Pohjois-Suomen tietoturvallisuusverkosto

Turvallisuusalan tapahtumia on Suomen EU:n puheenjohtajakauden aikana runsaasti, myös jopa päällekkäisesti. Pohjois-Suomen tietoturvallisuusverkoston puitteissa toteutettiin Rovaniemellä kansainvälinen kriisien hallinnan tilaisuus The Second Crisis Management Workshop syyskuun 28. päivänä 2006. Vastaavalla tavalla järjestettiin myös Suomen toimesta vuoden 2005 ensimmäinen vastaava workshop Brysselissä hyvin lyhyellä varoitusajalla. Koska olemme toimineet jo vuosikymmenen aktiivisesti kansallisessa ja kansainvälisessä asiantuntijaverkostossa, niin workshopien nopea kokoaminen onnistui hyvin.

Kriisien hallinta liittyy EU:n seitsemännen puiteohjelman valmisteluun ja siellä turvallisuusasioiden ryhmään kuuluvaan PASR –hankekokonaisuuteen (Preparatory Action for Security Research). EU arvioi kaikki ohjelman kuusi rinnakkaisina toteutettua workshopia ja palkitsi suomalaisten Brysselissä järjestämän tilaisuuden parhaaksi. Brysselissä järjestettiin syksyllä 2005 samanaikaisesti kaksi suomalaista kriisienhallinnan seminaaria. Toisen tilaisuuden järjesti CMI presidentti Martti Ahtisaaren johdolla 400 tärkeimmälle kansainvälisen politiikan edustajalle aiheena siviilikriisien hallinta. Yhteensattumasta johtuen meidän tilaisuutemme osallistujat saivat kutsun presidentiltä osallistua toisena päivänä hänen johtamaansa tilaisuuteen.

Turvallisuuteen ja tietoturvaan liittyvistä monista erilaisista tapahtumista valtaosa on kaupallisten yritysten tarjoamia tuote-esittelyyn liittyviä ”ilmaisia” tilaisuuksia. Tietoa on myös alettu myydä varsin korkeaan hintaan erilaisten kurssien muodossa. Myös tieteellisellä puolella on tullut tavaksi, että sponsorien tuen lisäksi osallistujilta ja esitelmien pitäjiltä peritään suhteellisen korkeita osallistumismaksuja. Rovaniemen tietoturvaverkoston nimissä pystyimme kuitenkin tarjoamaan syyskuun 28. päivän tilaisuuden ilman mitään maksuja. Tilaisuuden kieli oli englanti. Tilaisuus oli tarkoitettu niin asiantuntijoille kuin alaa opiskeleville sekä kaikille aiheesta kiinnostuneille.

Rovaniemen workshopin pääpuhuja oli professori Gerald Quirchmayr. Hän toimii Wienin yliopiston hajautettujen ja multimediapohjaisten järjestelmien laitoksen johtajana ja samalla myös professorina Etelä-Australian yliopistossa Adelaidessa. Hänen aiheensa lähti riskianalyyseistä ja päättyi liiketoiminnan jatkuvuuden suunnitteluun. Toinen tunnettu asiantuntija oli englantilainen Christopher C. Wills. Hän toimii Kingstonin yliopistossa teknologiakeskuksen johtajana. Hän on toiminut myös vuosia yhteistyössä Britannian poliisin kanssa terrorisminvastaisessa työssä, jossa pyritään ennalta ehkäisemään ja torjumaan vakavia iskuja.

28.9.2006 worshopin kokopäiväinen ohjelma oli kokonaisuudessaan seuraava:

• Opening: Mauri Ylä-Kotola
• Juha Röning: Vulnerability management of the information infrastructure from the protocol dependence point of view
• Jorma Kajava: Weak Signals in Crisis Prevention
• Jari Aalto: Barents Rescue’2007 Exercise
• Gerald Quirchmayr: From Risk Analysis to Continuity Management
• Gregoire Soukiassian: Security, Risk Control & Crisis Managment in eXtreme situations : The Disaster Recovery Plan
• Christopher C. Wills: Threat and Risk Assessment, A Soft Systems Approach
• Juhani Anttila: Business crisis, A turning point with a decisive change - Viewpoints for business management
• Veikko Rouhiainen: VTT´s security research supporting crisis management
• Timo Nuutinen: Crisis Management Current Affairs
• Conclusions: Jorma Kajava

Tilaisuuden järjestäjäorganisaatiot olivat Lapin yliopisto, Oulun yliopisto, Infotech Oulu, Rovaniemen ammattikorkeakoulu, Lapin lääninhallitus, Puolustusvoimat, Poliisin tietohallintokeskus, Pohjan viestikilta, Säteilyturvakeskus, VTT sekä Rovaniemen kehitys Oy.

Kriisien hallinta on varsin laaja alue. Edellä mainittiin jo siviilikriisien ja sotilaskriisien hallinta. Myös liiketoimintoihin liittyy vakavia kriisejä. Lapin yliopisto julkaisi juuri omat toimintaohjeensa kriisitilanteisiin. Ohjeet koskevat sellaisia tilanteita, jolloin tietoon tulee henkilökuntaa, opiskelijoita tai työ/opiskeluyhteisöä koskeva traumaattinen tapahtuma. Luonnonkatastrofit ovat aiheuttaneet kaikkein suurimmat ei-sotilaalliset kriisit. Terroriteot ja niiden ennalta torjuminen on yhä vakavampi asia koko yhteiskunnan toiminnan kannalta ja niihin varautuminen aiheuttaa erittäin huomattavat kustannukset yhteiskunnille.

Kriisien hallinnan yhteydessä on oleellista pyrkiä ennalta estämään ja torjumaan mahdolliset uhkat. Modernia tieto- ja tietoliikennetekniikkaa käyttäen voidaan riskejä lieventää huomattavasti, mutta täyttä varmuutta ei koskaan saavuteta. Jos kriisi pääsee puhkeamaan, niin organisaatioilla on oltava valmiina palautumis- ja toipumissuunnitelmat. Mitä varhaisemmassa vaiheessa kriisiin päästään tarttumaan, sitä pienemmillä vahingoilla on mahdollista selviytyä. Laatu ja sen hallinnan ymmärtäminen on erittäin keskeinen liike-elämän osa-alue, jolla toimintaa saadaan parannettua. Tietoturvan merkitys koko laajuudessaan on myös tulossa ihmisten tietoisuuteen. Enää ei puhuta pelkästään teknisistä suojauksista, vaan ymmärretään, että niiden rinnalla yhä tärkeämpää on tietotekniikan käyttäjien tietoturvatietoisuus ja organisaatioiden ylimmän johdon sitoutuminen tietoturvatyöhön.

Kriisien torjunta modernia tieto- ja viestintätekniikkaa käyttäen on myös EU:n seitsemännen puiteohjelman keskeinen turvallisuuskysymys. Tärkeät turva-asiat uudessa puiteohjelmassa ovat SeNTRE (Security Network for Technological Research in Europe) työryhmän viidennessä työohjelmassa, jossa esillä on paitsi tietoverkkojen turvallisuus myös tuotteiden ja ihmisten liikkuvuudesta aiheutuvat turvallisuuskysymykset mukaan lukien konttikuljetukset; kemialliset ja biologiset aseet mukaan lukien tautien levittämiseen liittyvät kriisit; tunnistaminen ja biometria sekä kriittisten perusrakenteiden ja verkkojen turvaaminen.

Kriisien hallinnan yhteydessä oleellista on, että onnistuneella työllä pystytään pelastamaan ihmishenkiä. Kriisien hallinnalla pystytään myös lieventämään inhimillisiä kärsimyksiä. Esimerkiksi Libanonissa kriisien hallinnassa lähdetään sodan aiheuttamien tilanteiden, kuten räjähtämättömien ammusten eliminoinnista. Raivaustyön jälkeen vuorossa on jälleenrakennus ja toiminnan palauttaminen. Toiminnan rinnalla ihmisten fyysinen ja humanitäärinen auttaminen ja tukeminen ovat erittäin tärkeitä. Tästä työstä kylmä bisnes on kaukana.

Rovaniemen tietoturvaverkoston toiminnan kannalta on erittäin tärkeää rakentaa koulutukseen liittyvää yhteistyötä. Tästä esimerkkinä on täällä järjestettävä tietoturva-alan erikoistumisopinnot, jotka pyörivät jo toista vuottaan. Myös erilaisten turva-alan tilaisuuksien järjestäminen on oleellinen osa kokonaisuutta. Jo perinteikkääksi muodostunut Tietoturva ja Laki toteutetaan jo seitsemännen kerran lokakuun 26 päivänä 2006 Rovaniemellä. Rovaniemellä tietoturvaverkosto on ollut kokoava tekijä myös turvallisuusalueen määrätietoisessa kansainvälistymisessä. Tätä suuntausta tukee myös yhtenä esimerkkinä Rovaniemellä marraskuussa 2006 järjestettävä kaupallinen MISTI –tietoturvatapahtuma.

Mainituista tilaisuuksista ja niiden materiaaleista voi saada tietoa Jorma Kajavalta (jorma.kajava@ulapland.fi)

Kriisien hallintaa olemme käsitelleet joidenkin ajankohtaisten teemojen osalta myös Sähkö&Tele-lehden artikkelissamme.