Turvallisuus

Luotettavuus on yksi CSC:n tärkeistä keinosta menestyä, ja varmistettu turvallisuus on luotettavuuden kulmakivi. CSC:n asiakkaille on tärkeää, että he voivat luottaa siihen, että heidän tietonsa ovat riittävän hyvin suojattuja ja varmistettuja CSC:n palveluissa. Toimintavuotena tunnistimme kasvavia kyberturvallisuusriskejä ja vastaavasti tiukentuvia turvallisuusvaatimuksia niin asiakkaiden kuin valtiovallankin taholta.

Tiukentuvat turvallisuusvaatimukset näkyivät CSC:lle asiakkaiden toimeksiannosta toteutettuina turvallisuusauditointeina ja valtiovallan pyrkimyksenä vahvistaa suomalaisen yhteiskunnan sekä erityisesti kriittisen infrastruktuurimme turvallisuutta. CSC osallistui muun muassa auditointeihin, joita laki sosiaali- ja terveystietojen toissijaisesta käytöstä (FINLEX 552/2019) edellyttää käyttöympäristön turvallisuuden toteamiseksi. Lisäksi CSC:lle myönnettiin viranomaistodistus siitä, että yhtiö noudattaa kansallisen Katakri 2020 -turvallisuusauditointikriteeristön turvallisuusluokkaa IV turvallisuusjohtamisen ja fyysisen turvallisuuden osa-alueilla.

CSC:n turvallisuuden hallintajärjestelmälle on myönnetty vuodesta 2013 lähtien arvostettu kansainvälinen ISO 27001 –sertifikaatti. Se osoittaa kansainväliseen tietoturvanstandardiin ja luotettaviin ulkopuolisiin arviointeihin perustuen, että yhtiöllä on kyky hallita, johtaa ja jatkuvasti parantaa palveluidensa ja toimintansa tietoturvallisuutta. Sertifikaatti on jo aiemmin kattanut CSC:n datakeskukset, ICT-alustat, digitaalisen pitkäaikaissäilytyksen ja IaaS-pilvipalvelut. Toimintavuonna sertifikaatin kattavuutta laajennettiin koskemaan myös eDuuni-yhteistyöalustaa ja Tiimeri-alustan yllläpitoa.

CSC:n turvallisuuden hallintajärjestelmä perustuu parhaisiin kansainvälisiin turvallisuuskäytäntöihin ja riskienhallinnan suunnitteluun, jossa huomioidaan turvallisuusvaatimusten suhde liiketoimintavaatimuksiin. Yhtiön hallitus katselmoi riskienhallinnan periaatteet vuosittain. Sekä hallitus että toimiva johto tarkastelevat yhtiön riskimaastoa säännöllisesti osana normaalia toimintaansa. Merkittävät tietoturvaan ja tietosuojaan liittyvät poikkeamat käsitellään CSC:n johtoryhmässä. CSC:n palveluihin liittyviä ohjeita, vastuita, luokittelua ja palvelujen saatavuuden toteutumista seurataan CSC:n sisäisen tuotantokatalogin perusteella. Hallintajärjestelmä on kuvattu tarkemmin sidosryhmille yhtiön verkkosivulla kohdassa tietoturva.

CSC:n tietosuojatoimet on integroitu osaksi CSC:n jokapäiväistä toimintaa ja henkilöstön tietosuojaosaamiseen on panostettu merkittävästi koulutuksen avulla. Muun muassa henkilöstön tietosuojaosaamisen sertifiointikoulutukset käynnistyivät ja tietosuojariskien arvioinnista järjestettiin koulutusta. CSC rakensi käyttäjärekisteröitymisen portaaliinsa (myCSC) toiminnon, jolla laskentakapasiteettia hakeva sopii henkilötietojen käsittelystä. Se vähentää riskiä, että CSC:n palveluissa käsiteltäisiin henkilötietoja ilman sopimusta.

CSC:n tietoturvakompetensseja on vahvistettu mm. järjestämällä 20:lle CSC:n avainylläpitäjälle laaja teknisen tietoturvan koulutus, joka johtaa  arvostettuun kansainväliseen SSCP (Systems Security Certified Practitioner) osaamissertifiointiin. CSC:n kehittäjille ja ketterän kehityksen sekä jatkuvan järjestelmäintegraation asiantuntijoille järjestettiin räätälöity haavoittuvuuksien ja heikkojen konfiguraatioiden hallintaan kohdennettu tietoturvakoulutus.

Funet CERT -havaintotilastot

Haavoittuvuuksien ennakoiva hallinta on tietoturvallisuuden keskeisiä elementtejä. Funet CERT kerää ja välittää tietoa haavoittuvuuksista sekä tietoturvapoikkemista.

Skannatut IP-osoitteet

Funet CERT:in haavoittuvuusskannaukset tutkivat suuren määrän IPv4- ja IPv6-osoitteita.

Haavoittuvuuksien ja heikkojen konfiguraatioiden hallinta on poikkeamanhallinnan lisäksi käyttöturvallisuuden ydinprosesseja. CSC kerää ja käsittelee suuria haavoittuvuuksiin liittyviä tietomääriä ja pyrkii aina toimimaan ennakoivasti haavoittuvuuksien osalta.

Turvallisuusohjeet ja -sopimukset tai turvallisuusviestintäkään ei vielä takaa, että kaikki osalliset osaavat toimia oikein turvallisuuspoikkeaman selvittämisessä, tämän vuoksi CSC osallistuu säännöllisesti tietoturvaharjoituksiin, joissa käsitellään myös tietosuojan tietoturvapoikkeamia.

CSC on toteuttanut kriisiharjoituksia, joiden tavoitteena on harjoitella organisaation keskinäistä yhteistyötä ja toimintakykyä tilanteissa, joissa palveluiden tietoturva tai tietosuoja vaarantuu.

Viime kädessä CSC:n johto varmistaa, että CSC:n palvelut ovat riittävän turvallisia. CSC:n johto suorittaa säännöllisia turvallisuuskatselmuksia, jossa käsitellään myös riskienhallintaa. Strategiset riskit käsitellään CSC:n hallituksessa.

Takaisin ylös Siirry yhteiskuntavastuun sivulle