POHJOIS-POHJANMAAN LIITON HYVÄ TIEDONHALLINTATAPA JA TIETOTURVA Markku Lipponen

Transkriptio

1 POHJOIS-POHJANMAAN LIITON HYVÄ TIEDONHALLINTATAPA JA TIETOTURVA 2007 Markku Lipponen

2 Pohjois-Pohjanmaan liitto Julkaisu: B:43 ISSN ISBN

3 Sisältö 1 Johdanto Tietoturvallisuuden tavoitteet Luottamuksellisuus Eheys Käytettävyys Hyvä tiedonhallintatapa ja tietoturva Määrittely Julkisuus- ja henkilötietolait sekä hyvä tiedonhallintatapa ja tietoturva Hyvän tiedonhallintatavan edellytyksiä Tietoturvallisuuden osa-alueet Tietoaineistoturvallisuus Hallinnollinen tietoturvallisuus Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Laitteistoturvallisuus Ohjelmistoturvallisuus Käyttöturvallisuus Yksityisyyden suoja Nykyajan tietoturvauhkia Social engineering / phising Sniffing eli tietoliikenteen salakuuntelu Salasanakäytännöt ja salaaminen Palvelunestohyökkäykset (DoS) Ylläpitovirheet Etäkäyttö ja etätyö Virukset, madot, haittaohjelmat ja takaportit Tietoturvallisuustason kartoitus Kartoituksen osa-alueet Tietojärjestelmän kuvaus Kartoituksen yhteenveto Pohjois-Pohjanmaan liiton tietoturvapolitiikka Tietoturvallisuus Päämäärä ja tavoitteet Hyvä tiedonhallintatapa ja tietoturvallisuus Vastuut Tietoturvallisuuden seuranta Tietoturvallisuuden toteuttaminen ja kehittäminen Tietoturvallisuussuunnitelma Tietoturvallisuus Tarkoitus ja tavoitteet Tietoturvallisuuden kehittämisohjelman merkitys Tietoturvatyö Edellisen tietoturvakatsauksen tärkeimmät kehittämiskohteet ja tehdyt toimenpiteet Toipumissuunnitelma Tavoitteet Tietojärjestelmien varmistaminen ja palauttaminen Muut toimenpiteet Poikkeusolojen valmiussuunnitelma Tietoturvaohjeistusta ja tietojärjestelmien käytön sääntöjä Tarkoitus Yleisperiaatteet Vastuut Ylläpidon oikeudet Sallittu käyttö Tietoturva- ja tietojärjestelmien käytön ohjeita Yhteenveto Lähdeluettelo

4 1 Johdanto Tietotekniikan ja tietoturvallisuuden vaatimukset ja tarpeet ovat kasvaneet kaikkien tietotekniikkaa käyttävien organisaatioiden toiminnassa. Näin siksi että yhteiskunta ja eri organisaatiot ovat tulleet yhä riippuvaisimmiksi tietotekniikasta. Samoin eri uhkatekijöiden kuten tietomurtojen, varkauksien yms. mahdollisuus on tiedostettu yhä laajemmalla. Yhä enemmän on lisääntynyt vaatimukset tietojen oikeellisuudesta ja ajankohtaisuudesta. Jotta nämä vaatimukset ja odotukset voidaan täyttää tiedon on oltava virheetöntä ja sen on oltava käytettävissä sekä tiedon luottamuksellisuuden on säilyttävä. Jonkin verran laitteiden hankinnoissa ja käytössä yhä edelleen painottuvat niiden taloudelliset, tekniset ja niiden käyttöön liittyvät seikat, mutta turvallisuuteen liittyvät seikat ovat tulleet yhä enemmän merkittäviksi osiksi tietotekniikkaa. Tietoturvallisuusasiat ovat olleet yhtenä tärkeänä osatekijänä Pohjois- Pohjanmaan liiton atk-järjestelmää kehitettäessä joskin teknisiin seikkoihin liittyvät tietoturvallisuuden osatekijät ovat olleet etusijalla. Yhä enemmän on kiinnitettävä huomiota mm. aineistojen turvaamiseen sekä inhimillisiin tekijöihin. Lisäksi julkaisussa käsitellään tietoturvaan läheisesti liittyvää hyvää tiedonhallintapaa, johon perustan antaa julkisuuslaki (621/1999). Hyvä tiedonhallintapa liittyy kiinteästi arkistotoimeen ja asiakirjahallintoon. Tietoturvallisuudella tarkoitetaan siis tietojen ja palvelujen, järjestelmien ja tietoliikenteen suojaamista ja varmistamista niihin kohdistuvien riskien hallitsemiseksi hallinnollisilla, teknisillä ja muilla toimenpiteillä. Tämä selvitys sisältää myös Pohjois-Pohjanmaan liiton tietoturvapolitiikan joka on liiton ylimmän johdon kannanotto tietoturvallisuuden hoitamiseksi ja antaa pohjaa tietoturvatyön jatkamiselle. Lisäksi julkaisuun sisältyy Pohjois- Pohjanmaan liiton tietoturvallisuuden kehittämisohjelma sekä tietojärjestelmien käytön ohjeita. Ensimmäinen tietoturvallisuutta ja tietoturvaa koskeva katsaus julkaistiin vuonna Vuoden 2007 katsaukseen on lisätty erillinen osuus haittaohjelmista ja tietoturvauhkista, sekä tarkasteltu ensimmäisessä katsauksessa havaittujen kehittämiskohteiden tilannetta. Tietoturvaraportti on hyväksytty Pohjois-Pohjanmaan maakuntahallituksessa

5 2 Tietoturvallisuuden tavoitteet Tietoturvallisuuden ja hyvän tiedonhallintatavan tavoitteena on tietojen luottamuksellisuuden, eheyden ja käytettävyyden turvaaminen laitteisto- ja ohjelmistovikojen, tahallisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. Hyvän tiedonhallintatavan ansiosta voidaan olla varmoja asiakirjojen ja tietojen käytettävyydestä, saatavuudesta, niiden eheydestä ja laadusta sekä luottamuksellisuudesta. 2.1 Luottamuksellisuus Tiedon luottamuksellisuus tarkoittaa sitä, että tiedot ovat vain niihin oikeutettujen henkilöiden ja organisaatioiden saatavilla eikä niitä paljasteta muille. Mikäli tiedot paljastuvat, on niiden luottamuksellisuus menetetty. Tarkasteltaessa luottamuksellisuuden käsitettä suppeasti koskee se yksityistä ihmistä. Tällöin puhutaan yleisesti tietosuojasta. Tallennetun tiedon ja ohjelmistojen suojaaminen vahingoilta, vahingoittumiselta ja menetyksiltä koskee kaikkia tietojärjestelmien omistajia. Tiedon luottamuksellisuuden katsotaan toteutuvan, kun tieto on luokiteltu, käyttäjät tunnistetaan sekä tietojen luovutuksesta on olemassa säännöt. 2.2 Eheys Tiedon eheydellä tarkoitetaan sitä, että tiedot ovat totuudenmukaisia eivätkä muutu tai tuhoudu laitteistovian tai inhimillisen toiminnan seurauksena. Tarvittavaa tietoa ei synny tai häviä itsestään ja että tämä tieto pysyy alkuperäisessä muodossaan virheettömänä koko elinkaaren. Tiedon tulee olla oikeaa, ajankohtaista ja muodoltaan sellaista, että sitä voidaan hyödyntää organisaatiossa. Eheyden puute voi aiheuttaa virheellisen tiedon leviämistä, virheellisin ja vajavaisin tiedon tehtyjä päätöksiä, työmäärän lisääntymistä sekä organisaation julkisen kuvan vahingoittumista. Tiedon eheyden katsotaan toteutuvan kun tiedon alkuperä on varmistettu, tieto on koskematonta ja tiedon kiistämättömyys on taattu. 2.3 Käytettävyys Tiedon käytettävyys tarkoittaa, että tiedot ja niiden muodostamat palvelut ovat niihin oikeutettujen henkilöiden käytettävissä tai saatavilla oikea-aikaisesti. Käytettävyyden merkitys on kasvanut huomattavasti, sillä lähes koko tietojenkäsittely on siirtynyt tietokoneille, henkilökunnan yhteydet eri tietojärjestelmiin ovat lisääntyneet, sähköpostin merkitys on kasvanut sekä monet muut tietotekniikan ratkaisut ovat monimutkaistuneet merkittävästi. Tämä asettaa vaatimuksen tietojärjestelmän häiriöttömälle toiminnalle. Eri toimintojen luonteesta johtuen myös asetettavat käytettävyysodotukset vaihtelevat suuresti. Suurimman käytettävyyden piirissä ovat kunnissa esim. sairaanhoidon ja energiahuollon järjestelmät. Taloushallinto vaatii myös suhteellisen hyvää käytettävyyttä, sillä vain lyhyt katkokset ovat sallittuja. Tiedon ja tietojärjestelmän käytettävyys muodostuu niiden saatavuudesta, saavutettavuudesta, oikea-aikaisuudesta ja hyödynnettävyydestä. 5

6 3 Hyvä tiedonhallintatapa ja tietoturva 3.1 Määrittely Tietoturvan ja hyvä tiedonhallintatavan käsitteet poikkeavat hieman toisistaan, mutta molempien tavoitteet ovat samat. Tietoturvallisuuden näkökulma on teknisempi ja yksityiskohtaisempi kuin hyvässä tiedonhallintatavassa. Lisäksi tietoturvallisuus keskittyy enemmän erilaisten riskien hallintaan. Hyvä tiedonhallintatapa antaa ohjeita toiminnan laatutason saavuttamisessa ja ylläpidossa. Tietoturvallisuustoimenpiteiden avulla varmistetaan hyvän tiedonhallintatavan toteutuminen. Arkistotoimen ja asiakirjahallinnon toiminnoista kirjaaminen ja arkistointi ovat erityisen keskeisiä toteutettaessa hyvää tiedonhallintatapaa. Näiden tuloksia voidaan hyödyntää tietopalvelussa, viestinnässä sekä viraston päivittäisessä toiminnassa. Hyvä tiedonhallintatapa on määritelty laissa viranomaisen toiminnan julkisuudesta (621/1999). Lisäksi lakiin liittyvät läheisesti henkilötietolaki (523/1999) ja laki sähköisestä asioinnista viranomaistoiminnassa (228/2003). 3.2 Julkisuus- ja henkilötietolait sekä hyvä tiedonhallintatapa ja tietoturva Lainsäädännössä on käsite hyvä tiedonhallintatapa jätetty osittain avoimeksi ja tätä ei määritellä tyhjentävästi. Tiedonhallintatapa kattaa kaikki ne tehtäväalueet, jotka liittyvät perinteisen asiakirjan tai teknisin apuvälinein tallennetun tiedon vastaanottamiseen, laatimiseen, käsittelyyn, säilyttämiseen ja hävittämiseen. Sekä käyttöön saattamiseen ja saatavuutta palvelemien hakujärjestelmien luomiseen ja ylläpitoon. Hyvän tiedonhallintatavan kriteereistä erityistä painoa pannaan sille, että asiakirjoihin ja tietojärjestelmiin sisältyvien tietojen saatavuudesta, käytettävyydestä, suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä huolehditaan. Henkilötietolaissa ei puhuta hyvästä tiedonhallintavasta, vaan siinä puhutaan hyvästä tietojenkäsittelytavasta. Tämän käsitteen voi katsoa olevan osa hyvää tiedonhallintatapaa ja hyvä tietojenkäsittelytapa edellyttää tietoturvan huomioon ottamista myös teknisissä ratkaisuissa. Henkilötietolaissa annetaan yksityiskohtaisia vaatimuksia tietojen suojaamiseksi. Rekisterinpitäjän on lain mukaan toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, luovuttamiselta tai muulta laittomalta käsittelyltä. Henkilötietolaki edellyttää henkilötietojen käsittelyltä tarpeenmukaisuutta, huolellisuutta ja suunnitelmallisuutta. 3.3 Hyvän tiedonhallintatavan edellytyksiä Hyvä tiedonhallintatapa on toimintatapa, johon kuuluu toiminnan korkea taso ja hyvä laatu. Hyvän laadun vaatimus koskee ennen kaikkea käsiteltäviä asiakirjoja ja tietoja. Näiden laatu varmistetaan hallintotoiminnan ja tietojärjestelmien avulla. Hallintotoiminnan korkean tason tunnusmerkkejä ovat lainmukaisuus, suunnitelmallisuus, huolellisuus, avoimuus ja luottamuksellisuus. Hyvä tiedonhallintatapa toteutuu, jos henkilöstö osaa ja on motivoitunut sitä toteuttamaan. 6

7 Hyvän tiedonhallintatavan käytännön edellytykset ovat: Kuvaukset ja luettelot Viraston omaa toimintaa koskevat kuvaukset ovat olennainen osa hyvää tiedonhallintatapaa. Niiden avulla luodaan ja jäsennetään kuvaa viraston toimintaympäristöstä ja tehtävistä sekä hallitaan ja ohjataan tietovirtoja. Lisäksi kuvaukset toimivat tietopalvelun työkaluina. Ohjeistus Tämän avulla varmistetaan toiminnan jatkuvuus, läpinäkyvyys ja laadukkuus sekä hyvän tiedonhallintatavan varmistamiseksi on määriteltävä se, miten sen tieto- ja asiakirjahallinnon suunnittelu ja ohjeistus sekä käytännön tehtävien hoito toteutetaan. Tätä varten on oltava käytännön tarpeita vastaava ohjeisto. Organisointi ja resurssointi Viranomaisten tietohallinto, arkistotoimi ja asiakirjahallinto sekä tietopalvelut ja viestintä on asianmukaisesti resurssoitu ja organisoitu. Näin taataan hyvän tiedonhallintavan ja tietoturvan asianmukainen toteuttaminen. Tietoturvan toteuttaminen Hyvän tiedonhallintatavan toteuttamisen kulmakivi on tietoturvan toteuttaminen tehokkaasti kaikilla tasoilla organisaatiossa. Tämä ei koske yksinomaan tietotekniikan parissa työskenteleviä, vaan on koko organisaation asia. 7

8 4 Tietoturvallisuuden osa-alueet Tietoturvallisuus- termiä voidaan pitää pikemminkin yleisnimityksenä tietojen turvaamiseksi, tietojärjestelmien parantamiseksi ja tietojenkäsittelyn tehostamiseksi suoritettaville toimenpiteille. 4.1 Tietoaineistoturvallisuus Tietoaineistoturvallisuus on asiakirjojen, tietueiden, tiedostojen ja muiden tietovälineiden hallintaa, säilytystä ja käsittelyä asianmukaisesti kaikissa tietojenkäsittelyprosessien eri vaiheissa. Tietoaineistoturvallisuudella halutaan varmistaa tietojen pysyminen vain ja ainoastaan niillä henkilöillä, jotka tarvitsevat niitä päivittäisten työtehtävien hoitoon. 4.2 Hallinnollinen tietoturvallisuus Hallinnollinen tietoturvallisuus koostuu toimenpiteistä, joissa päätetään tietoturvatoiminnan suuntaviivat ja turvallisuutta parantavat toimenpiteet. Tämän vuoksi hallinnollinen tietoturvallisuus on tietoturvallisuustoiminnan perusta. Hallinnollisella tietoturvallisuudella kootaan kaikki muut tietoturvallisuuden osa-alueet yhtenäiseksi kokonaisuudeksi, jota pystytään johtamaan joko omana toimintonaan tai jonkin muun johtamisfunktion osana. 4.3 Henkilöstöturvallisuus Henkilöstöturvallisuus on henkilöstöön liittyvien turvariskien hallintaa toimenkuvien, käyttöoikeuksien ja koulutuksen avulla. Osana henkilöstöturvallisuuteen kuuluu vierailijoiden tarkkailu ja valvonta. 4.4 Fyysinen turvallisuus Fyysinen turvallisuus on laitteisto-, käyttö-, varasto- ja arkistotilojen fyysistä suojaamista. Tähän kuuluvat kulunvalvonta, tekninen valvonta, vartiointi sekä erilaisten vahinkojen, kuten palo-, vesi- ja murtovahingot, estäminen. 4.5 Tietoliikenneturvallisuus Tietoliikenneturvallisuudella pyritään varmistamaan televerkoissa liikkuvien tietojen luottamuksellisuus, eheys ja käytettävyys. Tietoliikenneturvallisuudesta huolehtivat omalta osaltaan televerkkojen operaattorit ja toisaalta verkkojen käyttäjät. Tietoliikenneturvallisuutta parannetaan kehittämällä sähköpostin salaus- ja allekirjoitusmenetelmiä, huolehtimalla viestien alkuperän ja lähettäjän todentamisesta sekä estämällä viestien väärinreititykset. 4.6 Laitteistoturvallisuus Laitteistoturvallisuus koostuu tietojenkäsittely- ja tietoliikennelaitteiden kokoonpanoon, kunnossapitoon ja laadunvarmistukseen liittyvistä turvallisuusnäkökohdista. Fyysisten laitteiden lisäksi tähän turvallisuuden osaalueeseen voidaan lukea kuuluvaksi varusohjelmat. 4.7 Ohjelmistoturvallisuus Ohjelmistoturvallisuudella tarkoitetaan kaikkien käytettävien ohjelmistojen ja sovellusten tietoturvaominaisuuksia. Lisäksi tähän kuuluvat käytettyjen tietokoneohjelmien suojaamiseen, lisensointiin ja rekisteröintiin liittyvät asiat. Ohjelmistoturvallisuudella halutaan varmistaa, että käytetyt ohjelmistot ovat luval- 8

9 lisia ja lisensoituja ja että ne tarjoavat käyttöön sen tarvitsemat suojausominaisuudet. 4.8 Käyttöturvallisuus 4.9 Yksityisyyden suoja Käyttöturvallisuus muodostuu järjestelmien käyttöperiaatteista, käyttöympäristöstä, tietojenkäsittelyn valvonnasta ja jatkuvuuden turvaamisesta. Yksityisyyden suoja on osa-alue, jossa tarkastellaan viraston toimintaan liittyvien ihmisten henkilötietojen suojaamiseen liittyviä asioita. 9

10 5 Nykyajan tietoturvauhkia 5.1 Social engineering / phishing Tavoitteena on hankkia luottamuksellista tietoa tekeytymällä tiedon käyttöön oikeutetuksi ja käyttämällä hyväksi tiedon käyttöön oikeutettuja henkilöitä. Social engineering-tyyppisellä huijauksella pyritään luomaan uskottava vaikutelma käyttäjälle, että tietoturvapäivitys, salasanatiedustelu taikka luottokortin numeron tarkistus on tarpeellinen ja oikea. Usein social engineering-termin tilalla käytetään myös termiä "phishing", jossa käytetään hyödyksi tekaistuja sähköpostiviestejä ja Internetsivuja (mm. pankkitunnusten utelut). Mobiililaitteet ovat tuoneet uuden tietoturvaongelman. Täysin estottomasti matkapuhelimeen luottamuksellisia tietoja höpöttävän salakuuntelu ei juurikaan vaadi erikoisia taitoja. Kunhan vaan sijoittuu lähelle ja tekee muistiinpanoja. 5.2 Sniffing eli tietoliikenteen salakuuntelu Tietoliikennettä pyritään seuraamaan ja tietoa kaappaan erilaisilla analysaattoreilla ja laitteilla. 5.3 Salasanakäytännöt ja salaaminen Tietoverkkoon murtautunut pystyy nykyisillä tehokkailla tietokoneilla ja ohjelmilla selvittämään helposti käytettävät tunnukset ja salasanat sekä salatut viestit. 5.4 Palvelunestohyökkäykset (DoS) Palvelunestohyökkäyksissä käytetään hyväksi kaapattuja (jopa satojatuhansia) suojaamattomia tietokoneita kohdistamaan valtava määrä hakuja palvelimeen. Tällä pyritään lamaannuttamaan yrityksen Internetsivujen toiminta. Tällä voi olla huomattavia taloudellisia vaikutuksia esim. verkkokauppojen liiketoimintaan. 5.5 Ylläpitovirheet 5.6 Etäkäyttö ja etätyö Henkilöstön tekemät virheet ohjelmistojen ja laitteistojen asennuksissa voivat aiheuttaa tietojen menetystä ja toiminnan keskeytymistä. Erilaiset päivitys- ja järjestelmien muutostoimet voivat aiheuttaa ongelmia tiedon käytettävyydelle. Erilaisten suojatun atk-järjestelmän ulkopuolella käytettävien laitteiden, kuten kannettavien tietokoneiden, matkapuhelimien yleistyminen aiheuttaa yhä kasvavan tietoturvauhan. Näillä laitteilla on suhteellisen helppoa tuoda esim. haittaohjelmia. 5.7 Virukset, madot, haittaohjelmat ja takaportit Ensimmäiset virukset ilmestyivät jo ennen Windows-käyttöjärjestelmää ja internetiä, joskin ne alkoivat yleistyä vasta 1990-luvun puolivälin jälkeen. Ensimmäiset virukset olivat suhteellisen alkeellisia ja ne levisivät pääasiassa levykkeiden mukana ns. käynnistyslohkoviruksina. Maailman tehokas verkottuminen, käyttöjärjestelmien tietoturvapuutteet, kaikkien saatavilla olevat virusten tekemiseen tarkoitetut ohjelmat ovat mahdollistaneet virusten erittäin tehokkaan nopean leviämisen. Kun aikaisemmin virusten leviäminen kesti päiviä nykyään virukset leviävät muutamassa tunnissa tai minuutissa. 10

11 Tällä hetkellä tunnetaan lähes virusta ja näiden muunnosta, joskin maailmalla tapahtuvista vakavista virustartunnoista 99 % aiheutuu noin 400 viruksesta. Tällä hetkellä yritykset alkavat olla aika hyvin suojattuja viruksia vastaan. Kotikoneiden suojaamiseen on kiinnitetty yhä enemmän huomiota myös operaattoreiden taholta, sillä kiinteät yhteydet ja puutteellinen suojaus mahdollistavat kaikenlaisten haittaohjelmien leviämisen. Vaikka virukset ja madot saavatkin merkittävästi julkisuutta, erilaiset vakoojaohjelmat ovat tietoturvan kannalta erittäin merkittäviä. Nämä vakoojaohjelmat liittyvät erittäin kiinteästi nettikäyttöön, sillä useimmiten ohjelmilla seurataan käyttäjän liikkumista verkossa ja asiasta raportoidaan eteenpäin. Nämä ohjelmat näkevät kaiken mitä kukin käyttäjä tekee koneellaan, millä sivuilla vieraillaan ja mitä mainoksia luetaan. Kaikkein vaarallisimpia ovat ne vakoojaohjelma, jotka seuraavat www-sivuille kirjoitettavaa tietoa ja voivat sitten kaapata nimi, osoite ja luottokorttitietoja. Nämä erilaiset haittaohjelmat pääsevät koneeseen joko erilaisten asennettavien ohjelmien kylkiäisinä. Aikaisemmin suuren taloudellisen riskin aiheuttivat haittaohjelmat, jotka suorittavat ohjelmien ja yhteyksien asennuksia. Nämä liittyvät aika usein erilaisiin aikuisviihdepalveluihin ja avaten itse puhelinyhteyksiä erilaisiin palvelunumeroihin. Aikaveloituksista luopuminen on poistanut tämän riskin, mutta toisaalta aina yhteydessä olevat tietokoneet ovat lisänneet virusten leviämisvaaraa.. 11

12 6 Tietoturvallisuustason kartoitus 6.1 Kartoituksen osa-alueet Pohjois-Pohjanmaan liiton tietojärjestelmiä tarkasteltiin tietoturvallisuuden eri osa-alueiden kautta. Osa-alueina kartoituksessa olivat: tietoaineistoturvallisuus, hallinnollinen tietoturvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, ohjelmistoturvallisuus ja käyttöturvallisuus. Laitteistoturvallisuuteen liittyvät asiat käsiteltiin fyysisen turvallisuuden osiossa ja yksityisyyden suojaa tarkasteltiin käyttöturvallisuusosiossa. 6.2 Tietojärjestelmän kuvaus Pohjois-Pohjanmaan liiton henkilökunnan määrä on noin 50 henkilöä ja lisäksi samassa verkossa toimii Pohjois-Pohjanmaan kesäyliopiston, jossa henkilökuntaa on noin 10 henkilöä. Varsinaiset liiton toimitilat sijaitsevat kahdessa kerroksessa. Lisäksi kahden korttelin päässä sijaitsevassa toimipisteessä on kuusi työpistettä. Atk-kaapelointi on toteutettu CAT5-kategorian kaapeloinnilla. Verkossa käytetyt aktiivilaitteet ovat nopeuksiltaan 10/100 Mbit/s. Etätoimisto on yhdistetty varsinaiseen atk-järjestelmään siltaratkaisulla. Palvelinlaitteita on käytössä viisi kappaletta ja käyttöjärjestelmänä näissä on Windows 2003 Server tai Windows 2000 Server. Varsinaisten työasemien lisäksi verkossa on kannettavia tietokoneita, lasertulostimet, väri- ja mustavalkokopiokoneet sekä A0 mustesuihkutulostin. Sovellusohjelmina käytetään pääasiassa Microsoft Office 2000 tuoteperheen ohjelmia (Word, Excel, PowerPoint, Access). Grafiikkaohjelmana käytetään Corel Draw:ta, Adobe Illustratoria ja Adobe Photoshopia. Paikkatieto-ohjelmana käytetään ArcView:tä. Taloushallinnon ohjelmistona käytössä on WM-Datan Status ja pankkiohjelmana Analysten Cash Manager sekä asianhallinnassa käytetään Dynasty-ohjelmaa. Muita ohjelmia on käytössä noin 20 kappaletta. Liitolla on lisäksi käytössään ulkoistettuina palveluina sähköpostijärjestelmä ja internetyhteydet. Yksityiskohtainen tietojärjestelmäkuvaus sisältää atk-verkon, tietokoneiden ja ohjelmistojen sekä tietoliikenneyhteyksien kuvaukset. Nämä eivät ole julkisia ja eivätkä näin ollen sisälly tähän julkaisuun. 12

13 6.3 Kartoituksen yhteenveto Edellisessä kartoituksessa 2001 esille tulleita seikkoja tarkasteltiin uudestaan. Seuraavaan taulukossa on joukko tietoturvan kannalta merkittäviä kartoituksessa esille tulleita seikkoja. Taulukkoon merkitty vuonna 2001 kehittämistä vaativat (- -merkki) osa-alueet ja ne joita on jo kehitetty (+ -merkki). Lisäksi siihen on (+) merkinnällä osoitettu kehitetyt kohteet. Tietoturvallisuuden osaalue Tietoaineistoturvallisuus Hallinnollinen tietoturvallisuus Havainnot - tietoaineistojen (myös paikkatiedot) varmistus puutteellista (+) - palautusta ei testata aktiivisesti (+) + luettelot tietojärjestelmistä ja henkilörekistereistä + aineistoja luokiteltu - tietoturvahenkilöä ei nimetty (+) - tietoturvatyön resurssointia ei ole tehty + tietoturvatyön tärkeys tiedostettu + tietojärjestelmän kuvaukset (pohjapiirrokset), laitteisto- ja ohjelmistorekisterit Henkilöstöturvallisuus - tietoturvatyön opastus, ohjeet ja määräykset (+) - salasanat vaihdetaan liian harvoin + käyttäjätunnukset ja salasanat pakollisia + vieraiden valvonta Fyysinen turvallisuus + atk-keskus lukittu ja erillinen ilmastointi järjestetty + viraston ulko-ovet lukittu + laitteiden turvamerkinnät Tietoliikenneturvallisuus - ulkoiset yhteydet osittain suojaamattomat (+) - sähköpostin virussuojaus jo postipalvelimessa (+) Laitteistoturvallisuus Ohjelmistoturvallisuus Käyttöturvallisuus + palvelimissa vikasietoiset levyjärjestelmä + katkottomat virtalähteet (UPS) Palvelimien kahdennetut virtalähteet yms. (+) + lisenssit kunnossa + virustarkastukset kunnossa + kaikilla käytössä samat ohjelmaversiot + sovelluksia hajautettu eri palvelimille - työasemien ja ohjelmistojen sulkeminen poistuttaessa työpaikalta (+) + järjestelmän käyttöoikeudet määritelty Tietoturvaa parannettu runsaasti yksittäisillä toimilla. Tietoturvallisuudesta huolehtiminen on jatkuva prosessi. Turvallisuuden parantamisesta ja kehittämisestä on huolehdittava tietojärjestelmien muuttuessa ja kehittyessä. Suuri haaste turvallisuustyössä on se, kuinka työntekijät saadaan sitoutettua osallistumaan omalta osaltaan tietoturvallisuuden parantamiseen. 13

14 7 Pohjois-Pohjanmaan liiton tietoturvapolitiikka Tietoturvapolitiikka on liiton johdon kannanotto, joka määrittelee liiton tietoturvallisuuden tavoitteet, vastuut ja toteuttamiskeinot. Tietoturvallisuustyö nähdään tärkeänä osana viraston toiminnan kehittämistä ja toiminnan laatua. 7.1 Tietoturvallisuus Tietoturvallisuudella tarkoitetaan automaattisesti tapahtuvan tietojenkäsittelyn turvaamista. Tämä ohella tietoturvallisuustoimet koskevat kaikkea sähköisessä, audiovisuaalisessa, suullisessa ja kirjallisessa muodossa olevan tiedon käsittelyä, siirtoa ja arkistointia. Tietoturvallisuus rakentuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä sekä soveltuvilta osin pääsynvalvonnasta ja kiistämättömyydestä. Pääsynvalvonta tarkoittaa sitä, että tietoa tai tietojärjestelmää ei voi käyttää ilman lupaa. Kiistämättömyys tarkoittaa todisteiden luomista sen varmistamiseksi, ettei yksikään tietojen käsittelyn tai siirron osapuoli voi jälkikäteen kiistää osuuttaan siihen. Tietoturvallisuustyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tähän toimintaan kuuluvat tietojen turvaamisen menetelmät, välineet ja toimenpiteet, työhön osoitetut resurssit sekä välineistön tietoturvaominaisuudet. Tietoturvallisuus kattaa kaikenlaiset liiton tietojenkäsittelytehtävät sisältäen myös toimistotyön tehtävät, erityyppisten dokumenttien arkistoinnin sekä sisäisen valvonnan. Pohjois-Pohjanmaan liitossa noudatetaan lisäksi hyvää tiedonhallintatapaa, joka liittyy olennaisena osana tietoturvaan. Pohjois-Pohjanmaan liiton tietoturvallisuuden rakentaminen tapahtuu kansallisten ja kansainvälisten tietoturvallisuutta koskevien lakien ja asetusten sekä valtion- ja kunnallishallinnon tietoturvallisuudesta annettuja suosituksia ja ohjeita noudattaen. Lisäksi huomioon otetaan hyvää tiedonhallintatapaa koskevat ohjeet, lait ja asetukset. 7.2 Päämäärä ja tavoitteet Tietoturvallisuustyön päämäärä on turvata liiton toiminnalle tärkeiden tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietojen ja tietojärjestelmien joutuminen ulkopuolisille sekä estää niiden luvaton käyttö, tahaton tai tahallinen tiedon tuhoutuminen tai vääristyminen, sekä minimoida aiheutuvat vahingot. Liiton tiedot, tietojenkäsittelyjärjestelmät ja palvelut pidetään asianmukaisesti suojattuina sekä normaali- että poikkeusoloissa hallinnollisten, teknisten ja muiden toimenpiteiden avulla. Liiton tavoitteena on hoitaa tietoturvallisuus kokonaisvaltaisesti lainsäädännön edellyttämällä tavalla sekä asiakkaiden, sidosryhmien ja liiton etu huomioiden. Tiedon eheyden, koskemattomuuden sekä tietojenkäsittelyn jatkuvuus turvataan siten, että tarvittava tieto on aina käytettävissä. 14

15 7.3 Hyvä tiedonhallintatapa ja tietoturvallisuus Pohjois-Pohjanmaan liitossa noudatetaan hyvää tiedonhallintatapaa ja tähän kuuluu erottamattomasti tietoturvallisuus. Hyvän tiedonhallintatavan tunnusmerkkejä ovat: - tiedonhallinnan asianmukaiset resurssit ja organisointi - toiminnan varmistava ohjeistus - suunnitelmallisuus, huolellisuus, luottamuksellisuus ja lainmukaisuus - ajan tasalla ylläpidettävät kuvaukset rekistereistä, aineistoista, niiden käsittelystä ja hävittämisestä - käsiteltyjen tietojen luettelointi sekä - tietoturvallisuuden sisältyminen olemassa olevaan ohje- ja laatujärjestelmään. Eri toimenpiteiden tarvetta arvioitaessa on kiinnitettävä huomiota siihen kuinka toteutetaan: oikeus saada tietoja viranomaisten julkisista asiakirjoista; velvollisuus tuottaa ja jakaa tietoja sekä antaa tietoja keskeneräisistä asioista; henkilötietojen suojaaminen, salassa pidettäväksi säädettyjen tietojen suojaaminen, tietojen käyttötarkoituksia koskevat rajoitukset; tietojen käytettävyys, eheys ja laatu tehtävien hoidossa ja viranomaisten yhteistyössä; tietojen laadun varmistaminen. Eri tietoturvamenettelyjä käytettäessä on huolehdittava em. vaatimusten ja tarpeiden toteuttamista sekä huolehdittava siitä ettei tietoturvamenettelyillä vaikeuteta hyvän tiedonhallintatavan toteuttamista. 7.4 Vastuut Tietoturvallisuus on koko liiton yhteinen asia. Ylin vastuu tietoturvallisuudesta on Pohjois-Pohjanmaan maakuntahallituksella ja maakuntajohtajalla. Käytännön tietoturvatyötä johtaa ja valvoo hallintojohtaja. Tietoturvallisuuden kehittämisestä, toteutuksen valvonnasta ja tietoturvallisuuden edistämisestä vastaa liiton johdolta saamiensa resurssien ja toimivaltuuksien puitteissa atk-päällikkö. Jokainen liiton tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä ja käyttäjä on viime kädessä vastuussa tietoturvallisuuden toteuttamisesta omalta osaltaan. Kukin liiton tietojärjestelmien ja niiden sisältämien tietojen omistaja vastaa tietojensa ja tietojärjestelmiensä suojaamisesta. 7.5 Tietoturvallisuuden seuranta Tietoturvasta vastaamaan nimetyillä henkilöillä on asianmukainen valtuus ja velvollisuus tehdä liiton tietojärjestelmien tietoturvallisuuden kartoituksia ja ryhtyä toimenpiteisiin havaittujen tietoturvallisuuden heikkouksien parantamiseksi. Jokainen liiton tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan liiton johdon hyväksymiä käyttösääntöjä ja tietoturvaohjeita. Sekä noudattamaan muita annettavia tietoturvaohjeita ja määräyksiä. Käyttäjien ja ylläpitäjien tulee ilmoittaa havaitsemistaan tietoturvallisuuden puutteista ja tietoturvallisuuteen liittyvistä väärinkäytöksistä joko atkpäällikölle tai hallintojohtajalle, jotka reagoivat niihin erikseen määriteltävällä tavalla. 15

16 7.6 Tietoturvallisuuden toteuttaminen ja kehittäminen Tietoturvallisuuden toteuttamisen perusta on tämä liiton johdon hyväksymä kirjallinen tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle henkilökunnan jäsenelle ja tietojärjestelmien käyttäjälle. Tietoturvallisuuden tavoitteiden saavuttaminen on jatkuva prosessi, joka sisältää hallinnollisia, fyysisiä ja teknisiä ratkaisuja. Tietoturvapolitiikan pohjalta laaditaan tietoturvaa koskevat suunnitelmat. Käyttäjien toimintaa ohjataan erillisillä toimintaohjeilla sekä tietoturva- että tietojenkäsittelykoulutuksella. Tietojenkäsittelyn ja tietojärjestelmien tietoturvallisuuden tason kartoitus sekä kehittäminen on myöskin jatkuva prosessi, jota arvioidaan sisäisen tarkastuksen keinoin, tarvittaessa myös ulkoista tarkastusta käyttäen. 16

17 8 Tietoturvallisuussuunnitelma Turvallisuuden takaamiseksi jokaisen liiton tietojärjestelmiä käyttävän henkilön tulee noudattaa ohjeita ja sääntöjä. Tietoturvallisuuden kehittämissuunnitelma perustuu tämän raportin viidennen luvun tietoturvapolitiikkaan, ja se antaa edellytykset hallinnollisen tietoturvan kehittämiseen. 8.1 Tietoturvallisuus Tietoturvallisuudella tarkoitetaan automaattisesti tapahtuvan tietojenkäsittelyn turvaamista. Tämän ohella tietoturvallisuustoimenpiteet koskevat kaikkea sähköisessä muodossa olevaa tiedon käsittelyä, siirtoa ja säilyttämistä. 8.2 Tarkoitus ja tavoitteet Tietoturvallisuus muodostuu tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä sekä soveltuvin osin pääsynvalvonnasta ja kiistämättömyydestä. Perusturvallisuuden tavoitteina voidaan pitää neljää kohtaa, jotka ovat: a) Organisaation keskeisten resurssien varmistaminen eli keskeytykset pyritään saaman mahdollisimman lyhyiksi b) Tietojärjestelmien fyysinen suojaaminen ja turvallisen tietojenkäsittelyympäristön luominen normaalille toiminnalle c) Tietoturvallisuuden hallinta sisältää käyttöoikeudet sekä periaatteet tietojen luovuttamiselle d) Tietoliikenteen turvallisuus 8.3 Tietoturvallisuuden kehittämisohjelman merkitys Tietoturvallisuus on liiton yhteinen asia. Hallinnollisella tietoturvallisuudella pyritään luomaan edellytykset tietojenkäsittelyn turvalliselle käytölle. Lisäksi otetaan huomioon työntekijöiden erilaiset tietojenkäsittelytaidot. Tällaisia tietojenkäsittelytapahtumia ovat mm. sähköpostin- ja internetin käyttö, asiakirjojen ja laskentataulukkojen käyttö. Tällä raportilla luodaan pelinsääntöjä tietoturvallisuuden kehittämiseen käytettävissä olevia resursseja mahdollisimman hyvin hyödyntäen. Samalla pyritään parantamaan käyttäjien tietoturvatietoisuutta kouluttamisen, tiedottamisen ja koulutuksen avulla. Lisäksi Tiimin foorumilla julkaistaan tietoturvaan ja tietojärjestelmiin liittyviä tiedotteita ja ohjeita. 8.4 Tietoturvatyö Tietoturvatyö on tietoturvallisuuden saavuttamiseksi tehtävien toimenpiteiden suunnittelua ja toteuttamista. Tähän toimintaan kuuluvat tietojen turvaamisen menetelmät, välineet ja toimenpiteet, resurssit ja välineistön tietoturvaominaisuudet. Tietoturvatyössä pyritään tietoturvallisuuden perustasoon, jossa tietojärjestelmien käyttö on turvallista ja sujuvaa. Lisäksi pahimpiin ongelmiin on varauduttu toipumissuunnitelmalla, jolla varmistetaan tietojärjestelmien häiriötön toiminta. Perusturvallisuustason ylläpitäminen vaatii suunnitelmien- ja ohjelmien jatkuvaa uudelleenarviointia. Tietoturvatyön mahdollistamiseksi tarvitaan ainakin: - Tietoturvallisuustason kartoitus - Tietoturvapolitiikka - Tietoturvasuunnitelma - Toipumissuunnitelma - Tietoturvaohjeita ja tietojärjestelmien käytön sääntöjä 17

18 Tietoturvallisuustyö tapahtuu vähitellen ottaen huomioon henkilökunnan tietojenkäsittelytaidot. Tietoturvallisuutta parantavien menetelmien tulee olla työntekijöiden tiedossa siten, että niitä osataan ja ennen kaikkea halutaan noudattaa. 8.5 Edellisen tietoturvakatsauksen tärkeimmät kehittämiskohteet ja tehdyt toimenpiteet Kartoituksen perusteella löytyi kuusi kohtaa, joiden kehittämiseen on lähitulevaisuudessa kiinnitettävä huomiota: 1. Tietoaineistojen varmistukset ja palautukset - varmistusrutiinieja on kehitettävä ja sovittava miten huolehditaan erilaisten aineistojen varmistuksista. - varmistusten palautuksen onnistumista on testattava Toimenpide: Uusittu varmistusratkaisu (levyjärjestelmä ja nauha-asema). Testattu varmistuksia. 2. Tietoturvahenkilöä ei ole nimetty - nimettävä tietoturvasta vastaava henkilö Toimenpide: Tietoturvahenkilö nimetty. 3. Salasanoja vaihdetaan liian harvoin - sovittava salasanojen vaihtamistavasta ja -aikatauluista 4. Tietoliikenneyhteydet osittain suojaamattomat - selvitettävä erilaiset palomuuriratkaisut ja muut tietoturvallisuutta parantavat menetelmät ja otetaan ne käyttöön Toimenpide: Tietoliikenneoperaattori vaihdettu 2005 ja samalla otettu käyttöön ajanmukaiset palomuuri- yms. ratkaisut 5. Sähköpostin virussuojaus - parasta aikaa selvitellään valtakunnallisesti Tiimipostin virussuojauskäytäntöjä jotta jo postipalvelimessa saataisiin poistettua virukset Toimenpide: Postijärjestelmän vaihdon yhteydessä käyttöön tehokas roskaposti- ja virussuojaus. 6. Työasemien ja sovellusten sulkeminen - ohjeistusta lisätään rutiinien kehittämiseksi Toimenpide: Annettu ohjeita työasemien ja sovellusten käytöstä. 18

19 9 Toipumissuunnitelma 9.1 Tavoitteet Tavoitteena pidetään vahinkojen rajaamista erilaisissa vahinkotilanteissa sekä varajärjestelmien suunnitelmallisen käyttöönoton toteuttaminen. Eri toiminnot ovat tulleet täysin riippuvaisiksi tietojärjestelmien toiminnasta ja keskeytysajat ovat suhteellisen lyhyet. Jo päivän kestävä katkos tietoliikenneyhteyksissä vaikuttaa ratkaisevasti toimintaan. 9.2 Tietojärjestelmien varmistaminen ja palauttaminen Tietojärjestelmien varmistamisessa käytetään useamman median ratkaisua. Palvelimet: Vikasietoiset levyjärjestelmät mahdollistavat tietojen säilymisen yhden levyn rikkoutuessa. Varsinainen varmistusjärjestelmä: Palvelimilta aineistoja varmistetaan levyjärjestelmään kerran vuorokaudessa. Nauhalle tiedot varmistetaan aina tarvittaessa (tavallisesti kerran viikossa). Varmistuksien onnistumisen testaaminen on erittäin merkittävää, jotta voidaan olla varma tietojen palauttamisesta. Varmistusnauhojen palautusta tullaan testaamaan säännöllisin väliajoin. 9.3 Muut toimenpiteet Tietoliikenneyhteyksien toimiminen on lähinnä operaattorien vastuulla. Sähköverkon jännitepiikkien varalta kaikki palvelimet on varustettu ns. UPS (katkoton virtalähde)- laitteilla. 19

20 10 Poikkeusolojen valmiussuunnitelma Pohjois-Pohjanmaan liitolla ei ole poikkeusolojen valmiusvelvoitteita, joten tätä suunnitelmaa ei tarvita. 20

21 11 Tietoturvaohjeistusta ja tietojärjestelmien käytön sääntöjä 11.1 Tarkoitus Pohjois-Pohjanmaan liiton tavoitteena on tarjota piirissään toimiville henkilöille hyvät mahdollisuudet tietojärjestelmien ja tietoliikenneyhteyksien käyttöön. Tietoliikenteestä on tullut yhä merkittävämpi yhteydenpidon ja tiedonhankinnan väline. Yhä lisääntyneet ulkoapäin tulevat uhkatekijät edellyttävät tarkkaavaisuutta tietoliikenteessä. Jotta näiden hyvin työskentelyolojen takaaminen olisi mahdollista, edellytetään kaikkien käyttäjien tuntevan velvollisuutensa järjestelmien käytössä ja noudattavan hyväksyttyjä sääntöjä Yleisperiaatteet Pohjois-Pohjanmaan liiton henkilökunnalla on oikeus käyttää liiton tarjoamia tietotekniikkapalveluja suorittaessaan työtehtäviä. Työnantaja tarjoaa käyttöön tarvittavat sovellukset. Tietojärjestelmän käyttöön tarvitaan käyttölupa, jonka merkkinä käyttäjälle annetaan henkilökohtainen käyttäjätunnus. Kaikilla käyttöön oikeutetuilla on oltava mahdollisuus kohtuulliseen ja asialliseen käyttöön. Muille käyttäjille tai tietojärjestelmille ei saa aiheuttaa haittaa tai vahinkoa. Yksityisyyden suojaa pitää kunnioittaa Vastuut Kaikkien tulee huolehtia tietoturvallisuuteen liittyvistä asioista kuten on mainittu tietoturvasuunnitelmassa ja liiton tietoturvapolitiikassa. Käyttäjätunnus ja siihen liittyvä salasana ovat henkilökohtaisia ja mikäli ne luovutetaan jonkun toisen tietoon vastaa käyttäjätunnuksen haltija sen käytöstä. Toista käyttäjää koskevien tai hänelle kuuluvien tiedostojen etsiminen ja lukeminen on sallittu vain hänen luvallaan. Vahingossa haltuun saatujen tietojen levittäminen ja hyväksikäyttö on kiellettyä Ylläpidon oikeudet ATK-järjestelmän ylläpitäjällä on oikeus valvoa, rajoittaa ja säädellä tietojärjestelmän ja tietoliikenneverkon käyttöä. Lisäksi on oikeus tarvittaessa kopioida, siirtää, poistaa tai lukea koneissa tai verkossa olevaa tietoa. Atk-järjestelmän ylläpitäjällä on salassapitovelvollisuus luottamuksellisten tietojen suhteen ja mitään ylläpidon yhteydessä saatua tietoa ei paljasteta eikä levitetä Sallittu käyttö Pohjois-Pohjanmaan liiton tietotekniikka on tarkoitettu henkilökunnan työtehtävien hoitoon. Tietoliikenteen osalta sallittua on sähköposti ja internetin käyttö. Internet on lähinnä tarkoitettu työtehtävien suorittamisessa tarvittavan tiedon hankkimiseen ja levittämiseen. 21

22 11.6 Tietoturva- ja tietojärjestelmien käytön ohjeita Käyttöluvan saaneella on oikeus käyttää kaikkia koneelle asennettuja sovelluksia sekä yleiseen käyttöön asennettuja ohjelmisto- ja laitepalveluita. Työasemat ja muut laitteet: Työasemia saa käyttää vain liiton henkilökuntaan kuuluvat tai muut luvan saaneet. Aina oltaessa poissa pitemmän aikaa (loma-aika, viikonloput, matkat tms.) työasema pitää sulkea sen turhan lämpiämisen estämiseksi ja tietoturvan parantamiseksi. Käytävillä olevia tulostimia ei tarvitse sulkea. Tulostus: Sähköposti ja internet: Tulostuksessa on noudatettava kohtuullisuutta. Tulostuslaitteina on suosittava uusia monitoimilaitteita. Erityisen suuret tulostussarjat on edullisinta tulostaa monistamon musta-valko kopiokoneelle. Tietoliikenneyhteyksien kapasiteetin rajallisuudesta johtuen on vältettävä turhien isojen tiedostojen moninkertaista lataamista esim. Internetistä. Pääsääntöisesti yksi latauskerta riittää ja tarvitseville voidaan asiakirjaa kopioida. Sähköpostissa on kiellettyä lähettää tai välittää ketjukirjeitä, mainoksia, viruksia tai erityisesti turhia virusvaroituksia. Sähköpostiohjelmana käytetään liiton tarjoamaa palvelua eikä mitään omia postisovelluksia saa asentaa tai käyttää. Selaimessa kotisivuna käytetään Pohjois-Pohjanmaan liiton kotisivua ja selaimen tietoliikenneasetuksia ei saa muuttaa. Virukset: Kun saat sähköpostiviestin mieti hetki ennen kuin napauta sen ja ennen kaikkea siinä mahdollisesti mukana olevan liitteen auki: a) Onko tuttu lähettäjä? Tämä hieman helpottaa asiaa, mutta aika suuri osa viruksista käyttää tutun henkilön sähköpostia ja henkilöllisyyttä. b) Onko viesti järkevä? Entä aihe? c) Minkälaisia liitteitä? Mikäli esim. ennen suomeksi viestinyt henkilö lähettää viestin jollakin vieraalla kielellä eikä asiasta ole sovittu ennalta, on kyseessä melko varmasti viruksen aikaansaama viesti. Onko otsikko järkevä ja ymmärrettävä. Älkää koskaan avatko suoraan liitteenä olevaa tiedosta, vaan miettikää ensiksi hieman aikaa. Mitään ohjelma- ja asetustiedostoja ei saa avata (.exe,.dll,.vbx ), jos ei tiedä niiden sisältöä varmasti luotettavaksi. Varottavia liitteitä ovat lisäksi ns. kaksoistarkentimiset liitteet esimerkiksi: LIITE.doc.lnk tai LIITE.doc.pif 22

23 Hoitakaa kotikoneidenne virustarkistus kuntoon, sillä vastuu on sillä joka levittää viruksen liiton atk-järjestelmään. Viruspäivitys tapahtuu useimmiten kerran viikossa. Kun huomaatte päivityksen aloitusilmoituksen älkää sulkeko tietokonetta, sillä tämä voi aiheuttaa päivityksen epäonnistumisen. Odottakaa rauhassa päivityksen lopetusilmoitusta. Ohjelmat: Työkäytössä oleviin laitteisiin ei saa asentaa laittomia ohjelmakopioita eikä mitään muitakaan ohjelmia ilman ylläpidon hyväksyntää. Itse asennetut lisäohjelmat voivat aiheuttaa atk-verkon toimintahäiriöitä. Työasemien asetuksia ei saa muuttaa ilman ylläpidon suostumista. Sovellusohjelmien asiakirjat kannattaa sulkea ollessanne poissa koneen äärestä, sillä kuka tahansa pystyy lukemaan ja muuttamaan avoimena olevia asiakirjoja. 23

24 12 Yhteenveto Tehokas tietoturvatyö sisältää useita eri elementtejä lähtien laitteiden fyysisestä suojaamisesta varsinaisen tiedon suojaamiseen. Suuri osa tietoturvattomuudesta johtuu välinpitämättömästä asenteesta tietoturvallisuutta kohtaan. Tietoturvallisuus mielletään "tekniseksi" ja vain atk-henkilöstön asiaksi. Näin ei suinkaan ole, vaan tietoturvallisuutta voi jokainen henkilö lisätä ja kehittää omia toimintatapajoaan kehittämällä. Tiedon suojaamiseen liittyy olennaisesti hyvän tiedonhallintatavan noudattaminen, jota jokaisen viranomaisen ja työntekijän on pyrittävä noudattamaan. Tämän periaatteen noudattaminen sen lisäksi että antaa ulospäin hyvän kuvan edesauttaa toiminnan kehittämistä. Yleisesti on arvioitu, että peräti 80 % tietoturvallisuuteen kohdistuvista uhkista liittyy käyttäjien tekemiin inhimillisiin virheisiin. Laitteistoihin liittyviä uhkatekijöitä voidaan suhteellisen helposti poistaa ottamalla käyttöön fyysisiä menetelmiä. Inhimillisten tekijöiden poistamisen ensisijaisena keinona on ohjeistuksen ja koulutuksen antamista käyttäjille. Viranomaisten, yritysten ja kansalaisten toiminta on tullut 20 viime vuoden aikana yhä riippuvaisemmiksi tietokoneista ja varsinkin viimeisten viiden vuoden aikana tietoliikenteen määrä on lisääntynyt valtavasti. Käytön lisääntyminen ja yhä tärkeämpien palvelujen siirtyminen tietoverkkoihin on lisännyt niihin kohdistuvien uhkien mahdollisuutta ja todennäköisyyttä. Erilaisten tietomurtojen ja tietojärjestelmiin tunkeutumisien lisäksi tietoturva on vaarantunut mm. vanhojen laitteistojen hävittämisen yhteydessä. Yhä uudestaan on erittäin tärkeää korostaa huolellisuutta tiedostojen ja sähköpostien vaihdossa, sillä maailmassa jo olevien viruksen joukkoon kehitetään koko ajan lisää. Mikään virustorjuntaohjelma ei ole aina ajantasalla, vaan uuden viruksen löytymisen jälkeen kuluu aina jonkin aikaa ennen virustorjunnan päivittymistä. Tietoturvallisuustason nostamiseen ei riitä pelkkä atk-palvelujen parantaminen, koska tietoturvallisuus on jatkuva prosessi, johon jokainen organisaation jäsen vaikuttaa omalta osaltaan. Tämän vuoksi on tärkeää, että koko henkilöstö johtoa myöten osallistuu ja sitoutuu tietoturvan kehittämiseen. 24

25 13 Lähdeluettelo Harmanen, P.: Kunnallishallinnon tietoturvallisuus. Suomen Kuntaliitto, Puolustustaloudellinen suunnittelukunta. Helsinki Harmanen, P.: Hyvä tiedonhallintatapa ja tietoturvallisuus. Seminaariaineisto. Helsinki Henkilötietolaki (523/1999). Laki viranomaisten toiminnan julkisuudesta (621/1999). Laki sähköisestä asioinnista viranomaistoiminnassa (228/2003). Maakuntien liittojen tietojärjestelmäyhteistyötoimikunta: Maakuntien liittojen tietoturvallisuus. Helsinki, Okkonen, J.: Tietoturvallisuuden kehittäminen Kainuun liitossa. Insinööri työ, Kajaanin ammattikorkeakoulu, Tekniikan ja liikenteen ala, Tietotekniikan koulutusohjelma. Kajaani Oulun yliopiston tietoturvapolitiikka Valtionhallinnon tietoturvallisuuden johtoryhmä 1/2001: Valtion viranomaisten tietoturvallisuustyön yleisohje. Helsinki Valtion tietohallinnon johtoryhmä VAHTI: Hyvän tiedonhallintatavan määritys. Helsinki