Case Vastaamo


Joskus toivoisi ennustuksissaan olevansa väärässä, varsinkin uhkakuvien osalta jotka nousevat mieliin, kun uusia tietoturvahyökkäyksiä ja -loukkauksia uutisoidaan toteutetun.

Ei ole kuin muutama päivä kun kirjoitin sivuillamme

artikkelin, jossa käsittelin tietourvallisuuteen liittyviä asioita.

On raadollista huomata kuinka jonkun asian pettäessä kärsijänä tulee olemaan lähes aina se heikoin ja syyttömin osapuoli.
Vastaamon kaltaisissa tapauksissa kiristys kohdistuu tavan kansalaisiin, jotka ovat luottaneet. Tämä luottamus saa taas liian kovia iskuja kasvoilleen.
Mitä voimme tehdä, tyydymmekö kohtaloomme vai käärimmekö hihat?
Väitän että tehtävissä on hyvin paljon, niin yritysten kuin tavan kansalaisenkin toimesta – toki vuosien saatossa on paljon tehtykin, jatkuva kilpajuoksu ei tosin anna koskaan rauhaa.

Yritysten itsessään on viimeistään nyt syytä herätä tähän maailmaan ja ottaa lusikka kauniiseen käteen.
Keinoja meillä on, mutta onko halua toteuttaa asioita, osataanko ajatella sitä mikä lopulta maksaa? Muutaman tonnin investointi nyt, vaiko liiketoiminnan loppuminen puolen vuoden päästä? Näillä on hinnassa aikamoinen ero!
Saati jos tilanne eskaloituu jonkun henkilökohtaiseksi tragediaksi, kuten nyt Vastaamon tapauksessa näyttäisi käyvän – ei tule olemaan halpaa sekään.

Mitä on tehtävissä?

Nykyaikainen digitalisoitunut maailma antaa valtavasti mahdollisuuksia, ja vapauksia, mm. tehdä työtä paikkariippumattomasti.
Uskon että valtaosalle ihmisistä tämä on luontevaa ja varsin toivottava toimintamalli. Samalla kun olemme luoneet liikkumisenvapauden,
olemme antautuneet suurelle määrälle erilaisia uhkatekijöitä, joita maailma on pullollaan. Näitä uhkatekijöitä löytyy monesta suunnasta, niin sieltä verkon syövereistä kuin
tilaturvallisuuteen liittyvistä haasteista, ja erityisesti myös meidän jokaisen omista toimintamalleista. Kiteyttäisin asian pääteemoihin: laitteet, yhteydet, tilat ja ihmiset.
Näistä muodostuu lopulta hyväksytyt toimintamallit – joita noudattaen selviämme todennäköisemmin kuivin jaloin. Varautumista on mietittävä ennakkoon, online
ja ennenkaikkea myös tilanteisiin jossa jotain ikävää on päässyt tapahtumaan.

Liikkelle lähtöä helpottaa varmasti se että asettaa peruskysymyksiä listalle. Mitä, kuka, miksi ja missä -kysymykset auttavat jo hyvin alkuun pääsemisessä. Näistä vastauksista johdatellen, jokainen liiketoimintansa tunteva vastuullinen pääsee alkuun ja juonesta kiinni siitä mistä tässä oikeasti onkaan tieto-/kyberturvallisuuden osalta kyse? Mitä meidän on huomioitava toiminnoissamme, mitkä asiat rajoittavat tekemistämme ja mitkä antavat mahdollisuuksia.
Tällainen pohdinta auttaa ymmärtämään niitä olennaisia asioita joita meidän on huomioitava. Tämän jälkeen hyvällä suunnittelulla ja toteutuksella asiat alkavat loksahtelemaan paikalleen, asioista alkaa muotoutumaan automaatioita ja prosesseja, jotka itse itseään parantaen nostavat toiminnan varmuutta ja laatua.
Lopulta on saavutettu hyväksyttävä taso, jossa jäännösriski on mahdollisimman pieni. Jäännösriski on asia jota ei käytännössä saa poistettua kokonaan, tai käytännön toiminta menee varsin haasteelliseksi.

Käytännössä ”nollatason” jäännösriski on toiminnaltaan jotain muuta kuin mihin yritysmaailman tai peruskansalaisen toiminta on järkevästi toteutettavissa.

Erilaisia keinoja asioiden parantamiseksi on useita, seuraavassa hieman pohdintaa siitä mistä voisi lähteä liikkeelle.
Moni voi miettiä sitä millaisissa tiloissa toimimme, tai millaisissa tiloissa työntekijät toimivat kun eivät ole yrityksen tiloissa? Tiedon käsittelyn ja säilyttämisen osalta voisi esimerkiksi lähteä pohtimaan sitä miten kansallinen ohjeistus (tietoturvaluokittelu), ja niiden eri tasot, ohjaavat toimintaa, oli sitten kyse tiedon tallentamisesta, siihen pääsystä tai sen käsittelystä.

Kyseinen tiedonluokittelu on lähtökohtaisesti tehty viranomaistoimintaa varten
mutta näihin määrittelyihin nojautuminen ei ole haitaksi yrityksillekään. Valitettavasti tänä päivänä edelleen monissa yrityksissä tietoa ei osata luokitella. Sähköposteissa
kriittinen tieto kulkee yhtä vapaana kuin vitsipalstan sivuilta kerätty päivän kevennys – ei ehkä aina ihan VAHTI-ohjeistuksen mukaista? Kokonaiskuvan Näkemyksen laajentamiseksi voi tutustua vaikkapa KATAKRI- ja PITUKRI-ohjeistuksiin.
Nämä toki ovat asioina yleensä sivussa yrityksen päätoimialasta, jolloin näistä asioista huolehtiminen kannattaa jättää alan yritysten käsiin. Jyvällä toki kannattaa olla, jotta toimintaa osaa peilata suhteessa oman yrityksen toimintaan.

Tietoturvallisuuden parantamiseksi on siis paljon paikkoja jossa nostaa rimaa. Tietoturvan- tai kyberturvan ei tarvitse olla asoita vaikeuttava asia, vaan kyllä se on syytä nähdä asioiden mahdollistajana, niin kotona, yrityksissä ja työpaikoilla.

Jokaisen ei tarvitse olla ”tietoturvatohtori”. Siksi on meitä alalla toimivia yrittäjiä, jotka autamme teitä ja olemme tukenanne. Kiteyttäisin asian niin että sipulin sisällä on helppo hengittää – ja yhdessä löydämme keinot suojata toimintaamme.

Timo

Vastaa

Sähköpostiosoitettasi ei julkaista.