Raportti Liikenne- ja viestintäministeriö Kansallisen tietopääoman suoja hanke

Transkriptio

1 1 (28) Raportti Liikenne- ja viestintäministeriö Kansallisen tietopääoman suoja hanke

2 2 (28) Sisällys 1 Johdanto Selvityksen tavoitteet ja työtapa Raportin rakenteesta ja erityispiirteistä Tietopääoman määrittely Yhteenveto haastattelun tuloksista Tietopääoma käsitteenä ja tiedon elinkaari Riskien arviointi ja hallinta Tietopääoman kansallinen merkitys Keskeiset ongelmat ja kehitysehdotukset Tietoturvallisuusriskien hallinnan kehittäminen Organisaation sisältä tulevien uhkien tunnistaminen ja ehkäiseminen Tekijänoikeudet Viestintäviraston CERT-FI yksikön toimintaedellytysten turvaaminen Yksityisyyden suojaamisen vaikutukset tietoturvan valvontaan Muita ongelmia ja kehitysideoita LIITE 1 Haastattelutulokset kysymyksittäin... 14

3 3 (28) 1 Johdanto Kansallisen tietopääoman suoja hanke on osa valtioneuvoston 4. syyskuuta 2003 periaatepäätöksellä antaman kansallisen tietoturvallisuusstrategian toimeenpanoa. Hankkeen tavoitteena on arvioida kansallisen tietopääoman suoja kokonaisuudessaan huomioiden sekä yksityisen että julkisen sektorin tilanne ja kehitystarpeet. Hankkeeseen liittyy selvitys, jonka tarkoituksena on tukea kansallisen tietoturvallisuusstrategian tietopääoman suojan arviointiryhmän työtä. Selvityksen on Liikenne- ja viestintäministeriön tilauksesta tuottanut PricewaterhouseCoopersin riskienhallinnan asiantuntijat Vesa Tupala ja Jan Bäckström. Tässä raportissa on esitetty selvityksen tulokset. 1.1 Selvityksen tavoitteet ja työtapa Selvitys on tehty haastattelututkimuksena. Haastatteluiden kohteina oli 12 organisaatiota niin julkiselta kuin yksityiseltäkin sektorilta ja organisaatiot edustivat eri toimialoja, kuten vakuutustoiminta, teleoperaattorit, yliopistot ja tutkimus, terveydenhuolto, energian tuotanto, tukku- ja vähittäiskauppa, media ja viestintä, metsäteollisuus, tukku- ja vähittäiskauppa, ilmailuhallinto, huoltovarmuustoiminta, patentti- ja rekisterihallinto, ilmailuhallinto sekä pankki- ja rahoitus. Kustakin haastateltavasta yhteisöstä pyrittiin mahdollisuuksien mukaan pyritty saamaan näkemyksiä kolmelta taholta: liikkeen johto, oikeudellinen asiantuntemus ja tietoturvan tekninen asiantuntemus. Tässä onnistuttiin melko hyvin, sillä ainoastaan metsäsektorin osalta jouduttiin poikkeamaan alkuperäisestä haastattelusuunnitelmasta. Metsäsektorilta ei saatu kerättyä tietopääoman suojaamiseen liittyviä teknisiä näkemyksiä. Haastatteluiden tarkoituksena oli hakea selvyyttä siihen millaista tietopääomaa pidetään kansallisesti tärkeänä, onko panostettu tietopääoman suojaan riittävästi ja mitä tulevaisuudessa voitaisiin tehdä tietopääoman suojaamiseksi. Lisäksi selvitettiin ja arvioitiin sitä, mitkä ovat tulevaisuudessa Suomen kannalta erityisen merkittäviä tietoturvariskejä tietopääoman kannalta, miten tilannetta voitaisiin parantaa ja pyrkiä tätä kautta vähentämään tietoturvariskejä. 1.2 Raportin rakenteesta ja erityispiirteistä Kukin haastatelluista organisaatioista edustaa selvityksessä omaa toimialaansa. Asioita on tarkasteltu tässä raportissa yksityisen sektorin organisaatioihin liittyen toimialanäkökulmasta sekä julkisiin organisaatioihin liittyen ko. hallinnonalan näkökulmasta. Vastausten analysoinnissa on viitattu ko. toimi- tai hallinnonalaan eikä suoraan kyseiseen yhteisöön.

4 4 (28) Joidenkin kysymysten kohdalla vastaukset ovat hyvin samansuuntaisia kaikkien vastaajien osalta; tällöin vastauksista on muodostettu yleinen käsitys kysymykseen liittyen ja mahdolliset erot vastaajien välillä on kerrottu. Luvussa kolme on esitetty keskeisimpiä ongelmia ja kehitysideoita, joita selvitystutkimuksen aikana tuli ilmi. Vastauksiin liittyvät kysymyskohtaiset yhteenvedot löytyvät liitteestä Tietopääoman määrittely Tässä nimenomaisessa hankkeessa on tietopääomaksi ymmärretty aineeton tietopääoma, mikä muodostuu datasta, informaatiosta, immateriaalioikeuksista ja itse organisaatiosta. Tällainen tietopääoma koostuu systemaattisesti luoduista käsitteellisistä tiedoista, jotka ovat organisaation toiminnan ja perustehtävien kannalta oleellisia. Esimerkkejä tällaisista ovat mm. keksinnöt, tekniset kuvaukset ja piirustukset, metodologiat, ohjelmistot, sovellukset, dokumentit ja muut tieto-objektit. Yksityisellä sektorilla toiminnan kannalta välttämätöntä tietopääomaa ovat edellisten lisäksi esimerkiksi yrityssalaisuudet, asiakastiedot ja tuotekehitystiedot. Valtionhallinnon puolella aineettomana pääomana voitaisiin pitää esimerkiksi viranomaisten pitämiä perusrekistereitä, jotka sisältävät tietoja yhteiskunnan kannalta merkittävistä asioista. Merkittävän osan tietopääomasta muodostaa myös yksityisten kansalaisten yksityisyyden suojan piiriin lukeutuva tietopääoma.

5 5 (28) 2 Yhteenveto haastattelun tuloksista 2.1 Tietopääoma käsitteenä ja tiedon elinkaari Tietopääomaa ei organisaatioissa mielletä samalla tavoin, kuin mitä sillä on tässä hankkeessa ymmärretty. Sitä ei myöskään ole käsitelty organisaatioissa erikseen. Määrittelyn mukaista tietopääomaa tunnistettiin organisaatioissa olevan ja suojattavankin mutta paremmin nimenomaiseen tieto-objektiin liittyvien muiden ominaisuuksien ja suojausvaatimusten vuoksi, kuin siksi, että se on luokiteltu tietopääomaan kuuluvaksi. Sen osalta ei ole tehty erillistä riskianalyysia ja vain harvoissa organisaatioissa se on osa yhteisön muuta riskienhallintaa. Jos tiedon elinkaareen ajatellaan kuuluviksi vaiheet: tiedon jalostaminen/synnyttäminen tietopääoman käsittely tietopääoman säilytys ja tallennus tietopääoman siirtäminen tietopääoman arkistointi tietopääoman luonnollinen tuhoaminen, niin jalostusvaiheessa käsiteltävää tietoa ei ymmärretä osana tietopääomaa. Tiedon eheyteen koettiin liittyvän uhkia ainoastaan viestintä- ja mediasektorilla sekä yliopisto ja tutkimustoiminnassa. Tukku- ja vähittäiskaupan alalla eheyden menettäminen koettiin pienemmäksi haitaksi, kuin tiedon joutuminen vääriin käsiin tai sen menettäminen kokonaan. Vastauksista voidaan päätellä, että muissa organisaatioissa tietopääoman luottamuksellisuus koettiin eheyttä tärkeämmäksi. Yleisesti useissa organisaatioissa myös tiedon tarkoituksellinen tuhoaminen koettiin merkittäväksi uhkaksi. Yliopistojen yhteydessä tehtävän tutkimuksen osalta nähtiin, että tiedon jalostamisen alkuvaiheissa tieto saattaa olla niin hajautunutta, että vaikka jotain osia saattaisi joutua ulkopuolisten haltuun, niin sillä ei ole niin suurta merkitystä kuin tiedon vääristymisellä (tiedon eheys) tai tuhoutumisella. Organisaatioissa ei myöskään mainittu sattuneen sellaisia tilanteita, joissa tieto olisi vääristynyt tai, että sillä olisi ollut merkittäviä seurauksia. Eheyteen liittyy kuitenkin uhkia esim. pitkäaikaissäilyttämisen osalta; kuinka varmistetaan tiedon yhteensopivuus järjestelmäuudistusten ja tallennusteknologioiden kehittymisen myötä. Tähän, kuten myöskään tietopääoman arkistointiin ei otettu kantaa haastatteluissa. 2.2 Riskien arviointi ja hallinta Riskienarviointia ja hallintaa voitaisiinkin selkiyttää ja formalisoida sekä tukea valtionhallinnon taholta herättelemällä yhteisöjä miettimään tietoturvallisuutta osana riskienhallinnan kokonaisuutta ja esim. seuraavista näkökulmista:

6 6 (28) kriittisyys kuinka merkittävää tietopääoma on toiminnan kannalta riippuvuussuhteet mitä ovat tietopääoman osien väliset keskinäiset riippuvuudet ja vaikutussuhteet korvattavuus voidaanko tietopääoma johtaa/jalostaa uudelleen muista olemassa olevista tiedoista tietopääomaan liittyvät muut virrat (tietovirtojen lisäksi), esim. tulovirta, jota tiedolla ohjataan onko kyse tehtävä- vai liiketoimintakriittisestä tietopääomasta. Haastattelujen tuloksista heijastuu vahvasti tietopääomaan liittyvän suojaamisen mitä suojataan-miten suojataan ajattelu vaikka tehokkaampaa ja tarkoituksenmukaisempaa olisi miettiä miksi suojataan ja vasta sen jälkeen käytännön keinoja suojaamiseksi. Tämä lienee seurausta siitä, että tietopääomaan käsittelyyn liittyy hyvin vahvasti teknologian kehitys, ja teknologia kehittyy edellä, prosessit ja menettelyt sitä vastoin hiukan jälkijunassa. Tietopääoma on kuitenkin monen yhteisön tärkein resurssi tänä päivänä ja siihen liittyviä riskejä tulisi tarkastella myös muista kuin teknisistä näkökulmista ja asiaan kuuluvalla painoarvolla. Tietopääomaan liittyvien riskien hallinnassa tulisi huomioida muitakin riskejä, kuin taloudelliset ja imagoon liittyvät riskit. Virusepidemioilla ja sisäisillä väärinkäytöksillä on pahimmillaan laajoja operatiivisia vaikutuksia. Tiukasti säännellyillä aloilla luottamuksellisuuden menetys voi johtaa pahimmillaan siihen, että koko organisaation olemassaolo asetetaan kyseenalaiseksi, esim. tilintarkastuksessa suurimmat riskit liittyvät nimenomaan julkiseen luottamuskuvaan organisaatioiden toiminnasta. Tietopääoma on myös resursseista se, jota kaikkein huonoimmin voi suojata vakuutuksin. Silti vakuutukset ovat hyvin yleinen vastaus kysyttäessä suojautumiskeinoja operatiivisen toiminnan riskejä vastaan näin myös tietojärjestelmiin liittyvien häiriöiden osalta. Järjestelmien suojaamiseen käytetyt vakuutukset eivät useinkaan korvaa menetettyä tietoa. Tietopääomaan liittyvän riskiajattelun puute näkyy myös ulkoistuksissa. Liian usein ulkoistetaan jotain toimintoja ymmärtämättä sitä tosiseikkaa, että prosessin ulkoistamisen yhteydessä ulkoistetaan myös tähän liittyvä tietopääoma. 2.3 Tietopääoman kansallinen merkitys Haastatteluissa tuli esille mielenkiintoinen näkemys liittyen tietopääoman kansalliseen ominaisuuteen. Erityisesti metsäsektorilla ja telealalla todettiin, että kansalliset rajat ovat hämärtyneet myös tietopääoman osalta. Metsäsektorilla todettiin, että heillä ei ole hallussaan minkäänlaista kansallista tietopääomaa. Tietopääoma on organisaation omaisuutta eikä sillä ole merkitystä tietyn alueen tai maan kannalta. Merkitystä nähtiin olevan lähinnä, sillä valuuko tietopääoma ulos itse organisaatiosta, kuin jos se joutuisi vieraiden kansakuntien haltuun. Lisäksi tiedon liikkuvuus organisaation sisällä ja sen toimintaympäristössä on kilpailukyvyn ja toimialan kehityksen kannalta tärkeämpää, kuin tiedon suojaaminen. Huolimatta mainitunkaltaisesta näkemyksestä näidenkään organisaatioiden kohdalla ei voitane kiistää sitä to-

7 7 (28) siseikkaa, että organisaatioiden käsittelemällä tietopääomalla on merkitystä myös kansallisen kilpailukyvyn kannalta. Onhan näiden yritysten kotipaikka ja osa toimintaakin Suomessa. Suojaamisessa tulisi myös tehdä laajaa yhteistyötä niin kansallisesti kuin kansainvälisestikin; siitäkin syystä, ettei asetettaisi ristiriitaisia vaatimuksia yhteisöille. Monissa yrityksissä, etenkin pörssiyhtiöissä (listattu pörssissä ulkomailla tai ovat osa kansainvälistä listattua konsernia) ja tietyillä toimialoilla eriasteisia vaatimuksia tietopääoman suojaamiselle tulee nykyisin hyvin paljon ulkomaisten säädösten kautta, näistä esimerkkinä rahoitus- ja pankkitoimintaa säätelevä G10 maiden ja parin muun maan pankkivalvontaviranomaisten muodostaman Baselin pankkivalvontakomitean laatima Basel II ja USA:n pörssivalvoja SEC:n vaatimuksia ilmentävä Sarbanes-Oxley Act Kansallisen tason ohjaamisen tulisi olla linjassa näiden säännösten kanssa tai muuten aiheutetaan kohtuutonta haittaa yritystoiminnalle.

8 8 (28) 3 Keskeiset ongelmat ja kehitysehdotukset 3.1 Tietoturvallisuusriskien hallinnan kehittäminen Ongelma: Kaikissa haastatelluissa organisaatioissa on tehty riskianalyysia mutta erikseen tietopääomaan liittyen ei yhdessäkään. Suurimmassa osassa yhteisöjä tietohallintotoimintoon liittyvien riskien hallinta on selkeästi erillään organisaatioiden muusta riskien hallinnasta, ja sielläkin riskien analysointia on tehty liittyen lähinnä tietojen käytettävyyteen ja luottamuksellisuuteen. Näiden rinnalla vähintäänkin yhtä tärkeä usein tärkeämpikin ominaisuus on tiedon eheys. Siinä missä tietohallinto perinteisesti pyrkii varmistamaan tiedon käytettävyyttä ja luottamuksellisuutta tiedon eheydestä huolehtiminen on viime kädessä ao. liiketoimintaprosessin vastuulla. Liian usein esim. tietoliikenneverkkojen turvallisuutta arvioidaan pelkästään teknisestä suojaus näkökulmasta (käytettävyys ja luottamuksellisuus) eikä ymmärretä esim. edi-liikenteeseen liittyvää eheyden näkökulmaa. Lisäksi useissa organisaatioissa mainittiin huomattavasti kasvanut tietotekniikkariippuvuus ja toimintojen ulkoistaminen. Osassa organisaatioita ei ymmärretty täysin tietotekniikkariippuvuuden mukanaan tuomaa riskiä. Ulkoistamisen yhteydessä ei täysin tunnuta ymmärtävän mitä jonkin toiminnon ulkoistamisesta seuraa. Olipa kyse vain infran ylläpidosta, niin kyse on prosessin ulkoistamisesta ja siihen kuuluu muitakin, kuin teknologian käyttöön liittyviä riskejä. Usein ei myöskään oteta vastuuta palveluntoimittajien toiminnasta, vaan ajatellaan eihän se ole meidän vastuulla. Kovasti lisääntyneiden ulkoistusten ja toiminnanohjausjärjestelmien integraation myötä on nähtävissä selkeä kehitys korkean integraation suuntaan eri organisaatioiden järjestelmien välillä. Tätä kautta yritystoimintaan liittyvät riskit kasvavat; virusepidemiat, luvaton järjestelmien käyttö ja laitehäiriöt sekä riittämättömät suojaukset liiketoimintakriittisten sisäisten järjestelmien osalta vaarantavat tiedon eheyden, käytettävyyden ja luottamuksellisuuden ei ainoastaan yhdessä organisaatiossa vaan koko toimintaketjussa. Yhtä lailla tämä kehitys, järjestelmien ja prosessien ketjuuntuminen sekä riippuvuus toisen organisaation tietojärjestelmistä, on nähtävissä myös julkishallinnon puolella (esim. tulli ja poliisi käyttävät Patenttija rekisterihallinnon järjestelmiä). Kehitysehdotus: Etenkin yritysten johto pitäisi saada ymmärtämään, että tietopääomaan ja sen suojaamiseen liittyvä riskienhallinta on sisällytettävä kokonaisriskien hallintaan. Sitä ei tule tarkastella esim. pelkästään liiketoiminnallisista tai teknisistä näkökulmista koska liiketoiminnan prosessit ja teknologia ovat yhä useammin samaa integroitua toimintakokonaisuutta.

9 9 (28) KTM:ssä voitaisiin käynnistää hanke riskienhallintaportaaliin perustamisesta. Portaalin kautta olisi saatavilla mm. tietoa sekä julkisella että yksityisellä sektorilla toimivista riskienhallinnan työryhmistä, riskienhallinnan ohjeista sekä laista ja säädöksistä. Tietoa tulisi voida hakea perustuen toimi- tai hallinnonalaan sekä riskienhallinnan eri alueisiin: esim. ympäristöriskit, tietoriskit, rahoitusriskit, henkilöriskit jne. VTT on kehittänyt pk-yrityksille vastaavan riskienhallintaportaalin ( 3.2 Organisaation sisältä tulevien uhkien tunnistaminen ja ehkäiseminen Eräässä haastatelluista organisaatioista todettiin, että organisaation sisältä on helpompi vahingoittaa, mutta ulkoa se on todennäköisempää. Tämä näkemys oli jollain tapaa nähtävissä myös useissa muissa organisaatioissa. Ulkoa tulevia uhkia vastaan on puolustauduttava aktiivisesti, mutta sisältäpäin tulevien uhkien suhteen ollaan pikemmin passiivisia ja toimitaan vasta siinä vaiheessa, kun riski on realisoitumassa. Ongelma: Voitaisiin ajatella, että totta kai vahingoittaminen on helpompaa sisältäpäin mutta miksi näin on? Yhteiskunnassamme vallitsee hyvin turvallinen henki ja yrityksissä luottamus työntekijöiden korkeaan moraaliin. Yhteiskunnassa vallitsevien moraalikäsityksien rapautumiseen liittyy uhka pidemmällä tähtäyksellä. Vaikutukset ovat nähtävissä jo nyt. Teinit pitävät internetin haittaohjelmien rakentamista kivana leikkinä useinkaan seurauksia miettimättä. Nuorisolla on aiempia sukupolvia paremmat tietotekniset valmiudet, mutta toimiakseen tietoyhteiskunta edellyttää, että järjestelmiin voidaan luottaa. Kehitysehdotus: Sekä yksityisen että julkisen sektorin yhteisöjä tulisi valistaa sisäisten järjestelmien suojaamisen tärkeydestä. Tietopääoman suojaamista ei tulisi miettiä ainoastaan lainsäädännöllisistä ja tietoteknisistä näkökulmista, vaan tulisi huomioida lisäksi ainakin seuraavia keinoja: tietoturvakulttuurin luominen tietoyhteiskunnan rakentamisen yhteydessä sekä yleisesti hyväksyttyjen moraalikäsitysten vahvistaminen: mitä saa ja mitä ei saa tehdä (jokamiehen oikeudet eivät koske tietopääomaa ja tietojärjestelmiä) valistaminen ja kouluttaminen peruskoulusta lähtien: järjestetään tietoiskuja tietopääomaan liittyvistä oikeuksista, velvollisuuksista ja käsittelyn vastuista sekä mitataan aika-ajoin valistuneisuuden tasoa esim. kyselyin.

10 10 (28) 3.3 Tekijänoikeudet Digitalisoituminen on muuttanut tekijänoikeustilanteen kokonaan; oikeudenhaltijat eivät enää pysty kontrolloimaan aineistojen leviämistä. Enää ei kyetä valvomaan missä ja kuka teoksia käyttää. Tehdystä työstä ei saada enää korvausta samalla tavalla kuin aiemmin. Suurten tietovarantojen kopiointi on helppoa ja edullista; muutos on tapahtunut lyhyessä ajassa. Aineisto voi levitä eri muodoissa ja useita eri kanavia pitkin. Ongelma: Yliopistojen harjoittamassa tutkimustoiminnassa painitaan parinkin ongelman kanssa tekijänoikeuksiin liittyen. Yhtäältä, jos yliopistojen harjoittaman tutkimuksen tuotannossa käytetään hyväksi julkisen sektorin hallussa olevia tietovarantoja, tulee yksityisten yritysten saada sama raakadata käyttöönsä samoilla ehdoilla. Tämä vaikuttaa erityisesti yliopistojen kilpailukykyyn; resurssit ovat muutoinkin suhteellisen rajalliset yritysmaailmaan verrattuna. Toisaalta tutkimuksen jatkotuloksena perustetut yhtiöt aiheuttavat merkittävää haittaa yliopistoille lainsuojan ja viranomaistoiminnan riittämättömyyden vuoksi. Ensin mainittuun ongelmaan liittyen kilpailulainsäädäntö säätelee sekä julkisen että yksityisen sektorin tietotuotteiden levittämistä, jakelua. Tekijänoikeuslain mukaan tietovarannot voivat sisältää tekijänoikeudellisesti suojattuja tuotoksia, esim. kirjallisia teoksia, valokuvia, äänitteitä ja karttoja. Tällöin myös julkisen viranomaisen piirissä tuotettu tai sille luovutettu teos on suojattu. Lainsäädäntö ei kuitenkaan anna tukea niiden suojaamiseen eikä yliopistomaailmassa ole totuttu sellaisten sopimusten käyttöön, joilla rajoitettaisiin tiedon käyttöä muualla. Kun tieteellistä julkaisua tai ideoita yritetään viedä maailmalle, on vaarana, että näitä esiteltäessä muiden maiden laitoksille ne tekevät tutkimuksen tai toteuttavat idean omissa nimissään. Jälkimmäinen ongelma tutkimuksen jatkotuloksena perustetut yhtiöt on muodostunut ongelmaksi lähinnä siitä syystä, että yliopistojen osalta, organisaatioiden sisällä ei ole totuttu käyttämään organisaatioiden sisäisiä sopimuksia tutkimustoiminnassa. Tutkijat saattavat viedä mukanaan ideoita, joita yliopisto on rahoittanut ja muulla tavoin tukenut. Jos tutkija ei halua olla yliopistoa kohtaan oikeudenmukainen, niin hän voi lähteä ja alkaa tehdä tutkimusta omiin nimiinsä. Tästä aiheutuu taloudellista haittaa mutta tutkijan mukana saattaa lähteä useampiakin korkeasti koulutettuja henkilöitä. Tilanne on tältä osin erilainen kuin yksityisellä sektorilla missä sopimuksia on totuttu käyttämään tietopääomaa suojattaessa. Yliopistojen toiminta puolestaan rahoitetaan pääosin julkisista varoista ja siten tuotettava objektiivista kaikkien saatavilla olevaa tietoa. Ulkopuoliseen rahoitukseen perustuvat tutkimukset suojattu sopimuksin. Kehitysehdotus:

11 11 (28) Kun tutkimushankkeille myönnetään julkista tukea, niin tulisi selvittää rahoituksen kohteena olevaan asiaan liittyvät taustat sekä rahoituksen hakijan tosiasiallinen oikeus ideoihin ja asiakirjoihin. Käytännössä tämä edellyttänee selkeän yhteistoimintamallin kehittämistä yhteiskunnallisten rahoittajien kesken. Toisaalta yhteistyötä pitäisi kehittää myös tutkimuslaitosten kanssa yhteistyössä sen varmistamiseksi, että tiedon jäljitettävyyden osalta on mahdollisuus varmistua ainakin siitä kuka teki, mitä ja kenen toimesta. Myös kansainvälistä lainsäädäntöä voitaisiin kehittää, mutta ennen kaikkea yliopistoja tulisi valistaa tekemään keskinäisiä salassapitosopimuksia kaikissa niissä tilanteissa, joissa on riskinä tutkimustiedon ja ideoiden väärinkäyttö tai hallitsematon valuminen ulkopuolisten käsiin. 3.4 Viestintäviraston CERT-FI yksikön toimintaedellytysten turvaaminen Ongelma: Tietoturvallisuuden riskienhallintaan liittyen jatkuvan tilannekuvan ylläpitäminen on tärkeä toiminto. Yhtä tärkeää on verkostoituminen, yksin ei enää kyetä kaikkeen myöskään uhkissa tapahtuvan seurannan osalta. Tässä mielessä CERT-FI toiminto koettiin erittäin tärkeäksi ja toimivaksi toiminnoksi useissa haastatelluissa organisaatioissa. CERT-FI toiminnon resursointi ei kuitenkaan ole haastateltavien mielestä riittävällä tasolla. Kehitysehdotus: CERT-FI yksikön rahoitusta tulisi lisätä, jotta sillä olisi paremmat edellytykset vastata yhteisöjen tarpeisiin. Rahoituksessa olisi myös huomioitava se, että uuden tietosuojalain (ja yhteisötilaaja käsitteen) myötä valvonnan piiriin kuuluut teleyritysten lisäksi myös muita yrityksiä. Toisin sanoen teleyrityksiltä perittävät tietoturvamaksut eivät voi kattaa myös muiden yhteisöjen valvontaa tai ainakaan se ei ole oikeudenmukaista vaan rahoituksen on tultava myös esim. budjetista. Viestintävirastossa on menossa hanke liittyen CERT-FI palvelun kehittämiseen: Tutkimus yritysten ja yhteisöjen odotuksista ja tarpeista tietoturvallisuuden tilannekuvan osalta, Dnro: 1467/92/2004. Tässä kohdassa mainitut kehitysehdotukset olisi hyvä välittää tiedoksi ko. hankkeen työryhmälle. 3.5 Yksityisyyden suojaamisen vaikutukset tietoturvan valvontaan Ongelma:

12 12 (28) Liki kaikissa haastatelluista organisaatioista oltiin sitä mieltä, että uuden Sähköisen viestinnän tietosuojalain ja yhteisötilaajan käsitteen myötä suojaamismahdollisuuksia ja tietoturvan seurantaa on rajoitettu merkittävästi. Valvonta ja puuttuminen väärään toimintaan ja häiriötilanteisiin koetaan vaikeammaksi. Jos epäillään väärinkäytöstä on tehtävä poliisille tutkintapyyntö. Jotta tämä voitaisiin tehdä on kuitenkin mentävä viestinnän sisältöön, koska poliisi vaatii näyttöä ennen kuin ryhtyy asiaa tutkimaan. Viestinnän sisältöön puuttumista ei kuitenkaan nähdä Sähköisen viestinnän tietosuojalain perusteella mahdolliseksi. Mikäli lakia tulkitaan pitkän aikaa väärin on riskinä se, että yhteisöjen toimintatavat ohjautuvat tehottomampaan tai tietoturvattomampaan suuntaan. Esimerkkinä nykylainsäädännön (Laki viranomaisten toiminnan julkisuudesta /621) aiheuttamasta toimintatapojen muutoksesta on asioiden poisjättäminen kokouspöytäkirjoista ja ministeriöille toimitettavista raporteista. Tästä oli esimerkkejä ainakin ilmailuhallinnossa, huoltovarmuustoiminnassa sekä terveydenhuollon sektorilla. Tietosuojalailla sekä lailla yksityisyyden suojasta työelämässä koetaan olevan vaikutusta myös julkisten tietovarantojen hyväksikäyttöön. Lisäksi lait vaikuttavat vastaajien mielestä oleellisesti asiakastietojen laajuuteen ja rajoittavat käyttökelpoisuutta. Perimmäisenä ongelmana on todennäköisesti enemmän organisaation sisältä ulospäin lähtevän viestinnän ja tietopääoman suojaaminen, kuin organisaatioiden sisällä tapahtuva. Kehitysehdotus: Sähköisen viestinnän tietosuojalain tulkintaan ja soveltamiseen liittyy merkittävässä määrin epävarmuutta kyse voi myös olla muutosvastarinnasta liittyen uuteen lakiin, joka pääasiassa rajoittaa tietoturvan valvontaa mutta ei anna eväitä sen kehittämiseen. Suosittelemmekin, että Viestintävirasto antaisi selkeämmät ohjeet lain tulkinnasta ja kiertäisi organisaatioissa kertomassa uuden lain vaikutuksista ja soveltamisesta käytännön työssä. Lain implementointiohjeita varten on perustettu case-portaali ( Portaaliin olisi hyvä sisällyttää yleisten soveltamisohjeiden lisäksi enemmän esimerkkitapauksia lain soveltamisesta erilaisissa tilanteissa ja eri organisaatioissa. 3.7 Muita ongelmia ja kehitysideoita Seuraavassa on listattu muita kehitysehdotuksia, joita haastatteluissa tuli esille: Ilmailuhallinnossa koettiin tarpeelliseksi perustaa suljettu dataverkko viranomaiskommunikointia varten Virve-verkon tapaan. Verkko ulotettaisiin kaikkiin yhteiskunnan toiminnan kannalta kriittisiin organisaatioihin. Edelleen ilmailuhallinnossa toivottiin, että toimintaa ohjattaisiin vahvemmin laeissa tarkoitettuun suuntaan sisällyttämällä sanktioita useampiin säädöksiin. Yliopistosektorilla oltiin sitä mieltä, että Viranomaisten taholta on varottava lietsomasta käsitystä, että yksityisyyden suoja on kaikkein pyhin oikeus. Kommentin taustalla on tulkinta uuden tietosuojalain rajoittavuudesta etenkin tietoturvan val-

13 13 (28) vonnan osalta ja uskomus siitä, että yksityisyyden suojan korostaminen lainsäädännössä Huoltovarmuustoiminnassa esitettiin sähköpostiliikennettä automaattisesti salattavaksi organisaation sisällä. Lisäksi esitettiin kehitettäväksi kansallisen tason autentikointijärjestelmä. Nykyisin on käytössä useita erilaisia autentikointijärjestelmiä julkisten palveluiden ja viranomaisten yhteisessä käytössä olevissa järjestelmissä, esim. patentti- ja rekisterihallinnolla, verottajalla ja Postilla on yhteinen yritystietojärjestelmä, jonka tunnistautumiseen käytetään netpostia, verottajan TYVI-tunnistusta, pankkien tunnuksia tai hst-korttia.

14 14 (28) LIITE 1 Haastattelutulokset kysymyksittäin Kysymys 1. Millaisen tietopääoman koette olevan kansallisesti tärkeää? Kansallisesti tärkeäksi tietopääomaksi koettiin haastatelluissa organisaatioissa seuraavanlainen tietopääoma: Yliopistot ja tutkimustoiminta: Keksinnöt, täysin salassa pidettävät potilastiedot (liittyy lääketieteelliseen tutkimustoimintaan) ja henkilötiedot omasta henkilökunnasta. Kaikkein tiukin suoja oman henkilökunnan osalta; tässä tulee inhimillinen tekijä mukaan. Pankki- ja rahoitus: väestötiedot, taloustilastot, oikeusrekisterit (esim. lainhuuto, kiinnitysrekisteri), yksityisten ylläpitämät luottotietorekisterit, ulosottoviranomaisten rekisterit, varmennusjärjestelmät ja sertifikaatit (mm. VRK, PRH, VeriSign). Teletoimiala: erityisesti puolustusvoimien tiedot, asiakkaisiin liittyvät tiedot. Vakuutustoiminta: väestörekisteri, kansaneläkelaitoksen tiedot (päivärahat ja muut korvaukset). Arvopaperimarkkinajärjestelmien sisältämät tiedot. Tukku- ja vähittäiskauppa: kanta-asiakasjärjestelmissä olevat kuluttajien ostokäyttäytymiseen liittyvät tiedot. Tuotteiden jäljitystiedot, asiakastiedot ja toimittajatiedot (erityisesti kriisilanteita varten) tietojärjestelmissä. Media ja viestintätoimiala: viestintämateriaali, mediasisältö, luottotiedot sekä markkinatiedot ja tutkimukset. Huoltovarmuus: esimerkkeinä perusrekistereistä väestörekisteri, yritysrekisteri, kiinteistörekisteri, OM:n sovellukset rekistereistä, AKE:n rekisterit, turvallisuusviranomaisten rekisterit sekä verotukseen liittyvät rekisterit. Finanssisektorin järjestelmien sisältämä tieto, mm. arvopaperiosuusjärjestelmä ja vakuutusyhtiöiden tietokannat. Terveydenhuollon tietokannat. Terveydenhuolto ja sosiaalipalvelut: innovaatiot, keksinnöt. Mallisairaalahankkeessa muodostuva ohjelma, lääketutkimukseen liittyvät tiedot, ohjelmistot ja hoitoteknologiaan liittyvät tiedot ja tekniset kuvaukset, esim. säteilysuojaussysteemi. Lainsäädännössä kuvatut terveydenhuollon perustoimintaan liittyvät tiedot. Organisaation kehittämismallit ja hallinnolliset toimintatavat.

15 15 (28) Ilmailuhallinto: poliisin rekisterit (erit. Supo) eli henkilöturvallisuuteen liittyvät rekisterit, säätilahistoria. Luottokunnan rekisterit ja rikosrekisteri, väestötietorekisteri sekä kiinteistörekisteri. Patentti- ja rekisterihallinto: tieto yleensä salaista valmisteluvaiheessa mutta julkista patentin myöntämisen yhteydessä. Patentti- ja rekisterihallinto on kansainvälinen järjestelmä, joka ei tunnista kansallisia rajoja. Kysymys 2. Onko organisaatiollanne hallussa kansallisesti tärkeää tietopääomaa? Kansallisesti tärkeää tietopääomaa tunnistettiin eri organisaatioissa olevan seuraavasti Energiatoimiala: mm. suojautumismenettelyt ulkoisia uhkia vastaan sekä laitoksen tekninen dokumentaatio. Pankki- ja rahoitussektori: asiakastiedot (henkilöt, yritykset), luottotiedot, varmennusjärjestelmät Teletoimiala: kriisitilanteissa tärkeä rooli: toimitaan yhteistyössä kriisiorganisaatioiden kanssa, tähän verkostoon liittyvät tiedot, ohjelmistot ja varmistukset (se missä verkko fyysisesti sijaitsee), suojaus- ja lukitusjärjestelmät, telealan innovaatiot. Teknisen ympäristön tiedot ja sen kuvaus. Lisäksi kumppaneilta tuleva tieto; se ei saa karata liian aikaisin julkisuuteen (esim. Nokialta tuleva tieto tuotteiden julkistuksista). Vakuutustoiminta: sijoitussuunnitelmat, suurten asiakkaiden strategiset suunnitelmat. Asiakastiedot (arkaluonteiset taloudelliset ja terveystiedot, asiakkaat, eläkkeensaajat, velat). Media ja viestintätoimiala: asiakastiedot, markkinatiedot sekä yrityssalaisuudet. Huoltovarmuustoiminta: omaan suunnitteluun liittyvät rekisterit, toimipaikkojen tärkeysluokitus, hyötyajoneuvojen ohjausjärjestelmä, omat suunnittelumallit yritysmaailmalle liittyen riskienhallintaan poikkeustilanteissa (varasuunnitelmat). Tietokanta koskien kaikkia niiden alueiden tietoja, joissa valtiolla on intressejä (valmiusdokumentteja). Osaaminen paljonkin yksilöiden hallussa, vaikka organisaatioon onkin kumuloitunut tietoa. Terveydenhuolto ja sosiaalipalvelut: potilaiden seuranta-aineistot (1960-luvulta lähtien), potilas- ja tutkimusrekisterit. Ilmailuhallinto: ilmatilan datasetti (reittipisteet, koordinaattimääritykset), infrastruktuuri-informaatio: verkotukset, sähköt, viestiyhteydet, esterekisteri (lentoesteet eli

16 16 (28) esim. mastot), lentoasemien digitaalinen kartasto, kaikki toimintakäsikirjat, lennonjohtojärjestelmät. Lisäksi tutkatieto, liikennetieto (lentoliikenteeseen liittyvä tietokanta), ilmarekisteri, ilmailuviranomaisten määräykset. Lentoasematiedot, ilmailuun liittyvät rekisterit (lentoluvat, lennonjohtoluvat), turvallisuusrekisterit, Suomen AIP eli ilmailutiedotusjulkaisu (ilman tätä ei lennetä). Patentti- ja rekisterihallinto: patenttihakemukset, asiakasrekisterit. 3. Millä tavoin organisaatiossanne on organisoitu tietopääoman suojaamiseen liittyvät vastuut? Vastuut on organisoitu eri organisaatioissa ja toimialoilla hyvin samansuuntaisesti. Tietopääoman omistajuus sekä käyttöoikeudet on määritelty liiketoimintayksiköissä; tietopääoman suojaaminen on näiden vastuulla. Tietohallinto tarjoaa tekniikan ja metodit tietopääoman suojaamiseksi sekä tarpeen mukaan ohjeistusta. Metsäsektorilla tietohallinto vastaa tietopääoman suojaamisesta. Pankki- ja vakuutussektorilla sekä energiatoimialalla organisoinnissa näkyy kuitenkin muita tiukemmat vaatimukset ja roolitus tietoturvan suhteen. Terveydenhuolto- ja sosiaalipalveluissa sekä yliopistoissa ja tutkimustoiminnassa tietoturvallisuuden kehittäminen ja valvonta on sidottu laatujärjestelmiin. Kysymys 4. Millaisia uhkia koette organisaationne tietopääomaan liittyvän? Tietopääoman luottamuksellisuuden varmistaminen koetaan kaikissa haastatelluista organisaatioista tärkeäksi mutta monilla sektoreilla (Patentti- ja rekisterihallinto, media, pankkitoiminta, energia, ilmailuhallinto) korostettiin nimenomaan tietopääoman eheyden merkitystä. Tiedon sabotointi, ilman että sitä havaitaan ajoissa koetaan merkittäväksi uhkaksi. Yliopistosektorilla uhkia liitettiin myös langattomiin verkkoihin niiden salakuuntelun mahdollisuuden kautta. Periaatteellinen turvataso koettiin huonoksi; sähköpostia pitää käyttää salatun yhteyden yli mutta muutoin ei ole erityisvaatimuksia. Myös kiinteän verkon fyysistä pääsyä on helpompi valvoa. Myös social engineering koettiin uhkaksi. Pankkitoiminnassa uhkiksi koettiin erityisesti identiteettivarkaudet, teollinen vakoilu, hyvän tavan vastainen toiminta tai laiton hyväksikäyttö sekä palvelunestohyökkäykset, varusohjelmien aukot, verkkoon tunkeutuminen ja erilaiset haittaohjelmat. Ilmailuhallinnossa uhkia koettiin liittyvän tietoliikenneyhteyksiin, tiedon eheyteen ja tietokantoihin. Tietoliikenneyhteyksissä ajateltiin, että vaarana on tärkeään operaattoriin kohdistuva häiriö tai sabotaasi. Myös terrorismia, krakkerointia sekä tietokantojen tuhoutumista pidettiin merkittävinä uhkina.

17 17 (28) Perinteisiä uhkia mainittiin lähes kaikilla sektoreilla olevan mm. laitteistorikkoutumiset, sähkönsyötön häiriöt, ylikuormitustilanteet, tulipalot ja vesivahingot. Lisäksi materiaalin vääränlainen käsittely, esim. käytöstä poistettavan, tuhottavan tietopääoman tuhoaminen riittämättömällä tavalla (ei käytetä tietosuojamateriaalin keräysastioita). Teletoimialalla todettiin, että ollaan uudessa kilpailutilanteessa, missä kilpailijoille täytyy sallia pääsy tietovarastoihin (rajatusti), myös omissa tiloissa (teleliikennelaite) käy kilpailijoiden ihmisiä. Tietoista vahingontekoa pidettiin kuitenkin epätodennäköisenä. Myös rikollisilla käyttäjillä todettiin olevan laajakaistayhteyksien myötä parempi mahdollisuus päästä käsiksi järjestelmiin. Media ja viestintätoimialalla tietopääoman katoamista henkilöstön mukana pidettiin uhkana, samoin uutisointiin ja viestinnän sisältöön liittyvien tietojen vuotaminen kilpailijoille. Myös ulkoistuksiin liittyvä tietopääoman syntyminen ja jääminen ulkopuolisten haltuun koettiin uhkaksi. Edelleen, internetin turvattomuutta pidettiin syynä piratismiin ja tulon menetyksiin. Ylipäätään huolimatta teknologian hyötynäkökulmista tietotekniikkariippuvaisuutta pidettiin uhkana. Lisäksi uhkiksi koettiin immateriaali- ja tavaramerkkiloukkaukset, hakkerointi, tietoaineistojen eheyden menettäminen sekä tiedon luottamuksellisuus. Uhkaksi mainittiin myös uusien teknologioiden käyttöönotto, ennen kuin niihin liittyvät riskit on selvitetty ja hankittu riittävästi osaamista. Yliopistosektorilla koettiin avoimen kulttuurin kautta tulevan uhkia virusten, sabotaasin ja tietovarkauksien muodossa. Tiedustelutoiminnan sijaan on tullut merkittävässä määrin yritysvakoilu. Etenkin huoltovarmuustoiminnassa koettiin, että ollaan selkeästi tiedustelun kohteena. Huoltovarmuustoiminnassa uhkiksi mainittiin lisäksi kiinteistöön ja sitä kautta järjestelmiin kohdistuvat tulipalot sekä vesivahingot. Terveydenhuollon sektorilla koettiin, että median röyhkeys potilastiedon urkkimisessa on lisääntynyt selvästi. Terveydenhuollon ja sosiaalipalveluiden sektorilla sekä yliopistomaailmassa kulttuurin avoimuus koettiin uhkaksi. Kysymys 5. Koetteko uhkien tulevan enemmän organisaation sisä- vai ulkopuolelta? Toteamus sisältä helpompi vahingoittaa mutta ulkoa todennäköisempää kiteyttää hyvin eri organisaatioissa yleisesti vallalla olevan käsityksen siitä, että uhkien koetaan tulevan enemmän ulkopuolelta. Ulkoa päin tuleviin uhkiin on myös reagoitava nopeammin; päivitettävä sovelluksia koko ajan ilmenevien uusin virusten ja haavoittuvuuksien vuoksi.

18 18 (28) Tukku- ja vähittäiskaupan alalla uhkien koettiin muista poiketen tulevan pääasiassa sisäpuolelta. Toimialaa ei pidetä houkuttelevana rikollisuudelle. Palvelunestohyökkäykset vahingoittaisivat toimintaa merkittävästi; asiakastoimitukset halvaantuisivat parissa tunnissa. Valmiussuunnittelun ja sabotoinnin/terrorismin näkökulmasta pidämme kuitenkin myös tätä toimialaa haavoittuvaisena ja merkityksellisenä yhteiskunnan kannalta (ruokatavaratoimitukset). Myös media ja viestintätoimialalla uhkat koettiin merkittävämmäksi sisältä päin, koska tiedon saatavuus on sisältä huomattavasti helpompaa. Yliopistosektorilla todettiin, että ulkopuolelta tulevia uhkia vastaan suojauduttava aktiivisesti, sisäpuolen osalta tyydytään tarkkailemaan ja reagoimaan, mikäli tarpeen. Ammattimaisia vakoilijoita on paljon ja nämä tahot kalastavat tietoa sieltä sun täältä, minkä vuoksi tällaista toimintaa on vaikea havaita. Internetiin liittyvät uhat nähtiin kaikissa organisaatioissa vakavana ulkopuolisena uhkana. Internetiin liittyvien uhkien suhteen käydään jatkuvaa kilpajuoksua; urkkijat ja teknologia koko ajan askelen edellä. Muut uhkat paremmin yksittäisiä ja niihin voidaan varautua eri tavalla. Internetin ja tietoliikenneverkottumisen uhkiin liittyy myös verkottuminen partnereiden ja asiakkaiden suuntaan; toimivaltuudet ja vaikutus- sekä valvontamahdollisuudet eivät kovin ulotu kovin hyvin oman organisaation ulkopuolelle. Pankki- ja rahoitussektorilla koettiin todella vakavia uhkia ulkopuolelta, ja niistä on omakohtaisia kokemuksia. Näihin liittyvät kuvaukset ovat luottamuksellisia, joten niitä ei voida tässä raportissa käsitellä. Terveydenhuolto ja sosiaalipalveluissa koettiin uhkaksi sisältäpäin tuleva uteliaisuus potilastietoja kohtaan. Ulkopuolinen uhka lisääntymässä, esim. kiinnostus omaa henkilökuntaa kohtaan (anestesialääkäreiden palkat). Median kiinnostus etenkin julkkisten potilastietojen urkkimiseksi on kasvanut ja keinot muuttuneet kyseenalaisiksi (jopa tekeydytään omaisiksi tietojen saamiseksi tai potilaana sairaalaan, kuten Myyrmannin pommitapauksessa). Kysymys 6. Millaista haittaa saattaisi mielestänne olla tietopääoman joutumisella ulkopuolisten käsiin? Vastauksista erottuu selkeästi kolmen tyyppisiä eriasteisia haittoja: imagohaitta toiminta keskeytyy mutta palautuminen on mahdollista toiminta lakkaa pahimmassa tapauksessa.

19 19 (28) Vastaajat on toimialoittain mahdollista jakaa edellisen jaottelun mukaisesti sen mukaan millainen haitta tulisi lähinnä kysymykseen. Toiminnan lakkaaminen pahimmassa tapauksessa on nähty mahdolliseksi Vakuutustoiminnassa ja Pankki- ja rahoitustoimialalla; näillä on riskinä menettää toimilupa. Myös merkittävä negatiivinen julkisuus ja asiakkaiden menettäminen koettiin haitaksi näillä toimialoilla. Seuraavissa pidetään oleellisena haittana toiminnan keskeytymistä mutta katsotaan palautuminen mahdolliseksi tietyin edellytyksin: energia, tukku- ja vähittäiskauppa, teletoiminta, media ja viestintä, huoltovarmuus. Ilmailulaitoksella tietojen menettämisellä ulkopuolisille koettiin olevan ennen kaikkea puolustuksellista merkitystä. Loppujen osalta kysymykseen saattaisi tulla lähinnä imagoon liittyvät kolhut tai kilpailukyvyn menettäminen. Yliopistojen puolella voidaan käyttää synonyyminä meriittihaittaa; esim. ellei olla ensimmäisiä tutkimustulosten julkaisijoita (vaikka oltaisiinkin edelläkävijä tutkimuksessa), niin arvostus tiedeyhteisössä laskee. Seuraukseksi koettiin myös taloudelliset menetykset niin julkisella kuin yksityiselläkin sektorilla. Teletoimialalla koettiin, että poliisin yhä kasvava halu laajentaa puhelutietojen saantia heikentää luottamusta operaattoreihin. Edelleen nähtiin, että jos yksityisyyden suojaa loukattaisiin laajassa mittakaavassa (jos asiakkaiden tiedot joutuisivat vääriin käsiin) ja luottamus häviäisi, niin otettaisiin yhteiskunnassa mahdollisesti takapakkia tietojärjestelmien käytössä. Kehitysajatuksena mietittiin, että pitäisikö rakentaa suojattuja eriytettyjä systeemejä asiakastiedon hallintaan. Patentti- ja rekisterihallinnossa nähtiin, että asiakastietojen joutumisella ulkopuolisten käsiin olisi paitsi merkittävää haittaa ko. yrityksen kannalta, niin myös valtakunnan turvallisuuteen liittyen. Suomen liittyessä EU:hun Venäjältä tulevien patenttihakemusten määrä on lisääntynyt huomattavasti, koska Suomen kautta ne saavat samat oikeudet, toisaalta niitä koskevat myös samat velvollisuudet, kuin muitakin EU:ssa toimivia yrityksiä. Tässä on uhkaksi koettu mafian toiminnan laajentuminen. Kysymys 7. Onko tietopääoma erotettu muusta organisaation käsittelemästä tiedosta? Miten? Ainoastaan harvassa haastatelluista organisaatioista on tietopääoma eriytetty jollain tavoin organisaation muusta tiedosta. Niissä joissa on eriytetty, se on tehty pääasiassa käyttäen erittäin tiukkoja käyttöoikeusrajauksia tai tietoliikenneverkon segmentointia. Myös hallinnon järjestelmien erottaminen tuotannon järjestelmistä on yleisesti käytetty tapa. Niissäkin yhteisöissä, joissa ei varsinaista eriyttämistä ole tehty on tietoihin pääsyä kuitenkin rajoitettu.

20 20 (28) Yliopistoissa ja tutkimustoiminnassa suojaavaksi tekijäksi on nähty se, että tieto on hajallaan eri tietokannoissa ja tutkijoiden hallussa. Yleensä siinä vaiheessa, kun tällaisesta heterogeenisesta tiedosta on muodostumassa tietopääomaa, se tulee myös julkiseksi; sille haetaan patenttia tai lanseerataan julkaisu ja sen avulla vahvistetaan organisaation arvostusta tiedeyhteisössä. Myös tiedon massa ja heterogeenisuus on suojaava tekijä. Teletoimialalla tietopääoma koettiin vaikeasti toiminnasta erotettavaksi; asiakkaille tarjotaan tuotantokone, jota asiakas käyttää ja käsitellään vain tietoa siitä, miten asiakas sitä käyttää. Terveydenhuollossa ja sosiaalipalveluissa potilaalla on mahdollisuus kieltää omien tietojen luovuttaminen esim. muiden lääkäreiden käyttöön (mikä on kylläkin harvinaista). Potilasrekisteri, henkilöstörekisteri (sisältää pääosin julkista tietoa tietyin rajoituksin) ja työterveyshuollon rekisterit on eriytetty. Kysymys 8. Onko organisaatiossanne tehty riskianalyysia tietopääomaan liittyen? Kaikissa organisaatioissa on tehty riskianalyysia mutta tietopääomaan liittyen ei yhdessäkään. Tiedon taloudellisen arvon määrittäminen koettiin vaikeaksi. Tietohallinnossa riskien analysointia on tehty liittyen lähinnä tietojen käytettävyyteen ja luottamuksellisuuteen. Tietohallintotoimintoon liittyvien riskien hallinta on kuitenkin selkeästi erillään organisaatioiden muusta riskien hallinnasta; sillä ei ole juurikaan kytkentää liiketoimintaan ja sen tavoitteisiin. Poikkeuksina voidaan kuitenkin mainita vakuutustoiminta, huoltovarmuushallinto sekä ilmailuhallinto. Näissä riskejä arvioidaan riskienhallintatyöryhmässä, jossa on edustettuina johto, liiketoiminnot sekä tietohallinto. Useissa organisaatioissa riskianalyysi on myös mukana koko ajan kaikessa toiminnassa ilman, että tehtäisiin erillistä riskianalyysia. Useimmiten tietojärjestelmiin liittyvää riskienarviointi tehdään nimenomaan jatkuvuussuunnittelun yhteydessä. Yliopistoissa ja tutkimustoiminnassa sekä teletoimialalla korostettiin erityisesti, että toiminta ei saa kaatua pieniin häiriöihin; tämä on vaikuttava tekijä kaikissa asioissa ja toiminnoissa. Yliopistoissa ja tutkimuksessa tunnistettiin, että ollaan pääomatalo. Tämän vuoksi rahassa ei voi mitata juuri mitään; kaiken täytyy toimia koko ajan. Kysymys 9. Onko organisaatiossanne analysoitu tehtävät ja toimintaprosessit, luokiteltu tai määritelty tietoaineiston arvo ja jos on, niin miten? Tehtävät ja prosessit on analysoitu kaikissa organisaatioissa ja useissa tietoaineiston arvo on priorisoitu ja luokiteltu luottamuksellisuuden tai käytettävyyden mukaan. Tietoaineiston arvoa ei ole määritelty mutta kuitenkin sen tuottamiseen liittyvät prosessit on arvioitu. Talou-