Harjoittelu valmistaa kriisitilanteisiin – lue tietoturvapäälliköiden vinkit pahimman varalle

Harjoittelu valmistaa kriisitilanteisiin – lue tietoturvapäälliköiden vinkit pahimman varalle

Takana on tiukka tilanne. Yli 17 000 opiskelijan terveystiedot ovat vuotaneet verkkoon. Toimittajat ja opiskelijat tivaavat yliopistolta vastausta siihen, miten näin on päässyt käymään ja mitä aiotaan tehdä, ettei vastaavaa tapahtuisi enää koskaan.

Siitä huolimatta kuusi tietoturvan asiantuntijaa juttelevat hyväntuulisesti jakaen kokemuksiaan.

Vaikka nyt kyse on kriisiharjoituksesta, ovat tietoturvaan liittyvät uhkat tämän joukon arkipäivää. Heidän orkestroimassaan harjoituksessa käytiin juuri läpi oikeaa, mahdollista kriisitilannetta ja opeteltiin varautumaan pahimpaan.

Viestintä, viestintä, viestintä

Reilun tunnin kestäneessä niin kutsutussa työpöytäharjoituksessa kriisitilanne etenee keskustelua johtavan tirehtöörin opastuksella läpi erilaisten juonenkäänteiden. Tilannehuoneen valtuutetut etsivät keskustellen parasta ratkaisua annettuihin tehtäviin.

Eläydyttävät roolit saattoivat olla kaukana kunkin henkilön todellisesta toimenkuvasta, kun tietoturvan asiantuntija muuntautuu vaikkapa vararehtoriksi.

Harjoitus herättää pohtimaan.

– Yksi selvä havainto oli, että viestinnästä pitäisi olla valmiina pohjia. Kun ollaan hyvin pienellä tiedolla liikkeellä, niin tiedettäisiin heti, mitä viestiä, Jyväskylän yliopiston tietoturvapäällikkö Teijo Roine arvioi.

– Tieto pitää antaa varsinaiselle viestijälle eli esimerkiksi rehtorille. Ja viestintää täydennetään sitä mukaa, kun asia alkaa selvitä.

Eri skenaarioita varten tarvitaan erilaisia viestipohjia.

– Hyvänä oppina tuli myös se, että meidän pitää Aallossa pitää vastaavia harjoituksia tutkimusryhmien kanssa, Aalto-yliopiston kyberturvallisuusasiantuntija Timo Salin jatkaa.
 

Pahin tietoturvariski on ihminen

Tyypillisesti korkeakoulujen kohtaamat kriisitilanteet eivät ole yhtä vakavia kuin kriisiharjoituksessa. Työtä teettää esimerkiksi henkilön kuolema, jos tähän ei olla varauduttu varamiesjärjestelyillä tai tiedot on jemmattu henkilökohtaiseen sähköpostiin.

Asiantuntijat muistuttavatkin, että olisi hyvä varmistaa, että roolipohjaiset sähköpostiosoitteet olisi käytössä ja jatkuvuussuunnitelmat olemassa.

Muita arkisempia tietosuojatapahtumia ovat esimerkiksi vahingossa julkaistut materiaalit, tunnuksen murrot, kalastelu tai haittaohjelmat.

– Korkeakouluihin kohdistuu lisääntyviä turvallisuusriskejä ja uusia turvallisuusvaatimuksia monimutkaisten kyberriskien sekä tietosuoja-asetuksen osoittamisvelvoitteen johdosta. Enää ei riitä, että voidaan reagoida poikkeamiin, vaan kyvykkyyttä tulee myös aktiivisesti ja omaehtoisesti kehittää harjoittelemalla, sanoo CSC:n tietoturvapäällikkö Urpo Kaila.

Tietoa tulee myös jakaa korkeakoulujen kesken.

– Seinäjoella vuonna 2008 tapahtunut ampumavälikohtaus on esimerkki kriisistä, jota ei toivo tapahtuvan uudelleen missään. Seinäjoen ammattikorkeakoulu on mallikkaasti jakanut välikohtauksen johdosta tehtyjä johtopäätöksiä ja kokemuksia myös muille korkeakouluille, Kaila jatkaa.

Helppoudella on kääntöpuolensa

Lisäksi päänvaivaa aiheuttavat pilvipalvelut tai pikemminkin niiden käyttäjät: tietävätkö he aina, mitä pilvipalveluun saa ja kannattaa tallettaa.

– En lähtisi henkilötietoja sinne laittamaan, Salin kehottaa.

– Aallossa on tällä hetkellä voimassa vielä linjaus, että vain julkista tietoa. Rimaa ollaan muuttamassa ja pyritään löytämään kontrolleja: katsotaan, mitä mahdollisuuksia olisi kryptaamiseen, otetaan käyttöön monivaiheiden todentaminen (MultiFactor Authentication), ja olemme jo ottaneet Microsoftin pilvipalvelusta lokit meille talteen. Lisäksi harkitaan pilvipalvelumuurien käyttöä.

Linjaukset ovat korkeakoulukohtaisia.

Pilvipalveluihin kohdistetaan suuria toiveita esimerkiksi dokumenttien säilömiseen, mutta harva tulee miettineeksi kolikon nurjaa puolta. Kaikkia tietoja ei kansainvälisiin, kaupallisiin pilvipalveluihin opasteta korkeakouluissa tietoturvasyistä viemään. Ja entäpä varmuuskopiointi?

– Kun puhutaan backupeista, niin monet eivät ehkä ymmärrä sitä, että sieltä ei kovin vanhaa tietoa kaivellakaan, Roine kertoo.

– Palautusajat ovat oletusarvoisesti yllättävän lyhyitä. Rahalla saa ostettua lisää, mutta niillekin on omat rajansa, Salin pohtii.

"Kouluttautumiseen käytetty puolituntia saattaa säästää viikkotolkulla aikaa."

Kyberturvallisuusasiantuntija muistuttaakin, että pilvikeskusteluissa tulisi aina muistaa neljä kirjainta – DPIA, eli vaikutustenarviointi (Data Protection Impact Assessment). Arvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.

Tietoturvavastaavat painottavat, että pilvipalveluissa vastuu tiedon jakamisesta siirtyy entistä enemmän käyttäjälle ja korkeakoulun ylläpidon kontrolli vähenee. Tietoa voi jakaa helposti tarkoituksella – mutta myös vahingossa.

– Oletuksena on se, että tieto näkyy kaikille, joka vaan linkin tietää. Tämä on minusta suuri ongelma, miten saa ihmiset tajuamaan tämän, Lapin yliopiston tietoturvapäällikkö Esa Mätäsaho pohtii.

Harjoittelulla lisätään ymmärrystä

Digitalisoituvassa korkeakoulumaailmassa arvoon arvaamattomaan ovat nousseet erilaiset koulutukset ja ohjeistavat videot. Tämän joukon mukaan tietoturva-asioiden pohtimiseen käytetty hetki voi säästää jatkossa isoilta vahingoilta, kun toimintaan tulee rutiinia ja selvyyttä.

– Kouluttautumiseen käytetty puolituntia saattaa säästää viikkotolkulla aikaa, kun lähdetään käsittelemään jotain merkittävää tietosuoja-asiaa. Koko projekti ja kaikki toiminta projektiin liittyen voi olla seis. Puolituntia on siihen nähden pieni investointi, varsinkin jos käsittelee arkaluontoista dataa, Salin painottaa.

Turvallisuusorientoituneen kulttuurin kehittäminen onkin yksi tämän porukan yhteinen missio. Lähes vuosi sitten toukokuussa voimaan astuneet tietosuoja-asetus ja sen ympärillä hyllynyt hype edisti asiaa selvästi. Ymmärrys ja kiinnostus datan käsittelyyn liittyviin kysymyksiin kasvoi.

Samalla osa kuitenkin koki, etteivät tietoturva-asiat kosketa heitä, kun he eivät käsittele työssään henkilötietoja.

– Mutta heiltä meinasi unohtua, että jos heillä on suojattavaa, julkaisematonta tutkimustietoa, ja sen vuotaa jollain tavalla töpeksien omissa järjestelmissä vie vahingossa avoimeen pilveen tai muuhun vastaavaan, niin jos sen joku sieltä saa ja julkaisee, hän omistaa oikeudet, Salin sanoo.

– Tämä monesti pudottaa ihmisten leuat lattiaan. Kun tämän tajuaa, kyse ei ole enää vain tietoturva-asetuksesta vaan koko tutkimussektorista.

Suomalaiset korkeakoulut toimivat esimerkkinä muille

Korkeakoulut ovat perinteisesti olleet joukon mukaan Suomessa tietoturva-asioissa eturintamassa. Esimerkiksi tietoturva-asetusta koskenut urakka hoidettiin viime vuonna kunnialla. Seuraavaksi vuorossa on tiedonhallintalain vaatimat muutokset.

– Se vaatii nyt dokumentoimaan asioita aika tiukalla tavalla ja vaatii uutta jumppaa, Salin muistuttaa.

Kaikilla yliopistoilla on nimetyt, koulutetut tietoturvavastaavat ja yhteistyö korkeakoulujen välillä on säännöllistä.

– Korkeakoulut ovat tehneet pitkäjänteistä ja kattavaa yhteistyötä tietoturvan eri osa-alueilla. Tietoturva-ammattilaisille suunnatut korkeakoulujen tietoturvapäivät on järjestetty vuosittain jo 20 vuoden ajan isännöivän korkeakoulun, CSC:n ja korkeakoulujen SEC-ryhmän yhteistyönä, Kaila kertoo.

Tänä vuonna CSC halusi saattaa yhteen korkeakoulujen tietoturvavastaavat ja CSC:n kansainvälisiä tietoturvakumppaneita.

– Siksi CSC kutsui tietoturvapäiville Charlie van Genuchtenin Alankomaiden Surfnetista järjestämään kriisinhallintaharjoituksen. Harjoitusta on valmistelu CSC:n kanssa viime kesästä saakka, Kaila taustoittaa.

Tämä joukko, jos jotkut sen tietävät: tutkimustiedosta tulee pitää hyvää huolta. Ja tietoturva-asiat koskettavat kaikkia.
 

FAKTA:
Tietoturvan asiantuntijoiden ohjeet kriisitilanteeseen

Tee

  • Pidä pää kylmänä
  • Harjoittele
  • Suunnittele viestintävastuut ja muut roolit valmiiksi, ettei kriisitilanteessa tarvitse päättää, kuka tekee ja mitä
  • Keskity alkuun selvittämään, mitä on tapahtunut, koska ja ketä asia koskee
  • Valmistaudu tiedottamaan tarvittaville tahoille, kuten tietosuojaviranomaiselle tai talon omalle väelle
  • Nimeä kriisinhallintatiimille johtaja, joka kantaa kokonaisvastuun ja tekee päätökset
  • Ole jämäkkä. Toiminnan pitää olla tehokasta ja hyvin johdettua

     

Älä tee

  • Älä lörpöttele ulkopuolisille
  • Älä syyttele

Haastateltavina tietoturvapäälliköt Esa Mätäsaho Lapin yliopistosta, Teijo Roine Jyväskylän yliopistosta, Jan Wennström Åbo Akademista, Urpo Kaila CSC:ltä, kyberturvallisuusasiantuntija Timo Salin Aalto-yliopistosta sekä yliopistojen tietoturvaryhmän puheenjohtaja Sami Kinnunen Vaasan yliopistosta.

Pääkuva: Adobe Stock

Julkaistu alunperin 09.04.2019

Lisää tästä aiheesta » Siirry sisältöihin ja uutisiin »

Maria Virkkula