Digitaalisten palveluiden tietoturva


Etusivu / Artikkelit / Digitaalisten palveluiden tietoturva
Anu Laitila Kuva: Lauri Hytti

Anu Laitila, KyberVPK


Digitaaliset palvelut kasvattavat edelleen suosiotaan ja yhä enenevässä määrin monella organisaatiolla on tarjolla palveluita ainoastaan verkossa. Yhteistä monille palveluille on, että ne ovat käytettävissä ympäri vuorokauden, viikon jokaisena päivänä ja niitä voi käyttää helposti eri päätelaitteilla. Digitaalisten palveluiden toimivuus ja turvallisuus ovat yksi tärkeä osa digitaalisen yhteiskunnan luotettavuuden varmistamista.

Tietoturvalla tarkoitetaan tässä artikkelissa hallinnollisia ja teknisiä toimia, joilla varmistetaan

Jokainen digitaalinen palvelu on altis tietoturvapoikkeamalle

Tietoturvapoikkeama on nimensä mukaisesti poikkeama tietoturvassa. Tahaton tai tahallinen tapahtuma, jonka seurauksena organisaation vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai käytettävyystaso on saattanut vaarantua. Tietoturvapoikkeama voi kohdistua esimerkiksi tietojärjestelmiin tai verkkosivuihin. Käytännössä se voi tarkoittaa, että henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole niiden käsittelyoikeutta.

Tietoturvapoikkeama voi olla myös virhe koodissa, haittaohjelmatartunta, tulipalo tai vesivahinko palvelinkeskuksessa tai vaikka arkaluonteista tietoa sisältävän kirjeen tai viestin postitus väärälle henkilölle. Lyhyesti, tietoturvapoikkeama on hetkellinen poikkeama normaalista tietoturvan tasosta ja se vaatii normaalista toiminnasta poikkeavaa reagointia, usein myös resurssointia.

Tietoturvapoikkeama on useimmiten odottamattomien ja merkittävien käyttökatkosten aiheuttama häiriötilanne, jonka seuraukset ja vaikutukset voivat olla suuria. Esimerkiksi henkilökunta voi menettää pääsyn tärkeisiin järjestelmiin useiksi tunneiksi, joskus jopa päiviksi tai organisaation maine saa kolhuja. Seurauksia on monia, niin kuin myös tietoturvapoikkeamia.

Tietoturva digitaalisen palvelun eri vaiheissa

Tietoturva-asiat kannattaa aina ottaa huomioon jo palveluiden suunnitteluvaiheessa ja arvioida miten palvelun käyttöön ja ylläpitoon liittyvä tietoturvallisuus aiotaan järjestää. Lisäksi kannattaa tehdä uhkamallinnus, jonka avulla palveluun kohdistuvat uhat tunnistetaan ja niiden osalta määritetään riittävät suojauskeinot. Suunnitteluvaiheessa tunnistetaan myös tärkeimmät käyttötapaukset, sekä palvelun tietojärjestelmäympäristö ja sen muodostama hyökkäyspinta-ala ja arvioidaan näihin kohdistuvia uhkia.

Mikäli digitaaliseen palveluun joudutaan tekemään isoja muutoksia jälkikäteen, saattaa työmäärä olla moninkertainen. Myös lainsäädännön tuomat vaatimukset kannattaa ottaa aina selville ennen suunnittelun alkua. Esimerkiksi julkisen hallinnon tiedonhallinnasta annetussa laissa 906/2019 on kuvattu julkisessa hallinnossa noudatettavat tietoturvallisuuden vähimmäisvaatimukset.

Suunnittelussa ei tule unohtaa tietosuojaa ja sitä koskevaa sääntelyä ja viranomaisohjeistusta. Henkilötietojen käsittelyyn liittyviä asetuksia ovat mm. EU:n tietosuoja-asetus, henkilötietolaki ja salassapitovelvollisuus.

Tietosuojalla tarkoitetaan ihmisen yksityisyyden suojelemista ja yksilöä koskevien tietojen suojaamista oikeudettomalta käytöltä henkilötietoja käsiteltäessä. Tietosuoja on jokaisen ihmisen perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä.

Tietosuoja on yksi tietoturvan osa-alue ja sen tarkoituksena on osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä. Suomessa tietosuojaan liittyvä riippumaton viranomainen on Tietosuojavaltuutetun toimisto, joka valvoo henkilötietojen suojaa koskevien säännösten noudattamista.

Digitaalisten palveluiden ylläpito ja tietoturvallisuuden, sekä tietosuojan varmistaminen ovat jatkuvia prosesseja, joissa huomioidaan niin teknisen kehityksen, kuin toimintaympäristön muutoksen mukanaan tuomat uudet riskit ja tarpeet vaatimusten päivittämiselle.

Suojaustoimenpiteet tehdään riskilähtöisesti palveluun kohdistuvien uhkatekijöiden mukaan palvelun elinkaaren eri vaiheille. Esimerkiksi testauksia suoritetaan laadun varmistamiseksi jo ennen palvelun käyttöönottoa ja tasaisin väliajoin joko sisäisen tai ulkoisen auditoijan toimesta.

On myös erittäin tärkeää, että tietoturvallisuutta toteutetaan ja ylläpidetään jatkuvasti. Esimerkiksi arvioimalla uhkien ja tietoturvallisuuden tasoa ja hallintaa, sekä muin tarvittavin keinoin. Ymmärrys tilannekuvasta auttaa hahmottamaan tarvittavia tietoturvatoimenpiteitä. Jostakin palvelusta on saatettu löytää haavoittuvuus ja siihen on jo olemassa ratkaisu, joka tulee päivittää mahdollisimman pikaisesti. Hyvänä resurssina tähän Kyberturvallisuuskeskus ylläpitää tilannekuvaa ja raportoi asioista verkkosivuillaan, kuten esimerkiksi Citrix-tapauksessa.

Artikkeli on suunnattu erityisesti IT:lle, joille päivitysten tekeminen useimmiten kuuluu.

Miten organisaatio voi varautua tietoturvapoikkeamiin?

Jokainen organisaatio voi varautua tietoturvapoikkeamiin muun muassa arvioimalla ja analysoimalla riskejä ja uhkia ja tekemällä varautumis- ja jatkuvuussuunnitelmia. Kun suunnitelmat on tehty, on niiden toimivuutta hyvä harjoitella ja testata käytännössä kyberharjoituksessa. Harjoituksia voidaan järjestää myös organisaatiolle, jolla ei ole vielä varautumiseen ja/tai jatkuvuuteen liittyviä suunnitelmia.

Kyberharjoituksella tarkoitetaan simuloitua kriisitilannetta, jonka tavoitteena on parantaa organisaatioiden toimintavalmiuksia ja reagointikykyä vakavien tietoturvapoikkeamatilanteiden varalta sekä lyhentää ja pienentää varsinaisten kyberhyökkäysten vaikutuksia. Harjoituksissa voidaan käydä asioita läpi esimerkiksi pelkästään keskustelemalla tai niihin voidaan tuoda toiminnallisia osiota erilaisilla syötteillä. Syöte voi olla esimerkiksi simuloitu puhelu medialta tai sähköpostiviesti palveluntarjoajalta.

Harjoittelusta saa myös paljon muita konkreettisia hyötyjä. Organisaatio tutustuu prosesseihin ja toimintamalleihin ja löytää niistä vahvuudet, heikkoudet ja puutteet. Ymmärretään palveluntarjoajien tietoturvavaatimukset paremmin ja työntekijät osaavat jatkossa paremmin havainnoida, reagoida ja palautua vakavissa tietoturvapoikkeamatilanteissa. Harjoituksen skenaarion keskiössä voi olla esimerkiksi tietovuoto tai haittaohjelma, joka saastuttaa verkkoympäristön käyttökelvottomaksi ja tilanne voi lähteä liikkeelle vaikkapa tietojenkalastelulla.

Kyberturvallisuuskeskus on julkaissut verkkosivuillaan kyberharjoitusoppaan sekä skenaariopankin, josta löytyy 20 vaihtoehtoista aihetta. Niihin voit tutustua Kyberturvallisuuskeskuksen sivuilla.

Kaiken kaikkiaan harjoitus on yksi parhaista keinoista kouluttaa omaa henkilöstöä.

Loppusanat

Olen koonnut artikkelin loppuun useita linkkejä tietoturvaan ja tietosuojaan liittyen. Suosittelen tutustumaan niihin, jos tietoturva aiheena kiinnostaa enemmän.

Toivottavasti Suomi tunnetaan myös jatkossa edelläkävijänä sekä yhteiskunnan digitalisoitumisen edellytysten osalta että kansalaisten ja yhteisöjen digitaalisten palveluiden tarjoajana. Suomen kyberturvastrategian tavoitteena on kasvattaa eri organisaatioiden henkilöstöjen tietotaitoja tietoturva-asioissa. On hyvä muistaa, että tietoturvasta huolehtiminen kuuluu meille kaikille.

Kirjoittajasta

Anu Laitila toimii tietoturva-asiantuntijana kyberturvayhtiö Nixussa ja vastaa kyberharjoituksien ja -koulutuksien liiketoiminnasta. Vapaa-ajallaan Anu tuottaa ja toteuttaa koulutuksia mm. Naisten Valmiusliitolle ja toimii KyberVPK:ssa vapaaehtoisena.

KyberVPK on noin kolmenkymmenen suomalaisen kyberasiantuntijan muodostama vapaaehtoisorganisaatio, joka perustettiin keväällä 2020 auttamaan erityisesti terveydenhuollon toimijoita ja muiden kriittisten toimintojen tuottajia kyberuhkien ratkaisemisessa ja ennaltaehkäisemisessä. Jäsenet työskentelevät päivätyössään Suomen eturivin IT-alan yrityksissä, mutta KyberVPK:n asioissa kaikki toimivat vapaa-ajallaan eivätkä edusta työnantajiaan.

KyberVPK:n tavoitteena on yhteisöjen, yhteiskunnan, EU:n ja maailman hyvää. Haluamme mahdollistaa muita auttavien tahojen keskittymisen omiin tehtäviinsä kaikkia koskettavien uhkien alla, minimoiden kyberhäiriöistä ja -häiriköistä aiheutuvat haitat. Tarjoamme palveluita veloituksetta esimerkiksi terveydenhuoltoalalle, kunnille, kouluille tai muuta teknistä apua tarvitseville yhteisöille ja kriittisiä palveluita ja toimintoja tuottaville yrityksille ja organisaatioille sekä yrityksille, joilla ei ole taloudellista mahdollisuutta pyytää apua kyberhyökkäyksiin.

Asiakkaan tarpeista riippuen kollektiivi voi auttaa ennaltaehkäisemään tietoturvaongelmia, testata asiakkaan ympäristön turvallisuutta, ratkoa yhdessä tietoturvapoikkeamia tai esimerkiksi auttaa järjestelmien turvallisessa käyttöönotossa. Lisätietoa: https://kybervpk.fi/.

Linkkejä


©SOSTE Suomen sosiaali ja terveys ry, elokuu 2020
Tämä artikkeli on osa SOSTEn verkkojulkaisua Näkökulmia järjestöjen digitaalisiin palveluihin.