuusyksikön päällikkö, nosti esiin kyberpuolustuskeskuksen eräänä vaihtoehtona valtion organisaatioiden tietoturvallisuuden tason parantamiseksi. Vaihtoehto se toki onkin, mutta mielestäni ei hyvä. Tällainen ratkaisu olisi viimeinen isku sen lopunkin tietoturvallisuusajattelun katoamiselle Suomesta. Ehdotus on kaikessa ihanassa ja hunajaisessa houkuttelevuudessaan vastustamaton. Saisimme lopultakin ulkoistettua sen vaikean asian jollekulle muulle. Tietoturva –termistäkään ei ole kukaan tässä maassa samaa mieltä. Osalle se on virustorjunta, toiselle lakisääteinen pakko ja melko monen mielestä se vaan mahdollistaa nörttien kansanryhmän ylivallan rehellisestä työntekijästä. Ja onhan se nimi kyllä raflaava. Kyberturvallisuuskeskus.

En lähde siihen keskusteluun, että tarvitsemmeko me moista valtiollisen turvallisuuden nimissä. Julkisuuslain periaatteiden mukaan virkamiesten ja viranhaltijoiden verovaroin tekemien päätösten ja niiden perusteiden viestintään olisi hyvä saada rahaa. Samoin organisaatioiden viestintään, tiedonkulkuun ja järjestelmien yhteensovittamiseen. Ei ehkä ensimmäiseksi suojaamiseen, salaamiseen ja eriyttämiseen. Mitä taas johonkin sodanuhkaan tulee, niin suosittelen vaikkapa Puoustusvoimien tietoverkkopuolustussektorin johtajan, Catharina Candolinin blogikirjoitusta viiden minuutin sodasta. 

Mutta kun me Suomessa, esimerkillisesti julkishallinto edellä, ulkoistamme koko tietoturvan tuohon teräksisen lujaan lasipalatsiin ja sen kellarien luolissa sijaitseviin laitesaleihin jossain Etelä-Suomessa, ei sitä sitten enää kenenkään tarvitse miettiä. Eihän? Ja kyllähän siihen verorahojakin menisi. Todennäköisesti pitkään. 

En usko, että maan tasolla toimivat ”tietoturvakeskukset” olisivat tehokkaita niihin yleisimpiin tietoturvauhkiin. Suurimmat uhat organisaatiossa ovat kuitenkin ihan tavallisia. Tietoa häviää laiterikkojen, katoamisten ja joskus jopa varkauksienkin kautta. Kilpailija – siis ihan suomalainen, naapurikorttelin Pate – on kiinnostunut asiakasrekisteristä ja myyntijohtaja Jormasta sekä Jorman kontakteista... Ja tuotekehityksen osalta pitää tietenkin olla tosissaan: Siinähän on firman hinta ja samalla yrittäjän eläke kiinni. Ja se kilpailijafirman Kake, se on nyt sitä aateekoota opiskellut kanssa; se saattaa päästä tuon tietoverkon kautta meille tietämättämme... Ja tietysti siitä pitää huolehtia, että tieto ylipäätään kulkee. Ja siitä pitää olla jopa useammin huolissaan kuin siitä, että se ei kulje! Ja olisihan se mukava saada työntekijöilleen turvallinen ja viihtyisä työpaikka.

Siinä ne tietoturvan käytännön ongelmat. Viruksista ja verkkomadoista puhutaan, kun ei ole parempaa tekemistä tai kun joku facebook-mato vaivaa profiilia. Tai kun kravattikaulainen konsultti on käynyt pelottelemassa maailmalla riehuvasta Loch Nessin hirviöstä, joka syö luottokorttitietoja, taseita ja verkkopankkitunnuksia. Tai Iranin ydinvoimaloita vaivaavan flunssan alkuperän spekuloinnista – sehän on kuin vertailisi viime viikolla leffaan tulleen huippujännärin katselukokemusta naapurin kanssa!

Tietoturvaa pitäisi arkipäiväistää, viedä käytännölliselle tasolle ja tuoda toimintaan niitä ratkaisuja, jotka ovat vastaus niihin yritysten todellisiin ongelmiin. Tietoturvauhat ovat hyvin arkipäiväisiä. Ne jokapäiväiset köhät – mihin ihan tavallinen särkylääke auttaisi – ovat ne suurin ongelma. Ihmisten kouluttaminen ja ymmärryksen lisääminen on alkanut ja yhä useampi organisaatio on huolehtinut siitä. Aika tekee tehtäväänsä siellä. Yrittäjät ja johto tarvitsevat todellisen tilannekuvan turvallisuustilanteesta. Miten sitä kannattaa kerätä, mistä ja miten se on järkevintä? Entä jatkuvuus; mitä tehdään kun viestit eivät kulje tai kun laitteet hajoavat? Turvallisuustoiminnalle olisi hyvä miettiä tavoitteita ja mittareita - mihin me pyrimme ja mitä siitä ollaan valmiita maksamaan? Organisointi on myös tärkeää: Miten kaikki on suunniteltu ja kuka vastaa?... Näitä asioita olisi hyvä miettiä ihan joka organisaatiossa.

Kun tätä tehdään jokaisessa suomalaisessa organisaatiossa, turvallisuuskulttuurin ja ymmärryksen lisääntyminen tapahtuu kaikkialla. Kun tuotettu tieto, ymmärrys ja osaaminen ovat laajasti kaikkien käytössä ja hyödynnettävissä, nostaa se myös valtion turvallisuuden tasoa. Päätän tämän blogin samaan lauseeseen kuin edellisenkin. "Kaikki teknologia, osaaminen ja keinot tietojen turvallisuuden varmistamiseksi ovat jo nyt olemassa. Kyse on vaan siitä, miten ne sijoitetaan tehokkaasti."

tiistai 12. kesäkuuta 2012

Tietoturva kunnossa, kun vastuu oikeassa paikassa


Nelosen uutiset uutisoi eilen Viestintäviraston tietoturvayksikön päällikön Erka Koivusen arvioita valtion virastojen ja laitosten tietoturvasta. Uutisessa käytettiin termejä, kuten lepsu ja leväperäinen. Omaan korvaani lepsu luo kuvan laiskasta ja leväperäinen jopa hiukan vastuuttomasta turvallisuuden hallinnasta. En itse tunnista omien asiakkaidemme kautta kumpaakaan noista mielikuvista, vaikka osin turvallisuuden tasosta olen samaa mieltä. Onneksi sekin on kuitenkin vaan yleensä se lähtöruutu, johon ei ole kovin monella tarkoitusta eikä halua jäädä. Ei sen kummemmin julkishallinnossa kuin etenkään yrityspuolella, jossa kilpailu ja menestyminen tänä päivänä alkaa edellyttää jo tämänkin osa-alueen hoitamista.

Usein ongelmakohtana on se, että ei ole osattu aloittaa tietoturvallisuuden (tai yleisemminkään turvallisuuden) tason pitkäjänteistä korjaustyötä ja kehittämistä. Ei ehkä ole tiedetty, mistä aloittaa tai sitten on kuviteltu, että asialle on jotain tehty, mutta todellisuudessa toimien vaikuttavuus on olematon. Vielä kun osaajat, tietoturvallisuuden ja tietotekniikan ammattilaiset, ja osaamisen tarvitsijat, yritysten johto ja vastuuhenkilöt, eivät puhu läheskään aina samaa kieltä, on moni ongelma vaan näennäisesti selvitetty. Tai organisaation eri tasoilla on jopa ihan erilainen käsitys tietoturvallisuuden tavoitteista. Kuten monesti olemme huomanneet, palomuuri on hankittu, mutta johdolla on ihan eri näkemys siitä mitä se tekee ja miten se todellisuudessa on asennettu. Tilanne, jossa johto ei voi päättää, kuka yrityksessä vierailee ja kuka ei! Mutta tarkoittaako tämä yhdessä eilisen uutisen kanssa, että organisaatioissa on laiska ja moraaliton johto?

Ei tietenkään. Yksi perusongelmista on mm. se, että tietoturvallisuus on vastuutettu väärään paikkaan. Tietoturva ei ole tietoteknisten asiantuntijoiden tai tietohallinnon vastuulla. Heillä on joskus – vaikka ei joka toimialalla! – isompi rooli tietoturvallisuuden käytännön tason toteuttamisesta, mutta hallinta ja johto on oltava muualla kuin IT-osastolla. Järjestelmäasiantuntijoilla, mikrotuella ja muilla teknisillä henkilöillä on erittäin harvoin osaamista, kokemusta tai edes näkemystä organisaation liiketoiminnallisista tavoitteista ja sitä vartenhan tietoturva on suunniteltava. Tietoturvaa ei suunnitella tietotekniikkaa varten, vaan liiketoimintaa ja sen jatkuvuutta varten. Ja peruslähtökohtana on siis oltava – kuten muussakin turvallisuustyössä – liiketoimintasuunnitelma, sen tavoitteet ja riskienhallinnan menetelmät. Vasta sen jälkeen tulee itse keinot.

Yksinkertainen esimerkikki:

  • Johto
    • Kerää liiketoiminnan riskiarviosta tietoon liittyvät turvallisuusriskit sekä toimintaan liittyvät lakisääteiset velvoitteet
      • Riskien arviointi – mikä pysäyttää toiminnan, minkä kanssa voidaan elää, mitä toteutuminen tarkoittaa rahassa…?
      • Riskien kontrollien suunnittelu – mikä on saatava ehdottomasti pois, paljonko riskin pienentäminen saa maksaa, mitä voidaan sietää…?
    • Valvoo – mitä uhkia organisaatioon kohdistuu, mitä poikkeamia toiminnassa on ollut, onko meidän tiedot varmistettu, mistä se todennetaan, missä on sen raportti, milloin se on viimeksi päivitetty…?
    • Tarkistaa tavoitteita liiketoiminnan muutostilanteissa 
  • Keskijohto
    • Valvoo oman vastuualueensa osalta toimintaa asetettuihin tavoitteisiin nähden.
    • Koostaa vaadittavat raportit
    • Tekee esitykset keinoista ja hankinnoista, joilla nykytilaa voidaan parantaa määriteltyjen painopisteiden mukaan
    • Huolehtii tarpeista, kuten koulutus, työvälineet, ohjeistukset…
    • Hoitaa viestintää molempiin suuntiin organisaatiossa
  • Operatiivinen taso
    • Täyttää vaaditut raportit ja huolehtii siitä, että tarvittava tieto kerätään
    • Käyttää osoitettuja työvälineitä ohjeistuksen mukaan
    • Esittää parannus- ja muutosehdotuksia toimintaan
    • Osallistuu oman vastuualueensa turvallisuustyön kehittämiseen
    • Kouluttautuu


Pienemmällä organisaatiolla tehtäviä jaetaan harvempien kesken, mutta usein toimintakin on keskittyneempää, jolloin tietoturvan hallinnasta ei tule liian raskasta tai kallista. Isommalla organisaatiolla tekijöitä on enemmän, mutta silti kuvio on pidettävä kokonaisuudessaan hallittavana ja johdonmukaisena.

Tietoturvallisuuden hallinta normaalitoiminnassa ei ole raskasta eikä kuormittavaa. Eikä saa olla sitä. Se varmistetaan sillä, että kaikki toiminta ja keinot suhteutetaan organisaation toimintaan ja tavoitteisiin ja varaudutaan vain siihen, mitä riskejä omassa toiminnassa on. Jos jokaisesta organisaatiosta löytyisi ylläkuvattu perustoiminnallisuus ja sille omavalvontasuunnitelma, olisivatko asiat paremmin? Koska kaikki teknologia, osaaminen ja keinot tietojen turvallisuuden varmistamiseksi ovat olemassa. Kyse on vaan siitä, miten ne sijoitetaan tehokkaasti.