TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET

Transkriptio

1 HAAGA Raportteja 7 Niina Kinnunen TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET ISBN-10: (pdf) ISBN-13: (pdf) ISSN:

2 HAAGA Raportteja 7 TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET NIINA KINNUNEN Haaga Instituutin ammattikorkeakoulu Helsinki 2006

3 Copyright: Niina Kinnunen + Haaga Instituutin ammattikorkeakoulu Kansi: Tarja Leponiemi ISBN-10: (pdf) ISBN-13: (pdf) ISSN: Haaga Instituutin ammattikorkeakoulun julkaisuja. HAAGA Raportteja

4 SISÄLLYS TIIVISTELMÄ JOHDANTO Tutkimuksen tausta Tutkimusongelma, tavoitteet ja aiheen rajaus Keskeiset käsitteet TIETOTURVA OSANA YRITYSTÄ JA YHTEISKUNTAA Yleistä tietoturvasta Tietoturva yhteiskunnassa Tietoturva yrityksessä Tietoturvasuunnittelu Tietojen ja riskien merkitys tietoturvalle Laitteet, ohjelmistot ja tietoverkko EMPIIRINEN OSA Tutkimusaineisto Tutkimusmenetelmän esittely TUTKIMUSTULOSTEN ESITTÄMINEN JOHTOPÄÄTÖKSET JA PARANNUSEHDOTUKSET Johtopäätökset Johtopäätöksistä muodostettavat tärkeimmät ehdotukset LOPPUPOHDINTA LÄHDELUETTELO Painetut lähteet Painamattomat lähteet LIITE 1. Kyselylomake... 25

5 TIIVISTELMÄ Tutkimus paneutuu tietoturvaan sekä pienyritysten tietoturvan tilan selvittämiseen. Yritysten tietoturvan tilasta pyritään tekemään johtopäätöksiä valtakunnan tasolla. Tutkimusongelmana on selvittää onko tietoturvasta huolehdittu riittävällä tasolla. Tutkimuksen tavoitteena on selvittää niitä tietoturvan osa-alueita, joissa on parannettavaa. Tutkimuksessa pyritään selvittämään myös tietoturvaan liittyvää koulutustarvetta. Tutkimusaineisto on kerätty kyselyllä. Kysely suoritettiin pääsääntöisesti sähköisesti Internetissä toteutetulla kyselylomakkeella. Kyselylomakkeen URL-osoite lähetettiin 129 Malminseudun yritysyhdistykseen kuuluvalle yritykselle. Vastauksia saapui 16 kappaletta (12,4 %). Tutkimuksessa käytetään ensisijaisesti kvantitatiivista tutkimusmenetelmää. Saaduista vastauksista lasketaan kysymyksittäin saatujen kyllä- ja ei-vastausten määrä. Myös mahdollisten tyhjien vastausten määrä huomioidaan. Tutkimuksessa käytetään jossain määrin myös vertailevaa menetelmää. Yritysten vastauksista haetaan kysymys kysymykseltä yhtäläisyyksiä ja eroja. Kysymyksille pyritään muodostamaan yhteyksiä muihin kysymyksiin eli haetaan toisiinsa liittyviä tai toisistaan riippuvia kysymyksiä ja vertaillaan niistä saatujen vastauksien yhtäläisyyksiä ja eroja eri yritysten välillä. Näin vertailemalla vastauksista pyritään selvittämään onko esimerkiksi toimialalla tai vakinaisten työntekijöiden määrällä vaikutusta saatujen vastausten luonteeseen. Tutkimustulosten mukaan yritykset ovat tietoisia mikä on yrityksen tärkeää tietoa. Tietoturvapolitiikan merkitys yritykselle on myös pääsääntöisesti ymmärretty. Kaikilla yrityksillä ei kuitenkaan ole tietoturvapolitiikkaa. Riskien kartoittaminen on tekemättä useissa yrityksissä. Yritykset eivät ymmärrä varautua sellaiseen mitä ei ole tapahtunut. Tietojen varmennuksesta huolehditaan, mutta varmenteiden säilytyspaikassa on parannettavaa puolessa yrityksistä. Saatujen tutkimustulosten mukaan yritykset eivät ole tiedostaneet yrityksen sisältä tulevien tietoturvauhkien määrää. Yrityksillä on huomattavasti parannettavaa sisäisten tietoturvauhkien huomioimisessa. Yritykset eivät pyri tietoisesti tekemään tietoturvasta kaikkien työntekijöiden tehtävää. Tämä näkyy tutkimustuloksissa esimerkiksi perehdyttämisen ja tietoturvaraportoinnin puuttumisena noin puolessa yrityksistä. Myöskään tietoturvavastuita ei ole jaettu kaikissa yrityksissä. Sisäisen uhkan näkökulmasta tarkasteltuna yrityksiltä puuttuu myös ohjeistus miten toimia, jos epäilee jotakin yrityksen työntekijää tietoturvaväärinkäytöksestä. AVAINSANAT: tietoturva, tietoturvallisuus, tietoturvapolitiikka, tieto, riski, yritys 1

6 1 JOHDANTO 1.1 TUTKIMUKSEN TAUSTA Keväällä 2006 Haaga Instituutin ammattikorkeakoulussa Malmin liiketalousinstituutissa toteutetulla Verkon tietoturva -kurssilla 29 iltaopiskelijaa kävi pienryhmissä selvittämässä yhteensä 12 pääkaupunkiseudulla sijaitsevan pk-yrityksen tietoturvan tilaa. Selvitys tehtiin haastatteluna. Ainoa rajoite selvitykselle oli, että sen piti kohdistua pk-yritykseen. Selvityksessä ilmeni, että tietoturvalla ymmärrettiin pääsääntöisesti virukset ja niiden torjuntaohjelmistot, palomuurit sekä käyttäjätunnukset ja salasanat. Tietoturvaan suhtautumisessa oli havaittavissa huolestuttavaa välinpitämättömyyttä. Huolettomuuteen oli löydettävissä syy siitä, että millekään haastatelluista yrityksistä ei ollut ikinä sattunut mitään suurta tietoturvaan liittyvää vahinkoa tai ongelmaa. Yleinen käsitys oli, että kun virustorjuntaohjelmisto ja palomuuri on asennettu, tietoturva on kunnossa. Näiden ohjelmistojen päivittäminen oli satunnaista suurimmassa osassa yrityksiä. Työntekijöiden Internetin käyttöä oli rajoitettu vain parissa yrityksessä. Missään yrityksessä ei kyseenalaistettu yrityksen työntekijöiden tietoturvaosaamista. Toisaalta sitä ei ollut myöskään tietoisesti selvitetty missään yrityksessä. Haastatellut yritykset eivät osanneet arvioida tietoturvaan käytettävien resurssien määrää. Selvitykseen vastanneet yrityksen edustajat, jotka olivat pääasiassa yrityksen omistajia tai toimitusjohtajia, eivät nähneet yrityksen tietoturvasta huolehtimista osana omaa toimenkuvaa. Tietoturva nähtiin sen sijaan työtehtävänä, jonka hoitaa yksi tai pari työntekijää. Usein näiden henkilöiden nimeäminen oli vaikeaa. Myöskään tietoturvasta vastaavan henkilön asemaa yrityksessä ei osattu pääsääntöisesti kertoa. Joissakin yrityksissä tietoturvasta huolehtiminen oli ulkoistettu. Näissä yrityksissä luotettiin melko sokeasti palvelun tarjoavaan yritykseen, eikä oman yrityksen tietoturvan tilasta ja hoidosta osattu kertoa oikeastaan mitään. Tietoturvapolitiikka tai muu tietoturvaan liittyvä dokumentaatio löytyi vain parista yrityksestä. Useimmissa yrityksissä uusille työntekijöille ei kerrottu perehdytyksessä yrityksen tietoturvakäytäntöjä. Työntekijät eivät selvittäneet niitä myöskään omatoimisesti. Selvityksestä kävi ilmi, että varmuuskopioinnista huolehdittiin säännöllisesti vain harvoissa yrityksissä. Useimmissa yrityksissä työntekijät vastasivat itse varmuuskopioiden ottamisesta. Varmuuskopioiden säilytyspaikassa oli kaikissa yrityksissä parannettavaa. Erittäin pienten yritysten ongelmana oli se, että yrityksen asioidenhoidossa käytettävää tietokonetta käytti perheen muutkin jäsenet. Erityisesti se, että myös lapset saivat käyttää samaa konetta pelatessa ja Internetin käytössä oli huolestuttavaa siitäkin huolimatta, että lapset käyttivät tietokonetta omalla profiililla. Haastatelluista yrityksistä lähes kaikki yritykset arvioivat, että tietoturva on heidän yrityksessään hallinnassa. Epävirallisesti tehdyn selvityksen yhteenvetona voidaan todeta, että yritysten omasta mielestä heidän tietoturvasta oli huolehdittu riittävällä tasolla. Kaikkien yritysten vastauksista oli kuitenkin havaittavissa, että yritysten tietoturvassa on paljon parannettavaa. Myös yritysten työntekijät tarvitsisivat tietoturvakoulutusta. Yritykset eivät kuitenkaan itse välttämättä ymmärrä tietoturvasta huolehtimisensa riittämättömyyttä. Tästä selvitystuloksesta kiinnostuneena lähdettiin tässä julkaisussa tekemään tutkimuksellisempaa selvitystä yritysten tietoturvan tilasta. 1.2 TUTKIMUSONGELMA, TAVOITTEET JA AIHEEN RAJAUS Tässä tutkimuksessa paneudutaan tietoturvaan sekä pienyritysten tietoturvan tilan selvittämiseen. Yritysten tietoturvan tilasta pyritään tekemään johtopäätöksiä valtakunnan tasolla. Tutkimusongelmana on selvittää onko tietoturvasta huolehdittu riittävällä tasolla. Tutkimuksen tavoitteena on selvittää niitä tietoturvan osa-alueita, joissa on parannettavaa. Tutkimuksessa pyritään selvittämään myös tietoturvaan liittyvää koulutustarvetta. Tutkimuksen lähtökohtana on, että yritysten tietoturvan tilassa on parannettavaa ja yrityksille pitäisi tarjota tietoturvatietoutta erityisesti erilaisissa koulutustilaisuuksissa. Tutkimusta varten suoritettiin eikokeellinen empiirinen tutkimus, jossa tutkimusaineisto kerättiin kyselyllä. Tutkittavat yritykset rajattiin Malminseudun yritysyhdistykseen kuuluviin yrityksiin. Tutkimustuloksia pyrittiin saamaan nimenomaan 2

7 pienistä ja keskisuurista yrityksistä. Tutkimusmenetelmästä kerrotaan alaluvussa 3.2 Tutkimusmenetelmän esittely. Myöhemmin esitettävästä tietoturvan viitekehyksestä on havaittavissa, että tietoturva kattaa erittäin laajan kokonaisuuden. Tietoturvakeskustelu julkisuudessa käsittelee usein roskapostia, Internetistä tulevia hyökkäyksiä ja niiden estämistä palomuurilla sekä viruksia. Nämä tietoturvan osa-alueet ovat yleisesti jollain tasolla tiedossa. Keinot niiden huomioimiseen ja niiden aiheuttamien riskien estämiseen ovat myös tietoturvan näkökulmasta yleisesti melko hyviä. Tässä tutkimuksessa tietoturvan tilaa tarkastellaan erityisesti hallinnollisesta näkökulmasta teknisen tietoturvan sijaan. Näiden seikkojen takia roskaposti, Internet-hyökkäykset, palomuurit ja virukset rajataan pois tässä tutkimuksessa käsiteltävistä tietoturva-aiheista. Myöskään langattomien yhteyksien tietoturvaa ja salauksella luotavaa tietoturvaa ei käsitellä tässä tutkimuksessa. Teknistä tietoturvaa käsitellään kuitenkin hallinnollista tietoturvaa tukevilta osin. 1.3 KESKEISET KÄSITTEET Tietoturvallisuudella (information security) tarkoitetaan tavoitetilaa, jossa tiedot, tietojärjestelmät ja palvelut suojataan asianmukaisesti niin, että uhat, jotka kohdistuvat niiden luottamuksellisuuteen, käytettävyyteen ja eheyteen, eivät aiheuta yhteiskunnalle ja sen jäsenille merkittävää vahinkoa. Toisaalta tietoturvallisuudella tarkoitetaan lainsäädäntöä ja muita normeja sekä toimenpiteitä, joilla pyritään varmistamaan tietoturvallisuus normaali- ja poikkeusoloissa. (Valtiovarainministeriö 2003, 51) Tietoturvallisuus ja tietoturva tarkoittavat käytännössä samaa. Tekniikan sanastokeskuksen (Tietotekniikan termitalkoot 2002) määritelmän mukaan tietoturvalla tarkoitetaan niitä järjestelyjä, joilla yritetään varmistaa tiedon luottamuksellisuus, eheys ja käytettävyys. Tällöin käytettävyydellä tarkoitetaan, että tieto on hyödynnettävissä sillä hetkellä, kun sitä halutaan käyttää. Eheydellä tarkoitetaan, että käytettävissä oleva tieto ei poikkea alkuperäisestä tiedosta. Tiedon luottamuksellisuus toteutuu, jos tieto ei ole sivullisten saatavilla. Liikenne- ja viestintäministeriön (2006) tietoturvan määritelmässä korostetaan, että tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamiseksi tehtävät toimenpiteet ovat hallinnollisia ja teknisiä. Tietoturvapolitiikka muodostuu yrityksen ylimmän johdon hyväksymistä käytännöistä, joilla saavutetaan haluttu tietoturvallisuuden taso. Tietoturvapolitiikka on julkinen dokumentti, joka on tarkoitettu koko henkilöstölle. Tietoturvapolitiikka on tärkein yrityksen tietoturvakäytäntöjä ja tietoturvallisuusprosessia ohjaava dokumentti. Siinä kuvataan yleisellä tasolla mikä on yrityksen eri liiketoimintaprosessien vaatima tietojen turvaamisaste, millä menetelmillä haluttuun tietoturvatasoon pyritään ja miten tietoturvallisuutta hallinnoidaan ja kehitetään. (Hakala, Vainio & Vuorinen 2006, 7) Tietoturvapolitiikassa asetettujen suuntaviivojen ja reunaehtojen pohjalta laaditaan tietoturvasuunnitelma, joka on luottamuksellinen tai salainen. Se sisältää käytänteet, joilla pyritään haluttuun tietoturvallisuuden tasoon. Tietoturvasuunnitelmassa määritellään kirjallisesti ja yksityiskohtaisesti kussakin tietojärjestelmässä käytettävät työmenetelmät ja tekniset ratkaisut. Tietoturvasuunnitelman pohjalta voidaan laatia tietoturvaohje, joka on käyttäjälle laadittu yksittäistä tietojärjestelmää tai liiketoimintaprosessia käsittelevä erillinen ohje. Myös tämä dokumentti on luottamuksellinen tai salainen. (Hakala ym. 2006, 7, 9 10) Tietoturvan määrittelyä varten on luotu yleisluonteiset tietoturvastandardit, jotka ovat ISO ja ISO ISO on keskeisin tietoturvallisuuden suunnittelua ohjaava standardi, jossa määritetään yrityksen tietoturvallisuuden suunnitteluissa, ylläpidossa ja kehittämisessä huomioitavat osaalueet. Se sisältää yleisperiaatteet ja suuntaviivat tietoturvallisuuden hallitsemiselle. Siinä kuvataan turvallisuuden parantamistoimien käynnistämis- ja toteutustapoja. Lisäksi siinä kerrotaan turvallisuushallinnon ylläpito- ja kehitystapoja. Standardin nimestä on tehty muutosehdotus, jonka myötä standardin nimi muuttuisi tulevaisuudessa ISO 27002:ksi. ISO koskee tietoturvallisuuden hallintajärjestelmää, jonka lyhenne on ISMS. Standardin seuraaminen edellyttää ISO standardia. (Hakala ym. 2006, 46 47, 49) 3

8 2 TIETOTURVA OSANA YRITYSTÄ JA YHTEISKUNTAA 2.1 YLEISTÄ TIETOTURVASTA Tietoturvallisuus muodostuu luottamuksellisuudesta, käytettävyydestä, eheydestä, kiistämättömyydestä ja pääsynvalvonnasta. Luottamuksellisuus (confidentality) toteutuu, kun tietojärjestelmän tietoja pystyy käyttämään vain sellainen henkilö, joka on oikeutettu tietoihin. Käytettävyydellä (availability) tarkoitetaan, että tiedot on mahdollista saada tietojärjestelmästä oikeassa muodossa ja riittävän nopeasti. Eheydellä (integrity) tarkoitetaan, että tietojärjestelmän tiedot ovat paikkansapitäviä ja ne eivät sisällä tahallisesti tai tahattomasti tehtyjä virheitä. Kiistämättömyydellä (non-repudiation) tarkoitetaan sitä, että tietojärjestelmä pystyy tunnistamaan ja tallentamaan järjestelmän käyttäjän tiedot luotettavasti. Pääsynvalvonnalla (access control) tarkoitetaan menetelmiä, joilla rajoitetaan tietojenkäsittelyinfrastruktuurin käyttöä. Määritelmään voidaan sisällyttää myös autenttisuus, joka tarkoittaa tietojärjestelmää käyttävien henkilöiden ja laitteiden luotettavaa tunnistusta. (Hakala ym. 2006, 4 6.) Hakala ym. (2006, 10 12) jakaa tietoturvallisuuden osa-alueisiin seuraavasti: - hallinnollinen turvallisuus - fyysinen turvallisuus - henkilöturvallisuus - tietoaineistoturvallisuus - ohjelmistoturvallisuus - laitteistoturvallisuus - tietoliikenneturvallisuus Hallinnollisella turvallisuudella varmistetaan tietoturvan kehittäminen ja johtaminen. Siinä ovat merkittävässä asemassa lainsäädäntö, lisenssisopimukset ja palvelusopimukset. Fyysisellä turvallisuudella suojataan rakennuksen tiloja ja niihin sijoitettuja laitteita fyysisiltä uhilta sekä ympäristöuhilta. Henkilöturvallisuus käsittää toimet, joilla varmistetaan tietojärjestelmän käyttäjien toimintakyky. Lisäksi rajataan käyttäjien mahdollisuuksia käyttää yrityksen tietoja ja tietojärjestelmiä. Tietoaineistoturvallisuus käsittää toimet, jotka liittyvät tietojen säilyttämiseen, varmentamiseen, palauttamiseen ja tuhoamiseen. Ohjelmistoturvallisuus liittyy ohjelmistoihin ja käsittää esimerkiksi ohjelmistotestauksen sekä ohjelmistoversioiden ja lisenssien hallinnan. Laitteistoturvallisuuden tavoitteena on mitoittaa tietokoneet ja muut tietojärjestelmään kytketyt laitteet tarkoituksenmukaisesti, testata niiden toiminta, järjestää huolto, varautua laitteiden kulumiseen ja vanhenemiseen sekä arvioida ja minimoida laitteiden käytöstä aiheutuvat vaaratekijät. Tietoliikenneturvallisuudessa huolehditaan tiedonsiirtoratkaisujen turvallisuudesta. (Hakala ym. 2006, ) Elinkeinoelämän keskusliitto (2005b) kuvaa tietoturvapolitiikan kehittämistä seuraavassa kuvassa esitetyllä tavalla. 4

9 KUVA 1 Tietoturvapolitiikan kehittäminen (Elinkeinoelämän keskusliitto 2005b) Kuvasta nähdään, että prosessi lähtee liikkeelle hyödykkeiden tuotantoon ja tarjontaan kohdistuvien tiedostettujen ja tiedostamattomien uhkien analysoimisella. Löydetyistä uhkista muodostetaan tietoturvapolitiikan turvallisuusvaatimukset eli tietoturvallisuuden tavoitetila, johon pyritään. Turvallisuustarpeet muodostuvat nykytilan ja turvallisuusvaatimuksissa asetettujen tavoitteiden välisistä eroista. Löydetyt erot parannetaan turvallisuusvaatimuksissa asetettujen tavoitteiden tasolle siirtymäaikana, jonka jälkeen aletaan toimia tietoturvapolitiikan mukaisesti. (Elinkeinoelämän keskusliitto 2005b.) 2.2 TIETOTURVA YHTEISKUNNASSA Helmikuussa 2006 vietettiin kolmatta kertaa kansallista tietoturvapäivää, joka on elinkeinoelämän, julkishallinnon ja järjestöjen yhteinen hanke. Tietoturvapäivän tarkoituksena on lisätä tietoisuutta Internetin mahdollisuuksista ja tietoturvauhista. Tavoitteena on myös kertoa keinoista, joilla tietoturvauhilta voidaan suojautua ja välttyä. Tämän vuoden erityisteeman oli pienten ja keskisuurten yritysten tietoturva. (Tulonen 2006.) Valtiovarainministeriön (2006) mukaan puutteellinen tietoturva aiheuttaa lisätyötä ja -kustannuksia sekä vaarantaa valtion, kansalaisten, yhteisöjen ja asiakkaiden etuja. Valtioneuvosto on linjannut valtion tietoturvallisuuden kehittämisen, tietoturvallisuuden laajaa käsitettä ja valtion organisaatioiden tietoturvatehtävät. Nämä muodostavat periaatepäätöksen valtion tietoturvallisuudesta. Tietoturvallisuutta käsittelevällä Valtiovarainministeriön (2006) www-sivulla todetaan, että tietoyhteiskunnan kehitys, verkottuminen, sähköinen asiointi, toimintojen ja palvelujen siirtyminen tietoverkkoihin, kansainvälistyminen, nopea tekninen kehitys sekä tietoturvahyökkäysten ja muiden uhkien lisääntyminen lisäävät tietoturvallisuuden merkitystä. Tampereen yliopisto tukee Valtiovarainministeriön ajatusta todetessaan, että tietoturvallisuuden merkitys kasvaa yhteiskunnassa, jossa käytetään tietokoneita sekä sähköisen kaupankäynnin suosio kasvaa ja langattomat tietojärjestelmät yleistyvät. Tietoturvallisuutta ei ole huomioitu tietojärjestelmien suunnittelussa, mistä on aiheutunut ongelmia. (Tampereen yliopisto.) Tietoyhteiskunnan kehittämiskeskuksen (2004) mielestä tietoturva on tietojen, tietoja käsittelevien tietojärjestelmien ja tietoja siirtävän tietoliikenteen suojaamista. Tavoitteena on estää niiden vahingoittuminen ja turmeltuminen. Myös luvaton käyttö ja urkinta sekä häirintä ovat suojautumisen tavoitteena muiden uhkien joukossa. Tietokoneiden hyväksikäytöstä aiheutuvat vakavat tietojenkäsittelyhäiriöt ovat iso ongelma yrityksen toiminnassa. 5

10 Kansallinen tietoturva ja sen valvonta kuuluu vuonna 2002 vahvistetun lain mukaan Liikenne- ja viestintäministeriön Viestintäviraston vastuulle. Toimiminen CERT-vastuuviranomaisena (Computer Emergency Response Team) velvoittaa Viestintäviraston keräämään tietoa tietoturvauhkista ja - loukkauksista. Viraston tehtävänä on myös ratkaista ja torjua tietoturvaloukkauksia sekä tiedottaa tietoturvallisuusasioista. Viestintävirasto on muodostanut tietoturvan valvontatehtäviä varten tietoturvallisuusyksikön. Suomessa tätä CERT-toimijaa kutsutaan nimellä CERT.FI. (Liikenne- ja viestintäministeriö 2002.) Viestintävirasto (2005) huomioi, että Suomen perustuslaissa ei ole yhtenäistä tietoturvallisuutta koskevaa lainsäädäntöä. Tietoturvallisuutta käsittelevät säännökset on sisällytetty moniin lakeihin ja asetuksiin. Suomen Rikoslaista löytyy enenevässä määrin pykäliä erilaisia tietoturvaan liittyviä rikoksia varten. Rikosnimikkeet yritysvakoilu ja yrityssalaisuuden väärinkäyttö löytyvät Rikoslain (30:4, 6 ) 30 luvun pykälistä 4 ja 6. Viestintäsalaisuuden loukkaus, törkeä viestintäsalaisuuden loukkaus ja tietomurto löytyvät Rikoslain (38:3, 4, 8 ) 38 luvun pykälistä 3, 4 ja 8. Edellä luetellut rikosnimikkeet liittyvät tietoturvallisuudessa tehtyihin rikosilmoituksiin. Vuonna poliisille tehtiin näitä rikosnimikkeitä sisältäviä rikosilmoituksia 391 kappaletta. Rikoksen tekijä on hyvin usein yrityksen oma tai entinen työntekijä. (Elinkeinoelämän keskusliitto 2001, 9.) Suomen lainsäädännöstä löytyy kuitenkin useita tietoturvallisuusvelvoitteita. VAHTI on Valtiovarainministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä, jonka tehtävänä on ohjata ja kehittää hallinnon tietoturvallisuutta sekä huolehtia sen yhteistyöstä. Valtiovarainministeriön (2006) tietoturvallisuutta käsittelevällä www-sivulla todetaan, että VAHTIn tavoitteena on parantaa valtionhallinnon toimintojen luotettavuutta ja jatkuvuutta kehittämällä tietoturvallisuutta. VAHTI pyrkii myös saamaan tietoturvallisuuden kiinteäksi osaksi valtionhallinnon kaikkea toimintaa. VAHTIn toiminnan tuloksia pystytään hyödyntämään kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. (Valtiovarainministeriö 2006.) Tampereen yliopistossa on kehitetty erityinen tietoturvakonsortio, jonka perustavoitteet ovat tietoturvallisuuden parantaminen ja yhteistyöverkoston muodostaminen sekä tietoturvallisuuden tutkimuksen ja opetuksen laadun parantaminen. Konsortion kehittäminen on aloitettu syksyllä Konsortion mukaan tietoturvallisuutta tarvitaan luomaan tietojärjestelmien toiminta luotettavaksi. (Tampereen yliopisto.) 2.3 TIETOTURVA YRITYKSESSÄ Aiemmin todettiin, että puutteellinen tietoturva aiheuttaa sekä lisätyötä että -kustannuksia. Toimiva tietoturva säästää aikaa ja rahaa. Kaikilla yrityksen työntekijöillä on vastuu tietoturvasta. Henkilöstön toimintaohjeiden tuntemuksen taso on suoraan verrannollinen tietoturvan toteutumisen tasoon. Panostaminen työntekijöiden perehdyttämiseen on kannattavampaa kuin paksujen ohjekirjojen laatiminen. Välinpitämätön henkilöstö ei tue hyvinkään toteutettuja teknisiä tietoturvaratkaisuja. (Yrityksen tietoturvaopas 2006c; Yrityksen tietoturvaopas, 2006d.) Elinkeinoelämän keskusliiton (2005a) mielestä tietoturvallisuus on osa yritysturvallisuutta. Yritysturvallisuudella tarkoitetaan johdon vastuulla olevaa päivittäistä yritystoimintaa, jossa yrityksen turvallisuusasioita toteutetaan kokonaisvaltaisesti. Yritysturvallisuus nähdään koko henkilöstön asiana. Elinkeinoelämän keskusliiton (2001, 10) mukaan huolimattomuus, ymmärtämättömyys ja osaamattomuus aiheuttavat suurimpia tietoturvallisuuden ongelmia. Myös muut tietojärjestelmien teknisen toteutuksen ja käytön laadulliset tekijät aiheuttavat ongelmia tietoturvallisuuteen. Hakala ym. (2006, ) tukee tätä ajatusta. Kirjassa todetaan, että inhimillinen toiminta, huolimattomuus, kiirehtiminen ja erehdykset vaarantavat eniten yrityksen tietoturvallisuutta. Tällaisia yrityksen tietoturvallisuuteen vaikuttavia tapahtumia täytyy seurata ja tallettaa tietoturvallisuuden ylläpitämiseksi. Tietoturvallisuutta suunnitellaan ja kehitetään keräämällä tietoa aikaisemmin tapahtuneista tietoturvallisuuteen vaikuttaneista tapahtumista. (Hakala ym. 2006, ) Myös Valtiovarainministeriö (2006) näkee tietoturvallisuuden kiinteänä ja keskeisenä osana yrityksen toimintaa ja laatutyötä sekä sen varmistamista. Koko henkilöstön pitää huolehtia tietoturvallisuudesta. Valtiovarainministeriön (2006) mukaan tietoturvallisuuden varmistaminen ja kehittäminen vaatii jatkuvaa ohjeistuksen, toimeenpanon ja henkilöstön osaamisen kehitystyötä. Tietoturvallisuuden käsikirja (Hakala ym. 2006, 20) tukee edellisiä ajatuksia. Kirjassa todetaan, että tietoturvallisuuden arviointi, kehittäminen ja ylläpito muodostavat yhden yrityksen liiketoimintaprosesseista, joka täytyy nähdä jatkuvana toimintana. 6

11 Tämän vuoden tietoturvapäivänä julkaistu Yrityksen tietoturvaopas (2006a) tukee Elinkeinoelämän keskusliiton ja Valtiovarainministeriön näkemyksiä tietoturvan merkityksestä yritystoiminnalle toteamalla, että tietoturva on osa yrityksen liiketoimintaa. Oppaan mukaan tietoturvassa on kyse tekniikasta ja ihmisten työskentelytavoista. Kun tietoturvaa lähdetään rakentamaan, täytyy kartoittaa suojattavat kohteet, tehdä riskianalyysi ja luokitella tiedot. Tietoturvaopas nimeää yhdeksi menestymisen edellytykseksi yritykselle tärkeän tiedon turvaamisen. Erityisesti yrityksen kannalta tärkeiden ja kriittisten tietojen tunnistaminen ja suojaaminen on tärkeää. Tietoturvan ylläpito on jatkuvaa ja suunnitelmallista toimintaa. Tietoturvaa ei saavuteta yksittäisellä toimenpiteellä. (Yrityksen tietoturvaopas 2006b.) Yrityksen tietoturvaopas on kenen tahansa luettavissa Internetissä URL-osoitteessa Tietoliikenteen ja tietotekniikan keskusliitto FiComin viestintäpäällikkö Kristiina Klemetin (Rotstén 2006) mukaan Yrityksen tietoturvaopas on tarkoitettu pk-yrityksille. Erityiseksi kohderyhmäksi Klemetti mainitsee toimitusjohtajat pienissä pkyrityksissä, joilla ei ole erityistä it-, tietotekniikka- tai tietoturvahenkilö vastaamassa yrityksen tietoturvasta. Hakala ym. (2006, 32, 103) mielestä tietoturvallisuuden ylläpito ja edistäminen edellyttää dokumentointia. Dokumentoinnin tulee olla tarpeeksi yksityiskohtaista ja käyttää ennalta sovittua rakennetta. Dokumentoinnissa kirjataan löydetyt ratkaisut ja perustelut käyttöönotettujen ratkaisujen valinnalle. Tietojärjestelmien käytössä voidaan haluttaessa tarjota hyvinkin paljon joustavuutta ja pitää palvelutaso korkealla. On kuitenkin huomattava, että näitä lisättäessä tietoturvallisuuden taso yleensä laskee. Tietoturvallisuus ei voi muodostua myöskään tärkeimmäksi tietojenkäsittelyä ja liiketoimintaprosesseja ohjaavaksi toiminnoksi. Liian kattaviksi ja jäykiksi asetetut turvallisuusmääritykset voivat vaikeuttaa yrityksen varsinaisen liiketoiminnan ydinprosesseja. Siksi yrityksessä tulisi löytää tietojärjestelmillä tarjottavan joustavuuden ja palvelutason sekä tietoturvallisuuden välille sopiva tasapaino. (Hakala ym. 2006, 17.) On oletettavaa, että tietoturvahyökkäykset muuttuvat aiempaa henkilökohtaisemmiksi myös yrityksissä. Näin todetaan IBM:n Global Business Security Index -tietoturvaraportissa, joka julkaistaan vuosittain. Käytännössä nämä hyökkäykset voisivat näkyä yrityksissä esimerkiksi puhelinsoittoina tietohallinnon nimissä tai lähestymisenä sähköpostilla. Yhteydenottojen tavoitteena olisi saada selville salasanoja. IBM:n palvelumyyntipäällikön Markus Hongiston (Kauppalehti 2006, 18 19) mukaan ulkoa tulevien tietoturvakysymysten selvittäminen on tärkeää, eikä omaa vastuuta tietoturvasta voida ulkoistaa. Hongisto näkee yrityksen tietoturvan kokonaisuutena, joka on toteutettava yrityksessä sen liiketoiminnan kautta, ei erillisenä tietotekniikkaa osana. (Kauppalehti 2006, ) Julkisuudessa käytävissä keskusteluissa ja tiedotusvälineissä verkon turvallisuus liitetään erityisesti Internetiin. Tällaisissa yhteyksissä mainitaan esimerkiksi roskaposti ja verkon kautta tulevat hyökkäykset. Jos asiaa tarkastellaan yrityksen tietohallinnon näkökulmasta, oman lähiverkon luottamuksellisuus, käytettävyys ja eheys aiheuttavat suurempia ongelmia kuin Internetistä tulevat uhat. Tietoturvarikkomukset tapahtuvat pääsääntöisesti yrityksen sisällä. 80 % yrityksen vakavista tietoturvarikoksista tapahtuu yrityksen sisällä. (Hakala ym. 2006, 181, 298.) Tätä ajatusta tukee jo aiemmin esitetty Elinkeinoelämän keskusliiton (2001, 9) toteamus siitä, että rikoksen tekijä on hyvin usein yrityksen oma tai entinen työntekijä. Tampereen yliopistossa tehdyn tutkimuksen mukaan valtaosa yritysten tietoturvauhista tulee yritysten sisältä. Samassa tutkimuksessa todetaan, että vain 20 prosenttia tietoturvallisuudesta syntyy teknisillä keinoilla, loppu muodostuu kehittämällä henkilöstön arkirutiineja. (Tulonen 2006) Hakalan ym. (2006, 114) mukaan yrityksen ylimmällä johdolla on kokonaisvastuu tietoturvallisuuden kehittämisestä ja ylläpidosta. Johto vastaa yrityksen yleisen tietoturvallisuustietouden levittämisestä. Johdon tehtävänä on myös tukea tietoturvallisuutta edistävää kouluttautumista. Symantec (2004, 31) jatkaa ajatusta toteamalla, että yritysjohto päättää tietoturvatoiminnan periaatteista. Symantecin mukaan pelkästään esimiesten ja tietotekniikkavastuuhenkilöiden vastuulle jätetyt tietoturvaratkaisut ja menettelytavat eivät voi tehdä yrityksen tietoturvasta tyydyttävää. Symantec näkee tietotekniikkavastuuhenkilöiden ja -päälliköiden aseman kuitenkin entistä myönteisempänä, koska työntekijät ovat halukkaita osallistumaan tietoturvatyöhön joutuessaan suorasti tai epäsuorasti ongelmiin tietoturvan kanssa suorittaessaan arkipäivän työrutiineissa. 7

12 2.4 TIETOTURVASUUNNITTELU Hyvän tietoturvasuunnittelun pohjana on näkemys yrityksen kokonaisturvallisuudesta. Siinä huomioidaan fyysinen turvallisuus, jossa suojataan yrityksen henkilöstöä ja omaisuutta erilaisilta riskeiltä, sekä tietoturvallisuus, jossa suojataan yrityksen tietopääoma sekä estetään tietojenkäsittelylaitteiden ja tietoverkkojen luvaton käyttö. Jotta tietoturvasuunnittelu pystytään tekemään, tulee kartoittaa yrityksen kaikki tietojärjestelmät ja toiminnot. Tietoturvasuunnittelussa voidaan käyttää perinteistä systeemityön vaihejakomallia: esitutkimus, määrittely, suunnittelu, toteutus, testaus, käyttöönotto ja ylläpito. Myös miellekarttatekniikkaa voidaan hyödyntää tietoturvallisuuden suunnittelussa. (Hakala ym. 2006, 14, 22.) Tietoturvasuunnittelun organisoimista, jäsentämistä ja kehittämistä ohjataan standardeilla, joita kutsutaan tietoturvastandardeiksi. Ne asettavat vaatimuksia tietoturvasuunnittelun menettelytavoille ei tietoturvan tasoille tai sisällölle. Standardit määrittelevät mitä tietoturvallisuuden suunnittelutyöhön sisältyy sekä sen tulosten esitysmuodon. Niissä määritetään myös tietoturvallisuuden vastuukysymyksiä. Suomessa käytetään tällä hetkellä kansainvälisiä tietoturvastandardeja, koska kansallisia ei ole vielä olemassa. (Hakala ym. 2006, 21, 46 47, 49.) Tietoturvan suunnittelussa tulee varautua omien työntekijöiden väärinkäytöksiin. Tietoturvariskejä pystytään vähentämään koulutuksella, huolellisella rekrytoinnilla, salassapitositoumuksilla ja sopivilla tietojen käyttöoikeuksilla sekä puuttumalla havaittuun turvallisuusriskejä aiheuttavaan toimintaan nopeasti. Myös asianmukaisesti hoidetuilla irtisanomisilla pystytään vähentämään tietoturvariskejä. Kehittämisellä työntekijöiden perusrutiineja luodaan suurin osa yrityksen liiketoiminnan tietojen turvallisuudesta. Vain viidesosa liiketoiminnan tietojen turvallisuudesta luodaan teknisillä suojaamiskeinoilla. (Yrityksen tietoturvaopas 2006d.) Tietoturvasuunnittelun määrittely-vaihe voidaan jakaa esitutkimukseen ja yleismäärittelyyn. Määrittelyvaiheen pohjana käytetään yrityksen ICT-politiikkaa sekä kokonaisturvallisuus- tai tietoturvapolitiikkaa. Määrittelyn taustatyönä tehdään esitutkimus, jossa kerätään yrityksen aikaisemmissa tietojärjestelmähankkeissa tuotetut dokumentit sekä noudatettaviksi aiotut standardit ja muut tietolähteet. Määrittely on vaativaa ja pitkäkestoista. Sen tavoitteena on selvittää yrityksen kaikki toimintaprosessit sekä niissä käytettävät tieto- ja tietoliikennejärjestelmät. Myös toimintojen vastuuhenkilöt on hyvä selvittää. Määrittelyssä asetetaan myös tavoitteet toimintaprosessien sekä tieto- ja tietoliikennejärjestelmien turvallisuudelle. (Hakala ym. 2006, 55 56, ) 2.5 TIETOJEN JA RISKIEN MERKITYS TIETOTURVALLE Yksi tärkeimmistä yrityksen tietoturvalle määriteltävistä asioista on luoda tietoturvallisuuden suunnittelutyössä käytettävät tietojen ja riskien luokittelut ja niiden pohjana olevat luokittelukriteerit. Kun tietoturvallisuutta määritellään ja suunnitellaan, tarvitaan yksinkertainen tietojen ja riskien luokittelujärjestelmä. Tietojen luokitusjärjestelmällä määritellään mitkä yrityksen tiedot suojataan ensisijaisesti. Riskien luokitusjärjestelmällä kuvataan millaisiin riskeihin varaudutaan ensisijaisesti. (Hakala ym. 2006, 62, 65.) Tietoturvasuunnittelun yleismäärittely-vaiheessa tehdään myös tietojärjestelmäkohtainen riskianalyysi, joka muodostuu riskikartoituksesta ja riskien arvioinnista. Riskikartoituksessa etsitään yrityksen toimintaan liittyvät nykyhetken riskit sekä etsitään tulevaisuuden uhkakuvia. Riskikartoitus tehdään yleisellä tasolla, jolloin etsitään yrityksen tietojärjestelmiin yleisluontoisesti liittyviä riskejä ja uhkakuvia sekä tietojärjestelmäkohtaisesti jokaiselle tietojärjestelmälle omansa. Riskien arvioinnissa arvioidaan millä todennäköisyydellä löydetyt riskit ja uhkakuvat realisoituvat. Lisäksi arvioidaan löydettyjen riskien ja uhkakuvien vaikutus yrityksen toimintaan. Arvioinnissa hyödynnetään tietojen luokitusjärjestelmää. (Hakala ym. 2006, ) Tietoturvallisuuden suunnittelussa varaudutaan löydettyihin riskeihin ja haetaan keinoja niiden välttämiseksi. Lisäksi pyritään pienentämään riskien vaikutusta. Tietoturvallisuuden suunnittelussa etsitään ja valitaan taloudellisimpia keinoja suojautua riskeiltä. Kustannus-hyöty-ajattelu näkyy myös siinä, että tietoisesti tehdyn ratkaisun pohjalta ei suojaudutakaan kaikilta riskeiltä. Yrityksen tietoturvallisuudessa on löydettävissä riskejä, joiden poistaminen kokonaan on joskus mahdotonta. Tällaisten riskien todennäköisyys realisoitua alennetaan mahdollisimman pieneksi sekä varaudutaan riskiin lieventämällä riskin vaikutuksia. Tietoisen päätöksen jälkeen voidaan myös olla varautumatta joihinkin riskeihin. Riskien hallinnassa luodaan kriteerit hyväksyttävälle riskille, joka on riskeiltä suojautumisen tavoitteena. 8

13 Suojautumiskeinojen käyttöönottamisen jälkeen olemassa olevaa riskiä nimitetään jäännösriskiksi, jonka täytyy olla pienempi kuin hyväksyttävä riski. (Hakala ym. 2006, ) Riskiltä suojautuminen aiheuttaa lähes aina kustannuksia. Tiedon suojaamiskustannukset ja tiedon arvo täytyy arvioida, minkä jälkeen suojaamiskustannukset suhteutetaan suojattavan tiedon arvoon. Suojaamiseen käytettävien kustannusten tulee pysyä pienempinä kuin mitä suojattavan tiedon todellinen arvo on. Vaikka riskeiltä suojautuminen olisi miten tehokasta, riskien realisoitumiseen täytyy varautua. Tämä toteutetaan tekemällä kaikille yrityksen tietojärjestelmille erillinen toipumissuunnitelma. Tarkka toipumissuunnitelma helpottaa oikeiden ja tehokkaiden toimenpiteiden tekemistä, kun riski on realisoitunut. (Hakala ym. 2006, 94, 98.) Normaalioloissa piilevien riskien lisäksi yrityksen on varauduttava toimintaan poikkeusoloissa. Suomalaisissa yrityksissä tämä tarkoittaa varautumista esimerkiksi lakkoihin ja työsulkuihin, tulviin ja muihin poikkeuksellisiin sääolosuhteiseen sekä sähkökatkoksiin ja tautiepidemioihin. Tällaisia kriisejä ja poikkeusoloja varten yrityksen tulisi tehdä valmiussuunnitelma, jossa yrityksen tulisi arvioida eri kriisien ja poikkeusolojen vaikutuksia yrityksen toimintaan sekä miettiä miten yrityksen toiminta jatkuu kriisioloissa. Lisäksi yrityksen toiminta pitäisi osata tarvittaessa keskeyttää hallitusti sekä käynnistää uudelleen kriisin jälkeen. (Hakala ym. 2006, ) 2.6 LAITTEET, OHJELMISTOT JA TIETOVERKKO Työasemien tietoturva jaetaan pöytäkoneiden ja kannettavien tietokoneiden tietoturvaan. Käyttäjien osaaminen ja motivaatio ovat keskeisiä käytettäessä työasemia tietoturvallisesti. Kaikille käyttäjille pitäisi antaa ohjeistus laitteiden ja verkkopalvelujen oikeaoppisesta käytöstä. Myös sovellusten oikeasta käytöstä pitäisi tarvittaessa antaa ohjeistusta ja koulutusta. (Hakala ym. 2006, ) Verkon turvallisuuden ja sen suojauksen perusperiaatteen mukaan käyttäjälle annetaan vain välttämättömät oikeudet niihin laitteisiin ja niissä oleviin tietoihin, jotka hän tarvitsee. Tietoturvasuunnitelmaa tehtäessä tulee huomioida, että se on tasapainottelua tietojärjestelmällä tarjottavien palveluiden tason ja niistä aiheutuvien uhkatekijöiden välillä. (Hakala ym. 2006, 183.) Myös käyttöjärjestelmissä jokaiselle käyttäjälle annetaan henkilökohtainen käyttäjätunnus, jonka perusteella tietokoneiden käyttäjille pystytään antamaan keskenään erilaisia käyttöoikeuksia. Käyttöoikeuksia annettaessa pitäisi pyrkiä varmistamaan käyttäjälle sujuva työskentely omien työtehtäviensä hoitamiseksi. Yleinen periaate on, että aluksi käyttäjälle annetaan peruskäyttöoikeudet, jonka jälkeen käyttäjän oikeuksia lisätään tarpeen mukaan. Käyttöjärjestelmän toimintaa ja käyttöoikeuksien käyttöä seurataan palvelinjärjestelmän valvonnassa eli auditoinnissa. (Hakala ym. 2006, , 156.) Työasemien vakiointi tehostaa yrityksen työskentelyä. Vakioinnilla tarkoitetaan, että käyttöjärjestelmien ja käyttäjäympäristöjen asetukset sekä sovellusohjelmien kokoonpanot määritellään samanlaisia työtehtäviä tekeville käyttäjille keskenään samanlaisiksi. Tällöin työasemia voidaan monistaa koneelta toiselle. (Hakala ym. 2006, 133.) Palvelintietokoneet jaetaan toiminnan mukaan yrityksen peruspalvelimiksi ja ulkoisia palveluita tuottaviksi palvelimiksi. Palvelimissa käytetään vikasietoisia tekniikoita, joiden tavoitteena on vähentää laiterikon aiheutuvia käyttökatkoja. Käytännössä palvelimessa on yhden komponentin sijaan useita samoja komponentteja, kuten kiintolevyjä, tuulettimia, muistipiirejä ja virtalähteitä. (Hakala ym. 2006, ) Palvelinten käyttö tiedon tallennuspaikkana helpottaa tiedon varmistusten hallintaa. Ohjelmistopuolella tulee huolehtia käyttöjärjestelmien ja ohjelmistojen tietoturvapäivityksistä ja muista korjauspäivityksistä. Yleisimmät tietoturvaohjelmistot ovat virustentorjuntaohjelmistoja ja palomuurisovelluksia. Virustorjuntaohjelmien virustietokanta pitää päivittää riittävän usein jopa päivittäin. (Hakala ym. 2006, 135, 170.) Kannettavien tietokoneiden tietoturvan haasteena on se, että tietokoneen järjestelmää käytetään yrityksen sisäjärjestelmässä ja ulkopuolisissa järjestelmissä. Myös tiedon tallennus ja varmennus sekä virustietokantojen päivitys ovat keskeisiä. Tietoliikenneyhteyksien rakentaminen ja tietoliikenteen salaus korostuvat turvallisessa etätyöskentelyssä. Kannettavassa tietokoneessa säilytettävä kriittinen tieto täytyy olla turvassa myös silloin, jos kannettava joutuu ulkopuolisen henkilön haltuun. (Hakala ym. 2006, 137.) 9

14 Palvelinten varmistaminen on yksi yrityksen tietojärjestelmien perustoiminnoista. Laissa kuvataan miten vanhaa tietoa tulee säilyttää. Varmistusten käytännöt täytyy suunnitella ja toteuttaa huolellisesti. Myös varmistusten tapa, tiheys ja kohde täytyy suunnitella huolellisesti. Datan varmistaminen on yrityksen toiminnan kannalta tärkeintä. Datan tuhoutuminen on helpompi huomata kuin datan muuttuminen. Aika ajoin dataa joudutaan palauttamaan pitkänkin ajan kuluttua. Vanhaa dataa ei välttämättä pysty palauttamaan päivitettyyn ohjelmistoversioon. Siksi joskus on tärkeää varmistaa koko järjestelmä etenkin ennen suuria muutoksia. (Hakala ym. 2006, ) Tämän hetken tärkeimmät varmistusmediat ovat cd ja dvd, ulkoinen kiintolevy, varmistusnauha sekä nauharobotti. Varmistustietoja kannattaa säilyttää eri rakennuksessa kuin missä atk-tilat ovat. Säilytystilan on kestettävä tulipaloa ja vesivahinkoa sekä muita mahdollisia ongelmatilanteita. Varmistusten käytettävyys on hyvä testata. Tiedon muuttuminen tai tuhoutuminen aiheuttaa eniten tiedon eheyden ja saatavuuden ongelmia, minkä takia palautuksissa käsitellään useimmiten dataa. Palvelinjärjestelmän ongelmat johtuvat yleensä laiterikoista. Palvelinjärjestelmä tuhoutuu harvoin. Testaamalla ohjelmisto- ja käyttöjärjestelmäpäivitykset perusteellisesti ennen käyttöönottoa minimoidaan käyttöjärjestelmien ja ohjelmistojen tuhoutumista. (Hakala ym. 2006, 144, 146.) Tiedon eheys hoidetaan pääsääntöisesti ohjelmoinnilla ja sovellussuunnittelulla. Luottamuksellisuuden ja käytettävyyden ylläpito ovat keskeisiä tehtäviä verkon turvallisuuden varmistamisessa. Verkon luottamuksellisuutta ja käytettävyyttä ylläpidetään kontrolleilla. Näiden tietoliikenteen kontrollien tavoitteena on säilyttää verkossa liikkuvan tiedon luottamuksellisuus sekä varmistaa, että verkossa olevat palvelut ovat saatavilla. Tiedon saannin estyminen on uhka, joka kohdistuu tietoverkkoihin yleisimmin. Se myös realisoituu useimmiten. Käytännössä uhka realisoituu, kun jokin verkon laite vikaantuu tai tiedon saanti estetään tahallisella hyökkäyksellä, jolla tukitaan palvelun toiminta. Viime aikoina hyökkäykset ovat kohdistuneet yleisimmin postipalvelimiin. (Hakala ym. 2006, , 186.) Verkonhallinnan tärkein tehtävä on turvata verkossa tarjottavien palveluiden toimivuus. Verkonhaltijan on varmistettava myös palvelimen ja sitä käyttävien asiakkaiden välillä olevien yhteyksien ylläpito sekä yhteyksien luotettavuus ja turvallisuus. Lisäksi verkonhaltijan vastuulla on verkon siirtokapasiteetin riittävyys. (Hakala ym. 2006, 259.) Verkolla ja palvelimilla tarjottavan kapasiteetin on oltava riittävä. Verkon rakenne on suunniteltava ennen verkon suojaamiseen liittyvien päätösten tekemistä. Rakenteen suunnittelussa mietitään mihin verkon osaan palvelut sijoitetaan sekä millaisia aktiivilaitteita, kaapelijärjestelmiä ja laajaverkkoliittymiä käytetään. Tietoliikenteen pullonkaulojen määrä minimoidaan ja oma sisäverkko rakennetaan siten, että sinne pääsee ulkoa vain suojattuja yhteyksiä käyttämällä. Palomuuri on laite tai ohjelmisto, jolla estetään luvattoman henkilön pääsy verkkoon tai verkossa tarjottavaan yksittäiseen palveluun. (Hakala ym. 2006, 184, 187.) Aikaisemmin sisäverkoissa käytettiin reitittimiä. Nykyisissä sisäverkoissa reitittimet korvataan kytkimillä. Kytkimet mahdollistavat useimpien verkon arkkitehtuurista aiheutuvien ongelmien ratkaisemisen. Ne tekevät mahdolliseksi myös vikasietoisten verkkojen toteuttamisen ja virtuaalisten lähiverkkojen yhdistämisen. Virtuaalisilla lähiverkoilla pystytään keskeisesti parantamaan siirrettävien tietojen luottamuksellisuutta. Dynaaminen reititys mahdollistaa varareittien hyödyntämisen staattista reititystä tehokkaammin. Lisäksi dynaamisella reitityksellä pystytään käyttämään rinnakkaisia reittejä sekä tasaamaan verkon kuormitusta. (Hakala ym. 2006, 227, 230, 239.) 10

15 3 EMPIIRINEN OSA 3.1 TUTKIMUSAINEISTO Tämän tutkimuksen osana on suoritettu ei-kokeellinen empiirinen tutkimus. Tutkimusaineisto on kerätty kirjallisella kyselyllä. Kysely on toteutettu pääasiallisesti sähköisesti. Internetiin on laadittu wwwsivu, joka on ollut ASP-koodilla tehty kyselylomake. Www-sivu on siirretty Internetiin Malmin liiketalousinstituutin palvelimelle. Tämän jälkeen on lähetetty sähköposti kaikille sellaisille sähköpostitse tavoitettavissa oleville Malminseudun yritysyhdistykseen kuuluville yrityksille, joiden sähköpostiosoite on löytynyt Malminseudun yritysyhdistyksen www-sivustolta ( Yhteensä sähköposteja on lähetetty 136. Lähetettyihin sähköposteihin on tullut 7 vastausta, että vastaanottajan sähköpostiosoite ei ole käytössä. Näin ollen on oletettavaa, että sähköposti on mennyt perille 129 yritykselle. Sähköpostissa on kerrottu kyselylomakkeen URL-osoite ja yritystä on pyydetty vastaamaan kyselyyn eli täyttämään kyselylomakkeen Internetissä. Yritysten vastaustiedot on siirretty lomakkeelta tutkijan luomaan Microsoft Access -tietokantaan. Vastauksia saapui määräaikaan mennessä yhteensä 16 kappaletta eli kyselyyn vastasi 12,4 prosenttia niistä 129 yrityksestä, joille sähköposti meni oletettavasti perille. Näistä 16 vastauksesta 2 saatiin sähköpostilla, koska sähköisen kyselylomakkeen täyttämisessä oli yrityksellä ongelmia. Lisäksi yksi vastaus saatiin paperilla yritysvierailun yhteydessä. Kaikissa kolmessa yrityksessä vastattiin täsmälleen samoihin kysymyksiin kuin sähköisessä kyselylomakkeessa. Kaikki vastanneet yritykset sijaitsevat Helsingissä. Suurin osa yrityksistä eli 10 yritystä sijaitsee Helsingin Malmin kaupunginosassa. Kyselyyn vastasi yksi yritys myös Tapaninkylästä, Suutarilasta ja Puistolasta. Lisäksi yksi yritys ilmoittaa, että sen yrityksellä on toimipiste Oulunkylässä, Pukinmäellä ja Hakaniemessä. Kaksi yritystä ei ole määritellyt sijaintiansa Helsingin kaupunkia tarkemmaksi. Yrityksistä selvitettiin myös vakinaisten työntekijöiden määrä. Myöhemmin puhuttaessa työntekijöiden määrästä tarkoitetaan nimenomaan vakinaisten työntekijöiden määrää. Yritysten ilmoittamien työntekijöiden määrän keskiarvoksi saadaan 13,4 työntekijää. Tekesin (2006) määritelmän mukaan yritys on henkilöstömäärältään pk-yritys, jos sen työntekijämäärä on alle 250. Kaikki vastanneet yritykset täyttävät tämän ehdon, sillä työntekijämäärältään suurimman yrityksen vastauksessa ilmoitetaan työntekijöiden määräksi 100. Loput vastanneista yrityksistä ovat työntekijämäärältään pieniä. Laskettaessa näiden 15 pienimmän yrityksen työntekijämäärän keskiarvo, saadaan tulokseksi 7,6 työntekijää. Kaikkien 16 yrityksen työntekijämäärät on esitetty taulukossa 1. TAULUKKO 1 Kyselyyn vastanneiden yritysten vakinaisten työntekijöiden määrät Työntekijöitä Taulukosta 1 nähdään, että yritysten työntekijöiden määrä vaihtelee välillä Toiseksi suurimmassa yrityksessä on 19 työntekijää. Seuraavaksi suurimmissa yrityksissä on 15 ja 12 sekä kahdessa 11

16 yrityksessä 10 työntekijää. Vastanneista 16 yrityksestä kymmenessä on alle 10 työntekijää. Näistä yhdessä yrityksessä on 9 työntekijää, yhdessä 7 ja kahdessa 6 työntekijää. Loput kuusi yritystä on alle 5 työntekijän yrityksiä. Näistä kolmessa on 4 työntekijää, kahdessa 3 ja yhdessä 2 työntekijää. Myöhemmin tutkimustulosten esittelyssä, kun yrityksiä vertaillaan koon mukaan, vertailu tehdään yritysten työntekijöiden määrän mukaan. Toimialaa koskeneeseen kysymykseen tuli 15 vastausta eli yksi yritys ei ole ilmoittanut toimialaansa. Yrityksen toimiala -kysymyksen vastauskenttä oli vapaateksti-muotoinen, eli yritys sai itse kirjoittaa vapaasti toimialakuvauksensa. Tilastokeskuksen (2002) toimialaluokituksessa yritykset jaetaan toimialan mukaan 18 pääluokkaan. Taulukossa 2 on esitetty Tilastokeskuksen toimialaluokituksen mukainen yritysten jakautuminen eri toimialoille. TAULUKKO 2 Kyselyyn vastanneiden yritysten edustamat toimialat Toimiala Yritystä (kpl) Teollisuus 6 Sähkö-, kaasu- ja vesihuolto 1 Tukku- ja vähittäiskauppa 4 Majoitus- ja ravitsemistoiminta 1 Kuljetus, varastointi ja tietoliikenne 1 Koulutus 1 Terveydenhuolto- ja sosiaalipalvelut 1 Taulukosta 2 voidaan havaita, että vastanneet 15 yritystä edustavat yhteensä seitsemää toimialaa. Eniten kyselyyn vastasi teollisuuden sekä tukku- ja vähittäiskaupan toimialoihin kuuluvia yrityksiä. Teollisuuden toimialan yrityksiä vastasi kuusi yritystä sekä tukku- ja vähittäiskaupan toimialalta neljä yritystä. Kyselyyn osallistui yksi sähkö-, kaasu- ja vesihuollon yritys sekä yksi kuljetusyritys. Lisäksi vastaajien joukossa oli yksi koulutusta tarjoava yritys, yksi majoitus- ja ravitsemistoiminnan yritys sekä yksi terveydenhuolto- ja sosiaalipalveluja tuottava yritys. Kyselyssä pyydettiin kertomaan kyselyyn vastanneen henkilön asema yrityksessä. Tähän kysymykseen saatiin 14 vastausta eli kaksi vastaaja ei ilmoittanut asemaansa yrityksessä. Kyselyyn vastasi 10 yrityksessä toimitusjohtaja. Yhdessä yrityksessä kyselyyn vastasi vastuunalainen yhtiömies ja yhdessä hallituksen puheenjohtaja. Lisäksi yksi vastaaja ilmoitti olevansa hallinnollisista asioista vastaava henkilö ja yksi atk-päällikkö. Taulukossa 3 esitetään yhteenveto vastaajien asemasta. TAULUKKO 3 Kyselyyn vastanneiden henkilöiden asema yrityksessä Asema yrityksessä Vastaajia (kpl) Toimitusjohtaja 10 Vastuunalainen yhtiömies 1 Hallituksen puheenjohtaja 1 Atk-päällikkö 1 Hallinnollisista asioista vastaava 1 Ei ilmoita asemaansa 2 Yrityksistä voidaan antaa vain vähän tarkkoja tietoja, koska ainakin osassa yrityksiä yritysten toimialasta ja henkilöstömäärästä olisi helposti pääteltävissä mistä yrityksestä on kyse. Yrityksistä voidaan kuitenkin kertoa seuraavat asiat: YR1 malmilainen keskisuuri tukku- ja vähittäiskaupan alan yritys YR2 malmilainen pieni tukku- ja vähittäiskaupan alan yritys YR3 malmilainen pieni teollisuudenalan yritys YR4 pieni koulutusalan yritys, jolla on toimipiste kolmessa Helsingin kaupunginosassa YR5 malmilainen pieni teollisuudenalan yritys YR6 pieni helsinkiläinen kuljetusalan yritys YR7 pieni teollisuudenalan yritys, joka sijaitsee Helsingin Suutarilassa YR8 malmilainen pieni tukku- ja vähittäiskaupan alan yritys YR9 malmilainen pieni teollisuudenalan yritys YR10 malmilainen pieni teollisuudenalan yritys 12

17 YR11 pieni helsinkiläinen majoitus- ja ravitsemistoiminnan alan yritys YR12 malmilainen pieni yritys, jonka toimialaa ei ole kerrottu YR13 pieni tukku- ja vähittäiskaupan alan yritys Helsingin Puistolassa YR14 malmilainen pieni teollisuudenalan yritys YR15 pieni sähkö-, kaasu- ja vesihuoltoalan yritys Helsingin Tapaninkylässä YR16 malmilainen pieni terveydenhuolto- ja sosiaalipalvelualan yritys Kyselylomake jaetaan kahteen osaan. Kyselyn viisi ensimmäistä kysymystä kartoittavat yrityksen taustatietoja. Varsinaisesti tietoturvan tilaa selvitetään 26 kysymyksellä. Nämä kysymykset on aseteltu siten, että käyttäjä vastaa niihin kyllä tai ei. Kyselylomakkeeseen ei ole tehty tarkistuskoodia, joka pakottaisi käyttäjän vastaamaan jokaiseen kohtaan. Näin ollen jokainen yritys ei ole välttämättä vastannut kaikkiin kysymyksiin. Kyselyn tarkoituksena on selvittää millainen on yritysten tietoturvan tila eräillä tietoturvan osa-alueilla. Kysymyksillä tutkitaan tietoturvan hallinnollisen hoitamisen tasoa, esimerkiksi suunnitelmien ja vastuiden osalta. Yrityksiltä kysytään tietoturvan kehittämisestä ja raportoimisesta sekä selvitetään tiedon arvon merkitystä yritykselle. Kyselyssä kartoitetaan myös varmuuskopiointiin suhtautumista. 3.2 TUTKIMUSMENETELMÄN ESITTELY Tutkittavia yrityksiä on 16. Tutkimustulosten käsittelyssä käytetään ensisijaisesti kvantitatiivista tutkimusmenetelmää. Saadut vastaukset käydään kysymys kysymykseltä läpi ja lasketaan saatujen kyllävastausten ja ei-vastausten määrä. Myös mahdollisten tyhjien vastausten määrä lasketaan. Tutkimuksessa käytetään jossain määrin vertailevaa menetelmää. Yritysten vastauksista haetaan kysymys kysymykseltä yhtäläisyyksiä ja eroja. Kysymyksille pyritään muodostamaan yhteyksiä muihin kysymyksiin eli haetaan toisiinsa liittyviä tai toisistaan riippuvia kysymyksiä ja vertaillaan niistä saatujen vastauksien yhtäläisyyksiä ja eroja eri yritysten välillä. Näin vertailemalla vastauksista pyritään selvittämään onko esimerkiksi toimialalla tai vakinaisten työntekijöiden määrällä vaikutusta saatujen vastausten luonteeseen. Jos tällaisia yhteyksiä löydetään, verrataan kyseisten kysymysten vastauksia keskenään ja mietitään miten mainitut asiat ovat suhteessa toisiinsa. Samalla mietitään ovatko vastaukset yllättäviä vai voidaanko niiden katsoa olevan odotetunlaisia. Vastauksista pyritään löytämään niitä tietoturvan osa-alueita, joista yrityksissä on huolehdittu riittävällä tasolla. Toisaalta vastauksista pyritään nostamaan esiin ne tietoturvan osa-alueet, joihin yritysten tulisi kiinnittää enemmän huomiota ja parantaa niitä. Vastauksista pyritään selvittämään myös, mitkä tietoturvan osa-alueet yritykset kokevat tärkeinä ja vastaavasti epäoleellisina. Yksi yrityksistä on työntekijämäärältään selkeästi suurempi kuin muut yritykset. Saaduista vastauksista pyritään selvittämään poikkeavatko tämän yrityksen vastaukset muiden yritysten vastauksista jollakin tietoturvan osa-alueella. Vastanneista yrityksistä yli puolet eli 10 yritystä toimii teollisuuden tai tukku- ja vähittäiskaupan alalla. Erityisesti näillä toimialoilla toimivien yritysten vastauksista pyritään löytämään toimialaluokkakohtaisia yhtäläisyyksiä tietoturvan tilassa. Kaikki vastanneet yritykset sijaitsevat Helsingissä, pääasiassa Malmilla. Muutkin yritykset sijaitsevat Malmin lähettyvillä, joten yritysten sijainnista ei pyritä etsimään erityisiä piirteitä vastausten esittelyssä. 13

18 4 TUTKIMUSTULOSTEN ESITTÄMINEN Selkeä enemmistö vastanneista yrityksistä ilmoittaa, että yrityksellä on selkeä johdon hyväksymä tietoturvapolitiikka. Tietoturvapolitiikka löytyy 11 yritykseltä. Samalla vain 5 yritystä ilmoittaa, että yrityksestä ei löydy tällaista tietoturvapolitiikkaa. Sen sijaan tietoturvasuunnitelmaa ei löydy läheskään kaikista yrityksistä. Yhdeksän yritystä ilmoittaa, että yrityksellä ei ole tietoturvasuunnitelmaa. Tietoturvasuunnitelma on tehty seitsemässä yrityksessä. Kaikki yritykset, joille tietoturvasuunnitelma on tehty, ovat sellaisia, joista löytyy myös johdon hyväksymä tietoturvapolitiikka. Sen sijaan neljässä sellaisessa yrityksessä, joissa on yrityksen hyväksymä tietoturvapolitiikka, ei ole tehty tietoturvasuunnitelmaa. Vastauksista on nähtävissä, että työntekijöiden määrä vaikuttaa jossain määrin tietoturvapolitiikan olemassa oloon: kaikkiaan 11 tietoturvapolitiikan löytymisestä ilmoittavasta yrityksestä yhdeksän kuuluu kymmenen työntekijämäärältään suurimman yrityksen joukkoon. Tietoturvasuunnitelma sen sijaan löytyy kaiken kokoisista yrityksistä. Työntekijöiden määrä ei näyttäisi vaikuttavan myöskään siihen löytyykö yrityksestä sekä tietoturvapolitiikka että tietoturvasuunnitelma, sillä myös toisesta 3 työntekijän yrityksestä on löydettävissä molemmat. Kymmenestä suurimmasta yrityksestä ainoastaan yhdeltä yritykseltä ei löydy tietoturvapolitiikkaa eikä tietoturvasuunnitelmaa. Jos tarkastellaan kaikkia yrityksiä, viideltä yritykseltä ei löydy kumpaakaan edellä mainituista. Tarkasteltaessa yrityksiä toimialoittain huomataan, että kaikissa kuudessa teollisuuden alan yrityksessä on tehty tietoturvapolitiikka, mutta tietoturvasuunnitelma puuttuu kahdelta yritykseltä. Tukku- ja vähittäiskaupan alan yritysten vastauksista ei näiltä osin löydy keskinäisiä yhtäläisyyksiä. Tietoturvavastuut on määritelty yhdeksässä yrityksessä. Seitsemän yritystä ilmoittaa, että tietoturvavastuista ei ole tehty määrittelyä. Työntekijöiden määrä näyttäisi vaikuttavan jossain määrin tietoturvavastuiden määrittelyyn, sillä kyllä-vastanneista yhdeksästä yrityksestä kuusi kuuluu seitsemän työntekijämäärältään suurimman yrityksen joukkoon. Tietoturvavastuiden määrittelyitä on tehty kuitenkin myös pienimmissä yrityksissä, sillä molemmat kolmen työntekijän yritykset ilmoittavat, että tietoturvavastuut on määritelty. Molemmat näistä yrityksistä ovat siinä suhteessa edistyksellisiä, että niissä on olemassa myös johdon hyväksymä tietoturvapolitiikka. Tietoturvasuunnitelma löytyy kuitenkin vain toisesta yrityksestä. Toinen näistä yrityksistä kuuluu teollisuuden toimialaan ja toinen sähkö-, kaasu- ja vesihuollon alaan. Tietoturvallisuuden riskikartoitus on tehty vain viidessä yrityksessä. Nämä yritykset kuuluvat työntekijämäärältään 10 suurimman yrityksen joukkoon. 11 yritystä vastaa, että yrityksessä ei ole tehty tietoturvallisuuden riskikartoitusta. Kuudessa näistä yrityksistä on olemassa kuitenkin tietoturvapolitiikka. Kaikki kyllä-vastanneet yritykset ovat sellaisia, joissa on tehty tietoturvapolitiikka ja määritelty tietoturvavastuut. Tietoturvasuunnitelmakin on tehty neljässä yrityksessä viidestä. Kun tutkimustuloksia tarkastellaan työntekijämäärän suhteen, huomataan, että kuudesta suurimmasta yrityksestä riskikartoituksen on tehnyt neljä yritystä. Vastaavasti kuudesta pienimmästä yrityksestä yksikään ei ole tehnyt tietoturvallisuuden riskikartoitusta. Toimialalla ei näyttäisi vaikuttavan tuloksiin mitenkään, sillä sekä kyllä- että ei-vastauksia on tullut eri toimialoissa. Lähes kaikki yritykset eli 14 yritystä vastaa, että yrityksessä ei ole tehty tietoturvallisuuden kehittämissuunnitelmaa. Tietoturvallisuuden kehittämissuunnitelma on tehty ainoastaan kahdessa yrityksessä. Kaikki kymmenen toimitusjohtajaa vastaavat, että yrityksellä ei ole tietoturvallisuuden kehittämissuunnitelmaa. Molemmissa näistä yrityksistä on olemassa tietoturvapolitiikka ja tietoturvasuunnitelma. Kyseisissä yrityksissä on määritelty myös tietoturvavastuut ja tehty riskikartoitus. Toinen yrityksistä on teollisuuden ja toinen kuljetusalan yritys. Yritykset edustavat työntekijämäärältään vastanneiden yritysten keskiarvoa. Näin ollen työntekijämäärällä ei näyttäisi olevan vaikutusta kehittämissuunnitelman olemassaoloon. Ei-vastanneista yrityksistä kolmessa on kuitenkin tehty tietoturvallisuuden riskikartoitus. Kaikki 16 kyselyyn vastannutta yritystä ilmoittavat tietävänsä mikä on heidän yrityksessänsä arvokasta tietoa. Yritykset myös pääsääntöisesti tietävät miten yrityksen arvokasta tietoa valvotaan, sillä vain kaksi yritystä vastaa, että ei tiedä miten yrityksen arvokasta tietoa valvotaan. Näiden kahden yrityksen kesken ei ole löydettävissä mitään yhtäläisyyksiä työntekijämäärän tai toimialan suhteen. Vain kolme yritystä ilmoittaa, että yrityksessä katoaa tietoa. Yksi näistä yrityksistä on toinen niistä yrityksistä, jotka ilmoittavat, että eivät tiedä miten heidän yrityksessään valvotaan arvokasta tietoa. Työntekijämäärältään ja toimialaltaan näillä kolmella yrityksellä ei ole yhtäläisyyttä. 13 yrityksessä tietoa ei ilmoiteta katoavan. 14

19 11 yrityksen vastauksen mukaan, jos yrityksestä varastettaisiin tietokone, sen sisältämää tietoa voitaisiin hyödyntää. Viiden yrityksen vastauksissa tiedon hyödyntämistä ei pidetä mahdollisena. Kaikki kuusi kyselyyn vastannutta teollisuuden alan yritystä kuuluvat niihin 11 yritykseen, joissa tiedon hyödyntäminen varastetusta koneesta pidetään mahdollisena. Myös tukku- ja vähittäiskaupan yritykset yhtä lukuunottamatta pitävät tiedon hyödyntämistä varastetusta tietokoneesta mahdollisena. Puolessa eli 8 vastanneessa yrityksessä on tietojen suojaamisesta huolehdittu siten, että yrityksessä mahdollisesti syttyvä tulipalo ei voi tuhota yrityksen tärkeitä tietoja ja pysäyttää yrityksen liiketoimintaa. Kuitenkin vajaassa puolessa eli 7 yrityksessä tietojen tuhoutumista tulipalossa ja liiketoiminnan pysähtymistä pidetään mahdollisena. Yksi yritys vastaa kysymykseen kyllä ja ei, eli tulipalo voi tuhota osan yrityksen tiedoista. Vastauksista on nähtävissä, että työntekijöiden määrä ei vaikuta tietojen tulipalolta suojaamisen tasoon. Myöskään toimialoittain kohdistuvassa tarkastelussa ei ole nähtävissä mitään yhtäläisyyttä toimialojen välillä. Mainittakoon kuitenkin, että teollisuuden alojen yrityksistä kolme vastaa tähän kysymykseen kyllä, ja niistäkin yksi on se yritys, joka vastaa kysymykseen kyllä ja ei. Kymmenen yritystä vastaa, että yrityksestä irtisanottu työntekijä voi tuhota tärkeitä tietoja tai viedä ne eteenpäin ja hyötyä niistä. Kuudessa yrityksessä tällaista toimintaa ei pidetä mahdollisena. Työntekijämäärä ei näyttäisi vaikuttavan vastaukseen, sillä molempia vastauksia on kaiken kokoisissa yrityksissä. Teollisuuden toimialalla toimivista kuudesta yrityksestä vain yksi vastaa tähän kysymykseen kielteisesti. Näin ollen viidessä vastanneessa teollisuuden alan yrityksessä pidetään tietojen tuhoamista ja hyödyntämistä irtosanotun työntekijän toimesta mahdollisena. Yksi kysymys koskee ohjelmistojen salasanojen säilytyspaikkaa. Vastanneista henkilöistä neljä tietää yrityksessä jonkun henkilön, joka säilyttää ohjelmistosalasanaa tietokoneen lähettyvillä. Kyllävastanneet yritykset ovat kaiken suuruisia ja ne edustavat eri toimialoja. Kolmessa niistä löytyy tietoturvapolitiikka. Vain yhdessä kyllä-vastanneessa yrityksessä on tehty tietoturvallisuuden riskikartoitus. Ei-vastauksia tuli tähän kysymykseen 12 yritykseltä. Kuudessa yrityksessä käyttäjätunnus annetaan pyydettäessä toisen henkilön, esimerkiksi mikrotukihenkilön, tietoon. Viisi näistä yrityksistä kuuluu kahdeksan työntekijämäärältään suurimman yrityksen joukkoon. Lähes kaikki yritykset, joissa käyttäjätunnus annetaan pyydettäessä, ilmoittavat tietävänsä miten yrityksen tärkeää tietoa valvotaan. Ainoastaan yksi näistä kuudesta yrityksestä ei tiedä valvonnan periaatteita. Kymmenessä yrityksessä käyttäjätunnuksia ei anneta pyydettäessäkään muiden henkilöiden tietoisuuteen. Toimialan mukaisessa tarkastelussa ei ole nähtävissä keskinäistä yhteneväisyyttä eri toimialojen sisällä. Yli puolessa yrityksistä eli 9 yrityksessä on tunnistettu tietoturvallisuuden kehittämistarpeet. Seitsemän yritystä vastaa, että tietoturvallisuuden kehittämistarpeiden tunnistusta ei ole tehty. Työntekijämäärän mukaan tarkasteltuna ei ole löydettävissä mitään yhtäläisyyttä erikokoisten yritysten kesken. Sen sijaan toimialoittain tarkasteltaessa huomataan, että yhtä lukuunottamatta kaikissa muissa teollisuuden alan yrityksissä on tunnistettu tietoturvallisuuden kehittämistarpeet. Kehittämistarpeiden tunnistuksessa saatuja tuloksia ei ole kuitenkaan välttämättä hyödynnetä täydellisesti, sillä vain yhdessä niistä yhdeksästä yrityksestä, jossa tietoturvallisuuden kehittämistarpeet on tunnistettu, on tehty tietoturvallisuuden kehittämissuunnitelma. On kuitenkin huomioitava, että kehittämissuunnitelma on tehty kaiken kaikkiaankin vain kahdessa yrityksessä. Tietoturvallisuuden kehittämistarpeet tunnistaneista yhdeksästä yrityksestä kolmessa on tehty myös tietoturvallisuuden riskikartoitus. Viidellä kehittämistunnistuksen tehneistä yrityksistä on olemassa tietoturvasuunnitelma. Tietoturvaan liittyvistä tapahtumista ja heikkouksista raportoidaan kuudessa yrityksessä. Kuitenkin enemmistö yrityksistä eli 10 yritystä ilmoittaa, että tällaista raportointia ei tehdä. Työntekijämäärä ei näyttäisi vaikuttavan yritysten vastauksiin, sillä raportointia tehdään kaiken kokoisissa yrityksissä. Myöskään yrityksen toimialalla ei kyselyllä saatujen vastausten mukaan ole vaikutusta tietoturvaraportoinnin tekemiseen tai tekemättömyyteen. Henkilöstö perehdytetään tietoturvan käytäntöihin yhdeksässä yrityksessä. Näistä yrityksistä viisi kuuluu seitsemän työntekijämäärältään suurimman yrityksen joukkoon. Perehdytystä tehdään kuitenkin kaikkein pienimmissäkin yrityksissä. Tietoturvakäytäntöjen perehdytystä ei tehdä seitsemässä yrityksessä. Yhdessä yrityksessä, jossa perehdytystä annetaan, ei ole olemassa tietoturvapolitiikkaa. Vastaavasti kolmessa yrityksessä, joissa yritykselle on luotu tietoturvapolitiikka, työntekijöitä ei perehdytetä tietoturvan käytäntöihin. Yhdessä yrityksessä, jossa on määritelty tietoturvavastuut, työntekijöille ei anneta tietoturvaperehdytystä. Teollisuuden alan yrityksistä tietoturvaan perehdyttämistä tapahtuu viidessä yrityksessä. 15

20 Yhdessä yrityksessä, joissa työntekijöille ei anneta tietoturvaperehdytystä, työntekijän tiedetään säilyttävän ohjelmistosalasanaa tietokoneen lähettyvillä. Kyseisessä yrityksessä sekä yhdessä toisessa eivastanneessa yrityksessä annetaan käyttäjätunnukset pyydettäessä toisen työntekijän tietoisuuteen. Kummastakaan yrityksestä ei löydy tietoturvapolitiikkaa. Vastaavasti kolmessa tietoturvaperehdytystä antavassa yrityksessä joku työntekijä säilyttää ohjelmistosalasanaa tietokoneen lähettyvillä. Näissä yrityksissä on olemassa myös tietoturvapolitiikka. Samoissa yrityksissä annetaan myös käyttäjätunnukset pyydettäessä toisen työntekijän tietoisuuteen. Työntekijöiden pääsyä eri Internet-sivustoille on rajoitettu kuudessa yrityksessä. Suurimmassa osassa eli kymmenessä yrityksessä sivustojen käytön rajoittamista ei ole kuitenkaan tehty. Kyllä-vastanneet yritykset ovat kaiken kokoisia ja ne edustavat eri toimialoja. Neljässä niistä on tehty tietoturvallisuuden riskikartoitus. Yhdestä kyllä-vastanneesta yrityksestä ei löydy tietoturvapolitiikkaa. Viidessä yrityksessä, joissa Internet-sivustojen käyttöä ei ole rajoitettu, ei perehdytetä työntekijöitä tietoturvan käytäntöihin. Näistä kahdessa yrityksessä ei myöskään tiedetä, miten yrityksen arvokasta tietoa valvotaan. Vain kolmessa yrityksessä joku yrityksen työntekijöistä niin sanotusti etätyöskentelee tietokoneella. Tällä tarkoitetaan sitä, että työntekijä työskentelee verkon välityksellä esimerkiksi kotoa. 12 yritystä vastaa, että yrityksessä ei kukaan työskentele etänä. Yksi yritys ei ole vastannut lainkaan tähän kysymykseen. Kyllä-vastauksen antaneet yritykset ovat kaiken kokoisia, eivätkä ne edusta mitään yksittäistä toimialaa. Kysymykseen, onko etätyön tietoturvasta huolehdittu, pyydettiin vastaamaan vain, jos yrityksessä on etätyöskentelijöitä. Kysymykseen on saatu kolme vastausta, jotka ovat niiltä yrityksiltä, jotka ilmoittivat, että yrityksessä on etätyöskentelijöitä. Kaikki nämä kolme yritystä vastaavat kysymykseen kyllä eli heidän mielestänsä yrityksen etätyön tietoturvasta on huolehdittu. Yhdessä näistä yrityksistä ei ole määritelty tietoturvavastuita. Samassa yrityksessä ei myöskään perehdytetä työntekijöitä tietoturvan käytäntöihin. 11 yrityksessä on sovittu tärkeiden työtehtävien varahenkilöjärjestystä. Viidessä yrityksessä tällaista varahenkilöjärjestelyä ei ole tehty. Kyllä-vastanneet yritykset ovat pääsääntöisesti työntekijämäärältään suurimpia. Neljän pienimmän yrityksen joukossa vain yksi yritys ilmoittaa, että tärkeiden työtehtävien varahenkilöjärjestelystä on sovittu. Toimialakohtaisesti ei ole nähtävissä mitään yhteneväisyyttä eri alojen välillä. Esimerkiksi sekä teollisuuden että tukku- ja vähittäiskaupan alan yritykset antavat sekä kyllä- että ei-vastauksia. Kolmessa varahenkilöjärjestelyn tehneessä yrityksessä ei ole olemassa tietoturvapolitiikkaa. Kuudessa kyllä-vastanneessa yrityksessä työntekijät perehdytetään tietoturvakäytäntöihin. Ei-vastanneista yrityksistä tietoturvaperehdytystä annetaan kolmessa yrityksessä ja kahdessa ei anneta. Vain yhdessä ei-vastanneessa yrityksessä on tehty tietoturvallisuuden riskikartoitus. Ainoastaan kolmessa yrityksessä on olemassa ohjeet miten tulee toimia, jos työntekijä epäilee jotakin toista työntekijää tietoturvaväärinkäytöksestä. Loput 13 yritystä ilmoittavat, että yrityksellä ei ole tällaisia ohjeita. Toimialan mukaan tarkasteltuna ei ole nähtävissä yhteneväisyyttä eri aloilla. Kaksi väärinkäytösohjeistuksesta huolehtinutta yritystä on työntekijämäärältään suuria. Kolmas yritys on työntekijämäärältään keskiarvoa pienempi. Kaikissa kolmessa kyllä-vastanneessa yrityksessä oli olemassa tietoturvapolitiikka. Niissä on määritelty myös tietoturvavastuut ja tehty riskikartoitus. Yrityksistä vain 2 ilmoittaa, että yrityksessä raportoidaan tietoturvaan liittyvistä tapahtumista ja heikkouksista. Eivastanneista yrityksistä tietoturvaraportointia tehdään neljässä yrityksessä. Kahdeksasta eivastanneesta yrityksestä löytyy tietoturvapolitiikka ja tietoturvasuunnitelmakin löytyy viideltä. Lähes kaikissa eli 13 yrityksessä annetaan työntekijöille käyttöoikeudet vain niihin tietoihin, joita työtehtävät vaativat. Kaikki teollisuuden alan ja kolme tukku- ja vähittäiskaupan alan yritystä kuuluvat tähän joukkoon. Vain kolmen yrityksessä käyttäjäoikeudet annetaan jollakin toisella periaatteella. Eivastanneet yritykset ovat työntekijämäärältään keskiarvoa pienempiä yrityksiä. Näistä yksi yritys ei tiedä miten yrityksen arvokasta tietoa valvotaan. Kaikissa 16 yrityksessä otetaan tiedoista varmuuskopioita. Näistä kolme yritystä kuitenkin ilmoittaa, että yrityksessä katoaa tietoa. 11 yritystä ilmoittaa, että varmuuskopioiden toimivuus testataan riittävin väliajoin. Viidessä yrityksessä varmuuskopioiden testausta ei tehdä. Näistä yksi yritys ilmoittaa, että yrityksellä katoaa tietoa. Kyllä- ja ei-vastauksia tulee kaiken kokoisissa yrityksissä ja kaikilla toimialoilla. Kaksi yritystä, jotka epäilevät, että tulipalo voisi tuhota yrityksen tiedot ja pysäyttää yrityksen liiketoiminnan, eivät testaa varmuuskopioiden toimivuutta riittävin väliajoin. Neljässä yrityksessä, joissa irtisanottu työntekijä voi tuhota tärkeitä tietoja tai viedä niitä eteenpäin, ei myöskään testata varmuuskopioiden toimivuutta. Myöskään siinä yrityksessä, jossa työntekijöiden käyttöoikeuksia tietoihin ei an- 16