TIETOTURVALLISUUTTA TOTEUTETTAVA 24/7

Paljastuksia olutravintolassa – ”Kaisa alaviiva yksi”

Kävin ostamassa pitsaa kotiin. Koska toimitusajan epäiltiin pitenevän totutusta, päätin ottaa oluen odotellessa. Siinäpä se oli sitten hyvä nojailla Etu-Töölöläisen olutravintolan baaritiskiin ja havainnoida. Kiinnitin huomioni kahteen hyvin pukeutuneeseen ja jo hieman varttuneemmassa iässä olevaan herrasmieheen. Keskustelu kulki oluen siivittämän avoimena ja kuuluvana. Olin pakotettu kuulemaan, vaikka en kuunnellut.

”Meillekin tuli sitten sellainen pilvisähköposti.” sanoi ensimmäinen herra.
”No niin sitä pitää! Että tiedot jakoon vain.” kommentoi toinen.
”Älä muuta sano! Ja samassa rytäkässä piti sitten vaihtaa se salasanakin. Pitää nykyisin sisältää ihan erikoismerkkejä ja kaikkea.”
”Kuulostaa tosi vaikealta…”
”No. Lisäsin Kaisaan, vaimon nimeen, alaviivan ja ykkösen. Hyvin meni läpi!”

Suurin murhe on inhimillinen

Tarina kuulostaa täysin absurdilta, mutta on tosi. Kyseessä on mielestäni malliesimerkki siitä, kuinka tietoturvallisuuspanostukset voivat valua hikenä hiekkaan. Juuri pilvipalveluiden tietoturvasta ja tietosuojasta puhutaan paljon. Varsin yleinen väittämä on, että jokaisen vähänkin asiaan vihkiytyneen tulee ymmärtää, että pilveen tallennettu tieto on vaarassa päätyä vääriin käsiin. Toki tällaistakin tapahtuu. Mutta harvemmin. Pilviratkaisuiden tietoturvapanostukset ovat sitä luokkaa, että paljon puhuttu ”Lielahden Eurojackpot -voitto” olisi niissä kisoissa lähinnä pyöristysvirhe. Siksi uskallankin väittää, että suurin murhe ei ole tekninen, vaan inhimillinen.

Olen viimeiset kolme vuotta toiminut hallinnollisen tietoturvallisuuden parissa. Näissä merkeissä olen tavannut yhden jos toisenkin organisaation. Käydyt keskustelut ovat varsin usein johtaneet tekniikkaan. Se kun on kuin sää; siitä on niin kovin helppo puhua. Paljon vaikeammaksi on osoittautunut keskustelu tulevasta EU:n tietosuoja-asetuksesta: se nimittäin edellyttää, että tekniikan lisäksi myös hallinnollisen puolen on oltava kunnossa. Otetaan esimerkki asetuksen vaateista. Jos lähtökohtana on nyt se, miten yksilön toiminta vaikuttaa organisaation tietosuojaan, on asia jatkossa päinvastoin. Eli kysymys kuuluu: miten organisaation toiminta vaikuttaa yksilön tietosuojaan?

En usko, että suurilla pilvipalveluoperaattoreilla tulee olemaan merkittäviä haasteita tämän pykälän täyttämisessä. Niiden jatkuvuus on maineesta kiinni – panostus tietoturvallisuuteen niin sanotusti ”pysyy ja paranoo”. Mutta pilvipalveluissa, kuten kaikissa muissakin palveluissa, on yksi perustavanlaatuinen ongelma: ne ovat juuri niin turvallisia, kuin me käyttäjät haluamme niiden olevan.

Tietoturvallisuutta toteutettava 24/7

Organisaatiot ovatkin haasteellisen tehtävän edessä. Miten saada henkilöstö ymmärtämään, että tietoturvallisuus on kokonaisvaltainen asia ja sitä tulee toteuttaa 24/7? Tämä ongelma ei harmittavasti ratkea tekniikalla. Ei ainakaan vielä. On siis pystyttävä kertomaan selkokielellä, että pahimmillaan viimeisen päälle suojatusta ympäristöstä saattaa muutamalla huonosti valitulla sanalla muotoutua varsin suojaton. Ja sen seurauksena on Kaisan yksityisyys uhattuna. Kuten myös organisaation maine. Ja tätä eivät kumpikaan halua. Eikä kukaan muukaan.

Matti Timonen on tehnyt pitkän uran IT- alalla. Hän on toiminut mm. tietohallintojohtajana logistiikka- ja IT -yrityksissä ja vetänyt myös liiketoimintayksikköä. Tällä hetkellä hän toimii hallinnolliseen tietoturvaan keskittyneessä Fordione Oy:ssä konsulttina ja hallituksen puheenjohtajana. Hän on myös yksi yrityksen perustajista.