Tullaanko teille aivojen vai kuidun kautta?
Niin, mistä verkkorikolliset ja kybervakoilijat ryömivät tiedon lähteille? Oheisen Uuden-Seelannin erinomaisen ohjeen ja kuvan mukaan ennen kohtaa ”Take control” löytyvät kohdat ”Malware” ja ”Internet exposed systems”. Kysymys kuuluu – tapahtuuko (henkilö)tietojen tietoturvaloukkaus meidän ihmisten toimesta joko suoraan meidän oman käyttäytymisen vai välillisesti, esimerkiksi haavoittuvuuksia sisältävien palvelimien, verkko- tai päätelaitteiden tai palveluiden kautta? Mitä kautta teille on tultu – siis muuten kuin ihmisen toiminnan seurauksena?
Riskienhallinta lägittää
Olen puhunut tänäkin syksynä paljon eri yhteyksissä digiturvan eri osa-alueista (riskienhallinta, toiminnan jatkuvuus, tietoturva, tietosuoja ja kyberturvallisuus). Yksi keskeinen havainto on ollut se, että näistä osa-alueista riskienhallinnan koetaan lägäävän, olevan muita osa-alueita enemmän jäljessä. Digi- ja väestötietoviraston 128 julkisen hallinnon organisaation digiturvakyselyn raportti osoittaa samaa. Verrattuna kahden vuoden takaisiin tuloksiin, etenkin hallinnollinen tietosuoja, tietoturva ja toiminnan jatkuvuus olivat kehittyneet selkeästi, riskienhallinnan osalta ei voida osoittaa samanlaista parantumista. Ja valitettavasti teknisessä tietoturvassa on vielä lukuisia rikollisten ja vakoilijoiden kokoisia aukkoja.
Regulaatioruoska viuhumaan?
Aina välillä nousee esille se, miksi jotkut toimialat ovat turvallisempia toiminnassaan kuin toiset. Luonnollisesti vaikuttavia tekijöitä on useita, mutta usein nostetaan esille se, että turvallisena pidettyjä toimialoja koskee tiukempi lainsäädäntö tai muu regulaatio. Tässä mielessä toivoisi, että riskienhallinnan osaltakin sitä alettaisiin enemmän vaatia. Tämä ei tarkoita sitä, etteikö organisaation johto, hanke- ja projektitasolla sitä harrasteta, mutta miten siinä välillä? Ja nähdäänkö riskienhallinta oikeasti kokonaisvaltaisena työkaluna vai onko se vain pakkopulla, joka pitää hoitaa alta pois? Katsotaan, mitä tuleva NIS 2.0 direktiivi saa aikaan tällä alueella, tuleeko mahdollisista sanktioista kannustava tekijä edistää myös riskienhallintaa?
Ihminen keskiöön
Palataan takaisin tietomurtoihin. Nyt jos tietääkseni (korjatkaa, jos olen väärässä) tekoäly ei ole vielä syyllistynyt tietomurtoon, jäljet johtavat sylttytehtaalle, meihin käyttäjiin, turvallisuuden rakentajiin tai kehittäjiin. Tämän vuoden aikana useissa eri kyselyissä on noussut esille kuin Lintsin ”nuiji sammakot” -pelissä kaksi teemaa, henkilöstö, henkilöstö, henkilöstö ja vielä erikseen johto. Miten me luomme henkilöstölle sellaisen sisäänrakennetun uudenlaisen asenteen, joka sopivan varovasti kyseenalaistaa etenkin digimaailmassa, mutta myös fyysisessä maailmassa tapahtuvat yhteydenotot? Tai mikä vielä parempaa, mikä suomalainen yritys tarjoaa ensimmäisen Suojelusenkeli 1.0 appsin tai palvelun, joka ystävällisesti varoittaa ja tarvittaessa ilman väkivaltaa estää minua mokailemasta laitteillani?
Haaste
Osa organisaatioista valittaa, kun meillä ei ole aikaa, osaamista ja resursseja kehittää henkilöstön osaamista. Löytyykö yhtä tuntia? Ilmoittautukaa Digi- ja väestötietoviraston yhdessä muiden viranomaisten ja toimijoiden (mm. Kyberturvallisuuskeskus, Suojelupoliisi, Tietosuojavaltuutetun toimisto) kanssa toteuttamalle Digiturvaviikolle 25.-29.10. Viikolla luvassa ohjelmaa henkilöstölle, johdolle ja etenkin meille kaikille. Keskiviikkona 27.10. pidetään Kansallinen Tietoturvapäivä, jonka päätteeksi Tietoturva ry luovuttaa Vuoden 2021 Tietoturvatunnustukset! Ja voin vinkata, hyvistä ehdokkaista EI OLE ylitarjontaa – ehdota 18.10. mennessä osoitteessa
Vai onko tilanne vaan niin huono, että meillä ei ole mitään palkitsemisen aiheisia tietoturvailmiötä, palveluita, tuotteita tai henkilöitä? Ei olla turhan vaatimattomia.
Kimmo Rousku
Tietoturva ry hallituksen jäsen, tietokirjailija, luennoitsija, VAHTI-pääsihteeri
@DVVfi
@kimmorousku
|