Skip to content

Digitaalisten palveluiden tietoturva

Kansalaisyhteiskunta
JärjestöilleKansalaisyhteiskunta

Anu Laitila Kuva: Lauri Hytti


Anu Laitila, KyberVPK


Digitaaliset palvelut kasvattavat edelleen suosiotaan ja yhä enenevässä määrin monella organisaatiolla on tarjolla palveluita ainoastaan verkossa. Yhteistä monille palveluille on, että ne ovat käytettävissä ympäri vuorokauden, viikon jokaisena päivänä ja niitä voi käyttää helposti eri päätelaitteilla. Digitaalisten palveluiden toimivuus ja turvallisuus ovat yksi tärkeä osa digitaalisen yhteiskunnan luotettavuuden varmistamista.

Tietoturvalla tarkoitetaan tässä artikkelissa hallinnollisia ja teknisiä toimia, joilla varmistetaan

  • tiedon luottamuksellisuus eli se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla
  • tiedon eheys eli se, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut sekä
  • tiedon käytettävyys eli se, että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä

Jokainen digitaalinen palvelu on altis tietoturvapoikkeamalle

Tietoturvapoikkeama on nimensä mukaisesti poikkeama tietoturvassa. Tahaton tai tahallinen tapahtuma, jonka seurauksena organisaation vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai käytettävyystaso on saattanut vaarantua. Tietoturvapoikkeama voi kohdistua esimerkiksi tietojärjestelmiin tai verkkosivuihin. Käytännössä se voi tarkoittaa, että henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole niiden käsittelyoikeutta.

Tietoturvapoikkeama voi olla myös virhe koodissa, haittaohjelmatartunta, tulipalo tai vesivahinko palvelinkeskuksessa tai vaikka arkaluonteista tietoa sisältävän kirjeen tai viestin postitus väärälle henkilölle. Lyhyesti, tietoturvapoikkeama on hetkellinen poikkeama normaalista tietoturvan tasosta ja se vaatii normaalista toiminnasta poikkeavaa reagointia, usein myös resurssointia.

Tietoturvapoikkeama on useimmiten odottamattomien ja merkittävien käyttökatkosten aiheuttama häiriötilanne, jonka seuraukset ja vaikutukset voivat olla suuria. Esimerkiksi henkilökunta voi menettää pääsyn tärkeisiin järjestelmiin useiksi tunneiksi, joskus jopa päiviksi tai organisaation maine saa kolhuja. Seurauksia on monia, niin kuin myös tietoturvapoikkeamia.

Tietoturva digitaalisen palvelun eri vaiheissa

Tietoturva-asiat kannattaa aina ottaa huomioon jo palveluiden suunnitteluvaiheessa ja arvioida miten palvelun käyttöön ja ylläpitoon liittyvä tietoturvallisuus aiotaan järjestää. Lisäksi kannattaa tehdä uhkamallinnus, jonka avulla palveluun kohdistuvat uhat tunnistetaan ja niiden osalta määritetään riittävät suojauskeinot. Suunnitteluvaiheessa tunnistetaan myös tärkeimmät käyttötapaukset, sekä palvelun tietojärjestelmäympäristö ja sen muodostama hyökkäyspinta-ala ja arvioidaan näihin kohdistuvia uhkia.

Mikäli digitaaliseen palveluun joudutaan tekemään isoja muutoksia jälkikäteen, saattaa työmäärä olla moninkertainen. Myös lainsäädännön tuomat vaatimukset kannattaa ottaa aina selville ennen suunnittelun alkua. Esimerkiksi julkisen hallinnon tiedonhallinnasta annetussa laissa 906/2019 on kuvattu julkisessa hallinnossa noudatettavat tietoturvallisuuden vähimmäisvaatimukset.

Suunnittelussa ei tule unohtaa tietosuojaa ja sitä koskevaa sääntelyä ja viranomaisohjeistusta. Henkilötietojen käsittelyyn liittyviä asetuksia ovat mm. EU:n tietosuoja-asetus, henkilötietolaki ja salassapitovelvollisuus.

Tietosuojalla tarkoitetaan ihmisen yksityisyyden suojelemista ja yksilöä koskevien tietojen suojaamista oikeudettomalta käytöltä henkilötietoja käsiteltäessä. Tietosuoja on jokaisen ihmisen perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä.

Tietosuoja on yksi tietoturvan osa-alue ja sen tarkoituksena on osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä. Suomessa tietosuojaan liittyvä riippumaton viranomainen on Tietosuojavaltuutetun toimisto, joka valvoo henkilötietojen suojaa koskevien säännösten noudattamista.

Digitaalisten palveluiden ylläpito ja tietoturvallisuuden, sekä tietosuojan varmistaminen ovat jatkuvia prosesseja, joissa huomioidaan niin teknisen kehityksen, kuin toimintaympäristön muutoksen mukanaan tuomat uudet riskit ja tarpeet vaatimusten päivittämiselle.

Suojaustoimenpiteet tehdään riskilähtöisesti palveluun kohdistuvien uhkatekijöiden mukaan palvelun elinkaaren eri vaiheille. Esimerkiksi testauksia suoritetaan laadun varmistamiseksi jo ennen palvelun käyttöönottoa ja tasaisin väliajoin joko sisäisen tai ulkoisen auditoijan toimesta.

On myös erittäin tärkeää, että tietoturvallisuutta toteutetaan ja ylläpidetään jatkuvasti. Esimerkiksi arvioimalla uhkien ja tietoturvallisuuden tasoa ja hallintaa, sekä muin tarvittavin keinoin. Ymmärrys tilannekuvasta auttaa hahmottamaan tarvittavia tietoturvatoimenpiteitä. Jostakin palvelusta on saatettu löytää haavoittuvuus ja siihen on jo olemassa ratkaisu, joka tulee päivittää mahdollisimman pikaisesti. Hyvänä resurssina tähän Kyberturvallisuuskeskus ylläpitää tilannekuvaa ja raportoi asioista verkkosivuillaan, kuten esimerkiksi Citrix-tapauksessa.

Artikkeli on suunnattu erityisesti IT:lle, joille päivitysten tekeminen useimmiten kuuluu.

Miten organisaatio voi varautua tietoturvapoikkeamiin?

Jokainen organisaatio voi varautua tietoturvapoikkeamiin muun muassa arvioimalla ja analysoimalla riskejä ja uhkia ja tekemällä varautumis- ja jatkuvuussuunnitelmia. Kun suunnitelmat on tehty, on niiden toimivuutta hyvä harjoitella ja testata käytännössä kyberharjoituksessa. Harjoituksia voidaan järjestää myös organisaatiolle, jolla ei ole vielä varautumiseen ja/tai jatkuvuuteen liittyviä suunnitelmia.

Kyberharjoituksella tarkoitetaan simuloitua kriisitilannetta, jonka tavoitteena on parantaa organisaatioiden toimintavalmiuksia ja reagointikykyä vakavien tietoturvapoikkeamatilanteiden varalta sekä lyhentää ja pienentää varsinaisten kyberhyökkäysten vaikutuksia. Harjoituksissa voidaan käydä asioita läpi esimerkiksi pelkästään keskustelemalla tai niihin voidaan tuoda toiminnallisia osiota erilaisilla syötteillä. Syöte voi olla esimerkiksi simuloitu puhelu medialta tai sähköpostiviesti palveluntarjoajalta.

Harjoittelusta saa myös paljon muita konkreettisia hyötyjä. Organisaatio tutustuu prosesseihin ja toimintamalleihin ja löytää niistä vahvuudet, heikkoudet ja puutteet. Ymmärretään palveluntarjoajien tietoturvavaatimukset paremmin ja työntekijät osaavat jatkossa paremmin havainnoida, reagoida ja palautua vakavissa tietoturvapoikkeamatilanteissa. Harjoituksen skenaarion keskiössä voi olla esimerkiksi tietovuoto tai haittaohjelma, joka saastuttaa verkkoympäristön käyttökelvottomaksi ja tilanne voi lähteä liikkeelle vaikkapa tietojenkalastelulla.

Kyberturvallisuuskeskus on julkaissut verkkosivuillaan kyberharjoitusoppaan sekä skenaariopankin, josta löytyy 20 vaihtoehtoista aihetta. Niihin voit tutustua Kyberturvallisuuskeskuksen sivuilla.

Kaiken kaikkiaan harjoitus on yksi parhaista keinoista kouluttaa omaa henkilöstöä.

Loppusanat

Olen koonnut artikkelin loppuun useita linkkejä tietoturvaan ja tietosuojaan liittyen. Suosittelen tutustumaan niihin, jos tietoturva aiheena kiinnostaa enemmän.

Toivottavasti Suomi tunnetaan myös jatkossa edelläkävijänä sekä yhteiskunnan digitalisoitumisen edellytysten osalta että kansalaisten ja yhteisöjen digitaalisten palveluiden tarjoajana. Suomen kyberturvastrategian tavoitteena on kasvattaa eri organisaatioiden henkilöstöjen tietotaitoja tietoturva-asioissa. On hyvä muistaa, että tietoturvasta huolehtiminen kuuluu meille kaikille.

Kirjoittajasta

Anu Laitila toimii tietoturva-asiantuntijana kyberturvayhtiö Nixussa ja vastaa kyberharjoituksien ja -koulutuksien liiketoiminnasta. Vapaa-ajallaan Anu tuottaa ja toteuttaa koulutuksia mm. Naisten Valmiusliitolle ja toimii KyberVPK:ssa vapaaehtoisena.

KyberVPK on noin kolmenkymmenen suomalaisen kyberasiantuntijan muodostama vapaaehtoisorganisaatio, joka perustettiin keväällä 2020 auttamaan erityisesti terveydenhuollon toimijoita ja muiden kriittisten toimintojen tuottajia kyberuhkien ratkaisemisessa ja ennaltaehkäisemisessä. Jäsenet työskentelevät päivätyössään Suomen eturivin IT-alan yrityksissä, mutta KyberVPK:n asioissa kaikki toimivat vapaa-ajallaan eivätkä edusta työnantajiaan.

KyberVPK:n tavoitteena on yhteisöjen, yhteiskunnan, EU:n ja maailman hyvää. Haluamme mahdollistaa muita auttavien tahojen keskittymisen omiin tehtäviinsä kaikkia koskettavien uhkien alla, minimoiden kyberhäiriöistä ja -häiriköistä aiheutuvat haitat. Tarjoamme palveluita veloituksetta esimerkiksi terveydenhuoltoalalle, kunnille, kouluille tai muuta teknistä apua tarvitseville yhteisöille ja kriittisiä palveluita ja toimintoja tuottaville yrityksille ja organisaatioille sekä yrityksille, joilla ei ole taloudellista mahdollisuutta pyytää apua kyberhyökkäyksiin.

Asiakkaan tarpeista riippuen kollektiivi voi auttaa ennaltaehkäisemään tietoturvaongelmia, testata asiakkaan ympäristön turvallisuutta, ratkoa yhdessä tietoturvapoikkeamia tai esimerkiksi auttaa järjestelmien turvallisessa käyttöönotossa. Lisätietoa: https://kybervpk.fi/.

Linkkejä


©SOSTE Suomen sosiaali ja terveys ry, elokuu 2020
Tämä artikkeli on osa SOSTEn verkkojulkaisua Näkökulmia järjestöjen digitaalisiin palveluihin.

Vastaa

Sähköpostiosoitettasi ei julkaista.

Muut teeman artikkelit

Uutinen

24.9.2021 10:18

Vägkarta som listar organisationers påverkansmöjligheter i vårdreformen är färdig

På svenska Organisationernas vägkarta för samarbete som ska fungera som verktyg för ”Järjestöjen sote-muutostuki” är nu färdig. I den samlas, ur organisationernas synvinkel, centrala spetsar och påverkansmöjligheter i verkställandet av reformen av social- och hälsovården samt räddningsväsendet. Vägkartan innehåller både målsättningar och åtgärder. Läs mera: Järjestöjen yhteistyön tiekartta Innokylä-verkkopalvelussa Många viktiga påverkansmöjligheter Anita Hahl-Weckström, projektledare för ”Järjestöjen […]

Uutinen

22.9.2021 08:30

SOSTE juhlisti kymmenvuotista taivaltaan

Kansalaisyhteiskunta Järjestöjohdon perinteinen syysfoorumi pidettiin tällä kertaa juhlaseminaarina Helsingin Musiikkitalolla SOSTEn 10-vuotisen taipaleen kunniaksi. Puheenvuoroja järjestökentälle kuultiin niin politiikan kuin urheilun huipulta. SOSTEn perustajajärjestöjen entiset puheenjohtajat muistelivat kattojärjestöjen yhdistystä, arvioivat SOSTEn toimintaa ja loivat katsetta tulevaan. Tilaisuuden avaussanoissa SOSTEn hallituksen puheenjohtaja Eija Koivuranta korosti, että SOSTEsta on kymmenvuotisen historiansa aikana kasvanut vahva yhteiskunnallinen vaikuttaja. Toiminnan juuret […]

Uutinen

21.9.2021 10:30

Järjestöjen sote-uudistuksen vaikuttamisen paikat listaava tiekartta valmistui

Järjestöille Järjestöjen sote-muutostuen työkaluna toimiva järjestöjen yhteistyön tiekartta on valmistunut. Se kokoaa järjestöjen näkökulmasta keskeiset sosiaali- ja terveydenhuollon sekä pelastustoimen uudistuksen toimeenpanon kärjet ja vaikuttamisen paikat. Tiekartta sisältää sekä tavoitteita että toimenpiteitä. Lue lisää: Järjestöjen yhteistyön tiekartta Innokylä-verkkopalvelussa Useita tärkeitä vaikuttamisen paikkoja Järjestöjen kannalta keskeisimpiä vaikuttamisen paikkoja on tässä vaiheessa sote-uudistuksen toimeenpanoa kaiken kaikkiaan viisi, katsoo […]