Tietoturvatietoisuuden edistäminen

Koko: px
Aloita esitys sivulta:

Download "Tietoturvatietoisuuden edistäminen"

Transkriptio

1 Tietoturvatietoisuuden edistäminen Seminaariraportti Tampereen teknillinen yliopisto Tietoliikennetekniikan laitos Seminaari, Tietojenkäsittelyn turvallisuus (TLT-3600) Talvilukukausi Jukka Koskinen (toim.) versio Copyright (c) 2009 Jukka Koskinen, Jaakko Huhtapelto, Juha Kaarela, Ismo Kantola, Petri Kosonen, Arttu Leppälä, Timo Mähönen, Antti Orava, Pauli Pieniniemi Tämän teoksen käyttöoikeutta koskee lisenssi Creative Commons Nimeä-Tarttuva 1.0 Suomi

2 Sisällysluettelo 1 Johdanto Seminaari Raportin kirjoittajat ja sisältö ENISA:n käyttäjän opas tietoturvatietoisuuden lisäämiseksi Oppaan kohderyhmät, tavoitteet ja perustelut Oppaan tapa toteuttaa tietoturvatietoisuuden lisäämisen hanke Onnistumisen esteet ja ratkaisevat menestystekijät onnistumisessa Päätelmät Lähteet Tietoturvatietoisuuden hallinta naapurimaiden paikallishallinnossa Taustaa tutkimukselle IT riskienhallinta Tietoturvallisuuden johtaminen Politiikan täytäntöön paneminen Tietoisuuden hallinta Yhteenveto raportin sisällöstä Lähteet Tietoturvatietoisuuden mittaaminen TTT:n mittaaminen ja sen haasteet TTT:n mittaamisen eri lähestymistavat Kokonaiskuva TTT:n mittaamisen osa-alueista Lähteet Tietoturva-auditoija ja luottamus Tietoturva-auditointi Tietoturva-ammattilainen Lähteet Tietosuojapolitiikat ja käyttöoikeussopimukset Verkkosivujen tietosuojapolitiikat Käyttöoikeussopimukset Yhteenveto Lähteet SANS-politiikkamallien arviointi Tietoturvapolitiikka yleisesti SANS-politiikkamallit Arviointi Yhteenveto Lähteet Tietoturvatietoisuuden lisäämisohjelma Tietämyksen tasot Työvaiheet Päätelmät Lähteet Tietoturvatietoisuuden edistäminen pienissä ja keskisuurissa yrityksissä Tietoturvallisuus ja pk-yrityksen henkilöstön roolit Yhteenveto Lähteet Tietoturvatietoisuus finanssialan yrityksissä Liiketoimintaympäristö Implementointi...59 ii

3 10.3 Yhteenveto Lähteet CERT-FI CERT-toiminta Mikä on CERT-FI? CERT-FI:n tilastot CERT-FI:n vaikutus kansalliseen tietoturvatietoisuuteen Lähteet BSI, Saksan tietoturvavirasto Johdanto BSI organisaationa Palvelut BSI:n anti suomalaisille Yhteenveto Lähteet VAHTI-toiminta ja sen arviointi Johtoryhmä Tavoitteet ja tehtävät VAHTI-ohjeisto ja tietämyksen tasot Järjestetyt tilaisuudet ja yhteistoiminta VAHTI-toiminnan arviointi Lähteet Verkkohuijaukset haasteena tietoturvatietoisuuden edistäjille Internetin uhat Huijaukset CERT-FI Apuvälineitä phishingin torjuntaan Lähteet Social engineering Mitä on social engineering? Social engineeringiltä suojautuminen Päätelmät Lähteet Sähköisen laskunkäsittelyn tietojärjestelmät Johdanto Sähköisen laskun tilanne Suomessa ja tulevat SEPA asiat Sähköisen laskun prosessi Sähköisen laskunkäsittelyn tietojärjestelmä ja liittymät muualle Tietoturvanäkökulmia ulkoisista liittymistä Sähköisen laskunkäsittelyjärjestelmän käyttäjäryhmät OpusCapita Invoice Management SaaS -malli ja taloushallinnon ohjelmistot Yhteenveto Lähteet Turvaluokitellun ympäristön tietoturvaongelmat Turvaluokiteltu ympäristö Tietoturvaongelmat Lähteet iii

4 1 Johdanto Tämä dokumentti on editoitu kooste seminaarikirjoitelmista, jotka syntyivät talvella Tampereen teknillisen yliopiston (TTY) kurssilla. Tässä luvussa esitellään hieman seminaaria sinänsä, valittuja aiheita sekä dokumentin sisältöä. 1.1 Seminaari Tietoturvallisuuden opetusohjelmaan TTY:llä kuuluu kaksi seminaaria joka lukuvuoden aikana. Niille valitaan aina jokin rajattu aihe, joka syksyllä alkavassa seminaarissa liittyy tietojenkäsittelyyn ja keväällä tietoliikenteeseen. Tietojenkäsittelyn tietoturvan seminaarissa kohteena oli ensimmäisellä kerralla vuonna 2003 ohjelmointi, toisella käyttöjärjestelmä, kolmannella laitteisto ja muu alimman tason tietoturvallisuus. Neljännellä kerralla palattiin "huipulle" ja aiheena oli tietoturvallisuuden "mittaaminen, mallintaminen ja muovaaminen". Tällä ja viime kerralla pysyttiin yhä yläkerroksissa. Viime kerralla aihepiirissä ja sen käsittelyssä oli silti mukana runsaasti konkretiaa, kun kohteena oli tietoturvallisuus ja käytettävyys. Tällä kuudennella kerralla seminaarin teema, tietoturvatietoisuuden edistäminen vaikutti ensikuulemalta olevan tyystin yläilmoissa. Sen taustana ja motivaationa oli Tietoliikennetekniikan laitoksen hankesuunnitelma, jonka tavoitteena on yhteisöllisesti kehitettävä tietoturvallisuuden opetusportaali. Seminaarin kuluessa suunnitelmasta tuli hanke ja sen kohteesta on alkanut muodostua ensimmäinen virallinen osa yleisemmin tietoliikennetekniikkaa käsittelevää JOPportaalia Yhdeksi konkreettiseksi lähtökohdaksi seminaarin teemalle asetettiin Euroopan tieto- ja verkkoturvavirastossa ENISAssa tehty työ, joka on nimenomaan sisältänyt tietoisuuden edistämistä. Tästä saatiin seminaariin useita hyviä työaiheita. Euroopalle vertailukohdaksi otettiin USA:n NIST:n. Koska osallistujia oli tulossa aiempaa enemmän, tietoisuuden kenttää myös jaoteltiin ja laajennettiin: kansalaisiin, yrityksiin, ammattilaisiin. Lisäksi oli ajatuksena mahdollisesti etsiä kytkentöjä tietoturvasta kiinnostuneiden yhteisöjen toimintaan ja sen suojauksiin. Tämä olisi palvellut mainitun portaaliyhteisön luomista, mutta tällaisiin työaiheisiin ei päädytty. Jotkin työaiheet sivusivat sellaisia tietoa välittävien portaalien tapaan ainakin maallikolle näyttäytyviä organisaatioita kuin Saksan BSI, yhdysvaltalainen SANS ja Suomen VAHTI ja CERT- FI. Näiden toiminnasta tarjoutuu tässä raportissa nyt tietopaketteja, jotka eivät kuitenkaan ole sidoksissa JOP-hankkeeseen. Alkuperäisessä seminaariesittelyssä mainittiin vielä, että jos aiheissa tuntuisi tulevan toistoa, voidaan hieman kurkottaa organisaatioiden henkilöstöhallinnon suuntaan. Tähänkään ei suoraan menty, mutta finanssialasta, laskutusjärjestelmistä ja turvaluokitelluista ympäristöistä tehdyt työt sivuavat jossain määrin tätäkin teemaa. Konkreettisimmin tietoturvatietoisuuden sisältöä koskevat seminaariaiheet liittyivät verkkohuijauksiin ja ihmisellisiin huijauksiin (eli aiheisiin phishing ja social engineering) sekä käyttöoikeuksien politiikkoihin. Omalla tavallaan tällaista sisältönäkökulmaa edustaa myös tietoturva-auditoijan sertifioinnin ja luotettavuuden käsittely. Yleisesti tutkintovaatimuksena on kaksi omaa seminaarityötä ja esitelmää sekä aktiivinen, oppiva osallistuminen seminaari-istuntoihin. Seminaari-istunnoista muodostui tälläkin kerralla aktiivisia ja opettavaisia tilaisuuksia. Kumpaakin esitelmäkertaa tehdyt käsikirjoitukset olivat yleensä edeltävänä iltana toisten ja erityisesti opponentin nähtävillä kurssin Moodle-alustalla. Toisen versionsa tekijät muokkasivat ottamaan huomioon keskustelussa esiintulleet näkökulmat ja tietenkin kurssin vetäjän eli toimittajan huomautukset. Kirjoitelmien pituusohjeena oli noin 2500 sanaa ja 1

5 miniminä Yleensä päädyttiin minimin tuntumaan. Selvästi sen alle jäänyt opiskelija sai tehtäväkseen tämä raportin teknisen kokoamisen. 1.2 Raportin kirjoittajat ja sisältö Raportin pääosa koostuu 16 seminaarikirjoitelmasta. Seuraavassa on mainittu kirjoittajat ja heidän kahden kirjoitelmansa tiivistetyt otsikot ja sijainti tämän raportin lukuina. Lyhenteellä TTT tarkoitetaan tässä ja joissain kirjoitelmissa tietoturvatietoisuutta. Jaakko Huhtapelto 10. TTT finanssialalla 7. SANS-politiikkamallit Juha Kaarela 3. TTT naapurimaiden paikallishallinnossa 13. VAHTI Ismo Kantola 2. ENISAn TTT-opas 4. TTT:n mittaaminen Petri Kosonen 12. Saksan tietoturvavirasto 16. Sähköinen laskunkäsittely Arttu Leppälä 8. NIST:n TTT-ohjelma 15. Social engineering Timo Mähönen 14. Verkkohuijaukset 5. TT-auditoijat Antti Orava 11. CERT-FI 17. Luokiteltu tietoturva Pauli Pieniniemi 9. Yritysten kategoriavertailut (ENISA) 6. Käyttöoikeuksien politiikat Kultakin kirjoittajalta ensinnä on mainittu 1. kierroksen työ ja toisena 2. kierroksen. Näiden luonne eroaa sikäli, että 1. kierroksella ei seminaarin määritysten mukaan ollut vielä pakko etsiä itse lähteitä, yhdistellä ja arvioida useiden lähteiden tietoja ja/tai pyrkiä konkretiaan ja omakohtaisuuteen. Raportin sisältö puolestaan on jäsennetty löyhästi joistakin ENISA-pohjaisista aiheista aloittaen (2, 3, 4) ja sellaisiin yritysnäkökulmasta palaten (9, 10). Välissä on luottamusta ja politiikkoja (5, 6, 7) ja NIST-näkökulma TTT:n edistämiseen (8). Raportin loppupuoli muodostuu kolmesta teemaalueesta: organisaatiot (11, 12, 13), huijaukset (14, 15) ja erityiset järjestelmät (16, 17). Toimittaja on muokannut tekstejä lähinnä vain kielen ja asettelun osalta, hyvin vaihtelevasti tosin. Tyylin yhtenäistämiseen ei ole ryhdytty eikä tekstejä muutenkaan ole yritetty saada tasalaatuisiksi. Joidenkin kirjoitelmien liityntä TTT-aiheeseen on hieman löyhempi kuin toisten. Mahdollisista puutteistaan huolimatta kaikki kirjoitelmat tarjoavat hyvää aineistoa tietoturvallisuuden opiskelijoille. Raportin esitiedoiksi soveltuu TTY:n Tietoturvallisuuden jatkokurssi, jonka verkkoaineisto löytyy osoitteesta Siellä on käytettävissä aakkosellinen hakemisto, joka nopeuttaa asioiden löytämistä. 2

6 2 ENISA:n käyttäjän opas tietoturvatietoisuuden lisäämiseksi Useiden asiantuntijoiden mukaan ihminen on yleensä tietoturvan heikoin lenkki. Teknisesti tietoturvaa on aina mahdollista parantaa, mutta ihminen voi helposti kiertää tietoturvan tai laiminlyödä oman osuutensa tietoturvan toteuttamisessa ja siten mitätöidä tietoturvainvestointien hyödyt. Tietoturvan toteuttamisessa yrityksissä työntekijöiden rooli on siis varsin merkittävä ja se on usein jäänyt vähemmälle huomioille kuin ansaitsisi. Tätä voidaan myös tarkastella valtioiden näkökulmasta, jolloin on myös kyse valtion ja sen organisaatioiden kilpailukyvyn varmistamisesta globaalissa kilpailussa. Tässä luvussa esitellään ja arvioidaan lyhyesti alan kirjallisuuden perusteella Euroopan verkko- ja tietoturvaviraston (engl. European Network and Information Security Agency), ENISA:n, käyttäjän opasta tietoturvatietoisuuden lisäämiseen. Opas on tarkoitettu kaikkien EU:n jäsenvaltioiden käyttöön tietoturvatietoisuutta lisäävien hankkeiden toteuttamiseksi. Luvussa 2.1 aloitetaan esittelemällä oppaan kohderyhmä, tavoitteet ja perustelut. Seuraavassa luvussa käydään läpi oppaan tapa tehdä tietoturvatietoisuuden lisäämishanke. Luvussa 2.3 nähdään, miten opas esittelee onnistumisen esteet ja ratkaisevat menestystekijät onnistumisessa. Lopussa on päätelmät oppaasta. 2.1 Oppaan kohderyhmät, tavoitteet ja perustelut ENISA:n käyttäjän opas tietoturvatietoisuuden lisäämiseen on tarkoitettu EU:n jäsenvaltioiden käyttöön ohjeeksi siitä, miten tietoa lisäävät aloitteet ja ohjelmat voisi toteuttaa sekä mitä ottaa huomioon niitä tehdessä [1, s. 6]. ENISA:n tavoite asiakirjalla on [1, s. 8]: kuvata tietoturvatietoisuutta lisäävien aloitteiden suunnittelua sekä laatia ja toteuttaa mallistrategia. korostaa tietoa lisääviin aloitteisiin liittyviä mahdollisia riskejä, jotta tällaiset ongelmat vältettäisiin tulevissa ohjelmissa. luoda edellytykset tietoa lisäävien ohjelmien tehokkuuden arviointia varten. kehittää viestintäsuunnitelma. esittää asiakirjapohjia ja välineitä, joita tietoa lisäävät työryhmät voivat käyttää lähtökohtana. vaikuttaa tietoturvakulttuurin kehittämiseen jäsenvaltioissa edistämällä käyttäjien vastuullista ja siten turvallisempaa toimintaa. Vaikka opas on tarkoitettu EU:n jäsenmaille, on myös tärkeä huomioida, että opas nostaa esiin kaksi tärkeää kohderyhmää tietoturvatietoisuushankkeille jäsenmaissa. Nimittäin kotikäyttäjät ja pienet ja keskisuuret yritykset [1, s. 6, 8-9]. Tämä korostus on hyvä, sillä tällä painotuksella saadaan varmasti suurin vaikutus yhteiskuntaan ja näissä kohderyhmissä on useiden kirjoittajien ja tutkimusten mukaan eniten parannettavaa tietoturvatietoisuudessa myös Suomessa [2 ; 3 ; 4, s. 40 ; 5]. ENISA:n oppaassa on kotikäyttäjät jaettu nuoriin, aikuisiin ja seniorisurffaajiin. Nuoret on ehdotettu vuotiaiksi, aikuiset yli 16-vuotiaiksi ja seniorisurffaajat henkilöiksi, jotka ovat syntyneet ennen vuotta Nuorilla yhteisenä piirteenä nähtiin se, että he ovat kasvaneet jäsenvaltiokohtaisessa tieto- ja viestintäteknisessä ympäristössä ja he ovat hyvin oppimiskykyisiä ja kokeilevia eri tekniikoiden suhteen. Aikuiset taas ovat vain osittain kasvaneet tieto- ja viestintäteknisessä ympäristössä riippuen jäsenvaltiosta ja heissä ovat suurimmat vaihtelut tietämyksessä, olemattomasta huippuosaamiseen. Seniorisurffaajat ovat puolestaan kasvaneet ilman 3

7 tieto- ja viestintätekniikkaa ja tästä syystä heidän tietämyksensä on vähäistä tai olematonta. Vaikka he voivat olla kiinnostuneita käyttämään eri palveluita, he saattavat olla epäluuloisempia ja suhtautuvat varauksellisesti tekniikkaan. [1, s. 8-9.] Pk -yritykset ovat oppaassa kaikki alle 250 työntekijän yritykset. Ne on jaettu mikroyrityksiin, pieniin yrityksiin ja keskisuuriin yrityksiin. Mikroyrityksiksi lasketaan EU:ssa alle 10 työntekijän yritykset, joissa liikevaihto ja/tai tase on maksimissaan 2 M. Pieniin yrityksiin taas alle 50 työntekijää työllistävät 10 M liikevaihdon ja/tai taseen yritykset. Keskisuuria yrityksiä ovat puolestaan enintään 50 M liikevaihdon ja/tai maksimissaan 43 M taseen omaavat alle 250 työntekijää työllistävät yritykset. Oppaassa mainitaan, että pk-yritysten käyttäjät voidaan jakaa neljään alaluokkaan: johtaja/omistajaan, tietotekniseen johtoon, yritysjohtoon ja työntekijöihin. [1, s ] 2.2 Oppaan tapa toteuttaa tietoturvatietoisuuden lisäämisen hanke ENISA on jakanut hankkeen kolmeen vaiheeseen, jotka ovat 1) suunnittelu & selvittäminen, 2) toteutus & johtaminen ja 3) arviointi & muutokset [1, s. 12], kuten kuvassa 1. ENISA:n oppaassa ei varsinaisesti kerrota, miten vaiheiden välillä liikutaan, joskin se on intuitiivisesti varsin selvää eli ensin suunnitellaan ja selvitetään, sen jälkeen suunnitelma toteutetaan ja sitä johdetaan. Lopuksi suunnitelman toteutus arvioidaan ja siihen tehdään muutoksia ajan saatossa. Näin toteutuksen, arvioinnin ja muutostenteon väliin jäädään kiertämään kunnes on aika tehdä kokonaan uusi hanke tietoturvatietoisuuden nostamiseksi. Kuva 1. Kokonaisstrategia tietoa lisäävien aloitteiden ja ohjelmien toteuttamiseksi [1, s. 12]. 4

8 Kuvassa 1 olevat kolme vaihetta sisältävät useampia asioita/tehtäviä, jotka on lueteltu vaiheiden alapuolella olevissa laatikoissa. Seuraavaksi esitellään niitä vaiheiden mukaisissa alaluvuissaan Suunnittelu ja selvittäminen Suunnittelun ja selvittämisen vaiheen alussa ensimmäisenä perustetaan alustava työryhmä, joka hoitaa koko ensimmäisen vaiheen loppuun saakka. Seuraavassa asiassa/tehtävässä, muutoksenhallintaan perustuvassa lähestymistavassa, korostetaan lähinnä sitä, että ohjelmassa on käytettävä muutoksenhallintaan perustuvaa lähestymistapaa ja käydään läpi mitä asioita se pitää sisällään. Näitä ovat muun muassa sidosryhmien päätöksentekoon mukaan ottaminen ja heidän kanssaan muutoksen tavoitteiden määrittäminen, hankkeen riskienhallinta, muutosjohtaminen, muutoksien hallinta ja tukeminen, muutoksien yhdenmukaistaminen, vastuiden ja tehtävien rajaaminen, toimintatapojen ja kulttuurin muutos koulutuksen ja kehittämisen avulla, muutoksista oppiminen ja avoin, selkeä ja oikea-aikainen viestintä. [1, s. 16.] Kolmatta asiaa, johdon asianmukaista tukea ja rahoitusta, on taas käsitelty hankkeen kustannushyötyanalyysin ja hyötyjen selvittämisen näkökulmista, joilla johdon tuki ja rahoitus hankkeelle on saatavissa. Tavanomaisiksi kustannuksiksi hankkeissa mainitaan henkilöstö- ja mainoskulut, tiedotusaineiston kulut ja tulosteet. Hyötyinä pidetään muun muassa toimintaohje- tai käytäntösuosituksista tiedottamista, tiedon jakamista tietoturvariskeistä ja valvonnasta, ihmisten ymmärryksen lisääntymistä omista vastuistaan tietoturvassa, ihmisten motivaation kasvua tietoturva-asioissa, tietoturvapuutteiden lukumäärän ja suuruuksien pienentämistä ja tietoturvavalvonnan yhdenmukaisuuden, tehokkuuden ja kustannustehokkuuden kehittämistä [1, s ] Ohjelmaan tarvittava henkilöstö ja välineistö -kohdassa taas selvitetään henkilöstöön ja välineisiin liittyvät tarpeet. Oppaassa suositellaan etsimään ensisijaisesti organisaation sisältä tarvittavia resursseja ja mainitaan, että erityisesti tietotekniikan, henkilöstöasioiden, viestinnän ja koulutus- tai kehittämisasioiden parissa työskentelevät olisivat todennäköisimmin soveltuvimpia tähän työhön. Myös internetistä, kollegoilta ja jopa muilta jäsenvaltiolta on saatavissa paljon arvokasta ja hyödyllistä tietoa, jota on hyödynnettävissä hankkeessa. Tämän kohdan lopputuloksena syntyy luettelo parhaista ratkaisuvaihtoehdoista. [1, s. 19.] Ratkaisuvaihtoehtojen arvioinnissa arvioidaan edellisestä kohdasta syntyneet ratkaisuvaihtoehdot sekä arvioidaan, toteutetaanko tiedotusohjelma organisaation sisäisin voimin vai käytetäänkö sen toteuttamiseen ulkoista toimijaa. Jos ulkopuolista käytetään, on oppaassa esitelty tavanomaisen tarjousmenettelyn päävaiheet. [1, s ] Toimintasuunnitelman laatimisessa kirjataan pelkästään tärkeimmät toimet, joille vahvistetaan varat, aikataulut ja välitavoitteet. Ohjelman kehittyessä toimintasuunnitelmaa täydennetään. [1, s. 22.] Ohjelman päämäärät ja tavoitteet määritetään seuraavassa kohdassa. Siinä korostetaan että päämäärät ovat laajoja, abstrakteja, käsitteellisiä yleisiä aikomuksia ja niitä ei voi vahvistaa, kun taas tavoitteet ovat suppeita, täsmällisiä, aineellisia, konkreettisia ja ne on vahvistettavissa. Kohdassa myös nostetaan esiin ohjelmaan liittyviä kysymyksiä, joihin täytyy ottaa tässä vaiheessa kantaa, kuten: mitkä ovat ohjelman erityisalueet ja niiden käsittelytapa? millainen aikataulu olisi sopiva? mikä on tiedon ja yksityiskohtien sopiva määrä? pyritäänkö muuttamaan ihmisten toimintatapoja vai pelkästään saada ihmiset tietoiseksi turvallisuudesta? yleistä vai erityistietämystä kohderyhmille? 5

9 jatkuva ohjelma vai kertaluonteinen kampanja? mikä on ohjelman toteuttamistapa? [1, s. 22.] Kohderyhmien rajaaminen -kohdassa määritetään ohjelman kohdeyleisö pohtimalla seuraavanlaisiin kysymyksiin vastauksia: Kenet ohjelmalla on tarkoitus tavoittaa? Mitkä ovat kohderyhmien tietotarpeet? Eroavatko kohderyhmien tiedot ja käsitys tietoturvasta? ja millainen viestintätapa olisi soveltuvin kohderyhmille? [1, s ] Ohjelman kehittäminen ja tehtävien tarkistuslistat -kohdassa vuorostaan keskitytään ohjelman toteutussuunnitelman viimeistelyyn, johon kuuluvat myös aiheiden luettelointi, arviointi hyödyllisyyden mukaan, lopullinen valinta ja aiheiden ajallinen jaksottaminen sekä ohjelmaa koskevat vaatimusten viimeistely [1, s. 24]. Tehtävien tarkistuslistoista, otsikosta huolimatta, ei kohdassa puhuta mitään, mikä sinänsä jää arveluttamaan. Ehkä kirjoittajilta se on kohdasta unohtunut kokonaan. Viestintäsuunnitelman laadinta on keskeisin vaihe ohjelmaa ja sen tehokas suunnittelu ratkaisee ohjelman onnistumisen. Tämä kohta on jaettu tehokkaaseen viestintään, viestintäkanaviin ja ohjeisiin viestinnän suunnittelussa. Tehokkaassa viestinnässä käydään läpi mitkä ovat tehokkaan viestinnän perusperiaatteet, sanomassa huomioitavat asiat ja lisäarvoa tuottavat asiat, kuten esimerkiksi palautteen kerääminen, viestintäkampanjan arviointi, tietoisuuden lisäämisen mittaus ja ENISA:n kaltaisten organisaatioiden tai muiden maiden tuottama lisäarvo. Lisäksi tehokkaassa viestinnässä käydään läpi muun muassa viestintästrategian päämäärien, tavoitteiden ja kohderyhmien valintaan, sanoman laadintaan, täsmentämiseen ja testaamiseen liittyviä tärkeimpiä asioita. Opas esittelee jotain etuja ja haittoja eri viestintäkanavilla, joita ovat esitteet/lehdet, sarjakuvat, etäopetuksen, koulutuksen, sähköpostit, tapahtumat (messut, kokoukset, seminaarit ja konferenssit), lehtiset/tiedotteet, sähköiset uutiskirjeet, sanomalehdet, puhelimen, julisteet, radion, näytönsäästäjät, tekstiviestit, valmennuksen, tv:n, videon ja www-sivustot. Ohjeita viestinnälliseen suunnitteluun -kohdassa esitellään viestintäsuunnitelman laatimisen prosessi ja sen keskeiset ominaisuudet sekä useita viestintään liittyviä asioita, kuten tavoitteiden määrittely, kohderyhmän analysointi ja sen tuomat edut, viestintäkanavan valinta, viestinnän sisällön määrittely ja tehtävien ja vastuualueiden määrääminen sekä yksityiskohtaisen viestintäsuunnitelman laatimisen periaatteita. [1, s ] Ohjelman onnistumista mittaavien indikaattorien valinnassa esitellään neljä pääluokkaa, minkä mukaan turvallisuustietoisuutta oppaan mukaan yleensä mitataan. Ne ovat: prosessien parantaminen hyökkäysten torjuminen suorituskyky ja tehokkuus sisäinen suojaus Näille pääluokille myös esitetään erilaisia valmiita indikaattoreita, jotka ovat kysymysten muodossa. Vastausvaihtoehtoina on tyypillisesti kyllä/ei tai enemmän/vähemmän/pysynyt ennallaan. [1, s ] Kohdassa Lähtötilanteen määrittäminen arviointia varten vaiheen suunnittelu & selvittäminen toiseksi viimeisessä osassa muistutetaan mittaamaan lähtötilanne ennen varsinaisen tietoisuuden lisäämisohjelman aloittamista, jotta voidaan selvittää ohjelman tuottamat hyödyt vertaamalla ohjelman päätyttyä tehdyn mittauksen tuloksia ennen aloitusta saatuihin tuloksiin. Näin arvioinnissa on mahdollista myös selvittää, missä onnistuttiin parhaiten ja missä puolestaan olisi ollut parantamisen varaa. [1, s. 38.] Kokemusten tallentamisessa puolestaan kerätään, tallennetaan ja esitetään suunnittelu & selvittäminen -vaiheen aikana saadut kokemukset, joita voi olla myös työryhmäprosessien ulkopuolella joskin niiden pitäisi painottua ohjelmajohtamiseen. Hyötyjä kokemusten esittelystä 6

10 voidaan saavuttaa, kun: keskustellaan vaihtoehtoisista toimintamalleista ja parannetaan nykyistä ohjelmaa. osoitetaan henkilöstölle, että heidän panostaan arvostetaan ja heidän mielipiteitä kuunnellaan vahvistetaan yhteishenkeä. jaetaan saadut opit tuleville muille samanlaiset tavoitteet omaaville ohjelmille. Erityisesti kahta keskimmäistä ajatellen, kohdan lopussa käsitellään miten palautteella voidaan kehittyä ja annetaan ohjeita rakentavan palautteen antamiseen. [1, s ] Toteutus ja johtaminen Tämä vaihe koostuu viidestä osasta (kuva 1). Ensimmäisenä osana on ohjelmatyöryhmän valinta. Ryhmän vastuulle tulee ohjelman toteuttaminen, johtaminen ja sen tulokset. Toisessa osassa toimintasuunnitelma tarkistetaan, päivitetään ja määritetään ohjelman välitavoitteet. Tässä huomioidaan suunnittelussa asetetut päämäärät, tavoitteet ja talousarviolle asetetut vaatimukset. Tämän jälkeen siirrytään kolmanteen osaan, ohjelman käynnistämiseen ja toteuttamiseen. Tämän osan pitäisi sujua tehokkaammin hyvän suunnittelun ja hyvin valittujen resurssien seurauksena. Tärkeää on myös toteutuksen lomassa pyrkiä varmistamaan, että tietoisuuden kasvamisesta koituvat hyödyt saavutetaan. Toiseksi viimeisenä osana on viestintä, joka sisältää viestintäsuunnitelman toteuttamisen. Lopuksi talletetaan kokemukset samalla tavalla kuin vaiheessa 1. [1, s. 44.] Arviointi ja muutokset Kolmas vaihe eli arviointi ja muutokset sisältää kuusi osaa (kuva 1), joista ensimmäinen on arvioinnin toteuttaminen. Tässä osassa muistutetaan 1. vaiheessa mainittua lähtötilanteen mittaamista, jolla on mahdollista mitata ohjelman vaikuttavuutta. Arvioinnin apuna suositellaan käyttämään seurantakyselyitä ja mielipidemittauksia. Toisessa osassa pyritään hyödyntämään viestinnästä saatu palaute yhdessä arvioinnin tulosten kanssa siten, että niillä parannetaan ja tehostetaan tulevaa viestintää. Arvioinnin ja viestinnästä saadun palautteen perusteella myös seuraavassa osassa, ohjelman tavoitteiden tarkistamisessa, tarkistetaan miten ne vaikuttavat ohjelman tavoitteisiin. Kokemusten hyödyntäminen -osassa ohjelmasta saadut kokemukset arvioidaan ja pyritään hyödyntämään ohjelman tehokkuuden ja tuloksellisuuden parantamiseksi. Toiseksi viimeisessä osassa ohjelmaa muutetaan tarvittaessa saatujen kokemusten, arviointien ja palautteiden seurauksena. Tämä johtaa viimeiseen osaan eli ohjelman uudelleenkäynnistämiseen ja vaiheen 2 kuuluvien tehtävien uudelleen tekemiseen. [1, s. 47.] 2.3 Onnistumisen esteet ja ratkaisevat menestystekijät onnistumisessa Tietoturvatietoisuusohjelmassa onnistuminen voi olla vaikeaa. Jopa erittäin hyvin suunnitelluissa ohjelmissa voi olla huomattavia vaikeuksia. Tavanomaiset onnistumisen esteet ovat: Uuden teknologian käyttöönotto Yleisluonteinen ohjelma Tiedon ylitarjonta Järjestelmällisyyden puute Seurannan puute Sanoman kohdistaminen väärin Rahoituksen puute Perusteluiden puute Sosiaalinen hakkerointi 7

11 Uuden teknologian käyttöönotto voi epäonnistua sen vuoksi, että ohjelman työryhmä ei tunnista teknologista muutosta eikä reagoi siihen tai teknologian edellyttämä toimintatapa ja/tai ajattelutapa ei muutukaan. Ohjelma voi olla myös liian yleisluonteinen, jolloin hyvin yleisluonteinen viestintä ei saavuta jo muutenkin infoähkystä kärsiviä kohderyhmiään, koska se ei puhuttele heitä. Myös ohjelman seurauksena voidaan kohderyhmille tarjota liikaa tietoa, jolloin osa tiedosta jää omaksumatta. Ohjelman toteuttamisessa voi myös puuttua järjestelmällisyys, joka näkyy johdonmukaisten menettelyiden ja strategioiden puuttumisena ja viestinnän, aiheiden ja toteutuksen sekavuutena. Tämä voi vaikeuttaa kohderyhmien sitoutumista ohjelmaan ja heikentää ohjelman identiteettiä ja yhteyden muodostumista kohderyhmiin. [1, s. 48.] Lisäksi kohderyhmien kiinnostus tietoturvaan voi laantua tai jopa lopahtaa kokonaan, jolloin tulokset voivat olla negatiiviset. Oppaan mukaan seurannan puutteet koostuvat viestintäjärjestelmän perustamisen ja ylläpidon sekä kohderyhmien seurannan ja palautteen pyytämisen laiminlyönneistä. Luonnollisesti myös viestin kohdistaminen ja jopa sen välittäminen kohdeyleisölle voi olla varsin haasteellista. Jos johdon tuki puuttuu, niin se johtaa myös suoraan rahoituksen puuttumiseen ja siten se vuorostaan usein pienentää ohjelman saavutuksia. Kohderyhmien on vaikea muuttaa tapojaan, jos heille ei kerrota perusteluita siihen. Tämä usein tapahtuu sillä, että jätetään kertomatta miksi tietoturva on tärkeää. Jos ainoastaan kerrotaan miten pitää toimia, he todennäköisesti pitävät ohjeen noudattamista pelkästään vaivalloisena. Sosiaalinen hakkerointi voi oppaan mukaan taas vaikuttaa ohjelman onnistumiseen myös negatiivisesti, koska se hyökkäysmenetelmänä on hyvin tehokas. [1, s. 48.] Kaikki muut esteet on hyvin perusteltuja ja ymmärrettäviä, mutta sosiaalinen hakkerointi ei kovin hyvin sovi listalle, koska se ei varsinaisesti ole yleinen ja kovin suuri este tietoturvatietoisuusohjelmille vaikka onkin tietoturvallisuudelle suuri uhka. Sosiaalinen hakkerointi voi pikemminkin jopa auttaa ohjelmia, sillä se on hyvä argumentti ohjelmien tarpeellisuudesta sekä erinomainen ja kiinnostava esimerkki kohderyhmille konkreettisista tietoturvauhista. Pk -yrityksille taas tyypilliset esteet ovat oppaan mukaan [1, s ]: vakiintuneiden toimintatapojen muuttaminen; Turvallisuus on tietotekniikkaosaston ongelma, ei minun... ; johdon tuen puute. Monissa organisaatioissa turvallisuustoimet tehdään vasta kun viikkojen, kuukausien tai jopa vuosien saatossa on huonoista tavoista muodostunut jo organisaation vakiintunut toimintatapa. Tämän vuoksi tietoturvatietoisuusohjelman toteuttaminen on hankalaa, koska käyttäjien mielestä organisaatio on usein toiminut erinomaisesti ilman turvallisuutta ja sen vuoksi uusia vaatimuksia toimintatapojen muuttamisesta pidetään turhina ja työntekoa hankaloittavina muutoksina. Pkyritysten käyttäjillä on usein myös yhteisenä käsityksenä se, että turvallisuus on yksinomaan tietotekniikkaosaston vastuulla. Tämä johtaa siihen, että käyttäjät noudattavat vain niitä sääntöjä joiden rikkominen voisi johtaa heidän erottamiseen. Käyttäjien pitäisi osallistua tietoturvallisuuden kokonaisvaltaiseen ratkaisemiseen ja ymmärtää, että tietotekniikkaosasto ei selviydy tietoturvasta yksin.[1, s ] Ratkaisevina menestystekijöinä oppaassa nähdään olevan seuraavat [1, s. 52]: Lähtötilanne on mitattava ennen tietoisuusohjelman toteuttamista tai uudelleenkäynnistämistä Viestin perille saaminen edellyttää useita eri tahoja, mm. kansalaisopistoja, aikuiskoulutusohjelmia, kouluja, kansalaisjärjestöjä, Internet-palvelutarjoajia, tietokoneliikkeitä. Julkisuuden käyttäminen tiedotuskampanjoissa. Tarvittaessa on perustettava julkisen ja yksityisen sektorien kumppanuuksia. Lisäksi pk -yrityksille suunnatuissa ohjelmissa on huomioitava, että [1, s. 52]: turvallisuusohjelmat epäonnistuvat, jos ne ovat ristiriidassa organisaatiokulttuurin kanssa eivätkä saa ylimmän johdon tukea. näyttö hyvistä tuloksista turvallisuustietoisuusohjelmissa on edellytys jatkuvan tuen 8

12 saamiseksi ohjelmille. 2.4 Päätelmät On ehkä vielä kerran syytä painottaa, että oppaan kohderyhmänä on selkeästi kansallisten tietoturvatietoisuushankkeiden puuhamiehet ja -naiset sekä hankeryhmät. Oppaan alussa esille tuoduista tietoturvatietoisuushankkeiden kohderyhmistä eli käyttäjistä ja pk-yrityksistä, opas painottuu hieman enemmän käyttäjiin eli kansalaisiin. Näin ollen erityiseksi oppaan kohderyhmäksi muodostuu esimerkiksi Suomessa tietoturvastrategian tekemiseen osallistuvat tahot, valtakunnalliset ja erilaiset alueelliset tietoturvatietoisuuden edistämishankkeet mukaan lukien kaupungeissa ja kunnissa toteutettavat. Suunnittelun osalta opas on varsin kattava. Opas käy keskeiset periaatteet suunnittelun osalta läpi ja tärkeimmät asiat tulevat esille, ainakin muistilistatyyppisesti. Päämäärien ja tavoitteiden osassa olisi voinut korostaa myös riskien arvioinnin merkitystä ja sen esiin tuomia asioita, sillä kohderyhmien suurimmat riskit antavat paljon vihjeitä siitä mihin asioihin erityisesti tulisi panostaa tietoisuuden edistämisessä kyseisissä kohderyhmissä. Lisäksi päämäärien ja tavoitteiden asettamisen pitäisi olla nykyistä paikkaa selvästi aikaisemmin suunnittelussa & selvittämisessä, sillä siinä tehdyt ratkaisut vaikuttavat merkittävästi useimpiin sitä edeltäneisiin tehtäviin. Oppaan heikko kohta on selvästi vaiheet toteutus & johtaminen sekä arviointi & muutokset, sillä ne käytetään vain sivu / vaihe, kun vastaavasti ensimmäiseen vaiheeseen käytettiin kokonaiset 26 sivua. Painotus suunnitteluun ja selvittämiseen on oppaan alussa perusteltu sillä, että tätä vaihetta pidetään ratkaisevana ohjelmien onnistumiselle [1, s. 6]. Suunnittelun puutteet ovat myös kirjallisuuden perusteella suurin yksittäinen syy projektien kaatumiseen [6] ja koska valtakunnallisiin, ajallisesti pitkiin ja laaja-alaisiin tietoisuuden lisäämishankkeisiin liittyy paljon potentiaalisia ongelmia, niin hyvällä suunnittelulla voidaan niitä tietenkin välttää. Silti oppaassa olisi kaivattu ehkä enemmän panostusta myös käytännön toteutukseen, sillä määrällisesti suurin osa projektien kaatumisen syistä on muualla kuin suunnittelussa [6]. Tosin tätä tietoutta on myös saatavilla esimerkiksi projektikirjallisuudesta, jolloin yksi vaihtoehto olisi ollut ainoastaan viitata muihin tietolähteisiin ja siten keskittyä puhtaasti suunnittelun problematiikkaan ja tuoda tämä jopa voimakkaammin esille asiakirjassa. Asiakirjan alussa nimittäin annetaan ymmärtää, että asiakirjasta on suunnittelun lisäksi apua myös toteutukseen [1, s. 6]. Tämä lupaus jäi pääosin toteuttamatta. Myös niille, jotka odottivat oppaalta paljon konkreettisia välineitä tietoisuuden lisäämishankkeiden toteutukseen, voivat joutua pettymään. Oppaassa on kyllä lomakkeita eri vaiheiden osien tekemiseen, mutta lomakkeita on vain muutama ja ne ovat varsin yleisluonteisia, mutta antavat hyvän kuvan siitä minkälaisia asioita esimerkiksi olisi hyvä dokumentoida. Tämäkin on tietenkin parempi kuin ei mitään. Opas on varmasti kohderyhmälleen, valtioiden tietoturvatietoisuushankkeiden vetäjille ja hankeryhmille, hyvä opas suunnittelun tueksi. Lisäksi opas soveltuu myös varsin hyvin suurten yritysten, kaupunkien ja kuntien tietoturvatietoisuushankkeiden hankesuunnittelun avuksi, sillä niissä tietoturvatietoisuuden edistämishankkeet ovat myös kohtalaisen suuria ja niissä on samankaltaista problematiikkaa kuin kansallisissa hankkeissa. 2.5 Lähteet [1] Euroopan verkko- ja tietoturvavirasto (ENISA) Käyttäjän opas: Tietoturvatietoisuuden lisääminen. Kesäkuu s. 66 [WWW]. [Viitattu ]. Saatavissa: WGAR/guide_fi.pdf [2] Pirttijoki, M Viestintäviraston ylijohtaja kaipaa lisää yhteistyötä tietoturvaan. Turun Sanomat. Julkaistu :15:54 [WWW]. [Viitattu ]. Saatavissa: 9

13 [3] CERT-FI Kansalliseen tietoturvallisuusstrategiaan liittyvä tietoturvakatsaus [WWW]. [Viitattu ]. Saatavissa: tietoturvakatsaus.pdf [4] Lehtonen, M., Leppänen, S. ja Soronen, H Internetin tietoturvaongelmat kotikäyttäjien näkökulmasta. Liikenne- ja viestintäministeriön julkaisuja 88/2005. Helsinki [WWW]. [Viitattu ]. Saatavissa: [5] Nikulainen, K Tutkimus: Suomalaiset yritykset leväperäisiä tiedon suojaamisessa. Digitoday [WWW]. [Viitattu ]. Saatavissa: [6] Nikander, I & Eloranta, E Preliminary signals and early warnings in industrial investment projects. International Journal of Project Management, Vol. 15, No. 6. s

14 3 Tietoturvatietoisuuden hallinta naapurimaiden paikallishallinnossa Tämä luku referoi ENISAn (European Network and Information Security Agency) raporttia Security Awareness Management in local governments: Approaches in Scandinavia ja se on tuotettu Tietojenkäsittelyn turvallisuuden seminaaria varten tarkastelemaan tietoturvatietoisuuden edistämistä naapurimaissamme. 3.1 Taustaa tutkimukselle Security Awareness Management in local governments: Approaches in Scandinavia -raportti on syntynyt kolmen ENISAn Awareness Raising-yhteisön (AR) jäsenen yhteistyön seurauksena. Heidän tavoitteenaan on ollut selvittää, kuinka eri kuntien ja alueiden paikallishallinto Ruotsissa, Norjassa ja Tanskassa on edistänyt käyttäjiensä tietoisuutta tietoturvasta. Kohderyhmäkseen raportti määrittelee henkilöt, jotka toimivat tietoturva-aiheen parissa paikallishallinnoissa. Raportin tavoitteena on myös herättää keskustelua ja yhteistyötä kuntien ja eri alueiden välillä, jotta käyttäjien tietoisuus tietoturvasta lisääntyisi ja kertynyttä kokemusta voitaisiin hyödyntää myös laajemmin. Raportin tutkimus suoritettiin Entegate AB:n EsMaker -työkalun avulla verkkotutkimuksena, joka jakaantui 54 kysymykseen, jotka oli myös jaoteltu eri vaihtoehtoihin. Paikallishallintoja lähestyttiin jokaisessa maassa eri tavoin. Tanskassa toimittiin yhteistyössä Kommunernes Landsförening ja -liittojen kanssa, jotta kaikkien kuntien ja alueiden organisaatiot tavoitettiin. Norjassa puolestaan KINS -niminen liitto toimitti kyselyn jäsenilleen. Ruotsissa turvauduttiin yhden tutkimuksen tekijöistä (Lennart Ölund) ammatilliseen verkostoon kyselyjen toimittamisessa koko kohderyhmälle. Elokuun 28. päivä vuonna 2008 alkanut kysely tuotti 110 organisaation vastaukset syyskuun 17. päivään mennessä, jotka koostuivat 97 kunnan ja 13 alueen vastauksista. Mukana oli useita suuria alueita, jotka työllistävät yli 5000 henkeä. Suurin osa vastaajista oli organisaationsa ITesimiehiä. Vastausten määrää pidettiin kokonaisuudessaan kohtalaisen hyvänä, vaikka tarkoitus ei missään vaiheessa ollutkaan täysin kokonaisvaltaista tutkimusta suorittaa. Raportti ei keskity yksittäisen valtion tutkimuksen tuloksiin, vaan vastauksia tietoturvanhallinnasta on tutkittu ja analysoitu skandinaavisesta näkökulmasta, koska toiminta ja vastuut kaikissa kolmessa maassa ovat suhteellisen samankaltaista. Raportissa esitettävät tulokset kysymyksiin on siis myös esitetty yhteisesti, eikä yksittäisen valtion tuloksia ole mahdollista saada selville. Tutkimus keskittyi pääasiallisesti neljään eri osa-alueeseen, jotka olivat informaatioteknologian riskienhallinta, tietoturvallisuuden johtaminen, politiikan täytäntöönpano ja tietoisuudenhallinta. Osa-aluieta ja niistä tutkimuksen avulla saatuja tuloksia tarkastellaan paremmin seuraavissa luvuissa. 3.2 IT riskienhallinta Liiketoiminnan riskienhallinnan kannalta on ensiarvoisen tärkeää tunnistaa kriittiset liiketoimintaprosessit, joiden avulla organisaation tuotteita ja palveluita tuotetaan sekä kehitetään. Organisaation tietovarojen tunnistaminen on myös elintärkeää, koska erilaiset prosessit jalostavat käytössä olevaa tietoa. Prosessit ja tietovarat tulee tunnistamisen jälkeen dokumentoida helpottaakseen täyden kuvan luomista organisaatiosta. Kriittisten prosessien ja tietovarojen tunnistaminen on yleisen tietoisuuden kannalta merkittävää, jotta tiedetään, mistä organisaatiossa keskustellaan. Henkilöstön ei voida olettaa ymmärtävän suojata tärkeitä tietovaroja, mikäli he eivät ole tietoisia sen arvokkuudesta. Kuntien ja alueiden hallinto-organisaatiot ovat useimmissa tapauksissa kehittyneet varsin pitkälle 11

15 riskienhallinnassa. Suurin osa (77 %) on osittain tai kokonaan onnistunut työssään tunnistaa ja dokumentoida omat liiketoimintaprosessinsa. Huomattavaa on se, että loput (23 %) eivät ole huolehtineet niin tärkeän asian hoitamisesta. Useilla organisaatioilla on siis puutteita riskienhallinnan systemaattisessa lähestymisessä, joka vaikuttaa myös heidän tietoturvallisuuteensa. Organisaation kriittisten tietovarojen tunnistus ja dokumentointi 70 % 60 % 50 % 40 % 30 % 20 % 10 % 0 % 60 % 17 % Osittain Kyllä Ei, mutta on suunniteltu 12 % 9 % Ei, mutta suunniteltu 2 % Ei tietoa Ovatko organisaation kriittiset tietovarat tunnistettu ja dokumentoitu Taulukko 1. Organisaation kriittisten tietovarojen tunnistus ja dokumentointi Kuten taulukko 1 osoittaa, ovat useat organisaatiot (77 %) myös joko aloittaneet tai jo suorittaneet työn tunnistaa ja dokumentoida omat tietovaransa. Valitettavasti suhteessa monet ovat jättäneet tämän heidän riskienhallintansa kannalta tärkeän osan aloittamatta. Mikäli henkilökunta ei ole tietoinen, mitä tietovaroja heidän tulisi suojella, ei heitä ole kovin helppo vakuuttaa noudattamaan turvallisuussäännöksiä, jotka aineistoa suojaavat. Suurin osa kyselyyn vastanneista ilmoitti heidän informaatioteknologisten operaatioidensa olevan hyvin strukturoitu ja dokumentoitu. Tämä on sikäli tärkeää, jotta organisaatiot kykenevät analysoimaan ja käsittelemään erilaisia riskejä ja haavoittuvaisuuksia. 85 prosenttia organisaatioista oli suorittanut tai aloittanut arvioimaan heidän tietovarojensa suojaamista, jota voidaan pitää varsin kelvollisena tuloksena. Organisaatiot olivat myös hyvällä prosentilla arvioineet riskejä ja niiden vaikutuksia tietojärjestelmien toteutuksien yhteydessä. 3.3 Tietoturvallisuuden johtaminen Onnistunut tietoturva edellyttää ylimmän johdon tiukkaa sitoutumista tavoitteen saavuttamiseksi. Tehokkaasti ja onnistuneesti toteutettu johdon sitoutuminen tietoturvaan vaatii aktiivista ja aloitteellista toimintaa, joka opastaa ja perehdyttää tietoturvan toteutusta koko organisaation sisällä. Tämä sisältää tietoturvapolitiikan asettamisen ja hyväksynnän, tietoturvaroolien ja vastuiden asettamisen sekä varmistuksen, että organisaatio soveltaa ja noudattaa politiikkoja ja toimintamalleja. Tutkimuksessa selvitettiin, onko organisaation turvallisuusvaatimuksia koottu dokumentiksi, joka käsittelee vain tietoturvallisuutta. Vastauksista selvisi, että kaksi kolmesta oli luonut tietoturvapolitiikkaa koskevan dokumentin, mutta joka viides ei sitä vielä ollut tehnyt. Kun organisaatioilta kysyttiin, ovatko turvallisuuspolitiikan säännökset kuvailtu yksityiskohtaisemmin toimintamalleissa tai muissa vastaavissa, tasan kolmasosa vastasi myöntävästi. Neljännes 12

16 organisaatioista ei ollut säännöksiä kuvaillut ja 41 prosenttiakin vain osittain. Tietoturvatyöläisten lukumäärä 60 % 50 % 40 % 30 % 20 % 52 % 39 % 10 % 0 % 5 % 4 % Ei yhtään Yksi tai kaksi Kolmesta viiteen Yli viisi Taulukko 2. Tietoturvatyöläisten lukumäärä Täysipäiväisten tietoturvatyöläisten lukumäärä organisaatiossa Taulukosta 2 voidaan havaita, että hieman yli puolet (52 %) organisaatioista ei työllistä yhtään työntekijää, joka työskentelisi täysipäiväisesti tietoturvallisuuden parissa. Yksi tai kaksi tietoturvatyöläistä löytyy 39 prosentista organisaatioista ja yhdeksällä prosentilla kyselyyn osallistuneista työskentelee kolme tai enemmän. Kuntien paikallishallinnoilla työllistämisprosentit ovat huomattavasti heikompia kuin alueiden vastaavilla organisaatioilla, mikä on tietysti seurausta useimmissa tapauksissa siitä, että kunnat ovat paljon pienempiä ja työllistävät huomattavasti vähemmän kuin alueelliset hallinnot. Tosin huomioida kannattaa, että on myös paljon kuntia, jotka työllistävät useita satoja paikallishallinnossaan, mutta silti heillä ei ole yhtään täysipäiväistä tietoturvatyöläistä. On helpottavaa huomata, että yli puolet kunnista kertoi tietoturva-asioistaan vastaavan henkilön raportoivan säännöllisesti suoraan johtavalle esimiehelle. Huolestuttavaa asiassa puolestaan oli se, että liian harvat (43 %) raportoivat tietoturvasta säännöllisesti organisaation ylimmälle johdolle. Yhtenä syynä tähän saattaa olla se, että organisaatiossa ei työskentele täysipäiväisesti ketään tietoturva-asioissa, jonka vuoksi kyseiset asiat eivät saa tarpeeksi huomiota organisaatiossa, jolloin raportointia ei pidetä aiheellisena. Pahimmassa mahdollisessa tapauksessa tilanne saattaa toki johtua myös siitä, että ylin johto ei ole kiinnostunut asioista, jotka koskevat tietoturvaa ja sen vuoksi raportointia ei suoriteta. 3.4 Politiikan täytäntöön paneminen Kasvava tietoisuus turvallisuussäännöistä ja vaatimuksista on olennainen päämäärä pyrittäessä kohti tietoturvallista tilaa organisaatiossa. Tietoturvallisuuspolitiikan tehokas toimintaan paneminen organisaation henkilöstössä vaatii laajamittaista viestintää ja sen levittämistä läpi koko organisaation. Tähän apuna voidaan soveltaa erilaisia organisaation politiikkaa tukevia dokumentteja, kuten yksityiskohtaisia politiikkoja, toimintamalleja, menettelytapoja tai erityisiä turvallisuussääntöjä, joita käyttäjien tulee noudattaa. Helpottaakseen turvallisuuspolitiikkojen viestintää organisaatiossa, ne useimmissa tapauksissa pyritään asettamaan helppopääsyisiksi kaikille käyttäjille, esimerkiksi tarjoamalla ne paperiversiona tai intranetin kautta. Tärkeää 13

17 politiikan täytäntöönpanossa on kuitenkin se, että organisaatio onnistuu saamaan henkilökuntansa ymmärtämään omat roolinsa ja vastuunsa sekä toimimaan heidät sen mukaisesti. Tutkimuksessa vastaajilta tiedusteltiin, että onko heidän organisaationsa tietoturvapolitiikassa mainittu henkilökunnan velvoitteista ja vastuista ICT -laitteistojen käytön yhteydessä. 69 prosenttia vastaajista kertoi vastuiden ja velvoitteiden löytyvän politiikasta, mutta jopa joka kymmenes totesi kyseisten säädösten puuttuvan. Organisaation tietoturvapolitiikasta pitäisi ilmetä, millaisia seurauksia ja kenelle syntyy tietoturvasäännösten rikkomisesta. Kun organisaatioilta kysyttiin, että onko heidän tietoturvapolitiikkansa mukaan selvää, että tietoturvarikkomuksista saattaa aiheutua seurauksia myös työntekijälle, noin puolet vastasi myöntävästi (53 %). Osittain asia selvisi politiikasta 17 prosentilla ja ei lainkaan 19 prosentilla haastatelluista organisaatioista. Mikäli rikkomuksia tietovarojen ja IT:n käytön turvallisuussäännöksiä kohtaan ilmenee, on erityisen tärkeää, että ne raportoidaan. Jos rikkomuksia ei raportoida, saattaa se aiheuttaa vahingoittavan vaikutuksen organisaation tietoturvapolitiikan arvolle ja luottamukselle. Vaikka osa rikkomuksista on täysin tahattomia, on tärkeää raportoinnin avulla saada selville tietojärjestelmiin liittyviä heikkouksia, jotta niiden avulla pystytään tunnistamaan vältettävät ja ehkäistävät uhat myös muissa tapauksissa. Valitettavasti vain kolmasosa kyselyyn vastanneista kertoi organisaatiossaan olevan käytössä menettelytapana raportoida kyseisiä rikkomuksia. Yksi neljännes vastanneista kertoi raportoinnin olevan osittain käytössä ja toinen neljännes, että heillä ei kyseistä menettelytapaa ollut lainkaan. 14 prosenttia totesi raportoinnin puuttuvan kokonaan, mutta he olivat sikäli oikealla tiellä, että kyseisen menettelytavan käyttöönottoa oli jo suunniteltu. On varsin yleistä, että organisaation tietoturvapolitiikassa tai toimintaperiaatteissa kuvaillaan käyttäjän oikeudet esimerkiksi käyttää tietojärjestelmiä omiin henkilökohtaisiin tarkoituksiin. Suurin osa (61 %) kyselyyn osallistuneista organisaatioista oli näin toiminutkin ja monilla (25 %) se oli hoidettu ainakin osittain. Vain alle joka kymmenes (8 %) organisaatio oli jättänyt henkilökunnan oman käytön täysin huomioimatta tietoturvapolitiikassaan tai toimintaperiaatteissaan. Oikeuksien kuvaaminen velvoittaa henkilökuntaa toimimaan organisaation haluamalla tavalla. Huomattavaa on kuitenkin se, että vaikka organisaatiot useimmissa tapauksissa kuvailevat käyttäjien oikeuksia tietojärjestelmien käyttämiseen, vain joka kymmenes organisaatio myöntää suoraan seuraavansa käyttäjiensä toimia tietojärjestelmien parissa. Tosin hieman yli puolet (55 %) myöntää seuraavansa toimintaa osittain. Hämmentävää on se, että kolmannes organisaatioista ei tällä hetkellä seuraa käyttäjiensä toimintaa lainkaan, vaikka 13 prosenttia myöntääkin suunnittelevansa sen käyttöönottoa. Luottamus omien työntekijöiden toimintaan näyttää siis useimmissa organisaatioissa olevan varsin korkealla tasolla. Tulokseen saattaa toki vaikuttaa myös se, että organisaatiot eivät halua leimautua alaisiaan kyttääviksi tai heitä kohtaan epäluottavaisiksi. Turvallisuussäännöstentietämyksen mittaaminen 40 % 35 % 30 % 25 % 20 % 15 % 10 % 5 % 0 % 35 % 6 % 36 % 21 % Osittain Kyllä Ei Ei, mutta suunniteltu 2 % Ei tietoa Mitataanko organisaatiossa turvallisuussäännöstentietämystä säännöllisesti Taulukko 3. Turvallisuussäännöstentietämyksen mittaaminen 14

18 Automaattisesti suoritettujen työntekijöiden tietojärjestelmäkäytön tarkastuksien lisäksi on erittäin hyödyllistä selvittää erilaisten kyselyjen ja haastattelujen avulla työntekijöiden turvallisuussäännöstentietoisuutta. Tutkimus osoitti, että yli puolet (57 %) organisaatioista ei kuitenkaan näin toimi. Taulukon 3 mukaisesti vain kuusi prosenttia vastanneista kertoi todella hyödyntävänsä tätä mahdollisuutta ja 35 % myönsi toimivansa osittain esitetyn mallin mukaisesti. Mittaamalla työntekijöiden turvallisuussäännöstentietoisuutta voidaan havaita aukkoja, joiden täyttämiseksi voidaan suorittaa muun muassa erilaisia koulutuksia. 3.5 Tietoisuuden hallinta Merkittävä keino lisätä tietoisuutta säännöistä ja vaatimuksista on tarjota koulutusta, joka tosin useimmiten on melko hintavaa. Varsinkin uudelle henkilöstölle ja esimiehille on erityisen tärkeää järjestää perehdytystä organisaation tietoturvasta. Organisaation tietoturvapolitiikan saatavuus työntekijöille 80 % 60 % 40 % 20 % 0 % 13 % 67 % 7 % 13 % Osittain Kyllä Ei Ei, mutta ollaan suunniteltu Organisaation tietoturvapolitiikan saatavuus työntekijöille, esimerkiksi intranetin kautta Taulukko 4. Tietoturvapolitiikan saatavuus työntekijöille Tutkimuksessa selvitettiin vastaajilta käyttäjien helppoa pääsyä esimerkiksi intranetin kautta organisaation yleisiin turvallisuus dokumentteihin, kuten politiikkoihin. Lisäksi kysyttiin, että ovatko organisaation menettelytavat ja periaatteet tietoturvasta henkilökunnan nähtävissä. 63 prosenttia vastasi menettelytapojen ja toimintamallien olevan nähtävissä henkilökunnalle, kun taas tietoturvallisuuspolitiikka oli nähtävissä 67 prosentille, kuten taulukko 4 osoittaa. Kysyttäessä kuuluisiko uusien rekrytoitujen työntekijöiden käydä läpi jonkin asteinen perehdytys organisaation tietoturvasta, jakautuivat vastaukset hyvin tasaisesti. 55 prosenttia kannatti perehdytystä, kun taas puolestaan jopa 38 prosenttia vastaajista kertoi, että heidän organisaatiossaan kyseistä perehdyttämistä ei tarvittaisi. Kuitenkin hieman poiketen edellisen kysymyksen vastauksista vain 35 prosenttia vastaajista kertoi organisaationsa todella järjestävän perehdytystä esimiehilleen ja 60 prosenttia heistä ilmoitti organisaationsa ohittavan uusien työntekijöiden perehdyttämisen kokonaan. Jatkokoulutus on perehdytyksen jälkeen hyvin tärkeässä roolissa ylläpitämässä työntekijöiden tietämystä tietoturvallisuudesta ja hyvä keino tuoda esille siihen liittyviä muutoksia. Tästä huolimatta, tutkimuksen mukaan 85 prosenttia organisaatioista ei tarjoa säännöllisesti jatkokoulutusta työntekijöilleen tietoturvasta. Kun viisi prosenttia organisaatioista ei tiennyt järjestääkö se jatkokoulutusta, tullaan siihen lopputulokseen, että vain joka kymmenes organisaatio todella tarjoaa varmasti tärkeää jatkokoulutusta säännöllisesti. Kun vastaava kysymys suunnattiin pelkästään esimiehiin, tuloksena oli se, että 12 prosenttia tarjosi heille jatkokoulutusta tietoturvasta, 15

19 kun taas 82 prosenttia ei niin toiminut. Seuraavaksi tutkimuksessa tiedusteltiin, kuinka tietoturvaa organisaatioissa pyrittiin työntekijöille esittämään. Henkilökunnan tietoturvatietämystä pyrittiin useimmissa tapauksissa kehittämään sallimalla pääsy dokumentteihin, joista selviää muun muassa erilaisia toimintamalleja ja tapoja. Myös koulutusta ja yksilöiden välisiä keskusteluja pidettiin tärkeinä. Esimiehille pidettiin myös tärkeänä järjestää erilaisia tietokonepohjaisia harjoituksia. Tämänkaltaisia harjoituksia järjestetään muutamissa organisaatioissa juuri jatkokoulutuksena esimiehille. Resurssit budjetissa tietoisuutta lisääviin toimiin 100 % 80 % 87 % 60 % 40 % 20 % 0 % 8 % 5 % Kyllä Ei Ei tietoa Onko organisaatio varannut budjettiinsa resursseja tietoisuutta lisääviin toimiin Taulukko 5. Resurssit budjetissa tietoisuutta lisääviin toimiin Turvallisuustietoisuuden kasvattaminen vaati toki huomattavia taloudellisia panostuksia. Taulukosta 5 voidaan helposti havaita, kuinka moni organisaatio oli varannut budjettiinsa taloudellisia resursseja tietoisuutta lisääviin toimiin. Vain kahdeksan prosenttia organisaatioista totesi varanneensa taloudellisia resursseja budjettiinsa kyseisiä operaatioita varten, mikä tarkoittaa sitä, että yli 80 prosenttia ei aikonut niin tehdä, eikä siten pitänyt asiaa kovinkaan merkittävänä oman toimintansa kannalta. Erilaisten toimien ja koulutusten tuloksia tietoisuuden aikaansaamiseksi on hyvin hankala mitata, vaikka se tietoturvallisuuden johtamisessa hyvin tärkeää onkin. Tutkimuksessa organisaatioilta tiedusteltiin, pyrkivätkö he selvittämään henkilöstönsä tietämystä organisaation tietoturvapolitiikasta tai siihen liittyvistä toimintaperiaatteista. Vain joka kymmenes organisaatio totesi mittaavansa henkilöstönsä tietämystä. Yhdeksän organisaatiota kymmenestä myönsi myös, että he eivät edes mittaa järjestämänsä koulutuksen tuottamaa vaikutusta henkilöstöönsä. Lähes sama määrä organisaatioista (92 %) kertoi myös, että he eivät mittaa muidenkaan toimien, kuten erilaisten informaatiokampanjoiden tai tietoisuusaloitteiden vaikutuksia työntekijöidensä tietoisuuden kasvamiseen. 3.6 Yhteenveto raportin sisällöstä Seminaarin aiheen kannalta erityisesti tietoturvatietoisuudenhallinnasta saadut tulokset ovat mielenkiintoisia. Tulokset tässä osiossa paljastivat, että suurin osa organisaatioista todella oli luonut politiikan ja muita turvallisuusdokumentteja, joita myös henkilökunnalla oli mahdollisuus päästä tarkastelemaan. Erityisen tärkeää on nimenomaan tuoda politiikka koko organisaation tulkittavaksi. Suurin osa organisaatioista on onnistunutkin välittämään politiikkansa kaikkien työntekijöidensä käyttöön sallimalla pääsyn tutkimaan sitä, mikä on todella hyvä lähtökohta. Sitä voidaan kuitenkin 16

20 pitää vain minimaalisena vaatimuksena onnistuneelle tietoisuuden levittämiselle ja niin kutsuttuna ensimmäisenä askeleena tietämyksen saattamisena henkilöstölle. Politiikan tutkimista ei saisi jättää pelkästään työntekijöiden vastuulle, koska se on hyvin riippuvaista heidän kiinnostuksestaan ja halustaan kerätä sekä imeä tietoa itselleen, vaan sitä pitää aktiivisesti pyrkiä viestittämään heille. Erilaisten koulutuksien järjestäminen on melko välttämätöntä, koska niiden avulla työntekijät voivat esittää mieleensä juolahtaneita kysymyksiä ja oppia noudattamaan omassa työympäristössään ja tehtävissään tarvittavia turvallisuussäännöksiä. Suurempi osa organisaatioista (55 %) myös järjesti jonkin asteista koulutusta aiheesta henkilöstölleen, mutta toisaalta vain 35 prosenttia järjesti sitä esimiehilleen, joka sinällään on hyvin valitettavaa. Tietoisuutta omissa työtehtävissä tarvittavista turvallisuutta kasvattavista toimenpiteistä lisää se, että onneksi hieman yli puolet organisaatioista pyrkii järjestämään uusissa työtehtävissä toimiville perehdytystä toiminnasta. Valitettavasti vain noin kolmasosa tarjoaa sitä myös esimiehilleen, jotka organisaation toiminnan kannalta ovat kuitenkin kohtalaisen keskeisessä roolissa. Tieto- ja viestintäjärjestelmien nopea kehitys ja niiden suuri merkitys paikallishallintojen toiminnassa asettaa myös vaatimuksia toteuttaa jatkokoulutusta henkilöstölle, jotta he olisivat ajan tasalla käytössä olevista järjestelmistään ja näin tietoturvallisuuden toteutumisesta organisaatiossa voitaisiin olla varmempia. Valitettavasti vain pieni osa organisaatioista suorittaa kyseistä koulutusta, mihin yhtenä merkittävänä syynä nähtiin siihen tarvittavien taloudellisten resurssien vähäisyys. Yli 80 prosenttia vastauksista kertoi, että organisaatiot eivät olleet asettaneet budjettiinsa erillistä rahamäärää, joka käytettäisiin tietoturvatietämyksen kasvattamiseen organisaatiossa. Raportin mukaan ollakseen turvallisuustietoinen, henkilön pitää tietää säännöistä ja rooleista sekä olla motivoitunut noudattamaan niitä. Tärkeää on myös ymmärtää, millainen käytös on tarpeellista, jotta turvallisuuden taso kyetään saavuttamaan. Kun tarkastellaan organisaation suhdetta henkilökuntaan, tutkimus osoittaa, että oikeudet, velvollisuudet ja sanktiot tyypillisesti kuvaillaan heille. Ongelmia tuottaa se, että sääntöjen tietämystä ja oikeaa käytöstä ei tavallisesti organisaatioissa henkilöstön voimin pyritä hyödyntämään. Haaste syntyy myös siitä, kun henkilökunta ei ole tietoinen siitä, mitä tietovaroja sen täytyy suojata ja miksi. Tämän kaltaisessa tapauksessa ei ole helppoa vakuuttaa ja motivoida henkilöstöä noudattamaan turvallisuussääntöjä. Koska organisaatiot pyrkivät vain harvoissa tapauksissa mittaamaan henkilöstönsä tietoisuuden määrää tai sen kasvua esimerkiksi tietoturvapolitiikastaan, koulutusten tai muiden aktiviteettien seurauksena, on hyvin hankala pyrkiä muuttamaan heidän käytöstään tai toimintatapojaan haluttuun suuntaa. Suurin syy mittauksen puutteeseen on todennäköisesti se, että luotettavia ja yleisesti hyväksyttyjä keinoja toteuttaa mittauksia ei ole löydetty tai kyetty kehittämään. 3.7 Lähteet [1] ENISA. Report on security awareness in Scandinavian local governments [WWW]. [Viitattu ]. Saatavissa: 17

21 4 Tietoturvatietoisuuden mittaaminen Lähes kaikki organisaatiot, oli sitten kyseessä yksityinen tai julkinen, tallentavat, käsittelevät ja jakavat yrityksen eri tietoja tieto- ja viestintätekniikan (TVT) avulla. Tämä tuo laajan riippuvuuden TVT:n toimivuudesta ja tietoturvan hyvästä toteutuksesta. Erilaisin teknisin mekanismein voidaan tietoturvaa ja toimivuutta parantaa, mutta myös ihmisten panoksella on merkittävä osuus toteutuksen osalta. Erityisesti tietoturvatietoisuuden, jatkossa tässä luvussa TTT, merkitys on erittäin suuri tietoturvan varmistamiseksi, varsinkin kun erilaiset hyökkäykset esimerkiksi social engineering ja phising kohdistuvat juuri ihmisiin. Lisäksi ihmiset voivat helposti aiheuttaa tietoturvatapahtumia tietämättömyyttään tai taitamattomuuttaan. TTT:ta edistävien ohjelmien avulla pyritäänkin juuri tähän vaikuttamaan eli nostamaan käyttäjien, yritysten tai kansalaisten TTT:ta. TTT:n toteuttamiseen on olemassa varsin paljon erilaisia malleja ja useissa ehdotetaan myös mittauksen käyttämistä. Joissain malleissa on myös esitelty joitain esimerkkejä mittareista. Tässä luvussa esitellään ja arvioidaan lyhyesti alan kirjallisuuden perusteella TTT:n mittaamista, miten TTT:tä on mitattu, miten sitä voitaisiin mitata ja mitä tulisi ottaa huomioon mittausta suunnitellessa ja toteuttaessa. Luvussa 4.1 johdatellaan TTT:n mittaamiseen ja sen haasteisiin. Luvussa 4.2 siirrytään tarkastelemaan millaisia lähestymistapoja TTT:n mittaamiseen on tarjolla. Lopuksi esitellään kirjallisuuden perusteella syntynyt TTT:n mittauksen kokonaiskuva ja esitellään lyhyesti sen osat sekä esimerkkejä mittareista. 4.1 TTT:n mittaaminen ja sen haasteet Information Security Forum - ISF on määritellyt TTT:n jatkuvaksi oppimisprosessiksi, joka on tarkoituksellinen vastaanottajilleen ja tuottaa mitattavissa olevia hyötyjä organisaatiolle pysyvästä käyttäytymisen muutoksesta [1, s. 3]. Tässä määritelmässä olennainen kohta tämän luvun osalta on mitattavuus, sillä ilman mittausta ei voi olla täysin varmuutta siitä millaisia hyötyjä joku tietty TTTohjelma on tuottanut, missä asioissa ohjelmassa on epäonnistuttu tai oliko onnistuttu / epäonnistuttu vain hieman vai hyvinkin paljon. Olennaista on mitata tilanne ennen ohjelman toteutusta ja sen jälkeen, sillä vain siten on mahdollista tietää kuinka paljon parannusta aidosti tapahtui [2, s. 47]. ENISA tutki vuonna 2007 EU:n jäsenvaltioiden organisaatioiden TTT:n tilannetta kyselyllä, johon vastasi 67 organisaatiota yhdeksästä jäsenvaltiosta. Tutkimuksessa selvisi, että vastanneista 75 % perusteli TTT-ohjelman kustannuksia sen pakollisuudella ja 42 % TTT-tason mittauksella ennen ja jälkeen ohjelman. Lisäksi selvisi, että alalla käytetään varsin kirjavasti eri metodeja TTT:n ja TTTohjelmien mittaamiseen. Organisaatioilla oli myös vaikeuksia löytää hyviä kvantitatiivisia mittareita TTT:n mittaamiseen eikä niissä ollut tutkimuksen mukaan syntynyt vielä konsensusta, mikä osoittaa että hyvät käytännöt TTT:n mittaukseen ovat vasta kehittymässä. Lisäksi tutkimuksen vastaajat olisivat halunneet pystyä mittaamaan niitä muutoksia, jotka TTT-ohjelma on aiheuttanut henkilöstön käytöksessä, mutta myös näiden käyttäytymistä mittaavien mittareiden löytäminen oli ollut vaikeaa. [1, s. 10.] Jos mittareiden valitseminen oli tutkimuksen mukaan hankalaa, niin myös mittareiden tulkitseminen ei myöskään ole kovinkaan yksinkertaista, ainakaan aina. Mittareiden tulosten hätäinen tulkinta voi antaa jopa vääränlaisen kuvan tilanteesta. Esimerkiksi tietoturvatapahtumien määrän kasvu ei välttämättä indikoi huonontunutta tilannetta, vaan voi olla seurausta lisääntyneestä tietoisuudesta, jolloin ilmoituksiakin tehdään aiempaa enemmän. [1, s ] Myös mittarit, kuten kasvanut jaettujen lehtisten määrä tai www-sivuilla kävijämäärän kasvu, ei automaattisesti tarkoita sitä, että TTT olisi todellisuudessa kasvanut, koska voi olla niin että kasvusta huolimatta aiempaa pienempi määrä on oikeasti lukenut ja ymmärtänyt tekstin. 18

22 ENISA:n (2007) tutkimuksen mukaan organisaatioiden yleisimmät tavat mitata TTT-tasoa ovat: sisäisten tai ulkoisten auditoinnin tulokset (66 % vastanneista), ihmisten aiheuttamien tietoturvatapahtumien määrä (58 %) ja vakavien tapahtumien perimmäiset syyt (54 %). Auditointia vastaajat perustelivat auditoijien objektiivisuudella ja systemaattisella lähestymistavalla. [1, s. 18.] Myös Kajava & Siponen (2002) pitävät auditoijien käyttöä vähintään yhtä tärkeänä kuin mittareiden tuloksia [3, s. 8]. Lisäksi on huomioitava, että organisaatio ei koskaan ole täysin suljettu systeemi. Näin ollen organisaatioon TTT:hen vaikuttavat nostavasti tai laskevasti useat muutkin tapahtumat. Näiden tapahtumien vaikutusten tunnistaminen ja poistaminen ohjelman aiheuttamasta voi olla varsin vaikeaa. 4.2 TTT:n mittaamisen eri lähestymistavat ENISA mukaan on yleisesti neljä erilaista lähestymistapaa TTT:n mittaamiseen ja jokaisessa näissä on eri mittarit. Lähestymistavat ovat: 1) prosessien parantaminen, 2) hyökkäyksen torjuminen, 3) suorituskyky ja kustannustehokkuus ja 4) sisäinen suojaus. Ensimmäisessä lähestymistavassa arvioidaan TTT-ohjelmaa tarkastelemalla sen tehtäviä ja toteutusta. Toisessa lähestymistavassa mitataan kuinka hyvin kohdehenkilöt ovat vastustuskykyisiä potentiaalisille hyökkäyksille. Kolmannen lähestymistavassa keskitytään ihmisten aiheuttamiin tietoturvatapahtumiin. Neljäs lähestymistapa tarkastelee sitä, kuinka hyvin kohdehenkilöt ovat suojautunut potentiaalisilta uhilta eli onko yksilöiden tietoisuus johtanut turvalliseen käyttäytymiseen. [1, s ; 2, s ] Kajavan & Siposen (2002) mukaan TTT:n tehokkuutta voidaan arvioida neljän kysymyksen kautta: 1) pitikö kohdeyleisö TTT-ohjelmasta? 2) oppivatko he siitä? 3) ottivatko he oppeja käyttöön myös työtehtävissään oikeaoppisesti? ja 4) vaikuttiko TTT-ohjelma organisaatioon? Ensimmäisen kysymyksen perusteluna on se, että jos kohdehenkilöt eivät pitäneet ohjelmasta, he eivät ole kovinkaan innokkaita noudattamaan ja sisäistämään ohjelman eri asioita. Toisen kysymyksen ajatuksena on tarkistaa kohdeyleisön oppiminen, koska jos eivät oppineet, niin heillä ei voi olla oppeja edes vietäväksi käytäntöön. Vaikka he oppisivat kaiken, omaksuisivat oikean asenteen ja työvaiheet, niin he voivat silti tehdä asiat eri tavalla päivittäisissä töissään ja sen vuoksi myös kysymystä kolme tarvitaan. [3, s. 8.] Guenther (2003) puolestaan suosittelee mittaamaan TTT-tasoa: 1) kyselylomakkeilla ja tutkimuksilla 2) rupattelulla, esimerkiksi keskustelemalla taukohuoneessa olevien kanssa TTTohjelmasta ja siihen liittyvistä asioista. 3) tietoturvatapahtumien määrällä ja tyypillä ennen ja jälkeen TTT-ohjelman 4) käyttäjien käyttäytymisen pistotarkistuksilla, jotka sisältävät esimerkiksi toimiston eri työpisteiden tarkistamisen siitä onko koneista kirjauduttu ulos työntekijän poistuttua työpisteestä tai onko salassa pidettävää materiaalia jäänyt suojaamatta asianmukaisesti 5) verkkopohjaisten TTT-materiaalien katsomisen tiheydellä ja missä vaiheessa työntekijät ovat TTTaineistossa 6) salasanojen murtamisella. Guentherin malli on hyvin käytännönläheinen ja keskittyy esittelemään kirjoittajan mukaan tehokkaita TTT:n mittaamisen malleja, ei niinkään parhaita käytäntöjä. [4, s. 2-4.] Mathiasen (2004) on päätynyt mittaamisessa kymmeneen osa-alueeseen, jotka ovat 1) perusta, 2) kasvatus ja koulutus, 3) tietoturvatapahtumien käsittely, 4) tarkastukset, 5) kommunikointi ja näkyvyys, 6) kyselyt, 7) tietoturva lähtien päivästä numero yksi, 8) kampanjat, 9) arvioinnit ja 10) dokumentointi. Osa-alueista Mathiasen käytti omassa tutkimuksessaan kuutta ensimmäistä. [5, s ] NIST (2003) käyttää NIST ja dokumenteissa taas kohdeyleisön tietämyksen tasoja kolmijakoisena mallina: tiedostaminen (awareness), osaaminen (training) ja ymmärtäminen (education). Tätä käytetään kuitenkin vain materiaalin suunnittelussa apuna, ei mittauksessa. Mittaamiseen on päädytty valitsemaan neljä tasoa, jotka ovat: 19

23 Taso 1: Koulutuksen loppuarviointi, jolla mitataan oppilaiden tyytyväisyyttä Taso 2: Käyttäytymistavoitteen testaus, jolla mitataan oppimisen ja opettamisen tehokkuutta Taso 3: Oppien työhön siirtotaidot, jolla mitataan toiminnan tehokkuutta Taso 4: Organisaation hyödyt, jolla mitataan koulutusohjelman vaikuttavuutta. [6 ; 7, s ]. Tämä mittaamisen malli on hyvin samankaltainen Kajavan & Siposen neljän kysymyksen kanssa. Erona vain se, että NIST keskittyy mittaamaan erityisesti koulutusta, joka on keskeinen tapa :ssa ja :ssa jakaa TTT:a [6 ; 7, s ]. Kruger & Kearney (2005) taas vuorostaan hyödyntävät sosiaalipsykologiasta kolmea komponenttia: tunteet, käyttäytyminen ja kognitio, jotka määrittelevät kuinka taipuvainen ihminen on toimimaan suotuisalla tai epäsuotuisalla tavalla. Näiden perusteella he jakavat TTT:n mittaamisen kolmeen komponenttiin: 1) mitä henkilöt tietävät, 2) kuinka he asiaan suhtautuvat (asenne) ja 3) kuinka he toimivat (käyttäytyminen). [8, s. 3.] Myös Puhakainen (2006) on mallintanut psykologisia vaikuttimia ihmisen käyttäytymiseen asenteen, subjektiivisen normin, havaitun kontrollin, havaitun hyödyllisyyden ja helppokäyttöisyyden perusteella, jotka hänen mukaansa johtavat suoraan käyttäytymisen aikomukseen ja sitä kautta käyttäytymiseen. [9, s ] Myös Mathiasen (2005) korostaa psykologisia vaikuttimia ja käyttää hyvin samankaltaista mallia kuin Puhakainenkin [5, s. 19]. Vaikka Mathiasen ja Puhakainen selkeästi ovat huomioineet näitä näkökulmia mittaamisessa, ne eivät näy systemaattisesti mittaamisessa kuten Kruger & Kerney:llä. Kruger & Kerney (2005) nimittäin mittasivat globaalisti toimivan, henkilöä työllistävän AngloGold Ashantin eri toimipisteiden TTT-tasoja case -tutkimuksena vuonna 2003 käyttäen systemaattisesti erillisiä mittareita tietoisuuden, asenteen ja käyttäytymiseen mittaamiseen. Mittaus toteutettiin keskittyen kuuteen kriittiseksi koettuun riskialueen. Näitä kuutta aluetta kohden he rakensivat väittämiä, joissa vastausvaihtoehtoina olivat tosi, epätosi ja en tiedä tietoisuuden ja asenteen väittämien osalta sekä tosi ja epätosi käyttäytymisen osalta. Näin he saivat näiden kuuden osa-alueen TTT-tasot mitattua tietoisuuden, asenteen ja käyttäytymisen suhteen eri yksiköissä käyttäen mittauksissa painotettua keskiarvoa ja TTT-tason asteikkona %. Tulokset tulkittiin kolmiportaisella asteikolla: hyväksi, jos tulos oli 80 % % kohtalaiseksi, kun tulos oli 60 % - 79 % ja heikoksi, jos tulos oli alle 60 %. [8.] 4.3 Kokonaiskuva TTT:n mittaamisen osa-alueista Edellä mainitut eri TTT:n mittaamisen lähestymistavat ja mallit selvästi kuvaavat samaa kokonaisuutta täydentäen jokainen kokonaiskuvaa omalta osaltaan kuin palapeliä pala kerrallaan. Kirjallisuudesta ei kuitenkaan löytynyt yhtään kokonaiskuvaa TTT:n mittaamisen eri osa-alueista, joten kirjallisuuden perusteella syntynyttä kokonaiskuvaa on hahmoteltu kuvaan 1. Kuvaan on myös numeroitu mittaamisen eri kohteita ja pyritty havainnollistamaan niiden välisiä suhteita. Käydään seuraavaksi läpi niitä. Projekti- tai hankemuodossa toteutettavasta TTT-ohjelmasta (kuva 1, kohta 1.) voidaan arvioida tehdäänkö oikeita asioita, mitä voidaan mitata vertaamalla TTT-ohjelman tavoitteita suhteessa kohdeyleisön pääriskeihin ja sen käytössä olevaan teknologiaan [1, s. 14] tai tehdäänkö asioita oikein eli vertaamalla TTT-ohjelman tavoitteita suhteessa siihen mitä oikeasti ohjelman toteutusvaiheessa on tehty. Usein voi käydä nimittäin niin, että hyvistä tavoitteista joudutaan toteutusvaiheessa tinkimään esimerkiksi resurssien tai ajan niukkuuden vuoksi. Lisäksi TTTohjelmaa voidaan mitata kuten mitä tahansa projektia käytettyjen resurssien määrää (ihmiset, aika ja raha) ja verrata siitä ohjelmalla saatuihin tuloksiin. 20

24 TTT-ohjelma A 3. TT? Kohdeyleisö SALAINEN TTP? 6. Salasanat Kuva 1. TTT-mittaamisen käsitteellinen kokonaiskuva. Mittaamisen eri osa-alueet ovat numeroituna yhdestä seitsemään. Kuvassa A tarkoittaa auditoijaa, TTP tietoturvapäällikköä ja TT tietoturvaa. TTT-ohjelman vaikuttaminen kohdeyleisöön tapahtuu eri kanavia (kuva 1, 2.) pitkin, joita ovat mm. koulutukset, infotilaisuudet, sähköpostit, ohjeet ja www-sivut. Yhtenä vaihtoehtona on jakaa erilaista paperimuodossa olevaa materiaalia. Tähän sisältyvät esimerkiksi lehtiset, tarrat, mainosmateriaalit, julisteet, esitteet, tietoturvaohjeet, menettelyohjeet, prosessikuvaukset ja perehdytysmateriaalit. Dokumentaatiota voidaan tallentaa kokonaan tai osittain myös erilaisiin tietojärjestelmiin, joiden kautta käyttäjät pääsevät aineistoon käsiksi aina halutessaan. Tyypillisiä esimerkkejä ovat sähköpostit, www- tai intranet -sivut ja verkko-oppimisympäristöt. Mittareina voidaan käyttää esimerkiksi jaettujen lehtisten ja koulutuspäivien lukumäärää [1, s. 14] tai kanavan kustannuksia suhteessa sen kautta saavutettujen henkilöiden lukumäärään. Materiaaleista voidaan mitata ajantasaisuutta TTT-materiaalin päivitystiheydellä ja kattavuutta vertaamalla sitä suhteessa pääriskeihin tai käytettyihin teknologioihin [1, s. 14]. Myös kävijämäärät tietojärjestelmällä (esim. www-sivuilla) [1, s. 14] ja kuinka monta prosenttia käyttäjät ovat lukeneet verkkooppimismateriaalista ovat potentiaalisia mittareita, kuten myös verkko-oppimisympäristöjen yhteydessä helposti toteutettavien tietoturvaan liittyvien tietokilpailujen ja kyselyiden tulokset [4, s. 4]. Myös esimerkiksi kyselyillä ja haastatteluilla on arvioitavissa kuinka moni piti ja kuinka laadukkaaksi kohdeyleisö kanavan kautta tuotetun informaation kokivat. TTT-ohjelmasta kanavien kautta tapahtuvia vaikutuksia pitää myös mitata kohdeyleisön tietoisuuden kasvuna (3.), mutta sekään ei vielä liitä. Myös asenteiden muutoksia on mitattava, sillä pelkästään TTT ei vaikuta niin paljon kuin asenteet tietoturvaa kohtaan. Näitä voidaan mitata tekemällä erilliset mittarit molemmille esimerkiksi kyselyissä kuten Kruger & Kearney tekivät [8]. Kohdeyleisön vastustuskyky potentiaalisille hyökkäyksille on myös mielenkiintoinen mittauskohde (4.). Tätä voidaan mitata esimerkiksi missä laajuudessa kohdehenkilöt tunnistavat erilaisia hyökkäyksiä tai kuinka helposti he lankeavat hyökkäyksiin. Hyökkäyksiin lankeamista voi testata simuloiduilla hyökkäyksillä, kuten esimerkiksi sähköposteilla jotka sisältävät käynnistettävän ohjelman tai social engineering -hyökkäyksillä. Molemmissa mittaustuloksena saadaan langenneiden prosentuaalinen osuus koko kohdeyleisöstä. [1.] Hyökkäystyypeistä social engineering:iä ja phising:iä käsitellään tämän raportin luvuissa 14 ja

25 Eräs mittauksen osa-alue on myös kohdeyleisön käyttäytyminen (5.), koska vain sen avulla nähdään onko TTT muuttanut kohdehenkilöiden käyttäytymistä tietoturvallisempaan suuntaan [5, s. 9; 1, s. 16; 8; 4, s. 4; 3, s. 8]. Mittariesimerkkeinä tästä ovat muun muassa kuinka monta prosenttia kohdehenkilöistä on salannut luottamukselliset tiedostot, suojautunut haittaohjelmilta, varmuuskopioinut tiedostonsa tai kuinka monelta löytyy sopimatonta tai laitonta materiaalia esim. piraattiohjelmia tai pornografiaa [1, s. 16]. Yrityksissä voidaan lisäksi mitata missä laajuudessa tietojärjestelmien kehittämisessä ja hankinnassa huomioidaan tietoturva-asiat [1, s. 16] tai työpisteiden tarkistuksen yhteydessä moneltako prosentilta löytyy salassa pidettävää materiaalia työpöydältä tai roskiksesta [5, s. 30] tai salasanoja keltaisilta lapuilta. Ihmisiä tarkkailemalla voidaan havaita montako prosenttia kohdeyleisöstä laiminlyö tietoturvaohjeiden noudattamisen tai toimii tietoturvattomasti havainnoidussa tilanteessa [3, s. 8]. Myös salasanojen murtamisella paljastuu kuinka monella prosentilla kohdehenkilöistä salasana on heikko [5, s. 30 ; 1, s. 17 ; 8, s.4]. Kohdeyleisö voi myös aiheuttaa tietoturvatapahtumia (engl. incident) tai havaita niitä (6.). Esimerkkejä mittareista ovat kuinka monta prosenttia tunnistaa tietoturvatapahtuman tai havaittuaan ilmoittaa niistä tietoturvapäällikölle tai vastaavalle. Tietoturvatapahtumien lukumäärä, tapahtumien aiheuttamat kustannukset, osuus vakavista tapahtumista ja tapahtumista aiheutuneiden käyttökatkoksien pituudet ovat myös mahdollisia mittareita [1, s. 15]. Auditoijien raportit (7.) ovat myös perinteisesti käytettyjä TTT-tason arviointitapoja, kuten luvussa 4.1 tuli ilmi. Lisäksi auditoijia on käsitelty tämän raportin luvussa 5. Mittausalueet 1 3 eivät suoraan mittaa TTT:n lisääntymistä vaan enemmänkin sitä, miten paljon ja tehokkaasti on tuotettu TTT:n lisääntymisen mahdollistajia. Mittareiden määritystyö ja kerääminen ovat tämän osa-alueen etuina. Mittausalueen 4 mittareiden etuna on, että ne antavat suoria todisteita kohdeyleisön TTT-tasosta ja niillä on helppoa vakuuttaa johto TTT -ohjelman tarpeellisuudesta. Haittapuolena voivat olla korkeat rakentamiskustannukset. Mittausalueen 5 etuna on puolestaan suora todistusaineisto käyttäjien käyttäytymisestä, kun taas mittareita voi tulla paljon ja edellyttää skannaustyökalujen hankintaa ja auditointien järjestämistä. Kun vuorostaan tarkastellaan mittausaluetta 6, niin etuna on helppo kerääminen, koska tietoturvatapahtumia yleisesti kerätään jo muutenkin tietoturvahenkilöstön toimesta. Lisäksi ne kiinnostavat johtoa. Haittapuolena on, etteivät ne välttämättä anna todellista kuvaa TTT:n tasosta sillä tietoturvatapahtumien määrä korreloi suhteessa hyökkäysten määrään. [1, s ; 2, s ] Lopulta TTT-ohjelmissa on kuitenkin kyse ihmisten käyttäytymiseen vaikuttamista [1, s. 14] ja sen vuoksi käyttäytymistä, asenteita ja tietoisuutta mittaavat mallit, kuten esimerkiksi Kruger & Kearneyn malli, voivat olla erinomaisia TTT-tason mittaamisessa, varsinkin kun TTT:n mittaamisesta ei ole tehty juurikaan tutkimusta ja käyttäytymistieteen näkökulmia on varsin vähän huomioitu TTT:n mittaamisen kirjallisuudessa. Kuitenkin mittaamisessa on huolehdittava myös siitä, että malli on holistinen eikä mittaa vain yhtä osa-aluetta TTT:sta tai käytä vain epäsuoria tai vaikeasti tulkittavia mittareita. 4.4 Lähteet [1] Euroopan verkko- ja tietoturvavirasto (ENISA) Information Security Awareness Initiatives: Current Practice and the Measurement of Success. July 2007 [WWW]. [Viitattu ]. Saatavissa: [2] Euroopan verkko- ja tietoturvavirasto (ENISA) Käyttäjän opas: Tietoturvatietoisuuden lisääminen. Kesäkuu s. 66 [WWW]. [Viitattu ]. Saatavissa: WGAR/guide_fi.pdf [3] Kajava, J., Siponen, M IT Security Awareness Issues for Industry. European Intensive Programme on Information and Communication Technologies Security, IPICS'2002, 3rd Winter 22

26 School. 2-9 April [4] Guenther, M Security Awareness Benchmarking and Metrics. IWS - The Information Wareware Site [WWW]. [Viitattu ]. Saatavissa: [5] Mathiasen, J Measuring Information Security Awareness A survey showing the Norwegian way to do it. Msc Thesis. Kungl Tekniska Högskolan, Norwegian Information Security Laboratory. s. 42. [6] National Institute of Standardisation and Technology (NIST), Wilson. M, Hash, J SP800-50: Building an information technology awareness and training program. 70 s [WWW]. [Viitattu ]. Saatavissa: [7] National Institute of Standardisation and Technology (NIST), Wilson. M, Zafra, D., Pitcher, S., Tressler, J., Ippolito, J SP800-16: Information Technology Security Training Requirements: A Role- and Performance-Based Model. s. 172 [WWW]. [Viitattu ]. Saatavissa: [8] Kruger, H.A. & Kearney, W.D Measuring Information Security Awareness: A West Africa Gold Mining Environment Case Study. Information Security South Africa Seminar 2005 New Knowledge Today [WWW]. [Viitattu ]. Saatavissa: [9] Puhakainen, P A Design Theory for Information Security Awareness. Academic Dissertation. Faculty of Science, Department of Information Processing Science, University of Oulu. Oulu University Press. ISBN s

27 5 Tietoturva-auditoija ja luottamus Tässä luvussa tarkastellaan ulkopuolisen tietoturva-auditoijan luottamukseen liittyviä asioita kuten eettisiä periaatteita. Luvussa esitellään myös tärkeimmät ja tunnetuimmat tietoturva-alan yksityishenkilöille myönnettävät sertifikaatit, koska niitä pidetään todella tärkeänä asiana ulkopuolisen ammattilaisen tietotaidon mittaamiseen. Lisäksi sertifikaattien omistajia myös voidaan pitää yleisesti luotettavina, koska miltei kaikkiin sertifikaatteihin vaaditaan vähintään 5 vuoden toimiminen tietoturva-alalla. 5.1 Tietoturva-auditointi Yritysjohto ei yleensä ole tietoturvan asiantuntija vaan tietoturvaan suhtaudutaankin vain välttämättömänä pahana. Nykyisin kuitenkin yrityksissä on herätty tietoturvariskien tuomiin mahdollisiin seurauksiin ja tietoturvaan onkin alettu panostaa täysin eri mittakaavassa kuin vielä muutama vuosi sitten. Tietoturvan tietyn ajan välein tapahtuvaa tarkistusta voi myös vaatia jokin organisaation tai yrityksen asiakkaista. Samalla tietoturvan tason tasainen tarkkailu nähdään monessa organisaatiossa kilpailuetuna, jolloin asiakas myös varmasti tietää millaista tietoturvan tasoa kyseinen organisaatio tarjoaa palveluilleen. Yritysjohdossa on kuitenkin yleensä hieman vähemmän varsinkin teknisen tietoturvan erikoisasiantuntemusta, joten heidän on hyvin vaikea itse tarkistaa onko tietoturva saatu sille tasolle mitä ollaan haettu. Mitä tietoturva-auditointi sitten on? Tietoturva-auditoinnissa tarkastetaan kohteena olevan organisaation tietoturvan taso. Tällä tarkastuksella tarkoituksena on saada selville täyttääkö kyseinen organisaatio sille laaditut tietoturvanormit ja onko tietoturvan taso sillä tasolla mitä luullaan. Tietoturva-auditoinnissa otetaan huomioon sekä sisäiset että ulkoiset tekijät. Varsinkin sisältä päin tapahtuvaan luvattomaan käyttöön ja sen selvittämiseen auttaa todella paljon jos kaikki organisaation järjestelmät vaativat tunnistautumisen henkilökohtaisilla tunnuksilla. Lisäksi kaikkien tunnuksilla tehtyjen toimien on oltava jäljitettävissä aikaan, paikkaan ja tekijään. Tietoturva-auditointeja on monenlaisia, mutta yleisemmin keskitytään teknisten ratkaisujen, fyysisten tilojen sekä hallinnollisen tietoturvan auditointiin. Yleisemmin otettuna tietoturvaauditoinnin pitäisi aina käsittää tarkastus kaikista näistä kolmesta näkökulmasta. Esimerkiksi tarkastettaessa organisaation palvelinhuonetta, täytyy tarkastaa tilojen fyysinen turvallisuus aina seinien paksuudesta mahdollisiin vesivuotoihin. [1] Tekniseltä puolelta pitää tarkastaa esimerkiksi tietokantapalvelimien ohjelmistoversioiden tuoreus kuin että palvelimet on myös kovetettu sekä lisäksi hallinnolliselta puolelta tarkasteltaessa on tarkistettava kenellä on oikeus päästä käsiksi palvelimiin niin fyysisesti kuin tietoverkon välitykselläkin. Kuitenkin täytyy muistaa etteivät nämä kolme puolta ole täysin erillisiä vaan näistä kolmesta näkökulmasta tarkasteltaessa organisaatiota saadaan hyvä lomitettu kokonaiskuva turvallisuudesta. 5.2 Tietoturva-ammattilainen Kuka sitten on tietoturva-ammattilainen? Tietoturva-ammattilaisesta tai yleisemmin tietoturvaasiantuntijasta puhuttaessa kaukana ovat ne ajat kun ydinosaamiseen kuuluivat virustorjunnasta ja palomuurista huolehtiminen. Nämä tehtävät kuuluvat nykyisin yhä useammin tietoverkkoasiantuntijoiden vastuualueelle. [2] Tietoturva osaamista edellytetään siis löytyvän nykyisin paljon muualtakin kuin pelkältä tietoturvajohdolta tai -osastolta. Nykyisellään tietoturva-ammattilaisista on pulaa ja heidän tehtävänsä ovat käyneet yhä monipuolisimmiksi. Ersnt & Youngin tekemä maailmanlaajuinen tilannekatsaus organisaatioiden tietoturvasta, Global Information Security Survey 2008 [3], kertoo että vaikka tällä hetkellä yritykset painiskelevat globaalista taantumasta johtuen lomautusten ja säästöjen kanssa vain 6% 24

28 kyselyyn vastanneista 1400:sta johtotason henkilöstöstä kertoo organisaation vähentäneen tietoturvallisuuteen liittyvää rahallista panostusta. Lisäksi katsauksessa kävi ilmi että suuri osa organisaatioista kertoo tietoturvaosaajien puutteen nousseen jo suureksi huolen aiheeksi Ulkoinen tietoturva-auditoija Ulkoinen tietoturva-auditoija puolestaan on jokin organisaation ulkopuolinen henkilö tai ryhmä, joka kutsutaan suorittamaan tietoturva-auditointia tai -tarkastusta. Yleisemmin puhutaan myös tietoturvakonsulteista. Kun organisaation ulkopuolelta otetaan henkilö tekemään tietoturvaan liittyviä toimia liittyy toimintaan aina riski. Tämän vuoksi onkin hyvin tärkeää, että ulkopuolisen toimijan taustat on tutkittu sekä ammattitaito taattu. Myöskin vuosien menestyksekäs alalla toimiminen lisää luottamusta tarkastuksen tekijää kohtaan Luottamus ulkoiseen tietoturva-auditoijaan Tietoturva-auditoinnin olisi oltava luotettavaa ja puolueetonta sekä tietoturvan tarkastus kokonaan eriytettävä sen toteuttajasta. Jotta nämä asiat toteutuisivat tarkastukseen olisi syytä käyttää kokonaan ulkopuolista ja riippumatonta palveluntoimittajaa. Tarkastustyön tulos on myös vaadittava hyvin dokumentoituina aina koetusten tai hyökkäysten suorituksen dokumentaatiosta lopullisiin päätelmiin. Dokumentaation olisi oltava sillä tasolla, että organisaation tietoturvasta vastaavat voisivat itse toteuttaa korjausehdotukset tai käyttää tarkastusraporttia esimerkiksi tarjouskilpailussa toimenpiteiden täytäntöön panijaa etsiessä. Johdonmukainen dokumentaatio lisää myös organisaation ja auditoijan välistä luottamusta. Tarkastuksen suorittavalta taholta on siis hyvä pyytää korjausehdotukset mahdollisiin löydettyihin tietoturva-aukkoihin, mutta sille ei ole syytä antaa mahdollisuutta toteuttaa niitä itse. Kaikkein tärkeimpänä asiana tarkastuksessa on kuitenkin muistettava että kyseessä on tietoturvan tarkastus, minkä vuoksi tietoturvan toteuttajaa ei saa missään nimessä päästää tarkastamaan omaa työtään. [4] Tietoturva-auditoija on siis tietoturvan tarkastaja eikä toteuttaja Tietoturva-auditoijan pätevyys Tietoturva-auditoijista ja -ammattilaisista puhuttaessa isoon osaan nousee pätevyys ja ammattitaito. Näihin vastauksen takaavat laitteisto- ja ohjelmistotoimittajista riippumattomat sertifikaatit. Tietojärjestelmätarkastajien eli tietoturva-auditoijien kansainvälinen yhteisjärjestö ISACA (Information Systems Audit and Control Association) tarjoaa jo muutaman sertifikaatin suoritettavaksi, mutta muitakin turvallisuuten suuntautuneita sertifikaatteja löytyy kuten esimerkiksi ISC^2:n järjestön CISSP (Certified Information Systems Security Professional). Suomessa ISACA:n jäsenet ovat muodostaneet oman Tietojärjestelmien tarkastus ja valvonta ry:n. Ttietoturvatarkastuksen suorittajalta ei toki välttämättä vaadita jotakin sertifikaattia, ja toisaalta sertifikaatin saannin taustalla on yleensä vaatimuksia työkokemuksesta. Esimerkiksi ISACA:n kaikki sertifikaatit vaativat saajiltaan vähintään 5 vuoden työkokemusta tietoturva-alalta toimimisesta. ISACA:n ja muiden sertifikaatteja myöntävien tahojen toiminnasta on kuitenkin muistettava ettei esimerkiksi ISACA:n tapa toimia ole ainoa oikea vaan muutkin luotettavaksi todetut toimintamallit ovat mahdollisia Tietoturva-alan henkilökohtaiset sertifikaatit Tietoturva-alalla suurena tekijänä varsinkin ulkoisten konsulttien tai toimijoiden keskuudessa luottamuksen ja ammattitaidon takeena pidetään erilaisia laitteisto- ja ohjelmistotoimittajista 25

29 riippumattomia sertifikaatteja, joiden hankkiminen myös lisää hankkijansa tietoturvatietoisuutta. Sertifiointi itsessään tarkoittaa mittaamista ja sertifikaatti kertoo paljon haltijansa tietoturvatietoisuuden tasosta. Alta löytyvät yleisimmät henkilökohtaiset tietoturva-alan sertifikaatit vaatimuksineen ja pääpiirteisine sisältöineen CISA (ISACA) CISA tulee sanoista Certified Information System Auditor eli sertifioitu tietojärjestelmä tarkastaja. CISA on ISACA:n jo vuonna 1978 käyttöön ottama sertifiointi, jolla pyrittiin saamaan aikaan työkalu jolla voitaisiin arvioida ja ylläpitää yksittäisen henkilön pätevyyttä suorittaa tietojärjestelmä auditointi. Tämän lisäksi pyrittiin siihen että sertifikaatin saajalla sekä hakijalla olisi motivaatiota ylläpitää ja kehittää omia taitojaan tietoturva-alalla sekä tarjota yritysjohdolle apuväline sopivan työntekijän valintaan kuin myös työntekijän jatkokoulutukseen. CISA:n saamiseen vaaditaan vähintään 5 vuoden työkokemus alalta, ISACA:n eettisen ohjeiston hyväksyminen sekä kirjallisen kokeen läpäiseminen. Nelituntinen kirjallinen koe sisältää 200 monivalinta kysymystä kuudelta eri osa-alueelta. Osa-alueet ovat tietojärjestelmän tarkastusprosessi, tietotekninen tietämys, järjestelmien ja infrastruktuurien elämänkaaren hallinta, tietoteknisten palveluiden toimitus ja tuki, tiedon turvaaminen sekä liiketoiminnan jatkaminen ja tuhosta toipuminen. [5] CISA on voimassa kerralla kolme vuotta, jonka aikana sertifikaatin haltijan on maksettava ISACA:lle vuosimaksu sekä kerättävä vähintään 120 CE-tuntia (Continuing Professional Education Hours) 3 vuoden aikana, mutta kuitenkin niin että joka vuosi kertyy vähintään 20 CE:tä. CE -tunnit hyväksytysti täyttänyt ja ISACA:lle raportoinut sertifioidun sertifikaatti säilyy näin voimassa kolmen vuoden jaksoissa. CE -tunneiksi hyväksytään esimerkiksi ISACA:n omat tilaisuudet, tietoturva-alaan liittyvät seminaarit, yliopistotason kurssit, konfferenssit sekä työpajat. Lisäksi tietoturvan opettamisesta, luennoinnista, julkaisujen tekemisestä ja vastaavasta tietoturvaan liittyvästä ammattimaisesta toimimisesta saa CE -tunteja tietyin rajoituksin. Ensimmäiset CISA sertifioidut valmistuivat 1978 ja Suomen ensimmäinen CISA sertifioitu saatiin jo vuonna Maailmanlaajuisesti CISA:n omistajia on noin ja Suomesta heistä on noin 160. CISA on myös yksi harvoista sertifioinneista, jotka on formaalisti hyväksytty Yhdysvaltain Puolustusministeriön tietoturvallisuus pätevyyden takaavaan teknilliseen kategoriaan. [6] CISM (ISACA) CISM tulee sanoista Certified Information Security Manager eli vapaasti käännettynä sertifioitu tietoturva päällikkö. CISM on ISACA:n vuodesta 2003 asti myöntämä sertifikaatti, joka on suunnattu manageritasolle ja se soveltuu osoittamaan tietoturvavastaavan tehtäviin tarvittavaa osaamista. CISM:n saamiseen vaaditaan vähintään viiden vuoden työkokemusta tietoturva-alalla joihin on sisältynyt toimimista tietoturvan hallinnan alueella, ISACA:n eettisen ohjeistuksen hyväksymistä sekä läpäistyä kirjallista koetta. Koe sisältää monivalinta kysymyksiä viideltä eri tietoturvan hallinnolliselta alueelta joita ovat tietoturvan hallinnointi, riskienhallinta, tietoturvaohjelman kehittäminen, tietoturvaohjelman hallinnointi ja tapahtumien hallinta. [5] CISM:n on voimassa kerrallaan kolme vuotta ja sitä koskee samanlainen tietoturva-alaan liittyvä jatkuva uuden tiedon kerääminen CE -pisteiden muodossa kuin aikaisemmassa luvussa mainittua ISACA:n CISA -sertifikaattia. CISM sertifioituja on maailmanlaajuisesti noin 6500 ja Suomesta heitä löytyy noin 30. CISM kuuluu Yhdysvaltain Puolustusministeriön tietoturvallisuus pätevyyden takaavaan hallinnolliseen kategoriaan. [6] 26

30 CISSP (ISC^2) CISSP tulee sanoista Certified Information Systems Security Professional eli sertifioitu tietoturvaasiantuntija. CISSP on ISC^2 eli International Information Systems Security Certification Consortiumin vuonna 1989 aloittama sertifiointi ohjelma, jonka suorittajalta vaaditaan laajaa tuntemusta tietoturvan osa-alueilta. ISC^2 kutsuu näitä alueita CBK:ksi (Common Body of Knowledge) ja niihin kuuluvat: pääsynhallinta, ohjelmisto turvallisuus, liiketoiminnan jatkuvuus ja tuhosta toipumisen suunnittelu, kryptografia, tietoturvallisuus ja riskienhallinta, lait ja ohjeistot sekä niiden noudattaminen ja tutkiminen, toiminnan turvallisuus, toimitila turvallisuus, turvallisuus arkkitehtuuri ja sen suunnittelu sekä tietoliikenne- ja verkkoturvallisuus. CISSP:n suorittajalta vaaditaan 5 vuoden työkokemus vähintään kahdelta ISC^2:n CBK:n alueelta joista yhdeksi vuodeksi voidaan hyväksi lukea vähintään 4 vuoden korkeakoulututkinto, maisterin tutkinto tietoturvallisuudesta tai jonkin muun kansainvälisen tietoturvasertifikaatin omistaminen. Lisäksi CISSP:n suorittajan täytyy hyväksyä ISC^2:n eettinen ohjeisto, vastata neljään kysymykseen taustastaan ja rikosrekisteristään sekä suoriutua kuusituntisesta kirjallisesta kokeesta joka sisältää 250 monivalinta kysymystä kaikilta kymmeneltä CBK:n alueelta. CISSP sertifikaatti on voimassa kerrallaan vain kolme vuotta, jonka jälkeen se on uusittava. Sertifikaatin uusimista varten voi käydä uusiksi kokeessa, mutta yleisempi tapa on kerätä 120 CPEpistettä (Continuing Professional Education) sekä maksamalla 85 dollarin vuosimaksu. Vuosittain CISSP:n haltijan on kerättävä vähintään 20 CPE:tä. CPE-pisteitä voidaan saada monilla tavoilla, mutta yleisenä sääntönä tunnin tietoturva-aktiviteetti kuten koulutuksessa tai seminaarissa käynti tuottaa yhden CPE:n. CISSP:n haltijoita on maailmanlaajuisesti noin ja Suomesta heitä löytyy noin 250. CISSP:n kuuluu Yhdysvaltain puolustusministeriön listalle joka takaa pätevyyden tietoturva tehtävissä niin teknillisellä kuin hallinnollisella puolellakin. CISSP on myös pohjana Yhdysvaltojen kansallisen turvallisuusviraston (NSA) ISSEP koulutukselle. [6] GIAC (SANS) GIAC tulee sanoista Global Information Assurance Certification ja se on SANS Instituutin perustama sertifiointiohjelma. Maailmanlaajuisesti GIAC sertifioituja on noin ja maakohtaisia tietoja ei ole saatavilla. GIAC sertifiointeja on myönnetty vuodesta 1999 lähtien ja sertifiointi painottuu neljälle eri tietoturvallisuuden osa-alueelle joita GIAC:n tapauksessa ovat tietoturvan ylläpito, hallinto, tarkastus sekä ohjelmistojen tietoturvallisuus. GIAC sertifiointi vaatii syvällistä käytännön osaamista eri osa-alueilta ja sen takia GIAC sertifiointi onkin jaettu erilaisiin käytännön alueisiin, joilta kultakin voi suorittaa erillisen sertifikaatin. Tämä helpottaa esimerkiksi tilanteissa kun jokin organisaatio haluaa palkata jonkun joka varmasti tietää kuinka turvata organisaatiota palomuurien avulla. Tällaiseen tilanteeseen esimerkiksi GCFW silver -sertifioitu henkilö on omiaan. GIAC:n erilaiset sertifioinnit on myös jaettu kolmeen eri vaatimustasoon jotka ovat silver, gold ja platinum. Silver kertoo sertifioidun hallitsevan kyseisen osa-alueen ja sen varmistamiseksi vaaditaan kirjallinen koe. Goldiin vaaditaan osa-alueen syvempi tuntemus ja vaatimuksena onkin kirjallisen lopputyön tekeminen. Gold kertoo sertifioidun hallitsevan osa-alueen todella hyvin sekä lisäksi olevan pätevä tutkimaan ja jakamaan tietämystään asiasta. Kaikkein vaativin eli GIAC Platinum taso vaatii esitiedoiksi kolme kultaista GIAC sertifikaattia vähintään kahdelta eri osaalueelta. GIAC on luotu tarjoamaan koko tietoturva-ammattilaisen uran aikainen kehitysympäristö ja koulutuksessa keskitytään erityisesti huippuosaamiseen teknillisessä tietoturvassa. GIAC:n suoritettu sertifikaatti on voimassa kerrallaan neljä vuotta, jonka jälkeen se on uusittava. Lisäksi GIAC:n sertifikaatteihin vaadittavia tehtäviä uudistetaan kolme kertaa vuodessa. [7] 27

31 Näiden lisäksi on olemassa lukuisia muita tietoturvallisuuteen keskittyneitä sertifikaatteja, mutta nämä neljä yleensä mielletään tunnetuimmiksi ja arvostetuimmiksi. Lisäksi on jotkin laitteisto- ja ohjelmistotoimittajat myöntävät omia sertifikaattejaan. Yllä mainitut sertifikaatit kuitenkin ovat laitteisto- ja ohjelmatoimittajista riippumattomia, joten niiden tuoma arvostus ja luottamus vertailtaessa tietoturva-auditoijia on merkittävä Tietoturva-ammattilaisen eettiset periaatteet Tietoturva-ammattilaiset joutuvat työssänsä hyvinkin erilaisten tehtävien eteen. Yleisesti näissä tehtävissä vaaditaan kuitenkin teknistä tai hieman laajakatseisempaa tietämystä. Moni ei kuitenkaan tule ajatelleeksi, että he joutuvat joka päiväisessä työssään monesti myös tekemään eettisiä päätöksiä. Esimerkiksi ylläpitäjät joutuvat silloin tällöin miettimään lukevatko he jonkun käyttäjän viestejä vain koska pystyisivät siihen tai onko sallittavaa että työntekijöiden sähköpostin tai www:n käyttöä tarkkaillaan työnantajan puolesta. Nykyään yksityisyydensuojasta ja siitä mitä saa ja ei saa tehdä pidetään kuitenkin todella tarkkaa huolta. Erns & Youngin tekemässä maailmanlaajuisessa tilannekatsaus organisaatioiden tietoturvasta[3] mainitaankin suurimpana puheenaiheena tällä hetkellä tietoturvasta puhuttaessa olevan yksityisyyden ja sen suojan. Suurien valtuuksien mukana tulee aina suuri vastuu, joten monilla ylläpitäjillä onkin työsopimuksissaan tarkkaan määritelty mitä saa ja mitä ei saa tehdä. Myös sertifikaattien hakijat ja omistajat ovat joutuneet hyväksymään esimerkiksi ISACA:n tai ISC^2:n eettisen säännöstön. Alla listattuna ISACA:n eettinen ohjeistus, joka on hyvä yleisohjeistus tietoturva-ammattilaisille ISACA:n eettiset säännöt ISACA:n jäsenien ja sertifikaattien omistajien täytyy: Tukea ja rohkaista asianmukaisten standardien, prosessien ja menettelyjen valvontaa tietojärjestelmissä. Hoitaa tehtävänsä objektiivisesti, velvollisuudentuntoisesti ja ammattitaitoisesti hyväksi käyttäen ammatillisia standardeja sekä parhaita käytäntöjä. Palvella asianosaisen etua lainmukaisesti ja rehellisesti pitäen samalla yllä korkeita laatuvaatimuksia. Pitää kiinni saamansa tiedon yksityisyydestä ja luottamuksesta työssään elleivät viranomaisten toimet niin erikseen vaadi. Saatuja tietoja ei saa käyttää omaksi hyödykseen tai luovuttaa ulkopuolisille. Pitää yllä osaamistaan omalla osaamisalueellaan sekä hyväksyy vain sellaisia tehtäviä jotka osaa suorittaa tarvittavalla ammattitaidolla. Tiedottaa asiaan liittyville tahoille tekemistään toimista sekä paljastaa heille kaikki tarpeelliset ja hyödylliset asiat jotka ovat tulleet ilmi. Tukea ammatillista koulutusta tietoturvatietoisuuden lisäämiseksi. Eettisen säännöstön noudattamatta jättäminen on sekä tietoturva-ammattilaisen ammattietiikan että ISACA:n sertifikaattien vastaista ja voi johtaa tutkimusten aloittamiseen ja jopa sertifikaatin perumiseen. [8] 5.3 Lähteet [1] Rick Kolker Examining Data Centers [WWW]. [Viitattu ]. Saatavissa: [2] Jari Pirhonen Tietoturva-ammattilaisen osaamisvaatimukset, artikkeli Turvallisuuslehteen 1/2008 [WWW]. [Viitattu ]. Saatavissa: 28

32 lehti-1-08.pdf [3] Ernst & Young Moving beyond compliance, Global Information Security Survey 2008 [WWW]. [Viitattu ]. Saatavissa: _Technology_and_Security_Risk_-_Global_Information_Security_Survey_2008 [4] Pertti Hämäläinen Tarkasta tietoturvasi, Tietokone-lehti 13/2004 [WWW]. [Viitattu ]. Saatavissa: [5] ISACA CISA / CISM Certification Overview [WWW]. [Viitattu ]. Saatavissa: [6] U.S. Government DoD M [WWW]. [Viitattu ]. Saatavissa: [7] Global Information Assurance Certification (GIAC) [WWW]. [Viitattu ]. Saatavissa: [8] ISACA Finland Yhdistyksen eettiset säännöt [WWW]. [Viitattu ]. Saatavissa: 29

33 6 Tietosuojapolitiikat ja käyttöoikeussopimukset Jokainen ihminen törmää lähes päivittäinen tilanteisiin, joissa hän hyväksyy henkilötietoihinsa tai oikeuksiinsa liittyviä sitoumuksia joko tietoisesti tai tietämättään. Yleisimmin edellä kuvattu tilanne tulee vastaan verkkosivulla vieraillessa ja käytettäessä tietokoneohjelmaa tai rekisteröitymisen vaativaa verkkopalvelua. Sitoumukset esiintyvät yleensä kahdessa eri muodossa: sivuston tietosuojapolitiikkana (privacy policy) ja tuotteen, palvelun tai ohjelman käyttöoikeussopimuksena (terms of service, end user licence agreement). Tietoturvallisuuden perusulottuvuuksista käytettävyys, eheys ja luottamuksellisuus tietosuojapolitiikat ja käyttöoikeussopimukset koskevat lähinnä tietojen luottamuksellisuutta. Jotkut tietosuojapolitiikan ehdot, kuten vaatimus evästeiden sallimisesta, voivat liittyä kiinteästi myös sivujen käytettävyyteen. Käytännössä yleisimmin uhattuna ovat henkilön tietosuoja, yksityisyys ja tekijänoikeudet. Tässä luvussa perehdytään tietosuojapolitiikkojen ja käyttöoikeussopimusten sisältöön, sisällön ongelmiin käyttäjän kannalta sekä ongelmien mahdollisiin ratkaisuihin. Ensimmäisessä alaluvussa käsitellään verkkosivujen tietosuojapolitiikkoja pääosin McRobbin ja Rogersonin vuonna 2004 tekemän tutkimuksen [1] valossa ja esitellään P3P-malli, jolla tietosuojapolitiikoissa esiintyviä ongelmia voitaisiin vähentää. Toisessa alaluvussa käsitellään ohjelmien ja verkkopalvelujen käyttöoikeussopimuksia. Käyttöoikeussopimusten pituus ja vaikeaselkoisuus on nykyään kohtuullisen tiedostettu ongelma, mutta tieteellistä tutkimustietoa asiasta on hyvin vähän. Niinpä luvussa ongelmaa lähestytään esittelemällä kahden tunnetun tuotteen jonkin verran kyseenalaistakin julkisuutta saanutta käyttöoikeussopimusta. Alaluvun tarkoituksena on lisätä lukijan tietoturvatietoisuutta osoittamalla, millaisia sudenkuoppia tunnettujenkin tahojen käyttöoikeussopimuksiin voi sisältyä. 6.1 Verkkosivujen tietosuojapolitiikat Verkkosivuilla surffatessa sivuston omistajan asettaman tietosuojapolitiikan hyväksyminen on usein hiljaista, jolloin käyttäjältä ei erikseen kysytä hyväksyykö hän sivuston politiikan. Tällöin käyttäjä hyväksyy itsestään kerättävän tietoja pelkästään tulemalla sivuille. Osa ehtojen hyväksymiseen liittyvästä päätöksenteosta hoituu myös automaattisesti internetselaimen asetusten myötä, mistä tyypillisin esimerkki on evästeiden salliminen tai kieltäminen. Selain ei kuitenkaan huomioi läheskään kaikkea sivuston tietosuojapolitiikasta, jolloin vierailija käytännössä hyväksyy useita yksityisyyteensä liittyviä menettelytapoja pelkästään saapumalla tietylle verkkosivulle Tietosuojapolitiikkojen puutteellisuus McRobb ja Rogerson tekivät vuonna 2004 tutkimuksen, jossa analysoitiin 113 organisaation tietosuojapolitiikat ottaen mukaan vain tahoja, joilta politiikka ylipäätään löytyi. Valitut organisaatiot edustavat laajaa kirjoa yksityisiä yrityksiä ja valtion virastoja lähinnä Yhdysvalloista ja Britanniasta. Mukana analyysissä olivat esimerkiksi Compaq, CIA, BBC, Lycos, Federal Express ja Symantec Store. Tutkituista verkkosivuista 80% tietosuojapolitiikka oli helposti löydettävissä, mutta lopuilla politiikan näkyvyys vaihteli huomattavasti. Pahimmillaan linkkiä tietosuojapolitiikkaan ei löytynyt ollenkaan ja tutkijat löysivät politiikan vain arvailemalla suoria verkko-osoitteita. [1] 30

34 Kohtuullisesta näkyvyydestä huolimatta politiikkojen luettavuus jätti paljon parantamisen varaa. Politiikkojen sisältöä arvioitiin Flesch-Kincaid -indeksillä, joka on yleinen mittari englanninkielisen tekstin luettavuuden arviointiin [1; 2]. Tutkittujen politiikkojen keskiarvo oli 35 pistettä parhaan suoriutujan yltäessä 60 pisteeseen. Tulos on verrattain huono, sillä keskivertolukijalle suunnatun tekstin pistemääräksi suositellaan [1] Henkilökohtaisten tietojen kerääminen Lähes kaikki organisaatiot myönsivät sivujensa keräävän käyttäjätietoja ja suurin osa myös perusteli toiminnan syyt sekä kertoi mahdollisuudesta estää tietojen kerääminen, joskin useissa tapauksissa palvelun käyttö estyi tällöin. Tietojen keräämisen myöntävistä organisaatioista noin 65% kertoi tarkemmin mitä tietoja sivut keräävät ja sama määrä selitti, miten tietojen kerääminen toteutetaan. [1] Ylivoimaisesti yleisin mainittu syy tietojen keräämiselle oli palvelun mahdollistaminen. Tämän jälkeen tulivat palvelun suunnittelun ja personalisoinnin helpottaminen ja markkinointiviestinnän kohdentaminen. [1] Tietojen luovuttaminen kolmansille osapuolille Melkein puolet organisaatioista ilmoitti, että käyttäjän henkilökohtaisia tietoja voidaan joissain tilanteissa luovuttaa kolmansille osapuolille. Lähes kaikki näistä organisaatioista myös kertoi luovuttamisen syyt, jotka olivat yleisemmin palvelun edistäminen tai markkinointitarkoitukset. Noin 70% organisaatioista myös ilmoitti, että tietojen luovuttaminen on mahdollista kieltää erillisellä ilmoituksella. [1] Muuta tutkimuksessa ilmennyttä Alla on koottuna muutamia muita tutkimuksessa ilmi tulleita seikkoja. 43% politiikoista ei selittänyt, miten vierailija suostuu tietojen keräämisen. Toisin sanoen epäselväksi jäi, riittääkö pelkkä sivuille tuleminen hyväksymiseen, vai edellyttääkö se jotain tiettyä toimintaa sivuilla. 70% politiikoista ei kertonut voiko itsestä kerättyjä tietoja tarkistaa jostain ja miten se tehdään. 64% politiikoista ei selittänyt, millä menetelmillä ja teknologioilla kerättyjä henkilötietoja suojataan. 43% politiikoista ei maininnut, käyttääkö verkkosivu evästeitä. 16% politiikoista oli varustettu linkillä, jonka takaa käyttäjälle tarjottiin lisätietoja verkkoyksityisyydestä. Eräs tutkimuksen mielenkiitoisista johtopäätöksistä oli, että tietosuojapolitiikan pituus ja luettavuus eivät korreloineet mitenkään ja myös kaikki muut korrelaatiot, esimerkiksi luettavuuden ja näkyvyyden välillä, olivat hyvin merkityksettömiä. Esimerkiksi tutkimuksen pisin tietosuojapolitiikka, internetin monitoimija Lycosin, oli samalla myös keskitasoa luettavampi ja eräs kaikkein informatiivisimmista. Vastaavasti eräs lyhimmistä politiikoista oli samalla myös yksi vaikeaselkoisimmista ja vähiten informaatiota sisältävistä. [1] Kirjoittajat tekevät myös huomion, että vaikeasti löydettävä politiikka on organisaation resurssien hukkaamista. Kaikkein informatiivisin ja helppolukuisinkaan politiikka ei vakuuta vierailijoita organisaation luotettavuudesta, elleivät käyttäjät politiikka ole myös näkyvästi esillä. Esimerkiksi mediajätti BBC:n politiikka oli huomattavasti keskitasoa parempi, mutta myös yksi vaikeimmista löytää. [1] Erityisen paljon tutkijat yllättyivät siitä, että huomattavasti tiukemmasta yksityisyydensuojasta 31

35 huolimatta eurooppalaiset verkkosivustot eivät suoriutuneet arvioinnissa juurikaan yhdysvaltalaisia paremmin. Tietosuojapolitiikan näkyvyys olikin ainoa osa-alue, jossa Eurooppa voitti selkeästi. Eräänä selityksenä tähän pidettiin sitä, että eurooppalaiset yritykset luottavat lain kattavuuteen, jolloin tietosuojapolitiikan sisällön ei tarvitse olla niin kattava. Yhdysvalloista yksityisyyttä koskeva lainsäädäntö on paikoin hyvin puutteellinen, joten organisaatiot joutuvat panostamaan tietosuojapolitiikkoihinsa enemmän. [1] Yllä esitelty tutkimus tehtiin viisi vuotta sitten, joten verkkosivujen tietosuojapolitiikkojen voi olettaa kehittyneen ainakin jossain määrin noilta ajoilta. Esimerkiksi evästeiden käytöstä ilmoitetaan nykyään allekirjoittaneen omien kokemusten mukaan melko laajasti, vaikka tutkimushetkellä asiasta tiedotti vain alle puolet otoksesta Toinen näkökulma Edellä osoitettiin, että organisaatioiden tietosuojapolitiikat ovat usein puutteellisia, vaikeaselkoisia ja hankalasti löydettävissä. Politiikkojen parempi laadinta on kuitenkin vain osa ongelman ratkaisua, eikä poista verkkoselailun ja yksilön tietosuojan välisiä ongelmia. Ars Technica kertoo Carnegie Mellon yliopiston tutkijoiden tekemästä tuoreesta kohua herättäneestä tutkimuksesta The Cost of Reading Privacy Policies. Tutkijat lukivat verkkosivujen tietosuojapolitiikkoja ja mittasivat lukemiseen tarvittavan ajan. Tuloksena oli, että internetin suosituimpien sivujen keskipituus on 2514 sanaa ja sen lukemiseen menee aikaa 10 minuuttia. Tämän ja sivustojen kävijätietojen perusteella tutkijat laskivat, että keskivertoamerikkalainen joutuisi käyttämään 200 tuntia vuodessa, mikäli hän haluaisi lukea kaikkien vierailemiensa verkkosivujen tietosuojapolitiikat. Työtuntien arvossa mitattuna tuntimäärä vastaisi lähes 3000 dollaria henkilöä kohti ja 365 miljardia dollaria koko Yhdysvalloissa. [3] Tutkijat moittivatkin yrityksiä siitä, että niiden mielestä jokaisen satunnaisenkin verkkoselailijan tulisi lukea heidän sivujensa tietosuojapolitiikka. Mikäli käyttäjä sivuuttaa politiikan, hän ei ole kiinnostunut yksityisyydestään ja se ei ole yritysten ongelma. Tutkijoiden mukaan edellä esitetyt luvut kuitenkin osoittavat selvästi, että myös yritysten on muutettava tapaansa ilmoittaa tietosuojapolitiikka helpommin omaksuttavaan muotoon. Eräänä ratkaisuna tutkijat pitävät lainsäädäntöä, joka takaisi yksityisyydelle tietyn tason yrityskohtaisista tietosuojapolitiikoista välittämättä. [3] Euroopassa asiat ovatkin jo hyvin pitkälti näin, mutta Yhdysvaltojen puutteelliset lait pitävät yksityisyyden suojan edelleen heikkona Eräs tekninen ratkaisu: P3P Yhtenäisen ja kattavan yksityisyyslain lisäksi tietosuojapolitiikkojen ongelmia voidaan lähestyä myös teknisestä näkökulmasta. Internetin ylläpito- ja kehitysorganisaatio World Wide Web Consortium (W3C) aloitti vuonna 2002 Platform for Privacy Preferences (P3P -projektin, jonka tarkoituksena oli tarjota ratkaisu internetsivujen monimuotoisille ja vaikeaselkoisille tietosuojapolitiikoille. [4] Toiminta Toiminnaltaan P3P on protokolla, jolla verkkosivut voivat ilmaista tietosuojapolitiikkansa selaimen ymmärtämässä muodossa. Kaikista politiikoista kerätään seuraavat tiedot: Minkä tyyppisiä tietoja palvelin tallentaa (yksilöiviä vai ei yksilöiviä). Tallennettavien tietojen tarkka määritys (IP-osoite, sähköposti, nimi). Mihin tallennettuja tietoja käytetään (tavalliseen selailuun, personalisointiin, markkinointiin). Millä tahoilla on pääsy kerättyyn tietoon (vain kyseisellä yrityksellä, kolmansilla 32

36 osapuolilla). Kuinka pitkään tietoja säilytetään. Voiko käyttäjä päästä käsiksi hänestä tallennettuihin tietoihin ja jos voi niin millä tavoin (lukuoikeus, oikeus poistaa tai lisätä tietoja) Käyttäjä määrittelee P3P:tä tukevan selaimensa asetuksista, millä yksityisyyden tasolla hän haluaa liikkua internetissä. Uudelle sivulle tultaessa vertaa asetettua tietosuojapolitiikkaa sivun ilmoittamaan politiikkaan ja ilmoittaa käyttäjälle mahdollisista ristiriidoista. Selain osaa myös kääntää sivun ilmoittaman tietosuojapolitiikan P3P:n formaatista normaalitekstiksi. Käytännössä P3P:n tarvitsema politiikkatieto lähetetään palvelimelta joko XML -tiedostona tai koodataan suoraan verkkosivujen HTTP-otsakkeeseen. [4] Kritiikkiä Yllättäen P3P:n suurin kritisoija on ollut Sähköisen yksityisyyden tietokeskus EPIC (Electronic Privacy Information Center), joka pyrkii toiminnallaan edistämään tavallisten ihmisten yksityisyydensuojaa. Pääsyy P3P:n kovaan vastustukseen onkin ollut epäily, että hyvistä aikomuksistaan huolimatta P3P vain huonontaa verkonkäyttäjien tietosuojaa. EPIC:in keskeisiä argumentteja ovat olleet: P3P-ohjelmat tai selaimeen tehtävät P3P-asetukset ovat liian monimutkaisia keskivertosurffaajalle. Tietämättömyys P3P:n toiminnan periaatteista voi johtaa ihmiset virheelliseen turvallisuudentunteeseen sivuilla, joiden tietosuojapolitiikasta selain ei varoita. Toisaalta monet korkean yksityisyydensuojan tarjoavat sivut voivat jäävät paitsioon, mikäli P3P:tä pidetään sivujen luottamuksellisuuden ainoana mittarina. Carnegie Mellon yliopiston tutkimuksen mukaan nimittäin vain 15% 5000 suosituimmasta verkkosivusta tukee P3P:tä [5] Kaikkein pahin P3P:n ongelmista kuitenkin on se, ettei sillä ole minkäänlaista lain tukea. Verkkosivujen tarjoajat ja niillä vierailevat henkilöt eivät kummatkaan ole velvollisia käyttämään P3P:tä. Toiseksi, vaikka organisaation tietosuojapolitiikka olisi ilmaistuna P3P:llä, mikään Yhdysvaltojen laki ei velvoita organisaatiota todellisuudessa noudattamaan protokollalla ilmoittamaansa politiikkaa. P3P:n tekninen validointi tarvitsisi rinnalleen lain, joka vaatisi organisaatioita myös toimimaan ilmoittamiensa politiikkojen mukaan. EPIC myös pelkää, että liiallinen keskittyminen teknisiin suojauskeinoihin voi viivästyttää kunnollisen yksityisyyslain säätämistä, jota se pitää parhaana ratkaisuna yksityisyysongelmiin. EPIC ajaakin Yhdysvaltoihin samantapaista kattavaa yksityisyyslakia kuin EU:ssa on useilla direktiiveillä määrätty. Suomessa tietoturvalainsäädäntö hyppäsi ison askeleen eteenpäin vuoden 2004 Sähköisen viestinnän tietosuojalain myötä. Sen mukaan verkkosivuston käyttäjällä on esimerkiksi oikeus saada tietoonsa, mitä tietoja hänestä on kerätty. [6] Vaihtoehtoisia tekniikoita verkkoselaamisen anonymisointiin Internet-selailun yksityisyyden hallintaan on olemassa P3P:n ohella muitakin tekniikoita. Niihin lukeutuvat esimerkiksi anonyymit välityspalvelimet, joita löytyy useita ilmaisia ja kaikille avoimia. Ne eivät varsinaisesti kuulu tämän luvun aihepiiriin, joten niitä ei käsitellä tässä enempää. 6.2 Käyttöoikeussopimukset Ohjelmia tai palveluita käyttäessään henkilö joutuu yleensä asennusta tai rekisteröitymistä tehdessään hyväksymään käyttöoikeussopimuksen rastimalla lukeneensa, ymmärtäneensä ja hyväksyneensä ehdot. Ehdot ovat kuitenkin lähes aina valtavan pitkiä ja muodoltaan vaikeaselkoista 33

37 lakitekstiä. Useat käyttöoikeussopimukset voivat lisäksi sisältää linkkejä kyseisen yhtiön muihin politiikkoihin, jotka lukijan ilmoittaa myös samalla hyväksyvänsä. Tällöin luettava teksti voi venyä useita kymmeniä sivuja pitkäksi. Mikäli kyseessä oleva ohjelma tai sen omistava yritys on yleisesti tunnettu tai muuten käyttäjän luotettavana pitämä taho, lähes kaikki käyttäjät ohittavat käyttöoikeussopimuksen juurikaan vilkaisematta sitä. Luotettavuuden illuusiosta huolimatta myös tunnettujen toimijoiden käyttöoikeussopimukset voivat sisältää hyvinkin yllättäviä ja kyseenalaisia kohtia, joihin käyttäjä sitoutuu niistä edes tietämättä. Erikoisia käyttöoikeussopimuksia ei usein ole testattu minkäänlaisissa tuomioistuimissa, joten ne voivat periaatteessa sisältää lähes mitä tahansa. Suomessa tilanne on käyttäjän kannalta kohtuullisen hyvä, sillä ristiriitatilanteissa laki ajaa aina käyttöoikeussopimusten edelle. Yhdysvalloissa tilanne on monimutkaisempi, sillä siellä ohjelmistojen käyttöoikeussopimuksia on kohdeltu vaihtelevasti eri oikeusistuimissa. Joka tapauksessa myös maailmanlaajuisesti toimivien yritysten saaminen vastuuseen sopimuksiensa mukaisista, mutta Suomen lain vastaisista toimista voi olla erittäin hankalaa. [7] Seuraavaksi esitellään kaksi viime aikoina julkisuutta herättänyttä käyttöoikeussopimusta Googlen Chrome -selain Tekijänoikeudet Hakukonejätti Google julkaisi vuoden 2008 syksyllä ristiriitaisen vastaanoton saaneen Chrome -internetselaimensa. Pian julkaisun jälkeen Chromen asennuksen yhteydessä hyväksyttävät käyttöehdot nousivat otsikoihin. Eniten kohua herätti ehtojen kohta 11: 11.1 Käyttäjä säilyttää Palveluiden kautta tai Palveluihin lähetetyn, julkaistun tai esitetyn Sisällön tekijänoikeudet ja muut käyttäjän omistamat oikeudet. Lähettämällä, julkaisemalla tai esittämällä sisältöä käyttäjä myöntää Googlelle pysyvän, peruuttamattoman, maailmanlaajuisen, tekijänpalkkioista vapautetun ja ei-yksinomaisen oikeuden jäljentää, mukauttaa, muokata, kääntää, julkaista, suorittaa julkisesti, esittää julkisesti ja jakaa käyttäjän Palveluissa tai niiden kautta lähettämää, julkaisemaa tai esittämää Sisältöä. Käyttöoikeuden ainoana tarkoituksena on antaa Googlelle mahdollisuus näyttää, jakaa ja mainostaa Palveluita. Tiettyjen Palveluiden käyttöoikeus voidaan peruuttaa Palveluiden Lisäehdoissa määritetyllä tavalla. Edellä mainitun lisäksi käyttäjä hyväksyi, että Google saa luovuttaa kyseisen sisällön yhteistyökumppaneidensa saataville. Käyttäjän tuli myös taata, että hänellä on riittävät valtuudet luovuttaa yllä mainitut oikeudet Googlelle. [8] Nämä suoranaiselta tekijänoikeuksien ryöstöltä kuulostavat kohdat selitettiin julkisuuskohun alettua silkkana vahinkona [9] Yksityisyys Chromen käyttöoikeussopimuksesta löytyy tekijänoikeuskysymysten lisäksi myös toinen mielenkiintoinen piirre. Alkuperäisessä sopimuksessa käyttäjä joutui hyväksymään myös useita kohtia, jotka ovat vähintäänkin kyseenalaisia yksityisyyden suhteen. Chromen yhdistetty hakupalkki ja osoiterivi, Omnibox kuten Google sitä nimittää, tallentaa kaikki siihen syötetyt näppäimen painallukset ja lähettää ne Googlelle jopa ilman Enterin painamista. Tietojen mukana lähetetään myös käyttäjän IP-osoite ja jokaisen Chrome -selaimen yksilöivä tunniste. Google on ilmoittanut säilyttävänsä 2% Omniboxin kautta saamistaan tiedoista, mukaan lukien käyttäjän IP-osoite ja selaimen yksilöivä tunniste, kehittääkseen palvelujaan. Alunperin Googlen tarkoituksena oli säilyttää IP-osoite ja muut yksilöivät tiedot 2 vuotta, mutta EU:n toivomuksesta aika supistettiin 18 kuukauteen jo selaimen kehitysvaiheessa. Chromen julkaisusta syntyneen kohun seurauksena Google lupasi parantaa käyttäjien yksityisyyttä puolittamalla IPosoitteen säilytysajan 9 kuukauteen. Tämän jälkeen IP-osoite anonymisoitaisiin jäljellä olevan 9 kuukauden säilytyksen ajaksi. [10] Ilmoitus sai kiitosta jopa EU:n korkeilta tasoilta asti [11]. 34

38 CNETin toimittaja Christopher Soghoian selvitti Googlelta, kuinka tämä anonymisointi käytännössä tehdään. Pohjimmiltaan kyseessä oli kuitenkin pelkkä julkisuustemppu, eikä Googlen mainostama anonymisointi sanottavasti paranna käyttäjän yksityisyyttä. Käyttäjän tehdessä hakua Googlen palvelin tallentaa 3 käyttäjätietoa: IP-osoitteen, hakusanan ja selaimen tunnisteen. Yhdeksän kuukauden kuluttua anonymisoinnissa osa IP-osoitteen kahdeksasta viimeisestä bitistä muutetaan, jolloin käyttäjän IP-osoite voi sekoittua muun IP-osoitteen joukkoon. Täyden 18 kuukauden kuluttua kahdeksan viimeistä bittiä poistetaan kokonaan ja selaimen tunnistettakin muutetaan, jolloin 254 IP-osoitteen sekaan sulautuminen on varmaa. IP-osoitteen loppuosan Google säilyttää sellaisenaan määräämättömän pitkän aikaa. Vertailukohtana mainittakoon, että esimerkiksi Microsoft poistaa käyttäjän hakujen kaikki tiedot hakusanoja lukuun ottamatta 18 kuukauden kuluttua hausta. [12] Googlen anonymisointi kompastuu kuitenkin siihen, että selaimen yksilöivälle tunnisteelle ei tehdä mitään vielä 9 kuukauden jälkeen. Käyttäjän tehdessä yhdenkin uuden haun Chromella 18 kuukauden sisällä edellisestä hausta anonymisointi muuttuu käytännössä merkityksettömäksi. Käytännössä paljon mainostettu anonymisointi ei siis parantanut käyttäjän yksityisyyttä juuri mitenkään ja käyttäjän kaikki toimet ovat yhdistettävissä toisiinsa ja käyttäjän sijaintiin viimeisen 18 kuukauden ajalta. Mediassa Googlen tekemä myönnytys otettiin kuitenkin vastaan iloisena yksityisyyden voittona. [12] Facebook -yhteisöpalvelu Tekijänoikeudet Suuren suosion saavuttanut verkkoyhteisöpalvelu Facebook vaatii minkä tahansa palvelun tavoin käyttäjää hyväksymään palvelun ehdot ennen rekisteröitymistään. Myös näihin käyttöehtoihin sisältyy muutamia arveluttavia kohtia. Käyttöoikeussopimuksen kaikki sivuhaarat ja linkitykset huomioiden sopimukseen kertyy luettavaa kymmeniä sivuja, joten ehtoihin oikeasti perehtyvien käyttäjien osuus lienee hyvin pieni. Facebookin käyttäjä luovuttaa sivustolle käytännössä kaikki oikeudet Facebookiin lataamaansa materiaaliin. Omistusoikeus omaan materiaaliin sentään säilyy käyttäjällä itsellään. Julkaisemalla Käyttäjän Sisältöä jossain Sivuston osassa myönnät Yritykselle automaattisesti peruuttamattoman, ikuisen, ei-yksinomaisen, siirrettävän, täysin maksetun ja maailmanlaajuisen oikeuden (ja alilisensiointioikeuden), sekä esität ja takaat, että sinulla on oikeus tällaiseen myöntämiseen, käyttää, kopioida, esittää julkisesti, näyttää julkisesti, uudelleen muotoilla, kääntää ja levittää tällaista Käyttäjän Sisältöä mitä tahansa tarkoitusta, kuten kaupallista, markkinoinnillista tai muuta tarkoitusta, varten Sivustossa tai sen markkinoinnissa tai niihin liittyen, tehdä Käyttäjän Sisällöstä jälkiperäisteoksia, ottaa siitä katkelmia (kokonaan tai osittain) tai sisällyttää sen muihin teoksiin sekä myöntää edellä mainitut oikeudet kattavia alilisenssejä. [13.] Facebook saa vapaasti käyttää esimerkiksi käyttäjiensä kuvia markkinoinnissaan tai luovuttaa niitä eteenpäin yhteistyökumppaneilleen. Facebook -tilin poiston yhteydessä oikeudet sentään raukeavat, mutta tällöinkin Facebook pidättää oikeuden säilyttää arkistoituja kopioita käyttäjän materiaalista Yksityisyys Rekisteröityessään käyttäjä sitoutuu antamaan itsestään virheettömiä, ajantasaisia ja täydellisiä tietoja sekä pitämään ne ajan tasalla. Facebook pidättää itsellään myös oikeuden...kerätä sinusta tietoja muista lähteistä, kuten sanomalehdistä, blogeista, pikaviestimistä ja muilta Facebookin käyttäjiltä palvelun toimintojen kautta (esim. 35

39 valokuvien merkinnät)... [13]. Yllä oleva mahdollistaisi esimerkiksi käyttäjien sivujen seinäkirjoitusten ja valokuvatekstien haravoimisen bottien avulla ja tämän jälkeen kohdistamalla mainoksia löydettyjen avainsanojen mukaan. Facebook myös pidättää itsellään oikeuden luovuttaa profiilin tietoja kolmansille osapuolille, ilman yksilöiviä tietoja tosin. Toinen mielenkiintoinen yksityisyyteen liittyvä kohta koskee sivuston mobiilikäyttöä. Käyttämällä Facebookia matkapuhelimella käyttäjä hyväksyy, että häneen voidaan tämän jälkeen ottaa yhteyttä teksti- tai multimediaviesteillä tai muilla sähköisillä tavoilla matkapuhelimeesi ja että meille voidaan välittää tiettyjä tietoja, jotka liittyvät Mobiilipalvelujen käyttöösi. [13.] Kattavista yksityisyysasetuksistaan huolimatta Facebook ei kuitenkaan ota myöskään mitään vastuuta yksityisyysmekanismiensa toimivuudesta Käyttöoikeussopimuksista opittua Edellä olevat esimerkit havainnollistavat hyvin, millaisia ehtoja käyttäjä tulee helposti hyväksyneeksi edes asiaa tiedostamatta. Hyväksytty sopimus voi kuitenkin tulla yllättäen eteen vuosien päästä. Puolentoista vuoden hakusanahistoria IP-osoitteeseen yhdistettynä kertoo jo kenestä tahansa internetin käyttäjästä pelottavan paljon. Toisaalta Facebookin käyttöehtojen tekijänoikeuskohdat voivat tulla yllätykseksi graafisen alan opiskelijalle, joka esittelee teoksiaan kavereilleen Facebook -profiilinsa albumissa. 6.3 Yhteenveto Internetsivujen tietosuojapolitiikat ja ohjelmien ja palvelujen käyttöoikeussopimukset eivät ole laajuudeltaan ja sisällöltään peruskäyttäjän helposti omaksuttavissa. Kuitenkin niihin voi sisältyä yllättäviäkin ehtoja, vaikka tuotteen julkaissut toimija olisikin yleisesti tunnettu tai käyttäjän muuten luotettavana pitämä. Suomessa ongelmaa helpottaa kohtuullisen tarkka lainsäädäntö, joka menee ristiriitatilanteissa aina yhtiöiden sanelemien politiikkojen ja sopimusten yläpuolelle. Kaikkialla maailmassa tilanne ei ole kuitenkaan yhtä hyvä, ja esimerkiksi Yhdysvalloissa verkon käyttäjän yksityisyyttä suojaava lainsäädäntö on pahasti jäljessä aikaansa. Laajojen ja vaikeaselkoisten politiikkojen muodostamaa ongelmaa voidaan yrittää ratkaista myös teknisillä sovelluksilla, mutta niiden käyttöön ottaminen ei ole aina yksinkertaista. Pitkien käyttöoikeussopimuksien tulkitsemiseen ei sitä vastoin tunnu olevan mitään teknistä apuvälinettä. Teknisten ratkaisujen lisäksi on kuitenkin tärkeää kasvattaa peruskäyttäjien tietoisuutta politiikoissa ja sopimuksissa piilevistä uhkista. Silti paraskaan tietoisuus ei poista ongelmaa, sillä edes kaikkein tietoturvatietoisimmalla käyttäjällä ei ole mitenkään mahdollisuuksia lukea kaikkien käyttämiensä verkkosivujen, ohjelmien ja palvelujen kaikkea pientä pränttiä. Niinpä johtopäätöksenä voisi todeta, että vaikka tekniikka ja valistaminen pienentävät ongelmia, mikään ei kuitenkaan korvaa ajantasaista, käyttäjän oikeudet kaikissa tilanteissa takaavaa lainsäädäntöä. 6.4 Lähteet [1] McRobb, S., Rogerson, S. Are they really listening? An investigation into published online privacy policies at the beginning of the third millennium. Information Technology & People. [verkkolehti]. 17(2004)4, s [WWW]. [Viitattu ]. Saatavissa rajoitetusti: 36

40 [2] UsingEnglish [WWW]. [Viitattu ]. Saatavissa: [3] Ars Technica Study: Reading online privacy policies could cost $365 billion a year. [WWW]. [Viitattu ]. Saatavissa: [4] World Wide Web Consortium. Platform for Privacy Preferences (P3P) Project [WWW]. [Viitattu ]. Saatavissa: [5] Cranor, L. F., Egelman, S., Shenh, S., McDonald, A. M., Chowdhury, A. P3P deployment on websites. Electronic Commerce Research and Applications. 7(2008)3, s [WWW]. [Viitattu ]. Saatavissa: [6] FINLEX Sähköisen viestinnän tietosuojalaki [WWW]. [Viitattu ]. Saatavissa: [7] Mikrobitti Chromen käyttöoikeussopimus puhuttaa [WWW]. [Viitattu ]. Saatavissa: [8] Digitoday Googlen selain vie oikeutesi [WWW]. [Viitattu ]. Saatavissa: [9] Digitoday Chrome antaa oikeudet takaisin [WWW]. [Viitattu ]. Saatavissa: [10] Digitoday Google parantaa yksityisyyden suojaa [WWW]. [Viitattu ]. Saatavissa: [11] Digitoday EU kiitti Googlen toimia yksityisyyden parantamiseksi [WWW]. [Viitattu ]. Saatavissa: [12] CNET Debunking Google's log anonymization propaganda [WWW]. [Viitattu ]. Saatavissa: [13] Facebook Käyttöehdot [WWW]. [Viitattu ]. Saatavissa: 37

41 7 SANS-politiikkamallien arviointi Tässä luvussa käsitellään tietoturvapolitiikkaa ja arvioidaan SANS-instituutin tarjoamia politiikkamalleja. SANS on yksi maailman suurimmista ja luotetuimmista tietoturvakoulutusta, -tutkimusta ja -sertifiointia tarjoavista instituuteista [www.sans.org]. Luku aloitetaan käymällä läpi tietoturvapolitiikkaa yleisellä tasolla selvittäen hieman sen tavoitteita, kohdeyleisöä sekä sisältöä. Tämän jälkeen siirrytään tarkastelemaan kahta SANS -politiikkamallia, jotka pyrkivät opastamaan tietoturvapolitiikan rakentamisessa. Lopussa esitetään vielä arvio mallien sovellettavuudesta ja toimivuudesta käytännössä. 7.1 Tietoturvapolitiikka yleisesti Tiedon merkityksen liiketoiminnassa voidaan katsoa korostuneen viimeisten vuosien aikana ja näin myös sen suojaamiseksi käytettäviin mekanismeihin kiinnitetään kasvavissa määrin huomiota. Jotta tietoturvamekanismit suojaisivat oikeita asioita oikeaan aikaan, on organisaatioiden rakennettava asianmukainen tietoturvapolitiikka mekanismien organisoimiseksi ja toimintatapojen yhtenäistämiseksi. Koska tiedon luonne voi huomattavasti vaihdella eri toimialoilla ja tätä kautta myös eri organisaatioissa, tulee tietoturvapolitiikankin olla yksilöllisesti ja tietyn tarpeen mukaan rakennettu. Tietoturvapolitiikan määritelmiä löytyy kirjallisuudesta lukemattomia ja Pfleeger ym. mukaan tietoturvapolitiikka on ylimmän johdon hyväksymä kirjallinen dokumentti, jonka tarkoituksena on informoida sen kohderesurssien käyttäjiä tietoturvatavoitteista ja toimintatavoista. Tietoturvapolitiikkaa voidaan myös pitää johdon kannanottona tietoturvallisuuteen ja sitoutuneisuuteen sen järjestämiseksi. [1 s. 529] Tavoitteet Kuten aiemmin jo mainittiin, tietoturvapolitiikan keskeisimpänä tehtävänä voidaan pitää tietoturvamekanismien organisointia ja tiettyjen pelisääntöjen selventämistä, mutta myös selkeämpiä ja yksityiskohtaisempiakin tavoitteita on määriteltävissä. Jotta tietoturvamekanismit voidaan kohdentaa suojaamaan liiketoiminnalle oleellisimpia resursseja, on tietenkin ensin tunnistettava kriittisimmät tietovarat, joita suojata [1 s. 529]. Olivat tietoturvallisuuteen käytetyt resurssit kuinka suuret hyvänsä, tulee niiden suojata oikeita asioita. Teknologian ja erilaisten tietoturvauhkien jatkuvan kehityksen vuoksi ei riskejä ole käytännössä mahdollista poistaa, vaan niitä pitää pyrkiä hallitsemaan ja McBride ym. huomauttavatkin, että nykyajan tietoturvallisuus voidaan osittain jopa nähdä eräänlaisena riskien hallintana [2]. Tietoturvapolitiikan tärkeänä tavoitteena on myös selventää kullekin käyttäjälle henkilökohtainen vastuu tietoturvallisuudesta [1 s. 529]. On täysin väärin olettaa, että kaiken vastuun tietoturvallisuudesta kantaa organisaation tietohallinto, vaan vastuu jakautuu kaikille resurssien käyttäjille. Tietoturvapolitiikassa on toki mahdollista määritellä erilaisia ryhmiä ja näihin kohdistuvia vastuita. Tietoturvatietoisuuden lisääminen työntekijöiden keskuudessa voidaan katsoa myös yhdeksi tietoturvapolitiikan tavoitteista [1 s. 529]. Jo velvoittamalla työntekijät lukemaan ja hallitsemaan kunkin kohdalla oleellisimmat asiat politiikasta lisätään tietoisuutta organisaatiossa käytetyistä tietoturvamekanismeista ja proseduureista. Samalla myös uusia työntekijöitä perehdytettäessä voidaan politiikalla kertoa tärkeimmistä menetelmistä ja toimintatavoista tietoturvan säilyttämiseksi [1 s. 529]. Uuden työntekijän vastuut tietoturvallisuudesta tulevat tietenkin myös samalla tietoisuuteen. 38

42 7.1.2 Kohdeyleisö Nopeasti ajateltuna voisi kuvitella, että tietoturvapolitiikka on tehty ainoastaan resurssien käyttäjien kontrolloimiseksi, mutta politiikka todellisuudessa on olemassa palvellakseen sen kohdeyleisöä ja sillä on liittymäkohtia myös resurssien omistajien ja niistä hyötyjien kanssa. Kohdeyleisönä käyttäjät ovat kuitenkin erilaisessa asemassa muihin nähden, heidän odottaessa tietyn tasoista palvelua järjestelmältä. Resurssien omistajien tai muuta kautta niistä hyötyvien osapuolten kannalta tietoturvapolitiikka palvelee tietyllä tavalla välillisesti, mutta on silti tärkeässä roolissa halutun tavoitteen saavuttamiseksi. [1 s.530] Sisältö ja ominaispiirteet Vaikka tietoturvapolitiikan spesifikaatiot voivat vaihdella organisaatiokohtaisesti, tulee sen sisältönsä puolesta kuitenkin aina antaa vastaukset tiettyihin kysymyksiin. Pfleeger ym. tarkentavat, että politiikasta täytyy käydä ilmi kunkin kohderyhmän luonne ja tietoturvatavoite, sekä tavoitteen saavuttamiseksi vaaditut tietoturvamekanismit ja näiden taso. [1 s.531] Kohderyhmien määrittäminen tarkoituksenmukaisesti ei varmastikaan organisaatiorakenteen tuntijalle tuota suurta ongelmaa, mutta tavoitteisiin voi vaikuttaa useampikin tekijä. Määritteleviä tekijöitä voivat olla esimerkiksi lait ja säädökset, työturvallisuus, resurssien saatavuus liiketoiminnan jatkumiseksi tai liiketoimintastrategian määrittelemä palvelutaso [1 s.531]. Suuret tavoitteet tietoturvasta jäävät tietenkin vain sanojen helinäksi, mikäli tavoitteet ja niiden saavuttamiseksi varatut resurssit tietoturvamekanismien järjestämiseksi eivät kohtaa. Kun tiedetään mitä suojataan, kuka on vastuussa, tulee politiikan vastata myös kysymykseen, miten suojataan [1 s.531]. Tässä ei tietenkään tarkoiteta tietoturvamekanismien yksityiskohtia, vaan suurempia linjauksia. Jotta politiikan muodostaminen ei jäisi vain nimelliseksi resurssien tuhlaamiseksi, on hyvälle ja toimivalle politiikalle listattavissa tiettyjä ominaisuuksia. Ensinnäkin se tulee olla laadittu huolellisesti, jolloin kriittisimmät resurssit on tunnistettu oikein ja kohdistettu oikeaan kohderyhmään. Toiseksi se tulee olla kohdistettu tarkoituksenmukaisella tavalla kullekin kohderyhmälle. [2] Toisin sanoen se tulee olla kirjoitettu kohderyhmän näkökulmasta ymmärrettävällä tavalla, realistiset vastuualueet asettaen. Organisaatioiden kasvaessa ja muuttuessa, myös tietoturvapolitiikan on kyettävä muuttumaan ja se on alusta alkaen rakennettava luonteeltaan dynaamiseksi [2]. Tämä helpottaa myös varmasti politiikan päivitysten implementointia organisaatioon. Hyvässä tietoturvapolitiikassa myös tietoturvalle asetettujen tavoitteiden tulee olla realistiset ja toteuttamiskelpoiset [2]. Epärealistiset tavoitteet esimerkiksi resursseihin nähden saattavat helposti viedä uskottavuuden koko toiminnalta. 7.2 SANS-politiikkamallit Seuraavassa esitellään kahta SANS-instituutin tarjoamaa mallia tietoturvapolitiikan muodostamiseksi. Koska mallit ovat hyvin lähellä toisiaan, ei niitä tässä esitellä erikseen, vaan pyritään huomioimaan eroavaisuuksia ja keskeisimpiä asioita kummastakin. Tämän jälkeen esitetään arvio mallien toimivuudesta ja käytettävyydestä Lähtökohdat Tietoturvapolitiikan rakentaminen tulee aloittaa huolellisella suunnittelulla ja lähtökohtien selvittämisellä. Politiikan toimivuuden kannalta on kriittistä, että se on rakennettu oikeaan ympäristöön. Sorcha Diver kertoo mallissaan, että organisaation kypsyyden tulee vastata politiikan tavoitteita [3]. Eli mitä kauemmin tietoturvapolitiikkaa on organisaatiossa kehitetty, sitä kunnianhimoisemmat voivat olla myös tavoitteet. Chaiw Kok Kee huomauttaa omassaan mallissaan, että organisaation liiketoiminnallisten tavoitteiden ja toimialan tulee olla linjassa 39

43 tietoturvapolitiikan kanssa, jolloin organisaatiokohtaiset säännöt ja toimintatavat tulee myös huomioitua [4]. Ristiriidat politiikassa ja vanhoissa toimintatavoissa aiheuttavat sekaannusta, joka saattaa aiheuttaa muutosvastarintaa ja sekaannusta politiikkaa implementoitaessa. Politiikan toimivuuden kannalta on tärkeää saada riittävä tuki toiminnan taakse. Koska tietoturvapolitiikkaa voidaan pitää ylimmän johdon näkemyksenä, ei tuen puute todennäköisesti muodostu ongelmaksi, mutta politiikkaa ei myöskään tulisi laatia liian kaukana lattiatasosta, jolloin päämäärät saattavat jäädä epärealistisiksi. Rakennettaessa tietoturvapolitiikkaa, tulisi Diverin mallin mukaan käyttää yhdistelmää top down - ja bottom up -menetelmistä, jolloin molemmat edellä mainituista seikoista tulisi huomioitua [3]. Kok Kee ehdottaa mallissaan parhaaksi menetelmäksi poikkitieteellisen tiimin muodostamista organisaatiosta, mikä takaa eri näkökulmien huomioimisen politiikassa [4]. Mikäli mallia rakennettaessa otetaan eri osapuolten näkemyksiä huomioon, voidaan tällöin myös pienentää muutosvastarintaa, koska politiikkaa voidaan tällöin pitää johdon hyväksymänä ns. yhteisenä näkemyksenä Prosessi Vaihe 1: Tiedon keruu Mikäli tietoturvapolitiikan laadinta aloitetaan tyhjästä, prosessi aloitetaan tiedon keruulla. Kok Kee nimeää mallissaan politiikan laatimisen vähimmäistiedoiksi kriittisimmät tietoresurssit, näitä vastaavat haavoittuvuudet ja uhat, sekä kahden edellä mainitun perusteella laaditun riskianalyysin tulokset [4]. Kyseisen vaiheen läpivientiin kannattaa todella uhrata aikaa, koska koko politiikka tulee suurimmilta osin myöhemmin perustumaan juuri näiden tietojen varaan. Kriittisimpiä tietoresursseja määritettäessä tulee tehdä tiivistä yhteistyötä eri osastojen välillä, jotta näkemys olisi koko organisaation kattava. Paras asiantuntemus tietoturvaa koskevista uhista löytyy varmasti organisaation tietohallinnosta ja uhkakartoitusta tehtäessä Diverin mukaan politiikassa tulee huomioida kaikki tietoresursseja koskevat uhkatyypit [3]. Riskianalyysissä arvioidaan kunkin uhan todennäköisyyttä suhteutettuna se tiedon kriittisyyteen organisaatiossa ja näiden perusteella luodaan arvostus ja tietoturvamekanismit eri kohteille. Mikäli tietoturvapolitiikan laadintaa ei aloiteta tyhjästä vaan rakennetaan uusi vanhan tilalle, tulee prosessi aloittaa vanhan politiikan tarkastelulla. Diverin mukaan vanhasta politiikasta voi saada paljon arvokasta tietoa muun muassa organisaation asenteista ja toimintatavoista, joita voidaan käyttää hyödyksi uutta politiikkaa kirjoitettaessa [3]. Vaihe 2: Roolien ja vastuiden määrittely Seuraava vaihe Kok Keen mukaan on organisaation luokittelu ryhmiin tietoresurssien käytön mukaan [4]. Helpoin ratkaisu varmasti saavutetaan sijoittamalla kukin omaan ryhmäänsä organisaatioaseman perusteella. Tämä ratkaisu ei aina ole välttämättä toimivin, sillä on hyvin mahdollista, että esimerkiksi alemmalla tasolla organisaatiossa työskentelevä henkilö tarvitsee päivittäin oikeuksia korkeamman tason tietoresursseihin, joten parasta lienee tutkia asiaa organisaatiokohtaisesti. Kullekin ryhmälle asetetaan luokittelun jälkeen asianmukaiset oikeudet ja vastuut, joiden tulisi olla kompromissi turvallisuuden ja tuottavuuden välillä [4]. On hyvä havaita, että politiikkaa ei myöskään tule säätää liian tiukaksi, jolloin jokapäiväinen työnteko kärsii, vaan on hyvä pitää myös liiketoiminnallinen aspekti mukana politiikan suunnittelussa. Vaihe 3: Johdon tuki suunnitelmalle Kun alustavat suunnitelmat ovat valmiina, tulee ne tarkistuttaa ylimmällä johdolla, epäselvyyksiä ja mahdollisia heikkouksia korostaen [4]. Tässä vaiheessa politiikka on vielä helposti muokattavissa ja päivitettävissä, mikäli tarvetta tälle on. Koska ylin johto ei kuitenkaan konkreettisesti laadi tietoturvapolitiikkaa on myös varmistuttava, että politiikka on myös johdon puolesta kustannustehokkain ratkaisu ja että kaikkiin liiketoiminnallisiin vaatimuksiin politiikalla vastataan [4]. Politiikan saatua johdon hyväksyntä, on seuraavana vuorossa sen kirjoittaminen. 40

44 Vaihe 4: Politiikan kirjoittaminen Kok Keen mallissa suositellaan käytettäväksi SMART -työkalua politiikkaa kirjoitettaessa. Sen mukaan päätökset tulisi kirjata politiikaksi siten, että lopullinen politiikka olisi Specific, Measurable, Agreeable, Realistic and Time-bound. [4] Vapaasti suomennettuna politiikan tulisi siis olla tarkoin määritelty, mitattava, yhteisymmärryksessä sovittu, realistinen ja aikasidonnainen. Diver ei puolestaan ota sen koommin kantaa itse kirjoitusprosessiin, vaan huomauttaa vain, että lopputuloksen tulee olla tarpeeksi tiukka tarjotakseen riittävän turvallisuuden, mutta kirjoitettu siten, että lukija ei pidä ylivoimaisena esteenä politiikan toteuttamista [3]. Molemmat mallit painottavat myös sitä, että kirjoituskielen tulee olla selkeä ja kirjoitettu kohdeyleisöä silmällä pitäen [3][4]. Mikäli politiikkaa kirjoitetaan ensimmäistä kertaa, suosittelee Kok Kee valmiiden dokumenttimallien benchmarkkausta ja räätälöimistä omaan organisaatioon sopivaksi [4]. Tietoturvapolitiikkaa päivitettäessä vanhat dokumentit puolestaan voivat toimia lähtökohtana kirjoitusprosessille. Vaihe 5: Implementointi Valmis politiikka pitää myös implementoida organisaatioon eli julkaista laajalti. Toimintatavat varmasti vaihtelevat organisaatiokohtaisesti siinä, kuinka tarkasti henkilöstön tulee politiikka tuntea ja Kok Kee suosittelee mallissaan, että koko henkilöstön tulisi lukea politiikka ja allekirjoittaa se hyväksynnän merkiksi. Tietoturvapolitiikka voidaan myös julkaista esimerkiksi intranetissä, josta se olisi vapaasti ladattavissa ja tulostettavissa. Varsin toimivana ratkaisuna olisi myös politiikan jakaminen osiin kohderyhmittäin, jolloin kenenkään ei tarvitsisi käyttää aikaa itseä koskevan tiedon etsintään politiikasta, vaan jokainen voisi halutessaan lukea ja omaksua vain tarkoituksenmukaisen osan politiikasta. [3] Vaihe 6: Mittaus ja päivitys Kuten jo aiemmin mainittiin, politiikka tulee rakentaa luonteeltaan dynaamiseksi ja sitä tulee aika ajoin tarkistaa ja päivittää. Organisaatioiden uudistuessa ja uusia tekniikoita käyttöönotettaessa ei epäselvyyksiä toiminnassa saisi ilmaantua ja siksi myös tietoturvapolitiikasta ja sen päivittämisestä tulee tehdä iteratiivinen prosessi. Diver linjaa, että politiikan päivitys tulisi tehdä minimissään vuosittain, jolloin varmistutaan politiikan ajantasaisuudesta. Politiikka voisi olla laadittu myös siten, että vuoden mittaa tapahtuneet radikaalimmat muutokset teknologioissa tai prosesseissa voitaisiin lisätä ad hoc -tyyliin. Politiikan tarkistusprosessin olisi hyvä ominaisuuksiltaan kuvastaa alkuperäistä kehitysprosessia, mutta sen ei tarvitse olla yhtä kattava ja esimerkiksi tarvittava kommunikointi olisi mahdollista vaikkapa järjestää sähköpostin välityksellä. [3] Kussakin organisaatiossa ollaan varmasti tietoisia vuoden aikana tapahtuneista muutoksista ja tapauskohtaisesti voidaan varata enemmän tai vähemmän resursseja politiikan päivittämiseen. Politiikan arvioinnissa tulisi alkuperäisen kehitysprosessin tapaan käyttää poikkitieteellistä tiimiä, jolloin havaitaan politiikan muutostarpeet organisaationlaajuisesti. Eri osastojen ihmiset omaavat myös viimeisimmän tiedon heidän osaamisaluettaan koskettavista teknologian kehitysaskelista ja näin ovat myös parhaita henkilöitä kertomaan, mihin tulisi mahdollisesti kiinnittää huomiota. Vuoden aikana tapahtuneita tietoturvaloukkauksia on syytä myös tutkia politiikkaa päivitettäessä [3] Tietoturva-aukkoja etsittäessä, yksittäiset tietoturvaloukkaukset eivät välttämättä ole politiikan kannalta niin kiinnostavia, mutta mikäli näissä on havaittavissa jokin tietty yhteinen tekijä, on syytä miettiä, tulisiko myös politiikkaa joltain osin tarkistaa. 7.3 Arviointi SANS -politiikkamalleja arvioitaessa on syytä ensin huomioida, että lukijan hyötyminen niistä on tietenkin täysin riippuvainen mallin käyttötarkoituksista. Molemmat tässä luvussa käsitellyistä malleista olivat kirjoitettu hieman eri näkökulmasta. Chaiw Kok Keen politiikkamalli oli lähestymistavaltaan hieman perusteellisempi ja tarkoitettu yleisölle, joiden tietämys 41

45 tietoturvapolitiikan rakentamisesta ei ole vielä suurta. Sorcha Diverin malli puolestaan odotti lukijalta hieman enemmän. Myös tässä mallissa pureuduttiin yksityiskohtiin, mutta perusasioiden läpikäynti jäi hieman vähemmälle. Seuraavassa huomioidaan muutamia seikkoja molemmista malleista. Kok Keen malli keskittyy alusta alkaen tiukasti politiikan kehittämisprosessiin ja se on kokonaisuudessaan varsin havainnollistava erilaisine esimerkkeineen. Malli on kirjoitettu lyhyesti ja ytimekkäästi, joten siitä on helppo löytää keskeisimmät asiat. Hyvänä esimerkkinä mallin konkreettisuudesta voidaan pitää muun muassa kirjallisuussuosituksia dokumenttimalleista. Malli jättää kuitenkin paljon avoimia kysymyksiä, mutta päämääränä ei varmasti olekaan toimia oppaana uskottavan tietoturvapolitiikan rakentamisessa, vaan lähinnä aihetta avaavana teoksena. Diverin malli alkaa varsin kattavalla teoriaosuudella, jonka jälkeen siirrytään politiikan kehittämisprosessiin. Malli on kokonaisuudessaan huomattavasti kattavampi teos ja se voisi toimia lähteenä myös oikeaa tietoturvapolitiikkaa laadittaessa. Erityisen hyvänä tässä mallissa voidaan pitää sitä, että siinä oli myös selkeitä liitoskohtia yritysten liiketoimintaan esimerkiksi kustannusnäkökulmaa silmällä pitäen ja siksi myös malli vaikutti realistisemmalta ja toteuttamiskelpoisemmalta. Hyvänä piirteenä molemmissa malleissa voidaan pitää myös niiden sovellettavuutta eri organisaatioihin ja toimialoihin. Mallit vaikuttavat myös erittäin käyttökelpoisilta huomioiden kuitenkin sen, että ne ovat tosin hieman eri lähtökohdista kirjoitettu. 7.4 Yhteenveto Tietoturvapolitiikalla saattaa olla hyvinkin erilainen rooli organisaatiosta riippuen, mutta sen keskeisimpänä funktiona voidaan pitää tietynlaisen kivijalan muodostamista tietoturvamekanismeille. Jotta politiikasta saadaan toimiva ja ylipäätään käytetty organisaatiossa, tulee sen suunnitteluun ja rakentamiseen kohdistaa riittävästi resursseja. Erityisesti tietointensiivisimmillä toimialoilla tietoturvapolitiikan roolia ei tulisi väheksyä. Rakennettaessa tietoturvapolitiikkaa on syytä pitää mielessä, miksi sitä ollaan rakentamassa, kenelle ja minkälainen lopputuloksen pitäisi luonteeltaan olla. Politiikan rakentaminen tulee lähteä organisaation tarpeista ja myös lopputuloksen on oltava yhdensuuntainen, niin organisaatiokulttuurin, kuin liiketoiminnallisten tavoitteidenkin kanssa. On varsin selvää, että markkinoiden muutoksen myötä myös organisaation tavoitteet muuttuvat ja tällöin myös tietoturvapolitiikan on muututtava. Hyvä tietoturvapolitiikka voidaankin luonteeltaan käsittää iteratiiviseksi prosessiksi, joka omalla tavallaan on myös kompromissi, joka tasapainottelee riittävän turvallisuuden ja kustannustehokkuuden välillä. Tässä luvussa tutustuttiin kahteen SANS -instituutin tarjoamaan politiikkamalliin ja arvioitiin niiden toimivuutta käytännössä. Malleja pyrittiin kuvaamaan ns. toisiaan täydentävästi, nostaen esiin politiikan rakentamisen kannalta oleellisimpia asioita, jotta lukijalle muodostuisi selkeä kuva prosessista. Mallien arviointivaiheessa puolestaan nostettiin esiin eroavaisuuksia, sekä arvioitiin molempien hyviä ja huonoja puolia. Yleiseksi havainnoksi malleista muodostui tietynlainen robustisuus ja sovellettavuus monenlaisiin organisaatioihin. Luvussa 9 käsitellään tarkemmin, kuinka mallit käytännössä soveltuvat pieniin, alle kymmenen hengen yrityksiin. Vaikka mallit antavat varsin konkreettiset toimintaohjeet prosessin läpivientiin, tulee jokaisessa organisaatiossa kuitenkin miettiä politiikan yksityiskohdat, jotta rakennettu politiikka vastaisi organisaation tarpeita. 7.5 Lähteet [1] Pfleeger, Charles, P. Pfleeger, Shari, L Security in Computing. Third edition. [2] McBride, P. Patilla, J. Robinson, C. Thermos, P. Moser, E. P. Secure Internet Practices: Best 42

46 Practices for Securing Systems in the Internet and e-business Age. Developing an information security policy [WWW]. [Viitattu ]. Saatavissa: [3] Diver, Sorcha. Information security policy - A Development guide for large and small companies [WWW]. [Viitattu ]. Saatavissa: pment_guide_for_large_and_small_companies_1331 [4] Kok Kee, Chaiw. Security Policy Roadmap Process for Creating Security Policies [WWW]. [Viitattu ]. Saatavissa: _creating_security_policies_494 43

47 8 Tietoturvatietoisuuden lisäämisohjelma Tietoturvatietoisuuden lisääminen yrityksessä tai muussa organisaatiossa voi olla ongelmallista, jos sitä ei suunnitella ja toteuteta järjestelmällisesti. Tässä luvussa käsitellään yksi tapa suunnitella, toteuttaa ja ylläpitää tietoturvatietoisuutta organisaatiossa. Luku perustuu Yhdysvaltain standardi- ja teknologiainstituutin (NIST, National institute of standards and technology) julkaisuun NIST SP Building an information technology awareness and training program. Siihen liittyy myös julkaisu NIST SP Information technology security training requirements: a role- and performance based model, joka on hieman SP800-50:ttä alemman tason dokumentti. SP800-16:n asioihin ei tässä yhteydessä tutustuta tämän tarkemmin. SP800-50:ssä esitellään tietoturvatietoisuuden lisäämisohjelman toteuttaminen valtion virastoissa, mutta se sopii lähes suoraan myös yrityskäyttöön, ja tässä tekstissä pyritään käsittelemään aihetta siten, että sitä voisi soveltaa myös normaalissa yrityskäytössä. Luku rakentuu siten, että alussa esitellään julkaisussa oleellisena osana olevat tietämyksen tasot, joiden jälkeen kerrotaan varsinaisesta ohjelmasta, sen suunnittelusta ja toteutuksesta. Lopussa on muutamia päätelmiä kyseisen ohjelman soveltumisesta esimerkiksi suomalaiseen yrityskulttuuriin. 8.1 Tietämyksen tasot Yrityksen tietoturvatietoisuuden kehittämisohjelmaa suunniteltaessa on tärkeää, että otetaan huomioon henkilöstön alkuperäinen tietotaso, sekä myöhemmin tavoiteltava osaamistaso. SP määrittelee kolme erilaista tietämyksen tasoa. Ne ovat tiedostaminen (awareness), osaaminen (training) ja ymmärtäminen (education). [1] Organisaation henkilöstö voidaan jaotella työtehtäviensä ja niissä tarvittavan tietämyksen perusteella näihin tasoihin, ja myöhemmin tuotettava koulutusmateriaali riippuu olennaisesti siitä, mitä tietämyksen tasoa tavoitellaan. Seuraavassa esitellään nämä tasot, ja annetaan esimerkkejä siitä, minkälaisia työtehtäviä ne voisivat käsittää organisaatiossa Tiedostaminen Tiedostaminen (awareness) on perustaso tietämykselle. Tietoturvallisuudesta puhuttaessa se tarkoittaa lähinnä huomion kiinnittämistä turvallisuusasioihin. [1] Tämä taso tulisi edellyttää kaikilta organisaation työntekijöiltä riippumatta siitä, minkälaisia työtehtäviä heillä on, tai millaisesta organisaatiosta on kyse. Jos tiedostamistaso ei ole hallinnassa kaikilla, tulee koko ohjelman toteuttamisesta haastavaa, koska yksittäiset henkilöt voivat näin vaarantaa koko ohjelman toimimisen. Tiedostamistason koulutusaiheena voisi olla esimerkiksi virustorjunta. Tiedostamistaso edellyttäisi siis henkilöstöltä tietoa siitä, mitä virukset ovat, mistä niitä voi tulla ja mitä tulee tehdä, jos koneelle tulee virus. Tämän tarkemmin ei asiasta tarvitse tietää, mutta tämäkin jo riittää perustasoksi. Oleellista on myös se, että kun henkilö tiedostaa tietoturvaongelman, hän voi helposti raportoida siitä eteenpäin, ja näin koko organisaation tietoturvataso paranee Osaaminen Osaamistaso (training) on keskimmäinen tietämyksen taso. Tietoturva-asioissa se tarkoittaa tasoa, joka vaaditaan sellaisilta henkilöiltä, jotka ovat suoraan tekemisissä tietojärjestelmien kanssa, tai ovat vastuussa jostakin järjestelmästä. Tällaisia henkilöitä ovat esimerkiksi järjestelmien ylläpitäjät ja pääkäyttäjät. SP määrittelee, että osaamisen voi jakaa vielä kolmeen eri osaan, noviisi-, keski- ja edistyneeseen tasoon. [1] Jakamista ei kuitenkaan tarvitse välttämättä tehdä, ellei kyseessä ole laaja organisaatio, jossa tarvitaan tarkkaa jaottelua. 44

48 Osaamistason tietämyksessä on oleellista, että henkilöstö pystyy myös toimimaan ongelmatilanteissa. Enää ei siis riitä, että tiedostetaan ongelmat, vaan on pystyttävä vastaamaan niihin. Ongelmat ovat tällä tasolla myös monimutkaisempia kuin pelkkä virustorjunta, ja koulutusmateriaalissa tulee ottaa huomioon myös sovellusalue. Esimerkiksi laskutusjärjestelmän ylläpitäjille voi olla tärkeää kouluttaa erilaista tietoturvaosaamista kuin henkilöille, jotka ovat vastuussa organisaation sisäverkon laitteista Ymmärtäminen Ymmärtämistaso on ylin tietämyksen taso. Tietoturvassa se tarkoittaa sellaista tasoa, että henkilö pystyy hallitsemaan monen eri sovellusalueen tietoturva-asioita, ja yhdistelemään niistä hyödyllistä tietoa ja osaamista. Käytännössä ymmärtämistaso vaaditaan tietoturva-asiantuntijoilta ja -kouluttajilta, sekä varsinaisten tietoturvajärjestelmien ylläpitäjiltä ja kehittäjiltä, ja sen saavuttamiseksi olisi syytä opiskella aihetta esimerkiksi yliopistossa, tai hankkia ulkopuolista koulutusta muualta. Ymmärtämistasolle on olennaista, että henkilö pystyy hahmottamaan tietoturvaongelmia ennalta, ja toimimaan proaktiivisesti niiden ehkäisemiseksi. [1] Organisaation toteuttaessa tietoturvallisuustietämyksen lisäämisohjelmaa tulisi ohjelman toteuttajien tietämys olla pääsääntöisesti ymmärtämistasolla, koska muuten ohjelman toteuttamisessa ei välttämättä oteta riittävästi asioita huomioon, ja ohjelmasta ei näin tule paras mahdollinen. Usein normaaleissa työtehtävissä ei ymmärtämistason tietämystä kuitenkaan vaadita. 8.2 Työvaiheet Tietoturvallisuuden lisäämisohjelmassa on neljä työvaihetta. Ensin pitää suunnitella ohjelma, sitten tuottaa koulutusmateriaali, sitten toteuttaa ohjelma, eli jalkauttaa se, ja lopuksi valvoa sen toimintaa ja kerätä palautetta. [1] Jokaisessa vaiheessa on muutamia tärkeitä asioita, jotka osaltaan auttavat onnistuneen ohjelman luomisessa. Seuraavassa esitellään jokainen työvaihe erikseen Ohjelman suunnitteleminen SP painottaa, että paras mahdollinen tietoturvatietoisuuden lisäämisohjelma syntyy, kun suunnitteluvaiheessa otetaan huomioon organisaation tavoite ja luonne. [1] Tämä on monessakin mielessä järkevää. Ensinnäkin on turha lähteä toteuttamaan massiivista ja kaikenkattavaa ohjelmaa yritykseen, joka on pieni ja vain vähän tekemisissä tietoturvan kannalta arkaluontoisten asioiden kanssa. Toisaalta suurta tietoturvatasoa edellyttävän toiminnan, esimerkiksi pankki- ja vakuutusalan yrityksen tulee ottaa huomioon erityisesti asiakkaiden tietojen turvaaminen, ja niin edelleen. Organisaation luonteen ja henkilöstön huomioiminen suunnittelussa on tärkeää myös siksi, että ohjelmasta saataisiin mahdollisimman kiinnostava ja puhutteleva henkilöstöä kohtaan. Tällöin on suurin todennäköisyys sille, että ohjelmasta on oikeasti hyötyä, eikä sitä katsota vain välttämättömäksi pahaksi henkilöstön keskuudessa. Eräs tärkeä lähtökohta suunnittelulle on vastuun jakaminen. Vastuu ohjelmasta voidaan jakaa SP800-50:n mukaan kolmella tavalla. Ohjelma voi olla täysin keskusjohtoinen, politiikan ja strategian osalta keskusjohtoinen, tai vain politiikan osalta keskusjohtoinen. Täysin keskusjohtoisessa ohjelmassa organisaation ylin johto hoitaa koko ohjelman suunnittelun, toteutuksen ja rahoituksen. Muissa vaihtoehdoissa osa vastuusta siirretään esimerkiksi eri yksiköiden johdoille, jolloin vain peruslinjat tulevat ylimmästä johdosta, ja yksiköt hoitavat itse esimerkiksi koulutusten suunnittelun, toteutuksen ja rahoituksen. [1] Vastuun jakaminen kannattaa suunnitella siten, että se palvelee olemassa olevaa organisaatiorakennetta. Jos organisaatio on valmiiksi hyvin järjestelmällisesti jaettu yksiköihin ja osastoihin, ja näillä on vastuu toiminnasta, kannattaa myös tietoturvallisuuden lisäämisohjelma toteuttaa näiden johtoportaiden kautta. 45

49 Pääsääntöisesti pienemmissä organisaatioissa on kuitenkin järkevintä, että ohjelma toteutetaan keskusjohtoisesti. Viimeistään vastuun jakamisen yhteydessä on syytä määrittää myös itse ohjelmasta vastuussa olevat henkilöt. SP800-50:n mukaan organisaatiossa pitäisi olla ainakin CIO, eli tietojärjestelmäjohtaja, joka voi sitten nimittää esimerkiksi tietoturvallisuustietämysohjelman päällikön, jonka vastuulla on ohjelman operatiivinen toteutus.[1] Käytännössä vastuut jaetaan kuitenkin aina tilanteen mukaan, ja ohjelmassa voi olla myös useampia henkilöitä, jotka toteuttavat sen suunnittelua ja jalkauttamista. Vastuun jakamisen jälkeen tulisi toteuttaa tarvekartoitus (needs assessment). Sen päämääränä on selvittää, minkä tasoista osaamista keneltäkin vaaditaan. Tässä on apua tietämyksen tasojen määrittelystä. [1] Tarvekartoituksen onnistuminen on yksi tärkeimmistä vaiheista koko ohjelman toteuttamisessa, sillä sen perusteella luodaan mm. koulutusmateriaalit. Tarvekartoitus on myös hyvä keino tarvittavan rahoituksen järjestämiseen ylimmältä johdolta, jos siinä tulee ilmi vakavia ongelmia tietämyksessä. Tarvekartoitus voidaan suorittaa monella eri tavalla, esimerkiksi henkilöstökyselyillä, ja siinä tulee myös huomioida eri osastojen ja työtehtävien erityistarpeet. Tarvekartoituksen jälkeen tulisi dokumentoida varsinainen ohjelmasuunnitelma. Se pitää sisällään koulutuksen tavoitteet, roolit, vastuut, toteuttamistavan ja käytännössä kaiken tähän mennessä selvitetyn tiedon. Dokumentti tulee myös pitää ajan tasalla, jotta siitä on mahdollisimman paljon hyötyä toteuttamisvaiheessa. Kun suunnitelma on valmis, tulee ohjelmalle vielä tehdä toteuttamisaikataulu, jonka yhteydessä arvioidaan, mitkä osat ohjelmasta ovat kriittisimpiä, ja näinollen toteutetaan ensimmäisenä. [1] SP800-50:n mukaan vasta kun kaikki yllä mainitut työvaiheet ovat valmiita, pitää ohjelmalle varmistaa rahoitus [1]. Rahoitus olisi kuitenkin hyvä olla varmistettuna, ainakin alustavasti, jo siinä vaiheessa, kun ohjelmaa lähdetään suunnittelemaan, koska jo suunnitteluvaiheessa tarvitaan resursseja, vähintään työaikaa. Rahoituksen ohella myös johdon tuki projektille tulisi varmistaa jo ennen suunnittelun loppuun viemistä Koulutusmateriaalin tuottaminen Koulutusmateriaalin tuottaminen voi alkaa, kun ohjelman suunnitelma on valmis. Materiaalin tuottamisessa pitää ottaa huomioon jokaisen eri koulutusalueen vaatimukset erikseen. Esimerkiksi tiedostamistason koulutusmateriaalit eroavat luonteeltaan selkeästi osaamistason materiaaleista. Keskeisimpiä asioita koulutusmateriaalin laatimisessa ovat se, minkälaista tietoisuutta halutaan lisätä, ja se, minkälaisia uusia taitoja ja osaamisalueita halutaan opettaa. [1] Tiedostamistason koulutusaiheita voisivat olla esimerkiksi salasana-asiat, roskapostiin suhtautuminen, tuntemattomat liitetiedostot tai sosiaalinen hakkerointi (social engineering) [1]. Nämä ovat siis aiheita, joita jokainen normaalisti tietokonetta käyttävä henkilö voi kohdata työssään, vaikkei suoranaisesti olisi tekemisissä tietoturvan kanssa. Koulutus voi tapahtua luentojen, tietoiskusähköpostien tai tapahtumien kautta, mutta myös perinteiset, yhden tietoturvaseikan sisältävät julisteet toimiston seinällä ovat hyvä tapa painottaa tiedostamistason asioita henkilöstölle. Osaamistason koulutusmateriaalin tulee olla selkeästi tiedostamistason materiaalia spesifimpää. Vaadittavat taidot riippuvat paljon sovellusalueesta, ja siksi samojen yleisten asioiden opettaminen ei ole aina järkevää. Tärkeämpää on opettaa oikeille henkilöille oikeita asioita. Osaamistasolla opetuksen olisi hyvä olla aktivoivaa, eikä pelkästään kuuntelemista, sillä tarkoituksena on opettaa henkilöitä toimimaan itse. Koulutusmateriaali voi osaamistasolla olla joko itse tuotettua tai ulkoistettua. [1] Ymmärtämistason koulutusmateriaalin tarve riippuu organisaatiosta. Jos tarvekartoituksessa ja suunnittelussa selviää, että organisaatiossa on paljon henkilöitä, joilta vaadittaisiin ymmärtämis- 46

50 tasoa, mutta heillä ei sitä ole, kannattaa näitä henkilöitä kouluttaa organisaation ulkopuolella. Markkinoilla on paljon erilaisia tietoturva-asiantuntijakoulutuksia, joiden avulla voi lisätä kriittisten henkilöiden osaamista. Yleensä ei ole järkevää, että ymmärtämistason koulutusta alettaisiin tarjoamaan organisaation sisällä, koska se on syvällistä, yksityiskohtaista ja vaatii paljon aikaa Ohjelman jalkauttaminen Ohjelman suunnittelemisen ja koulutusmateriaalin tuottamisen jälkeen voidaan siirtyä itse jalkautusvaiheeseen. Tämä vaihe on luonnollisesti kriittisimpiä vaiheita ohjelman onnistumisen kannalta. Jos jalkauttaminen ei onnistu, koko ohjelman olemassaolo on lähes turhaa, koska se ei saavuta tavoitettaan. Jalkauttamisvaiheen toteutus riippuu luonnollisesti siitä, miten ohjelma on suunnitteluvaiheessa määritelty toteutettavaksi. [1] Keskusjohtoinen ohjelma on sikäli yksinkertaisemmin toteutettavissa, että samat henkilöt vastaavat koko ohjelmasta. Näin ohjelmaa voidaan jalkauttaa suunnitelman mukaisesti vaiheittain, ja vastuuhenkilöt ovat selvillä projektin vaiheesta ja ilmenneistä ongelmista. Hajautetun johdon tapauksessa eri osastojen toteutusvaiheet voivat olla hyvinkin eri tahdissa, ja siitä voi koitua myös ongelmia. Toisaalta hajautetun johdon avulla voidaan tässäkin vaiheessa keskittyä jokaisessa yksikössä juuri sen yksikön omiin ongelmiin ja koulutusaiheisiin, ja yksikön johdon ollessa mukana on todennäköisempää, että ohjelman tärkeys välittyy parhaiten myös yksiköiden henkilöstölle. Johtamismallista riippumatta tärkeintä on kuitenkin, että ohjelman olemassaolo perustellaan hyvin sekä johdolle että henkilöstölle. Tällöin ohjelmalla on parhaat menestymisen mahdollisuudet. Jalkauttamisvaiheen olennaisin osa on koulutusmateriaalin levittäminen ja koulutustilaisuuksien pitäminen. Nämä riippuvat taas siitä, minkälaista tietämystasoa kulloinkin koulutetaan. Esimerkiksi tiedostamisen kouluttaminen voi alkaa yksinkertaisesti sillä, että toimistotiloihin ripustetaan julisteita, jotka kertovat tietoturva-asiaa, ja henkilöstölle lähetetään sähköpostikirje, jossa käydään joitakin olennaisia asioita läpi. [1] Tärkeää on myös varata ajankohdat mahdollisille koulutuspäiville tai seminaareille riittävän ajoissa, jotta henkilöstö ehtii varautumaan niihin oman aikataulunsa puolesta. Koulutustilaisuudet voivat olla pakollisia tai vapaaehtoisia, tai niissä käymiseen voidaan rohkaista jonkinlaisella palkitsemisjärjestelmällä. Erityisesti osaamistason asioita voidaan kouluttaa myös erilaisten koulutustilanteiden avulla. Ne voivat olla verkon yli tapahtuvaa interaktiivista toimintaa, tietokoneella tehtäviä harjoituksia tai paikan päällä suoritettavaa neuvomista ja opastusta, joko mentoroinnin tai vertaisopetuksen ja -arvioinnin kautta. Nämä tavat aktivoivat henkilöitä etsimään ratkaisuja itse, ja oppimaan tekemällä, ja toimivat siis hyvin juuri osaamistason asioiden kouluttamisessa. [1] Aktivoivat koulutustavat voivat tietoturvallisuuden lisäksi edistää samalla myös järjestelmien käyttöastetta, koska niiden yhteydessä voidaan opettaa henkilöstölle myös sellaisia asioita, jotka eivät suoraan liity tietoturvaan, mutta ovat hyödyllisiä käytännön kannalta. Tällaisten koulutusten tulisikin olla hyvin suunniteltuja, että niiden vaatima aika saataisiin mahdollisimman tehokkaasti hyötykäyttöön. Ymmärtämistason koulutuksen jalkauttaminen voi käytännössä tarkoittaa esimerkiksi tiettyjen henkilöiden lähettämistä tietoturvakursseille, tai jopa uusien, tarvittavan tietämyksen omaavien henkilöiden palkkaaminen. Toisaalta ymmärtämistason henkilöt oppivat myös koko ajan työssään lisää tietoturva-asiaa, josta on hyötyä jatkossa. Näin ollen ymmärtämistason tietämyksen jalkauttamisvaihe eroaa hieman osaamis- ja tiedostamistason tavoitteista. Ohjelman jalkauttamisvaiheessa on syytä noudattaa suunnitteluvaiheessa tehtyjä linjoja. Usein tilanne voi kuitenkin muuttua käytännön myötä, mutta sekään ei välttämättä ole pahaksi. Tällöin olisi kuitenkin hyödyllistä pyrkiä korjaamaan suunnitteludokumenttia vastaamaan todellisuutta, jotta ohjelman dokumentaatio pysyisi ajan tasalla myös tulevaisuutta varten. 47

51 8.2.4 Jalkauttamisen jälkeen Ohjelman toteuttamisen jälkeen sitä ei voi jättää huomiotta. Kuten muissakin asioissa, myös tietoturvatietoisuuden lisäämisohjelman tapauksessa asian huomiotta jättäminen sen aloittamisen jälkeen voi pilata hyvin suunnitellun ja toteutetun kokonaisuuden. Tärkeimpiä jalkauttamisen jälkeen tehtäviä toimenpiteitä ovat ohjelman käyttöasteen seuraaminen, sen päivittäminen muuttuvan ympäristön mukana, palautteen kerääminen ja näistä toiminnoista muodostuva ohjelman ja organisaation tietoturvatoiminnan jatkuva parantaminen. [1] Ohjelman käyttöastetta voidaan seurata esim. koulutustilaisuuksien osallistujamäärien avulla. Näin saadaan kokonaiskuva organisaation työntekijöiden aktiivisuudesta aihetta kohtaan, ja voidaan tarvittaessa ryhtyä toimenpiteisiin, jos osanottajamäärät ovat paljon suunnittelua pienempiä. Palautteen kerääminen puolestaan on järkevää, koska sen avulla järjestelmää voidaan kehittää organisaatiolle sopivampaan suuntaan, ja suunnittelussa tapahtuneita arviointivirheitä voidaan korjata. Palautetta voidaan kerätä suoraan kyselyillä ja haastatteluilla, tai ulkopuolisella auditoinnilla ja suorituskykymittauksilla (benchmarking). [1] Kyselyt ja haastattelut tuottavat ohjelman sopivuudesta kertovaa tietoa, kun taas suorituskykymittaukset kertovat, kuinka hyvin ohjelma on onnistunut lisäämään organisaation tietoturvatietämystä. Näiden tulosten perusteella ohjelmaa voidaan kehittää entistä paremmaksi. 8.3 Päätelmät SP on erittäin kattava julkaisu, joka esittelee laajasti tietoturvallisuuden lisäämisohjelman suunnittelua, toteuttamista ja ajan tasalla pitämistä. Siinä on myös liitteenä materiaalia, josta voi olla hyötyä ohjelmaa toteutettaessa, esimerkiksi kyselylomakkeita ja mallikoulutusmateriaalia. Vaikka dokumentissa puhutaan virastoista, niin ohjelma voidaan toteuttaa sellaisenaan myös yrityksissä. Työvaiheet ja osat on jaoteltu siten, että niistä yhdistelemällä voidaan koota oikeanlainen kokonaisuus melkein minkä tahansa organisaation tarpeisiin. Ainoa selkeä puute dokumentissa on, ettei siinä ole juuri lainkaan käsitelty tilanteita, joissa jokin työvaihe tai asia menee pieleen. Tämä on kuitenkin hyvin todennäköistä, ja ohjelman toteuttajille olisi hyödyllistä, että dokumentissa kerrottaisiin myös joitakin toimintatapoja tai ratkaisumalleja tätä varten. Dokumentin liitteenä on myös lähtökohta tietoisuuden arvioimiseen, joka toimii hyvänä pohjana mittaristolle. Kovin tarkkoja määrityksiä mittaristolle ei tämän perusteella voi tehdä, mutta liite tarjoaa ainakin rungon, jonka ympärille voi rakentaa omalle organisaatiolle sopivan mittarin. Mittaristojen käyttö on oleellista, kun tähdätään jatkuvaan parantamiseen. Alkuperänsä takia tässä luvussa käsitelty julkaisu keskittyy lähinnä amerikkalaisiin organisaatioihin, ja sen laatimisessa on hyödynnetty jonkin verran sikäläiseen organisaatiokulttuuriin liittyviä asioita. Suomalaiseen yritykseen jotkin dokumentissa kuvatuista työvaiheista tai menetelmistä eivät välttämättä suoraan sopisi, koska kulttuurimme eroaa joiltain osin Yhdysvaltalaisesta yrityskulttuurista, ja ihmiset ovat täällä usein hankalammin lähestyttävissä koulutusasioiden suhteen. Monet koulutustavat, joita dokumentissa esitetään, esimerkiksi lentolehtiset ja vertaisopettaminen, voisivat tuntua sopimattomilta suomalaisille. Myös etenkin ymmärtämistason asioiden kouluttaminen henkilöstölle voisi koitua ongelmaksi Suomessa, ainakin nopealla aikataululla. Toisaalta yksi dokumentin tärkeimpiä näkökulmia on erilaisten kohdehenkilöiden ja -yksiköiden huomioiminen, joten tämänkaltaiset epäsopivuudet tulisikin poistaa jo suunnitteluvaiheessa. 8.4 Lähteet [1] NIST, Wilson M, Hash, J SP800-50: Building an information technology awareness and training program. 70 s [WWW]. Saatavissa: 48

52 9 Tietoturvatietoisuuden edistäminen pienissä ja keskisuurissa yrityksissä Tämä luku perustuu pääosin Euroopan verkko- ja tietoturvavirasto ENISA:n vuonna 2005 ilmestyneeseen raporttiin Raising Awareness in Information Security Insight and Guidance for Member States. Dokumentti on laadittu koostaen eri tutkimuksien ja raporttien sisältöä. Raportti käsittelee tietoturvatietoisuuden kehittämistä jaoteltuna kolmeen kohderyhmään: kotikäyttäjät, pkyritykset ja media. Tämä luku keskittyy raportin toiseen kohderyhmään ja käsittelee tietoturvatietoisuuden nykytilaa ja kehittämistä pk-yrityksissä. [1] Koko EU-alueen yrityksistä pkyritykset kattavat 99% ja työllistävät 65 miljoonaa henkilöä, mikä tekee niistä erityisen merkittävän kohderyhmän tietoturvakoulutukselle. Luvun alussa määritellään pk-yritys kohderyhmänä ja esitellään pk-yrityksen sisällä esiintyviä rooleja, jotka tulee ottaa huomioon tietoisuuden edistämishankkeita suunniteltaessa. Tämän jälkeen kuhunkin rooliin paneudutaan tarkemmin käsittelemällä sen tietoteknisiä tarpeita, tietoturvatietoisuuden nykytilaa ja ongelma-alueita sekä esitellään asioita, jotka tulee ottaa huomioon kyseiselle ryhmälle viestittäessä. 9.1 Tietoturvallisuus ja pk-yrityksen henkilöstön roolit Pk-yritysten luokitteluun on olemassa useita toisistaan poikkeavia määritelmiä. ENISA luokittelee yritykset henkilöstömäärän ja taloudellisten tunnuslukujen avulla. Määritelmän mukaan pkyrityksiin kuuluvat yritykset, joiden henkilöstömäärä on alle 50 ja lisäksi liikevaihdon on oltava alle 50 miljoonaa euroa tai taseen loppusumman alle 43 miljoonaa euroa. Pk-yritysten tarkempi jaottelu ilmenee alla olevasta taulukosta. [2, s. 29.] Yrityskategoria Henkilöstömäärä Liikevaihto tai Taseen loppusumma Keskikokoinen < miljoonaa 43 miljoonaa Pieni < miljoonaa 10 miljoonaa Mikro < 10 2 miljoonaa 2 miljoonaa Taulukko 1. Pk-yritykset. Yritysten tietoturvatarpeet poikkeavat paljon toisistaan niiden koon muuttuessa. Mikroyrityksillä on harvoin erillistä tietohallintoa puhumattakaan tietoturva-asiantuntijasta. Kärjistetyimmillään johtaja vastaa yksin sekä tietotekniikasta että muusta liiketoiminnasta. Pienyrityksissä puolestaan saattaa olla omasta takaa IT-asiantuntija, joka yleensä vastaa myös kaikista tietoturvaan liittyvistä asioista. Keskikokoisissa yrityksissä on lähes aina yksi tai useampia IT-asiantuntijoita ja mahdollisesti jopa oma erillinen tietohallintoyksikkö. Toimialasta riippuen suurimmilla keskikokoisilla yrityksillä voi omasta takaa yksi tai useampia tietoturva-asiantuntijoita, jotka vastaavat tietoturvan kaikista osaalueista yrityksessä. Pk-yrityksissä on tunnistettavissa tietoturvatietoisuuteen liittyen neljä eri roolia: johtaja/omistaja, tietohallinto, taloushallinto ja työntekijä. Yrityksen koosta riippuen roolit voivat olla päällekkäin lomittuneita tai vastakohtana yhtä roolia voi hoitaa kokonaan erillinen osasto, jolla on oma sisäinen hierarkiansa. Jatkossa erityisesti sanat tietohallinto (alunperin IT-management) ja taloushallinto (business management) tulee ymmärtää hyvin laajasti ymmärtäen, että ne tarkoittavat hyvin eri asioita eri kokoisissa yrityksissä. Jokainen rooli suhtautuu tietotekniikkaan omalla tavallaan ja asettaa sille odotuksia sen mukaan, 49

53 miten odottaa tekniikan edesauttavan omaa työtään. Roolien intressit ja tietoturvatietoisuuden nykytila tuovat myös esiin roolille tyypillisiä ongelmia. Nämä erityispiirteet tulisi huomioida yrityksissä tietoturvakoulutusta tai muuta viestintää suunniteltaessa Johtaja/omistaja Yrityksen johtaja/omistaja on henkilö, joka viime kädessä tekee päätökset tietoturvahankkeisiin sijoittamisesta. Niinpä hänen vakuuttamisensa on ensisijaisen tärkeää hankkeiden onnistumiselle. Johtaja odottaa tietotekniikan tarjoavan yritykselle häiriöttömän liiketoimintaa tukevan alustan. Lisäksi tietotekniikan tulisi helpottaa johtajan omaa työntekoa tarjoten hänelle analysointityökaluja ja ratkaisuja henkilöstön seurantaan ja vastuukysymyksiin esimerkiksi pääsynvalvonnan ja kirjautumislokien kautta Tietoturvan nykytila ja ongelmia Pk-yritysten johto ei yleensä täysin ymmärrä, miten suuria vaikutuksia tietoturvaongelmat voivat aiheuttaa yrityksen liiketoiminnalle. Konkreettisia esimerkkejä koko yritystä koskevista uhkista ovat virukset, tiedon menetykset, palvelunestohyökkäykset ja tietojärjestelmien vääränlainen käyttö henkilökunnan toimesta joko tahallaan tai tietämättömyyttään. Uhkien olemassaolo kyllä useimmiten tiedostetaan, mutta niiden tapahtumisen todennäköisyys ja vaikutukset arvioidaan alakanttiin. Myös tiedon merkitys yrityksen kriittisenä menestystekijänä on yleisesti hyväksyttyä. Tästä huolimatta esimerkiksi Iso-Britannian yrityksistä vain kolmanneksella on tietoturvapolitiikka ja vain kahdeksasosa viestii henkilöstölleen aktiivisesti heidän turvallisuusvelvoitteistaan [1, s. 34]. Suurin osa tietoturvaloukkauksista johtuu ihmisen toiminnasta, joten tietoturvatietoisen kulttuurin luominen on avainasemassa uhkia torjuttaessa. ENISA:n mukaan noin 90% mukana olleista 200 yrityksestä oli kokenut jonkinlaista teknologiarikollisuutta, jonka yleisimpiä muotoja olivat tietovarkaudet ja luvaton tunkeutuminen tietojärjestelmiin [1, s.34]. Tietorikosten yleisyydestä huolimatta tietoturvallisuutta ei nähdä osana yrityksen normaalia riskienhallintaa, vaan se koetaan ennemminkin vain ylimääräisenä kuluna. Osassa yrityksiä ongelma ei koske pelkästään tietoturvallisuutta, vaan myös yleinen riskienhallinta on puutteellista. Esimerkiksi merkittävällä osalla yrityksiä ei ole ollenkaan liiketoiminnan jatkuvuussuunnitelmaa ja sen omaavillakin suunnitelman säännöllinen testaaminen ontuu. Tietoturvallisuudessa, kuten riskienhallinnassa yleisestikin, ongelmien ehkäisy vaatii kuitenkin huomattavasti vähemmän resursseja kuin jo tapahtuneiden vahinkojen korjaaminen Tietoisuuden lisäämisen erityispiirteitä Tietoturvatietoa on tarjolla runsaasti esimerkiksi verkossa, mutta johtajien aika on yleensä hyvin rajallista. Tämän vuoksi erilaiset tiiviit esitteet ja lehtiset herättävät parhaiten kohderyhmän huomion. Myös yhteistyö järjestöjen kuten Kauppakamarin, valtion virastojen tai yritysten muodostamien laajojen kumppaniverkostojen kanssa edesauttaa yritysjohdon saavuttamista. Tiedotuskampanjan aikana voidaan myös tehdä mittauksia kampanjan vaikutuksista ja pyrkiä sitten hienosäätämään käytettäviä tiedotuskanavia tulosten parantamiseksi. Luonteeltaan kampanjaviestin tulisi olla positiivinen, eikä se saisi perustua uhkakuvilla pelotteluun. Yritysjohdolle tehtävien kampanjoiden yksi päätavoite on saada kohderyhmä ymmärtämään, että pelkän tietoturvapolitiikan laatimisen ja noudattamisen lisäksi heidän tulisi oman esimerkin avulla osoittaa työntekijöille, että tietoturva on yritykselle tärkeä asia ja että siihen panostetaan aktiivisesti. Suurin osa yrityksen alempien tasojen tietoturvatietoisuuden lisäämisestä on riippuvaista johtajan panoksesta. Niinpä yritysjohdolle tulisi osoittaa, miksi työntekijöitä tulisi kouluttaa ainakin seuraavista asioista: 50

54 Tietoturvariskeistä yleisesti. Omasta vastuustaan toimia turvallisesti. Politiikkojen ja parhaiden käytäntöjen soveltamiseen. Vastuulliseen ja ennakoivaan tietoturvaongelmien raportointiin. Laillisista vastuistaan tietoturvaan liittyen. Mahdollisuuksien mukaan kampanjaviesti voidaan kohdistaa tarkemmin vain tietynkokoisille pkyrityksille. Koon mukaisesti kustomoidussa kampanjassa viestin monimutkaisuutta voidaan säätää tarkemmin ja tällöin saavutetaan usein myös parempia tuloksia. Esimerkiksi yli 50 henkilön yritykselle voitaisiin kertoa riskianalyysistä, tietoturvapolitiikan ja toimintatapojen suunnittelusta ja työntekijöille suunnattujen tiedotuskampanjoiden toteuttamisesta huomioiden työntekijöiden sen hetkinen tietotaso. Henkilöstön vallitsevan tietotason mukaisesta tietoturvakoulutuksesta kerrotaan enemmän luvussa kahdeksan. Hyvin pienelle yritykselle riittää usein paljon yksinkertaisempi viesti, jossa kerrotaan yleisimmät tietoturvaongelmat ja niiden ratkaisut. Esimerkiksi mikroyritykselle suunnattu viesti voisi olla eräänlainen tarkistuslista: Turvalliset salasanat. Virukset ja haittaohjelmat. Varmuuskopiointi. Hakkereilta suojautuminen. Kannettavan tietokoneen varkaus. Sosiaalinen hakkerointi ja toisena esiintyminen. Aiheesta kerrotaan tarkemmin luvussa 15. Yksityisyys. Kotitietokoneiden turvallisuus. Internet- ja sähköpostietiketti. Lain asettamat vaatimukset. Kunkin otsikon alla olisi selitettynä lyhyesti aiheeseen liittyviä neuvoja. Tuloksena on paketti, joka on riittävän yksinkertainen ja nopeasti omaksuttava mikroyrityksenkin johtajalle, jolle tietoturvallisuus ei takuulla ole yrityksen tärkeimpien asioiden joukossa. Ohjetta noudattamalla yrityksen tietoturvan taso paranee kuitenkin huomattavasti kohtuullisen pienellä vaivalla Tietohallinto Pk-yrityksen tietohallinto koostuu henkilöistä, jotka vastaavat yrityksen tietojärjestelmien hankinnasta ja päivittäisestä ylläpidosta. Etenkin pienissä yrityksissä myös tietoturva on tyypillisesti pääosin tietohallinnon vastuualuetta. Tietohallinnon tekninen tietämys on yleensä hyvää, mutta tietoturvatietoisuus voi rajoittua lähinnä tietoturvaprotokolliin ja niiden käyttöön. Tietohallinnon tietotekniset intressit ovat monilta osin samantyyppisiä kuin johdolla Tietoturvan nykytila ja ongelmia Teknisestä suuntautumisestaan johtuen tietohallinto voi painottaa tietoturvan suunnittelussa ja toimeenpanossa liikaa laitteistoon tai ohjelmistoon perustuvia teknisiä ratkaisuja kuten tiedon salausmenetelmiä, tietoturvallisia yhteystapoja tai virustorjuntaa. Tietoturvapolitiikan ja yhtenäisten toimintatapojen sekä ihmisten tietoturva-asenteiden merkitystä puolestaan väheksytään usein. Niinpä esimerkiksi työntekijöiden ohjeistus voi olla puutteellista ja roolien ja vastuiden jaot epäselviä. Tietohallinto saattaakin kokea epätekniset tietoturva-asiat epäolennaisina. Toisaalta osa teknisistä ratkaisuista nähdään jopa liian teknisinä ja vain suurempia organisaatioita koskevina, vaikka todellisuudessa niiden käyttöönotto ei vaatisi suurta panostusta. Edes yksinkertaisia teknisiä turvamekanismeja kuten virustorjuntaa ei aina pidetä riittävällä tasolla, vaikka se on nykyään erittäin helppoa tehokkaiden ja itsestään päivittyvien virustorjuntaohjelmien ansiosta. 51

55 Iso Britannian kauppa- ja teollisuusministeriön vuonna 2005 tekemän tutkimuksen mukaan tyypillinen brittiyritys saa noin 20 virusta vuodessa ja sen verkkosivut skannataan useita kertoja. Suuryrityksissä luvut ovat vielä suurempia ja virustartuntoja on jopa viikoittain. [3, s ] Toisessa tutkimuksessa kävi puolestaan ilmi, että tyypillinen virustartunta maksaa yritykselle kokonaisuudessaan noin 5000 euroa. Tutkituista yrityksistä 40% oli kärsinyt virushyökkäyksestä edellisen vuoden aikana ja niistä neljäsosa myönsi saastuttaneensa vahingossa myös kumppaneitaan ja asiakkaitaan. Tästä huolimatta 45% haastatelluista yritysjohtajista oli sitä mieltä, että tietoturvallisuus on heidän yrityksessään matalan prioriteetin ongelma. Tutkimuksen suoritti Network Associates vuonna 2003 ja siinä oli mukana 500 alle 20 henkilön yritystä Iso-Britanniasta, Italiasta, Espanjasta, Ranskasta, Alankomaista ja Saksasta. [4, s. 22.] Tietotekniikan nopeasta kehityksestä johtuen kyseinen tutkimus alkaa olla jo ikääntynyt, joten toivoa sopii, että myös tietoturvatietoisuus ja asenteet ovat kehittyneet sitten tutkimuksen tekemisen. Tietohallinto on yleensä tietoinen kansallisista ja kansainvälisistä standardeista kuten ISO ja COBIT, mutta usein niitä ei sovelleta mitenkään. Mikäli standardeja on toimeenpantu, se on yleensä tehty puutteellisesti eikä toiminnan tavoitteiden mukaista toteutumista seurata mitenkään. Tietoturvaloukkauksissa tietohallinnolta edellytetään usein estä-havaitse-reagoi-palaudu -mallin mukaista toimintaa, mutta heillä ei ole riittäviä välineitä ja valtuuksia toimia mallin mukaan. Muilta osin tietohallinnon tietotekniset intressit ovat hyvin samankaltaiset varsinaisen yritysjohdon kanssa Tietoisuuden lisäämisen erityispiirteitä Tietohallinnon tietoisuuden lisäämiseen voidaan soveltaen käyttää useita samoja keinoja, mitä esitettiin yritysjohdolle. Tämän lisäksi ammattiryhmän omat kanavat kuten tietotekniikka-aiheiset verkkosivut ja portaalit sekä tietotekniikan ja talouden verkkolehdet voivat olla erityisen tehokkaita tietohallinnon saavuttamisessa, sillä tietohallinto käyttää niitä usein apuna päivittäisessä työssään. Kohderyhmää lähestyttäessä viestin sisältöön tulee kiinnittää erityistä huomiota. Vaikka tietohallinnolla on paljon teknistä osaamista ja mahdollisesti myös laajat tiedot tietoturvan teknisestä osa-alueesta, voi se olla muiden osa-alueiden osalta täysin tietämätön. Lisäksi tietoturvaympäristö on muuttunut ja muuttuu koko ajan nopeasti, mutta teknisessä koulutuksessa tietoturva-asioihin on kiinnitetty kunnolla huomiota vasta viime aikoina. Tämä tulee ottaa huomioon tietoturvasta viestittäessä ja sanoman painopisteitä mietittäessä Taloushallinto Taloushallinto vastaa yrityksen liiketoiminnan transaktioista ja asiakasrajapinnasta. Heidän tekninen tietämyksensä voi olla kohtuullisen heikkoa, vaikka he käyttävätkin tietotekniikkaa paljon työssään. Taloushallinnon päivittäinen toiminta kerryttää yrityksen tietojärjestelmiin suuren määrän arkaluontoista tietoa esimerkiksi asiakkaista. Taloushallinto odottaakin tietotekniikan tukevan sitä tehtävissään ja takaavan, että järjestelmissä liikkuvan tiedon luottamuksellisuus ja eheys säilyvät kaikissa tilanteissa Tietoturvan nykytila ja ongelmia Taloushallinnolta voi puuttua kunnollinen kuva tietoturvaloukkauksien mahdollisista seurauksista. Niinpä politiikkoja ja ohjeistettuja toimintatapoja ei aina noudateta omassa päivittäisessä työskentelyssä joko tietämättömyyden tai vain laiskuuden vuoksi. Esimerkiksi varmuuskopiointi tai kiintolevyn salaus voivat tuntua työläältä turhuudelta, ellei toiminnan merkitystä ymmärretä. Taloushallinnolle tuleekin painottaa tietoturvallisuuden tärkeyttä konkreettisin esimerkein, jotka koskevat suoraan heidän työkenttäänsä. Tällaisia ovat esimerkiksi: 52

56 Luottamuksellisten asiakastietojen menetys. Imagotappiot asiakkaiden, työntekijöiden tai yhteistyökumppaneiden silmissä. Virheestä palautumisen ja tulonmenetysten seurauksena syntyvät ylimääräiset kustannukset. Toiminnan tehokkuuden heikkeneminen. Taloushallinto ei myöskään aina ymmärrä tietoturvallisuuden kehittämistä jatkuvana prosessina. Kehittämistä saatetaan pitää ennemminkin kertaluontoisena toimenpiteenä, jossa tietoturva laitetaan kerralla pysyvästi kuntoon Tietoisuuden lisäämisen erityispiirteitä Vaikka Taloushallinnon tietoturvatietoisuutta koskevat ongelmat ovat erilaisia kuin yritysjohdolla, useat johdon kohdalla käsitellyt viestintäkanavat sopivat myös sen lähestymiseen. Esimerkiksi yritysten yhteistyöverkostot kuten Kauppakamari ja alan lehdet niin painettuna kuin verkossakin ovat tehokkaita välineitä liiketoimintajohtoa lähestyttäessä. Taloushallinnon tekninen tietämys on usein rajallista, joten heitä lähestyttäessä on painotettava viestin ymmärrettävyyttä. Erityisesti on pohdittava, millä tasolla taustalla olevan tekniikan ymmärtäminen on tarpeellista, ja missä asioissa on riittävää pelkästään motivoida kohderyhmä toimimaan turvallisesti selittämättä liikoja yksityiskohtia. Motivoinnissa voidaan käyttää taloushallinnon päivittäiseen työhön liittyviä esimerkkejä ja entä-jos skenaarioita, jolloin tietoturvaa edistävien toimenpiteiden merkitys saadaan havainnollistettua tehokkaasti. Kuten kaikessa koulutuksessa, myös tässä tapauksessa sävy tulee pitää kannustavana eikä syyllistyä vain uhkakuvilla pelotteluun Työntekijä Suurin osa tietoturvauhkista on seurausta inhimillisistä virheistä. Tavalliset työntekijät muodostavat valtaosan yritysten henkilöstöstä, joten heille suunnattu tietoturvakoulutus voi vähentää ongelmia huomattavasti. Työntekijät käyttävät tietotekniikkaa päivittäisten rutiiniensa tekemiseen ja hallinnollisiin tehtäviin. He odottavat tietotekniikalta häiriötöntä toimintaa ja haluavat olla vakuuttuneita, että kakki heidän verkossa tekevät toimet ovat turvallisia ja luottamuksellisia Tietoturvan nykytila ja ongelmia ENISA:n mukaan tutkimusyhtiö Gartnerin tekemässä tutkimuksessa ilmeni, että 70% luvattomista tietojärjestelmiin tunkeutumisista tapahtuu yrityksen omien työntekijöiden toimesta ja niistä yli 95% aiheuttaa yritykselle merkittäviä taloudellisia tappioita [1, s. 43]. Useimmiten työntekijät kuitenkin pyrkivät toimimaan oikein ja tietoturvallista tapaa noudattaen. Puutteellisen ohjeistuksen vuoksi työntekijät eivät aina kuitenkaan tiedä, mikä olisi tietoturva huomioiden oikea toimintatapa. Myös koko tietoturvallisuuden merkitys saattaa olla työntekijöille hämärän peitossa, jolloin kaikki turvallisuutta parantavat ylimääräiset toimenpiteet, esimerkiksi sähköpostin salaaminen, koetaan vastenmielisiksi samaan tapaan kuin taloushallinnossakin. Selkeästi dokumentoitu tietoturvapolitiikka on avainasemassa työntekijöiden tietoturvatietoisuuden edistämisessä. Politiikasta tulee käydä ilmi tietovälineiden asianmukainen käyttö ja vastuut mahdollisissa ongelmatapauksissa. Pelkkä politiikan olemassaolo ei kuitenkaan riitä, vaan se tulee myös saattaa aktiivisesti kaikkien työntekijöiden tietoisuuteen. Tietoturvayritys Trend Micron vuonna 2005 tekemän tutkimuksen mukaan monet työntekijät suhtautuvat internetin käyttöön huolettomammin työpaikoilla kuin kotona. Tutkimuksessa haastateltiin yli 1200 työtekijää Yhdysvalloissa, Saksassa ja Japanissa. Tutkimuksessa löydettiin selkeä yhteys yrityksen tietohallinnon olemassa olon ja työntekijöiden verkkokäyttäytymisen välille. Työntekijät olettavat tietohallinnon takaavan heille turvallisen internetin käytön heidän 53

57 omasta toiminnastaan riippumatta, ja esimerkiksi ylläpidon asentamiin virustorjuntaohjelmiin ollaan taipuvaisia luottamaan enemmän kuin kotikoneen vastaaviin ohjelmiin. Niinpä esimerkiksi viruksia, matoja ja phishingiä ei välttämättä koeta suuriksi uhkiksi käytettäessä työpaikan laitteita tai sähköpostia. Internetin vastuuttomampaan käyttöön rohkaisee osaltaan myös luottamus siihen, että yrityksen tietohallinto auttaa mahdollisissa ongelmatilanteissa. Työntekijät siis odottavat yrityksen tietoturvallisuudelta eräänlaista automaattisuutta, jonka tulee toteutua käyttäjän toimista riippumatta. [5] Tietoisuuden lisäämisen erityispiirteitä Kattavan tietoturvapolitiikan lisäksi työntekijöiden tietoturvakäyttäytymistä voidaan parantaa esimerkiksi työntekijän käsikirjoin, työsopimuksiin sisällytettävin ehdoin ja muun viestinnän tai koulutuksen avulla. Työntekijät muodostavat erittäin laajan ja epäyhtenäisen kohderyhmän, joten avainviesti ja käytettävä viestintäkanava tulee sovittaa tapauskohtaisesti roolien ja vastuualueiden mukaan. Vaikka viestinnän tulee olla sävyltään kannustavaa, työntekijöiden tulee olla tietoisia myös mahdollisten rikkomusten seurauksista. Kaikkien työntekijöiden on kuitenkin työnkuvasta riippumatta tiedettävä, mitä tietoturvallisuuden kenttään kuuluu yleisesti. Tähän tarkoitukseen sopii hyvin samantapainen napakka lista, joka esiteltiin yritysjohdon kohdalla. Kaikille suunnattujen kampanjoiden tulee olla erittäin näkyviä ja niiden sisältämä viesti tulisi pitää mahdollisimman yksinkertaisena. Tällöin viesti on kaikkien ymmärrettävissä toimenkuvasta riippumatta ja kampanja jää kaikkein varmimmin mahdollisimman monen työntekijän mieleen. Mahdollisia välineitä kaikille työntekijöille suunnatuissa yleiskampanjoissa voivat olla esimerkiksi: Tarttuvin iskulausein varustetut mainostavarat. Kirjautumisen yhteydessä tietokoneen näytöllä näkyvä muistutusikkuna. Videopätkät. Julisteet ja lehtiset. Intranet tiedotus. Tietoturvakoulutuksen tulisi olla jatkuvaa, sillä myös uhkat elävät koko ajan. Kustannukset huomioiden hyvä tapa työntekijöiden tietoisuuden lisäämiseen on esimerkiksi erittäin näyttävästi aloitettava kampanja, jonka jälkeen koulutusta täydennetään vähitellen ajan kuluessa. 9.2 Yhteenveto Pk-yritykset työllistävät suuren osan Euroopan työvoimasta, joten niiden henkilöstön tietoturvatietoisuuden lisäämisellä on merkitystä yritystoimintaa laajemmassakin kontekstissa. Työpaikan koulutuksissa opitut tiedot vaikuttavat työntekijöiden tietoturvakäyttäytymiseen myös työpaikan ulkopuolella. Kohderyhmän ollessa näin laaja osa annetuista ohjeista on väkisinkin melko yleisluontoisia. On mahdotonta käsitellä samassa yhteydessä kattavasti, miten tietoturvatietoisuutta kehitetään noin 10 hengen pienyrityksessä ja yli 200 työntekijän keskikokoisella yrityksessä. Laajasta kohderyhmästä ja käsittelyn yleisluontoisuudesta huolimatta yrityksen sisäisten roolien ja niiden erityistarpeiden tiedostaminen auttaa tietoturvakoulutuksen järjestämisessä missä tahansa yrityksessä. Roolien lisäksi koulutuksessa tulisi ottaa huomioon sekä valtio- että yritystasolla esiintyvät kulttuurierot, joita ei käsitelty tässä luvussa. Kulttuurieroja sivutaan muualla tässä seminaariraportissa, esimerkiksi luvussa kymmenen. Suuri osa luvun kirjoittamiseen käytetyistä lähderaporteista ja tutkimuksista on jo joitain vuosia vanhoja. Tietoturvallisuus liittyy kiinteästi tieto- ja viestintäteknologiaan, jonka kehitys on ollut viime aikoina erittäin nopeaa. Niinpä luvussa esitetyt asiat voivat olla joiltain osin muuttuneet viime 54

58 vuosien aikana ja esimerkiksi tutkimuksissa ilmi käynyt välinpitämätön asenne tietoturvaa kohtaan voi olla parantunut. 9.3 Lähteet [1] ENISA CD Information Package: Raising Awareness in Information Security - Insight and Guidance for Member States [WWW]. [Viitattu ]. Saatavissa: [2] ENISA Information Security Programmes in the EU: Insight and Guidance for Member States [WWW]. [Viitattu ]. Saatavissa: [3] DTI A Director's Guide to Information Security - best practice measures for protecting your business [WWW]. [Viitattu ]. Saatavissa: [4] UK Cabinet Office Protecting our information systems [WWW]. [Viitattu ]. Saatavissa: [5] Trend Micro Trend Micro Study Provides End-User RevelationsAbout Risky Online Behavior at Work [WWW]. [Viitattu ]. Saatavissa: 55

59 10 Tietoturvatietoisuus finanssialan yrityksissä Tässä luvussa käsitellään tietoturvatietoisuutta (myöhemmin käytetty lyhennettä TTT) rahoitusalalla toimivien yritysten näkökulmasta. Luku perustuu ENISA:n marraskuussa 2008 valmistuneeseen raporttiin Information security awareness in financial organisations [1], jossa käsitellään finanssialan erikoispiirteitä tietoturvallisuuden kontekstissa. Raportin tarkoituksena on korostaa TTT:n merkitystä finanssialalla, analysoida erilaisten tietoisuutta lisäävien ohjelmien vaikutuksia liiketoimintaympäristössä, sekä tarjota käytännönläheinen viitekehys TTT:n kasvattamiseksi Liiketoimintaympäristö Finanssialalla organisaation tietopääomaa voidaan pitää yhtenä sen tärkeimmistä resursseista. Lukuisia lakeja ja asetuksia on säädetty, jotta tiedolle voitaisiin taata riittävä suoja ja asianmukainen käyttö, mutta mitään täysin toimivaa ratkaisua ei ole kuitenkaan löydetty. Yhtenä organisaation suurimmista tietoturvariskeistä voidaan pitää huonoa tai huonosti johdettua organisaatiokulttuuria. Mikäli toimintatapoja ei ole selkeästi määritelty, työntekijä on altis toiminnallaan synnyttämään vakavan tietoturva-aukon, jonka seurauksena tärkeää asiakas- tai liiketoimintatietoa saattaa vuotaa organisaation ulkopuolelle. Raportin mukaan valtaosa finanssialalla tapahtuvista tietoturvarikkomuksista ovat tietovuotoja, joka voidaan katsoa olevat seurausta alalle tyypillisestä tietointensiivisyydestä ja sen mukanaan tuomista ominaispiirteistä. Seuraavassa käsitellään tarkemmin finanssialan luonnetta ja siihen liittyviä tietoturvauhkia Ympäristön arviointi ja ominaispiirteet Finanssialasta puhuttaessa tarkoitetaan yleisesti yrityksiä, joiden toiminta sijoittuu pankki-, rahoitus-, luotto- tai maksupalvelusektorille. Koska kaikille tyypillisenä piirteenä voidaan pitää arkaluontoisten henkilötietojen käsittelyä, on tietenkin luonnollista, että suuret linjat tietoturvallisuuteen asettavat erilaiset lait ja säädökset. Ongelmaksi tässä tilanteessa kuitenkin muodostuu se, että lakien tarjoamat viitekehykset esimerkiksi henkilöstön koulutukseen voivat tietyiltä osin olla joko erittäin tarkkoja tai tietyiltä osin tulkinnanvaraisia. Tämän vuoksi organisaatioissa joudutaan miettimään vastauksia kysymyksiin kuten, minkä lain viitekehystä organisaatiomme tulisi noudattaa, kuinka TTT:n kehittämisohjelmamme vastaavat alalla vallitsevia parhaita käytäntöjä, onko johto sitoutunut suunnitelmaamme ja miten voisimme parantaa mielikuvaa TTT:n kehittämisestä. Toisena ongelmana voidaan pitää myös sitä, että toisistaan eroavia toimintaohjeita tulee niin toimialan sisältä kuin julkishallinnostakin. Raportissa mainitaan, että yksi suurimmista syistä lakien noudattamiseen esimerkiksi TTT:n kontekstissa noussee erilaisten sakkojen ja rangaistusten pelko. Tästä on melko suoraan johdettavissa käsitys yleisten säädösten toimimattomuudesta yksittäisissä yrityksissä. Koska asiakkaan luottamusta finanssipalvelun tarjoajaan voidaan pitää yhtenä alan kulmakivistä, ei asioita tietenkään voida tehdä rangaistuksen uhalla, vaan ylipäätään liiketoiminnan jatkumisen. Toisin sanoen viitekehyksien noudattaminen ei ainoastaan riitä, vaan jokaisen organisaation tulee soveltaa sitä omaan liiketoimintaan. Erilaisten standardien ja viitekehyksien soveltamisessa tulee oman organisaation lisäksi keskittyä myös suurempaan kokonaisuuteen. Sen lisäksi, että on tiedettävä, mitkä säädökset ovat globaaleja ja mitkä kansallisia, on tiedettävä myös, minkälainen vaikutus niillä on myös asiakkaisiin ja yhteistyökumppaneihin. Vaikka TTT:n edistäminen finanssialalla on pääasiassa keskittynyt erilaisiin seminaareihin 56

60 petoksista, identiteettivarkauksista ja social engineeringistä, voidaan se kuitenkin katsoa kuuluvaksi kärkipäähän TTT:n edistämisessä. Nykyään tarvitaan kuitenkin vakuuttavampia menetelmiä, niin lakien, kuin asiakkaidenkin puolesta. TTT-hankkeita suunniteltaessa yritysten on pyrittävä täyttämään kaikki toimialan ja lakien asettamat vaatimukset ja samalla toteuttamaan maksimaalista turvallisuutta asiakkaan näkökulmasta. Turvallisuutta rakennettaessa yritysten on huomioitava kaikkia tahoja ja jotta toteutettavasta suunnitelmasta tulisi paras mahdollinen, on kaikki olennaiset asiat huomioitava jo suunnitteluvaiheessa. Seuraavassa käydään läpi, kuinka liiketoimintaympäristö tulisi huomioida jo strategiaa rakennettaessa. ENISAN raportin mukaan paras käytäntö TTT-strategian kehittämiseen on seuraavanlaisen viitekehyksen noudattaminen. 1. Liiketoiminnan luokittelu tietylle sektorille ja tätä kautta suuntaviivojen hahmottuminen suunnitelmalle. 2. Tiedon kategorisointi tarkoituksenmukaisiin luokkiin, niin suojauksen kuin säilytyksen puolesta. 3. TTT-vaatimusten määrittely kullekin tiedon luokalle. 4. Tarpeen määrittely vaaditun tason saavuttamiseksi. 5. Tarpeen jalkauttaminen kunkin luokan suunnitelman tavoitetilaksi. 6. Strategiaprosessin toistaminen vuosittain, jolloin lakien ja vaatimusten päivitykset huomioidaan myös toteutuksessa. Jotta toimiva strategia voidaan kehittää, edellyttää se toimivaa kommunikointia organisaation sisällä ja johdon hyväksymää tiedon luokittelua. Kun strategiaprosessi on kerran huolellisesti viety läpi, on siihen helposti päivitettävissä ympäristössä tapahtuneet muutokset. Vastaavanlainen strategia toimii lähinnä vain perustana yksityiskohtaisemmalle suunnitelmalle, mutta tässä tapauksessa sitä voidaan käyttää myös varsin havainnollistavana esimerkkinä ympäristön käytännön merkityksestä liiketoiminnalle Toimialan riskit ja uhat Kuten aiemmin tässä luvussa jo mainittiin, toimialan yhtenä kulmakivistä voidaan pitää asiakkaan luottamusta rahoitusjärjestelmään. Myös suurin osa finanssialan tietoturvallisuuden huolenaiheista perustuu myös tämän luottamuksen säilyttämiseen. Liiketoiminta rahoitusalalla edellyttää sitä, että asiakkaan on luovutettava huomattava määrä henkilökohtaista tietoa palvelun tarjoajalle. Jotta kukaan uskaltaisi näin tehdä, on palvelun tarjoajan pystyttävä vakuuttamaan asiakas siitä, että tiedot todella ovat turvassa. Mitkä ovat sitten suurimpia uhkia finanssialan yritysten uskottavuudelle? Koska arkaluontoisen tiedon käsittelyyn liittyy monia sidosryhmiä ja tietoturvallisesti heikompia prosesseja, on finanssialaan liittyviä riskejä huomattava määrä. Vaikka kaikki uhat voidaan yleisesti luokitella liittyväksi luottamuksellisuuteen, eheyteen ja saatavuuteen, on finanssialan yrityksille vakavimpana uhkana tiedon vuotaminen tai katoaminen ja tätä kautta uskottavuuden menettäminen. Asiakastiedon lisäksi tämä kategoria kattaa myös tärkeän liiketoimintatiedon vuotamisen kilpailijoille. Vakavana uhkana voidaan pitää myös liiketoimintatiedon eheyden särkymistä. Koska finanssiala voidaan luokitella toimialaksi, jossa tietotyö ja hiljainen tieto ovat yritysten ydinliiketoimintaa, on erilaisten päätöksenteossa käytettävien raporttien säilyttävä eheinä, jotta oikeita päätöksiä näiden perusteella voidaan tehdä. Toimialalle tyypillisiä uhkia ovat myös erilaiset petokset, kiristykset, rahanpesu, sekä erilaiset väärinkäytökset markkinoilla. Viimeisenä mainitut liittyvät enemmän tietoturvan fyysiseen puoleen, mutta ovat sitäkin suuremmissa määrin vaikutettavissa TTT-hankkeilla. Kaikki edellä mainitut uhat ovat finanssialan yrityksille määriteltävissä yksittäisinä uhkina, mutta yhdessä ne muodostavat suuremman uhan yrityksen liiketoiminnalle ja uskottavuudelle. Huonon julkisuuden aiheuttamat tappiot voivat olla hyvin 57

61 mittavia ja niiden vaikutus kauas kantoinen Kulttuurierot Toimialan erikoispiirteiden lisäksi TTT-hankkeissa ja niiden suunnittelussa on otettava huomioon myös tekijöitä, kuten yritysten maantieteellinen sijainti ja tämän tuomat kulttuurierot. Tällä on vaikutuksia TTT-hankkeiden läpiviennissä niin sisällöllisesti kuin menetelmällisestikin. Haastavin tehtävä monikansallisissa yrityksissä on hankkeiden rakentaminen kattamaan koko organisaation, siten että jokaista viestiä vastaanottavaa joukkoa lähestytään oikein. Seuraavassa käsitellään muutamia huomioitavia asioita. Kun organisaation toimintakenttä on laaja, on mahdollista että teknologinen kehitys ei ole samassa vaiheessa kaikissa organisaation toimipisteissä. Tämän vuoksi on mietittävä esimerkiksi tietotekniikan osalta koulutusmateriaalia ja sitä minkälaisia tekniikoita on käytössä. Kriittisiä kohtia voivat olla muun muassa kaistanleveys, audiovisuaalisten ominaisuuksien käyttö, sekä erilaiset intranetin käyttömahdollisuudet. Eri maat asettavat myös erilaiset vaatimukset lakien puitteissa henkilöstön TTT:sta, jonka seurauksena tulee miettiä miten tämä vaikuttaa TTT-hankkeiden sisältöön. Onhan toki mahdollista valita käytäntö esimerkiksi tiukimman lain mukaan ja soveltaa sitä koko kansainväliseen organisaatioon ja tätä kautta myös saavuttaa lisää uskottavuutta markkinoilla. Hankkeen organisoinnissa on syytä kiinnittää huomiota myös organisaatiorakenteeseen. Yhtenäiset käytännöt ovat varmasti hyödyksi monikansallisissa yrityksissä, mitä tulee ihmisten kontaktointiin ja vastuuttamiseen TTT-hankkeiden yhteydessä, mutta tämä ei ole itsestään selvyys, vaan asioista on hyvä ottaa ajoissa selvää. Vastaavanlaisten hankkeiden johtaminen mahdollisimman korkealta organisaatiosta, antaa parhaimmat edellytykset onnistumiselle, niin organisoinnin, vastuuttamisen, kuin mittaamisenkin puolesta Viestintäkanavat Ttt koulutuksia ja hankkeita suunniteltaessa, eritystä huomiota tulee kiinnittää keinoon, jolla viesti halutaan kohdeyleisöön toimittaa. Jotta sanoma olisi uskottava ja vaikuttava, on käytettävä vähintään kahta eri viestintäkanavaa. Monen eri kanavan käyttäminen vaatii tietenkin enemmän resursseja, mutta suunnitteluvaiheessa on juuri pohdittava, mikä on TTT:n haluttu strateginen taso, suhteutettuna nykyiseen ja tämän mukaan varattava resursseja. Startegisissa linjauksissa on mahdollista määritellä myös henkilöstölle erilaisia TTT:n tasoja, lakien antamat viitekehykset huomioiden. Seuraavassa on lueteltuna muutamia vaihtoehtoisia viestintäkanavia. Kohderyhmäkoulutus, jossa kohdeyleisö on jaettu asianmukaisella tavalla. Workshop tilaisuudet, jossa vapaan keskustelun kautta saadaan synergiaetuja koulutukseen. Sähköinen koulutus, jonka edut perustuvat riippumattomuuteen paikasta. Vaihtelevien koulutusmateriaalien käyttö. Erilaisilla menetelmillä voidaan siis kustomoida viestiä vastaamaan kohdeyleisöä ja tätä kautta saada maksimaalinen hyöty koulutuksesta. Yllä viestintäkanavia käsiteltäessä tietoisuuden lisäämiseksi käytettiin termiä koulutus, mutta ENISA:n raportissa mainitaan, että tietoisuuden lisääminen on todellisuudessa vain kevyempi versio koulutuksesta. Pelkän tietoisuuden perusteella työntekijän ei välttämättä voida edellyttää osaavan vielä mitään, vaan sen tarkoituksena on herättää mielenkiintoa aiheeseen. Tietoisuus hankkeilla käytännössä pyritään siis antamaan edellytyksiä ja työkaluja itse koulutusta varten. 58

62 10.2 Implementointi ENISA:n raportin mukaan monissa organisaatioissa kamppaillaan tehokkaiden henkilöstön TTT:n mittareiden löytämisen kanssa. Suurimpana haasteena tietoisuuden mittaamisessa ei välttämättä ole kuitenkaan tietoisuus itsessään, vaan sellaisen mittariston rakentaminen, jonka tuloksista saataisiin maksimaalinen hyöty. TTT-hankkeiden suunnitteluvaiheessa on jo otettava huomioon mittaaminen ja raportointi tulevaisuuden kehitystyötä varten. Raportointi on vitaalia myös johdon sitouttamisen kohdalla, sillä konkreettisilla tuloksilla on huomattavasti helpompi saada resursseja käyttöön myös tulevaisuudessa Suunnittelu Kun koko organisaation laajuista hanketta aletaan suunnitella, on ensin tärkeä saada johdon tuki toiminnalle. Tämän perusteella hankkeelle saadaan niin rahoitus, kuin koko organisaation kattavat resurssit käyttöön. ENISA:n raportin mukaan hankkeen käynnistyttyä, olisi järkevää myös promotoida sitä organisaatiossa jotta kaikki ymmärtäisivät, että johto on sitoutunut hankkeeseen ja se kuuluu osaksi strategiaa. Tämän lisäksi hankkeelle on määriteltävä myös selkeä tarkoitus. Tarkoitus voi yksinkertaisesti tulla vain lakien määräämänä, mutta tämän kohdan pohtiminen hieman syvällisemmin, antaa varmasti lopputuloksena enemmän ulos hankkeesta. Järkevänä tavoitteena TTT:lle ja sen ylläpitämiselle voisi olla myös erilaiset standardit ja laatuluokitukset, joiden avulla organisaation uskottavuutta voidaan asiakkaan silmissä lisätä. Yhtä hyvin erilaiset muutokset organisaatiossa voivat luoda tarpeen TTT-hankkeelle. Esimerkiksi yritysfuusioiden yhteydessä kahden eri organisaatiokulttuurin sulautuessa yhteen on ehkä syytä yhtenäistää toimintatapoja ja varmistua henkilöstön tietoisuudesta. Hankkeen tarpeita määriteltäessä on syytä myös muistaa, että organisaation eri osastoilla on myös eri tarpeita ja jotta resursseista saadaan kaikki mahdollinen irti, tulee sisältö suunnitella vastaamaan yleisön tarpeita. Ennen tarkkaa suunnitelmaa, on tulevaisuuden tavoitetila projisoitava nykyhetkeen ja mietittävä minkälaisen tietoisuuden lisääminen on tarpeen. Tarvetta määriteltäessä suunnittelijan tulee tehdä yhteistyötä myös muiden osastojen välillä. Henkilöstöhallinnosta on saatavissa käsitys henkilöstön nykytilasta, vanhojen hankkeiden perusteella ja taloushallinnosta tarkin tieto käytettävissä olevista taloudellisista resursseista. Suunnittelijan tulee tavoitetilaa hahmoteltaessa ottaa huomioon myös aiemmin käsitellyt erot maiden välillä esimerkiksi lakien suhteen, mikäli kyseessä on monikansallinen organisaatio. Tavoitetilaksi lakien ja organisaation sisäisten tavoitteiden lisäksi voidaan asettaa myös standardien asettamat vaatimukset. Kun suunnittelijalle on selvillä minkälaista tietoisuutta kunkin osalta on kehitettävä, on seuraavaksi vuorossa toteutuksen suunnitteleminen. Hyvin rakennetusta suunnitelmasta on käytävä ilmi seuraavassa esitetyt asiat. Kohderyhmät, sekä kunkin kohderyhmän jäsenet organisaation kaikilla tasoilla. Asianmukaiset viestintäkanavat kunkin kohderyhmän kohdalla ja kuten aiemmin mainittiin, kanavia tulisi aina olla vähintään kaksi. Esimerkkinä tässä voisi olla vaikka workshop ja tähän liittyvän materiaalin jako intranetin kautta. Hankkeen ajoitus vaiheittain. Ajoituksen tulee olla kompromissi infoähkyn ja mielenkiinnon säilyttämisen välillä. Suunniteltujen mittarien asettaminen toiminnan arvioimiseksi ja raportoimiseksi. Suunniteltujen mittarien asettaminen sisällön arvioimiseksi. Ttt-hankkeen suunnitelman valmistuttua, tulee se hyväksyttää vielä ylimmällä johdolla. Asetettujen 59

63 tavoitteiden tulee olla realistisia, mikäli ne jotenkin poikkeavat yleisistä standardeista tai hyvistä käytännöistä. Hankkeen tavoitteiden tulee myös tukea organisaation liiketoiminnallisia tavoitteita Suunnitelman toteutus Itse suunnitelman toteutusvaihe sisältää kokonaisuudessaan kolme osa-aluetta, alustan luominen TTT-hankkeen toteuttamiseksi, resurssien kohdistaminen ja käytännön toteutus. Raportin mukaan vastaavanlaisten organisaation laajuisten hankkeiden käytännön toteutusvaiheen tueksi suositellaan oppimisen hallintajärjestelmän implementointia, jonka avulla hankkeen toteutuksen valvonta ja johtaminen on huomattavasti helpompaa. Tällaisilla järjestelmillä on mahdollista muun muassa tarkkailla työntekijöiden etenemistä TTT-hankkeessa, tuottaa raportteja johdolle, tuottaa tietoa muille yksiköille (esimerkiksi HR), profiloida yksittäisiä henkilöitä ja tätä kautta kustomoida harjoituksia, sekä tietenkin hallita kokonaisuutta. Oppimisen hallintajärjestelmiä suositellaan hankittavaksi suuriin ja monimutkaisiin projekteihin, kuten esimerkiksi monikansallisiin organisaation laajuisiin TTT-hankkeisiin. Resurssien kohdistamisessa tulee miettiä kunkin kustannuspaikan roolia, tärkeyttä, sekä työn määrää hankkeessa. Kaikki edellä mainitut ovat tietenkin suoraan johdettavissa suunnitelmasta, mutta jonkinlaista priorisointia kustannuspaikan kriittisyyden suhteen tulee suorittaa. ENISA:n raportissa esitellään laaja lista eri kustannuspaikoista sekä niiden roolista, tehtävästä, sekä sitoutumisesta hankkeeseen, mutta tämä varmastikin vaihtelee organisaatiokohtaisesti. Toki kaikissa vastaavanlaisissa projekteissa tulee olla hallinto, asiantuntijat ja niin edelleen, mutta näiden roolit voivat hyvinkin vaihdella. Käytännön toteutuksen käynnistäminen on tärkeä vaihe koko hankkeelle, mutta tässäkin hyvällä suunnittelulla on suuri merkitys. Muun muassa seuraavat asiat tulisi huomioida ennen toteutusta: Materiaalin testaus ja tilanteen kenraaliharjoitus. Oppimisen hallintajärjestelmän tarkistus, jotta kaikki tarvittava materiaali on varmasti saatavissa ja henkilöprofiilit on luotu. Toteutuksen vaiheistusta tulee harkita (organisaation koosta riippuen) Mikäli toteutuksen vaiheistus suoritetaan, ensisijaisiksi tulee laittaa henkilöt, joiden TTT luokitellaan tärkeimmäksi. Hankkeen monikielisyyttä tulee harkita monikansallisissa organisaatioissa. Toteutuksen aloitusajankohta tulee sijoittaa siten, että muut tekijät eivät häiritse viestiä. Mikäli hankkeessa on organisaation ulkopuolisia tahoja, tulee varmistua siitä, että myös heillä on tarvittavat resurssit hankkeen läpiviemiseksi. Kun toteutus on harjoiteltu, materiaalit testattu ja kaikki on valmiina, hankkeen onnistumiselle on luotu hyvä pohja. Poikkeuksien varalle on hyvä myös miettiä suunnitelmia ainakin jollain tasolla, mutta viimeistään käytännön kokemus varmasti tässäkin asiassa opettaa Mittaus ja kehitys Erilaisten mittareiden merkityksestä puhuttiin jo aiemmin, mutta seuraavaksi käsitellään tarkemmin, kuinka mittarit tulisi asettaa. Hankkeen arviointia ei tulisi missään nimessä aliarvioida, sillä sen avulla saadaan arvokasta tietoa hankeen kehittämiseksi muun muassa sisällön tai toteutuksen osalta. Tietoisuuden mittaamisella saadaan puolestaan tietoa hankeen vaikutuksista ja henkilöstön tietoisuuden tasosta. Tuloksia vertailtaessa historiatietoon esimerkiksi menetelmien kehitystä arvioitaessa, tulisi mittareiden pysyä muuttumattomina tai ainakin suhteuttaa tuloksia jossain 60

64 määrin mittareiden muutokseen. Hankkeen onnistumista mitattaessa suositellaan käytettäväksi niin kvalitatiivisia, kun kvantitatiivisiakin mittareita. Yleisenä ohjeena mittareiden asettamiselle voidaan pitää, että kokonaisuudessaan niiden tulisi arvioida hankeen laatua, sisällön asianmukaisuutta, toteutuksen toimivuutta, sekä mittaustulosten hyödynnettävyyttä. Arvioinneilla voidaan hyvin ilmaista organisaation kehitystä TTT:ssa ja tätä kautta kannustaa niin ylintä johtoa, kuin henkilöstöäkin jatkuvaan kehitykseen Yhteenveto Finanssialan yhtenä merkittävimmistä ominaisuuksista voidaan pitää laajaa arkaluontoisten henkilötietojen hallintaa. Tämä asettaa toimialan organisaatioille huomattavia velvollisuuksia ja niiden noudattamista asiakkaiden lisäksi valvoo myös julkishallinto. Erilaiset lait ja toimialakohtaiset toiminnan viitekehykset ovat yleisiä finanssialalla ja niillä on myös käytännön vaikutus jokapäiväiseen toimintaan. Ttt:n osalta, jotta lakien noudattaminen ei jäisi ainoastaan pakotteeksi ylimääräisten kustannusten muodossa, vaan säädökset tulee ottaa selkeästi huomioon jo TTT-hankkeita suunniteltaessa. Parhaassa tapauksessa TTT-lakien noudattaminen voidaan totuttaa standardien ja laatuluokitusten yhteydessä, jolloin myös organisaation uskottavuus asiakkaan silmissä kasvaa. Tämä luku mukaili ENISA:n raporttia Information security awareness in financial organisations, joka toimialan erityispiirteiden kuvaamisen lisäksi antaa varsin konkreettisen viitekehyksen TTThankkeen suunnittelulle ja toteutukselle. Raportti ottaa näkökulmaksi melko suuret organisaatiot, mutta suunnittelun viitekehykset ovat helposti sovellettavissa myös pienempiin ja kansallisella tasolla toimiviin yrityksiin. Raportin sovellettavuuden ja käytännönläheisyyden vuoksi on sitä helppo suositella käytettäväksi lähteenä erilaisissa TTT-hankkeissa finanssialan yrityksissä Lähteet [1] ENISA Information security awareness in financial organisations [WWW]. [Viitattu ]. Saatavissa: 61

65 11 CERT-FI CERT-FI on viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen. [1] CERT-FI ei ole kovinkaan vanha viranomainen. Se perustettiin Viestintäviraston alaisuuteen vuoden 2002 alussa. Tietoturvan parantamisessa CERT-FI on kuitenkin muutamassa vuodessa noussut kansallisesti tärkeään asemaan. Yhteiskuntamme käyttää yhä enemmän tietotekniikkaa, ihmisten kommunikointi on yhä enemmän siirtynyt Internetiin ja Internetistä on tullut yhä vaarallisempi. Lisääntynyt Internetin käyttö on tuonut mukanaan tietoturvaongelmia ja niiden ratkaisemisessa CERT-FI on ollut näkyvästi mukana. Tässä luvussa esitellään Suomen CERT -toimintaa sekä CERT-FI:n historiaa, palveluita, tilastoja ja toiminnan vaikutuksia kansalliseen tietoturvatietoisuuteen CERT-toiminta Ensimmäinen CERT -toimintayksikkö, CERT/CC [2] perustettiin vuonna 1988 Yhdysvaltoihin, kun Morris-niminen mato riehui sen aikaisessa Internetissä. Lyhenne CERT muodostuu englanninkielisistä sanoista Computer Emergency Response Team. CERT-toiminnasta käytetään myös lyhennettä CSIRT, jota Harri Brykin diplomityön mukaan suositellaan käytettäväksi: [3] CERT-sana on kuitenkin yhdysvalloissa sijaitsevan CERT Coordination Centerin rekisteröimä tavaramerkki, jonka vuoksi CSIRT -lyhennettä suositellaan käytettäväksi. CSIRT on lyhenne englanninkielisistä sanoista Computer Security Incident Response Team. CERT- ja CSIRT -toiminnan tarkoitus on ennaltaehkäistä, havainnoida ja ratkaista tietoturvaloukkauksia sekä tiedottaa tietoturvauhista. Monilla eri mailla on oma CERT- tai CSIRT -organisaationsa. Nämä CERT- ja CSIRT -organisaatiot toimivat yhteistyössä erilaisten tietoturvallisuuden keskusjärjestöjen kanssa, kuten ENISA (European Network and Information Security Agency) [4], ECG (European Government CERTs Group) [5], FIRST (Forum of Incident Response and Security Teams) [6] ja TI (Trusted Introducer for CSIRTs in Europe) [7] sekä keskenään. Ne jakavat tietoa tietoturvaloukkauksista ja niihin liittyvistä asioista sekä opastavat käyttäjiä mm. Internetin välityksellä. Tietoturvaloukkauksella tarkoitetaan tilannetta, jossa tietojärjestelmän tietojen käytettävyyttä, eheyttä tai luottamuksellisuutta muutetaan oikeudettomasti. Tietojärjestelmän omistajana on organisaatio, yritys, yhteisö tai yksityinen henkilö. Toisaalta tietoturvaloukkaus voi olla myös tietojärjestelmän toimivuuden tahallista vaikeuttamista tai estämistä. Tietoturvaloukkaukseksi voidaan tulkita myös tilanne, jossa tietojärjestelmiä tai niiden tietoja käytetään ilman lupaa Mikä on CERT-FI? Lyhenteen CERT-FI loppuosa viittaa tietysti Suomeen ja FICORAan eli Suomen Viestintävirastoon. CERT-FI on siis tietoturvaviranomainen, joka on osa Viestintävirastoa, tarkemmin määriteltynä erillinen osa Viestintäviraston Verkot ja turvallisuus -tulosaluetta. [8] Viestintäviraston toiminnan painopisteinä ovat tietoturvallinen yhteiskunta, viestintäverkkojen häiriötön toiminta, toimivat ja tehokkaat viestintämarkkinat sekä kuluttajan aseman turvaaminen. [9] Näistä painopisteistä CERT- FI:n toiminta painottuu tietoturvalliseen yhteiskuntaan sekä viestintäverkkojen häiriöttömään 62

66 toimintaan. Vuoden 2009 alussa CERT-FI -yksikön koko oli noin 11 työntekijää. [10] CERT-FI:n lakisääteiset tehtävät ovat: kerätä tietoa mm. verkko- ja viestintäpalveluihin kohdistuvista tietoturvaloukkauksista ja uhista sekä näiden palvelujen merkittävistä vika- ja häiriötilanteista selvittää mm. verkko- ja viestintäpalveluihin kohdistuvia tietoturvaloukkauksia ja uhkia sekä merkittäviä kyseisten palvelujen vika- ja häiriötilanteita tiedottaa tietoturva-asioista Lakisääteisten tehtävien lisäksi CERT-FI: valvoo myös osaltaan teletoiminnan tietoturvaa sekä yksityisyyden suojaa televiestinnässä. CERT-FI:n tekemä valvonta tähtää ensisijaisesti Suomen yleisten viestintäverkkojen ja viestintäpalvelujen turvallisen ja häiriöttömän toiminnan varmistamiseen sekä yhteiskunnan elintärkeiden toimintojen 1 turvaamiseen. ottaa vastaan ilmoituksia tietoturvaloukkauksista ja niiden uhasta sekä avustaa asiakkaitaan 2 suojautumaan tietoturvaongelmien haitallisia vaikutuksia vastaan. ylläpitää kansallista tietoturvallisuuden tilannekuvaa. Se vastaanottaa ja kerää tietoa tietoturvatilanteeseen vaikuttavista tapahtumista ja ilmiöistä, tietoturvallisuuden tilannekuvan tuottamiseksi. Suomeen ja suomalaisiin kohdistuvasta uhasta tehdään arvio saatujen tietojen pohjalta. Tietoa jaetaan julkisina tiedotteina ja varoituksina, mikäli aihetta ilmenee. Tietoa jaetaan myös kohdennetusti niille, joita asia koskee. julkaisee neljännesvuosittain tietoturvallisuuden tilannekatsauksen. Siinä käsitellään merkittävimmät kansalliseen ja kansainväliseen tietoturvallisuuteen vaikuttaneet tapahtumat ja arvioidaan lähitulevaisuuden näkymiä. Neljäs neljännesvuosikatsaus sisältää kuluneen vuoden tapahtumat yhteenvetona. on ensisijainen suomalainen haavoittuvuuskoordinoija. CERT-FI:n tekemän haavoittuvuuskoordinointityön tarkoituksena on ratkaista haavoittuvuuksia ennaltaehkäisevästi. Ennaltaehkäisevään työhön CERT-FI pyrkii yhteistyössä tärkeimpien suomalaisten valmistajien sekä kotimaisten haavoittuvuustestaajien ja ulkomaisten koordinaattoritahojen kanssa. Nämä yhteistyötahot ovat mm. OUSPG (Oulu University Secure Programming Group) [11], CPNI (Centre for the Protection of National Infrastructure) [12], CERT/CC [2] ja JPCERT (Japan Computer Emergency Response Team) [13]. [14] Lisäksi CERT-FI tekee yhteistyötä EGC:n (European Government CERTs Group) [4], FIRST:n (Forum of Incident Response and Security Teams) [5] ja TI:n (Trusted Introducer for CSIRTs in Europe) [6] kanssa. CERT-FI:n tehtävänä on siis ensisijaisesti tiedottaa tietoturvaan liittyvistä asioista, mutta ensisijaisena haavoittuvuuskoordinoijana CERT-FI tekee myös ennaltaehkäisevää työtä. Erityisasemassa ovat teleyritykset, joille Viestintävirasto on toimintaa valvova ja ohjaava viranomainen. [15] 1 Muun muassa energiayritykset, teollisuus, pankki- ja vakuutusyhtiöt ja valtakunnalliset kauppaketjut. 2 CERT-FI:n asiakkaita ovat kaikki suomalaiset tahot yksityisistä henkilöistä yrityksiin ja hallinnon toimijoihin. Asiakkaita ovat myös organisaatiot, joilla on merkittäviä Suomeen sijoittuneita viestintäverkkoja tai viestintäpalveluja. 63

67 CERT-FI:n historia Siemen CERT-FI:n perustamiselle kylvettiin vuonna 1999, kun Puolustustaloudellinen Suunnittelukunta perusti TIHA -työryhmän selvittämään, kuinka tietojärjestelmien ja tietoliikenteen tietoturva-asiat tulisi tulevaisuudessa Suomessa järjestää. TIHA -työryhmä julkisti vuonna 2000 selvityksen, jonka mukaan CERT -toiminnot tulisi jakaa Sisäasiainministeriön (Poliisi), Liikenneministeriön (Viestintävirasto) ja Kauppa- ja teollisuusministeriön kesken. Vuonna 2001 Talouspoliittinen Ministerivaliokunta teki päätöksen, jonka mukaan Viestintäviraston tulisi vuoden 2001 loppuun mennessä valmistella CERT -toimintojen toteutus, jotta ne voitaisiin panna käytäntöön vuoden 2002 alusta lähtien. Päätöksen mukaisesti CERT-FI aloitti toimintansa vuoden 2002 alussa osana Viestintäviraston tietoturvayksikköä. Tänä päivänä CERT-FI on kuitenkin erillinen yksikkö vuonna 2005 Viestintävirastossa tapahtuneen rakennemuutoksen seurauksena CERT-FI:n palvelut CERT-FI:n tuottamat palvelut ovat tietoturvaloukkausten käsittely, kansallinen tietoturvaturvallisuuden tilannekuva ja haavoittuvuuskoordinointi. Tietoturvaloukkausten käsittely pitää sisällään ilmoitusten vastaanottoa ja käsittelyä sekä käyttäjien neuvontaa. CERT-FI:n nettisivuilla palvelut näkyvät Varoitukset, Tietoturva nyt!, Haavoittuvuudet, Ohjeet ja Katsaukset sivuina Tietoturvaloukkausten käsittely CERT-FI vastaanottaa ilmoituksia tietoturvaloukkauksista ja niiden uhista sekä avustaa asiakkaitaan suojautumaan tietoturvaongelmien haitallisia vaikutuksia vastaan. Ilmoitukset vastaanotetaan ja käsitellään pääsääntöisesti virka-aikana. Keskeisille asiakasorganisaatioille kuten ilmoitusvelvollisille teleyrityksille sekä valikoiduille yhteistyökumppaneille CERT-FI tarjoaa myös ympärivuorokautista päivystyspalvelua. CERT-FI:n nettisivujen mukaan CERT-FI auttaa ja neuvoo erityisesti seuraavissa tapauksissa: [15] tietoturvaloukkausepäilyn tai tietoturvauhan todentaminen tietoturvaongelman laajuuden ja vakavuuden selvittäminen tapahtuman alkuperäisen syyn tai mahdollistajan selvittäminen yhteydenotto muihin tapahtumaan osallisiin yhteydenotto muihin viranomaisten kanssa asioinnissa asianmukaisten tiedotteiden laatiminen tietoturvaongelman vaikutuksen rajaamiseen tähtäävien toimenpiteiden ohjaaminen tietojärjestelmän turvaaminen tunnetuilta tietoturvauhilta jatkotoimenpidesuunnitelman laatiminen Ilmoituksista ja selvitetyistä tapauksista CERT-FI kerää tilastollista aineistoa, jota käytetään soveltuvin osin kansallisen tietoturvallisuuden tilannekuvan tuottamiseen Kansallinen tietoturvallisuuden tilannekuva CERT-FI ylläpitää jatkuvaa kansallisen tietoturvallisuuden tilannekuvapalvelua, joka on saavissa vain suomeksi. Jatkuvan tilannekuvapalvelun tiedoista koostetaan neljännesvuosikatsauksia, jotka ovat saatavissa ruotsiksi ja englanniksi. Neljännesvuosikatsauksien on tarkoitus tarjota yrityksille, yhteisöille ja yksityisille henkilöille tilannekuvaa tietoturvallisuusriskeistä, joiden pohjalta kyseisten tahojen on helpompi arvioida omia haavoittuvuuksiaan. [16] 64

68 Kansallinen tietoturvallisuuden tilannekuva on terminä hieman harhaan johtava. Tilannekuvat ovat todellisuudessa CERT-FI:n julkaisemia varoituksia, tiedotteita ja päivystyspäiväkirjan osia. Varoitukset [17] Varoitukset -kategoriaan sijoittuvat tiedotteet käsittelevät välittömiä toimenpiteitä vaativia haavoittuvuuksia ja uhkia. Varoitustiedotteessa kerrotaan yleisesti haavoittuvuudesta tai uhasta sekä määritellään varoituksen kohderyhmä, haavoittuvuuden ratkaisu- ja rajoitusmahdollisuudet ja lisätiedot aiheesta. Tietoturva nyt! [18] Tietoturva nyt!-kategoria on CERT-FI -yksikön päivystäjän ylläpitämä verkkopäiväkirja, jossa käsitellään ajankohtaisia tietoturvakysymyksiä, kuten ajankohtaiset haavoittuvuudet sekä tietoverkossa havaitut ilmiöt. Haavoittuvuudet [19] Haavoittuvuudet -kategorian tiedotteet eivät vaadi välittömiä toimenpiteitä, mutta tiedotetut haavoittuvuudet ja uhat ovat silti merkittäviä. Havoittuvuustiedotteessa kerrotaan haavoittuvuudesta tai uhasta yleisesti sekä määritellään haavoittunut ohjelmisto, haavoittuvuuden ratkaisu- ja rajoitusmahdollisuudet ja lisätiedot aiheesta. CERT-FI julkaisee edellä mainittuja kategorioita nettisivujensa lisäksi myös RSS -palveluna (Really Simple Syndication) [20], sähköpostijakeluna, maksullisina tekstiviesteinä sekä YLE:n teksti-tvsivuilla (848) [21]. [15] Näiden lisäksi CERT-FI:n nettisivuilta löytyy myös ohjeet kuinka toimia tietoturvaloukkaustilanteessa. [22] Haavoittuvuuskoordinointi Haavoittuvuuskoordinoinnissa CERT-FI toimii haavoittuvuuksien löytäjien, haavoittuvien tuotteiden sekä tuotteiden käyttäjien välimaastossa. Haavoittuvuuskoordinoinnin tarkoitus on helpottaa tiedon välittämistä ja korjausprosessin etenemistä. CERT-FI:n sivujen mukaan haavoittuvuuskoordinointiprosessin vaiheisiin kuuluvat: [15] haavoittuvuuden vakavuuden arviointi tarvittaessa haavoittuvuuden toistaminen ja varmistaminen haavoittuvuuden todellisen vaikutusalueen selvittäminen, koska usein yhdestä ohjelmistosta löydetyt haavoittuvuudet esiintyvät myös muissa ohjelmistoissa tärkeiden haavoittuvuudelle alttiiden suomalaisten ja ulkomaisten toimijoiden identifiointi kommunikaatiokanavan luominen haavoittuvien tuotteiden valmistajiin, sekä jatkuva vuoropuhelu asiakaskunnan, valmistajien ja testaajien välillä ennakkotiedotteet korjauksesta aiemmin identifioiduille toimijoille julkiset tiedotteet ja varoitukset Viranomaisen (CERT-FI) toimiessa haavoittuvuuskoordinoijana haavoittuvuuteen liittyviltä osapuolilta ei tarvitse löytyä resursseja keskinäiseen kommunikointiin, koska viranomainen hoitaa kommunikoinnin. Viranomainen myös varmistaa, että prosessin eteneminen tapahtuu kaikkia osapuolia tyydyttävällä tavalla CERT-FI:n tilastot CERT-FI:n ylläpitämät tilastot perustuvat automaattisen tietoturvaloukkaustapausten käsittelyjärjestelmän sekä CERT-FI -yksikön tapahtumahallintajärjestelmän tuottamiin tietoihin. 65

69 CERT-FI on tehnyt tilastoja perustamisvuodestaan 2002 asti. Vuonna 2006 CERT-FI otti käyttöön Autoreporter -nimisen automaattisen haittaohjelma- ja tietoturvaloukkaushavaintoja rekisteröivän palvelun. [23] Automaattiset haittaohjelma- ja tietoturvaloukkaushavainnot Kuvaajista näkee kuinka vuoden 2006 alussa suomalaiset laajakaistaverkot olivat pullollaan haittaohjelmia, mutta varsin nopeasti haittaohjelmien määrä putosi alle puoleen kahdessa vuodessa. CERT-FI:n nettisivujen mukaan keskeisessä roolissa olivat suomalaiset teleyritykset, jotka pääsääntöisesti reagoivat nopeasti ja tehokkaasti tietoonsa tulleisiin tietoturvaloukkausilmoituksiin. Kuva : Haittaohjelmahavainnot suhteutettuna laajakaista-asiakkaitten määrään näyttävät olevan loivassa laskussa. [23] 66

70 Kuva : Botnet -tyyppisten haittaohjelmien osuus vuonna 2007 oli kolme neljäsosaa kaikista havainnoista kun niitä edellisvuonna oli kaksi kolmannesta. [23] Kuva : Havaintojen lukumäärä vaihtelee voimakkaasti päivittäin. [23] 67

71 Kuva : Botnet -tyyppisten haittaohjelmahavaintojen määrä vaihtelee kausittain. [23] Kuva : Laajakaistaliittymien määrä kasvaa lähes lineaarisesti, haittaohjelmahavainnot ovat loivassa laskussa. [23] Yhteydenotot Kuvaa tarkastelemalla voi nähdä kahden viime vuoden tietoturvauhkien ja -loukkausten määrän hurjan kasvun vaikutukset yhteydenottojen määrään. Kuvasta huomaa myös, että neljäs vuosineljännes on ollut vuodesta toiseen kiireisintä aikaa. Taulukko myös vahvistaa, että nimenomaan haittaohjelmien määrän räjähdysmäinen kasvu on ollut syypää yhteydenottojen rajulle lisääntymiselle. 68

72 Kuva : CERT-FI yhteydenotot vuosineljänneksittäin. [24] Taulukko : CERT-FI yhteydenotot. [24] Taulukko : CERT-FI yhteydenotot nimikkeittäin. [24] 69

73 11.4 CERT-FI:n vaikutus kansalliseen tietoturvatietoisuuteen Pian CERT-FI:n perustamisen jälkeen vuonna 2003 julkaistiin periaatepäätös kansallisesta tietoturvastrategiasta. Yksi strategian tärkeimpiä tavoitteita oli lisätä kansalaisten tietoturvatietoisuutta. Tietoturvatietoisuuden lisäämiseksi perustettiin erilaisia hankkeita, kuten Tietoturvapäivät, Roskapostipaketti, Tietoturvaopas, Tietoturvakoulu, LUOTI- ja VAHTI-ohjeistot. [25] CERT-FI on tuonut oman panoksensa tietoturvatietoisuuden lisäämiseen, varsinkin yrityksien, yhteisöjen ja organisaatioiden osalta. Näiden tahojen kautta CERT-FI on myös tavoittanut epäsuorasti yksityisiä käyttäjiä. Mutta varsinkin viime vuosina CERT-FI on tavoittanut yksityiset käyttäjät entistä paremmin, kun tärkeimmät tietoturvatiedotteet ovat saaneet kansallista näkyvyyttä valtamedioissa. CERT-FI:n tilastoista näkee, että CERT-FI:n luomalla kansallisella tietoturvallisuuden tilannekuvalla on ollut myös suuri vaikutus. Esimerkiksi kuvassa , vuosien aikana laajakaistaliittymien lisääntyessä, tartuntojen määrä on selkeästi vähentynyt. Myös taulukossa listatuista yhteydenottojen määrästä on nähtävissä, että tietoturvatietoisuus on lisääntynyt heti CERT-FI:n toiminnan alettua. Tietoturvatietoisuuden lisääntyminen näkyy niin haittaohjelmien kuin tietomurtojen tunnistamisessa (taulukko ). Kaikkea kunniaa ei tietenkään voi antaa CERT-FI:lle, koska osa kuuluu myös samoihin aikoihin aloitetuille hankkeille. Silti CERT-FI:n vaikutusta ei voi vähätelläkään. CERT-FI on myös saanut tunnustusta toiminnastaan. Vuonna 2005 Liikenne- ja viestintäministeriö toteaa raportissaan valtioneuvostolle: [26] CERT-Fi on onnistunut reagoimaan tietoturvallisuuden kannalta kriittisiin tapahtumiin lyhyimmässä mahdollisessa ajassa ja tiedottamaan uhkista ja niiltä suojautumisesta kuluttajille, palvelun tarjoajille sekä haavoittumisille alttiille organisaatioille. Vuonna 2007 Viestintäministeri Suvi Lindén korostaa CERT-FI:n tärkeyttä sanomalla Tietoturvatapahtumassa pitämässään puheessa: [27] Tietoturvapäivän lisäksi kansallinen tietoturvastrategia on nostanut Viestintäviraston CERT- FI -yksikön keskeiseksi kansalliseksi tietoturvatoimijaksi. Näiden kahden korkean tahon tunnustuksen lisäksi, CERT-FI:n hyvästä toiminnasta ja saavutuksista on mainintoja useissa tietoturvallisuusalan lehtien ja nettisivujen kolumneissa. Tältä pohjalta voidaan sanoa, että CERT-FI on ollut lähes perustamisestaan lähtien keskeisellä paikalla luotaessa parempaa tietoturvatietoisuutta Lähteet [1] CERT-FI Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [2] Computer Emergency Response Team Coordination Center Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [3] Harri Bryk Eräiden kansallisten tietoturvaloukkauksia käsittelevien yksiköiden toiminnan vertailu ja hyvien käytäntöjen soveltaminen Viestintävirastossa. [Viitattu ]. [4] European Network and Information Security Agency Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [5] European Government CERTs group Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [6] Forum of Incident Response and Security Teams Verkkosivut [WWW]. [Viitattu 70

74 ]. Saatavissa: [7] Trusted Introducer for CSIRTs in Europe Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [8] Viestintävirasto Organisaatio [WWW]. [Viitattu ]. Saatavissa: [9] Viestintävirasto Esittely [WWW]. [Viitattu ]. Saatavissa: [10] Viestintävirasto CERT-FI:n yhteystiedot [WWW]. [Viitattu ]. Saatavissa: [11] Oulu University Secure Programming Group [WWW]. [Viitattu ]. Saatavissa: [12] Centre for the Protection of National Infrastructure Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [13] Japan Computer Emergency Response Team Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [14] CERT-FI Toiminnan esittely [WWW]. [Viitattu ]. Saatavissa: [15] CERT-FI Palvelukuvaus [WWW]. [Viitattu ]. Saatavissa: [16] CERT-FI Katsaukset [WWW]. [Viitattu ]. Saatavissa: [17] CERT-FI Varoitukset [WWW]. [Viitattu ]. Saatavissa: [18] CERT-FI Tietoturva nyt! [WWW]. [Viitattu ]. Saatavissa: [19] CERT-FI Haavoittuvuudet [WWW]. [Viitattu ]. Saatavissa: [20] CERT-FI Ohjeet [WWW]. [Viitattu ]. Saatavissa: [21] World Wide Web Consortium RSS 2.0 Specification [WWW]. [Viitattu ]. Saatavissa: [22] Yle Ylen Teksti-tv:n sivu 848 [WWW]. [Viitattu ]. Saatavissa: [23] CERT-FI Autoreporter -tilastot [WWW]. [Viitattu ]. Saatavissa: [24] CERT-FI Yhteydenottotilastot [WWW]. [Viitattu ]. Saatavissa: [25] Liikenne- ja viestintäministeriö Kansallinen tietoturvallisuusstrategia [WWW]. [Viitattu ]. Saatavissa: id=180 [26] Liikenne- ja viestintäministeriö Turvalliseen tietoyhteiskuntaan [WWW]. [Viitattu ]. Saatavissa: 71

75 [27] Liikenne- ja viestintäministeriö Viestintäministeri Lindénin puhe Tietoturvatapahtumassa 2008 [WWW]. [Viitattu ]. Saatavissa: 72

76 12 BSI, Saksan tietoturvavirasto Tämän luvun tarkoituksena on tutustua BSI:n toimintaperiaatteisiin ja sen antiin suomalaisille. Tavoitteena on kertoa miten BSI voi lisätä suomalaisilla tietoturvatietoisuutta. Luku perustuu suurimmaksi osaksi sivustolta löytyviin tietoihin Johdanto BSI tulee sanoista Bundesamt für Sicherhet in der Informationstechnik (Federal Office for Information Security). Se on Saksan hallituksen alaisena toimiva organisaatio, jonka tavoitteena on turvata informaatioteknologiaan (IT) liittyviä uhkia ja riskejä. BSI tekee IT-turvallisuuteen liittyviä tutkimuksia ja se raportoi löytämistään riskeistä ja uhista sekä etsii mahdollisia ratkaisuvaihtoehtoja niihin. BSI mainostaakin itseään olevan korvaamaton organisaatio Saksan sisäisen tietoturvallisuuden kannalta. Se valvoo niin valmistajia, jakelijoita kuin IT-tuotteiden käyttäjiäkin. Lisäksi se analysoi IT:n kehitystä ja trendejä. BSI:n organisaatiota on tarkemmin käsitelty luvussa 1.2. BSI tarjoaa palveluita ja tuotteita, jotka on tarkoitettu sekä IT-tuotteiden käyttäjille, että valmistajille. Luvussa 1.3 on tarkemmin perehdytty näihin toimintoihin. BSI:n antia suomalaisten näkökulmasta on tarkasteltu erikseen luvussa BSI organisaationa BSI:ssä työskentelee noin 380 ihmistä, joista pääosa on tutkijoita, fyysikkoja, insinöörejä ja matemaatikkoja. BSI on organisaationa jaettu neljään eri osastoon (1,2,3 ja Z), jossa kullakin on omat vastuualueensa. Lisäksi osastot jakautuvat vielä eri divisiooniin. Organisaatioon kuuluu myös oma IT henkilöstö, jonka vastuulla on luonnollisesti huolehtia sisäisistä IT-operaatioista ja niiden suunnittelusta. Seuraavissa aliluvuissa on käsitelty erikseen kutakin organisaation osastoa, divisioonaa ja niiden eri vastuualueita Osasto Z Osasto Z on keskitetty ( zentral ), kaikille osastoille yhteinen osasto, jonka päätoimenkuvana on niiden hallinto. Sen vastuulla ovat lisäksi henkilöstöhallinto, projektinhallinta, talousasioiden hoito ja lukuisat sisäiset palvelut Osasto 1 Osasto 1 koostuu divisioonista 11 ja 12. Divisioona 11 vastaa muun muassa turvallisuussovelluksista, ohjelmistojen turvallisuudesta, turvallisuuskonsultoinnista ja IT-turvallisuuden hallinnosta. Tämän divisioonan tavoitteena on turvata sähköinen kommunikaatio julkishallinnon, kansalaisten ja yritysten välillä. Divisioona 12 vastaa Saksan kriittisestä infrastruktuurista ja Internetiin liittyvistä asioista. Kriittiseksi infrastruktuuriksi määritellään energia, liikenne, kuljetus, vaaralliset materiaalit, IT ja telekommunikaatio, pankki-, vakuutus- ja rahoitukseen liittyvät järjestelmät, toimitusverkot (erityisesti ruoan ja veden toimitus) sekä viranomaisten järjestelmät. Divisioona 12 toimii Saksan kansallisena CERT:inä. Divisioonan toimintaan kuuluvat muun muassa Internet turvallisuus, ITturvallisuus käyttöjärjestelmissä sekä puolustus Internet-hyökkäyksiä vastaan. Käytännössä tämä divisioona analysoi sekä arvioi protokollien, Internet-sovellusten sekä erilaisten julkisten tietoverkkojen turvallisuuksia. CERT -tiimi myös informoi kansalaisia ilmenneistä uhista sekä 73

77 tarvittavista turvatoimenpiteistä. Käytännössä BSI:n CERT -tiimistä käytetään nimitystä CERT- Bund ja sen toiminnasta on saatavilla tietoa saksaksi osoitteessa CERT-Bundissa työskentelee 10 henkilöä, joista yksi on ryhmänvetäjä, yksi on sihteeri, kolme on vanhempaa asiantuntijaa sekä viisi on tietoturvaasiantuntijoita. [2] CERT-Bundin konkreettisesta toiminnasta on vaikea saada tietoa, koska kaikki siihen liittyvä materiaali on saksankielistä Osasto 2 Osasto 2 koostuu divisioonasta 21 ja 22. Kryptografia muodostaa keskeisimmän osaamisen tällä osastolla. Vahvat kryptografiset mekanismit ja turvalliset protokollat, jotka ylläpitävät luottamuksellisuutta, tarjoavat eheyttä sekä autenttisuutta ovat avainasemassa suojaamaan järjestelmiä. Osasto 2 arvioi omia tai kolmannen osapuolen kryptografisia proseduureja sertifioidessaan IT-järjestelmiä sekä antaa vinkkejä niiden turvalliseen käyttöön. Divisioona 21 vastaa kryptografiaan liittyvistä teknologioista. Se suunnittelee, tekee prototyyppejä, kehittää ja arvioi päivittäin kryptografisia järjestelmiä ja komponentteja. Tarkoituksena osastolla on luoda laitteita ja järjestelmiä, jotka mahdollistavat luotettavan ja turvallisen IT-laitteiden käytön. Yksi päätehtävistä tällä osastolla on suunnitella arkkitehtuuri, jonka avulla tietokoneet voivat turvallisesti kommunikoida keskenään Internetin kautta. Divisioona 22 vastaa salakuuntelulta suojautumiseen. Tämä divisioona kehittää ja ottaa käyttöön teknisiä suojalaitteita, joilla luottamuksellista tietoa voidaan turvata. Osaston tehtäviin kuuluu myös tutkia IT-laitteiden säteily turvallisuus, siten että niitä ei pystyttäisi esimerkiksi elektromagneettisesti häiritsemään (elektromagnetic jam) Osasto 3 Osasto 3 koostuu divisioonista 31 ja 32. Osaston viimeaikaisimmat aktiviteetit liittyvät biometrisiin teknologioihin kuten biopasseihin ja henkilökortteihin. Osaston saamat tulokset vaikuttavat merkittävästä kansallisesti käyttöön otettaviin hankkeisiin, kuten biopasseihin tai elektronisiin sairausvakuutuskortteihin.. Myös näihin liittyvien laitteiden valmistajat saavat tutkimuksista arvokasta tietoa, jota voi hyödyntää tuotekehityksessä. Divisioona 31 vastaa uusista teknologioista ja yhteensopivuuksista. Se havainnoi ja arvioi uusia teknologioita tietoturvallisuuden alueella. Divisioona 32 vastaa PR-sertifioinneista, hyväksynnästä ja yhteensopivuustesteistä. Lisäksi vastuualueelle kuuluvat valtuutus sekä laadunhallinta ja -johtaminen. Divisioona myös kehittää arviointistandardeja Palvelut Tässä luvussa perehdytään tarkemmin BSI:n palveluihin, joita se tarjoaa niin IT-tuotteiden käyttäjille kuin valmistajillekin. Palvelut muodostavat selkeästi yhden organisaation päätehtävistä Sertifikaatit BSI arvioi IT-laitteita ja ohjelmistoja sekä myöntää niille sertifikaatteja, jos ne läpäisevät testit. BSI käyttää arvioinnin pohjana CC:tä (Common Criteria) tai ITSEC:iä (Information Technology Security Evaluation Criteria). Sertifikaattia voi myös päivittää uusien versioiden tullessa. Sertifikaatin saanut IT-tuote julkaistaan BSI:n sivuilla osoitteessa Heidän sivuilla on myös tieto tuotteista, joiden arviointiprosessi on juuri käynnissä. Sertifikaatista 74

78 käy ilmi vähintään neljä perusasiaa: tuotteen turvallisuuskäyttäytyminen vihamielisessä ympäristössä, vakuus tuotteen turvatasosta, vaatimukset asennukseen ja käyttöympäristöön, tuotteen luontaiset haavoittuvuudet sekä keinot niiden haavoittuvuuksien torjumiseen Sertifiointiprosessi Sertifioinnissa on aina kolme osapuolta: hakija, hakijan valitsema arviointilaitos (evaluation facility) ja BSI sertifiointiryhmä (BSI certification body). Hakija tekee siis sertifioinnista sopimuksen BSI:n ja arviointilaitoksen kanssa. BSI lisensoi erilaisia arviointilaitoksia, jotka sitten ovat vastuussa arvioinnista ja sen oikeellisuudesta. Sertifiointiryhmän tehtävänä on valvoa koko sertifiointiprosessia, jotta kaikissa sertifioinneissa käytetään samoja proseduureja sekä metodeja. Sertifiointiprosessi on jaettu kolmeen päävaiheeseen: esitutkimus ja logistiikka, tutkimus sekä sertifiointi. Ensimmäisessä vaiheessa tehdään esitutkimus, jossa määritetään muun muassa projektin tavoitteet ja virstanpylväät. Tässä vaiheessa hakija myös tekee sopimuksen arviointilaitoksen kanssa ja hakija lähettää sertifiointihakemuksen BSI:lle. BSI antaa tämän jälkeen hakijalle hakemuksesta kuitin, jossa näkyy sertifioinnin ID sekä sertifioija BSI:ltä. Jos hakija on hakemuksessa halunnut, niin arvioitava tuote voidaan lisätä tutkittavien laitteiden listalle BSI:n www sivuilla. Tämän jälkeen hakija antaa tutkittavan tuotteen tarvittavine dokumentteineen BSI:lle. Toisessa vaiheessa tutkimuslaitos suorittaa tuotteen teknisen arvioinnin, jonka on noudatettava BSI:n sertifiointiryhmän ohjeistusta. Arvioinnin päätteeksi laitos tekee raportin tutkimuksesta ja antaa sen hakijalle, jos sertifiointiryhmän ohjeistusta oli noudatettu. Kolmannessa vaiheessa sertifiointiryhmä valmistelee loppuraportin ja hakijalle annetaan ilmoitus sertifioinnista. Hakijan hyväksymänä sertifiointi voidaan julkaista BSI:n www sivuilla. Sertifioinnin hinta riippuu tuotteen kompleksisuudesta, tuotteen tyypistä sekä siitä, että minkä vakuuttavuustason sertifikaattia ollaan hakemassa. Kaikki tyypilliset hinnat löytyvät BSI:n sivuilta. Myös arviointilaitokselta voi ennalta pyytää arvion hinnasta CC, ITSEC ja niiden hyöty Common Criteria on IT-tuotteiden tietoturvallisuuden tason määrittely- ja arviointistandardi. Sen ovat kehittäneet useat eri maiden kansalliset turvallisuusorganisaatiot. Usealla kehittyneellä maalla on ollut oma vastaava standardi, mutta CC:n lähtökohtana on ollut kehittää nimenomaan yhteinen, kansainvälinen menettelytapa. ITSEC on puolestaan Euroopan oma standardi. Käyttämällä kansainvälisesti tunnettua standardia saavutetaan paljon hyötyjä. Ensinnäkin kaikki tuntevat kyseisen standardin joten tuotteen vakuuttavuustasosta voidaan olla kansainvälisesti yhtä mieltä. Kansainvälisesti saadaan myös tuotteen arviointikustannus pienemmäksi, kun samaa tuotetta ei tarvitse arvioida useiden eri standardien kautta. Kansainvälisesti tunnustettu standardi avaa ovia myös kansainvälisille markkinoille. Kansainvälinen standardi on myös laadultaan parempi, kun sen laatijoina on paljon eri maita ja ihmisiä. CC on myös saanut korkean hyväksynnän, koska se perustuu ISO -standardiin Sertifioinnin hyödyt käyttäjän näkökannalta Sertifikaatit tarjoavat hyötyjä niin käyttäjälle kuin valmistajallekin. Tarkastellaan asiaa ensin käyttäjän näkökannalta. Sertifikaatin saanut tuote tulee täten ensinnäkin läpinäkyväksi hyökkäyksien ja uhkien näkökannasta. Jokainen uhka ja tuotteen käyttäytyminen niissä on kuvattu yksityiskohtaisesti. Sertifikaatti antaa tietoisuutta siitä, miten vahvasti tuotteen turvallisuusfunktiot puolustautuvat eri hyökkäyksiä vastaan. Sertifikaatin myötä käyttäjä saa myös luottamuksen kyseistä tuotetta kohtaan. Näkökannat kuten luottamuksellisuus, eheys ja saatavuus on testattu tuotteen suunnitteluvaiheesta aina toimitukseen 75

79 asti. Tosin on tietysti toivottavaa, että liika luottamus ei lisää huolimatonta tuotteen käyttöä. Sertifikaatti jakaa tietoa myös tuotteen käyttämiseen, asennukseen ja hallinnointiin. Sertifikaatti antaa tietoa sopivasta toimintaympäristöstä ja tietoa mahdollisista haavoittuvuuksista sekä neuvoja haavoittuvuuksien vaikutukset voidaan estää. Tämä siis edistää TTT:ta nimenomaan kyseiseen tuotteeseen liittyen. Sertifikaatti antaa tietoa myös siitä, että tuote sopii juuri käyttäjän omaan ympäristöön ja käyttötarkoitukseen. Tämä siis antaa tietoa käyttäjälle siitä, että mikä tuote olisi hänelle turvallisin ja sopivin vaihtoehto. [3] Sertifioinnin hyödyt valmistajan näkökannalta Sertifikaatista on paljon hyötyä myös valmistajalle. Ensinnäkin se parantaa kansainvälisiä myyntimahdollisuuksia antamalla ostajalle turvan, että kyseinen tuote on testattu huolella ja todettu turvalliseksi ja siten toimivaksi kuten sertifikaatissa on todettu. Kansainvälisesti tunnistetut ja arvostetut sertifikaatit aukaisevat ovia kansainvälisille markkinoille. Sertifikaatti antaa paljon tietoa myös tuotteen laadusta. Valmistaja voi vaikuttaa siihen, että kuinka syvällinen testaus tuotteelle tehdään. Mitä syvempi testaus, sitä korkeampi vakuuttavuustaso (EAL tai E) on sertifikaattiin saatavissa. Testaus tehdään niin tuotteen suunnitteluun, valmistukseen kuin toimitukseenkin. Valmistaja voi täten saada paljon tietoa miten parantaa tuotetta, tuotantoa tai jakelukanavia. BSI sertifikaatti antaa vakuuttavuutta tuotteelle ja valmistajalle. Erityisesti se vakuuttaa, että valmistaja käyttää hyviä tuotekehitysmenetelmiä tuottaakseen laadukkaita tuotteita. BSI sertifikaatti antaa myös tietoa tuotteen oikeasta käytöstä ja erityisesti siitä, että miten sen turvallisuuteen liittyviä toimintoja käytetään. Tämä vähentää riskiä, että tulee tuotetta tulisi käytettyä väärin. Vahingoittavat tapahtumat voisivat vähentää valmistajan imagoa erityisesti asiakkaan näkökannalta. [4] Varmennepalvelu BSI ylläpitää Saksan juurivarmenteita, varmenteen varmenteita. Kyseiset varmenteet löytyvät heidän www-sivuiltaan. Toiminnan nimenä on CSCA eli Country Signing Certificate Authority IT-Grundschutz Perustietoturvan käsikirja IT-Grundschutz löytyy englanniksi BSI:n www-sivuilta osoitteesta Sen korkeantason tarkoituksena on saavuttaa ITjärjestelmien perustason turvallisuus. Osiosta löytyy helposti omaksuttavia oppaita, jossa kerrotaan muun muassa miten yrityksessä olisi hyvä perustaa ja hallinnoida IT turvallisuutta sekä erilaisia uhkaskenaarioita palomuureihin, langattomaan verkkoon, virtajohtoihin, kaapelointiin, tallennusjärjestelmiin, tulostimiin ja mobiileihin laitteisiin liittyen. Oppaiden tarkoituksena on luonnollisesti lisätä TTT:tä organisaatioissa ja auttaa organisaatioita varautumaan näihin uhkatilanteisiin. Erityisen laajoja ohjeistuksia ovat IT-Grundschutz Catalogues 2005, IT-Security Guidelines ja IT-Grundschutz Profile for small organisation. Niiden avulla on mahdollista suunnitella ja johtaa IT-turvallisuutta koko organisaatiossa. IT-Grundschutzista löytyy myös tietoa BSI suosittelemista standardeista joiden avulla on mahdollista arvioita IT-tuotteiden metodeja, prosesseja, proseduureja sekä mittauksia. BSIstandardeja käytetään antamaan teknistä tukea IT-tuotteiden käyttäjille. Käytännössä www-sivulta löytyy tietoa kolmesta BSI:n suosittelemasta standardista 100-1, ja Jokaisesta näistä on ladattavissa yksityiskohtaiset ohjeet PDF muodossa. 76

80 IT-Grundschutzin www-sivulta löytyy myös GSTOOL (Grundschutz Tool) niminen ohjelmisto, jonka avulla on mahdollista tukea käyttäjiä valmistelemaan, valvomaan ja päivittämään ITturvallisuuteen liittyviä konsepteja, jotka täyttävät IT-Grundschutzin vaatimukset. Kyseessä on maksullinen ohjelmisto, mutta sen 30 päivän ilmainen kokeiluversio on ladattavissa IT- Grundschutzin www-sivulta. IT-Grundschutz myös sertifioi yritysten ja organisaatioiden IT-turvallisuutta. Sertifikaatin avulla on mahdollista tehdä oman organisaation IT-turvallisuustyöstä läpinäkyvää. Tämän on tarkoitus tehdä vaikutus niin asiakkaisiin kuin kumppaneihinkin. Sertifiointi voi tuoda uutta kilpailuetua yritykselle Tiedotteet ja muut tutkimukset BSI julkaisee www-sivuillaan myös tiedotteita ja tutkimuksia tärkeäksi näkemistään aiheista. Sieltä löytyy muun muassa tutkimus IT-turvallisuuden tilanteesta Saksassa vuodelta 2005 ja 2007, vinkkejä turvalliseen Internetin käyttämiseen, vaaroista joihin Internetissä tulee varautua, sekä teknisiä ohjeistuksia biopasseihin liittyen. Osa materiaalista on saksankielistä, mutta erikseen pyytämällä dokumenteista voi saada myös englanninkielisen version BSI:n anti suomalaisille BSI:n sertifioinnista on hyötyä niin suomalaisille kuin muillekin. BSI sertifiointi perustuu kansainvälisesti tunnustettuihin standardeihin, joten ne antavat vakuuttavuutta tuotteen turvallisuudesta sekä käyttäytymisestä vihamielisessä ympäristössä. Niiden avulla suomalaiset saavat myös tietoa, mikä olisi sopiva IT-tuote heidän toimintaympäristöön ja miten sitä tulisi käyttää oikein ja turvallisesti. Eli kaikki käyttäjän näkökulmasta mainitut hyödyt luvussa ovat saavutettavissa myös suomalaisilla. Kuka tahansa voi käydä lukemassa hyväksyttyjä sertifikaatteja BSI:n www-sivuilta ja BSI:n foorumilta. Jos yrityksessä on jo käytössä sertifioituja tuotteita, niin sertifikaattien avulla voidaan edistää yrityksessä olevaa tietoturvatietoisuutta kyseisiin laitteisiin liittyen ja niiden oikeaan käyttöön. Sertifikaateista saa myös IT-ylläpito vinkkejä haavoittuvuuksien poistamiseen. Sertifikaatteja selailemalla ja arvioimalla voidaan huomata, että jokin toinen IT-tuote sopisi paremmin oman yrityksen tarpeisiin. Jos yrityksessä käytetään tai tuotetaan sertifioituja tuotteita, niin se antaa tietysti myös kuvaa toiminnan laadukkuudesta. Erityisesti kansainvälisiä markkinoita ajatellen, nämä asiat voivat olla kynnyskysymys suomalaisen yrityksen menestymiselle. Sertifikaattia voi ilmeisesti hakea kuka tahansa. Joten luvussa kuvatut hyödyt valmistajalle pätevät myös suomalaisiin IT-tuotteiden tai ohjelmistojen valmistajiin. BSI:n www-sivuilla on myös paljon ohjeita ja vinkkejä, jotka voivat lisätä kenen tahansa Internetin käyttäjän TTT:ta. Lisäksi www-sivuilta löytyy hyvälaatuista teknistä tutkimusta liittyen biopasseihin ja kriittisen infrastruktuurin turvaamiseen. Tällaiset tutkimukset voivat olla suomalaisiakin ajatellen erittäin hyödyllisiä, sillä niistä saattaa paljastua monia sellaisia asioita, joita täällä Suomessa ei ole otettu huomioon Yhteenveto BSI on Saksassa toimiva, hallituksen alaisena toimiva organisaatio, joka tekee tutkimuksia ITtuotteiden tietoturvaan liittyen. BSI on organisaationa jakaantunut yhteen keskitettyyn ja kolmeen erikoisosastoon. Jokainen erikoisosasto on jakaantunut kahteen divisioonaan, jotka ovat keskittyneet selkeästi rajattuihin tietoturva-alueisiin. 77

81 BSI:n keskeisin toiminta liittyy tutkimuksen perusteella pitkälti IT-tuotteiden arviointiin ja sertifiointiin. IT-tuotteiden ja järjestelmien sertifioinnista on saatavissa paljon hyötyjä niin käyttäjälle kuin valmistajallekin. Käyttäjän kannalta ajateltuna, sertifiointi antaa tietoa tuotteen käyttäytymisestä vihamielisessä ympäristössä, luottamusta kyseiseen tuotteeseen ja antaa tietoa laitteen oikeaan käyttöön, asentamiseen ja ylläpitämiseen. Lisäksi käyttäjä voi arvioida tuotteen sopivuutta omaan käyttöympäristöönsä. Valmistaja saa sertifioinnissa paljon tietoa tuotteesta. Testien avulla voi paljastua asioita, joiden avulla valmistaja voi kehittää tuotettansa, toimintatapaansa tai jakelukanavia eteenpäin. Sertifioitu tuote antaa myös vakuuttavuutta tuotteelle ja voi vähentää mahdollisia imagon menetyksiä, jos tuotetta on käytetty väärin. Lisäksi BSI julkaisee paljon tutkimuksia ja oppaita tietoturvan lisäämiseen organisaatioissa ja kansalaisissa. Nämä luonnollisesti voivat lisätä TTT:ta organisaatiossa. BSI:n sivuilta löytyy myös biopasseihin liittyviä teknisiä tutkimuksia. Näistä tutkimuksista voi olla paljonkin hyötyä kaikissa niissä maissa, joissa harkitaan tai suunnitellaan vastaavan järjestelmän käyttöönottoa. BSI:n sertifioinnit perustuvat kansainvälisesti tunnustettuihin standardeihin, kuten CC:n ja ITSEC:iin. Kansainvälisesti kehitetty standardi on laadultaan korkeampi, sillä sen määrittelijöitä on ollut useita eri maita, ja sen kehittämisessä on otettu huomioon useita eri näkökulmia. Tällöin Saksassakin sertifioidut tuotteet saavat vakuuttavuutta kansainvälisesti. Tämä varmasti avaa ovia kansainvälisille markkinoille. Edellä mainitut hyödyt ovat täten saavutettavissa kansainvälisesti. Kuka tahansa ja mistä tahansa pääsee lukemaan sertifiointeja ja lisäämään näin TTT:tta kyseiseen tuotteeseen ja sen turvalliseen käyttämiseen. Sertifiointiprosessi ei ole halpa tai aivan yksinkertainen prosessi, mutta siitä on saavutettavissa paljon hyötyjä. Yhteisen ja tunnustetun standardin myötä laitetta ei tarvitse sertifioida joka maassa eri standardien avulla, vaan riittää, että laite on kerran sertifioitu yhdellä tavalla. Tälle raportille asetetut tavoitteet BSI:n toimintaan tutustumiseen ovat täyttyneet kohtuullisen hyvin. Tarkkaa tietoa BSI:n toiminnasta on tosin vaikea saada pelkästään yhden www-lähteen avulla. Tämä luku onnistui myös keräämään tietoa siitä, mitä hyötyä BSI:n toiminnasta on suomalaisia ajatellen Lähteet [1] Federal Office of Information Security. The BSI [WWW]. [Viitattu ]. Saatavissa: [2] Enisa. German Activities [WWW]. [Viitattu ]. Saatavissa: [3] BSI. IT Certificates Information for consumers [WWW]. [Viitattu ]. Saatavissa: [4] BSI. IT Certificates Information for manufacturers [WWW]. [Viitattu ]. Saatavissa: 78

82 13 VAHTI-toiminta ja sen arviointi Tässä luvussa tarkastellaan Valtiovarainministeriön (VM) asettamaa Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) toimintaa ja arvioidaan sen onnistumista tietoturvatietoisuuden edistämisessä. Työn pohjana käytetään VAHTIn julkaisemaa toimintakertomusta vuodelta 2007 [1], koska se tarjoaa laajan kuvan VAHTI-toiminnasta. Työssä joudutaan tyytymään hivenen vanhaan versioon toimintakertomuksesta, koska vuoden 2008 kertomus ei ole vielä työn kirjoittamisen aikaan ilmestynyt. Tarkoituksena on myös viitata muuhun laajaan lähdeaineistoon, jotta aiheeseen saataisiin mahdollisimman monipuolinen katsaus. Teksti käsittelee VAHTI-toiminnan johtoryhmän kokoonpanoa, sen tavoitteita ja tehtäviä. Hieman pohditaan myös VAHTIn julkaisemien ohjeistojen ja tietämysten tasojen kohtaamista sekä kerrotaan, millaisiin tilaisuuksiin ja yhteistoimintaan VAHTI osallistuu. Tekstin lopussa arvioidaan vielä, kuinka onnistunutta sen toiminta on Johtoryhmä VAHTI-johtoryhmä koostui aiemmin puheenjohtajasta, jäsenistä, pysyvistä asiantuntijoista ja VAHTI-sihteeristöstä. Kesäkuun alussa vuonna 2007 ryhmän koostumusta muokattiin siten, että jäsenille nimettiin henkilökohtaiset varajäsenet samoista organisaatioista [1, s. 21]. Tällä toimenpiteellä pyritään luultavasti tehostamaan johtoryhmän toimintaa siten, että kokoontumisissa olisi säännöllisesti kaikista organisaatioista oma edustaja paikalla. Toimenpide johtaa myös siihen, että yksittäisillä organisaatiolla ei ole yhtä useampaa jäsentä jäsenistössä, joka koostuu 20 henkilöstä eri organisaatioista hallinnon eri osista ja tasoilta, kuten ministeriöistä, virastoista ja laitoksista. Uudesta johtoryhmästä on myös poistettu pysyvien asiantuntijoiden rooli sekä vähennetty varsinaisten jäsenten määrää, jolloin mukana olevien organisaatioiden määrä on myös luonnollisesti supistunut. Tällä ratkaisulla haetaan todennäköisesti tehokkuutta ja entistä parempaa sitoutumista toimintaan. Toisaalta organisaatioiden supistaminen toiminnasta kaventaa johtoryhmän erityisasiantuntemuksen laajuutta. Uuden koostumuksen myötä kasvoi myös VAHTI-sihteeristön määrä kuudesta kahdeksaan [1, s. 23]. Sihteeristön määrän kasvattamisella tavoitellaan todennäköisesti yksinkertaisesti toiminnan laajentamista ja vahvistamista, koska sihteerien työmäärä oli aiemmin huomattavasti johtoryhmän työpanosta suurempi kokousvalmisteluissa ja -käsittelyissä. Hankkeet VAHTIssa organisoidaan siten, että mukana on tehtäväalueen edellyttämä hallinnon paras asiantuntemus. Tarvittaessa käytössä on myös elinkeinoelämän ja kuntien asiantuntemusta. [1, s. 24] Lähtökohdat hankkeiden toteuttamiseen ovat siis melko hyvät, koska käytössä on laaja joukko henkilöstöä ja heidän asiantuntemustaan hallinnon eri osista ja tasoilta. Toisaalta vasta tämän uuden VAHTIn myötä on alettu seuraamaan käytettyä henkilötyömäärää, josta ei tosin vielä ole saatu tuloksia julkisesti ilmoitettuna [1, s. 24]. Henkilötyömäärän seuraaminen avittaa taatusti VAHTItoiminnan kehittämistä, koska tulosten avulla kokoonpanoa voidaan muokata tehokkaammaksi lisäämällä toimijoita raskaasti työllistäville sektoreille sekä vähentämällä pienen panoksen tarjoavia toimijoita Tavoitteet ja tehtävät VAHTI julkaisee vuosittain oman toimintasuunnitelmansa, jossa se ilmoittaa omat tavoitteensa ja tehtävänsä seuraavalle toimintakaudelle. Suunnitelmasta löytyy myös vuosineljänneksiin jaettu kaavio, josta on helppo havaita, millaisiin hankkeisiin VAHTI suunnittelee panostavansa vuoden eri aikoina. [2, s. 7] Toimintakautensa aikana saavutetut tavoitteet ja täyttämänsä tehtävät VAHTI esittelee laajempana raporttina omassa toimintakertomuksessaan, josta löytyy toki myös paljon tietoa mm. sen eri hankkeiden vaiheista ja valtionhallinnon tietoturvallisuuden tilasta [1, s.5]. 79

83 Vuonna 2007 VAHTI jatkoi vuosien kehitysohjelmansa mukaista toimintaa keskittymällä asettamiensa tavoitteiden saavuttamiseen. Tavoitteet olivat tietoturvakulttuurin vahvistaminen, valtion tietoturvatyön yleinen tukeminen, turvallinen viestintä ja asianhallinta, peruskäyttäjien tietoturvatyö, palvelujen kehittäjien tietoturvatyö sekä tietoturvavastaavien tuki [1, ss ]. Seuraavissa alaluvuissa käsitellään hivenen tarkemmin tärkeimpien yksittäisten tavoitteiden sisältöjä Tietoturvakulttuurin kehittäminen Eri tahojen tuottama monipuolinen tietoturvakoulutus sekä tulosohjauksen käyttäminen tietoturvallisuuden kehittämiskeinona ovat keskeisiä keinoja luoda tietoturvakulttuuria. Suomen valtionhallinnossa noudatetaan myös OECD:n suosittamia turvallisuuskulttuurin periaatteita sekä pyritään vaikuttamaan aktiivisesti kansainvälisessä tietoturvayhteistyössä [1, s.13]. Tietoturvakulttuurin luominen on pitkäjänteinen prosessi ja keskeinen osa tietoturvatietoisuuden edistämistä. Kulttuurin luomiseksi tarvitaan totta kai aktiivista toimintaa muun muassa erilaisten koulutusten ja yhteistöiden merkeissä. Kansainväliset yhteistyökumppanit Tietoturvahaasteet ovat käytännössä aina kansainvälisiä, minkä vuoksi yhteistyö muiden maiden kanssa on erityisen tärkeää. VAHTI on pyrkinyt aktiivisesti olemaan mukana yhteistyössä kansainvälisessä toiminnassa. Yhteistyökumppaneita ovat olleet muun muassa OECD, Euroopan Unioni sekä sen Euroopan verkko- ja tietoturvavirasto (ENISA), Itämeren- ja pohjoismaiden rekisteriviranomaiset, kansainväliset tietosuojaviranomaiset sekä ASEM (Euroopan ja Aasian maiden järjestö). VAHTIn toimintaa on käsitelty muun muassa OECD:n ja ENISAn verkkosivuilla sekä OECD:n maailmanlaajuisen tietoturvakulttuurin kehittämistä kuvaavassa raportissa. [1, s. 40] Hyödyt kansainvälisestä yhteistyöstä Yhteistyö ja kansainvälinen näkyvyys tarjoavat Suomelle mahdollisuuden esittää omia hyviä toimintatapoja sekä tietoturva-asiantuntemusta maailmalle ja vaihtaa kertyneitä kokemuksia. [3, s. 27] Kokemuksien vaihto yhteisissä kansainvälisissä tapaamisissa on tietämyksen lisääntymisen kannalta erityisen tärkeää, koska erilaisissa vuorovaikutustilanteissa saavutetaan hiljaista tietoa, jota ei tietoturvallisuutta käsittelevistä raporteista tai julkaisuista kyetä saamaan. Kansainvälisessä toiminnassa on tärkeää myös pyrkiä vaikuttamaan niin virallisissa kuin epävirallisissakin yhteyksissä maatamme koskevaan eurooppalaiseen ja kansainväliseen päätöksentekoon, jotta kansallinen kilpailukykymme parantuu. [3, s. 27] Valtionhallinnon tietoturvatyön tukeminen Valtiovarainministeriön tietoturvaohjauksen vahvistamisella pyritään yleisesti tukemaan valtionhallinnon tietoturvatyötä. Toiminnassa keskeisiä ovat VAHTIn toimintaedellytysten turvaaminen, VAHTIn toiminnan vahvistaminen, VAHTI-ohjeiston kehittäminen ja virastojen välisen yhteistyön tukeminen [1, s. 13]. VAHTIn toiminta tietoturvatyössä pitää pystyä todistamaan merkittäväksi, jotta sen toimintaedellytyksenä olevat henkilöt organisaatioineen ja toimintaan tarvittavat taloudelliset resurssit kyetään säilyttämään ja myös tulevaisuudessa kasvattamaan. Toiminnan vahvistaminen on luonnollinen päämäärä, jotta kasvavaan haasteiden lukumäärään kyettäisiin vastaamaan tehokkaasti. Tietoturvatoiminta on myös useilla sektoreilla vielä kovin uusi asia eikä herätä suurta huomiota, minkä vuoksi VAHTIn toiminnan vahvistaminen ja tunnettavuuden lisääminen ovat hyvin ajankohtaisia asioita. Eräs toiminnan vahvistamisen keino on VAHTIn oman tietoturvaohjeiston kehittäminen, jotta se tarjoaisi mahdollisimman kattavan tuen tietoturvakulttuurin kasvattamiselle. VAHTI onkin aktiivisesti kasvattanut ja päivittänyt vuosittain ohjeistokokoelmaansa. Koska resurssit ovat rajalliset, olisi tärkeää, jotta erilaiset virastot ja 80

84 organisaatiot toimisivat tietoturva-asioissa mahdollisimman laajasti yhteistyössä ja näin tukisivat toistensa toimintaa muun muassa erilaisten hankintayhteistöiden merkeissä. VAHTI onkin ollut mukana viemässä erilaisia valtion hallinnon yhteishankkeita päätökseen asti Tietoturvallinen viestintä ja asianhallinta Sähköisen viestinvälityksen sujuvuus ja turvallisuus sekä luotettavat tunnistamismenetelmät ovat tietoturvallisessa viestinnässä ja asianhallinnassa painotuksessa. [1, s. 14] Suuria haasteita aiheuttaa späm eli roskaposti, varmenteiden käyttäminen, tunnistaminen ja oikeuksien hallinta, tietoliikenneverkkojen ja päätelaitteiden tietoturvallisuus sekä asianhallinnan tietoturvallisuus [4, ss ]. Toimenpiteinä roskapostin vastaisessa taistelussa VAHTIlla ovat esimerkiksi vaikuttaminen lainsäädäntöön sekä kansainvälinen yhteistyö. VAHTI on myös luonut yleisohjeen sähköpostien käsittelystä, jotta käyttäjät osaisivat tunnistaa ja käsitellä roskapostia oikein. Varmenteiden käyttöä sähköpostiliikenteessä pidetään VAHTIssa erityisen tärkeänä, koska sen avulla voidaan muun muassa pyrkiä suodattamaan roskapostia. Tämän vuoksi VAHTI on pyrkinyt opastamaan käyttäjiä varmenteiden käyttöönotossa ja varsinaisessa käytössä. Tunnistamisesta on tullut merkittävä haaste viime aikoina esimerkiksi lukuisille palvelun tarjoajille, koska lukuisissa yhteyksissä luotettava käyttäjän tunnistaminen on varsin tärkeää. VAHTI on pohtinut erilaisten tunnistuspalvelujen kehittämistä ja tarjoamista sekä luonut Tunnistaminen -ohjeen käyttäjien avuksi. Tietoliikenneverkkojen ja päätelaitteiden tietoturvallisuuteen VAHTI on kiinnittänyt merkittävästi huomiota, koska mobiililaitteiden ja langattomien lähiverkkojen tietoturvavaatimukset ovat kasvaneet jatkuvasti niiden määrän lisääntyessä. Toimenpiteenä on muodostettu useita VAHTIohjeita, seurattu aktiivisesti tilanteen kehittymistä sekä edistetty laitteiden ja tietoliikenneverkkojen turvallisuutta tietoturvallisuuden tulosohjaksen keinoin, hankintayhteistyöllä ja koulutuksella [4, s. 52]. Asianhallinnan tietoturvallisuudesta VAHTI on myös luonut oman ohjeensa. Ohje on pyrkinyt vähentämään sähköpostin käyttämistä asianhallintaan, koska se muun muassa aiheuttaa arkistointiongelmia ja virusvaaraa. [4, s. 53] VAHTI suosittaakin käyttämään varsinaisia asian- ja dokumenttien hallinnanjärjestelmiä Peruskäyttäjien tietoturvatyön tukeminen Koulutus ja turvallisen toimintaympäristön tarjoaminen sekä johdon esimerkki ja kannustus tietoturvallisiin toimintatapoihin ovat tärkeimmässä roolissa peruskäyttäjän tietoturvatyön tukemisessa. [1, s. 14] VAHTI järjestää ja osallistuu toki aktiivisesti erilaisiin tilaisuuksiin ja seminaareihin sekä julkaisee oman tietoturvaohjeistonsa, joiden avulla se pyrkii lisäämään käyttäjien tietoisuutta ja kannustamaan oikeaan toimintaan. Haasteena on kuitenkin se, että organisaatioiden johdon vaikutus peruskäyttäjien toimintaan on todella suuri. Jatkossa VAHTIn tulisi siten kyetä vaikuttamaan organisaatioiden johdon asenteisiin aktiivisemmalla lähestymisellä ja tietoturvan vaikutuksien havainnollistamiseen organisaation toiminnassa, jotta johtoporras tulevaisuudessa toimisi esimerkillisemmin ja kannustavammin tietoturvatyön parissa. VAHTI kokee myös erittäin tärkeäksi seikaksi sen, että tietoturvakoulutusta lisätään peruskouluissa, keskiasteen koulutuksissa ja korkeakouluissa, jotta peruskäyttäjien tietoturvaosaamista ja valmiuksia käyttää tietoturvaratkaisuja kyetään parantamaan [4, s.61]. Useissa kouluissa on opetussuunnitelmaan pyritty lisäämään tietoturvallisten toimintamallien opettamista jo hyvinkin nuorille oppilaille. Yhtenä vaihtoehtona tietämyksen luomiseksi peruskouluissa voidaan käyttää muun muassa erilaisia pelejä, joiden kautta oppilaat oppivat toimimaan tietoturvallisesti. 81

85 Palvelujen kehittäjien tietoturvatyön tukeminen Palvelujen kehittäjien tietoturvatyötä pyritään tukemaan siten, että tietoturvallisuus ja yksityisyyden suoja otettaisiin huomioon jo järjestelmien ja palveluiden määrittely- ja suunnitteluvaiheessa [1, s. 14]. Tuen ideana on tarjota merkittäviä taloudellisia säästöjä palvelujen kehittäjille, koska määrittely- ja suunnitteluvaiheessa tehtävät ratkaisut ja muutokset ovat huomattavasti edullisempia ajallisesti ja taloudellisesti kuin niitä myöhemmissä vaiheissa tehtävät lisäykset tai muutokset. VAHTI pyrkii ohjeissaan korostamaan asiakasnäkökulmaa, jotta palveluiden kehittäjät huomioisivat käyttäjien tietoturvatarpeet entistä paremmin Tietoturva- ja tietojärjestelmävastaavien työn tukeminen Yksi tärkeimmistä VAHTIn tehtävistä on tietoturva- ja tietojärjestelmävastaavien työn tukeminen, koska usein tietoturvatyötä tehdään vähäisin resurssein. Joissakin tapauksissa resurssit ovat jopa kohdistettu tietoturvallisuuden kehittämisen sijasta muihin tavoitteisiin [1, s. 14]. Taloudellisten resurssien puutteen lisäksi hyvin yleistä on osaavan henkilöstön puute. Tietoturva- ja tietojärjestelmävastaavien työn tukemiseksi VAHTI on esimerkiksi julkaissut kattavan ohjeiston, jota apuna käyttämällä organisaatioiden henkilöstöä voidaan ohjata kohti korkeampia tietämyksen tasoja. Erilaisten VAHTI-ohjeiden myötä tukea tietoturva- ja tietojärjestelmävastaaville tarjotaan myös ohjelmien versiopäivitysten hallintaan ja jakeluun sekä virustorjunnan ylläpitoon, jotka organisaation toiminnan kannalta ovat elin tärkeitä. Taloudellisen resurssipulan vuoksi tärkeässä roolissa ovat myös erilaiset yhteishankkeet ja hankintayhteistyöt, jolloin kokonaiskustannuksia yleisesti saadaan useimmiten laskettua sekä hyväksi havaittuja käytäntöjä leviämään. Verkottumiseen ja akuutteihin tietoturvaongelmiin ratkaisun saamiseksi mahdollisimman nopeasti VAHTI pyrkii luomaan vahvaan tunnistamiseen perustuvan keskustelupalstan, jolla voidaan käsitellä myös arkaluonteisia asioita [4] VAHTI-ohjeisto ja tietämyksen tasot VAHTI on julkaissut kattavan kokoelman ohjeita, joiden tavoitteena on käsittää kaikki tietoturvallisuuden osa-alueet [5]. Ohjeisto jakautuu yhdeksään eri osa-alueeseen, jotka ovat hallinnollinen tietoturvallisuus, henkilöstö-, fyysinen-, tietoliikenne-, laitteisto-, ohjelmisto-, tietoaineisto-, käyttöturvallisuus sekä ulkoistaminen ja sopimukset [6, s. 8]. Ohjeisiin on mahdollista tutustua veloituksetta joko Valtiovarainministeriön kotisivujen kautta tai tilaamalla painettuja versioita, jotka myös pääsääntöisesti ovat maksuttomia. Automaattisesti ohjeistot jaetaan tutustuttaviksi kaikkiin ministeriöihin, virastoihin ja kuntiin. Ohjeistoa on käännetty sekä ruotsin että englannin kielelle, jotta se olisi suuremman käyttäjäryhmän hyödynnettävissä. Ohjeistoa täydennetään vuosittain muutamilla uusilla ohjeilla sekä päivittämällä vanhoja ohjeistoja ajantasaisempaan muotoon. Seminaariraportin luvussa 8 Tietoturvatietoisuuden lisäämisohjelma (NIST) esiteltiin tietämyksen kolme eri tasoa, jotka olivat tiedostaminen, osaaminen ja ymmärtäminen. Luvussa todettiin myös muun muassa se, että eri henkilöiden koulutusmateriaalin valinnassa on tärkeää huomioida se, mille tietämyksen tasolle koulutettavat pyrkivät [7]. Julkaistua VAHTI-ohjeistoa voidaan hyvin käyttää apuvälineenä henkilöiden tietämyksen eri tasojen saavuttamiseen sekä niiden hyödyntämiseen, koska tarjolla oleva materiaali on sisällöltään todella vaihtelevaa. Tiedostamisen tasolla VAHTIohjeiston materiaali tarjoaa hyvinkin perusteellista tietoa, kuten esimerkiksi tietoturvasanastoa ja laajan kokonaisuuden erilaisia yleisohjeita, joiden avulla on hyvä rakentaa pohjaa tietämykselle. Tästä hyvänä esimerkkinä toimii Henkilöstön tietoturvaohje. Osaamisen tasolla oleville tai sinne pyrkiville henkilöille ohjeisto tarjoaa hyvinkin yksityiskohtaisia aineistoja, joissa käsitellään 82

86 esimerkiksi toimintaa erilaisissa poikkeustilanteissa tai erityisosaamista vaativissa toimissa. Ymmärtämisen eli ylimmän tietämyksen tasolla olevalle henkilölle ohjeiston tarjoama sisältö on todennäköisesti melko tuttua. Kyseisellä tasolla olevat henkilöt kuitenkin useimmissa organisaatioissa jakavat tietämystään myös muille henkilöille muun muassa erilaisissa tietämyksen lisäämisohjelmissa, jolloin hyödynnettävissä on esimerkiksi ohjeistossa saatavilla oleva Tietoturvakouluttajan opas, jotta toiminnasta saadaan mahdollisimman tehokasta Järjestetyt tilaisuudet ja yhteistoiminta VAHTI-päivä eli valtionhallinnon tietoturvallisuuden teemapäivä valtionhallinnon toimijoille järjestetään eri valtionhallinnon organisaatioista koostuvalle henkilöstölle. Vuonna 2007 aiheina tilaisuudessa olivat muun muassa VAHTI-hankkeet, tulevaisuuden turvallisuusuhat, valmisteilla oleva valtion tietoturvallisuusasetus sekä muut ajankohtaiset asiat. VAHTI järjesti myös vaihtuvaaiheisia teemaseminaareja (vuonna 2007 neljä tilaisuutta) sekä VAHTI-hankevetäjien ja VAHTIn johtoryhmän tapaamisen, jonka aiheena oli VAHTIn toiminnan arviointi sekä tulevaisuuden suunnittelu. [1, s. 31] Tilaisuuksien järjestäminen osoittaa, että VAHTI pyrkii aktiivisesti vaikuttamaan hallinnon tietoturvallisuuden kehittämiseen ja ohjaamiseen. Muun muassa VAHTIhankkeiden ja tulevaisuuden turvallisuusuhkien esittely eri valtionhallinnon organisaatioista koostuvalle henkilöstölle tarjoaa heille erinomaisen mahdollisuuden laajentaa omaa tietämystään. VAHTI-toiminnan kehittymistä entistä tehokkaammaksi edistää se, että VAHTIssa keskeisesti mukana olevat ryhmät arvioivat omaa toimintaansa ja pohtivat tulevaisuuttansa. Toki myös ulkopuolinen arviointi toiminnasta olisi kehittymisen kannalta erityisen tärkeää, koska ulkopuolinen taho havaitsee asiat useimmiten hyvinkin erilaisella tavalla. VAHTI-toiminnan näkyvyyden ja sitä kautta hyödyntämisen kasvattamisen kannalta on erityisen tärkeää, että VAHTI osallistuu myös useisiin toisten osapuolten järjestämiin tilaisuuksiin. VAHTIn toimintaa ja sen hankkeita onkin esitelty säännöllisesti useiden valtionhallinnon hankkeiden ja yhteistyöryhmien kokouksissa sekä erilaisten organisaatioiden järjestämissä tilaisuuksissa [1, s. 31]. Esimerkiksi osallistuminen ja oman toiminnan esittely erilaisissa korkeakouluissa sekä yliopistoissa järjestetyissä tilaisuuksissa on hyvinkin tärkeässä asemassa tietoturvatietoisuuden edistämisessä, koska kyseisistä laitoksista kasvaa toimijoita tulevaisuuden peruskäyttäjistä aina alan ammattilaisiin asti. Tärkeää toiminnan kannalta on myös esiintyä kansainvälisissä tilaisuuksissa, koska tietoturvahaasteet ovat lähes poikkeuksetta kansainvälisiä. Esiintyminen kyseisissä tilaisuuksissa helpottaa kansainvälisten kontaktien luomista ja yhteistyön tekemistä heidän kanssaan, jolloin aikaan saadaan myös entistä tehokkaampaa ja laajempaa palvelua kotimaisille toimijoille VAHTI-toiminnan arviointi VAHTI on jatkanut vuosien mukaista toimintaa, jolloin se julkaisi kuusi valtion tietoturvallisuuden kehittämisaluetta. Tarkasteltaessa tuloksia useita vuosia myöhemmin voidaan huomata, että kehitystä kyseisillä alueilla on tapahtunut poikkeuksetta huomattavasti muun muassa VAHTI-ohjeiden kasvaneena määränä ja tietoturvayhteistyöhankkeiden lisääntymisenä. Tietoturvallisuuden tila valtion hallinnossa on parantunut vuosittain. Tästä kertoo muun muassa se, että valtionhallinnossa kerätystä tietoturva- ja tietohallintokyselyistä voidaan havaita kasvava trendi eri tietoturva- ja tietohallintotoimien suorittamisessa [1, s. 36]. VAHTI on osoittanut johtoryhmän ja sihteeristön muutoksilla pyrkivänsä tehostamaan omaa toimintaansa. Osallistumalla ja järjestämällä lukuisia seminaareja ja muita tilaisuuksia VAHTI on osoittanut, että se pyrkii aktiivisesti parantamaan kansallista tietoturvallisuuden tilaa. VAHTI on tunnustuksena työstään saanut vuonna 2006 Tieturin luovuttaman Data Security Award -palkinnon. Palkitsijaraati korosti palkinnosta päätettäessä VAHTIn toiminnan pitkäjänteisyyttä ja kattavuutta, vaikuttavuuden laajuutta sekä pyyteettömyyttä. Raati piti ohjeistoa hyvin kattavana, 83

87 sillä se täyttää niin käyttäjän näkökulman, teknisen tietoturvan, yleisen tietoturvan kuin tietoturvan arvioinnin sekä kehittämisen osa-alueet. Valtionhallintoon keskeisesti suunnatun ohjeistuksen helppo saatavuus ja sovellettavuus myös elinkeinoelämään antoi raadille hyvän kuvan toiminnan vaikuttavuuden laajuudesta. [8] VAHTI-toiminnan arvioinnissa keskeisessä asemassa ovat tietysti myös toiminnan tunnettavuus ja sujuvuus. Yhtenä hyvänä mittarina ovat VAHTIn omat kotisivut, jotka tarjoavat tietoa toiminnasta ja tukea erilaisten tietoturvaohjeiden muodossa. Ulkoasultaan sivut ovat varsin selkeät ja yksinkertaiset käyttää, mutta yksittäisten julkaisujen löytäminen arkistoista saattaa tuottaa ongelmia. Uusia julkaisuja sivuille ilmestyy melko harvoin, parhaimmillaan noin muutaman kerran kuukaudessa. Myös sivujen ylläpidossa voitaisiin toimia hieman tehokkaammin, sillä esimerkiksi tämän työn kirjoittamispäivänä olivat VAHTI-sivut väliaikaisesti poissa käytöstä koko päivän, eikä ainoalta auenneelta sivulta selvinnyt virheilmoituksen lisäksi, miksi tai kuinka pitkään sivut ovat poissa käytöstä. Tunnettavuudeltaan VAHTI-toiminta on hyvin heikkoa, mikä sinällään on harmillista, koska esimerkiksi kattava ohjeisto tarjoaa paljon myös tavalliselle kotikäyttäjälle. VAHTI esittelee toimintaansa toki erilaisissa seminaareissa ja tilaisuuksissa, mutta niiden avulla suuren yleisön tietoisuuteen pääseminen ei ole mahdollista, vaan lähes ainoana keinona on erilaiset ilmoituskampanjat Lähteet [1] VAHTI VAHTIn toimintakertomus vuodelta 2007 [WWW]. [Viitattu ]. Saatavissa: toturvallisuus/ vahtin/vahti1_nettikirja.pdf [2] VAHTI Toimintasuunnitelma vuodelle 2009 [WWW]. [Viitattu ]. Saatavissa: n/vahtin_toimintasuunnitelma_2009.pdf [3] VAHTI Osallistumisesta vaikuttamiseen - valtionhallinnon haasteet kansainvälisessä tietoturvatyössä [WWW]. [Viitattu ]. Saatavissa: toturvallisuus/ vahti1/vahti_1_07.pdf [4] VAHTI Valtionhallinnon tietoturvallisuuden kehitysohjelma [WWW]. [Viitattu ]. Saatavissa: oturvalli suus/70508_fi.pdf [5] Valtiovarainministeriö Voimassa olevat tietoturvaohjeet ja -määräykset [WWW]. [Viitattu ]. Saatavissa: ohjeet_ja_maaraykset/index.jsp [6] Kiviniemi, M Tietoturvakulttuurin kehittäminen [WWW]. [Viitattu ]. Saatavissa: [7] Leppälä, A Tietoturvatietoisuuden lisäämisohjelma NIST SP [WWW]. [Viitattu ]. Saatavissa: 84

88 [8] Tieturi blog Vuoden 2006 Tieturi Data Security Award Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI:lle [WWW]. [ ]. Saatavissa: 85

89 14 Verkkohuijaukset haasteena tietoturvatietoisuuden edistäjille Tässä luvussa käydään läpi millaisia erilaisia huijauksia internetissä nykyään esiintyy ja kuinka niiltä voidaan suojautua. Tämän lisäksi pureudutaan huijauksista erityisesti phishingiin, joka onkin yksi tämän hetken pahimmista yksityisten ihmisten tietoturvaa uhkaavista tekijöistä internetissä. Luvussa kerrotaan myös milloin phishing ilmaantui Suomeen, kuinka CERT-FI tiedottaa Suomessa tapahtuvista phishing-tapauksista ja kuinka CERT-FI yrittää lisätä tietoturvatietoisuutta asian tiimoilta. Lopussa luomme vielä pienen kuvan siitä, millaisia erilaisia teknisiä keinoja phishingin välttämiseksi on kehitetty käyttäjien internet-selaimiin Internetin uhat Internetin yleistyessä myös internetiin liittyvät uhat ovat voimistuneet entisestään. Yleisesti tunnetuimpia uhkia ovat virukset, madot, troijalaiset sekä muut haittaohjelmat. Yleensä nämä leviävät sähköpostin kautta, internetistä ladattavien tiedostojen ja ohjelmien mukana, pikaviestimistä tai käyttöjärjestelmän tietoturva-aukoista. [1] Näitä vastaan ihmiset nykyisin ovatkin varsin hyvin suojautuneet, sillä näiden torjunnassa teknisen tietoturvan ratkaisut ovat varsin toimivia. Palomuuri ja ajan tasalla oleva virustorjuntaohjelmisto estää suurimman haittaohjelmien toimista. Erilaisia internetissä sekä sähköpostin kautta tapahtuvien huijauksien estoon näistä ei kuitenkaan vielä täysin ole. Näiden uhkien torjunnassa suurimmat hyödyt saadaan tiedottamalla ja neuvomalla käyttäjiä, jolloin heidän tietoturvatietoisuutensa lisääntyessä myös suuri osa tulevista uhkista saadaan ennaltaehkäistyä Huijaukset Teknisten tietoturvaratkaisujen kehittyessä erilaiset huijaukset ja tietojenkalastelut ovat muodostumassa merkittävimmiksi yksityisen kuin yritysmaailman tietoturvaongelmaksi. [2] Tietojenkalastelussa eli phishingissä on kyse huijauksesta, jossa yritetään urkkia yleensä tekaistun sähköpostiviestin tai verkkopalvelun välityksellä niin henkilötietoja, pankkitietoja kuin yrityksentietojakin. Phishingissä hyökkääjä ei siis yritä, kuten perinteinen verkkohyökkääjä, saada haltuunsa laitteistoa tai jopa tuhota sitä. [3] Phishingiksi laskettavassa sähköpostissa tai verkkosivussa saattaa tulla vastaan hyvinkin aidon näköinen viesti ja sen lähettäjä voi näyttää olevan esimerkiksi Luottokunta tai oma pankki. Perustapauksessa viestissä kerrotaan esimerkiksi pankin kadottaneen asiakkaan henkilötietoja ja pyydetään lähettämään ne sähköpostilla tai siirtymään viestissä mukana olevasta linkistä suoraan pankin sivulle korjaamaan asia. Sivun osoite sekä itse sivu saattaa näyttää varsin samalta kuin alkuperäinenkin pankin sivu, mutta tarkoitus on vain saada varastettua pahaa aavistamattoman käyttäjän pankkitunnukset tai käyttäjätiedot. Tällaisia viestejä saadessa tai nähdessä täytyykin aina muistaa, etteivät mitkään luotettavat yritykset tai varsinkaan rahoituslaitokset tiedustele henkilötietoja tai tunnuksia sähköpostilla. Lisäksi on muistettava, ettei näihin viesteihin pidä vastata, sillä tämä yleensä tietää vain yhä suurempaa tulvaa roskapostia ja samalla uusia phishingviestejä. Vielä muutama vuosi sitten suomalaisiin kohdistuneet phishing-yritykset monesti epäonnistuivat täysin, sillä viestit sisälsivät niin huonoa suomea etteivät, muutenkin epäileväisenä kansana tunnetut suomalaiset tahtoneet saada viesteistä selvää. Nykyään kuitenkin viestit alkavat muistuttaa varsin virallisia pankkien lähettämiä kirjeitä niin ulkoasultaan kuin kieleltäänkin, joten huijauksiin liittyvän tietoturvatietoisuuden lisääminen on paikallaan. 86

90 Muita yleisiä verkkohuijauksien tapoja phishingin lisäksi ovat erilaiset kiertokirjeet ja nigerialaiskirjeet. Kiertokirje on postijärjestelmiä kuormittava kiertokirje, jossa tavallisesti luvataan jotakin hyvää tapahtuvan kun viestin saanut lähettää kyseisen viestin eteenpäin tietylle määrälle ihmisiä. Nigerialaiskirje on puolestaan huijaus, josta löytyy todella monenlaisia variaatioita. Perusversiossa viestin saajalta pyydetään rahasumman siirtoa, jotta viestin lähettäjä pääsisi käsiksi jättimäiseen omaisuuteensa ja korvaisi käyttäjän teon ruhtinaallisesti. Luvattuja summia on kuitenkin täysin turha odottaa, sillä tämäkin on vain yksi verkkohuijauksen ilmentymä CERT-FI CERT-FI on viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen.[4] CERT-FI siis toimii virallisena tiedottajana ja opastajana Suomessa tietoturvauhkien osalta. Tarkemmin CERT-FI:n toiminta määritellään lainsäädännössä (katso myös esittely tämän raportin luvussa 11). Viime vuosina erilaiset verkkohuijaukset ja erityisesti phishing ovat työllistäneet CERT-FI:n väkeä. Verkkohuijauksien määrä onkin hurjassa kasvussa Phishing Suomessa Suomi välttyi pitkään kotimaan palveluihin liitettävältä phishingiltä, mutta lopulta phishing kuitenkin levisi myös Suomeen. CERT-FI raportoi vuosikatsauksissaan phishingin leviämistä Suomeen seuraavasti: Vuoden 2005 vuosikatsauksessaan CERT-FI kertoo phishing -hyökkäysten rantautuneen Suomeen lokakuussa. [5] Ensimmäisessä aallossa, joka suuntautui suomalaisien verkkopankkien asiakkaille, CERT-FI arvelee olleen vähintään sähköpostiviestiä. Nämä viestit olivat kuitenkin kirjoitettu englanniksi eivätkä Nordean mukaan onnistuneet huijaamaan käyttäjiä. Hieman myöhemmin kuitenkin viestit vaihtuivat tökeröksi suomeksi. Vuonna 2006 CERT-FI kertoi, että sen tietoon oli tullut jo lukuisia aitoja sähköisiä verkkopalveluita jäljitteleviä sivustoja, joilla pyrittiin keräämään käyttäjien tietoja. [6] Myös ensimmäinen suomalaista sivustoja jäljittelevä sivu oli nähnyt päivänvalon, kun Nordea-pankin käyttäjien tunnuksia yritettiin kalastella phishing viestillä. Tänä vuonna (2008) CERT-FI on varoittanut ihmisiä yhteisö-, blogisivustoista sekä keskustelupalstoista uhkina tietovarkauksiin, sillä suositusta web-sisällön hallintaan käytettävistä ohjelmista on löytynyt vakavia haavoittuvuuksia. Tästä johtuen kyseisiä palvelimia on myös valjastettu käytettäväksi phishing -sivustojen alustoiksi. [7] Muutamassa vuodessa phishing sekä sen mukanaan tuomat ongelmat eli henkilö- ja pankkitietovarkaudet kuin myös phishingin lieveilmiöt kuten palvelimiin murtautuminen phishingsivuston käyttöön ovat levinneet Suomeenkin. Esimerkiksi vuonna 2007 Nordean asiakkaita lähestyttiin seuraavanlaisella sähköpostiviestillä [9]: Arvoisa Onlina-Banking jarjestelman kayttaja. Tilien tarkistuksen yhteydessa pyydamme Teidat, vahvistamaan Teidan tilin tietoja ja kooditaulukkoja. Tarkistuksen yhteydessa pyydamme Teidat tayttamaan tilin tarkastuksen taulukon. Tassa taulukossa on tietojen kysely tilille paasya varten, tilin laji ja salasanantaulukon ja Payment Confirmation Codes-taulukon tiedot. Pyydamme tayttamaan tietoja huolellisesti, koska virhe jopa yhdessa kentassa voisi aiheuttaa tilin lukitusta, tilin avaamisen ja kayton seikkojen selvittamista. Lomakkeessa 87

91 annetaan ohjeita kenttien tayttamiseksi. HUOM! Tama tarkistus suoritetaan ainoastaan asiakkaidemme turvallisuude! n tason turvaamiseksi. Toivoen ymmartamykseen ja kannatukseen Teidan puolelta. Kunnioittaen, Hallinto Viestin kielenä oli siis suomi ja se oli osoitettu suoraan Nordean asiakkaille. Kieli oli kuitenkin aika kankeaa ja viesti olikin todennäköisesti vain käännetty jollakin käännöskoneella, johtuen esimerkiksi puuttuvista ääkkösistä. Kielen kankeudesta huolimatta asiakkaat siirtyivät viestissä ollutta linkkiä käyttäen phishing-sivustolle ja noin 20 asiakasta syötti mukisematta verkkopankkitunnuksensa. Näitten asiakkaitten tilit tyhjennettiin ja rahat siirrettiin latvialaisiin pankkeihin. Osa siirroista saatiin kuitenkin peruttua, mutta lopulta kuitenkin 7 siirtoa ei saatu peruttua ja huijareiden käsiin jäi noin euroa. Nordea korvasi asiakkaiden kärsimät tappiot, mutta aikoo harkita toimiaan uudelleen seuraavalla kerralla, mikäli asiakas luovuttaa salasanalistansa ulkopuolisille. [13] CERT-FI:n toimet phishingiä vastaan CERT-FI ei ole jäänyt vain passiivisen raportoijan rooliin phishingin kanssa, vaan se on lähtenyt aktiivisesti lisäämään suomalaisten tietoturvatietoisuutta asian tiimoilta. CERT-FI toimii ylimpänä tiedottajana tietoturvatapauksissa Suomessa ja sen tiedotteet leviävät nopeasti miltei kaikille tietoturvasta uutisoiville sivustoille. CERT-FI on myös julkaissut tiedotteen / ohjeistuksen kuinka phishing-hyökkäyksiltä tulisi suojautua. [8] CERT-FI:n phishing-ohjeen alussa kerrotaan yleisesti phishingistä: kuinka käyttäjä houkutellaan tyypillisesti hyvinkin aidolta näyttävän sähköpostiviestin avulla verkkosivulle, jossa pyydetään syöttämään taloudellisia tietoja kuten verkkopankkitunnuksia, luottokorttitietoja tai henkilötietoja. Lisäksi kerrotaan, että verkkosivu voi näyttää ulkoisesti täysin esimerkiksi rahoituslaitoksen verkkosivuilta. Sivujen kerrotaan kuitenkin olevan todellisuudessa phishing -hyökkääjän käyttöönsä ottamia verkkopalveluita, joiden ainoa tarkoitus on kerätä phishingin kohteeksi joutuneelta käyttäjältä tietoja ja toimittaa nämä tiedot hyökkääjän käsiin. Erityisesti CERT-FI käskee kiinnittämään huomiota seuraaviin asioihin: Rahoituslaitokset eivät koskaan ota asiakkaisiin yhteyttä sähköpostitse kysyäkseen heiltä verkkopankkitunnuksia, luottokorttinumeroita tai muuta luottamuksellista tietoa. Ei pidä luottaa sähköpostissa olevaan lähettäjätietokentän (FROM-kentän) sisältöön. Sähköpostin lähettäjätietokenttä voidaan helposti väärentää vaikkapa muotoon Ei pidä luottaa, että HTML-sähköpostissa tai www-sivustolla olevat linkit johtavat sinne, mitä linkeissä lukee. Nämä huomiot ovatkin varsin toimivia ja yleispäteviä kaikkeen muuhunkin verkkotoimintaan kuin pelkästään phishingiin. Phishingiltä suojautumiseen CERT-FI antaa seuraavia hyvinkin päteviä neuvoja: Älä avaa epäilyttäviä sähköpostiviestejä. Usein viestin tunnistaa epäilyttäväksi jo viestin otsikkotiedoista. Älä koskaan siirry verkkopankin tms. sähköiseen asiointipalveluun sivustolle sähköpostin linkkiä seuraamalla. Suhtaudu suurella varauksella myös www-sivuilla oleviin linkkeihin. 88

92 Turvallisin tapa siirtyä sähköisen asiointipalvelun sivustolle on kirjoittaa itse asiointipalvelun www-sivun osoite selainohjelman osoiteriville tai käyttämällä selaimeen itse määrittelemää pikalinkkiä (bookmark tmv.). Tarkista aina ennen luottamuksellisten tietojen syöttämistä, että olet oikean organisaation sivustoilla, ja että sivustolla käytettään SSL -suojausta. Osoiterivillä olevan osoitteen pitää muodostua pankin domain-nimestä. Sivustolla käytetään SSL-suojausta jos selaimen alareunassa oleva lukko on kiinni ja osoiterivillä oleva osoite alkaa https-tekstillä. Suhtaudu aina riittävällä vakavuudella tilanteisiin, joissa selainohjelmasi antaa varoituksen, ettei palvelimen varmenne täsmää sivuston osoitteen kanssa. Selvitä ennen palvelun käyttöä, mistä selaimen varoitus johtuu. Ota epäilyttävissä tapauksissa yhteyttä organisaatioon, jonka sähköisestä palvelusta on kyse. CERT-FI:n phishing-ohje on hyvin yleispätevä niin yksityiseen kuin yrityskäyttöönkin ja se olisi hyvä lisä esimerkiksi uuden työntekijän tietoturvakoulutuksen yhteydessä. Ohje antaa myös hyvän pohjan vanhemmille opastaa lapsiaan tietoturvallisempaan verkon käyttöön, jolloin tietoturvatietoisuuden lisääminen alkaisi jo pienestä pitäen kevyinä annoksina Apuvälineitä phishingin torjuntaan Phishingin räjähdysmäinen kasvu sekä sen aikaan saama merkittävä taloudellinen menetys rahoituslaitoksille kuin myös maineen lasku verkkokaupalle on johtanut phishingin vastaisten eli anti-phishing työkalujen kehittämisen aloittamiseen. Näiden ohjelmien tarkoitus on siis yrittää tunnistaa phishing-yrityksiä www-sivuilta tai sähköpostiviesteistä, jonka jälkeen käyttäjää varoitetaan phishingistä. Anti-phishing ohjelmat ovat monesti www-selaimeen tai sähköpostiohjelmaan integroitavia työkalupalkkeja tai muita lisäosia, jotka näyttävät esimerkiksi www-sivuston oikean osoitteen, vaikka sitä olisikin yritetty peittää. Joissakin selaimissa kuten Microsoft Internet Explorerissa anti-phishing -työkalupalkki on jo sisällytetty suoraan ohjelmistoon. Seuraavana muutama esimerkki anti-phishing -työkaluista ja hieman niiden toiminnasta sekä yksi yhteisöllinen phishing -tietoutta jakava sivusto. Google Safe Browsing on Mozilla Firefoxille oleva lisäosa, joka varoittaa käyttäjää jos vierailtava sivusto kysyy käyttäjän henkilö- tai pankkitietoja ja väittää olevansa jokin muu sivusto kuin oikeasti on. Google Safe Browsing käyttää huijaussivustojen tunnistukseen omaa mustaa listaansa, käyttäjien ilmoittamia huijaussivustojen listaa sekä automaattisia analyyseja joissa Googlen ohjelmisto vertailee sivuston sisältöä sekä rakennetta tyypillisiin huijaussivustoihin. [10] Lisäksi käyttäjät voivat raportoida Googlelle väärin tulkituista sivustoista. Netcraft Anti-Phishing toolbar on tarkoitettu täysin phishingin estoon, joten sen käyttö on phishingin torjunnassa varsin suoraviivaista ja informatiivista. Työkalupalkissa käyttäjälle vierailtavasta sivustosta näkyy milloin kyseinen sivusto on perustettu, missä maassa kyseinen sivusto sijaitsee oikeasti, sivuston suosio Netcraftin työkalupalkin käyttäjien keskuudessa, ylläpitävän organisaation kotisivu sekä arvio kuinka hyvin sivustoon Netcraftin mielestä voidaan luottaa. [11] Phishtank on yhtiön nimeltä OpenDNS perustama yhteisöllinen sivusto, jossa rekisteröityneet käyttäjät voivat lisätä, verifioida, jäljittää sekä jakaa phishing tietoa eteenpäin. Phishtank ei siis ole varsinaista verkkohuijauksilta suojelua vaan sivuston tarkoituksena on lisätä ihmisten tietoturvatietoisuutta phishingin osalta. Phishtankista löytyvä informaatio myös on ilmaiseksi kenen tahansa saatavilla. [12] 89

93 14.5 Lähteet [1] Tietoturvaopas.fi Opas haittaohjelmista [WWW]. [Viitattu ]. Saatavissa: [2] Tietoturvaopas.fi Opas verkkohuijauksista [WWW]. [Viitattu ]. Saatavissa: [3] Linfeng Li, Helenius Marko (2007) "Usability Evaluation of Anti-phishing Toolbars", Journal in Computer Virology, Springer Verlag France S.A.R.L., ISSN: (print version) ISSN: (electronic version), vol 3, number 2, June 2007, s [4] CERT-FI Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [5] CERT-FI Vuosikatsaus 2005 [WWW]. [Viitattu ]. Saatavissa: [6] CERT-FI Vuosikatsaus 2006 [WWW]. [Viitattu ]. Saatavissa: [7] CERT-FI Tietoturvakatsaus 3/2008 [WWW]. [Viitattu ]. Saatavissa: [8] CERT-FI /2005 Suojautuminen phishing -hyökkäyksiltä [WWW]. [Viitattu ]. Saatavissa: [9] Nettihuijaukset. Blogi-merkintä [WWW]. [Viitattu ]. Saatavissa: [10] Google. Safe Browsing for Firefox FAQ [WWW]. [Viitattu ]. Saatavissa: [11] Netcraft Anti-Phishing Toolbar. Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [12] Phishtank. Verkkosivut [WWW]. [Viitattu ]. Saatavissa: [13] Helenius Marko (2006), "Fighting against Phishing for On-Line Banking - Recommendations and Solutions", In proceedings of the 15th Annual EICAR Conference "Security in the Mobile and Networked World", ISBN: , Gattiker Urs (Ed.), Copenhagen 2006 EICAR e.v, s

94 15 Social engineering Luvaton tunkeutuminen tietojärjestelmään ei aina edellytä tietoverkon kautta tehtyä murtoa, vaan muitakin keinoja käytetään. Taitava hämärämies voi käyttää hyväkseen erilaisia taivuttelu- ja hämäystekniikoita saadakseen varomattoman työntekijän avaamaan pääsyn yrityksen luottamuksellisiin tietoihin. [1] Tällaiselle toiminnalle on englannin kieleen vakiintunut termi social engineering, jolle ei toistaiseksi ole keksitty osuvaa suomennosta. Tässä luvussa käytetään lyhennettä SE. Luvussa määritellään SE tarkemmin ja tarkastellaan sen erilaisia ilmenemismuotoja, minkä jälkeen esitellään tapoja, joiden avulla voidaan suojautua SE:tä vastaan esimerkiksi liikeyrityksessä. Suojatumisosassa käsitellään myös tutkimusta, joka on tehty selvittämään ihmisten suhtautumista SE:hen, ja erilaisten ominaisuuksien vaikutusta asiaan Mitä on social engineering? Social engineering, SE, tarkoittaa kaikkea sitä toimintaa, jolla henkilö voi manipuloida toisia luovuttamaan käyttöönsä tietoja, joiden avulla hän pääsee käsiksi esimerkiksi tietojärjestelmässä sijaitseviin tietoihin ja palveluihin, matkapuhelimeen, rahaan tai jopa henkilöllisyyteen. Tämänkaltaiset hyökkäykset voivat olla yksinkertaisia tai monimutkaisia, ja ne voivat tapahtua kasvotusten, puhelimen välityksellä tai internetin kautta. [2] Tyypillistä SE:lle siis on, että tekniikka on hyökkäyksessä sivuroolissa, ja hyökkääjä pyrkii saavuttamaan päämääränsä ihmisten välisen vuorovaikutuksen kautta, josta on myös johdettu ilmiön nimi. Määritelmässä on myös tärkeä huomata, että SE ei käsitä varsinaista tietojen, rahojen tai henkilöllisyyden varastamista, vaan pelkän toimenpiteen, jolla saadaan haltuun sellainen tieto, esimerkiksi käyttäjätunnus-salasanapari tai luottokorttitiedot, jonka avulla kyseisiä asioita voidaan varastaa. Myös ns. phishing- eli kalasteluhyökkäykset kuuluvat osaltaan SE:hen, ja niistä kerrotaan lisää tämän raportin luvussa 14. Yksi ilmeinen syy SE:n käyttämiseen on se, että se on perinteisiin verkkohyökkäyksiin nähden helppo tapa päästä käsiksi tietoihin [2]. Nykyään useimmat vähänkään kiinnostavat verkot on jo suojattu tehokkailla teknisillä ratkaisuilla, kuten tunkeutumisenhavaitsemis- ja salaustekniikoilla, jotka vaikeuttavat verkkohyökkäysten tekemistä huomattavasti. Usein kuitenkin ihmisnäkökulma unohtuu, ja siinä tapauksessa SE muodostuu pahimmaksi tietoturvaa uhkaavaksi tekijäksi. Usein yrityksiin kohdistuvat SE-hyökkäykset tapahtuvat ulkoapäin, mutta erityisen vaarallisia ovat esim. henkilökunnan keskuudessa tapahtuvat SE-tapaukset, joita on vaikea havaita ja estää [2]. Ulkoapäin tapahtuva hyökkäys voi olla esimerkiksi sellainen, että hyökkääjä tulee yrityksen tiloihin puhelinyhtiön huoltomieheksi pukeutuneena, ja pyytää pääsyä laitetiloihin tarkastamaan rikkoutunutta reititintä. Sisäpuolelta tapahtuva hyökkäys voi puolestaan olla esimerkiksi olkapääsurffailua tai paperiroskien tutkimista kiinnostavien tietojen saamiseksi. Tyypillinen SE-hyökkäysskenaario koostuu usein monesta vaiheesta, ja voi kulkea esim. seuraavasti: ensin hyökkääjä selvittää mahdollisimman paljon tietoa kohdeyrityksestä, esimerkiksi avainhenkilöiden nimet yrityksen henkilöstöhallinnosta. Sen jälkeen hän menee yrityksen toimistotiloihin. Jos ne ovat lukossa, hän teeskentelee hukanneensa avaimen, jolloin joku muu työntekijä varmasti avaa hänelle oven. Jos käytössä on nimilappujärjestelmä, hän väittää hukanneensa oman lappunsa, ja kukaan tuskin ihmettelee mitään. Sen jälkeen hänellä on periaatteessa suora reitti mihin tahansa yrityksen toimistossa olevaan tietoon, jos sitä ei ole erikseen suojattu. Hän voi myös tutkia paperiroskia mielenkiintoisten dokumenttien toivossa, ja yrittää löytää tietokoneen, jonka kautta hän voisi kirjautua yrityksen järjestelmään. Käyttäjätunnukset ja salasanat hän saa esimerkiksi yksinkertaisesti kysymällä niitä muilta työntekijöiltä. [3] Tässä kuvattu tilanne perustuu tositapahtumaan, mutta vaikuttaa lähinnä pahimmalta mahdolliselta tilanteelta. On kuitenkin huomattava, että tutkimus on tehty muutama vuosi sitten, ja kehitystä on ehkä jo tapahtunut. 91

95 Social engineeringin vaikutuskeinot SE perustuu ihmisen perusominaisuuksiin. Näitä perusominaisuuksia ovat luontainen halu auttaa, luottaminen toisiin ihmisiin, ongelmiin joutumisen pelko ja laiskuus.[2] Myös muita vastaavia, SE:tä helpottavia piirteitä voidaan löytää. Nämä neljä ovat kuitenkin useimmiten kyseessä, kun social engineer pyrkii vaikuttamaan kohdehenkilöihinsä. Ihmisten luontainen auttamisen halu auttaa SE-hyökkääjää siten, että hän voi suoraan kysyä apua yrityksen työntekijältä, ja saada heti vastauksen sellaisiinkin asioihin, joita ei pitäisi ulkopuolisille kertoa [2]. Hyökkääjä voi esimerkiksi tekeytyä kohdehenkilönsä esimieheksi, jolloin henkilö haluaa antaa itsestään positiivisen kuvan ja auttaa esimiestä mahdollisimman hyvin, vaatimatta kuitenkaan minkäänlaista taetta henkilöllisyydestä. Tämänlainen lähestymistapa onnistuu esimerkiksi puhelimen välityksellä. Vaikka kyse on auttamisen halusta, ei sillä välttämättä tässä tarkoiteta ihmisen luontaista hyvyyttä, vaan taustalla on muita tekijöitä. Useimmat haluavat omaa urakehitystään tai asemaansa työyhteisössä parantaakseen päästä esimiesten suosioon, ja auttamalla heitä he voivat saavuttaa tavoitteensa. Ihmisten luottamus toisiin ihmisiin auttaa SE-hyökkääjää valehenkilöllisyyden todistamisessa. Ihmiset yleensä uskovat, kun toinen esittäytyy heille. [2] Tämän tosiasian avulla hyökkääjän on helppo tekeytyä vaikkapa huoltomieheksi, ja useimmat kohdeyrityksen työntekijät eivät huomaa mitään epäilyttävää. On tavallista, että huoltoyhtiöiden työntekijät vaihtuvat melko paljonkin, joten uuden henkilön näkeminen oikeanlaisissa varusteissa yrityksen tiloissa ei herätä useinkaan minkäänlaista mielenkiintoa. Suuremmissa yrityksissä ongelma on pahempi, koska siellä useimmat eivät tunnista läheskään kaikkia yrityksen työntekijöitä, ja sosiaalisen insinöörin on vielä helpompi vakuuttaa olevansa se, keneksi hän esittäytyy. Ongelmiin joutumisen pelolla tarkoitetaan tässä yhteydessä sitä, että esimerkiksi yrityksessä johtotason henkilöksi esittäytyvältä henkilöltä ei uskalleta pyytää henkilötodistusta, koska se voisi aiheuttaa turhia ongelmia [2]. Tämä helpottaa hyökkääjän esiintymistä, koska työntekijät eivät uskalla kyseenalaistaa hänen asemaansa, vaan antavat tietonsa käyttöön, jotta eivät vaikuttaisi pikkumaisilta tai hankalilta. Useiden johtajien käyttäytyminen voi olla sellaista, että alaiset eivät halua rasittaa heitä, koska pelkäävät siitä koituvan ongelmia heille itselleen, ja antavat sen takia myös mahdollisten tunkeutujan päästä käsiksi esimerkiksi salaisiin tietoihin. Ihmisten laiskuus sen sijaan helpottaa SE:tä passiivisemmin. Työntekijät voivat esimerkiksi pitää salasanojaan muistilapulla, joka on liimattu näyttöön, koska eivät viitsi opetella sitä ulkoa. [2] Tällaisessa tapauksessa työpisteelle päässyt hyökkääjä saa kuitenkin haluamansa tiedot jopa ilman ihmiskontaktia. Ongelma tuntuisi olevan Suomessakin melko yleinen. Toisaalta tällaiseen tilanteeseen on myös helppo varautua tarkistamalla työntekijöiden työpisteet aika ajoin selkeiden virheiden varalta. Muita tunnettuja vaikutuskeinoja ovat esimerkiksi kiireeseen vetoaminen ja ns. vastapalveluksen vaatiminen. Näistä ensimmäinen tarkoittaa sellaista hyökkäystapaa, jossa hyökkääjä perustelee tarvitsevansa jonkin tiedon nopeasti, koska on kovassa kiireessä, eikä ehdi selitellä tarvetta sen tarkemmin. Näin kohdehenkilö voi mieltää jälleen itsensä hidasteeksi tärkeiden asioiden tiellä, jos hän ei luovuta tietoja. Jälkimmäinen tapa puolestaan tarkoittaa sitä, että hyökkääjä esittää asiansa siten, että on tehnyt jo jonkin palveluksen kohdehenkilölle, esimerkiksi auttanut tätä tietoteknisessä ongelmassa, ja vaatii vastineeksi esimerkiksi salasanatietoja. Näin kohde asetetaan asemaan, jossa on entistä vaikeampi kieltäytyä tietojen antamisesta Social engineeringiltä suojautuminen SE:ltä suojautuminen eroaa tavallisilta tietoturvauhilta suojautumisesta jonkin verran. Se on verrattaen hankalaa, koska suojautumista ei voida tehdä pelkästään laitteiston tai ohjelmiston avulla, 92

96 vaan onnistunut puolustus vaatii tehokkaan tietoturva-arkkitehtuurin, politiikan ja haavoittuvuusanalyysin hyödyntämistä. [2] Tässä luvussa esitellään joitakin keinoja, joita voidaan hyödyntää SE:ltä suojautumisessa. SE:ltä suojautumisessa on kriittisen tärkeää, että jokainen ensinnäkin tietäisi sen olemassaolosta, ja osaisi siten tunnistaa epäilyttävät tilanteet. Tässä auttaa yleinen tietoturvatietoisuuden lisääminen sekä kunnollisen tietoturvapolitiikan laatiminen ja käyttäminen. Toisaalta henkilöstöltä vaaditaan myös rohkeutta toimia politiikkojen mukaisesti, vaikka se tarkoittaisi henkilöllisyystodistusten tarkistamista omilta esimiehiltä. Esimiesten osalta suojautumista voi helpottaa siten, että toimii itse esimerkkinä alaisilleen, eikä esimerkiksi torju itseen kohdistuvia tietoturvatoimenpiteitä, kuten juuri henkilöllisyyden todistamista. Näin esimies voi helpottaa alaistensa tietoturvallista toimimista, kun heidän ei tarvitse pelätä esimiehen reaktiota henkilöllisyystarkastuksissa. Pelkkä hyvä politiikka ei riitä, vaan järkevää olisi luoda myös erillinen politiikka asioista, joita ei voi tapahtua, eli ns. negatiivinen politiikka. Tämä tarkoittaa esimerkiksi, että on hyvä kertoa henkilöstölle siitä, että tietohallinto ei koskaan kysy salasanaa tai käyttäjätunnusta käyttäjiltä. [4] Kun yrityksen työntekijä tietää, että tietohallinto ei kysy salasanaa, hän voi olla varma, että jos joku sitä kysyy, on kyseessä SE-hyökkäys, ja osaa heti torjua sen. Tärkeää on myös osata kohdistaa SE:n ehkäisemiseen tarkoitettua koulutusta sellaisille henkilöille, joiden on työssään oltava asiakas- ja muussa henkilökontaktissa ja pyrittävä tarjoamaan hyvää palvelua. Heidän on osattava tunnistaa mahdolliset hyökkäykset erityisen hyvin, koska usein SEhyökkäykset kohdistuvat juuri tällaisiin henkilöihin. Koulutusten tehoa voidaan lisätä esimerkiksi käytännön tilanteiden harjoittelulla, vaikkapa ulkopuolisen auditoijan toimesta. Yritykseen voidaan suorittaa harjoitusmielessä SE-hyökkäyksiä, joista kohteena olevat henkilöt voivat oppia oikeanlaista käyttäytymistä todellisissa tilanteissa. [4] Todellisten tilanteiden harjoitteleminen on varmasti paras tapa valmistautua SE-hyökkäyksiin, koska siinä henkilöt näkevät ensikädessä, mistä asiassa on kyse. Kun tilannetta on harjoiteltu etukäteen, kohdehenkilöt eivät enää ole mahdollisen oikean hyökkäyksen tapahtuessa täysin huijattavissa,. Ensisijainen ja yksinkertainen käytännön vaihe SE:ltä suojautumisessa on kuitenkin se, että yrityksen tiloissa ei liiku ulkopuolisia henkilöitä, vaan esimerkiksi työntekijät käyttävät tunnistekortteja, ja vierailijat saavat aina saattajan vastaanotosta. Vastaanottovirkailijoiden tulee olla koulutettuja tarkistamaan jokaisen henkilöllisyys, ja olemaan päästämättä yrityksen tiloihin sinne kuulumattomia henkilöitä. [2] Tämä auttaa jo huomattavasti, kun suurin osa tunkeutumisyrityksistä pysähtyy jo vastaanottoon. Toki on tärkeää olla unohtamatta sisäpuolella tapahtuvaa toimintaa ja sen valvomista. Muita keinoja SE:ltä suojautumiseen ovat esimerkiksi henkilöllisyyden tarkistaminen kaikilta tuntemattomilta henkilöiltä, esim. huoltohenkilöstöltä, salasanoihin liittyvät turvamääräykset, ulkoapäin tulevien puheluiden eriyttäminen sisäisistä puheluista ja dokumenttisilppurien käyttäminen arkaluontoisten dokumenttien tuhoamiseksi [2]. Nämä ovat vain esimerkkejä toimenpiteistä, joita voidaan asettaa toimintaan yrityksessä. Yrityksen toimialasta riippuu, minkälaiset keinot ovat juuri kyseisen yrityksen tapauksessa tehokkaimpia, ja mitkä ovat vain turhia hidasteita normaalille työnteolle. Tällaisten asioiden selvittämisessä auttaa muunmuassa tietoturvan haavoittuvuusanalyysi Ihmisten suhtautuminen social engineeringiin SE:tä on viime vuosina tutkittu jonkin verran eri näkökulmista. Workman tutki erilaisia teorioita ihmisen käyttäytymisestä, ja sovelsi niitä SE:hen. Tutkimuksessa hän löysi kahdeksan hypoteesia, jotka pätevät ihmisten suhtautumiseen SE:hen. Varsinaisessa tutkimuksessa selvitettiin, pitävätkö hypoteesit paikkaansa. [5] Tässä luvussa esitellään nämä hypoteesit pääpiirteissään, ja pyritään löytämään keinoja, joilla ne voidaan ottaa huomioon suojauduttaessa SE:ltä. Tutkimus oli siinä 93

97 mielessä onnistunut, että se todisti, että teorian avulla laaditut hypoteesit pitivät lähes poikkeuksetta paikkansa myös SE:stä puhuttaessa. Ensimmäinen hypoteesi on, että ihminen, joka ei koe SE:tä vakavana uhkana, on altis SE:lle muita useammin [5]. Tämä tarkoittaa lähinnä sitä, että ihminen suojautuu luontaisesti sellaista uhkaa vastaan, joka vaikuttaa vakavalta, ja on melko itsestäänselvää yleisestikin uhista puhuttaessa. Tämä ominaispiirre voidaan ottaa huomioon SE:ltä suojautumisessa siten, että tietoturvatietoisuuden lisäämisessä tehdään henkilöstölle selväksi, että SE on vakava uhka, ja kerrotaan esimerkiksi tietovuotojen aiheuttamista ongelmista. Toinen Workmanin esittämä hypoteesi on, että ihminen, joka kokee olevansa haavoittuva SE:lle, osaa välttää sitä paremmin kuin toinen ihminen, joka ei koe olevansa haavoittuva [5]. Tämäkin johtuu yleisestä suhtautumisesta uhkiin. Yleensä ihminen, joka on esimerkiksi ajanut kolarin, osaa jatkossa varoa kolaritilanteita paremmin. Myös SE-hyökkäyksen kohteeksi joutumisesta seuraa siis se, että vastaavanlaisia tilanteita osaa epäillä herkemmin tulevaisuudessa. Tätä tosiasiaa voi olla vaikea ottaa huomioon koulutettaessa henkilöstöä SE:ltä suojautumiseen, mutta sitä voidaan harjoitella esimerkiksi harjoitustilanteiden kautta, joissa henkilöiden tulee tunnistaa hyökkäysyritykset ja toimia oikein esimerkkitilanteissa. Myös ihmisten suhtautuminen vuorovaikutuksiin ja yhteenkuuluvuuteen vaikuttaa todennäköisyyteen altistua SE:lle. Eritasoiset miellyttämishalut oman aseman parantamiseksi sekä luottaminen toisiin ihmisiin helpottaa ihmisen altistumista. Tutkimuksen loput hypoteesit käsittelevät näitä asioita. [5] Tämänlaatuisiin seikkoihin puuttuminen tietoturvatietoisuuden koulutuksilla tai muilla keinoilla on hankalampaa, koska toimintatavat juontavat ihmisen perusluonteesta. Ainoa selkeä keino vaikuttaa tähän on tehdä henkilöstölle selväksi, että tietyt tiedot, kuten käyttäjätunnukset, salasanat ja kulkuoikeudet, ovat sellaisia, että niitä ei missään tapauksessa luovuteta muille, oli kyseessä sitten oma esimies tai ulkopuolinen. Taitava hyökkääjä voi kuitenkin käyttää myös lahjontaa keinona päästä käsiksi tietoihin, ja ihmisen ahneuteen ei tyypillisesti voida vaikuttaa kovinkaan paljon. Tässäkin on oleellista, että henkilöstö tietää, minkälaiset tilanteet ovat epäilyttäviä, ja näin osaavat karsia ainakin karkeat tunkeutumisyritykset pois. Tutkimus osoitti, että SE:ltä suojautumisessa on tärkeää ymmärtää ihmisten käyttäytymistä erilaisissa tilanteissa. Tämänkaltainen tietämys on teoreettisesti jo melko kaukana siitä, mitä normaalisti käsitetään tietoturvaan liittyvänä. Ihmisnäkökulman ottamista mukaan tietoturvan rakentamiseen ei kuitenkaan voi välttää, jos aikoo rakentaa toimivan kulttuurin yritykseen. Myös yksityishenkilöiden tulisi miettiä, miten he voivat valmistaa itseään SE-hyökkäyksien varalle. Hieman erilaista näkökulmaa asiaan tuo paikallisen tietotekniikan alan tapahtuman, Infosecin, Lontoossa vuonna 2003 tekemä kyselytutkimus, jonka mukaan 90 % ihmisistä antaa tietokoneensa salasanan tuntemattomalle, jos saavat vaihdossa tavallisen, halvan kuulakärkikynän. Heistä suurin osa antoi salasanansa suoraan kysyttäessä, ilman erillistä palkintoa. [6] Seuraavana vuonna toteutetun kyselyn mukaan puolestaan 70% ihmisistä antaisi salasanansa suklaapatukkaa vastaan [7]. Nämä tosiasiat ovat vaikuttavat huolestuttavilta, ja kertovat, että tarvetta SE:n vastaiseen koulutukseen löytyy. Jos ihmiset eivät edes tiedosta salasanan merkitystä, ja syytä, miksi se pitäisi pitää salassa muilta, on SE-hyökkääjien melko helppo saada käsiinsä monenlaisia tietoja. SE:ltä suojautuminen tulisi siis aloittaa aivan perusasioista, koska nekään eivät tunnu olevan vielä kunnossa. Toisaalta kyselyjä voidaan kritisoida siitä, että ne eivät tarkistaneet salasanojen oikeellisuuksia, eivätkä esimerkiksi tarkentaneet järjestelmiä, joihin kyseiset salasanat liittyvät. Prosentin ollessa kuitenkin huomattavan suuri voidaan olettaa, että ainakin osa salasanoista oli oikeita. 94

98 15.3 Päätelmät Social engineering on nykypäivänä vakava tietoturvauhka sekä yksityishenkilöille että yrityksille ja valtion laitoksille. Sille ominainen inhimillisten ominaisuuksien hyväksikäyttäminen tietojen saamiseksi voi olla hankalaa eriyttää normaalista toiminnasta, joten ihmisten tulisi olla tietoisia vähintään sen olemassaolosta ja ilmenemismuodoista. Taitavaa hyökkääjää voi olla jopa mahdoton tunnistaa, mutta on myös olemassa monia hyviä käytäntöjä, joiden avulla voidaan varautua siitä, että hyökkääjän työ vähintään vaikeutuu. Yksityishenkilöt voivat parantaa tietämystään asiasta esimerkiksi erilaisten tässäkin raportissa esiteltyjen tietoturvatahojen, kuten CERT-FI:n tiedotteita seuraamalla, ja yrityksien tulisi panostaa tietoturvatietoisuuden kehittämisohjelmiin, joissa henkilöstö voidaan kouluttaa ongelmatilanteiden varalle. On kuitenkin huomattava, että SE:hen varautuminen ei riitä, vaan sen tulisi rakentua toimivan tietojärjestelmien turvallisuuden ohessa. Näin yrityksen, ja myös yksityishenkilön, tiedot ovat parhaiten turvattuja Lähteet [1] Kirves, A. Digitoday Social engineering: Mitä se on? [WWW]. [Viitattu ]. Saatavilla: [2] Peltier, T.R Social Engineering: Concepts and solutions. EDPACS. Vol. 33(8), ss [WWW]. Saatavilla: [3] Granger, S Social engineering fundamentals, part I: Hacker tactics. Securityfocus [WWW]. [Viitattu ]. Saatavilla: [4] Heikkinen, S Social engineering in the world of emerging communication technologies [WWW]. [Viitattu ]. Saatavilla: SocEng.pdf [5] Workman, M Gaining access with social engineering: An empirical study of the threat. Information Systems Security. Vol. 16, ss [6] Leyden, J Office workers give away passwords for a cheap pen [WWW]. [Viitattu ]. Saatavilla: [7] Granneman, S Would you trade your password for chocolate? [WWW]. [Viitattu ]. Saatavilla: 95

99 16 Sähköisen laskunkäsittelyn tietojärjestelmät Tämän luvun tarkoituksena on tutustua sähköisen laskunkäsittelyn tietojärjestelmiin ja havainnoida millaista tietoturvatietoisuutta näihin järjestelmiin liittyen on oleellista olla järjestelmän käyttäjillä ja kehittäjillä sekä millaisia riskejä puutteelliseen tietoisuuteen liittyy Johdanto Sähköinen lasku eli verkkolasku on siis tietojärjestelmillä käsiteltävä lasku. Lasku sopii niin kuluttajalaskuihin, kuin yritystenkin välisiin laskuihin. Paperimuotoiset laskut ovat lähivuosina historiaa ja tilalle tulevat sähköiset laskut. Sähköisillä laskuilla on saavutettavissa monia etuja, sillä niiden avulla käyttäjän näppäilyvirheet vähenevät, käyttäjän näppäilymäärä vähenee, laskun hyväksyntä on entistä nopeampaa, turvallisuus on entistä parempi sekä niiden lähettäminen ja käsittely on entistä tehokkaampaa ja edullisempaa. Lisäksi sähköiset laskut ovat ympäristöystävällisempiä, kuin paperiset versiot. [1] [2] Tässä työssä keskitytään erityisesti sähköisen laskukäsittelyn tietojärjestelmiin, joita on yleisesti käytössä yrityksissä. Tämä luku rakentuu siten, että alussa käydään läpi sähköisen laskunkäsittelyn perusteita, jotta näitä järjestelmiä tuntemattomampikin lukija pystyy sisäistämään asian. Tämän jälkeen työn loppuosio keskittyy erityisesti tarkastelemaan näihin järjestelmiin liittyviä tietoturvaasioita Sähköisen laskun tilanne Suomessa ja tulevat SEPA asiat Suomessa liikkuu arviolta 500 miljoonaa laskua vuodessa. Näistä sähköisten laskujen osuus on arvioitu olevan vuonna 2008 loppuun mennessä 10-20%. Vuosittainen kasvu on ollut huimaa. Asiaa on jouduttanut eteenpäin kansainvälisesti myös SEPA-hanke. Kyseessä on hanke, jossa yhtenäistetään koko euroalueen pankkien välinen maksustandardi. Käytännössä tämä tarkoittaisi alhaisempia ulkomaanmaksuja sekä nopeampaa laskunvälitystä SEPA-maiden välillä. Tällä hetkellä SEPA-alueeseen kuuluu 31 eri maata. [8] 16.3 Sähköisen laskun prosessi Kuluttajilla sähköisiin laskuihin siirtyminen on yksinkertainen prosessi. Kuluttajan tarvitsee vain ilmoittaa omaan pankkiinsa, että hän haluaa vastaanottaa sähköisiä laskuja. Tämän jälkeen kuluttajan on tehtävä ilmoitus laskuttajalle, että hän haluaa vastaanottaa sähköisiä laskuja. Yleensä nämä kummatkin vaiheet tapahtuvat kätevästi oman verkkopankin kautta. Yrityksillä tilanne on monimutkaisempi. Yrityksen on tehtävä ensin sopimus jonkin verkkolaskuoperaattorin kanssa. Näitä ovat muun muassa Itella, Logica, Basware, TietoEnator, Enfo ja useat eri pankit. Tämän jälkeen yrityksen tietojärjestelmistä täytyy muodostaa yhteys operaattorien tietojärjestelmiin, jolla nämä laskut voidaan noutaa tai lähettää operaattoreille. Operaattorit muuttavat aluksi saapuneet laskut omaan sisäiseen muotoonsa ja muuttavat ne sen jälkeen vastaanottajan haluamaan muotoon. Operaattorit voivat yleensä ottaa vastaan niin sähköisiä kuin paperimuotoisiakin laskuja. Paperimuotoiset laskut skannataan ja muutetaan sähköiseen muotoon. Yrityksen on mahdollista myös itse suorittaa ostolaskujen skannaus ja muunto, minkä jälkeen laskuaineisto siirretään omiin tietojärjestelmiin. Kuvassa 1 on esimerkki tyypillisestä myyntilaskun prosessista yrityksissä. 96

100 Kuva 1: Myyntilaskun prosessi 16.4 Sähköisen laskunkäsittelyn tietojärjestelmä ja liittymät muualle Kuluttajaverkkolaskujen ja yritysten verkkolaskut nojautuvat Finvoice-standardiin. Oleellinen ero näiden kahden laskun välillä on se, että kuluttajan laskut jäävät pankkeihin, kun taas yritysten väliset laskut on haettavissa erilaisiin taloushallinnon tietojärjestelmiin.[3] Tämän takia sähköisiä laskunkäsittelyjärjestelmiä onkin mielenkiintoista tarkastella erikseen, sillä niitä on maailmalla lukuisia ja niiden tietoturvaratkaisut voivat olla aivan toista luokkaa, kuin pankeilla. Sähköisen laskunkäsittelyjärjestelmän on tarkoitus automatisoida laskunkäsittelyn prosessia kuten maksatus, kierrätys, tiliöinti, hyväksyntä, täsmäytys sekä arkistointi. Jotta automaatio olisi mahdollista, on järjestelmällä usein liittymät moniin muihinkin tietojärjestelmiin kuten ostoreskontra-, tilaus-, arkistointi- ja ERP-järjestelmiin. Muista tietojärjestelmistä haetaan tiedot muun muassa toimittajista, pankkitileistä, tilikartoista ja tilauksista. Laskun tullessa sähköinen laskunkäsittelyjärjestelmä osaa esimerkiksi tarkastaa automaattisesti löytyykö laskua vastaava tilaus, toimittaja ja oletus tiliöintitiedot. Epäselvissä tapauksissa lasku voidaan laittaa sähköisesti kierrätykseen, jotta laskun oikeellisuus, tiliöinti ja kelpoisuus voidaan tarkastaa eri henkilöiden toimesta. Lopulta hyväksytty lasku voidaan maksattaa, siirtää reskontraan ja arkistoida sähköisesti. [4] Ennen laskun kierrätys on täytynyt hoitaa kopioimalla ja postittamalla paperinen lasku eri henkilöiden välillä. Sähköinen laskunkäsittelyjärjestelmä on siis osittain riippuvainen muista järjestelmistä, jotka siihen liittyvät. Virheellinen tieto niissä voi pahimmillaan johtaa virheellisen laskun hyväksyntään tai väärään tiliöintiin. 97

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

MAAHANMUUTTOVIRASTON Viestintästrategia

MAAHANMUUTTOVIRASTON Viestintästrategia MAAHANMUUTTOVIRASTON Viestintästrategia 2013 2017 Lähtökohta Maahanmuuttoviraston viestintästrategia 2013 2017 pohjautuu valtionhallinnon viestinnälle lainsäädännössä ja ohjeissa annettuihin velvoitteisiin

Lisätiedot

Sosiaalisen median käyttö autokaupassa. Autoalan Keskusliitto ry 3/2012 Yhdessä Aalto Yliopisto, Helsingin kauppakorkeakoulu opiskelijatiimi

Sosiaalisen median käyttö autokaupassa. Autoalan Keskusliitto ry 3/2012 Yhdessä Aalto Yliopisto, Helsingin kauppakorkeakoulu opiskelijatiimi Sosiaalisen median käyttö autokaupassa Autoalan Keskusliitto ry 3/1 Yhdessä Aalto Yliopisto, Helsingin kauppakorkeakoulu opiskelijatiimi Sosiaalinen media suomessa Kaikista suomalaisista yli % on rekisteröitynyt

Lisätiedot

HAKEMUS KKI-KEHITTÄMISHANKKEEKSI

HAKEMUS KKI-KEHITTÄMISHANKKEEKSI HAKEMUS KKI-KEHITTMISHANKKEEKSI TIEDOT HAKIJASTA Hakijayhteisön nimi: Mallilan Yritys Hakijayhteisön rekisteritunnus: 123456-1 Hakijayhteisön osoite: Mallilankuja 11 a 1 Postinumero: 12340 Postitoimipaikka:

Lisätiedot

Yhteisöllisen toimintatavan jalkauttaminen!

Yhteisöllisen toimintatavan jalkauttaminen! Yhteisöllisen toimintatavan jalkauttaminen! Käyttöönoton vaiheet Yrityksen liiketoimintatavoitteet Yhteisöllisen toimintatavan käyttöalueet Työkalut Hyödyt yritykselle Hyödyt ryhmälle Hyödyt itselle Miten

Lisätiedot

Kirsti Kärkkäinen Ideapoiju Oy 5.2.2009

Kirsti Kärkkäinen Ideapoiju Oy 5.2.2009 Kirsti Kärkkäinen Ideapoiju Oy 5.2.2009 Hankkeessa on lukuisia toimijoita: tutkimusorganisaatioita, rahoittajia ja välittäjäorganisaatioita, joiden roolit ja työn tulokset tulee saada sopivalla tavalla

Lisätiedot

Hyvinvointia työstä. Työterveyslaitos www.ttl.fi

Hyvinvointia työstä. Työterveyslaitos www.ttl.fi Hyvinvointia työstä Työhyvinvoinnin tilannekuva - Työnantajan nykyiset tiedot ja taidot toimintaan Rauno Pääkkönen Elina Ravantti Selvityksen tarkoitus ja toteutus Muodostaa käsitys mitä työhyvinvoinnilla

Lisätiedot

Hanketoiminnan vaikuttavuus ja ohjaus 11.9.2013 klo 11.45-12.15

Hanketoiminnan vaikuttavuus ja ohjaus 11.9.2013 klo 11.45-12.15 Ammatillisen peruskoulutuksen valtionavustushankkeiden aloitustilaisuus Hanketoiminnan vaikuttavuus ja ohjaus 11.9.2013 klo 11.45-12.15 Opetusneuvos Leena.Koski@oph.fi www.oph.fi Hankkeen vaikuttavuuden

Lisätiedot

VASTAANOTTOKESKUSTEN ASIAKASPALAUTTEEN YHTEENVETO

VASTAANOTTOKESKUSTEN ASIAKASPALAUTTEEN YHTEENVETO YHTEENVETO 5.9.2013 VASTAANOTTOKESKUSTEN ASIAKASPALAUTTEEN YHTEENVETO Taustaa Aikuisten turvapaikanhakijoiden asiakaspalautekysely järjestettiin 17 vastaanottokeskuksessa loppukeväällä 2013. Vastaajia

Lisätiedot

Uusi Seelanti. katju.holkeri@vm.fi

Uusi Seelanti. katju.holkeri@vm.fi Uusi Seelanti katju.holkeri@vm.fi Tavoite 1 Haluttu työnantaja Varmistaa, että valtionhallinto on työnantajana houkutteleva hyville, sitoutuneille työntekijöille. Tavoite 2 Erinomaiset virkamiehet Luoda

Lisätiedot

Lopullinen versio, syyskuu 2010 Paikallisen ja alueellisen tason kestävää kehitystä koskeva integroitu johtamisjärjestelmä

Lopullinen versio, syyskuu 2010 Paikallisen ja alueellisen tason kestävää kehitystä koskeva integroitu johtamisjärjestelmä Lopullinen versio, syyskuu 2010 Paikallisen ja alueellisen tason kestävää kehitystä koskeva integroitu johtamisjärjestelmä Laajuus Jatkuva laajeneminen sekä maantieteellisesti että sisällön kannalta: Yhdestä

Lisätiedot

IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY

IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY It-päättäjäbarometri 2016 Atean it-päättäjäbarometri toteutettiin kuudetta kertaa huhtikuun 2016 aikana sähköisenä kyselylomakkeena. Kyselyyn vastasi määräaikaan

Lisätiedot

Palvelutoimisto. Prosessit ja ihmiset rokkaamaan yhdessä. itsmf TOP10 @Kalastajatorppa 3.-4.10.2013 Hanna Nyéki-Niemi ja Mika Lindström 3.10.

Palvelutoimisto. Prosessit ja ihmiset rokkaamaan yhdessä. itsmf TOP10 @Kalastajatorppa 3.-4.10.2013 Hanna Nyéki-Niemi ja Mika Lindström 3.10. Palvelutoimisto Prosessit ja ihmiset rokkaamaan yhdessä itsmf TOP10 @Kalastajatorppa 3.-4.10.2013 Hanna Nyéki-Niemi ja Mika Lindström 3.10.2013 Keitä olemme? Mika Lindström Hanna Nyéki-Niemi Ei anneta

Lisätiedot

Potilasturvallisuuden johtaminen ja auditointi

Potilasturvallisuuden johtaminen ja auditointi 1 Potilasturvallisuuden johtaminen ja auditointi Pirjo Berg, Anna Maksimainen & Olli Tolkki 16.11.2010 Potilasturvallisuuden johtaminen ja auditointi Taustaa STM velvoittaa sairaanhoitopiirit laatimaan

Lisätiedot

Asiakastarpeiden merkitys ja perusta. asiakastarpeiden selvittämisen merkitys ja ongelmat asiakastarvekartoitus asiakastarvekartoitustyökaluja

Asiakastarpeiden merkitys ja perusta. asiakastarpeiden selvittämisen merkitys ja ongelmat asiakastarvekartoitus asiakastarvekartoitustyökaluja Asiakastarpeiden merkitys ja perusta asiakastarpeiden selvittämisen merkitys ja ongelmat asiakastarvekartoitus asiakastarvekartoitustyökaluja Mihin asiakastarpeiden selvittämistä tarvitaan yhteisen kielen/tarkastelutavan

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

Projektityön ABC? Petri Kylmänen, 2006. Päihdetyön asiantuntijatoiminnan valmennus, Huuko 2004-2006, A-klinikkasäätiö

Projektityön ABC? Petri Kylmänen, 2006. Päihdetyön asiantuntijatoiminnan valmennus, Huuko 2004-2006, A-klinikkasäätiö Projektityön ABC? Petri Kylmänen, Päihdetyön asiantuntijatoiminnan valmennus, Huuko 2004-, A-klinikkasäätiö Lähteitä (mm.): Paavo Viirkorpi: Onnistunut projekti RAY projektihallinnan opas, Stakes Ehkäisevän

Lisätiedot

Essi Gustafsson. Työhyvinvoinnin parantaminen osallistavan Metal Age menetelmän avulla

Essi Gustafsson. Työhyvinvoinnin parantaminen osallistavan Metal Age menetelmän avulla Essi Gustafsson Työhyvinvoinnin parantaminen osallistavan Metal Age menetelmän avulla Dispositio WASI hanke taustaa & hankkeen kuvaus Metal Age menetelmä osallistujien mielipiteitä Johtopäätöksiä - mitä

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

Vammaispalvelujen valtakunnallinen kehittämishanke 2. OSA A (koskee koko hankeaikaa 1.9.2012 alkaen) Seurantakysely 1.9.2012 31.12.

Vammaispalvelujen valtakunnallinen kehittämishanke 2. OSA A (koskee koko hankeaikaa 1.9.2012 alkaen) Seurantakysely 1.9.2012 31.12. Vammaispalvelujen valtakunnallinen kehittämishanke 2 OSA A (koskee koko hankeaikaa 1.9.2012 alkaen) Seurantakysely 1.9.2012 31.12.2012 Osahankkeen nimi: TAVOITTEET JA NIIDEN SAAVUTTAMINEN Vammaispalveluhankkeen

Lisätiedot

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta Suomalaisen tietoturvayhtiö Silverskin Information Securityn tilaamassa tutkimuksessa kysyttiin sadan yritysjohtajan näkemyksiä tietoturvan

Lisätiedot

TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Toiminnan raportointi ja seuranta, tapahtuneisiin poikkeamiin nopea reagointi.

TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Toiminnan raportointi ja seuranta, tapahtuneisiin poikkeamiin nopea reagointi. TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Sähköisen liiketoiminnan mahdollisuudet: Sisäiset ja ulkoiset prosessit Toiminnan tehostaminen, reaaliaikaisuus Toiminnan raportointi ja seuranta,

Lisätiedot

SOSIAALINEN TILINPITO Kirsti Santamäki, 28.4.2015

SOSIAALINEN TILINPITO Kirsti Santamäki, 28.4.2015 SOSIAALINEN TILINPITO Kirsti Santamäki, 28.4.2015 Luennon sisältö Mitä sosiaalinen tilinpito tarkoittaa? Keskeisiä käsitteitä sosiaaliseen tilinpitoon liittyen Sosiaalisen tilinpidon prosessi: tavoitteiden

Lisätiedot

PIRKKALAN KUNTA. TOIMINTAMALLIEN JA PALVELUJÄRJESTELMIEN UUDISTAMINEN Strategiahanke-suunnitelma

PIRKKALAN KUNTA. TOIMINTAMALLIEN JA PALVELUJÄRJESTELMIEN UUDISTAMINEN Strategiahanke-suunnitelma PIRKKALAN KUNTA TOIMINTAMALLIEN JA PALVELUJÄRJESTELMIEN UUDISTAMINEN Strategiahanke-suunnitelma VALTUUSTON HYVÄKSYMÄ 20.2.2011 SISÄLLYSLUETTELO 1. Johdanto... 3 2. Kuntastrategiaa toteuttava hanke... 4

Lisätiedot

Aikuisopiskelijan viikko - Viitekehys alueellisten verkostojen yhteistyöhön

Aikuisopiskelijan viikko - Viitekehys alueellisten verkostojen yhteistyöhön Aikuisopiskelijan viikko - Viitekehys alueellisten verkostojen yhteistyöhön Aikuisopiskelijan viikko tarjoaa mainion tilaisuuden toteuttaa tapahtumia yhteistyössä oman alueen eri organisaatioiden kanssa.

Lisätiedot

Vapaaehtoiskysely - HelsinkiMissio. Tampereen teknillinen yliopisto Tiedonhallinnan ja logistiikan laitos/mittaritiimi Harri Laihonen, FT

Vapaaehtoiskysely - HelsinkiMissio. Tampereen teknillinen yliopisto Tiedonhallinnan ja logistiikan laitos/mittaritiimi Harri Laihonen, FT Vapaaehtoiskysely - HelsinkiMissio Tampereen teknillinen yliopisto Tiedonhallinnan ja logistiikan laitos/mittaritiimi Harri Laihonen, FT Esityksen sisältö 1. Aineeton pääoma 2. Miksi vapaaehtoiskysely?

Lisätiedot

Reilun Pelin työkalupakki: Työkäytäntöjen kehittäminen

Reilun Pelin työkalupakki: Työkäytäntöjen kehittäminen Reilun Pelin työkalupakki: Työkäytäntöjen kehittäminen Tavoite Oppia menetelmä, jonka avulla työyhteisöt voivat yhdessä kehittää työkäytäntöjään. Milloin työkäytäntöjä kannattaa kehittää? Työkäytäntöjä

Lisätiedot

Tuotteistaminen käytännössä: TPY:n malli

Tuotteistaminen käytännössä: TPY:n malli Tuotteistaminen käytännössä: TPY:n malli Opas ja työkirja työ- ja yksilövalmennuspalveluiden tuotteistamiseen Reetta Pietikäinen Palvelutori-hanke Päivitetty 3/08: ULA Pietarsaari Mitä tuotteistaminen

Lisätiedot

Oikeat tavoitteet avain onnistuneeseen tapahtumaan

Oikeat tavoitteet avain onnistuneeseen tapahtumaan Oikeat tavoitteet avain onnistuneeseen tapahtumaan Onnistunut tapahtuma 12.11.2008 Mika Lehtinen toimitusjohtaja Expology Oy Associated Partner of the Esityksen tavoitteet Miksi mitattavien tavoitteiden

Lisätiedot

Kriteeristön esittely

Kriteeristön esittely Laadunhallintajärjestelmien itsearvioinnin aikataulu ja käytännön järjestelyt Kriteeristön esittely Sari Mikkola Koulutuskeskus Salpaus Laadunhallintajärjestelmien itsearviointi 2015 Lähtökohta Itsearviointi

Lisätiedot

Sidosryhmien merkitys taloushallinnon palvelukeskusten toiminnassa

Sidosryhmien merkitys taloushallinnon palvelukeskusten toiminnassa Place for a picture Sidosryhmien merkitys taloushallinnon palvelukeskusten toiminnassa Jukka Rautavalta 1 First Name Last Name 25.5.2012 Fazer-konserni lyhyesti Vuonna 1891 perustettu perheyritys Ruokailupalveluja,

Lisätiedot

Vastuullisuusmallin tausta ja tavoitteet

Vastuullisuusmallin tausta ja tavoitteet Vastuullisuusmallin tausta ja tavoitteet Sanna Ström 3.4.2014 Vastuullinen liikenne. Yhteinen asia. Turvallisuusjohtaminen liikennejärjestelmässä Turvallisuusjohtamisjärjestelmä Järjestelmällinen tapa

Lisätiedot

Yritykset & ihmisoikeudet. 2.6.2014 Työministeri Lauri Ihalainen

Yritykset & ihmisoikeudet. 2.6.2014 Työministeri Lauri Ihalainen Yritykset & ihmisoikeudet 2.6.2014 Työministeri Lauri Ihalainen Valtioneuvosto, yhteiskuntavastuu ja ihmisoikeudet mistä on kyse? Valtioneuvoston yhteiskuntavastuupolitiikan isoimpia kysymyksiä tällä hetkellä

Lisätiedot

SOVELLUSALUEEN KUVAUS

SOVELLUSALUEEN KUVAUS Tik-76.115 Tietojenkäsittelyopin ohjelmatyö Tietotekniikan osasto Teknillinen korkeakoulu SOVELLUSALUEEN KUVAUS LiKe Liiketoiminnan kehityksen tukiprojekti Versio: 2.1 Tila: hyväksytty Päivämäärä: 12.12.2000

Lisätiedot

Kyselyn tuloksia. Kysely Europassin käyttäjille

Kyselyn tuloksia. Kysely Europassin käyttäjille Kysely Europassin käyttäjille Kyselyn tuloksia Kyselyllä haluttiin tietoa Europass-fi nettisivustolla kävijöistä: siitä, miten vastaajat käyttävät Europassia, mitä mieltä he ovat Europassista ja Europassin

Lisätiedot

YHTENÄINEN EUROMAKSUALUE. Yrityksien siirtyminen yhtenäiseen euromaksualueeseen

YHTENÄINEN EUROMAKSUALUE. Yrityksien siirtyminen yhtenäiseen euromaksualueeseen YHTENÄINEN EUROMAKSUALUE Yrityksien siirtyminen yhtenäiseen euromaksualueeseen 1 Taustamuuttujat Enemmistö vastaajista muodostui pienemmistä yrityksistä ja yksinyrittäjistä. Vastaajista suurin ryhmä koostuu

Lisätiedot

Reilun Pelin työkalupakki: Kiireen vähentäminen

Reilun Pelin työkalupakki: Kiireen vähentäminen Reilun Pelin työkalupakki: Kiireen vähentäminen Tavoitteet Tämän toimintamallin avulla opit määrittelemään kiireen. Työyhteisösi oppii tunnistamaan toistuvan, kuormittavan kiireen sekä etsimään sen syitä

Lisätiedot

Esityksen sisältö. Ideasta hankkeeksi. Kulttuurihankkeen suunnittelu 22.9.2015. Novgorod 2013 Marianne Möller 23.9.2013. Hankeidea

Esityksen sisältö. Ideasta hankkeeksi. Kulttuurihankkeen suunnittelu 22.9.2015. Novgorod 2013 Marianne Möller 23.9.2013. Hankeidea Ideasta hankkeeksi Kulttuurihankkeen suunnittelu Novgorod 2013 Marianne Möller 23.9.2013 Hankeidea Esityksen sisältö Hankesuunnitelma budjetti yhteistyösopimus Hankkeen toteuttaminen tavoitteet ja välitavoitteet

Lisätiedot

YHTEISTYÖSTÄ LISÄVOIMAA YHDISTYKSILLE -MITEN PÄÄSTÄ ALKUUN?

YHTEISTYÖSTÄ LISÄVOIMAA YHDISTYKSILLE -MITEN PÄÄSTÄ ALKUUN? Kehittämistehtävä (AMK) Hoitotyö Terveydenhoitotyö 3.12.2012 Elina Kapilo ja Raija Savolainen YHTEISTYÖSTÄ LISÄVOIMAA YHDISTYKSILLE -MITEN PÄÄSTÄ ALKUUN? -Artikkeli julkaistavaksi Sytyn Sanomissa keväällä

Lisätiedot

Talousjohdon haasteet kyselyn tulokset Amy Skogberg Markkinointipäällikkö Business Intelligence and Performance Management

Talousjohdon haasteet kyselyn tulokset Amy Skogberg Markkinointipäällikkö Business Intelligence and Performance Management Talousjohdon haasteet kyselyn tulokset Amy Skogberg Markkinointipäällikkö Business Intelligence and Performance Management 2008 IBM Corporation IBM Cognos: suorituskyvyn johtamisen asiantuntija IBM osti

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

OKM:n laaturyhmän linjaukset Laadunhallintajärjestelmien itsearvioinnin toteutus ja kriteerien esittely

OKM:n laaturyhmän linjaukset Laadunhallintajärjestelmien itsearvioinnin toteutus ja kriteerien esittely Työseminaari Vaasassa - Laadunhallintajärjestelmien itsearviointiosaaminen Vaasa 15.1.2015 klo 9.15-10.45 OKM:n laaturyhmän linjaukset Laadunhallintajärjestelmien itsearvioinnin toteutus ja kriteerien

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

Perusopetuksen ja lukioiden tieto- ja viestintätekniikka Sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikkaselvitys 23.4.

Perusopetuksen ja lukioiden tieto- ja viestintätekniikka Sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikkaselvitys 23.4. Perusopetuksen ja lukioiden tieto- ja viestintätekniikka Sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikkaselvitys 23.4.2014 Kurt Torsell Kartoituksen toteutus Suomen Kuntaliitto toteutti syksyllä

Lisätiedot

Bryssel 13. toukokuuta 2011 Nuoret liikkeellä -hanketta koskeva Flash-Eurobarometri

Bryssel 13. toukokuuta 2011 Nuoret liikkeellä -hanketta koskeva Flash-Eurobarometri MEMO/11/292 Bryssel 13. toukokuuta 2011 Bryssel 13. toukokuuta 2011 Nuoret liikkeellä -hanketta koskeva Flash-Eurobarometri Nuorista eurooppalaisista 53 prosenttia muuttaisi ulkomaille töihin Yli puolet

Lisätiedot

Yhteenveto tuotteenhallinnan tiimoilta kertyneistä opeista. Jukka Kääriäinen Jukka.kaariainen@vtt.fi 22.4.2015

Yhteenveto tuotteenhallinnan tiimoilta kertyneistä opeista. Jukka Kääriäinen Jukka.kaariainen@vtt.fi 22.4.2015 Yhteenveto tuotteenhallinnan tiimoilta kertyneistä opeista Jukka Kääriäinen Jukka.kaariainen@vtt.fi 22.4.2015 Sisältö Mistä tietoja koottu? Opit Yhteenveto Mistä tietoja koottu? Nämä tiedot on kerätty

Lisätiedot

Oppimisvaikeudet pohjoismaisilla työpaikoilla kyselyn tuloksia

Oppimisvaikeudet pohjoismaisilla työpaikoilla kyselyn tuloksia Oppimisvaikeudet pohjoismaisilla työpaikoilla kyselyn tuloksia Tutkija Jouni Puumalainen 20.01.2015 27.1.2015 1 Selvityksen toteuttaminen - Sähköinen kysely - Neljässä maassa: Suomi, Norja, Ruotsi, Islanti

Lisätiedot

PoPSTer Viestintäsuunnitelma

PoPSTer Viestintäsuunnitelma PoPSTer Viestintäsuunnitelma PoPSTer POHJOIS-POHJANMAAN SOSIAALI- JA TERVEYDENHUOLTO OSANA TULEVAISUUDEN MAAKUNTAA Viestintäsuunnitelma 1. Viestinnän lähtökohdat ja periaatteet Sosiaali ja terveydenhuollon

Lisätiedot

TULOKSELLISEN TOIMINNAN KEHITTÄMISTÄ KOSKEVA SUOSITUS 2008. Hannu.tamminen@ttk.fi

TULOKSELLISEN TOIMINNAN KEHITTÄMISTÄ KOSKEVA SUOSITUS 2008. Hannu.tamminen@ttk.fi TULOKSELLISEN TOIMINNAN KEHITTÄMISTÄ KOSKEVA SUOSITUS 2008 Hannu.tamminen@ttk.fi Taustaa Ohjausvälineet Lait Asetukset, ministeriön päätökset Keskusviraston suositukset Työmarkkinasopimukset Työmarkkinajärjestöjen

Lisätiedot

OHEISMATERIAALIN TARKOITUS

OHEISMATERIAALIN TARKOITUS (2012) OHEISMATERIAALIN TARKOITUS Kalvosarja on oheismateriaali oppaalle TASA ARVOSTA LAATUA JA VAIKUTTAVUUTTA JULKISELLE SEKTORILLE Opas kuntien ja valtion alue ja paikallishallinnon palveluihin ja toimintoihin

Lisätiedot

KYSELYTUTKIMUS: Yritysten verkkopalvelut sekä hankaluudet niiden hankinnassa ja määrittelyssä

KYSELYTUTKIMUS: Yritysten verkkopalvelut sekä hankaluudet niiden hankinnassa ja määrittelyssä KYSELYTUTKIMUS: Yritysten verkkopalvelut sekä hankaluudet niiden hankinnassa ja määrittelyssä TUTKIMUKSEN TOTEUTUS Aihe: Yritysten verkkopalvelut ja hankaluudet niiden hankinnassa ja määrittelyssä Ajankohta:

Lisätiedot

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx

Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx Sisäisen valvonnan ja riskienhallinnan perusteet Hyväksytty: kaupunginvaltuusto xx.xx.2014 xx 2 1. Lainsäädäntöperusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin

Lisätiedot

VIESTINTÄSUUNNITELMA 2015

VIESTINTÄSUUNNITELMA 2015 1 (5) VIESTINTÄSUUNNITELMA 2015 Viestintästrategian tarkoitus on tukea Konsulttinuorten toimintastrategiaa. Viestintästrategia laaditaan kolmeksi (3) vuodeksi kerrallaan. Viestintästrategiassa määritellään

Lisätiedot

Kasvuun johtaminen -koulutus

Kasvuun johtaminen -koulutus Kasvuun johtaminen -koulutus Kohderyhmä: Kasvun edellytykset omaavien, uusia kasvumahdollisuuksia kotimaasta tai kansainvälisesti etsivien pk-yritysten johto- ja avainhenkilöt Pohjois-Pohjanmaan ja Kainuun

Lisätiedot

Kehittämisen omistajuus

Kehittämisen omistajuus Kehittämisen omistajuus Kuntaliitto 18.4.2013 Tuottava ja hallittu kehittämistoiminta kunnissa hanke (KUNTAKEHTO) Pasi-Heikki Rannisto Kehityspäällikkö, HT Tampereen Palveluinnovaatiokeskus (TamSI) Kehittämistyön

Lisätiedot

MITEN TYÖTURVALLISUUDEN TASO SAADAAN NOUSEMAAN RAKENNUSALALLA. L S Kiinteistö ja rakennuspäivä 06.02.2015 Juha Suvanto

MITEN TYÖTURVALLISUUDEN TASO SAADAAN NOUSEMAAN RAKENNUSALALLA. L S Kiinteistö ja rakennuspäivä 06.02.2015 Juha Suvanto MITEN TYÖTURVALLISUUDEN TASO SAADAAN NOUSEMAAN RAKENNUSALALLA L S Kiinteistö ja rakennuspäivä 06.02.2015 Juha Suvanto Rakentaminen on vaarallinen toimiala näin väitetään Tilastotietoa Lähde: TVL Rullaava

Lisätiedot

Indikaattorit eli mittarit. Kepan verkkokurssi 2006. Jonna Haapanen ja Eija Mustonen

Indikaattorit eli mittarit. Kepan verkkokurssi 2006. Jonna Haapanen ja Eija Mustonen Indikaattorit eli mittarit Kepan verkkokurssi 2006 Jonna Haapanen ja Eija Mustonen Indikaattori on käsitteellinen tai numeerinen muuttuja, joka auttaa arvioimaan muutosta jossain asiantilassa, joko mittaamalla

Lisätiedot

Uuden strategiamme ytimen voikin tiivistää muutamaan sanaan: ydintehtävät, keskittyminen, yhteistyö, vaikuttavuus ja luottamus.

Uuden strategiamme ytimen voikin tiivistää muutamaan sanaan: ydintehtävät, keskittyminen, yhteistyö, vaikuttavuus ja luottamus. Uuden strategiamme ytimen voikin tiivistää muutamaan sanaan: ydintehtävät, keskittyminen, yhteistyö, vaikuttavuus ja luottamus. Väestörekisterikeskuksen uusi strategia linjaa virastomme toimintaa uuden

Lisätiedot

Valtakunnallinen AlueAvain Hanketoiminnan ihanuus ja kurjuus 27.10.2015 Marja Tuomi

Valtakunnallinen AlueAvain Hanketoiminnan ihanuus ja kurjuus 27.10.2015 Marja Tuomi Valtakunnallinen AlueAvain Hanketoiminnan ihanuus ja kurjuus 27.10.2015 Marja Tuomi Päivän ohjelmasta Projektin elinkaari Ideasta suunnitteluun Käynnistämisen haasteet Suunnitelmasta toteutukseen Palautteen

Lisätiedot

Lastentuntien opettaminen Taso 1

Lastentuntien opettaminen Taso 1 Lastentuntien opettaminen Taso 1 OSA 2: JAKSOT 8-12 LEIKIN MERKITYS JA OHJAAMINEN BAHÀ Ì-LASTENTUNNEILLA Ruhi-instituutti Kirja 3 JAKSO 8 Sanotaan, että leikkiminen on lasten työtä. Itse asiassa leikit

Lisätiedot

Tiedotussuunnitelma. Keski-Suomen Työpajayhdistys ry. Keski-Suomen Työpajayhdistys ry.

Tiedotussuunnitelma. Keski-Suomen Työpajayhdistys ry. Keski-Suomen Työpajayhdistys ry. Tiedotussuunnitelma Keski-Suomen Työpajayhdistys ry. Keski-Suomen Työpajayhdistys ry. 1 1. Lähtökohdat... 2 2. Tiedottamisen tarpeet... 2 3. Tiedottamisen tavoitteet... 2 4. Sisäinen tiedotus... 3 5. Ulkoinen

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

LIITE 5. Vaaratapahtumajoukon tarkastelua ohjaavat kysymykset

LIITE 5. Vaaratapahtumajoukon tarkastelua ohjaavat kysymykset 67 (75). Vaaratapahtumajoukon tarkastelua ohjaavat kysymykset A. Kysymykset ilmoittavan yksikön (osaston) tasolla tapahtuvaan tarkasteluun YKSIKÖN VAARATAPAHTUMAT Mitä ilmoitetut vaaratapahtumat meille

Lisätiedot

Haasteena palautteen tehokas hyödyntäminen

Haasteena palautteen tehokas hyödyntäminen Haasteena palautteen tehokas hyödyntäminen Tekniikan yliopistokoulutusta kehittämässä 9.5.2012 Sakari Heikkilä, Aalto yliopisto Annikka Nurkka, Lappeenrannan teknillinen yliopisto Taustaa Aallossa Käytänteet

Lisätiedot

Verkkoperehdytyksen kehittäminen SOL konsernissa

Verkkoperehdytyksen kehittäminen SOL konsernissa Verkkoperehdytyksen kehittäminen SOL konsernissa Tausta SOL konserni on Suomen suurimpia palvelualan työllistäjiä. SOLIssa työskentelee tällä hetkellä lähes 10 000 työntekijää, joista n 7500 Suomessa.

Lisätiedot

Yhteenveto Oppituki-hankkeen kyselystä sidosryhmille

Yhteenveto Oppituki-hankkeen kyselystä sidosryhmille Yhteenveto Oppituki-hankkeen kyselystä sidosryhmille Sidosryhmätyöpaja 4.9.2013 Koulutuspäällikkö Matti Tuusa 10.9.2013 1 Kyselyn tuloksia 10.9.2013 2 Taustatiedot Kysely lähetettiin 18 henkilölle, joista

Lisätiedot

Pirkanmaan ebuusti pienyritysten sähköisen liiketoiminnan kehittäminen tavoitteena kasvu ja kansainvälistyminen

Pirkanmaan ebuusti pienyritysten sähköisen liiketoiminnan kehittäminen tavoitteena kasvu ja kansainvälistyminen Pirkanmaan ebuusti pienyritysten sähköisen liiketoiminnan kehittäminen tavoitteena kasvu ja kansainvälistyminen Hankeaika 2013 2014 Kohderyhmänä ovat pienet kehityskykyiset, kasvuhaluiset, pirkanmaalaiset

Lisätiedot

TYÖPAIKKOHJAAJAKOULUTUKSEN (2ov) PERUSMALLI VARSINAIS-SUOMESSA

TYÖPAIKKOHJAAJAKOULUTUKSEN (2ov) PERUSMALLI VARSINAIS-SUOMESSA 1 LIITE 1 Työssäoppimisen alueelliseen sopimukseen TYÖPAIKKAOHJAAJIEN KOULUTUKSEN. TYÖPAIKKOHJAAJAKOULUTUKSEN (2ov) PERUSMALLI VARSINAIS-SUOMESSA 1. Koulutuksen toteutustapa ja kohderyhmä Koulutukset toteutetaan

Lisätiedot

Yrittäjien käsitys innovaatioympäristön nykytilasta

Yrittäjien käsitys innovaatioympäristön nykytilasta Yrittäjien käsitys innovaatioympäristön nykytilasta Yrittäjien käsitys innovaatioympäristön nykytilasta 1 : Yksityiset toimijat yrittäjien tärkein voimavara Kysely toteutettiin yhteistyössä Suomen Yrittäjien

Lisätiedot

Mitä prosessissa kehitetään. Prosessin kehittäminen. Kehittämisen tavoitteita. Perusasioita kehittämisessä. Pohjana esim. CMM

Mitä prosessissa kehitetään. Prosessin kehittäminen. Kehittämisen tavoitteita. Perusasioita kehittämisessä. Pohjana esim. CMM Mitä prosessissa kehitetään Pohjana esim. CMM Prosessin kehittäminen Projektien hallinta Prosessin kuvaus, toimintaohjeet Laadunvarmistus Mentelmät Riskinhallinta Yms. Kehittämisen tavoitteita Tuotannon

Lisätiedot

Vinkkejä hankeviestintään

Vinkkejä hankeviestintään Vinkkejä hankeviestintään Viestintä vs. tiedottaminen Tiedon siirto ja vaihdanta kokonaisuutena Kanavina esim. nettisivut, intrat, uutiskirjeet, esitteet ja logot, kokoukset ja tilaisuudet, sosiaalinen

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014 1 Parikkalan kunta SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET 1.1.2014 1. Lainsäädäntöperusta ja soveltamisala Kuntalain 13 :n mukaan valtuuston tulee päättää kunnan ja kuntakonsernin sisäisen valvonnan

Lisätiedot

Design yrityksen viestintäfunktiona

Design yrityksen viestintäfunktiona Design yrityksen viestintäfunktiona Hanna Päivärinta VTM Pro gradun esittely Tutkimuksen taustaa Design on ollut pitkään puhutteleva ilmiö Designia tuntuu olevan kaikkialla Helsinki World Design Capital

Lisätiedot

06-TPAJA: Mitä hyötyä laadunhallinnasta

06-TPAJA: Mitä hyötyä laadunhallinnasta 06-TPAJA: Mitä hyötyä laadunhallinnasta on opettajan työssä? Peda-Forum 20.8.2013 Vararehtori Riitta Pyykkö, TY, Korkeakoulujen arviointineuvoston pj. Yliopettaja Sanna Nieminen, Jyväskylän AMK Pääsuunnittelija

Lisätiedot

Sustainability in Tourism -osahanke

Sustainability in Tourism -osahanke 25.3.2013 Päivi Lappalainen Matkailun ja elämystuotannon osaamiskeskus Osaprojektin tavoitteet Osaprojektin tavoitteena oli työpajojen ja tilaisuuksien kautta koota yritysten näkemyksiä ja tarvetta vastuullisen

Lisätiedot

Kasvuun johtaminen. Koulutuksen tavoitteet:

Kasvuun johtaminen. Koulutuksen tavoitteet: Kasvuun johtaminen Kohderyhmä: Johto- ja avainhenkilöt Satakunnan alueen Pk-yrityksissä, jotka haluavat kasvaa suunnitelmallisesti ja joilla on edellytykset kasvuun. Kohderyhmän yritykset etsivät uusia

Lisätiedot

Janette Leppänen Turun ammattikorkeakoulu

Janette Leppänen Turun ammattikorkeakoulu Janette Leppänen Turun ammattikorkeakoulu Tavoitteet Taustalla tarve saada kattava arvio haasteen onnistumisesta Tukee alkanutta strategiatyötä Arviointia lähestytään prosessiarvioinnin kautta pyritään

Lisätiedot

Sosiaalinen media yrityskäytössä Yhteenvetoraportti, N=115, Julkaistu: 14.2.2011. Vertailuryhmä: Kaikki vastaajat

Sosiaalinen media yrityskäytössä Yhteenvetoraportti, N=115, Julkaistu: 14.2.2011. Vertailuryhmä: Kaikki vastaajat Sosiaalinen media yrityskäytössä Yhteenvetoraportti, N=115, Julkaistu: 14.2.2011 Vertailuryhmä: Kaikki vastaajat Sosiaalista mediaa hyödynnetään yrityksessäni tällä hetkellä Vastaus Lukumäärä Prosentti

Lisätiedot

Turvallisuuden ja toimintavarmuuden hallinta tieliikenteen kuljetusyrityksissä. Anne Silla ja Juha Luoma VTT

Turvallisuuden ja toimintavarmuuden hallinta tieliikenteen kuljetusyrityksissä. Anne Silla ja Juha Luoma VTT Turvallisuuden ja toimintavarmuuden hallinta tieliikenteen kuljetusyrityksissä Anne Silla ja Juha Luoma VTT Click to edit Master Tutkimuksen title style tavoitteet Click Selvittää to edit toimintatapoja

Lisätiedot

MAINOSTAJIEN LIITTO KAMPANJAKUVAUS

MAINOSTAJIEN LIITTO KAMPANJAKUVAUS 1/9 KAMPANJAKUVAUS Tähdellä (*) TÄRKEÄÄ 1. Tallenna lomake ensin omalle koneellesi. 2. Täytä tallentamasi lomake. 3. Tallenna ja palauta. Täytä kampanjakuvaus huolella! Kampanjakuvaus on tuomareiden tärkein

Lisätiedot

Muutoksen hallittu johtaminen ja osaamisen varmistaminen

Muutoksen hallittu johtaminen ja osaamisen varmistaminen KPMG Muutoksen hallittu johtaminen ja osaamisen varmistaminen Riskienhallinta on keskeinen osa muutoshallintaa Henkilöstöriskien tunnistaminen ja merkitys muutoksen johtamisessa ADVISORY SERVICES Muutoksen

Lisätiedot

TYÖPAJAN OHJELMA 19.11.2015

TYÖPAJAN OHJELMA 19.11.2015 TYÖPAJAN OHJELMA 19.11.2015 9.00-9.30 Aamukahvi 9.30-9.40 Tilaisuuden avaus Ohjelman vaiheiden esittely 9.40-10.40 Perheystävällinen työpaikka -ohjelma: alkutilanteen kartoitus ja kehittämissuunnitelman

Lisätiedot

TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...

Lisätiedot

AVOIMEN DATAN VAIKUTTAVUUS: SEURANTA- JA ARVIOINTIMALLIN KEHITTÄMINEN. Heli Koski, ETLA 15.1.2015

AVOIMEN DATAN VAIKUTTAVUUS: SEURANTA- JA ARVIOINTIMALLIN KEHITTÄMINEN. Heli Koski, ETLA 15.1.2015 1 AVOIMEN DATAN VAIKUTTAVUUS: SEURANTA- JA ARVIOINTIMALLIN KEHITTÄMINEN Heli Koski, ETLA 15.1.2015 2 Taustaa esitutkimuksesta Julkisen datan avaamisen potentiaaliset hyödyt on arvioitu ennakollisissa arvioinneissa

Lisätiedot

FARAX johtamisstrategian räätälöinti

FARAX johtamisstrategian räätälöinti FARAX johtamisstrategian räätälöinti Sisältö Taustaa Johtamisstrategian luominen ja instrumentin luominen Hyödyt ja referenssit Esimerkkejä matriiseista Prosessi Taustaa Esityksessä käydään läpi FaraxGroupin

Lisätiedot

Tietotekniikka liiketoiminnan tueksi -kehitysohjelma

Tietotekniikka liiketoiminnan tueksi -kehitysohjelma Päijät-Hämeen Yrityksille Tietotekniikka liiketoiminnan tueksi -kehitysohjelma Jari Turunen ICT -liiketoiminnankehittäjä Lahden tiede- ja yrityspuisto Oy Omistus Lahden kaupunki 74 % Lähikunnat 10 % Yksityiset

Lisätiedot

TYÖTURVALLISUUS ON YHTEINEN ASIA. Viisaat kypärät yhteen seminaari Lounais Suomi 19.05.2015 Juha Suvanto

TYÖTURVALLISUUS ON YHTEINEN ASIA. Viisaat kypärät yhteen seminaari Lounais Suomi 19.05.2015 Juha Suvanto TYÖTURVALLISUUS ON YHTEINEN ASIA Viisaat kypärät yhteen seminaari Lounais Suomi 19.05.2015 Juha Suvanto Rakentaminen on vaarallinen toimiala näin väitetään Tilastotietoa Lähde: TVL Rakennusteollisuus RT

Lisätiedot

LIIKETALOUDEN PERUSTUTKINTO, Merkonomi

LIIKETALOUDEN PERUSTUTKINTO, Merkonomi LIIKETALOUDEN PERUSTUTKINTO, Merkonomi Tutkinnon osa Asiakaspalvelu Tarkastele työtehtävistä suoriutumista seuraavista näkökulmasta. Arvioi tutkinnon suorittajan ammattitaitoa / osaamista liiketalouden

Lisätiedot

Esimiehen opas erityisesti vuorotyötä tekevissä yksiköissä

Esimiehen opas erityisesti vuorotyötä tekevissä yksiköissä Työhyvinvointikyselyn tulosten käsittely ja hyvinvointisuunnitelman laatiminen työyksikön hyvinvointipajassa Esimiehen opas erityisesti vuorotyötä tekevissä yksiköissä Lapin sairaanhoitopiirin työhyvinvointisyke

Lisätiedot

TIEDÄTKÖ TUKEEKO HR YRITYKSESI LIIKETOIMINTAA? mittaamalla oikea suunta johtamiseen

TIEDÄTKÖ TUKEEKO HR YRITYKSESI LIIKETOIMINTAA? mittaamalla oikea suunta johtamiseen TIEDÄTKÖ TUKEEKO HR YRITYKSESI LIIKETOIMINTAA? mittaamalla oikea suunta johtamiseen Uudista ja Uudistu 28.9.2011 Sirpa Ontronen ja Jori Silfverberg MARTELA OYJ SISÄLTÖ Mittaamalla oikea suunta johtamiseen

Lisätiedot

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin Juha Pietarinen Riski = epävarmuuden vaikutus tavoitteisiin Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin - Voiko riski olla mahdollisuus myös lakisääteisten

Lisätiedot

KYSELY TYÖSUOJELUTOIMINNASTA 2008

KYSELY TYÖSUOJELUTOIMINNASTA 2008 KYSELY TYÖSUOJELUTOIMINNASTA 2008 OHJE KYSELYN TÄYTTÄMISEEN: Käykää ensin läpi koko kysely. Vastatkaa sen jälkeen omaa yhteisöänne koskeviin kysymyksiin. Kyselyssä on yleinen osa, johon pyydetään vastaus

Lisätiedot

Tarja Nordman 2013. HUS Savuton sairaala -viestintäsuunnitelma

Tarja Nordman 2013. HUS Savuton sairaala -viestintäsuunnitelma HUS Savuton sairaala -viestintäsuunnitelma. Viestintä Ohjausryhmän tiedottaja Tarja Nordman toimii viestinnän suunnittelun koordinaattorina toimii Savuton sairaala viestintätiimin puheenjohtajana tuottaa

Lisätiedot

Miten johdan huolto- ja korjaamotoimintaa laadukkaasti? Autokauppa 2015 6.11.2014 Finlandiatalo

Miten johdan huolto- ja korjaamotoimintaa laadukkaasti? Autokauppa 2015 6.11.2014 Finlandiatalo Miten johdan huolto- ja korjaamotoimintaa laadukkaasti? Autokauppa 2015 6.11.2014 Finlandiatalo Keijo Mäenpää Liikkeenjohdon konsultti Diplomi-insinööri Tavoitteena Sujuvasti toimiva kyvykäs organisaatio

Lisätiedot

PALVELUKUVAUS järjestelmän nimi versio x.x

PALVELUKUVAUS järjestelmän nimi versio x.x JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen Liite 4 Palvelukuvaus -pohja Versio: 1.0 Julkaistu: 11.9.2009 Voimassaoloaika: Toistaiseksi PALVELUKUVAUS järjestelmän nimi versio

Lisätiedot

Asiakaskysely 2011. Olemme toimineet FINASin kanssa yhteistyössä. KAIKKI VASTAAJAT Vastaajia yhteensä: 182 (61%) Sähköpostikutsujen määrä: 298

Asiakaskysely 2011. Olemme toimineet FINASin kanssa yhteistyössä. KAIKKI VASTAAJAT Vastaajia yhteensä: 182 (61%) Sähköpostikutsujen määrä: 298 Asiakaskysely 2011 FINAS-akkreditointipalvelun asiakastyytyväisyyskysely toteutettiin marras-joulukuussa 2011. Kysely lähetettiin sähköisenä kaikille FINASin asiakkaille. Kyselyyn saatiin yhteensä 182

Lisätiedot

Työnantajamielikuva ja sosiaalinen media Yrityskysely Viestintätoimisto Manifesto Hanna Pätilä 6.9.2011

Työnantajamielikuva ja sosiaalinen media Yrityskysely Viestintätoimisto Manifesto Hanna Pätilä 6.9.2011 Työnantajamielikuva ja sosiaalinen media Yrityskysely Viestintätoimisto Manifesto Hanna Pätilä 6.9.2011 Työnantajamielikuva ja sosiaalinen media -kyselyn tausta Kyselyssä selvitettiin, miten suomalaiset

Lisätiedot

Turvallisuusilmapiiri

Turvallisuusilmapiiri Turvallisuusilmapiiri Metalliteollisuuden työalatoimikunta Muistutuksena Turvallisuuskielteinen Turvallisuusmyönteinen 0 % 20 % 40 % 60 % 80 % 100 % Vastaajien taustoja Ylin johto 6 % Asiantuntija % Keskijohto

Lisätiedot

Työhyvinvointikorttikoulutuksen vaikuttavuus koulutuksen käyneiden kokemuksia ja kehittämisehdotuksia. Katri Wänninen Veritas Eläkevakuutus 2015

Työhyvinvointikorttikoulutuksen vaikuttavuus koulutuksen käyneiden kokemuksia ja kehittämisehdotuksia. Katri Wänninen Veritas Eläkevakuutus 2015 Työhyvinvointikorttikoulutuksen vaikuttavuus koulutuksen käyneiden kokemuksia ja kehittämisehdotuksia. Katri Wänninen Veritas Eläkevakuutus 2015 Kyselyn toteutus Työhyvinvointikorttikoulutuksia on toteutettu

Lisätiedot

Verkostoituvat tietojärjestelmälääkärit

Verkostoituvat tietojärjestelmälääkärit Verkostoituvat tietojärjestelmälääkärit FILIP SCHEPERJANS, LT NEUROLOGIAN ERIKOISLÄÄKÄRI, HYKS TIETOJÄRJESTELMÄLÄÄKÄREIDEN ALAOSASTON JOHTOKUNNAN PJ, SUOMEN LÄÄKÄRILIITTO Lääkäreiden rooli terveydenhuollon

Lisätiedot