Pohjois-Suomen tietoturvallisuusverkosto

Tänään jälleen keskustelussa arvostettujen tietoturvallisuusasiantuntijoiden kanssa tuli selvästi esille, miten hajanaisesti tietoturvallisuusalan toteuttamista ja kehittämistä maassamme toteutetaan. Yksittäisten organisaatioidenkin puitteissa aiheesta voi olla erilaisia käsityksiä. Tietoturvallisuusaihe on luonteeltaan hyvin moninäkökulmainen, ja sen toteuttamisessa tarvitaan monenlaista asiantuntemusta. esim. koskien tietoteknisiä järjestelmiä ja laitteita, ohjelmistoja, tietoliikenneverkkoja, lakikysymyksiä, liiketoimintojen ja organisaatioiden johtamista, ihmisten käyttäytymiskysymyksiä, yhteiskunnallisia aiheita, jne.

Tästä monivivahteisuudesta johtuu myös, että alan kieli ja käsitteistö eivät ole yhtenäistä. Eri osa-alueilla toimivilla asiantuntijoilla on erilaisia vakiintuneita käytäntöperinteitä. Voi olla, että samasta asiasta käytetään erilaisia käsiteilmaisuja tai samalla käsitteellä voi eri alueilla olla eri merkitykset. Yhtenäisyyttä ei voi saada aikaan standardeilla, määräyksillä tai lainsäädännöllä. Tulee hyväksyä tosiasiana, että tietoturvallisuuden laajassa toimijayhteisössä on monenlaisia osayhteisöjä. Oleellista olisi, että näiden välille voitaisiin saada hyödyllistä ja tehokasta yhteistoimintaa ja kommunikaatiota.

Integroitu tietoturvallisuuden hallinta voidaan ymmärtää tietoturvallisuuden kokonaisvaltaisena hallintana, missä erilaisuudet täydentävät toisiaan ja antavat toisilleen virikkeitä uusien innovatiivisten ideoiden ja käytännön ratkaisujen synnyttämiseksi.

Käytännössä voidaan havaita monia integraatiotasoja. Integrointitasojen ja kokonaisvaltaisen toiminnan hahmottamiseksi ja ymmärtämiseksi voidaan hyödyntää hyvin tunnettua sveitsiläisen professori Seghezzin mallia sovellettuna tietoturvallisuuteen organisaatioissa ja yhteiskunnassa.

Tämä kuva haluaa korostaa, että kokonaisvaltaisessa yhteensopivuudessa ratkaisut näillä kaikilla tasoilla voivat vaikuttaa joko myönteisesti tai kielteisesti. Ratkaisujen ei tarvitse välttämättä olla juuri tietoturvallisuuskysymysten ratkaisuja, vaan myös niihin etäisestikin liittyvillä seikoilla voi olla merkittävä vaikutus.

==> Lue lisää ...

Oulun yliopistossa järjestetään 30.3 - 7.4.2005 kuudes kansainvälinen tietoturvaseminaari IPICS 2005 (European Intensive Programme on Information and Communication Technologies Security). IPICS-seminaarissa (talvikoulussa) on mukana osanottajia kaikkiaan 11 eri yliopistosta Australiasta, Belgiasta, Englannista, Irlannista, Itävallasta, Kreikasta, Saksasta ja Suomesta. Mukana on puhujia myös IT-alan yrityksistä. Tilaisuus on todella merkittävä säännölliseksi muodostunut tietoturvallisuustapahtuma Suomessa. Seminaarissa kohtaavat tietoturva-ammattilaiset ja tärkeimmät alan opettajat sekä tutkijat. Tietoturvallisuuden eri osa-alueisiin pureudutaan päivittäin eri asiantuntijoiden näkemysten kautta. Luentoja on päivittäin kahdeksan tuntia englanniksi. Kansainvälisten huippuasiantuntijoiden vierailu on myös merkittävä tilaisuus oululaisille tutkijoille ja tietoturvallisuuden opiskelijoille. Yhtenä tavoitteena onkin saada opiskelijoille, nuorille tutkijoille ja tuleville tietoturvan ammattilaisille tuntumaa kansainväliseen ympäristöön ja yhteistyöhön sekä suoria kontakteja ulkomaisiin alan ammattilaisiin. Tilaisuuden puheenjohtajina toimivat Jorma Kajava, Gerald Quirchmayr and Juha Röning.

IPICS järjestetään kaksi kertaa vuodessa. Kesäisin pidettävien seminaarien (kesäkoulujen) pitopaikat vaihtuvat, mutta talvisin tapahtuma pidetään Oulussa. Tämän vuotisen tapahtuman järjestelyistä vastaavat Oulun yliopiston tietojenkäsittelytieteiden laitos, sähkö- ja tietotekniikan osasto sekä kansainvälisten asioiden yksikkö. Mukana yhteistyökumppaneina ovat myös Computer Associates, EU-ohjelma Information Society Technologies, IFIP TC-11.1 &TC- 8.5, Infotech Oulu, Pohjankilta ja Puolustusvoimat.

Seminaarin luentoaiheita ovat:

• Tietoturvallisuuden tutkimus EU:n IST (Information Society Technologies) –ohjelmassa
• Mobiilin tietoliikenteen tietoturvallisuuden standardointi
• Langattomien IP-verkkojen tietoturvallisuustutkimus
• Verkkojen turvallisuuden hallinta ja verkonhallinnan turvallisuus
• Salausteoria ja -tekniikka
• Tiedostoturvallisuus
• Tietotekniikan käyttö rikostapauksissa (Forensic Computing)
• Biometrinen tunnistaminen
• Yksityisyyden suojaaminen
• Hallinnon sähköiset palvelut (e-Government)
• Puolustusvoimien tietopohjaiset operaatiot
• Tietoturvallisuuden hallinta organisaatioissa
• Tietoturvallisuuden integrointi organisaation johtamiseen prosessimaisesti ja laadunhallinnan keinoja hyödyntämällä
• Tietoturvallisuuden mittaaminen organisaatioissa
• Uhat ja riskien hallinta
• Liiketoiminnan jatkuvuuden hallinta
• Tietoturvallisuus heterogeeniisissa järjestelmissä (V2V virtualisointi)
• Tietoturvallisuuden hallinnan uudet haasteet

Käsiteltävät aiheet osoittavat, miten laaja-alainen tietoturvallisuuden alue on ja miten paljon siihen sisältyy erilaisia tutkimus- ja kehittämiskohteita. Seminaariohjelma tuo myös esille, miten aihetta käsitellään tänään arvostettujen yliopistojen koulutus- ja tutkimusohjelmissa. Kriittinen tarkastelu myös paljastaa aiheen käsittelyn pirstaloituneisuuden. Suuri kysymys tuleekin vastaan, miten tällaiseen kompleksiseen mutta tärkeään aihealueeseen voitaisiin saada kokonaisvaltainen hahmottuminen käytännön tarpeita varten organisaatioissa ja myös kansallisella tasolla.

Yksityiskohtaisia tietoja IPICS-tapahtumista voi saadaJorma Kajavalta ( jorma.kajava@oulu.fi ), joka on antanut vuosien aikana merkittävän sekä asiantuntevan ja persoonallisen panoksen näiden Oulun talvikoulutapahtumien toteutumiseksi.

Tietoturvallisuutta koskevissa kannanotoissa ja kirjoituksissa ovat monesti korostuneet tietotekniikan näkökulmat, alan standardit, viranomaismääräykset ja suositukset sekä asiantuntijakäsitteet. Lisäksi on tuotu ensisijaisesti esille negatiivisia seikkoja, puutteellisesta tietoturvallisuudesta aiheutuneita harmeja yksilöille ja organisaatioille. Näitä kaikkia aiheita on varmasti syytä tarkastella, mutta kuitenkin perimmältään tietoturvallisuus on arkipäiväinen ja luonnollinen sekä pääasiallisesti myönteisiä piirteitä käsittävä asiakokonaisuus.

Asiantuntijat kuvaavat tietoturvallisuutta tavallisesti käsitteillä eheys, käytettävyys ja luottamuksellisuus. Eheys liittyy tiedon virheettömyyteen ja tarkkuuteen. Tämä tarkoittaa esim., että kaupassa vaaka punnitsee ostokset oikein ja tarkasti, vaa'an tulostama viivakoodi vastaa punnitsemistulosta ja kassan lukulaite lukee virheettömästi ja vielä kassakonekin laskee oikein. Käytettävyys tarkoittaa, että tietoa on saatavilla juuri silloin, kun sitä tarvitaan ja niin kauan aikaa, kuin on tarpeen. Esim. sääennusteen tiedot antavat mahdollisuuden pukeutua asianmukaisesti matkalle lähdettäessä. Kaytettävyyttä on, että tiedon saa ajallaan käyttöön. Luottamuksellisuus liittyy siihen, miten voi pitää omia tietojaan vain itsellään tai vaihtaa niitä jonkun toisen kanssa ilman, että tiedot "vuotavat" joillekin muille tai että joku muu voisi muuttaa niitä oman tarkoituksensa mukaisesti ilman oikeutta. Luottamuksellisuutta on, kun voin aidosti ja tosiasiallisesti luottaa keskustelukumppaniini nyt ja myöhemminkin.

Tietoturvallisuus on merkittävä elämän laadun tekijä ja nykyaikaisen yhteiskunnan toiminnan perusta. Siksi se on yhtä luonnollista kuin itse elämä ja toimintakin. Aivan kuten elämiseen yleisestikin, tietoturvallisuuteen liittyy aina sekä hyviä että pahoja piirteitä ja ilmiöitä, Ttietoturvattomuus ei kuitenkaan koskaan tapahdu ilman syytä. Syynä voi olla teknisten ratkaisujen rajoitukset, puutteet tai viat tai ihmisten vilpillinen, ilkeä tai vihamielinen toiminta. Kaikessa toiminnassa on aina jossakin määrin tietoturvallisuutta ja aina myös turvattomuutta tai tietoturvallisuuden riskejä. Ei voi olla täysin turvallista olotilaa mutta ei myöskään täysin turvatonta. On aina kysymys aste-eroista. Onko vallitseva tilanne riittävä, riippuu täysin tapauksesta ja tilanteesta.

Tietoturvallisuus on arkipäiväisen luonnollinen asia. Se ei kuitenkaan tarkoita, että se välttämättä olisi yksinkertaista tai itsestään selvää. Tietoturvallisuus on monivivahteista kuin elämä itse.

==> Lue lisää ...

Tämä blogi palvelee tietoturvallisuuden tutkijoita, käytännän toteuttajia, viranomaisia ja harrastajia, jotka ovat innostuneita jakamaan tietojaan ja yhteisesti oppimaan lisää tietoturvallisuuteen liittyvistä aiheista.

Toimijayhteisö perustuu toiminta-ajatukseltaan Etienne Wengerin erinomaisiin "Community of Practice" -periaatteisiin. Aiheesta on kirjoitettu paljon esim. monilla Internetin sivuilla. Käsitteelle on myös olemassa monella tavoin sanoitettuja määritelmiä ja selityksiä. Valitettavasti tämä mielenkiintoinen ja hyödyllinen käsite on vaikea kääntää suomeksi eikä siitä myöskään ole paljoa kirjoitelty suomeksi.