Varautuminen tietoturvauhkiin osaksi normaalia liiketoimintaa

FiComin Huoltovarmuuskeskukselle tekemässä kyberhäiriötilanteita kartoittaneessa selvityksessä pyrittiin tunnistamaan tyypilliset viestintäverkkoon ja IT-järjestelmiin kohdistuvat häiriötilanteet, niihin varautuminen ja niiden selvittäminen sekä käytännössä havaitut ongelmat.  Yritysten ja julkisyhteisöjen tietoturva-asiantuntijoita haastattelemalla havaittiin, että yritysten henkilöstö on avainasemassa häiriöiden ennaltaehkäisemisessä ja niiden selvittämisessä.

On tärkeää, että huoltovarmuuskriittiset yritykset varautuvat ennakolta mahdollisiin toimintahäiriöihin. Tietoturvan tulisi olla osa yrityksen normaalia toimintaa ja prosesseja – ei sarja päälle liimattuja toimenpiteitä. Yksi hyvä käytäntö kyberhäiriötilanteiden selvittämisessä on yrityksen sisäinen, laaja-alainen toimintaryhmä, jossa on sekä tietohallinnollista että lainopillista osaamista.

Henkilöstö voi olla yrityksen tietoturvan vahvin lenkki

Kun yritykset pohtivat tietoturvauhkia, niiden pohjalla tulee olla riskiarvio, joka perustuu yrityksen käsittelemiin tietoihin ja siihen, miten oleellisia ne ovat yrityksen toiminnan kannalta. Riskiarvion perusteella yritys hankkii tiedon suojaamiseksi tarvitsemansa ratkaisut, tekniikat ja palvelut.

Jotta tietoturvaloukkauksiin voi reagoida, ne pitää pystyä havainnoimaan. Tätä varten yrityksillä on tyypillisesti omat tietoturvavalvomo- eli SOC-palvelunsa. Kyberhäiriöihin varautuminen on parhaimmillaan sarja oikea-aikaisia liiketoiminnallisia päätöksiä ja panostuksia.

Työelämän tietosuojalaissa edellytetään, että yritysten henkilöstölle annetaan ennalta ohjeet tietoverkon ja järjestelmien käytöstä ja kerrotaan teknisen valvonnan menetelmistä. Yhteistyö henkilöstön kanssa toimii selvityksen mukaan hyvin. Parhaimmillaan henkilöstö on otettu järjestelmällisesti osaksi yrityksen tietoturvaprosessia teemalla ”henkilöstö on vahvin lenkki”.

Lainsäädäntö haltuun

Yritysten tietoisuus sähköisen viestinnän lainsäädännöstä on vaihteleva. Tämän vuoksi selvityksen liitteenä on katsaus tietoturvaa koskevaan lainsäädäntöön.

Tietoturvaloukkauksiin reagointia määrittää useat eri lait. Lainsäädännön toimivuuteen oltiin yrityksissä yleisesti ottaen melko tyytyväisiä. Lainsäädännön kehitys kohti useita, määrämuotoisia ja osin keskenään päällekkäisiä ilmoitusvelvollisuuksia tuo kuitenkin mukanaan vaaran, että yksityisen ja julkisen sektorin nykyinen välitön ja toimiva yhteistyö tietoturva-asioissa vaikeutuu.

Jussi Mäkinen oli FiComin lakimies vuosina 2014 - 2018.