Tämä on blogisarjamme ensimmäinen osa: NÄE – Tilannekuva.
Monessa kunnassa tietoturvasta puhutaan isosti vasta silloin, kun jokin menee pieleen. Usein yksittäiset ongelmat tunnistetaan, mutta kokonaiskuva jää puuttumaan.
Tietoturvan eteen tehdään kunnissa paljon hyvää työtä. Vastuu on jaettu monille rooleille, toimialoille ja asiantuntijoille. Silti lopputulos on usein sama: kun jokainen hoitaa vain omaa tonttiaan, kokonaisuus hämärtyy ja tietoturvaa on vaikea johtaa. Tästä seuraa helposti se, että investoidaan teknisiin ratkaisuihin tietämättä mitä sillä saavutetaan, häiriöt tulevat ”yllätyksinä” ja poikkeamatilanteissa ei ole selvää kuka vastaa mistäkin. Poikkeamien seurauksina voi olla toiminnan halvaantuminen pitkiksikin ajoiksi.
Kuvitellaan tilanne: Kunnan hallinnon käyttämä M365-ympäristö on pystytetty huolella ja tietoturva-asetuksiin on kiinnitetty huomiota. Sivistystoimen palveluissa käytössä oleva M365 -ympäristö on laitettu pystyyn, mutta kukaan ei oikeastaan muista kenen toimesta. Eräänä päivänä huomataan, että opetusympäristön kautta on päästy käsiksi kunnan sisäisiin taustajärjestelmiin.
Tässä kohtaa heräävät kysymykset: Onko kyseessä tekninen häiriö vai tietomurto? Onko tietoihin kajottu?
Ilman kunnollista tilannekuvaa koko kunnan palveluja ajetaan alas varmuuden vuoksi ja toiminta lamaantuu päiviksi.
Tilannekuva ei ole raportti tai tekninen auditointi. Se on yhteinen ymmärrys vastauksista kysymyksiin kuten:
- Mitkä kyberuhat koskettavat meitä juuri nyt?
- Missä ympäristöissä riskit oikeasti syntyvät?
- Miten uhkat eroavat hallinnon, opetuksen ja muiden toimialojen välillä?
Esimerkiksi hallinnon ja opetuksen toimintaympäristöt ovat tietoturvan näkökulmasta hyvin erilaisia: Hallinnossa korostuu luottamuksellisuus, viranomaisvastuut ja päätöksenteon jatkuvuus. Opetuksessa iso määrä käyttäjiä ja laitteita, avoimet verkot ja laaja sovellusten kirjo sekä erilaiset tukimallit käyttäjille.
Näitä ei voi mitata samalla mittarilla, mutta niiden välinen tiedonkulku ja yhteinen tilannekuva on silti turvattava.
Tilannekuva ei ole vain IT:n työkalu, se on ennen kaikkea johdon ja luottamushenkilöiden päätöksenteon väline, joka:
- tekee riskeistä ymmärrettäviä
- auttaa priorisoimaan
- tukee investointien ja kehittämisen perustelua
Tietoturvaa ei voi kehittää, jos ei ensin nähdä missä ollaan. Kun ymmärretään, mitkä ympäristöt ovat kriittisiä, mitä kunnasta näkyy ulospäin ja mihin uhkat todellisuudessa kohdistuvat, voidaan vasta sen päälle rakentaa toimiva perustaso ja pitkäjänteinen tietoturvan johtaminen.
Tilannekuva tuo näkyväksi sen, mikä arjessa niin monesti oletetaan. Rivenan ja sen kumppaneiden tietoturvapalveluilla saat tarkistettua missä mennään, mihin pitäisi kiinnittää huomiota ja mitkä asiat vaativat tarkempaa huomiota.
Seuraavassa blogisarjan kakkososassa käsittelemme sitä, mitä pitää tehdä perustason kuntoon laittamiseksi ja viimeisessä kolmannessa osassa, miten tietoturvaa johdetaan systemaattisesti. Siis pysythän linjoilla!
Blogin kirjoittaja Sami Kallio toimii Rivenan ICT-Palveluissa tuotepäällikkönä.