2/2019, Puheenvuoro

Tietoturvaa kohennettiin harjoittelemalla

Kirjoittajat: Matti Kuosmanen, Olavi Pesonen & Kari Kataja.

Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA) ja julkisen hallinnon digitaalisen turvallisuuden johtoryhmä (VAHTI) järjestivät 2017–2018 kaksi tietosuojan yhteishanketta. Yhteishankkeeseen osallistumalla organisaatio sai hyvät valmiudet tulevan tietosuojalainsäädännön tuomiin muutoksiin. Yhteishankkeissa tuotettiin tietosuojakoulutusvideoita, nettitestejä ja järjestettiin työpajatilaisuuksia. Työpajoissa käsiteltiin tietosuoja-asetukseen eri osa-alueita, riskienhallintaa ja tietoturvallisuutta julkishallinnon näkökulmasta. (Arjen tietosuoja 2018).

Näihin hankkeisiin liittyen Väestörekisterikeskus järjesti tietoturva- ja tietosuojaloukkausten hallinnan harjoituksen (TAISTO18) marraskuussa 2018 (Rousku 2018). Harjoituksen tavoitteena oli kehittää organisaatioiden valmiuksia tietoturvaloukkausten hallintaan. Harjoitukseen osallistui noin 235 julkishallinnon organisaatiota, joista ammattikorkeakouluja oli seitsemän ja yliopistoja kahdeksan (VRK 2018). Korkeakoulujen tietosuojavastaavien verkoston työvaliokunta suositteli osallistumista kaikille korkeakouluille.

Harjoitukseen valmistauduttiin väestörekisterikeskuksen TAISTO18-käsikirjan mukaisesti: tarvittavat henkilöt koottiin päiväksi samaan tilaan, jossa tehtävät ratkaistiin. Ulkopuolinen kirjaaja kirjasi havainnot lokiin. Tyypillisesti harjoituksessa oli mukana tietoturva- ja tietosuoja-asiantuntijoita, palvelimien ylläpitoon liittyviä henkilöitä, viestinnän asiantuntijoita ja ylintä johtoa.

Harjoituksen rungon muodosti kuvitteellinen tilanne, jossa Viestintäviraston Kyberturvallisuuskeskus oli julkaissut punaisen varoituksen, joka liittyi useita eri käyttöjärjestelmiä koskettavaan nollapäivähaavoittuvuuteen. Useimmat käyttöjärjestelmä- ja sovellusvalmistajat olivat julkaisseet päivityksen. Haavoittuvuuden avulla oli mahdollista varastaa henkilötietoja sisältäviä aineistoja. Viestintävirasto oli saanut alustavia havaintoja, että tätä haavoittuvuutta oli todennäköisesti hyödynnetty. Harjoituspäivä jakaantui 10 erilaiseen tehtävään. Osana harjoitusta tehtiin ilmoitus tietosuojavaltuutetun toimistolle, täytettiin rikosilmoitus, sekä lähetettiin ilmoitus Viestintävirasto / Kyberturvallisuuskeskukselle. Harjoituksessa valmisteltiin myös tiedotteita ja vastattiin median kyselyihin. Lisäksi harjoituksen aikana palautettiin tehtäviä kyselytyövälineellä. Näistä vastauksista saatiin harjoituksen jälkeen organisaatiokohtainen palaute, joka on tarkoitettu organisaation sisäiseen käyttöön.

TAISTO18-harjoituksen aikana HAMKissa, Savoniassa ja Kareliassa tehtiin seuraavia havaintoja:

  • Etukäteen harjoittelu on tärkeää ja sen pitäisi olla vuosittaista.
  • Harjoittelun avulla voidaan saada varmuutta todellisen tilanteen tilannejohtamiseen, joka tässä harjoituksessa koettiin osittain haasteelliseksi.
  • Kriisiviestinnän ohje on tärkeä tuntea ja olla saatavilla.
  • Tiedottaminen pitää olla suunniteltu etukäteen. Pystyykö johto/viestintä antamaan lausuntoja vakuuttavasti tietoturva-asioissa, vai delegoidaanko tiedottaminen tietoturvapäällikölle?
  • Korkeakoulun kriisityöryhmän rooli kyberturvallisuuteen liittyvissä asioissa olisi hyvä määritellä etukäteen.
  • Mahdollisiin median esittämiin kysymyksiin on hyvä valmistautua etukäteen, esimerkiksi harjoittelemalla vastaamista yhdessä ICT-alan termistöä tuntevien henkilöiden kanssa.
  • Palveluna ostettavien tietojärjestelmien palveluntarjoajilta saattaa olla vaikea saada tietoja laajoissa ongelmatilanteissa esimerkiksi tietoturvapäivitysten ajantasaisuudesta. Tämä korostuu erityisesti pilvipalveluissa.
  • Ongelmatilanteisiin reagoiminen saattaa olla haastavaa silloin, jos kaikki asiantuntijat eivät ole paikalla. Tämä tarkoittaa riskienhallinnan kannalta varahenkilöjärjestelyjen luomista.
  • Erilaisten laitteiden (palvelimet, tietokoneet, tabletit, matkapuhelimet) hallinnassa on parantamisen varaa.
  • Tietoturvapäivitykset kannattaa varmistaa niiden laadun toteamisen ja varmistamisen takia esimerkiksi käyttämällä sopivaa pilottiryhmää.

Kaikkiaan harjoitus onnistui hyvin ja osallistuminen koettiin hyödylliseksi. Kriisitilanteita on tarpeen harjoitella jatkossakin. Tähän vastaa ensi syksynä toteuttava TAISTO19. Lisätietoja TAISTOsta löytyy väestörekisterikeskuksen sivulta, https://vrk.fi/taisto.

Kirjoittajat

Matti Kuosmanen, FL, Tietosuojavastaava, tietohallinto- ja tietoturvapäällikkö, Savonia-amk. matti.kuosmanen(at)savonia.fi

Olavi Pesonen, FM, Informaatiotekniikan insinööri (AMK), Tietohallinto- ja tietoturvapäällikkö, tietosuojavastaava, Karelia-ammattikorkeakoulu, olavi.pesonen(at)karelia.fi

Kari Kataja, DI, FM, KTM, KM, Tietosuojavastaava ja tietojärjestelmäpäällikkö, korkeakoulujen tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja, Hämeen ammattikorkeakoulu, kari.kataja(at)hamk.fi


Arjen tietosuoja 2018. Arjen tietosuojaa videokoulutukset ja nettitestit. https://arjentietosuoja.fi

Rousku 2018. Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus. https://vrk.fi/documents/2252790/9592142/TAISTO+tiiviisti+-esitys/72eaedff-4498-d66f-fbc8-588c3973170e/TAISTO+tiiviisti+-esitys.pdf?version=1.1 .

VRK 2018. Taisto18 osallistujalista. https://vrk.fi/documents/2252790/9592142/TAISTO18-osallistujalista/f18006cd-ea06-ff35-8582-51065c11d4ae/TAISTO18-osallistujalista.pdf?version=1.1

VRK 2019. TAISTO-harjoitus. https://vrk.fi/taisto

Edellinen artikkeliSeuraava artikkeli