Pohjois-Suomen tietoturvallisuusverkosto

Tietoturvallisuuden hallinnan kansainvälisissä tietoturvallisuuden hallinnan standardeissa ISO/IEC 27000, joista on vastuullisena komitea ISO/IEC JTC1 SC27, on paljon seurattu laajemmin tunnettuja ja käytettyjä laadunhallinnan ISO 9000 -standardeja. Kuitenkin tietoturvallisuuden ja laadunhallinnan asiantuntijoiden välinen yhteistyö standardien käytännön soveltamisessa on jäänyt varsin heikoksi. Kuitenkin myös tieturvallisuuden hallinnassa pitäisi toimia laadukkaasti ja toisaalta laadunhallinnassa joudutaan paljon tekemisiin monenlaisen tiedon kanssa, jolloin myös tietoturvallisuudella on siinä yhteydessä yhä kasvava merkitys.

Tietoturvallisuus käsitteenä ja määritelmänsä mukaisesti yleinen käsite eikä ota huomioon kenen suhteen sitä sovelletaan. Asian selkiyttämiseksi voidaan hyödyntää myös yleisiä laadunhallinan käsitteitä. ISO 9000 mukainen laadun määritelmä on hyödyllinen myös tietoturvallisuuden yhteydessä. Laadulla tarkoitetaan sitä, missä määrin tarkasteltava kohde täyttää kaikkien sidosryhmien tarpeet ja odotukset. Tietoturvallisuuteen sovellettaessa laadun tavoitteleminen korostaa asianmukaisten ja tapauskohtaisten sidosryhmien aitojen tarpeiden ja odotusten selvittämistä ja tuntemista tietoturvallisuuden suhteen, ja sitten sen perusteella vaikuttavien ja tehokkaiden ratkaisujen toteuttamista. Tällä hetkellä tämä hyvin oleellinen näkökulma on ISO/IEC 27000 -standardien soveltamisessa vähintäänkin selkiytymätön.

Tietoturvallisuuden standardien soveltamisessa ei riitä vain "minimivaatimusten" toteuttaminen, ongelmiin varautuminen eikä keskinkertaisesti hyvä standardien soveltaminen. Tähän ei voi myöskään päästä vain reaktiivisilla turva/suojatoimenpiteillä. Välttämättömänä vaatimuksena on myönteinen erottuminen, differentioituminen, muista. Maailmalla tätä kutsutaan ekselenssiksi, ja siitä on hyviä esimerkkejä muilta aihealueilta. Erottuminen edellyttää innovatiivisia ja "käänteentekeviä" ratkaisuja (lean/disruptive information security management).

On suositeltavaa, että tietoturvallisuuden asiantuntijat paneutuisivat entistä syvällisemmin myös ISO 9000 -standardiperheen perusstandardeihin ISO 9001 ja ISO 9004. Nämä standardit ovat alunperin syntyneet jo 1980-luvulla, mutta nyt niistä on saatavilla varsin uudet neljännet revisiot vuosilta 2008 ja 2009.

==> Lue lisää ISO 9000 standardeista

Valolla tunnelin päässä voidaan tarkoittaa käännettä vakavista vaiheista positiivisempaan suuuntaan, käännettä parempaan. Mitään oikotietä onneen ei kuitenkaan ole, mutta kovalla työllä tietoturva-asioiden selkeyttämisestä on hyötyä monin tavoin koko yhteiskunnalle. Jos omaksutaan käänteentekevä innovaatiotoiminta myös tietoturvallisuudessa, voidaan välttää kovaa työtä ja tehdä asia luonnollisen helposti ja yksinkertaisesti.

==> Lue lisää

Tietotekniikan voimakkaan soveltamisen vuosiin on liitetty teknologiakylien perustamisia lähes jokaiseen niemen notkoon tai ainakin asutuskeskukseen.

==> Lue lisää

Olemme seuranneet mielihyvin tietoyhteiskuntakeskustelua 70-luvulta alkaen. Suomi menestyi erinomaisesti maailman kärkimaiden joukossa. Kunnes vaivuimme uneen. Herättyämme ihmettelemme, missä sarjassa Suomi oikein kamppailee Madagaskarin kanssa? Ja mihin suunnitteluspagettiin sotkeutui koko kehitys? Mitä pitäisi tehdä?

==> Lue lisää (Sähkö-Tele 8/12-2010) 

Maakuntalehden uutistoimittaja otsikoi artikkelinsa ”Asetelma päälaellaan” viime kesänä, kun voimayhtiö meni syyllistämään ihmisiä siitä, että he joko asuivat tai viettivät vapaa-aikaansa vesistön rannalla. Taistelu viimeisistä koskista on käynyt kuumana.

==> Lue lisää

Maailman liike-elämän ja politiikan johtajat kokoontuivat vuotuiseen World Economic Forum -neuvottelutilaisuuteen Davosiin Sveitsiin tammikuun 27.–31. päivinä 2010. Tämän vuoden teemana oli: ”Improve the State of the World: Rethinking, Redesign, Rebuild”. Useat tilaisuuden puhujat esittivät pelkän puhumisen lopettamista ja toimintaan ryhtymistä. Sveitsin presidentti Doris Leuthard, joka on myös talousneuvoston jäsen, vaati liike-elämän yhteisöä kuromaan umpeen retoriikan ja tosielämän välisen kuilun.

==> Lue lisää

Valtion IT –johtaja Yrjö Benson asetti syyskuussa 2009 seuraavien viiden vuoden tavoitteeksi yhtenäiset IT –käytännöt valtionhallinnossa. Euroopan tasolla on EU:n tavoitteena alkavalla vuosikymmenellä saada yhteiskunnallisen kehityksen keskeiseksi tekijäksi kunnianhimoinen eurooppalainen digitaalistrategia verkkopalvelujen ja -sisältöjen yhtenäismarkkinoiden toteuttamiseksi. Realismiako vai hurskaita toiveita?

==> Lue lisää

Ns. hallintastandardeista ovat tunnetuimpia kansainvälisten standardisointiorganisaatioiden, ISOn, IECn ja ITUn, toimesta laaditut yleiset standardit organisaatioiden johtamisen erityisaihealueita varten. Laajasti tunnettuja ja myös tunnustettuja ovat ISO 9000 –standardit laadunhallintaa ja ISO/IEC 27000 –standardit tietoturvallisuuden hallintaa varten. Näiden standardien käyttöön liittyy myös vaaroja organisaatioiden identiteetin kannalta, jos ei tunne standardien taustoja ja niiden laadintaprosessia eikä osaa soveltaa standardeja organisaatioitsekkäästi ja innovatiivisesti.

On edelleenkin organisaatioita, jotka rakentavat ja ylläpitävät erityisiä “toimintajärjestelmiä”, esimerkiksi tietoturvallisuuden hallintajärjestelmiä. Tällaista organisaatioille haitallista toimintaa jopa edistetään koulutuksella ja konsultoinnilla. On hyvin tavallista, että organisaatioiden eri johtamisalueita varten toteutetut hallintajärjestelmät (perustuen standardeihin tai muihin lähteisiin) ovat toisistaan erillisiä ja lisäksi erillään organisaation liiketoiminnan johtamisjärjestelmästä.

Sertifiointi vielä edelleenkin ohjaa organisaatioiden eri alojen hallintastandardien toteutuksia. Tähän liittyy vaaroina, että:
• johtamisen vastuuta siirretään ulkopuolisille,
• ulkopuolinen “kontrolli” (1980-luvun laatuajattelua) korvaa aitoja johtamistoimenpiteitä,
• standardinäkökulma katkaisee aidon toimittaja-asiakas-suhteen,
• organisaation bisnesnäkökulma hämärtyy standardiklausuuleihissa ja
• syntyy turhaa organisaatioille ylimääräistä rahastusta.

Jos aihe kiinnostaa syvällisemmin, tutustu siihen liittyvään kalvosarjaan.

Uuden liikennepolitiikan keskeisiä elementtejä ovat asiakaslähtöisyys ja innovatiivisuus. Ei riitä, että tehdään oikeita asioita, niitä on tehtävä oikein.

==> Lue lisää ...

Pitäisikö jo lopultakin siirtyä tietosuojauksen (= "tietoturvan") parissa askartelusta tietoturvallisuuden edistämiseen:

http://www.slideshare.net/rudydw/mobile-trends-2020

ISOn ja IECn puitteissa tehtyjä tietoturvallisuuden hallinnan standardeja ISO/IEC 27001/27002 ollaan paraikaa uudistamassa. Tässä yhteydessä ollaan tarkastelemassa myös asiaa laajemmin integroitujen hallintajärjestelmien näkökulmasta, kun asiaan liittyy standardien käytännön soveltamisessa paljon monenlaisia ongelmia. Näistä enemmän tietoa asiaan liittyvässä kalvosarjassa.

Nobelin taloustieteen palkinnon vuonna 2008 vastaanottanut Paul Krugman Princetonin yliopistosta vieraili Suomessa syyskuussa 2009. Hänen sanomansa oli, että taloudellinen alamäki on saavuttanut välitasanteen, mutta on varauduttava myös uuteen laskuun. Miten tässä voisivat standardit auttaa? Kenellä sitten on vastuu tulevaisuudesta?

==> Lue lisää ...

Järjestykseltään viides eurooppalainen kriisien hallinnan workshop toteutettiin Oulun yliopiston sähkö- ja tietotekniikan osastolla 17.12.2009.

 Tilaisuuden järjestäjinä olivat Juha Röning, Jorma Kajava ja Christian Wieser Oulun yliopistosta. Puhujina olivat Juha Röning (Oulu) [1], Gerald Quirchmayr (Wien) [2], Gregoire Soukiassian (Pariisi) [3], Reijo Savola (Oulu) [4] ja Juhani Anttila (Helsinki). Esitysten pääaiheet käsittivät riskien hallintaa, liiketoiminnan jatkuvuutta, tietoturvallisuusriskejä, mittausmenettelyjä ja -suureita sekä liiketoimintariskejä ja laadunhallintaa. Teknisen workshopin jälkeen avainhenkilöiden toimesta suunniteltiin tulevia tapahtumia. 

Workshopin lisäksi oli järjestetty osanottajille tutustumismahdollisuudet paikalliseen kulttuuriin, historiaan ja luontoon vierailemalla Oulun taidemuseossa (Pentti Kaskipuron ja Tapani Raittilan näyttely), Pohjois-Pohjanmaan maakuntamuseossa, Kierikin kiviaikakylässä ja Koitelin koskialueella.

Liike-elämän kehittämisessä voidaan saavuttaa tehokkuutta ja menestystä vain siirtymällä passiivisista rakenneuudistuksista aktiiviseen toiminnan kehittämiseen soveltamalla nykyaikaisia prosessiajattelun keinoja. Tietoturvallisuuden alueella sama ajattelutavan muutos on tarpeellista, ja on odotettavissa, että niin on myös muilla turvallisuussektoreilla.

==> Lue lisää …

Tietoturvallisuuden hallinta ja laadunhallinta nähdään yleisesti hyvin läheisiksi erikoisosaamisen alueiksi. Itse asiassa tietoturvallisuuden hallinnan kansainväliset standardit perustuvat laadunhallintastandardien kautta saatuihin kokemuksiin. Tietoturvallisuus voidaankin organisaatiotasolla nähdä laadun osa-alueena. valitettavasti monet tietoturvallisuuden asiantuntijat tuntevat puutteellisesti laatualueen periaatteita ja käytäntöjä.

Tutustumista varten on tässä linkki yhteen viimeaikaiseen luentoaineistooni liiketoimintaan integroidun laadunhallinnan perusteista. Monet esitelmän aineksista on sovellettavissa myös tietoturvallisuuden organisaatiokohtaisessa hallinnassa.

Pääministeri Matti Vanhasen I hallituksen ohjelma 24.6.2003 esitti vahvasti panostavansa tietoyhteiskuntakehityksen edistämiseen perustamalla pääministerin johtaman tietoyhteiskuntaneuvoston, joka oli erittäin vahvasti ja nimekkäästi resurssoitu. 

Mitä tällaisen panostuksen vaikutuksesta on tullut tulokseksi? EVA-raportin mukaan Suomi on tietoyhteiskuntakehityksessä pudonnut näinä vuosina maailman johtavista maista takapajulaksi. Voisiko jo olla aika kääntää ajatukset lautasteemoista todellisiin yhteiskunnan substanssikysymyksiin. Julkisella sektorilla tarvitaan yksi taho, jolla on selvä vetovastuu. Lisäksi tulisi ymmärtää, että kehitys ei onnistu menestyksellisesti vain julkisen vallan monopolisoidulla top-down-lähestymistavalla. Tarvitaan myös bottom-up-toimintaa hyödyntämällä sitä kadonnutta e-demokratiaa.

==> Lue lisää: Teksti 1, Teksti 2

Pohjoisen elämisen laatu on vahvasti sidoksissa yliopistojen työhön. Mielihyvin näkisimme Rovaniemen reivaavan kulttuuriaan nykyistä avoimempaan ja yrittämiseen kannustavaan suuntaan – Rovaniemen henkeen.

==> Lue lisää ... 

Viestintävirasto on laatinut toimenpideohjelman 3.11.2009 toteuttamaan Valtioneuvoston periaatepäätöstä kansalliseksi tietoturvastrategiaksi 4.12.2008. Tämän pohjalta olen seuraavassa koonnut keskustelua varten näkökulmia ja ehdotuksia toimenpideohjelman hankkeiden edistämiseksi. Toimenpideohjelma käsittää yhdeksän hanketta ja näihin on viitattu oheisessa tekstissä. Lisäksi on liitteenä aiheeseen liittyvänä linkkinä Suomen kommentti (enlanniksi) standardisointikomitealle ISO/IEC JTC1 SC 27 koskien tietoturvallisuuden hallinnan standardisointia.

1. Yleinen lähestymistapa ja standardisoinnin hyödyntäminen

Kansainvälisiä tietoturvallisuuden hallinnan ISO/IEC-standardeja pidetään arvostetuimpina referensseinä maailmanlaajuisesti tietoturvallisuusmenettelyjen kehittämiseksi kaikenlaisissa organisaatioissa. Juuri tällä hetkellä ollaan perustandardistoa ISO/IEC 27000 uudistamassa. Tästä oli marraskuun 2009 ensimmäisellä viikolla standardisoimiskomitean kokous Yhdysvalloissa Redmontissa. Suomi oli tätä kokousta varten valmistellut liitteessä esitetyn yhteenvedon mukaisen kannanoton. Tämä kannanotto otettiin kokouksessa vakavasti ja mielenkiinnolla vastaan. Suomi ja Ruotsi saivat tehtäväksi valmistella Suomen ehdotusten pohjalta jatkoesityksen hallintajärjestelmästandardisoinnista komitean seuraavaan kokoukseen. Tämä osoittaa, että meillä on mahdollisuudet saada perusteltuja ja kokemukseen pohjautuvia ajatuksiamme esille myös keskeisimmässä kansainvälisessä tietoturvallisuuden standardisoinnissa.

Edellä esitetty koskee hyvin oleellisesti hanketta 5. Suomen esittämiä näkökohtia tulisi saattaa tiedoksi ja sovellettavaksi myös Suomessa. Tässä voisivat olla avuksi myös muut hankkeet. Erityisen merkittävää suomalaisen standardisointiuskottavuuden kannalta olisi, että voisimme osoittaa, että näillä Suomen kannanotoilla on myös laaja kansallisen toimenpideohjelman tuki ja soveltaminen takanaan.

Tällä hetkellä suomalaisten asiantuntijoiden osallistuminen kansainväliseen standardisointityöhön on käytännössä resurssien kannalta hyvin heikkoa (esimerkiksi Ruotsiin varrattuna). Suomalaiset isotkaan julkiset tai yksityiset organisaatiot eivät halua osoittaa asiantuntijoita tällaiseen kansainväliseen työhön. Syinä on tullut esille raha- ja aikapula. Tämä täytyy tulkita siten, että kyseiset organisaatiot eivät sitten kuitenkaan todellisuudessa ole sitoutuneita vakavasti kehittämään ja toteuttamaan tietoturvallisuutta. Osaltaan haluttomuuteen kyllä myös vaikuttaa se, että Suomessa ei ole monia alan asiantuntijoita, joilla on kokemusta ja kielitaitoa osallistua tällaiseen kansainväliseen yhteistyöhön. Jos organisaatioista ei löydy osallistujia, niin toisaalta sellaiset henkilöt, joilla olisi ajan, asiantuntemuksen ja kokemuksen puolesta mahdollisuuksia mutta ei työnantajan mahdollistamaa rahoitusta, eivät myöskään voi osallistua. Yhden tyypillisen kansainvälisen standardisoimiskokouksen osallistumisen kustannukset yhdeltä henkilöltä voivat olla esimerkiksi 2000 euron luokkaa. Jos jostain voisi tähän –vaivaloisen anomisen kautta – saada esimerkiksi 700 euron kerta-apurahan, on kuitenkin 1300 euron maksaminen yksityishenkilön omasta pussista tällaiseen yleishyödylliseen toimintaan liiallista. Kuitenkin kansainvälinen standardisointityö on jatkuvaa toimintaa, jossa ei riitä vain kertaosallistumiset kokouksiin.

Merkittävä kysymys standardisointitoiminnan kannalta on myös kansallinen yhteistyö. Tällä hetkellä se on Suomessa osallistumisen kannalta heikkoa ja tehotonta. Nämä ovat tosiasioita, jotka tulisi ottaa vakavasti ja realistisesti esille hankkeessa 5.

Liitteessä esitetyt Suomen standardisoimiskommentin esittämät asiat sivuavat kuitenkin myös tämän toimenpideohjelman kaikkia muitakin hankkeita. Esimerkkeinä voisi tuoda esille seuraavaa:

- Miten hankkeissa 2, 3, 4 ja 9 hyödynnetään esimerkillisesti kansainvälisiä tietoturvallisuuden hallinnan standardeja? (Ks. liitteen kohdat ”General” ja ”ISO/IEC 27001 and ISO/IEC 27002 relationships”)
- Miten hankkeissa 1 ja 7 selkiytetään ja viestitään tietoturvallisuuden ydinperiaatteet ja peruskäsitteistö yleisesti ja yksikäsitteisesti ymmärrettävästi? (Ks. liitteen kohdat ”Guiding ISM principles” ja ”Concepts, terms and definitions”). Tuntuu esimerkiksi kummalliselta, että information security –käsitteen suomenkieliseksi vastineeksi on iskostunut tietoturva, vaikka oikeampi termi olisi tietoturvallisuus. Tietoturvallisuus on myönteisempi ja proaktiivisempi ilmaisu, kun taas turva tuo mieleen vain reaktiivisen ratkaisun jotain vastaan, jota lähinnä vastaa englannin sanaa safety. Securityn alkuperäinen merkitys tarkoittaa huoletonta olotilaa ja toimintaa (vrt. latinan sēcūrus huoleton = sē- (prefix) ilman, erossa + cūr(a) huoli + -us adjektiivi suffix). Tämä seikka on sikäli merkityksellinen, koska tietoturvallisuusaihe on saanut varsin negatiivisen sävyn ja sen yhteydessä ollaan aina vain varottelemassa jostakin pahasta. Käytännössähän tietoturvallisuus on hyvin myönteinen asia ja erityisesti tietoyhteiskunnan verkoissa on turvallista liikkua (vrt. aikaisempi kirjoituksemme tässä blogissa)
- Miten hankkeissa 2 ja 4 toteutetaan tietoturvallisuuden hallinnan integrointi organisaatioiden liiketoimintoihin tehokkaasti ja luonnollisella tavalla välttäen keinotekoisia ja erillisiä ratkaisuja? (Ks. liitteen kohdat ” PDCA” ja ” The process approach”.)

2. Yhteiskunnan toimijat ja valtioneuvoston kansallinen tietotuvallisuusstrategia
Kaikessa strategiatyössä on oleellista, että se joka strategioita laatii on ja voi olla myös täysin vastuussa niiden toteuttamisesta. Siten nimestään huolimatta valtioneuvoston vastuulla oleva kansallinen tietoturvallisuusstrategia ei voi kattaa koko laajaa kansallista toimijaympäristöä, vaan siinä voi esittää lähinnä strategisia ajatuksia tietoturvallisuustoiminnan edistämiseksi valtiokonsernin puitteissa, ts. hallituksessa ja sen välittömässä ohjausalueessa olevissa organisaatioissa. Itse asiassa tällaisessa strategiassa ei ole periaatteellisestikaan mahdollista esittää todellisesti koko kansallista tietoturvallisuusstrategiaa, koska merkittävä osa toimijoista on hallituksen suoran ohjauksen ulkopuolella. Tilanne on samankaltainen monissa muissakin kansallisia strategioita koskevissa hankkeissa. Viime aikoina on erityisesti keskusteltu Suomen kansallisesta innovaatio- ja IPR-strategiasta (ks. esimerkiksi linkki). Näistä muista hankkeista voisi ottaa oppia myös kansallisten tietoturvallisuushankkeiden yhteydessä. Innovaatio- ja IPR-strategioihin liittyy myös tärkeitä tietoturvallisuusnäkökohtia.

Yhteiskunnan merkittävät toimijat ovat itsenäisiä ja riippumattomia ja todelliset stratetegiat tehdään heidän itsensä toimesta heidän omien intressiensä ja kykyjensä mukaisesti. Ongelmakohtia ovat monesti eri organisaatioiden väliset rajapinnat. Eri toimijoiden tietoturvallisuuspolitiikkoja ei ole mahdollista mukauttaa kansallisesti yhtenäisiin strategisiin perusvalintoihin, koska kukin toimija tekee päätöksensä itsenäisesti omien todellisten intressiensä mukaisesti. Lisäksi hyvin monien suomalaisten toimijoiden sidosryhminä on muissa maissa ja kulttuureissa olevia organisaatioita ja resursseja (vrt. esimerkiksi partnering, outsoursing ja cloud computing).

Valtionhallinnon monilla yksiköillä on kuitenkin omat mahdollisuutensa myönteisesti vaikuttaa yhteiskunnan muiden toimijoiden tietoturvallisuustoimintoihin ja –käyttäytymiseen. Nämä mahdollisuudet pitäisikin vahvasti nostaa esille ja saada toteutetuiksi tällä toimenpideohjelmalla. Tosin ulkopuolista ihmetyttää myös valtionhallinnon sisällä oleva kahtiajakautuneisuus, kun valtiovarainministeriö on laatinut oman tekstinsä valtioneuvoston periaatepäätökseksi valtionhallinnon tietoturvallisuuden kehittämisestä (VAHTI 7/2009), jossa ei ole selviä linkkejä tähän kansalliseen tietoturvallisuusstrategiaan ja sen toimenpideohjelmaan. Tällainen toivottavasti vain näennäinen kahtijakautuneisuus pitäisi saada poistetuksi. Pitäisihän juuri valtionhallinnon olla esikuvallinen kansallisen tietoturvallisuusohjelman tukija ja soveltaja. Kuitenkin em. VAHTI-dokumentti toteaa vain: "Viestintävirasto toimii kansallisena tietoturvauhkia ja -loukkauksia käsittelevänä CERT-viranomaisena. … Kansallisella tietoturvastrategialla pyritään edistämään kansalaisten, elinkeinoelämän ja julkishallinnon luottamusta arjen tietoyhteiskunnan palveluiden turvallisuuteen."  

Vaikuttamisessa yhteiskunnan toimijoihin olisi hyödyllistä soveltaa verkostomaisen toiminnan periaatteita ja mahdollisuuksia sekä nykyaikaisia interaktiivisen tietotekniikan (sosiaalisen median) keinoja. Esimerkkeinä muilta aloilta, joiden kokemuksia kannattaisi hyödyntää, ovat muun muassa Tekes Tori ja Real Time Economy Community, joissa myös voitaisiin levittää tietoturvallisuustietoisuutta. Lisäksi yleiset Facebookin, LinkedInin ja monien muiden vastaavanlaisten verkostoyhteisöjen ryhmätoiminnot voisivat olla avuksi. Nuorison mukaan saamiseksi mahdollisuuksia voisi antaa IRC-Galleria. Näistä keinoista voisi olla hyötyä kaikissa valituissa hankkeissa.

3. Liiketoimintaintegraatio ja prosessit
Perinteisissä tietoturvallisuuden lähestymistavoissa, mitkä edelleenkin ovat vahvasti vallalla, on pääpainona ollut erillisten tietoturvallisuusjärjestelmien ja ratkaisujen toteuttaminen. Kuitenkin organisaatioissa tietoturvallisuus voi luonnollisella tavalla sekä vaikuttavasti ja tehokkaasti toteutua vain integroituina organisaatioiden normaaleihin operatiivisiin ja strategisiin toimintoihin, erityisesti koskien organisaatioiden johtamistoimintoja. Liiketoimintaintegraatiossa tulevat keskeisiksi tarkastelun kohteiksi organisaatioiden prosessit. Kansakunnanlaajuinen tietoturvallisuus ei voi toteutua vain rakenteita, työkaluja, sääntöjä ja säädöksiä sekä viranomaistoimintoja kehittämällä. Hyvin oleellisessa asemassa ovat prosessit, ts. miten ihmiset ja organisaatiot todella toimivat. Toimenpideohjelman hankkeissa ei ole mitenkään selkeästi otettu kantaa prosessinäkökulmaan. Aiheen tulisi sisältyä keskeisenä asiana jokaiseen hankkeeseen. Aiheesta on enemmän liitteessä olevassa standardisointia koskevan kommenttimme kohdassa ”The process approach”. Aiheeseen on myös viitteenä kirjoituksemme Sähkö&Tele-lehdessä. Prosessilähestymistavan kautta voitaisiin myös luonnollisella tavalla ottaa huomioon nykyaikaisen yhteiskuntamme monimutkaiset realiteetit, mikä on vielä varsin outoa toteutetuissa tietoturvallisuusratkaisuissa tai myös olevissa alan standardeissa. Viitteenä tähän on kirjoituksemme SFS-tiedotuksessa.

4. Ihminen ja kansalainen
Ihmis- ja kansalaisnäkökulma on toimenpideohjelmassa heikosti toteutettuna, vaikka sillä on arjen tietoyhteiskunnassa aivan keskeinen rooli ja vaikka kansalaiset mainitaan toimenpidehankkeissa useaan kertaan. Tämä näkökulma tulisi ottaa vakavasti huomioon jokaisessa hankkeessa. Yksilönäkökulma on myös vahvasti esillä pienyritysten tapauksissa. Ongelmana kuitenkin, että hankkeiden vastuu- ja osallistujaresurssit edustavat suuria organisaatioita. Miten tällaisessa tilanteessa voidaan saada kuuluville yksittäisten ihmisten ja kansalaisten äänet, jotka ovat hajallaan ympäri yhteiskuntaa? Esimerkiksi voin ottaa itseni, kun tässä elämäni vaiheessa ensijaisesti edustan sellaista yksilöä ja kansalaista ja varsin paljon ja monipuolisesti toimin ympärilläni olevassa tietoavaruudessa. Miten minun ja minunlaisteni tarpeet ja kokemukset voisivat tulla otetuiksi huomioon kyseisissä hankkeissa? Kuka on tästä vastuussa?

Tietoturvallisuustietoisuutta on tarkasteltu hankkeessa 1 varsin pinnallisesti ja lähinnä hallinnollisesta näkökulmasta. Tietoisuus on kuitenkin hyvin syvällinen, monimutkainen ja monivivahteinen ilmiö. Tietoisuus ja siihen liittyvät oppiminen, osaaminen ja sitoutuminen eivät voi kehittyä vain kouluttamalla tai ohjeistamalla. Itse asiassa nykykäsityksen mukaisesti 80% tästä toteutuu informaalisesti. Tämä tulisi ottaa vakavasti huomioon hankkeen 1 toteutuksessa. Tehokkaana ratkaisuna olisi hyödyntää sosiaalisen median keinoja monipuolisesti (vrt. edellä verkostomainen toiminta). Eri henkilöryhmät tarvitsevat lisäksi erilailla tietoisuutta tietoturvallisuudesta (ks. lisäaineistoa teemaan).

LIITE
Comments of Finland for revision of the ISO/IEC 27001/27002 standards

Tietoturvallisuus- ja tietosuoja-aihe ei mene eteenpäin askartelemalla vain teknisten aiheiden kanssa ja ja toimimalla suljetuissa piireissä. Meidän tulisi näyttää esimerkkiä siitä, miten kiinnostuneita ja sitoutuneita olemme ammattiaiheestamme. Tämä tapahtuu vaikuttavimmin ja tehokkaimmin menemällä mukaan reaalimaailmaan, missä muutkin ihmiset ovat. Tätä edustaa tänään sosiaalinen netti (social web), jossa erityisesti Facebook on voimakkaasti johdossa.

Tällä hetkellä Facebookissa on suorastaan tyhjiö tietoturvallisuuden aiheista. Olemme kuitenkin luoneet sinne pienen idun, Tietoturvallisuus-sivuston. Tulkaa mukaan sivuston faneiksi!

Maailman tapahtumat virtaavat ympärillämme reaaliajassa ja meistä riippumattomasti. Mikä on turvallisuuspolitiikkamme? Sulkeudummeko kammioomme ja vielä vedämme verkot tiiviisti ikkunoiden eteen, jotta emme näkisi mitä siellä koko ajan tapahtuu. Entä jos kuitenkin pikkasen tirkistelisimme:


Vai olisiko sittenkin turvallisempaa ja parempaa mennä mukaan vaikuttamaan maailman realiteetteihin?

Julkisen hallinnon tulisi aloittaa itsestään omalla kollaboratiivisella ja innovatiivisesti demokraattisella toimintaympäristöllään (collaborative platform) eikä vain määritellä hurskaita toiveita muille. (Viite Don Tapscott)

Tuntuu kummalliselta, että information security –käsitteen suomenkieliseksi vastineeksi on iskostunut tietoturva, vaikka oikeampi termi olisi tietoturvallisuus. Tietoturvallisuus on myönteisempi ja proaktiivisempi ilmaisu, kun taas turva tuo mieleen vain reaktiivisen ratkaisun jotain vastaan, jota lähinnä vastaa englannin sanaa safety. Securityn alkuperäinen merkitys tarkoittaa huoletonta olotilaa ja toimintaa (vrt. latinan sēcūrus huoleton = sē- (prefix) ilman, erossa + cūr(a) huoli + -us adjektiivi suffix). Tämä seikka on sikäli merkityksellinen, koska tietoturvallisuusaihe on saanut varsin negatiivisen sävyn ja sen yhteydessä ollaan aina vain varottelemassa jostakin pahasta. Käytännössähän tietoturvallisuus on hyvin myönteinen asia ja erityisesti tietoyhteiskunnan verkoissa on turvallista liikkua (vrt. kirjoituksemme).

Lapin yliopiston arktisen keskuksen 20-vuotisjuhlassa 29.9.2009 tuli esille ajatus tämän kansainvälisen tiedekeskuksen laajentamisesta EU:n tasolle. Paikallisen menestystarinan lisäksi ajatus nojautuu EU:n tiedonantoon syksyltä 2008, jossa ehdotetaan eurooppalaisen arktisen informaatiokeskuksen perustamista.

==> Lue lisää ...

Vaikka standardit auttavat, niin ne ovat samalla laaja ja vaativa alue. Siksi nuorten saaminen toimintaan mukaan on tärkeää.

==> Lue lisää ...

Tietoturvallisuus ammattilaisten tavoitteena tulisi olla proaktiivinen organisaatioiden, yhteiskunnan ja kansalaisten ammattimainen palveleminen nyt ja myös tulevaisuudessa. Tässä mielessä meidän tulisi periaatteillamme ja menetelmillämme seurata yleistä kehittymistä tietotoiminnassa. Mistä löytyisi tähän hyvä perusta ja näkemys tulevaisuuden haasteista? Mikä tulisi olla skenaariomme ammattialueemme kehittämiseksi? Mitä uusia menetelmäratkaisuja tähän tarvittaisiin?

Vrt. seuraava YouTube-katsaus:

... ja Suomessa:

http://news.cnet.com/8301-17939_109-10374831-2.html
http://network.nationalpost.com/np/blogs/posted/archive/2009/10/15/finland-makes-broadband-internet-a-legal-right.aspx 

Keskustelussa standardeista on korostettu niiden käyttöä ja siitä saatavaa hyötyä. Saksalaiset ovat arvioineet tätä ja saaneet vaikutukseksi yhden prosentin koko bruttokansantuotteesta. Laajan tutkimuksen mukaan standardien vaikutus on suurempi kuin patenteilla ja lisensseillä. Mikä mahtaa olla hyöty tietoturvallisuuden hallinnan standardeista?

==> Lue lisää ...

Vaikka sisulla ja sinnikkyydellä on selviydytty aikaisemmista talouskriiseistä, niin nyt tarvitaan uudenlaista venymiskykyä, jotta selvittäisiin käsillä olevasta tilanteesta ja pärjättäisiin seuraavan aikakauden työskentelyavaruudessa.

==> Lue lisää ...

Standardisoinnin yleinen tarkoitus tähtää parempiin tuotteisiin, pienempiin tuotanto- ja käyttökustannuksiin sekä ihmisten ja organisaatioiden välisen kanssakäymisen helpottumiseen ja samalla myös paremman turvallisuuden aikaansaamiseen. Tietoturvallisuuden hallinnan standardeilla tähdätään organisaatioiden toiminnan tai tuotteiden tietoturvallisuuden odotusten ja tarpeiden täyttämiseen ja suorituskyvyn parantamiseen.

==> Lue lisää ...

Standardisointi on laajin ja monipuolisin vapaaehtoinen organisaatioiden kansainvälisen yhteistyön muoto, joten sillä on merkittävä vaikutus organisaatioiden välisessä kanssakäymisessä ja toiminnan kehittämisessä sekä myös ristiriitojen ehkäisemisessä ja lievittämisessä. Tämä on haasteena myös tietoturvallisuuden standardisoinnille.

==> Lue lisää ...

Kun tietotekniikka mikrotietokoneiden yleistyessä otettiin laajaan käyttöön myös pk-yrityksissä 1980-luvun alussa, ajateltiin paperin käytön hiipuvan.

==> Lue lisää ...

Numeroilla leikkiminen on vaarallista peliä. Ne antavat suunnan, mutta mennäänkö oikeaan vai väärään?

==> Lue lisää ...

Tässä tilanteessa oleellista on pystyä uudistumaan, kilpailla parhaista osaajista, yrityksistä, asiakkaista, verkostoista ja rahoittajista.

==> Lue lisää ...

Vuosittain kirjoittajat saattavat joutua tilanteeseen, jossa joku ulkopuolinen muuttaa tekstiä oman makunsa mukaan. On tekstejä,joiden laatu paranee ammattitaitoisen henkilön ohjauksessa. Mutta miten mahtaa olla asiantuntija-artikkelin kohdalla?

==> Lue lisää ...

Tiedon valtaväylänä internet on tämän päivän arjen tietoyhteiskunnan toimintaympäristö ja välttämättömyyshyödyke. Internet on arjessamme kaikessa läsnä ja lisäksi sen suhteen on vielä rajattomasti hyödyntämättömiä mahdollisuuksia. Internet on turvallisempi ympäristö kuin monet muut yhteiskuntamme yleisistä toimintakentistä, kun siellä osaa liikkua.

==> Lue lisää ...

Keskustelua avoimista ohjelmista, järjestelmistä, viihteestä ja tietoaineistoista on käyty pitkään. Se on kiteytynyt esimerkiksi keskusteluun Microsoftin ylivallasta, tekijänoikeuksista ja julkaisupolitiikasta netissä. Professori David Wiley Brigham Young yliopistosta totesi huhtikuussa 2009, että ne yliopistot, jotka eivät lähde avoimeen toimintaan, ovat tarpeettomia vuoteen 2020 mennessä.   

==> Lue lisää (Lapin Kansa 16.8.2009) 

Eikö valtion turvallisuuteen liittyvät tietoaineistot ole vieläkin tärkeämpiä kuin yksittäisen liiketoimintaa harjoittavan yrityksen aineistot? Eikö niitä olisi suojeltava monin verroin tarkemmin kuin liiketoiminnan vastaavia aineistoja?

==> Lue lisää ...

Nykyaikaisissa liiketoimintaolosuhteissa ja erityisesti toimittaessa maailmanlaajuisesti ja hyödyntämällä laajamittaisesti sähköisen tietoteknologian keinoja on tietoturvallisuuden merkitys korostunut kaikenlaisten organisaatioiden ja yksilöiden toiminnassa. Tietoturvallisuus voi käytännössä toteutua vain siten, että rganisaatioiden todellinen toiminta – toisin sanoen organisaatioiden liiketoimintaprosessit – ovat aidosti ja asianmukaisesti hallinnassa. Tämä koskee kaikenlaisia organisaatioita, pieniä ja suuria yrityksiä, julkisorganisaatioita ja kolmannen sektorin organisaatioita.

==> Lue lisää: Osa 1 ja Osa 2

Kirjallisuutta

1. Anttila, J. (1998): Managing and assuring information security in integration with the business management of a company. In Jan HP Eloff and Rossow von Solms (editors): Information security, Small systems security & information security management, Volume 2. IFIP TC 11 Wg 11.1. Vienna – Budapest. http://qualityintegration.biz/Tonava.html
2. Anttila, J. (2008): Managing business processes. http://qualityintegration.biz/BusinessProcessManagement.html
3. Anttila, J., Kajava, J., Varonen, R. (2007): General managerial tools for business-integrated information security management. Julkaisussa Lindfors, J. (ed.). Applied information technology research - Articles by co-operative science network. University of Lapland, Department of research methodology. Reports, Essays and working papers 2, Rovaniemi.
4. Anttila, J., Kajava, J., Varonen, R. (2004): Balanced Integration of Information Security into Business Management. In Ralf Steinmetz, Andreas Mauthe (eds.): EUROMICRO 2004. Rennes, France. IEEE Computer Society, IEEE. Los Alamitos, California, USA. http://qualityintegration.biz/Rennes2004.html
5. Anttila, J. Kajava, J. Varonen, R. Quirchmayr, G. (2008): Business Integrated Information Security Management. In Lopez, J., Furnell, S., Katsikas, S., and Patel, A. (eds.): Securing Information and Communication Systems: Principles, Technologies, and Applications. Chapter 3. Artech House. Boston|London.
6. Anttila, J., Kajava, J. (2004): Tietoturvallisuus – Tietoturvallisuus on arkipäiväisen luonnollinen mutta ei mikään yksinkertainen asia. Sähkö & Tele, Vol. 77 nro 8/2004. Sähköinsinööriliitto ry. Helsinki.
7. Kajava, J., Anttila, J., Savola, R., Röning, J. (2005): Tietoturvan hallinnan standardien merkitys maailmanlaajuisessa liiketoiminnassa ja yhteistyössä. SFS–Tiedotus. Vol. 37 nro 6/2005. Helsinki.
8. Anttila, J., Kajava, J. (2006): PDCA –malli tietoturvallisuuden integroinnissa organisaation liiketoiminnan johtamiseen. SFS–Tiedotus. Vol. 38 nro 2/2006. Helsinki.
9. Kajava, J., Anttila, J. (2008): Tietoturvallisuuden hallinnan standardit ja menettelyohjeet – kehittyminen ja hyödyntäminen. SFS–Tiedotus. Vol. 40 nro 3/2008. Helsinki.
10. Anttila, J., Kajava, J. (2008): Miten standardit syntyvät ja miten ne muuttuvat käytännöiksi – näkökulmana tietoturvallisuuden hallinta. SFS–Tiedotus. Vol. 40 nro 5/2008. Helsinki.
11. Stacey, R. (2002): Organizations as complex responsive processes of relating. Journal of Innovative Management. Vol. 8, No. 2. Salem. USA.
12. Stacey, R. (2002): The Stacey Matrix. http://www.gp-training.net/training/communication_skills/consultation/equipoise/complexity/stacey.htm
13. Naidoo, M. (2005): I am because we are (A never ending story). The emergence of a living theory of inclusional and responsive practice. http://www.actionresearch.net/naidoo.shtml
14. ISO/IEC (2005): ISO/IEC 27000, Tietoturvallisuuden hallinnan standardiperhe. Geneve
15. ISO (2000...2008): ISO 9000, Laadunhallinnan standardiperhe. Geneve.
16. Rummler, G. Brace, A. (1990): Improving performance. Jossey-Brass Publishers. San Francisco.
17. Nevanlinna, R. (1976): Muisteltua. Otava. Helsinki.

Vaikka tietoturvallisuudesta puhutaan väärinkäytösten ja rikosten yhteydessä, kyseessä on pohjimmiltaan myönteinen asia, jonka avulla rakennetaan luottamusta. Jokainen tietoturvaan liittyvä ongelma on ainutkertainen ja ainutlaatuinen. Tietotekniikan ammattilaiset odottavat, että rikolliset löytävät kehittyvästä tekniikasta uusia keinoja rikosten suorittamiseen ja toimivat reaktiivisesti. Todellisen turvan saa kuitenkin vain ottamalla turvallisuusratkaisut huomioon laitteiston, järjestelmän tai liiketoiminnan proaktiivisella suunnittelulla, siis integroimalla tietoturva osaksi kokonaisuutta.

==> Lue lisää ...

Lasten turvallisuuden kannalta olemme lähtöruudussa. Kauniit ohjelmat osoittautuvat hurskasteluksi, toimenpiteisiin on tartuttava heti eikä toukokuun 18 päivänä.

== > Lue lisää ...

Liikenteessä olemme jo keskellä kameraviidakkoa ja kontrolleja. Nyt on syytä pohtia, kuka ohjaa, jopa kontrolloi toimintaa.

== > Lue lisää ...

Kun tietotekniikka mikrotietokoneiden yleistyessä otettiin laajaan käyttöön organisaatioissa, ajateltiin paperin käytön hiipuvan. Pitkässä juoksussa bitit ovat voittamassa. Toistaiseksi on edetty ottaen askeleita eteenpäin, mutta samalla myös takaisinpäin. Kysymys bitit versus paperi on vain jäävuoren huippu. Ydinkysymys on se, miten yhä paisuvia tietomääriä pystytään hallitsemaan.

==> Lue lisää ...

Organisaatioiden toimintojen kokonaisvaltaista johtamista tarkastellaan ammattimaisesti liiketoimintaprosessien hallinnan avulla. Prosessien kautta saadaan myös tietoturvallisuuden saumaton integrointi liiketoiminnan johtamiseen. Organisaatioissa tietoturvallisuutta ei voi saavuttaa liiketoiminnasta erillisillä tietoturvallisuustoimenpiteillä tai -järjestelmillä. Painopisteen siirtäminen rakenteista prosesseihin edellyttää perinteisten organisaation johtamistapojen ja tietoturvallisuusperiaatteiden radikaalia uudistamista.

==> Lue lisää ...

Ihmiset ovat tottuneet pitämään kiinni kaikesta omistamastaan estääkseen sen joutumisen väärinkäytösten kohteeksi. Tämän päivän tietoyhteiskunnan verkostoissa henkilö- ja pankkitilitunnuksista on tullut rikollisten tavoittelemia ja rahaan rinnastettavia kohteita. Toiminta on organisoitu ammattimaisesti. Miten tähän tulisi suhtautua koko kansakunnan sekä sen organisaatioiden ja kansalaisten tietoturvallisuuden ja sen hallinnan kannalta?

==> Lue lisää ...

Osaamalla liikennesäännöt on tiedon valtaväylilläkin turvallista liikkua ja toimia. Tilanne vastaa vähintäänkin muita yleisiä toimintaympäristöjä – maanteitä, ilmateitä ja vesiteitä. Internet kuitenkin antaa enemmän mahdollisuuksia. Siitä on tullut yhteiskunnan toimijoiden, yksilöiden ja organisaatioiden jokapäiväinen toimintakenttä. Se kattaa yhteiskunnan toimintojen koko kirjon. Samoin kuin muillakin alueilla, sielläkin on mukana monenlaisia toimijoita, joiden käyttäytyminen täytyy ottaa huomioon.

==> Lue Lisää ...

Internetin palvelut antavat rajattomia mahdollisuuksia kaikille organisaatioille ja yksilöille. Monia yhteiskunnan kriittisiä perusrakenteita ohjataan internetin kautta. Arkinen nettielämä on turvallista.

==> Lue lisää …

Tiedon valtaväylänä Internet on tämän päivän arjen tietoyhteiskunnan toimintaympäristö ja välttämättömyyshyödyke. Internet on arjessamme kaikessa läsnä ja lisäksi sen suhteen on vielä rajattomasti hyödyntämättömiä mahdollisuuksia. Internet on turvallisempi ympäristö kuin monet muut yhteiskuntamme yleisistä toimintakentistä, kun siinä osaa liikkua. Aivan samoin kuin muillakin alueilla, siellä on mukana monenlaisia toimijoita, joiden mahdollisesti haitallinen käyttäytyminen täytyy ottaa huomioon.

==> Lue lisää ...

Tietoturvallisuuden kannalta tiedon valtaväylillä tiedon saatavuus, tiedon oikeellisuus ja tiedon luottamuksellisuus antavat ylivertaisia ja uusia mahdollisuuksia.

==> Lue Lisää …

Saksasta kantautuu vakavia viestejä juuri joulunaluspäivinä. Yli 21 miljoonan saksalaisen henkilö- ja tilitiedot ovat päätyneet epämääräisiä teitä myyntiin pimeille markkinoille. Tätä laitonta tietopakettia kaupitellaan noin 12 miljoonan euron hintaan. Missä turvallisuudessamme on heikko lenkki?

==> Lue Lisää …

50-vuotiaan Oulun yliopiston juhlavuoden tilaisuuksiin Iiittyi toukokuussa 2008 OpinTori -tapahtuma. Sen tavoitteena oli levittää opetuksen, ohjauksen ja opiskelun hyviä käytäntöjä sekä lisätä opetuksen arvostusta ja edistää opettajien mahdolIisuutta meritoitua opetuksen kehittämistyössä.

==> Lue lisää Teksti 1 Teksti 2

New technology has continuously changed the face of computing, and each change has involved an improvement in computer architecture and information processing. There are strong indications that the next paradigm shift in information technology will be kicked off by tiny radio frequency identification tags (RFID tags). These lowly devices are being ushered in by corporations like Wal-Mart to facilitate business logistics, but other uses are waiting in the wings. As usual with any technology, criminally-minded individuals have been quick to exploit smart tags for their own purposes. Thus, it is in place to take a look at the dark side of RFID technology to see how it may affect the security and privacy of citizens.

The following two articles of Jorma Kajava, Juhani Anttila and Rauno Varonen on this topic:

• Radio frequency identification as a challenge to information security and privacy
• The dark side of rfid – New challenges for information security and privacy
  

were included in two large handbooks and encyclopedia of IGI Global (IdeaGroup, Inc.):

• Encyclopedia of Digital Government (3 Volumes) 2007
• Information Security and Ethics: Concepts, Methodologies, Tools, and Applications (6 Volumes) 2008

This topic has been considered also in Finnish in a previous blog post.

The book was published by Artech House, Boston/London in 2008. The experts that contributed to this book come from a wide range of backgrounds. Many of them have also been active in the events of our information security network of the Northern Finland. The writers have endeavored to provide up-to-date information addressing security and related emerging technologies from all of its facets - mathematical, engineering, legal, social, privacy and forensics, education, training awareness, and managerial, which includes chapters on the following:

• Basics of security concepts, services, and threats
• Models for quality of the business integrated information security management
• Principles of user authentication technologies
• Principles of authorization and access control and their applications
• Security of data-centric applications
• Principles of modern cryptology and new research challenges in this field
• Network security and its dynamics
• Public key and privilege management infrastructures
• Architectural and functional characteristics of smart cards and similar tokens
• Privacy issues and privacy-enhancing technologies from legal and technical perspectives
• Legal and technical issues relating to secure content-filtering technologies
• A model for cybercrime investigations for forensic examination and presentation
• Systemic-holistic approach to IT security with subjective details based on objective knowledge
• Secure electronic voting systems using cryptology models and protocols
• Requirements and architecture for mobile wiki systems security

Chapter 3 in the book (pages 21 ... 34) on “Business-integrated information security management” was made by Juhani Anttila, Jorma Kajava, Rauno Varonen and Gerald Quirchmayr.

This topic has also been considered in Finnish and in English in two previous blog posts: #1 and #2

Teollisuudessa siirtyminen massatuotantoon merkitsee myös sitä, että yksittäiset tuotteen osat voidaan tilata ulkopuoliselta yritykseltä alihankintana. Seuraava vaihe on hajauttaa myös palvelut, ulkoistaa jonkun palvelun tuotanto siihen erikoistuneelle organisaatiolle. Tästä seuraa kuitenkin myös merkittäviä haasteita tietoturvallisuuden hallinnalle.

==> Lue lisää ...

Tietoturvan mittaamisessa prosessiajattelulla on tärkeä osuus. Myös ihminen, hänen ymmätämyksensä ja tuntemuksensa ovat oleellisia tässä mittaustehtävdssä. Mittauksilla ei tavoitella tiukentuvia kontrolleja vaan elämisen arvoista yhteiskuntaa.

==> Lue lisää ...

Tietoturvalla ja paperikoneteknologialla ei pikaisella tarkastelulla näyttäisi olevan erityisti yhteistä mielenkiintoa. Paperikoneteknologialla pystytään tuottamaan paperin lisäksi esimerkiksi edullisia RFID-tarroja ja aurinkokennoja. Tuotanto ja tuotettavat tuotteet ovat hallittavissa vain tuotantoprosessien ohjauksen kautta. Miten organisaatioiden toiminnassa saadaan toteutetuksi haluttu tietoturvalIisuus?

==> Lue lisää …

Perinteisesti työnteko Suomessa on ollut konkreettisiin tulostavoitteisiin tähtäävää toimintaa. Tietotyössä tulokset ovat usein abstraktissa muodossa, esimerkiksi tutkimuksia, suunnitelmia ja sovellusohjelmia, ja siten perinteisen tuotannollisen työn tuloksista poikkeavia. Erityisen merkityksellistä tietotyötä on toiminnan johtaminen. Tietoturvallisuuskysymykset tulevat merkityksellisiksi tietotyön ulkoistamisessa jopa kaukomaille. 90-luvun alussa opittiin, ettei pelkkä paperien käsittely riitä kansakunnan ravitsemiseen. Riittääkö nykytilanteessa osaamisemme tietotyössä pitämään elinkeinoelämämme organisaatiot kilpailukykyisinä ja yritykset kotimaassa? Miten toiminnan laajeneminen Barentsin alueella heijastuu tiedon ja osaamisen kysyntään Pohjois-Suomessa ja onko siihen voimavaroja vastata niin yhteistyökyvykkyyden kuin tuotannon volyymin kannalta?

==> Lue lisää …

In Finland, work has traditionally focused on concrete objectives. In knowledge work, the outcomes are very often abstract in form – research results, plans, and software applications - and thus deviate from what is expected in traditional production. One wholly singular form of knowledge work is management. Information security questions become important in oursourcing knowledge work even to faraway countries. The early 1990s taught us that merely processing paper documents is not enough to feed a nation. But, are our competencies in knowledge work today enough to keep Finnish business competitive and keep Finnish companies in Finland? How will the growth we see in the Barents Region be reflected in the demand for knowledge and know-how in Northern Finland? Do we have the resources with networking capability in the scale required?

==> Read more … (see pages 49 ... 55)

Tietoturvallisuus on arkipäiväisen luonnollinen mutta ei mikään yksinkertainen asia. Tietoturvallisuus on viime aikoina ollut usein julkisuudessa esillä. Sitä koskevissa kannanotoissa ja kirjoituksissa ovat kuitenkin korostuneet tietotekniikan näkökulmat, alan standardit, viranomaismääräykset ja suositukset sekä asiantuntijakäsitteet. Lisäksi on tuotu ensisijaisesti esille negatiivisia seikkoja, puutteellisesta tietoturvallisuudesta aiheutuneita harmeja yksilöille ja organisaatioille. Näitä kaikkia aiheita on varmasti syytä käsitellä, mutta kuitenkin perimmältään tietoturvallisuus on arkipäiväinen ja luonnollinen sekä pääasiallisesti myönteisiä piirteitä käsittävä asiakokonaisuus.

==> Lue lisää: Teksti 1 Teksti 2

Tietoturvan kompetensseista puhuminen on arveluttavaa.

Lue kuitenkin lisää …

Vain muutamasta prosentista aloittajia syntyy todellisia menestyjiä. Muut joutuvat palaamaan lähtöpisteeseensä.

==> Lue lisää …

Tietoturvallisuudessa on keskeisimpiä aiheita tietojen luottamuksellisuus. Tämä tarkoittaa sitä, että tietoaineistojen sisällöt ovat vain aineistoihin oikeutettujen saatavilla eikä niitä paljasteta muille. Jos ulkopuolinen pääsee käsiksi turvaluokiteltuun tietoaineistoon, niin aineiston luottamuksellisuus on rikkoutunut.

==> Lue lisää Teksti 1 Teksti 2

Sinun yksityisyytesi saattaa kiinnostaa jotakuta – ehkä vain huvin vuoksi. Entä jos siitä on jotain hyötyä toiselle? Tai jos joku ei pidä sinun tavastasi toimia siten kuin toimit ja mahdollisesti harkitsee toimenpiteitä siihen vaikuttamiseksi tavalla tai toisella.

Ovatko kaikkialle levinneet nettikamerat yksityisyytemme uhkana? Onko meillä enää yksityisyyttä? Ovatko uudet palvelut kaksimielistä yksityisyyttä?

Yksityisyys on perinteisissä tietoturvallisuustarkasteluissa valitettavasti jäänyt lapsipuolen asemaan, vaikka se on kaiken tietoturvallisuuden ydinasia.

==> Lue lisää: Teksti 1 Teksti 2 Teksti 3

Vuosien takainen ystävämme esitti hiljakkoin kysymyksen, miksi tietoturvallisuudesta ei puhuta selkokielellä. Kysymys tuntui selkeältä, mutta vastausta siihen ei ole helppo antaa. Kuitenkin aihe on merkittävä arjen tietoyhteiskunnassa niin organisaatioiden kuin yksittäisten kansalaistenkin kohdalla.

==> Lue lisää …

Tietoturvallisuuden hallinnassa ovat yleiset standardit ja organisaation johtamisen toimintamallit hyödyllisiä liiketoimintoihin integroituja tietoturvaratkaisuja kehitettäessä ja toteutettaessa yhteistyötä eri organisaatioiden kesken. Oleellista on kuitenkin, että kyseiset standardit ja mallit ymmärretään oikein ja niitä sovelletaan vaikuttavasti ja tehokkaasti organisaatioiden omien liiketoimintatarpeiden ja odotusten mukaisesti.

Tietoturvallisuuden hallinnan käytännön toteuttamista varten ovat erityisesti PDCA -malli ja prosessimalli tulleet suosituiksi. Näihin myös vahvasti perustuvat tietoturvallisuuden hallinnan yleiset perusstandardit (ISO/IEC 27000 standardiperhe). Näiden mallien avulla tietoturvallisuuden hallinta voidaan toteuttaa osana organisaation yleistä johtamisjärjestelmää, toisin sanoen integroituna organisaation liiketoiminnan johtamiseen.

PDCA-malli ja prosessimalli ovat kauan käytettyjä ja kehittyneitä kaikenlaisten organisaatioiden yleisiä johtamisen perusmalleista. Mallit ovat varsin yksinkertaisia mutta samalla myös antoisia nykyaikaisissakin liiketoimintaolosuhteissa. Kuitenkaan kyseisten mallien kaikkia mahdollisuuksia ei osata hyödyntää ja niistä on vallalla paljon jopa virheellisiä käsityksiä.

==>Lue lisää Teksti 1 Teksti 2 Teksti 3

Two methodological frameworks, the PDCA Model (PDCA: Plan - Do - Check - Act) and the Process Management Model are basic elements in the newest international standardization of information security management. Both models were originally developed for overall business management in any type of organization, and entered information security management through the ISO 9000 standards for quality management These models offer multifarious possibilities for information security management that is seamlessly integrated (embedded) with general business management activities. In any case also all relevant aspects of modern business environments should be understood and considered in the context of these models and information security management.

==> Read more ...

Kaiken standardisoinnin yleiset tarkoitukset tähtäävät:
- Parempiin tuotteisiin
- Pienempiin tuotantokustannuksiin
- Ihmisten ja organisaatioiden välisen kanssakäymisen helpottumiseen

Kaikki nämä näkohdat ovat myös yhteydessä paremman tietoturvallisuuden aikaansaamiseen.

==> Lue lisää …

Information security-related issues are assuming an increasingly important role in our society. These issues, however, have a surprisingly dualistic nature: Almost everyone seems to be somehow familiar with them, but very few have a deeper understanding. Due to its multifaceted nature, information security should not be regarded as a separate concern. It is deeply intertwined with a multitude of business-related and societal functions. Of particular interest here is the integration, or embedding of information security into real business processes. The significance of information security standards for global business and industry should be understood. The role of security management should be analyzed against the changing situation of the global market. A security management approach applying international standards, enables companies - and also other organizations - to carry out their business and cooperate globally.

==> Read more …

Tapasimme eurooppalaiskollegojamme, jotka kertoivat, että kiire työnteossa on ottanut vallan. Kun aamulla tulee kahdeksalta töihin, niin töitä jatkuu iltakymmeneen. Silti ei ehdi päivän työaikana myöhään iltaan tehdä muuta kuin kyseisen päivän kiireelliset ja pakolliset työt. Ja kiire jatkuu myös sen jälkeen. Kun henkilö poistuu työpaikalta, hän taittaa kannettavan kainaloonsa ja jatkaa työskentelyä kotonaan aamukahteen. Myös viikonvaihteessa tahtoo olla samanlaista. Kansainvälisesti verkottuneella ystävällämme on yhteistyökumppaneita ympäri maailmaa kaikilla aikavyöhykkeillä. Jos edellä kuvattu liittyisi jonkun yrittäjän päivän työnkuvaan, se olisi helpompi ymmärtää. Mutta kun se tapahtuu johtavassa asemassa tai huippuasiantuntijana olevalle henkilölle yliopistossa, niin se panee miettimään kiireen hintaa. Jos työpanos käytetään täysin arjen rutiinien pyörittämiseen, niin silloin ei jää aikaa uudistumiselle.

Miten kiire vaikuttaa organisaatioiden tietoturvallisuudessa?

==> Lue lisää Teksti 1 Teksti 2

Yhteiskunnassamme on runsaasti todellista ja potentiaalista tietoa, jonka avulla yritystoimija voi ohjata toimintaansa entistä parempien tulosten aikaansaamiseksi. Ympärillämme monista eri lähteistä tulevat erilaiset informaatiosignaalit edustavat dataa, jota voimme analysoida ja sen pohjalta tehdä johtopäätöksiä toimintatilanteemme mukaisesti. Mitä sitten heikot signaalit sanovat tietoturvallisuudesta?

==>Lue lisää Teksti 1 Teksti 2

Radiotaajuinen tunnistaminen (RFID, Radio Frequency Identification) on ollut käytössä pitkään useissa erikoissovelluksissa. Nyt kuitenkin uudet yksinkertaiset ja halvat passiiviset RFID-komponentit sieppaavat tehon sieltä, missä sitä on saatavana. Nämä uudet tietotekniikan miniatyyriratkaisut tuovat paitsi uusia mahdollisuuksia myös ennalta arvaamattomia uhkia. Niillä on tarkoitettu tuomaan säästöjä logistiikkaan, mutta samalla ne soveltuvat erittäin hyvin turvallisuutta edistäviksi komponentiksi. Yhtä hyvin ne soveltuvat myös rikollisen toiminnan käyttöön. Yhteiskunnan jäsenten näkökulmasta tämä pieni komponentti merkitsee kaikenlaisen tunnistamisen ja valvonnan lisääntymistä ja tehostumista.

==> Lue lisää: Teksti 1 Teksti 2

Valtioneuvoston tietoturvallisuuden periaatepäätökset ovat toimineet tienviittoina valtion tietoturvallisuutta kehitettäessä vuodesta 1989 alkaen. Käytännössä kuitenkin epävarmuutta on aiheuttanut se, että samoistakin asioista on useita rinnakkaisia ohjeita. Miksi ei voisi olla yhtä yhteistä sivustoa kaikkien käyttäjien tavoitettavissa?

==> Lue lisää

Pahin ohjelmistotuholainen on tietokoneen käyttäjä, joka ei osaa. Monet eivät toimi pahalla mielellä vaan ymmärtämättömyyttään.

Uudet radiotaajuisen tunnistamisen (RFID) tatkaisut sieppaavat tehon (ja tietoa), missä sitä on saatavana. RFID-tunnisteita alkaa olla kohta kaikkialla, jatekniikka kehittyy entistä älykkäämmäksi ja halvemmaksi. Tällöin alkaa korostua valvonnan ja yksityisyyden välinen arvostus.

==> Lue lisää

Organisaatio pyrkii toteuttamaan toiminta-ajatuksensa ja visionsa omien tarpeidensa mukaisesti. Tässä strategialla on keskeinen asema. Miten on sitten tilanne yhteiskunnassa kokonaisuudessaan? Minkälaisia strategisia mahdollisuuksia sen suhteen on olemassa - ja erityisesti tietoturvallisuuden suhteen?

==> Lue lisää ...

Moottoriajoneuvojen käyttöönoton yhteydessä pidettiin välttämättömänä, että automobiilin edessä oli juoksija varoituslipun kanssa. Reilun sadan vuoden kehityksen jälkeen kehitys on viemässä siihen, että pääväylät on reunustettu kameroilla. Voimme vain kysyä yksittäisinä tienkäyttäjinä, minne olemme matkalla? Kameroiden loisteessa filmimaailman keskukseen vai uuteen karuun yhteiskuntaan, jossa yksityisyyttä ei ole.

==> Lue lisää ...

Uudet teknologiat mahdollistavat vaatimista älytalojen toteuttamisen. Tällöin on yleensä päätavoitteena ollut kestävän kehityksen vaatimusten toteuttaminen, missä ovat erityisesti energiakysymykset korostuneet. Älytalot ovat kuitenkin vielä jotain paljon enemmän, kun niitä tarkastellaan tietonäkökulmasta. Tällöin tullaan myös kysymykseen tietoturvallisuudesta. Kansainväliset standardit auttavat sekä energia- että turvallisuusvaatimusten laadukkaasta toteuttamisesta.

⇒Lue lisää: Teksti 1 Teksti 2

Kesällä 2008 julkaistu pikku-uutinen kertoi Oulun yliopiston uudesta kansainvälisestä projektista, jossa tietokone tulkitsee ihmisen ilmeet ja liikkumisen videokameran kuvista. Paitsi ilmeiden automaattiseen tunnistamiseen videokuvista projekti tähtää uuden menetelmän kehittämiseen, jossa tietokoneohjelma osaa erottaa liikkuvasta kuvasta ihmisen ja seurata häntä kuvalähteestä toiseen. Aiemmin on tutkittu pääasiallisesti yksittäisiä pysäytettyjä kuvia. Lähi-infrapunakameran avulla voidaan tunnistaa kasvojen ilmeitä jopa lähes pimeässä.

Mitä tekemistä tällä on tietoturvallisuuden kanssa?
==> Lue lisää

Standardien syntymiseen liittyy paljon harhakuvia ja epätietoisuutta. Käsittelemme seuraavassa artikkelissamme sitä, kuinka standardit syntyvät ja kuinka ne muuttuvat käytännöiksi. Tarkastelemme asiaa myös tietoturvallisuuden hallinnan näkökulmasta. Suomen laki ja suomalaisten valtionorganisaatioiden toiminta antavat lisänäkökulman tarkastelussamme. Kokemuksemme standardisoinnista tulevat pitkäaikaisen standardien laadinnan sekä kommentoinnin myötä kansainväliseltä kentältä ja yritysstandardisoinnista.
==> Lue lisää

Tietoturvallisuuden tutkija kokee mielenkiintoisen havainnon, kun hänelle selviää se, kuinka monessa suomalaisessa valtion organisaatiossa on niin omien työntekijöiden kuin kaikkien muiden kiinnostuneiden kansalaisten vapaasti saatavilla ohjeet tietoturvallisesta työskentelystä.
==>Lue lisää

Tänä vuonna tietoturvallisuuden kansainvälinen talvikoulu IPICS’2007 (European Intensive Programme on Information Security Management and Technology) pidettiin jo kahdeksannen kerran 26.3 - 4.4.2007 välisenä aikana. Osallistujia ja luennoitsijoita oli jälleen useasta maasta. Etäisin osanottaja oli Intiasta. Tänä vuonna tapahtumapaikkana oli Saija Taivalkoskella.

Talvikoulun ohjelma myötäili aikaisempien vuosien teemoja seuraavasti:

• Jorma Kajava: Information Security Management
• Juha Roning: Software Security
  
• Reijo Savola: Security Metrics
• Janne Uusilehto: Mobile Systems Security
• Chris Wills: Soft Systems, Methodology in Security
• Guenther Pernul: Database Security
• Bart Preneel: Cryptography
• Karl Posch: RFID Security
• Gerald Quirchmayr: Business Continuity
• Juhani Anttila: Modern approach for enhancing information security awareness by using new tools of disruptive IT (Interactive Technology)

Tilaisuuden materiaalia voi tiedustella talvipäivien päätoteuttajalta Jorma Kajavalta Lapin yliopistosta.

Lentokenttien turvallisuustarkastuksista on käyty kriittistä keskustelua siitä, onko niissä menty jo liiallisuuksiin. Paljon matkustelevat varmasti myöntävät, että kritiikissä on perää. Joissain paikoin on aivan turhantuntuista muodollisuutta ja sitten taas paikoitellen on paljon lievenpää, kun samoista asioista ei välitetä ollenkaan.

Nyt sama keskustelu on tullut myös tietoturvallisuuden alueelle. Ainakin CA:n ja Symbianin mielestä tietoturvaan kohdistuvia uhkia voi liioitella. Mitä johtopäätöksiä tällaisesta keskustelusta voisi tehdä? Ainakin kaikkien mahdollisten turvallisuustoimenpiteiden edellyttäminen ja toteuttaminen on liioittelua. Se jo osoittaa ammattitaidon puutetta, kun ei osata keskittyä oleelliseen. Myöskään uhilla pelottelu ei ole asiallista ja sellainen edistää vääränlaista suhtautumista tietoturvallisuuteen. Tehokkaasti suunnattujen reaktiivisten toimenpiteiden lisäksi myös tietoturvallisuuden alueella tarvittaisiin proaktiivisia, innovatiivisia, ratkaisuja.

Suomalaisissa organisaatioissa suoritettujen tutkimusten mukaan näyttävät ihmiset – mukaan lukien organisaatioiden johtotehtävissä olevat – olevan hyvin tietoisia tietoturvallisuuden yleisperusteista, pitävän tietoturvallisuutta tärkeänä ja olevan motivoituneitakin siihen. Onhan ollut esillä myös varsin runsaasti tietoturvallisuuteen liittyviä uutisia ja yleistä koulutusta, ja myös monissa organisaatioissa on järjestetty vastaavasti sisäistä koulutusta. Kuitenkin asian varsinainen ymmärrys on kovin pinnallista ja sitä on vain harvoilla.

Huolestuttavaa on, että ylimmän johdon edustajat eivät yleensä ole kiinnostuneita tietoturvallisuudesta heidän oman johtamisroolinsa osalta. He eivät tunne tietoturvallisuuden johtamisen keinoja käytännössä ja saattavat delegoida johtamisvastuunsa asiantuntijoille tai suorastaan ulkoistaa sen ulkopuolisille konsulteille.

Kaikki kansainvälisestikin arvostetut referenssit korostavat, että organisaation tietoturvallisuuden johtamista ei voi menestyksellisesti siirtää pois johdon vastuulta. Johtamisvastuu koskee sekä organisaation operatiivista toimintaa että strategista kehittämistä. Asia on tuotu esille mm. tietoturvallisuuden hallinnan tärkeimmässä kansainvälisessä perusstandardissa ISO/IEC 17799:2005. Samaa toteavat OECD:n (2002) tietoturvallisuussuositukset ja -periaatteet, jotka erityisesti painottavat, että tietoturvallisuus edellyttää organisaatiokulttuurin syntymistä ja kehittämistä. Edellä mainittu koskee yhteiskuntamme kaikkia organisaatioita. Asian merkitystä lisää vielä se, että kaikkien organisaatioiden toiminta perustuu tänään lisääntyvässä määrin tietoon, tietoturvallisriskit ovat organisaatioiden merkittäviä liiketoimintariskejä ja suurimmat tietoturvallisuusrikkomukset tapahtuvat organisaatioiden oman henkilökunnan toimesta.

Miksi sitten käytännössä johdon sitoutuminen on epätyydyttävää? Tietoturvallisuuden ammatilliset peruskäsitteet, erityisesti eheys, käytettävyys ja luottamuksellisuus, ovat vaikeasti ymmärrettäviä ja vieraita ei-asiantuntijoille - ja jopa asiantuntijoillekin. Tietoturvallisuuden hallinnan yleiset standardit ja ohjeet (erityisesti ISO/IEC 27001:2005, ISO/IEC 17799:2005, ISO/IEC 17799–1:1996, and OECD Guidelines) ovat monimutkaisia ja hämmentäviä. Tilannetta vaikeuttavat vielä yleisesti tietojärjestelmiä ja tietojen hallintaa ohjaavat tärkeät julkaisut (mm. ISO/IEC 20000:2005, ITIL, COBIT, Sarbanes-Oxley Act) sekä lukuisat organisaatioiden yleistä johtamista koskevat opit ja julkaisut, mm. ISO 9000 –standardit. Lisäksi tietoturvallisuus on monitieteellinen aihe, ja tieto jota turvallisuuden hallinta koskee on pääosaltaan ns. hiljaista tietoa (tacit knowledge). Ammattimainen tietoturvallisuuden hallinta edellyttää siten paljon erityistietoa. Kuitenkin organisaatioiden johtohenkilöt ovat hyvin yksilöllisiä ja vahvan muodollisen asemansa tuntevia ”generalisteja”, joiden kommunikointi erityisspesialistien kanssa on vaikeata toteuttaa käytännössä tehokkaasti.

Kun organisaatioiden ylin johto ei ole riittävästi sitoutunut tietoturvallisuuden johtamiseen, siitä seuraa, että:

• tietoturvallisuutta ei johdeta organisaatioiden todellisten liiketoimintatarpeiden mukaisesti
• tietoturvallisuuden hallinta nähdään vain reaktiivisena, ongelmia ehkäisevänä ja joidenkin yleisten standardivaatimusten – tai vieläpä vain ns. minimivaatimusten – täyttämisenä, jolloin myös toteutuksista puuttuu aito organisaatiokohtainen innovatiivisuus
• organisaatiot puuhastelevat erillisten ja rajattujen, esim. vain teknisluonteisten, aiheiden parissa
• organisaatioissa tehdään ”kosmeettisia” ja pinnallisia ratkaisuja tai ei itse asiassa tehdä mitään vaan toivotaan vain ettei mitään vakavaa sattuisi
• organisaatiot pysyvät ja kärsivät hiljaa ongelmistaan ja osaamattomuudestaan

Tehokkaimpana keinona organisaatioiden ylimmän johdon saamiseksi sitoutumaan tietoturvallisuuteen on tietoturvallisuuden hallinnan saattaminen johtamisasemassa ja –tehtävissä olevien henkilöiden varsinaiseen työkenttään kuuluvaksi. Tässä voidaan nähdä kaksi osa-aluetta:

1. Tietoturvallisuus integroidaan saumattomasti johdon päätöksiin sekä strategisiin ja operatiivisiin johtamistoimintoihin.
2. Vahvistetaan organisaation yleistä tietoturvallisuustietoisuutta ja –kulttuuria.

Näihin pääseminen kuitenkin edellyttää merkittäviä asennemuutoksia niin organisaatioiden johtohenkilöissä kuin tietoturvallisuuden asiantuntijoissakin.

Tietoturvallisuuden hallinnan yleinen paradoksaalinen tosiasia on, että tietoturvallisuudessa täytyy organisaatioiden aina olla valmiina, mutta siinä ei voi koskaan tulla valmiiksi.

==>Lue lisää Teksti 1 Teksti 2

For senior executives, information security is a basic requirement for business success. Yet, despite being well-motivated, top managers often have only a superficial understanding of information security, which may lead them to make decisions that are not conductive to rctising lhe organization's security level. Enhancing information security awareness among all employees has been found necessqty, but the key to success is raising the awareness level of senior mqnagement. Playing a decisive role, they must assume overall responsibility for information security. The question is how to achieve this in an fficient and natural way.

==> Read more ...

Jo seitsemännen kerran toteutui 26.10.2006 Rovaniemellä Tietoturva ja laki –tilaisuus. Tilaisuuden järjestivät Lapin yliopiston oikeusinformatiikan ja menetelmätieteiden laitokset sekä Pohjan viestikilta. Lisäksi tärkeinä vaikuttajina on ollut useita Pohjois-Suomen organisaatioita. Tapahtumapaikkana oli Lääninhallituksen sali.

Tämänkertaisen tietoturvallisuuspäivän otsikko oli tehty kysymyksen muotoon: Mihin ulottuu tietoturva? Aihetta tarkasteltiin seuraavien puheenvuorojen kautta:

• Seminaarin avaus: Ahti Saarenpää / Lapin yliopisto ja Juhani Peltoluoma / Pohjan Viestikilta
  
• Mihin ulottuu tietoturva?: Ahti Saarenpää / Lapin yliopisto
• Pohjoisuus ja tietoturva: Jorma Kajava / Lapin yliopisto
• Poliisin tietoturvatyö Rovaniemellä: Aarno Hallikainen / Poliisin tietohallintokeskus
• Haittaohjelmat: Seppo Sundberg / Valtiokonttori
• Rajavartiolaitos ja Pohjois-Suomen tietoturvaverkosto: Jaakko Ritola / Rajavartiolaitos
• Muuttunut johtamisympäristö ja tietoturva: Juha Mattila / Puolustuslaitos
• Yhteenveto: Ahti Saarenpää / Lapin yliopisto

Tilaisuuden päätteeksi oli cocktail-tilaisuus ja sen yhteydessä osallistujien välistä verkottumista.

Rauno Salminen on Taivalkoskella asuva kansainvälistä arvostusta saanut taiteilija. Hän on mm. osallistunut töillään maailmanlaajuisesti moniin näyttelyihin. Rauno on jo toistakymmentä vuotta tukenut omalla osaamisalueellaan Pohjois-Suomen tietoturvallisuusverkoston toimintaa. Kaikki verkostomme monissa tilaisuuksissa esiintyneet puhujat muistavat hänet, koska ovat saaneet osallistumisestaan muistolahjaksi Raunon ajankohtaisen ja juuri kyseistä tilaisuutta varten tekemän teoksen. Monilla on ollut myös mahdollisuus henkilökohtaisesti tutustua Raunoon sekä hänen mieleenpainuviin ajatuksiinsa.

Taivalkosken ja sen lähiseutujen maisemia eri vuodenaikojen väreissä kuvaavat Raunon työt omalla ajattomalla tavallaan hyvin symbolisoivat kauneutta, varmuutta ja turvallisuutta.

Seuraavassa kuvassa on Rauno Salmisen akvarelli "Maaruska", joka julkaistiin vuoden 2002 Tietoturvallisuus ja laki seminaarin julkaisun kansikuvana (Pohjois-Suomen Tuomarikoulun julkaisuja 2/2002).

On hyvin merkittävää, että verkostoomme on liittyneenä monenlaisia toimijoita. Aiheemme esille saamisen kannalta on lehdistö tärkeä yhteistoimintakumppani. Sähkö & Tele (ISSN 0789-676X) on sähkötekniikan ja elektroniikan teknistieteellinen ammattilehti, jonka julkaisijana on Sähköinsinööriliitto ry. Tähän lehteen verkkomme jäsenillä on ollut läheiset yhteydet jo vuosia, ja viime vuosina lehti on julkaissut monia kirjoituksiamme. Erityisesti voimme huomioida lehdessä sen korkeatasoisen ja tehokkaan kirjoitusten toimitustavan.

Sähkö & Tele -lehdessä olemme viime aikoina julkaisseet seuraavia kirjoituksia:

• "Tietoturvallisuus – Tietoturvallisuus on arkipäiväisen luonnollinen mutta ei mikään yksinkertainen asia" (Juhani Anttila, Jorma Kajava). Sähkö & Tele, Vol. 77 nro 8/2004, ss. 31 – 33
• "Tietotekniikan ja -palvelujen ulkoistaminen ja innovaatiot" (Jorma Kajava, Juhani Anttila). Sähkö & Tele, Vol. 78 nro 1/2005, ss.33 - 35
• “Varautuminen yhteiskunnan kriittisiin perusrakenteisiin kohdistuviin uhkiin” (Jorma Kajava, Reijo Savola). Sähkö & Tele, Vol. 78 nro 4/2005, ss. 45 - 46
• “Mitä heikot signaalit sanovat tietoturvallisuudesta” (Jorma Kajava, Juhani Anttila, Reijo Savola). Sähkö & Tele, Vol. 78 nro 6/2005, ss.10 - 13. ISSN 0789-676X.
• “Kriisien hallinta” (Jorma Kajava, Juhani Anttila, Reijo Savola, Juha Röning). Sähkö & Tele, Vol. 79 nro 1/2006, ss.49 - 55. ISSN 0789-676X.
• “Ylimmän johdon sitoutuminen tietoturvaan – motivaatiota ja vastuuntuntoa” (Jorma Kajava, Juhani Anttila, Reijo Savola, Juha Röning). Sähkö & Tele, Vol. 79 nro 2/2006, ss. 13-16.
• “RFID – mahdollisuuksia ja uhkia” (Jorma Kajava, Juhani Anttila). Sähkö & Tele, Vol. 79 nro 3/2006, ss. 9-13
• “Tietotyötä pohjoisessa – verkottumisen ja Barentsin alueen mahdollisuudet Pohjois-Suomen tietotyön kehittämisessä” (Jorma Kajava, Ilkka Kamaja, Juhani Anttila, Mikko Ilkko). Sähkö & Tele, Vol. 79 nro 5/2006, ss.55 - 60

Pohjan Viestikilta ry järjesti 12.10.2006 yhteistyökumppaniensa, PPO Oy:n, Oulun ja Lapin yliopistojen, Oulun lääninhallituksen, Puolustusvoimien ja VTT:n kanssa IV Pohjanmaan tietoturvaseminaarin Nivalassa, Teknologiakeskus Nitekissä.

Seminaarin ohjelma oli jälleen antoisan monipuolinen ja myös osanottajia oli runsaasti 50 henkeä:

• Seminaarin avaus, Pauli Korpi-Tassi, PPO
• Pohjan Viestikilta - yhteyksien rakentaja, Juhani Peltoluoma, Pohjan Viestikilta
• Ohjelmistohaavoittuvuuksien hallinta, Juha Röning, OUSPG
• Haittaohjelmat, Jari Pirnes, Verohallitus
• RFID ja tietoturva, Jorma Kajava, Lapin yliopisto
• Kriittiset perusrakenteet ja turvallisuus, Heimo Pentikäinen, VTT
• Tietoaineistoturvallisuuden hallinta: PPOn tallennus- ja varmistuspalvelut, Sami Tiinanen, PPO
• PPOn tietoturvapalvelut, Pasi Korhonen, PPO

Kansainvälisen kriisien hallinnan workshopin yhteydessä syyskuun 28. päivänä 2006 Rovaniemellä luovutettiin viestiristi professori Gerald Quirchmayrille. Hän on Wienin yliopiston hajautettujen ja multimediapohjaisten järjestelmien laitoksen johtaja ja samalla myös professorina Etelä-Australian yliopistossa Adelaidessa. Prof. Quirchmayr on ollut mukana tietoturvallisuusverkostomme toiminnassa monia vuosia monipuolisena ja kansainvälisesti arvostettuna asiantuntijana.

Kuvassa Jorma Kajava luovuttaa ansiomerkin ja kiittää prof. Quirchmayria tietoturvallisuusverkostomme monivuotisesta ja monipuolisesta tukemisesta.

Tämä blogi on erityisesti Pohjois-Suomen tietoturvallisuusverkoston toimintaa tarkasteleva foorumi. Verkostomme asia-aiheena on tietoturvallisuus ymmärrettynä laajasti, mutta mitä se sitten tarkoittaa, että toimimme verkostona. Myös tietoturvallisuusverkosto toimii yleisten verkostoperiaatteiden mukaisesti.

Käsitykseni on, että aito verkosto on aina itsestään syntynyt ja kehittyy sekä sitten myös joskus kuolee itsestään. Verkosto on myös osiltaan jatkuvassa uusiutumisen tilassa. Toisin sanoen mikään yksittäinen toimija ei voi johtaa verkostoa – jos ei nyt oteta huomioon jotain jumalallisia vaikuttajia. Myöskään tällainen verkosto kokonaisuudessaan ei ole kokonaisuutena tarkkaan määriteltävissä. Yleisesti tarkastellen verkostolla ei siis ole määriteltyä tai sovittua johtajaa eikä myöskään johtamisjärjestelmää sanan varsinaisessa merkityksessä. Tästä seuraa, että verkostolla ei myöskään voi olla yhteisesti jaettuja arvoja tai normeja, sovittuja toimintaperiaatteita, -politiikkaa, tai –strategiaa. Verkostossamme voi olla mukana aina myös sellaisia, jotka eivät ole kaikkien muiden mielestä toivottuja tai haluttuja. Itse asiassa verkossamme voi olla myös jopa joidenkin mielestä tyhmiä tai vihamielisiä, eikä näiden vaikutuksia voi täysin estää.

Johtamisaihe on ollut vahvasti esillä kaikissa verkostoaihetta käsitelleissä tilaisuuksissa ja kirjoituksissa. On esitetty kysymyksiä: Eikö ongelmana ole juuri verkostojen johtaminen, ja mitä tietoa sitä varten on saatavissa? Miten kannattaisi mitata verkostojen kustannus-hyöty-suhdetta? Miten verkostoitumista voisi edistää XXX-alueella? Miten voitaisiin vaikuttaa julkisen sektorin verkostotaitoihin ja muutosvastarintaan? Mitä kriteerejä olisi priorisoitava, kun puhutaan tuottavista verkostoista? Mikä on kriteeri sille, että kaksi verkoston osapuolta voidaan katsoa ”verkottuneeksi”?

Johtaminen verkostossa palautuu verkoston kunkin yksittäisen toimijan (organisaation tai yksilön) omaksi sisäiseksi johtamiseksi. Mikä vaikutus tällä sitten on koko verkoston rakenteeseen ja toimintaan, riippuu erityisesti voimasuhteista ja kommunikoinnin tehokkuudesta verkostotoimijoiden kesken. Valdis Krebs on määritellyt toimijan verkostossa vaikuttamista kuvaavia tunnussuureita:

• Aktiivisuus (activity)= tehokas toimiminen verkossa
• Pääsy (access) = pääsy verkoston resursseihin
• Tavoittavuus (reach)= vaikutusulottuvuus, kytkeytymiskyky toisiin toimijoihin ja sen nopeus
• Ohjaus (control) = ohjausvoima verkoston resursseihin
• Valta (power) = vaikutusvalta saada asiat tehdyksi

Koska kaikki verkostotoimijat ovat itsenäisiä, heillä on myös jokaisella omat intressinsä olla mukana tai pyrkiä pysymään verkostossa. Entistä enemmän verkostotoimijoina ovat yritysten ja organisaatioiden sijasta yksilöt. Verkostossa on aina olemassa eri intressien välillä ristiriitoja. Kunkin toimijan ja myös koko verkoston kannalta on hyödyllistä monenvälinen Win / Win –toiminta ja toimijoiden jatkuva oppiminen. Millaiseksi verkoston toiminta muodostuu, riippuu paljon toimijoille koituvista transaktiokustannuksista.

Yleisesti arvostetuissa yritystoimintaa koskevissa verkostotutkimuksissa ja kehityshankkeissa tarkastellaan pääasiallisesti esim. tiettyjen vahvojen yritysten tai muiden organisaatioiden ympärille luotuja toimittaja-, asiakas- tai partneriverkostoja. Näissä myös normaalisti tuodaan esille yhteisiä arvoja, strategioita ja kehitysohjelmia. Tällaiset verkostot ovat kuitenkin verkostomielessä hyvin erikoistapauksia tai suorastaan surkastuneita, ja ne voidaan nähdä monesti yritysten ulkoistettuina jatkeina tai suorastaan ”orjaverkostoina”. Helposti tulee mieleen, että bisnesmielessä hyödyllisintä olisi paradoksaalinen tilanne, missä toimijat tietoisesti hyödyntävät verkostoissaan sekä tiettyä systemaattisuutta että ”verkostovallattomuutta”. Ja sitä paitsi tämähän juuri vastaakin luonnollisia realiteetteja ympärillämme. Paitsi että miten tietoisia olemme asian suhteen?

Käsittelimme Pohjoisen Tutkimusfoorumissa Pohjois-Suomen tietotyön kehittämisen haasteita ja mahdollisuuksia. Samaa teemaa sivutaan myös laajemmalti koko EU:n puitteissa. Valtion korkeimmalla tasolla globalisaatioaihe on ollut näyttävästi esillä, ja on luvassa, että aiheen tarkastelu tulee samalla tavoin vielä jatkumaankin. Pääministeri Vanhasen amerikkalaiselta professori Richard Baldwinilta tilaaman globalisaatioselvitys Globalisation: the great unbundling(s) julkistettiin 20.9.2006.

Raportti korostaa, että globalisaatio muuttuu entistä arvaamattomammaksi. Äkilliset ja vaikeasti ennakoitavat muutokset kuuluvat globalisaation uusiin pelisääntöihin. Tähän sisältyy, että on vaikea ennustaa voittajia ja häviäjiä. Ennakoimattomuutta lisää toimijoiden väliset kompleksiset vuorovaikutukset liiketoiminnoissa. Maailmanlaajuinen kilpailu voi viedä myös Suomesta koulutetun väen töitä, ei vain teollisuustöitä. Kilpailu muuttuu yritysten välisestä kilpailusta osaamisryhmien ja yksilöiden väliseksi. Eivät perinteistenkään turvattujen ammattien edustajat eivät ole erossa globalisaatiolta. Kansainvälisen yrityksen ekonomi tai insinööri voi huomata työnsä siirtyvän Kiinaan tai Venäjälle. Turvallisuuspalvelutkin voidaan toteuttaa etätyönä Intiasta.

Globalisaatiotilanteeseen sisältyy kriisien aineksia, joihin pitäisi suhtautua päättäväisesti.

Baldwinin raportti järkyttää myös suomalaista koulutusajattelua. Pitkä koulutus tai esim. tietotekninen osaaminen ei suojaakaan Suomen työvoimaa. Nyt ei ole it-insinööreistä pulaa, mutta metalliteollisuus ja rakennusala kaipaavat kipeästi hitsaajia ja asentajia. Yleisesti viestitään, että nuorien ei kannatakaan mennä yliopistoon, vaan mieluummin ammattikoulun putkiasentajalinjalle. Alipalkattuja akateemisia on jo nyt suuri joukko.

Jos esimerkiksi tuotekehitys, tietohallinto ja rahoitus voidaan hoitaa Intiasta käsin, niin aina kuitenkin tarvitaan paikallistuntemusta. Oma kieli ja oma lainsäädäntö voivat suojata ulkomaiselta kilpailulta. Vaikeasti korvattavia ovat myös henkilökohtaiset kontaktit. Nämä seikat korostavat varmasti toimivien ja monipuolisten palvelujen sekä verkostojen merkitystä.

Suomessa uskotaan vahvasti tietoyhteiskunnan mahdollisuuksiin. Vastikään hallituksen julkaisemassa uudessa tietoyhteiskuntastrategiassa jo aivan sen alkukappaleessa korostetaan, että tarkoituksena on tämän kehityksen avulla päästä kiinailmiöstä kohti suomi-ilmiötä. Tämä erityisesti asettaa haasteita sähköisen kommunikaation vahvistamista Pk-sektorin liiketoiminnassa. Ja luonnollisesti kaiken perustana on tietoyhteiskunnan perusratkaisujen toiminnan haavoittuvuuden estäminen ja luottamuksen ylläpitäminen.