keskiviikko 20. kesäkuuta 2012

Kyberpuolustuskeskus - ketä varten?


Heti alkuun pieni varoitus kirjoituksen tyylistä. Puhun tässä yrittäjän näkökulmasta ja lähinnä sen tavallisimman suomalaisen yrittäjän, eli PK-yrittäjän, näkövinkkelistä. Väkisinkin – kuten lyhyissä kirjoituksissa on pakko – tulee mukaan yksinkertaistamista ja kärjistämistä. Mutta tällaista se yrittäjän elämä on, johonkin on vaan keskityttävä. Kaikkea ei voi tehdä, vaikka haluaisi...

Palaan taannoiseen uutiseen, jossa Erka Koivunen, Viestintäviraston tietoturvallisuusyksikön päällikkö, nosti esiin kyberpuolustuskeskuksen eräänä vaihtoehtona valtion organisaatioiden tietoturvallisuuden tason parantamiseksi. Vaihtoehto se toki onkin, mutta mielestäni ei hyvä. Tällainen ratkaisu olisi viimeinen isku sen lopunkin tietoturvallisuusajattelun katoamiselle Suomesta. Ehdotus on kaikessa ihanassa ja hunajaisessa houkuttelevuudessaan vastustamaton. Saisimme lopultakin ulkoistettua sen vaikean asian jollekulle muulle. Tietoturva –termistäkään ei ole kukaan tässä maassa samaa mieltä. Osalle se on virustorjunta, toiselle lakisääteinen pakko ja melko monen mielestä se vaan mahdollistaa nörttien kansanryhmän ylivallan rehellisestä työntekijästä. Ja onhan se nimi kyllä raflaava. Kyberturvallisuuskeskus.

En lähde siihen keskusteluun, että tarvitsemmeko me moista valtiollisen turvallisuuden nimissä. Julkisuuslain periaatteiden mukaan virkamiesten ja viranhaltijoiden verovaroin tekemien päätösten ja niiden perusteiden viestintään olisi hyvä saada rahaa. Samoin organisaatioiden viestintään, tiedonkulkuun ja järjestelmien yhteensovittamiseen. Ei ehkä ensimmäiseksi suojaamiseen, salaamiseen ja eriyttämiseen. Mitä taas johonkin sodanuhkaan tulee, niin suosittelen vaikkapa Puoustusvoimien tietoverkkopuolustussektorin johtajan, Catharina Candolinin blogikirjoitusta viiden minuutin sodasta. 

Mutta kun me Suomessa, esimerkillisesti julkishallinto edellä, ulkoistamme koko tietoturvan tuohon teräksisen lujaan lasipalatsiin ja sen kellarien luolissa sijaitseviin laitesaleihin jossain Etelä-Suomessa, ei sitä sitten enää kenenkään tarvitse miettiä. Eihän? Ja kyllähän siihen verorahojakin menisi. Todennäköisesti pitkään. 

En usko, että maan tasolla toimivat ”tietoturvakeskukset” olisivat tehokkaita niihin yleisimpiin tietoturvauhkiin. Suurimmat uhat organisaatiossa ovat kuitenkin ihan tavallisia. Tietoa häviää laiterikkojen, katoamisten ja joskus jopa varkauksienkin kautta. Kilpailija – siis ihan suomalainen, naapurikorttelin Pate – on kiinnostunut asiakasrekisteristä ja myyntijohtaja Jormasta sekä Jorman kontakteista... Ja tuotekehityksen osalta pitää tietenkin olla tosissaan: Siinähän on firman hinta ja samalla yrittäjän eläke kiinni. Ja se kilpailijafirman Kake, se on nyt sitä aateekoota opiskellut kanssa; se saattaa päästä tuon tietoverkon kautta meille tietämättämme... Ja tietysti siitä pitää huolehtia, että tieto ylipäätään kulkee. Ja siitä pitää olla jopa useammin huolissaan kuin siitä, että se ei kulje! Ja olisihan se mukava saada työntekijöilleen turvallinen ja viihtyisä työpaikka.

Siinä ne tietoturvan käytännön ongelmat. Viruksista ja verkkomadoista puhutaan, kun ei ole parempaa tekemistä tai kun joku facebook-mato vaivaa profiilia. Tai kun kravattikaulainen konsultti on käynyt pelottelemassa maailmalla riehuvasta Loch Nessin hirviöstä, joka syö luottokorttitietoja, taseita ja verkkopankkitunnuksia. Tai Iranin ydinvoimaloita vaivaavan flunssan alkuperän spekuloinnista – sehän on kuin vertailisi viime viikolla leffaan tulleen huippujännärin katselukokemusta naapurin kanssa!

Tietoturvaa pitäisi arkipäiväistää, viedä käytännölliselle tasolle ja tuoda toimintaan niitä ratkaisuja, jotka ovat vastaus niihin yritysten todellisiin ongelmiin. Tietoturvauhat ovat hyvin arkipäiväisiä. Ne jokapäiväiset köhät – mihin ihan tavallinen särkylääke auttaisi – ovat ne suurin ongelma. Ihmisten kouluttaminen ja ymmärryksen lisääminen on alkanut ja yhä useampi organisaatio on huolehtinut siitä. Aika tekee tehtäväänsä siellä. Yrittäjät ja johto tarvitsevat todellisen tilannekuvan turvallisuustilanteesta. Miten sitä kannattaa kerätä, mistä ja miten se on järkevintä? Entä jatkuvuus; mitä tehdään kun viestit eivät kulje tai kun laitteet hajoavat? Turvallisuustoiminnalle olisi hyvä miettiä tavoitteita ja mittareita - mihin me pyrimme ja mitä siitä ollaan valmiita maksamaan? Organisointi on myös tärkeää: Miten kaikki on suunniteltu ja kuka vastaa?... Näitä asioita olisi hyvä miettiä ihan joka organisaatiossa.

Kun tätä tehdään jokaisessa suomalaisessa organisaatiossa, turvallisuuskulttuurin ja ymmärryksen lisääntyminen tapahtuu kaikkialla. Kun tuotettu tieto, ymmärrys ja osaaminen ovat laajasti kaikkien käytössä ja hyödynnettävissä, nostaa se myös valtion turvallisuuden tasoa. Päätän tämän blogin samaan lauseeseen kuin edellisenkin. "Kaikki teknologia, osaaminen ja keinot tietojen turvallisuuden varmistamiseksi ovat jo nyt olemassa. Kyse on vaan siitä, miten ne sijoitetaan tehokkaasti."

Ei kommentteja:

Lähetä kommentti