Tulostusversio

3/2013

Asiantuntijalta: Riskienhallinnasta ei ole varaa tinkiä

Teksti: Ari Andreasson ja Juha Koivisto

Teknologia ja palvelutuotannon ulkoistaminen tuovat uudentyyppisiä tietoturvahaasteita erityisesti julkiselle sektorille. Organisaatioiden pitäisikin kiinnittää enemmän huomiota riskienhallintaan.

Tietoturva on päivänpolttava puheenaihe useimmissa organisaatioissa. Asiaan liittyy paljon ohjeita ja säädöksiä sekä huolestuttavia uutisia, jotka askarruttavat johtoporrasta.

Usein organisaatioiden haasteena on, että tietoturvan toteuttamiseen ei ole käytössä riittäviä resursseja. Monesti ongelmana on myös, että tietoturvaan liittyvä riskienhallinta on puutteellista tai kokonaan tekemättä. Tämän asenteen pitää muuttua!

Tietojärjestelmiin tallennetaan paljon salassa pidettäviä tietoja, ja alati muuttuva laitekanta sekä tiedon tallennuspaikat aiheuttavat sen, että organisaation pitää panostaa entistä enemmän tietoturvan ja tietosuojan riskienhallintaan. Luottamuksen menettämisen jälkeen tilanteen korjaaminen on erittäin vaikeaa. Kyse on siis myös imagosta ja palvelujen laadusta.

Erityisesti julkinen sektori on voimakkaassa muutosprosessissa ja uudentyyppisten tietoturvahaasteiden edessä. Palveluja ostetaan yhä enemmän ulkopuolelta. Kuntaliitokset ja monituottajaorganisaatiot alihankkijaverkostoineen ovat rantautuneet useiden kuntien toimintamalliksi. Ajasta ja paikasta riippumattomat ratkaisut ja niiden kytkeytyminen saumattomasti erilaisiin tietolähteisiin tuovat mahdollisuuksia mutta lisäävät tietoturvariskejä.

Pilvessä on odotettua enemmän riskejä

Ajankohtaisia tietoturvahaasteita ovat erilaiset pilvipalvelut sekä omien laitteiden käyttö työssä. Pilvipalveluita on yleensä helppo ottaa käyttöön, mutta julkisissa pilvipalveluissa on usein erittäin vaikeaa vaikuttaa tietoturvaan, kuten varmuuskopiointiin tai tietojen saamiseen pois palvelusta tarvittaessa.

Julkisissa pilvipalveluissa organisaatio tai varsinkaan loppukäyttäjä ei yleensä tiedä, minne tiedot tallentuvat, eli pysyvätkö ne esimerkiksi EU:ssa, ja kuka tietoihin pääsee loppujen lopuksi käsiksi.

Pilvipalveluita mainostetaan luotettavina, ja usein ne onkin suojattu esimerkiksi yksittäisten palvelimien hajoamisilta. Yhteys julkisiin pilvipalveluihin muodostetaan kuitenkin useiden operaattoreiden kautta, jolloin todennäköisyys palvelun saatavuuteen on käytännössä huonompi kuin omassa verkossa olevilla palveluilla. Tämä on hyvä huomioida vähintäänkin varautumisessa.

Pilvipalveluita voidaan toteuttaa myös suoraan tietylle organisaatiolle. Näissä niin sanotuissa yksityisissä pilvipalveluissa voidaan yleensä sopia ja varmistaa tietoturva-asiat siten, että riskit ovat pienemmät.

Omat laitteet tuovat vastuukysymyksiä

Omien laitteiden käyttö työpaikalla eli ns. BYOD (Bring Your Own Device) nähdään usein varsinkin talouspuolella kustannuksia säästävänä, mutta samalla ei muisteta huomioida sen aiheuttamia kustannuksia ja haasteita muilta osin. Esimerkiksi tukipalveluiden antaminen voi olla vaikeaa. Myös sovellusten käyttöohjeiden tekeminen voi vaikeutua, kun eri laitteissa jo sovelluksen käynnistäminen voi tapahtua eri tavalla, tai laitteista saattaa puuttua sovelluksen tarvitsemia peruspalveluita. 

Omien laitteiden työkäyttöön liittyy myös vastuukysymyksiä. Kuka maksaa laitteen ohjelmistolisenssit, ja mitä niille tapahtuu työsuhteen päättyessä? Saako työnantaja asentaa työntekijän laitteeseen etähallintaan liittyviä tuotteita esimerkiksi tyhjentääkseen työnantajan tiedot (ja samalla käyttäjänkin tiedot, jos niitä ei voida erotella) laitteesta varkaus- ja katoamistapauksissa? Miten varmistetaan, että laitteesta ei pääse haittaohjelmia työnantajan verkkoon?

Ohjeet ja jalkautus kuntoon

Tietoturvariskien hallitsemiseksi organisaation pitää laatia tietojensa ja tietojärjestelmiensä käyttäjille ajanmukaiset määräykset ja ohjeet. Erityisen tärkeä on olla tietoturvapolitiikka, johon liittyy tai jonka alle kuuluu tarkempia muita periaatteita, määräyksiä ja ohjeita, kuten käyttövaltuus- ja mobiililaitepolitiikat.

Verkkoliikenteen suojaaminen ja hallinta on ensiarvoisen tärkeä suunnitella ja toteuttaa huolella. Tietojärjestelmien väliset eri aikakausina rakennetut rajapinnat pitää tarkastaa tietoturvaongelmien varalta ja tehdä tarvittavat korjaustoimet. Erittäin tärkeää on myös varautua erilaisiin häiriötilanteisiin. Tiedottaminen tietojärjestelmien käyttökatkoksissa pitää suunnitella sekä laatia varasuunnitelmat siihen, kuinka toiminta saadaan tarvittaessa pidettyä pystyssä ilman sähköisiä tietojärjestelmiä.

Kaikkea tätä pitää valvoa ja huolehtia siitä, että ohjeet ja suunnitelmat ovat vastuutettu pidettäväksi ajantasaisina. Ohjeet on myös jalkautettava. Hyviä keinoja kirjallisten ohjeiden lisäksi ovat auditorioluennot sekä verkkokoulutukset. Myös salassapidon merkitystä on korostettava säännöllisesti.

Tärkeintä on jatkuvuus

Kukaan ei tällä hetkellä tiedä, mitä tulevaisuus tuo tullessaan. Se kyllä tiedetään, että talous on tiukoilla ja muutospaineita tietoturva- ja tietosuojalainsäädännön uudistamiseen tulee myös kansainvälisesti. Vaikea tulevaisuuden ennustettavuus ei kuitenkaan estä tekemästä parasta mahdollista arviota kehityksestä ja varautumasta tulevaan. Tärkeintä on muistaa, että tietoturvassa ei ole kyse projektista vaan prosessista. Ei siis pidä syyllistyä siihen, että asiat laitetaan hetkellisesti kuntoon ja viiden vuoden päästä tarkastetaan, ovatko ne vielä ajan tasalla.

---------

[KIRJOITTAJAT]

Ari Andreasson ja Juha Koivisto työskentelevät Tampereen kaupungin tietohallintoyksikössä tietoturva- ja tietosuoja-asioiden parissa. He ovat kirjoittaneet kirjan Tietoturvaa toteuttamassa sekä yhdessä tietosuojavaltuutetun toimiston ylitarkastaja Arto Ylipartasen kanssa Tietosuojavastaavan käsikirjan.

Lue myös

Asiantuntijalta: Käyttösitoumus on osa perehdytystä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.