Pohjois-Suomen tietoturvallisuusverkosto

Viestintävirasto on laatinut toimenpideohjelman 3.11.2009 toteuttamaan Valtioneuvoston periaatepäätöstä kansalliseksi tietoturvastrategiaksi 4.12.2008. Tämän pohjalta olen seuraavassa koonnut keskustelua varten näkökulmia ja ehdotuksia toimenpideohjelman hankkeiden edistämiseksi. Toimenpideohjelma käsittää yhdeksän hanketta ja näihin on viitattu oheisessa tekstissä. Lisäksi on liitteenä aiheeseen liittyvänä linkkinä Suomen kommentti (enlanniksi) standardisointikomitealle ISO/IEC JTC1 SC 27 koskien tietoturvallisuuden hallinnan standardisointia.

1. Yleinen lähestymistapa ja standardisoinnin hyödyntäminen

Kansainvälisiä tietoturvallisuuden hallinnan ISO/IEC-standardeja pidetään arvostetuimpina referensseinä maailmanlaajuisesti tietoturvallisuusmenettelyjen kehittämiseksi kaikenlaisissa organisaatioissa. Juuri tällä hetkellä ollaan perustandardistoa ISO/IEC 27000 uudistamassa. Tästä oli marraskuun 2009 ensimmäisellä viikolla standardisoimiskomitean kokous Yhdysvalloissa Redmontissa. Suomi oli tätä kokousta varten valmistellut liitteessä esitetyn yhteenvedon mukaisen kannanoton. Tämä kannanotto otettiin kokouksessa vakavasti ja mielenkiinnolla vastaan. Suomi ja Ruotsi saivat tehtäväksi valmistella Suomen ehdotusten pohjalta jatkoesityksen hallintajärjestelmästandardisoinnista komitean seuraavaan kokoukseen. Tämä osoittaa, että meillä on mahdollisuudet saada perusteltuja ja kokemukseen pohjautuvia ajatuksiamme esille myös keskeisimmässä kansainvälisessä tietoturvallisuuden standardisoinnissa.

Edellä esitetty koskee hyvin oleellisesti hanketta 5. Suomen esittämiä näkökohtia tulisi saattaa tiedoksi ja sovellettavaksi myös Suomessa. Tässä voisivat olla avuksi myös muut hankkeet. Erityisen merkittävää suomalaisen standardisointiuskottavuuden kannalta olisi, että voisimme osoittaa, että näillä Suomen kannanotoilla on myös laaja kansallisen toimenpideohjelman tuki ja soveltaminen takanaan.

Tällä hetkellä suomalaisten asiantuntijoiden osallistuminen kansainväliseen standardisointityöhön on käytännössä resurssien kannalta hyvin heikkoa (esimerkiksi Ruotsiin varrattuna). Suomalaiset isotkaan julkiset tai yksityiset organisaatiot eivät halua osoittaa asiantuntijoita tällaiseen kansainväliseen työhön. Syinä on tullut esille raha- ja aikapula. Tämä täytyy tulkita siten, että kyseiset organisaatiot eivät sitten kuitenkaan todellisuudessa ole sitoutuneita vakavasti kehittämään ja toteuttamaan tietoturvallisuutta. Osaltaan haluttomuuteen kyllä myös vaikuttaa se, että Suomessa ei ole monia alan asiantuntijoita, joilla on kokemusta ja kielitaitoa osallistua tällaiseen kansainväliseen yhteistyöhön. Jos organisaatioista ei löydy osallistujia, niin toisaalta sellaiset henkilöt, joilla olisi ajan, asiantuntemuksen ja kokemuksen puolesta mahdollisuuksia mutta ei työnantajan mahdollistamaa rahoitusta, eivät myöskään voi osallistua. Yhden tyypillisen kansainvälisen standardisoimiskokouksen osallistumisen kustannukset yhdeltä henkilöltä voivat olla esimerkiksi 2000 euron luokkaa. Jos jostain voisi tähän –vaivaloisen anomisen kautta – saada esimerkiksi 700 euron kerta-apurahan, on kuitenkin 1300 euron maksaminen yksityishenkilön omasta pussista tällaiseen yleishyödylliseen toimintaan liiallista. Kuitenkin kansainvälinen standardisointityö on jatkuvaa toimintaa, jossa ei riitä vain kertaosallistumiset kokouksiin.

Merkittävä kysymys standardisointitoiminnan kannalta on myös kansallinen yhteistyö. Tällä hetkellä se on Suomessa osallistumisen kannalta heikkoa ja tehotonta. Nämä ovat tosiasioita, jotka tulisi ottaa vakavasti ja realistisesti esille hankkeessa 5.

Liitteessä esitetyt Suomen standardisoimiskommentin esittämät asiat sivuavat kuitenkin myös tämän toimenpideohjelman kaikkia muitakin hankkeita. Esimerkkeinä voisi tuoda esille seuraavaa:

- Miten hankkeissa 2, 3, 4 ja 9 hyödynnetään esimerkillisesti kansainvälisiä tietoturvallisuuden hallinnan standardeja? (Ks. liitteen kohdat ”General” ja ”ISO/IEC 27001 and ISO/IEC 27002 relationships”)
- Miten hankkeissa 1 ja 7 selkiytetään ja viestitään tietoturvallisuuden ydinperiaatteet ja peruskäsitteistö yleisesti ja yksikäsitteisesti ymmärrettävästi? (Ks. liitteen kohdat ”Guiding ISM principles” ja ”Concepts, terms and definitions”). Tuntuu esimerkiksi kummalliselta, että information security –käsitteen suomenkieliseksi vastineeksi on iskostunut tietoturva, vaikka oikeampi termi olisi tietoturvallisuus. Tietoturvallisuus on myönteisempi ja proaktiivisempi ilmaisu, kun taas turva tuo mieleen vain reaktiivisen ratkaisun jotain vastaan, jota lähinnä vastaa englannin sanaa safety. Securityn alkuperäinen merkitys tarkoittaa huoletonta olotilaa ja toimintaa (vrt. latinan sēcūrus huoleton = sē- (prefix) ilman, erossa + cūr(a) huoli + -us adjektiivi suffix). Tämä seikka on sikäli merkityksellinen, koska tietoturvallisuusaihe on saanut varsin negatiivisen sävyn ja sen yhteydessä ollaan aina vain varottelemassa jostakin pahasta. Käytännössähän tietoturvallisuus on hyvin myönteinen asia ja erityisesti tietoyhteiskunnan verkoissa on turvallista liikkua (vrt. aikaisempi kirjoituksemme tässä blogissa)
- Miten hankkeissa 2 ja 4 toteutetaan tietoturvallisuuden hallinnan integrointi organisaatioiden liiketoimintoihin tehokkaasti ja luonnollisella tavalla välttäen keinotekoisia ja erillisiä ratkaisuja? (Ks. liitteen kohdat ” PDCA” ja ” The process approach”.)

2. Yhteiskunnan toimijat ja valtioneuvoston kansallinen tietotuvallisuusstrategia
Kaikessa strategiatyössä on oleellista, että se joka strategioita laatii on ja voi olla myös täysin vastuussa niiden toteuttamisesta. Siten nimestään huolimatta valtioneuvoston vastuulla oleva kansallinen tietoturvallisuusstrategia ei voi kattaa koko laajaa kansallista toimijaympäristöä, vaan siinä voi esittää lähinnä strategisia ajatuksia tietoturvallisuustoiminnan edistämiseksi valtiokonsernin puitteissa, ts. hallituksessa ja sen välittömässä ohjausalueessa olevissa organisaatioissa. Itse asiassa tällaisessa strategiassa ei ole periaatteellisestikaan mahdollista esittää todellisesti koko kansallista tietoturvallisuusstrategiaa, koska merkittävä osa toimijoista on hallituksen suoran ohjauksen ulkopuolella. Tilanne on samankaltainen monissa muissakin kansallisia strategioita koskevissa hankkeissa. Viime aikoina on erityisesti keskusteltu Suomen kansallisesta innovaatio- ja IPR-strategiasta (ks. esimerkiksi linkki). Näistä muista hankkeista voisi ottaa oppia myös kansallisten tietoturvallisuushankkeiden yhteydessä. Innovaatio- ja IPR-strategioihin liittyy myös tärkeitä tietoturvallisuusnäkökohtia.

Yhteiskunnan merkittävät toimijat ovat itsenäisiä ja riippumattomia ja todelliset stratetegiat tehdään heidän itsensä toimesta heidän omien intressiensä ja kykyjensä mukaisesti. Ongelmakohtia ovat monesti eri organisaatioiden väliset rajapinnat. Eri toimijoiden tietoturvallisuuspolitiikkoja ei ole mahdollista mukauttaa kansallisesti yhtenäisiin strategisiin perusvalintoihin, koska kukin toimija tekee päätöksensä itsenäisesti omien todellisten intressiensä mukaisesti. Lisäksi hyvin monien suomalaisten toimijoiden sidosryhminä on muissa maissa ja kulttuureissa olevia organisaatioita ja resursseja (vrt. esimerkiksi partnering, outsoursing ja cloud computing).

Valtionhallinnon monilla yksiköillä on kuitenkin omat mahdollisuutensa myönteisesti vaikuttaa yhteiskunnan muiden toimijoiden tietoturvallisuustoimintoihin ja –käyttäytymiseen. Nämä mahdollisuudet pitäisikin vahvasti nostaa esille ja saada toteutetuiksi tällä toimenpideohjelmalla. Tosin ulkopuolista ihmetyttää myös valtionhallinnon sisällä oleva kahtiajakautuneisuus, kun valtiovarainministeriö on laatinut oman tekstinsä valtioneuvoston periaatepäätökseksi valtionhallinnon tietoturvallisuuden kehittämisestä (VAHTI 7/2009), jossa ei ole selviä linkkejä tähän kansalliseen tietoturvallisuusstrategiaan ja sen toimenpideohjelmaan. Tällainen toivottavasti vain näennäinen kahtijakautuneisuus pitäisi saada poistetuksi. Pitäisihän juuri valtionhallinnon olla esikuvallinen kansallisen tietoturvallisuusohjelman tukija ja soveltaja. Kuitenkin em. VAHTI-dokumentti toteaa vain: "Viestintävirasto toimii kansallisena tietoturvauhkia ja -loukkauksia käsittelevänä CERT-viranomaisena. … Kansallisella tietoturvastrategialla pyritään edistämään kansalaisten, elinkeinoelämän ja julkishallinnon luottamusta arjen tietoyhteiskunnan palveluiden turvallisuuteen."  

Vaikuttamisessa yhteiskunnan toimijoihin olisi hyödyllistä soveltaa verkostomaisen toiminnan periaatteita ja mahdollisuuksia sekä nykyaikaisia interaktiivisen tietotekniikan (sosiaalisen median) keinoja. Esimerkkeinä muilta aloilta, joiden kokemuksia kannattaisi hyödyntää, ovat muun muassa Tekes Tori ja Real Time Economy Community, joissa myös voitaisiin levittää tietoturvallisuustietoisuutta. Lisäksi yleiset Facebookin, LinkedInin ja monien muiden vastaavanlaisten verkostoyhteisöjen ryhmätoiminnot voisivat olla avuksi. Nuorison mukaan saamiseksi mahdollisuuksia voisi antaa IRC-Galleria. Näistä keinoista voisi olla hyötyä kaikissa valituissa hankkeissa.

3. Liiketoimintaintegraatio ja prosessit
Perinteisissä tietoturvallisuuden lähestymistavoissa, mitkä edelleenkin ovat vahvasti vallalla, on pääpainona ollut erillisten tietoturvallisuusjärjestelmien ja ratkaisujen toteuttaminen. Kuitenkin organisaatioissa tietoturvallisuus voi luonnollisella tavalla sekä vaikuttavasti ja tehokkaasti toteutua vain integroituina organisaatioiden normaaleihin operatiivisiin ja strategisiin toimintoihin, erityisesti koskien organisaatioiden johtamistoimintoja. Liiketoimintaintegraatiossa tulevat keskeisiksi tarkastelun kohteiksi organisaatioiden prosessit. Kansakunnanlaajuinen tietoturvallisuus ei voi toteutua vain rakenteita, työkaluja, sääntöjä ja säädöksiä sekä viranomaistoimintoja kehittämällä. Hyvin oleellisessa asemassa ovat prosessit, ts. miten ihmiset ja organisaatiot todella toimivat. Toimenpideohjelman hankkeissa ei ole mitenkään selkeästi otettu kantaa prosessinäkökulmaan. Aiheen tulisi sisältyä keskeisenä asiana jokaiseen hankkeeseen. Aiheesta on enemmän liitteessä olevassa standardisointia koskevan kommenttimme kohdassa ”The process approach”. Aiheeseen on myös viitteenä kirjoituksemme Sähkö&Tele-lehdessä. Prosessilähestymistavan kautta voitaisiin myös luonnollisella tavalla ottaa huomioon nykyaikaisen yhteiskuntamme monimutkaiset realiteetit, mikä on vielä varsin outoa toteutetuissa tietoturvallisuusratkaisuissa tai myös olevissa alan standardeissa. Viitteenä tähän on kirjoituksemme SFS-tiedotuksessa.

4. Ihminen ja kansalainen
Ihmis- ja kansalaisnäkökulma on toimenpideohjelmassa heikosti toteutettuna, vaikka sillä on arjen tietoyhteiskunnassa aivan keskeinen rooli ja vaikka kansalaiset mainitaan toimenpidehankkeissa useaan kertaan. Tämä näkökulma tulisi ottaa vakavasti huomioon jokaisessa hankkeessa. Yksilönäkökulma on myös vahvasti esillä pienyritysten tapauksissa. Ongelmana kuitenkin, että hankkeiden vastuu- ja osallistujaresurssit edustavat suuria organisaatioita. Miten tällaisessa tilanteessa voidaan saada kuuluville yksittäisten ihmisten ja kansalaisten äänet, jotka ovat hajallaan ympäri yhteiskuntaa? Esimerkiksi voin ottaa itseni, kun tässä elämäni vaiheessa ensijaisesti edustan sellaista yksilöä ja kansalaista ja varsin paljon ja monipuolisesti toimin ympärilläni olevassa tietoavaruudessa. Miten minun ja minunlaisteni tarpeet ja kokemukset voisivat tulla otetuiksi huomioon kyseisissä hankkeissa? Kuka on tästä vastuussa?

Tietoturvallisuustietoisuutta on tarkasteltu hankkeessa 1 varsin pinnallisesti ja lähinnä hallinnollisesta näkökulmasta. Tietoisuus on kuitenkin hyvin syvällinen, monimutkainen ja monivivahteinen ilmiö. Tietoisuus ja siihen liittyvät oppiminen, osaaminen ja sitoutuminen eivät voi kehittyä vain kouluttamalla tai ohjeistamalla. Itse asiassa nykykäsityksen mukaisesti 80% tästä toteutuu informaalisesti. Tämä tulisi ottaa vakavasti huomioon hankkeen 1 toteutuksessa. Tehokkaana ratkaisuna olisi hyödyntää sosiaalisen median keinoja monipuolisesti (vrt. edellä verkostomainen toiminta). Eri henkilöryhmät tarvitsevat lisäksi erilailla tietoisuutta tietoturvallisuudesta (ks. lisäaineistoa teemaan).

LIITE
Comments of Finland for revision of the ISO/IEC 27001/27002 standards