Tietoturva turvaa toimintaa

Äkkipäätään voisi ajatella, että tietoturva on tietojen turvaamista. No onhan se tietysti sitäkin, mutta tietoturva turvaa ennen kaikkea myös toimintaa. Sillä mitä turvattavaa tiedoissa olisi, jollei niillä olisi mitään vaikutusta toimintaan? Tietoturvapoikkeamien vaikutukset toimintaan ovat kovin vaihtelevia riippuen tietoturvapoikkeamasta ja toiminnasta.

Siksi ainakin eräänlaisessa ideaalimaailmassa ensimmäinen askel tietoturvan rakentamisessa ja kehittämisessä on käynnistää asianmukainen riskienhallintaprosessi. Ensin tunnistetaan, mitä haittaa voi tapahtua yrityksen toiminnalle, jos tiedoille tapahtuu jotain ikävää. Tiedot voivat kadota tai muuttua, ja ne voivat joutua vääriin käsiin. Tietojen hyödyntäminen voi estyä esimerkiksi teknisen vian tai kyberhyökkäyksen takia.

Varsinkin metron toimintaa ohjaava valvomojärjestelmä olisi aika herkullinen maali NATO-opponentille, joka haluaisi aiheuttaa todellisia ongelmia ilman sotaa. Riskiarvioiden jälkeen – tosielämässä oikeasti jo samanaikaisesti, jollei peräti etukäteenkin – päätetään tärkeysjärjestyksessä, millä keinoin riskejä voi poistaa tai vähentää. Eurot tietenkin huomioidaan toimenpiteitä valittaessa. Halvat suojakeinot kannattaa yleensä toteuttaa, vaikkei uhka olisikaan suuri. Kalliita suojakeinoja joutuu jokainen organisaatio priorisoimaan, koska jokaisen lompakolla on määränsä.

Tietoturva-alan standardit

Tietoturvariskejä on maailmalla hallittu sen verran kauan, että alalle on muodostunut lukuisia standardeja, ohjeita ja tarkistuslistoja. ISO 27001 on standardeista suosituin. Myös Kaupunkiliikenteellä olemme ottaneet toimintamme viitekehykseksi juuri sen. Emme vielä ole virallisesti päättäneet hakevamme sertifiointia, mutta eiköhän senkin aika vielä tule, kunhan ensin saamme kerättyä riittävästi todisteita, että toimintamme on standardin mukaista.

Suurin osa valmistelutyöstä on itse asiassa tehty jo aikoja sitten, sillä tuskin on kenellekään ihan hirmuinen yllätys, että tietoturva-alan standardi kattaa tutut ja ikiaikaiset tietojen suojauskeinot, joita ovat esimerkiksi käyttäjien tunnistaminen, käyttövaltuuksien hallinta, tietoverkkojen suojaus erilaisin teknisin keinoin, virustorjunta, varmuuskopiointi, vaarallisten työyhdistelmien välttäminen ja erilaiset palveluprosessit, kuten poikkeamien hallinta, jne. Aikamoinen työmäärä on kuitenkin kulunut tämän kaiken dokumentointiin, sillä standardi on ankara; ei riitä, että asiat tehdään oikein, pitää myös pystyä osoittamaan, että asiat tehdään oikein.

Tarkastellaan vaikka henkilöstön tietoturvakoulutusta. Standardi ei sano, mitä kaikkea koulutusta henkilöstölle pitää antaa ja kuinka usein. Standardi sanoo, että koulutusta pitää järjestää. Kaupunkiliikenteellä on kaikille tietokoneen käyttäjille pakollinen tietoturvatentti, joka kattaa normikäyttäjän perusasiat.

Harjoittelua tietoturvaan

Tietosuoja on osa tietoturvaa, tarkemmin sanottuna se on henkilötietojen suojaamista EU:n Tietosuoja-asetuksen eli GDPR:n puitteissa, ja siitä on kaikille tarjolla koulutus verkkokoulutusympäristössämme. Asiantuntijat sopivat omasta syventävästä koulutuksestaan osana kehityskeskusteluja. Koska kaikki käydyt kurssit kirjataan HR-järjestelmäämme, on helppo osoittaa, että tietoturvakoulutusta tosiaan on järjestetty.

Lisäksi aivan lähiaikoina käynnistämme kalasteluviestiharjoitukset. Muissa yrityksissä on sellaista kokemusta, että aluksi aika moni menee halpaan, mutta kun on muutama käry käynyt, niin opitaan olemaan klikkaamatta epäilyttäviä viestejä.

Onko kaikki tehty riittävää? Tähän ei standardi vastaa, vaan viime kädessä kysymys on ihmisen tekemästä arviosta.

Mutta onko kaikki tehty riittävää? Tähän ei standardi vastaa, vaan viime kädessä kysymys on ihmisen tekemästä arviosta. Sitä paitsi vaikka olisikin tehty riittävästi nykyhetkeen, niin tulevaisuudessa voi olla toisin. Siksi jatkuva parantaminen luonnollisesti sisältyy standardiin.

Tietoturva Metron kapasiteetin kehittämishankkeessa

Ihmisen arvioihin perustuvat muutkin riskien hallintakeinot. Kaikenlaista olen vuosien myötä päässyt tekemään – yleisen järjestyksen ja turvallisuuden ohjelmistoja, radioverkkojen suunnitteluohjelmia, hallinnon IT-palveluiden pyörittämistä ja ties mitä kaikkea muuta – mutta yksikään niistä ei ole ollut yhtä monimuotoinen kuin käynnissä oleva Metron kapasiteetin kehittämishanke eli Metka, joka on suurelta osin tietoturvaa. Vielä enemmän se on turvallisuutta.

Tietoturva ja turvallisuus yhdistyvät asiantuntijaporukassa, jonka tärkein tehtävä on riskiarvioiden pohjalta valita soveltuvin tekninen ratkaisu, jolla tulevaisuuden metrot suihkivat linjoillamme entistä tiheämmällä vuorovälillä ja entistä automaattisemmin. Se puolestaan vaikuttaa monella tapaa koko metrojärjestelmän ja metrohenkilöstön toimintaan.

Elämme siis mielenkiintoisia aikoja!

Jari Jokiniemi
ICT-kehityspäällikkö