perjantai 28. maaliskuuta 2014

Yritysten IT-järjestelmien tietoturvataso – Mihin asioihin toimiva tietoturva perustuu?

Saamme jatkuvasti lukea ja kuulla erilaisista yrityksiä uhanneista ja kohdanneista tietototurvariskeistä, joissa on yritetty tai onnistuttu murtautumaan yrityksien IT –järjestelmiin hyödyntämällä jotakin tiedossa olevaa tietoturvaheikkoutta. Pelkästään YLE Uutisten verkkosivuilla on viime aikoina aiheesta uutisoitu esim. seuraavat tietoturvauutiset: Suomalaisilla suuryrityksillä vakaviapuutteita tietoturvassa, Tietoverkkorikoksetlisääntyvät yhä, Tietomurtoja jo yli 100 000 vuodessa.

Lähestulkoon kaikki PK-sektorin yritykset ovat nykyään tietoisia tietoturvauhkien olemassaolosta ja ovat jollain tavalla sijoittaneet varoja ja resursseja IT-järjestelmiensä tietoturvan kehittämiseen ja toteuttamiseen. Suojautuminen tietomurroilta on noussut yhdeksi yritysjohdon keskeiseksi asiaksi, joka pitää ottaa huomioon liiketoiminnan jatkuvuuden ja yrityksen maineen turvaamisen kannalta, sillä tietomurto voi pahimmillaan johtaa sellaisiin seurauksiin, joista yritys ei pysty toipumaan. 

Mistä siis voi johtua, että toiset yritykset ovat parempia suojautumaan tietoturvauhilta? Onko kyse rahasta, resursseista, osaamisesta, yrityksen johdon toiminnasta, teknologiasta, tuurista vai mistä? Tähän kysymykseen ei varmasti löydy yhtä ainoaa tai oikeaa vastausta, vaan asiaa voi lähestyä monelta suunnalta. Luonnollisesti asiaan vaikuttavat edellä mainitut seikat, mutta mikään näistä ei yksinään tai edes yhdessä anna mielestäni vastausta kysymykseen. 

Vastausta pitää hakea yrityksen kyvyistä ja käytännöistä, joilla yritys yleensä määrittää nykyisen ja tulevan markkina-asemansa yrittämällä kilpailijoitaan paremmin ymmärtää markkinoidensa ja kohderyhmiensä trendit ja tarpeet. Näitä asioita voi parhaiten selvittää 1) kysymällä markkinoilta oikeat kysymykset, jotta saadaan oikeaa tietoa, sekä 2) tekemällä asiat oikein eikä pelkästään hyvin, jotta saavutetaan asetetut päämäärät.

Samaa kysymysasetelmaa voi käyttää, kun mietitään ja rakennetaan toimivaa IT-järjestelmien tietoturvaa, joka osaa suojata yritystä tietoturvariskeiltä ja vahingoilta.  Tietoturvan kehittämisen yhteydessä perusedellytys on se, että yrityksellä on tahtotila hoitaa asiat kuntoon, ja että yrityksen johto on sitoutunut siihen.  Kun tätä tahtotilaa jalkautetaan, edellä mainittua mallia voidaan soveltaa seuraavasti.

1) Oikeat kysymykset, jotta saadaan oikeaa tietoa toimenpiteitä varten:
·         mitkä ovat yrityksen riskit?
·         mitkä ovat yrityksen merkittävimmät riskit ja niiden seuraukset?
·         mikä on kustannustehokkain tapa pienentää/ poistaa riskit?

2) Tekemällä asiat oikein eikä pelkästään hyvin, jotta saavutetaan asetetut päämäärät. Tietoturvassa on kyse riskien kartoittamisesta ja hallinnasta (ymmärtämisestä). Riskin määrittämiseen ja laskemiseen on olemassa yleiskaava riski = uhka x haavoittuvuus.

Katsomalla kaavaa näkee, että riskiä voi pienentää pienentämällä uhkaa, haavoittuvuutta tai molempia. Selvä asia, mutta miten hyvin yritys voi vaikuttaa uhkiin ja haavoittuvuuksiin?  Käytännössä yritys ei pysty hallitsemaan uhkia, mutta sen sijaan se pystyy hallitsemaan haavoittuvuuttaan rakentamalla mekanismeja ja käytäntöjä, joilla omaa haavoittuvuutta pienennetään. Näin ollen yritykset käytännössä pienentävät riskiään pienentämällä haavoittuvuuttaan. 

Tässä astuu kuvaan kysymys: tehdäänkö nämä asiat hyvin vai tehdäänkö asiat oikein? Kysymyksen takana on laatu vai määrä -asetelma (määrä ei korvaa laatua), eli keskitytäänkö toiminnan kannalta olennaisten haavoittuvuuksien poistamiseen vai kaikkien haavoittuvuuksien poistamiseen riippumatta niiden vakavuudesta. Ensimmäisessä vaihtoehdossa tehdään mielestäni asiat oikein, toisessa vaihtoehdossa vain hyvin. Oikeassa vaihtoehdossa luodaan puitteet tietoturvalle, joka todella suojaa yrityksen toimintaa, kun taas toisessa vaihtoehdossa ollaan puolitiessä - ei niin suojattuja.

Yrityksen riskienhallintastrategia on siis merkittävässä asemassa yrityksen toimivan tietoturvan rakentamisessa – keskitytäänkö yrityksen olennaisimpiin haavoittuvuuksiin vai kaikkiin haavoittuvuuksiin riippumatta niiden vakavuudesta. Ainoastaan ymmärtämällä, mitkä ovat yrityksen olennaiset haavoittuvuudet, voidaan valita oikeat toimenpiteet, joilla voidaan pienentää yrityksen riskiä joutua tietoturvavahingon kohteeksi. Kysytään oikeat kysymykset ja tehdään asiat oikein.

Kirjoittaja on Jörgen Jansson (KTM), Cybricon Oy:n toimitusjohtaja sekä perustaja. Cybricon Oy on yritys, joka auttaa yrityksiä löytämään oikeat asiat tietoturvansa parantamiseksi.

perjantai 21. maaliskuuta 2014

VESI

YK julisti Maailman vesipäivän vuonna 1992. Kyseistä päivää vietetään maaliskuun 22. päivä eli jälleen huomenna. Päivän tarkoituksena on ollut lisätä tietoisuutta niin vesivarantojen vaikutuksista taloudelliseen tuottavuuteen kuin myös sosiaaliseen hyvinvointiin. Maailman vesipäivä on innostanut monia tahoja – sekä yksityisellä että julkisella puolella, kehittämään omia kampanjoita tämän päivän ympärille. Vaikka meillä Suomessa vesiasiat ovat mitä ihanteellisimmat, on erittäin tärkeää levittää tietoa globaalista vesitilanteesta.

Suomen vesilaitosyhdistys ylläpitää Facebookissa ”Joka päivä on vesipäivä”-sivuja, joille kerätään kiinnostavia faktoja veteen ja vedenkäyttöön liittyen. Sivuille koostetaan myös tietoa siitä, miten vesipäivää vietetään eri puolella Suomea. 

Yann Arthus Berntrandin dokumenttielokuva julkaistiin Helsingissä keskiviikkona. A Thirsty World- niminen elokuva käsittelee maailman vesivaroja; siinä käsitellään erityisesti sitä, miten riippuvaista elämä on vedestä ja miten ihmisten toiminta on vaikuttanut vesistöihin. 

Itä-Suomen korkeakoulut järjestävät maailman vesipäivän tapahtuman 24. maaliskuuta Joensuussa ja Kuopiossa. Tempaukseen osallistuvat ensimmäistä kertaa myös paikalliset vesiyhtiöt, joiden lahjoittamia vesipulloja jaetaan opiskelijoille ja henkilökunnalle. (uef)

Faktahan on se, että maailman vesivarannoista vain kolme prosenttia on makeaa vettä, josta vähän yli prosentti sijaitsee pohjavesissä ja maanalaisissa vesialtaissa. Järvissä sekä muissa pintavesistöissä makeaa vettä on enää 0.009 prosenttia maailman vesistä. Maa-ainekseen imeytynyttä makeaa vettä löytyy enää vain viisi promillea. Makeat vedet ovat jakautuneet maailmalla hyvin epätasaisesta. Vastoin monien mielikuvaa Afrikka ei ole maailman kuivin maanosa, vaan se on Aasia. (Sitra

Tänä vuonna maailman vesipäivän teemana on vesi ja energia. Päivän pääsanoma kiteytyy seuraaviin viiteen kohtaan. Ensinnäkin vesi ja energia tarvitsevat toisiaan: vettä tarvitaan lähes kaikkien energiamuotojen tuottamiseen ja toisaalta veden käyttöönottoon, käsittelyyn sekä jakeluun tarvitaan energiaa. Toiseksi vesivarannot ovat rajalliset. Puhtaan veden kasvava tarve tulee aiheuttamaan haasteita etenkin kehittyvien maiden talouksille. Kolmanneksi säästönäkökulma: kun säästät vettä, säästät energiaa – ja päinvastoin. Neljänneksi maailman miljardi köyhintä ihmistä tarvitsee kipeästi sekä vettä, viemäröintiä että energiaa. 1,3 miljardia ihmistä elää ilman sähköä, 1.1 miljardia kärsii puhtaan juomaveden puutteesta, ja 2,5 miljardilta puuttuu viemäröinti. Viidenneksi vesi- ja energiatehokkuuden lisääminen edellyttää yhdenvertaistavaa, johdonmukaista sekä suunnitelmallista politiikkaa. (world water day)
Kolmas veteen ja energiaan läheisesti liittyvä sektori on ruoka. Tässä videossa kuvataankin mielestäni hyvin näiden kolmen riippuvuussuhteita. 

Erityisesti helsinkiläisillä on aihetta juhlaan vesipäivänä. Palkittiinhan Helsingin hanavesi parhaaksi HS:n järjestämässä maistelussa. Maistelijana toimi saksalainen vesiin erikoistunut sommelier Arno Steguweit. Sommelier maisteli seitsemästä eri kaupungista (Helsinki, Tampere, Kuopio, Kouvola, Lappeenranta, Turku sekä Oulu) tuotua kraanavettä. 

Minttu Aalto
Projektipäällikkö, M. Sc. (Econ.)
CRnet Oy


torstai 13. maaliskuuta 2014

Citius, Altius, Fortius

Sotshin olympialaisten jälkihiki alkaa olla kuivunut, onhan kisojen loppumisesta jo kolmisen viikkoa. Parhaillaan kisapaikoilla on meneillään paralympialaiset, jotka ovat jääneet vähemmällä mediahuomiolle. Sotshin helmikuisista olympialaisista uutisointiin etukäteen paljon, ja otsikoissa toistuivat usein sanat ”ihmisoikeudet”, ”homopropaganda”, ”siirtolaiset”, ”kaikkien aikojen kalleimmat” ja ”ympäristöongelmat”. Televisiossa dokumentoitiin naapurimaista tulleista siirtotyöläisistä, joilta jäi saamatta palkat usealta kuukaudelta. Tuhansille työmiehille käteen jäi vain rupi, kainaloihin hiki ja päälle syytteet varkaudesta, sekä silmitön nöyryytys. Hyi olkoon.

Tässä kohtaa kisojen boikotoiminen kävi innokkaan penkkiurheilijan mielessä. Ympäristöongelmat, tallotut ihmisoikeudet, kisabudjetin lähes 1000 prosentin ylitys (korruptiolla lienee tähän jonkinasteinen syy) ja kaksinaamainen kisaisä Putin sai kaukosäätimeni pinnan hikiseksi. Kerskakulutuskisat, en osallistu!

Tämän jälkeen mieleen hiipi muutama päätöstäni horjuttava kysymys, kuten ”mitenköhän kisoissa urheileva sukulaispoika pärjää?”, ”miten jääkiekossa käy?” ja ”kukakohan siellä selostaa tänään?” Meni muutama hetki ja olin olympiahengessä täysillä mukana. Suunnittelemani boikotointi jäi unholaan ja seurasin yhä tarkemmin kisojen aikaista uutisointia, kuitenkin monelta kantilta.

Pohdin, tuntevatkohan urheilijat jonkinlaista ristiriitaa kilpaillessaan Sotshissa. Hurvittelin jopa ajatuksella, voiko huippu-urheilija boikotoida kisoja ja jättää tilaisuutensa osallistua olympialaisiin käyttämättä. Siis siirtää huippukunnon odottamaan seuraavan neljän vuoden päähän ja vetää vuosien työn vessasta alas ihan vain vastalauseena kaikelle. Eihän sellaista rajaa voi vetää, eikä se ole urheilijan tehtävä.

Uskonkin, että vain osallistumalla voi vaikuttaa. Tämä koskee esimerkiksi kotimaisia vaaleja, jossa äänestän aina. Minusta kenenkään tehtävä ei ole boikotoida olympiakisoja, vaan osallistua, olla avoin ja vaikuttaa paremman ja kestävämmän huomisen puolesta sitä kautta. Olkoon se vaikuttaminen haastatteluja, bloggausta, valokuvausta, surunauhoja, kynsilakkaa, tai vaikkapa lipun liehutusta. Pistämällä pään pensaaseen ei voi vaikuttaa, vaan hyvinvoinnin luominen edellyttää osallistumista.

Sotshi oli näytös siitä, mitä rahalla ja vaikutusvallalla saa aikaan, ja toivottavasti se on jatkossa jotain muuta kuin nykypäivän Sarajevo tai Ateena, jossa kilpailtiin viimeksi kymmenen vuotta sitten. G8-kokous ja vuosittaiset F1-kisat tuovat Sotshin kisakaupungille tietyllä tapaa näkyvyyttä ja hyvinvointia, mutta kuinka kestävälle pohjalle, se jää nähtäväksi. Kiinnostaisikin tietää, onko olympiapaikan valinnassa aikoinaan painotettu kuinka paljon kisapaikan kestävän jatkokäytön suunnitelmia.

Nuori kanadalaisurheilija Michael Lambert kritisoi Sotshin järjestelyjä kisojen aikana ja kertoi että kahden viikon urheiluhuuman vuoksi valmisteluissa on menty aivan liian pitkälle. Hänen mielestään kestävät talviolympialaiset osattaisiin järjestää ainoastaan Skandinaviassa. Tunsin hieman ylpeyttä, sillä asiantuntemusta kestävästä liiketoiminnasta tästä maailman kolkasta todellakin löytyy. Tämän kuullessani visioin hetken olympiahiihtäjiä Salpausselällä. Seuraavaksi jo päätin, että Kestävä Kisaisäntä voisi olla skandinaavisten talviolympialaisten slogan. Kisamaskottia en ole vielä suunnitellut, vaikka mieli vähän tekisi.

Kirsi Seppänen 
Project Manager M.Sc. (Tech)
Crnet Oy

perjantai 7. maaliskuuta 2014

Kumppanuudella turvallisuutta helsinkiläisiin kouluihin

Opetus- ja kulttuuriministeriön 16.11.2010 asettama oppilaitosten turvallisuustilanteen kehittämistoimien seurantaryhmä on loppuraportissaan Turvallisuuden edistäminen oppilaitoksissa esittänyt keskeisiksi toimenpiteiksi opetushenkilöstön sekä oppilaitosten turvallisuuskulttuurin kehittämistä. Loppuraportin suosituksena olivat myös turvallisuuden integroiminen osaksi opetushallinnon ja koulutuksen järjestäjien strategioita sekä viranomaisyhteistyön tehostaminen.

Oppilaitosten henkilökunta joutuu työssään yllättäviin ja ennalta arvaamattomiin tilanteisiin aiempaa useammin. Väkivallan ehkäiseminen ja siihen varautuminen ovatkin merkittäviä nykypäivän haasteita oppilaitosmaailmassa. Turvallisuus oppilaitoksissa on kuitenkin paljon muutakin, kuin vain väkivaltatilanteisiin varautumista. Arjen turvallisuuden varmistaminen ja oppilaitoksen turvallisuuskulttuurin kehittäminen kokonaisvaltaisesti luovat pohjan turvalliselle työskentelylle kaikissa tilanteissa. Turvallisuus on olennainen osa työhyvinvointiamme joka ikinen päivä. Turvallisuus koetaan harmittavan usein jotenkin itsestään selvänä asiana ja turvallisuuteen kiinnitetään yleensä huomiota vasta, kun se on tavalla tai toisella menetetty. Jokaisella meistä on myös oma käsityksemme turvallisuudesta.

Monet koulun turvallisuuteen liittyvistä haasteistamme ja ongelmistamme ovat varsin kompleksisia. Hyvä esimerkki tästä on maassamme viime vuosina käyty keskustelu juuri koulujen turvallisuuden kehittämisestä.
Suurin osa oppilaitoksista laatii itse opetussuunnitelmansa ja voi myös sen kautta päättää koulunsa profiloitumisesta tai painotuksista. Näiden päätösten tekeminen edellyttää opettajilta entistä läheisempää yhteistyötä. Sellaiset koulut, joissa yhteistyö sujuu ja kouluyhteisön kehittäminen on yhteinen pyrkimys, näyttävät yleisesti menestyvän paremmin kuin ne, joissa eristyneisyys on tyypillistä. Eristyneisyyden vallitessa uusia asioita opitaan organisaatiossa lähes yksinomaan yrityksen ja erehdyksen kautta. Turvallisuusasioissa tämä kantapään kautta tapahtuva oppimistapa ei ole tietenkään suotava.

Helsingissä koulujen turvallisuutta on lähdetty hoitamaan Opetusviraston ja pelastuslaitoksen turvallisuuskumppanuuden muodossa. Pelastuslaitoksen uuden Osaamiskeskuksen (ent. Pelastuskoulu) järjestämät turvallisuuskoulutukset rehtoreille, koulusihteereille, turvallisuusvastaaville sekä väestönsuojanhoitajille ovat vain yksi osa tätä käytännön kumppanuutta.

Oma osansa on myös sillä, että Opetusvirasto avaa omaan Helmi – intraansa turvallisuusportaalin jonne yhteistyössä kerrytämme koulujen käyttöön turvallisuuden edistämiseen tarvittavaa opetusmateriaalia. Materiaalin avulla turvallisuusasioita voidaan käsitellä entistä helpommin koska kaikki tarvittava voidaan löytää yhdestä paikasta oman viraston intrasta. Portaalissa tulevat saamaan paikkansa paitsi pelastuslaitoksen materiaalit, niin myös poliisin ja muidenkin turvallisuusviestintää tekevien tahojen materiaalit.

Sisäisen turvallisuuden kolmas ohjelma (STO III) velvoittaa koulut kehittämään poistumisturvallisuuttaan ja meidät pelastusviranomaiset osaltamme valvomaan, että tätä harjoitellaan säännöllisesti lukukausittain kaikissa oppilaitoksissa akselilla kyläkouluista yliopistoihin. Tätä varten helsinkiläisille oppilaitoksille on tehty pieni videomuotoinen poistumisturvallisuusluento oppilaille, opiskelijoille ja henkilökunnallekin esitettäväksi. Tämä video löytyy Helmen turvaportaalista ja sen toivotaan tuovan lisää sisältöä oppilaitosten poistumisturvallisuustyöhön.

Jatkossa koulujen omatoimisen varautumisen valvontatyötä (ent. palotarkastus) tekevät Helsingissä pääsääntöisesti pelastuslaitoksen turvallisuuskouluttajat. Valvontakäyntien yhteydessä oppilaitokset voivatkin näin helposti sopia heidän kanssaan myös henkilökunnan turvallisuuskoulutuksien järjestämisestä.

Vietimme 11. helmikuuta valtakunnallista 112 – päivää. Oli onneton yhteensattuma, että juuri tuona päivänä Kouvolassa paloi Kouvolan yhteiskoulu. Vaikkakin henkilövahingoilta tässä tapauksessa onnekkaasti vältyttiin, niin onnettomuus aiheuttaa paljon murhetta ja ylimääräistä työtä kyseisen koulun henkilökunnalle ja oppilaille vielä pitkään. Oppilaitosten turvallisuustyön näkökulmasta voidaan katsoa toisaalta myös niin että tällä tavoin kouluissa tehtävä turvallisuustyö nousi median mielenkiinnon kohteeksi ja yleiseksi puheenaiheeksi koko valtakunnassa. Olenkin mustan huumorin ystävänä tässä muutamaan otteeseen lausunut eri yhteyksissä, että joka vuosi 112 – päivänä pitäisi polttaa yksi koulu jossakin päin Suomea. Ja aloittaa voitaisiin tietysti vaikka noista surullisenkuuluisista homekouluista. Näin oppilaitosturvallisuus pysyisi aina ansaitsemallaan paikalla mediassa ja puheenaiheena yhteiskunnassamme.


Blogin kirjoittaja Matti Waitinen on Helsingin pelastuslaitoksen henkilöstönkehittämispäällikkö ja Pelastuskoulun rehtori. Hän on työskennellyt Helsingissä luokanopettajana ja peruskoulun rehtorina 80- ja 90 –luvuilla. Waitinen väitteli filosofian tohtoriksi helsinkiläisten peruskoulujen turvallisuuskulttuurista vuonna 2011.

sunnuntai 2. maaliskuuta 2014

"Meillä on työterveyshuolto ulkoistettu eli turvallisuusasiat hallinnassa"

Otsikon mukaisen vastauksen saa lähes välittömästi, kun tiedustelee yrityksen turvallisuusasioita. Ja vastaus tulee asemaan tai toimenkuvaan katsomatta lähes aina samalla tavalla. Työterveys on toki erittäin tärkeä asia olipa toimiala työntekijävaltainen palveluala tai pitkälle automatisoitu tuotantantolaitos.

Mutta turvallisuus on laaja ja moniulotteinen asia organisaatioissa. Yritysturvallisuus on yrityksen kaikkien toimintojen turvallisuutta. Turvallisuusjohtaminen on osa normaalia yrityksen johtamista (EK 2014). Työturvallisuuden lisäksi turvallisuusjohtamiseen kuuluvat muun muassa toiminnan turvallisuus, henkilö- ja matkustusturvallisuus, tietoturvallisuus, kiinteistö- ja toimitilaturvallisuus sekä ympäristöturvallisuus.

Yritysturvallisuuteen liittyy paljon lainsäädännön kautta määriteltyjä alueita kuten esimerkiksi edellä mainittu työturvallisuus. Mutta miksi yritykset ja organisaatiot sitten laiminlyövät toiminnan riskien kartoitusta ja todettujen riskien pienentämiseen tähtääviä toimenpiteitä? Ja toimivat jopa lainsäädännön vastaisesti. Osittain tietämättömyyttään ja osittain välinpitämättömyyttään. Ja suurimmaksi osaksi tietämättömyyttään.

Suomalaisten yritysten turvallisuustaso ei suinkaan ole millään tavalla maailman kärkeä. Kaukana siitä. Osalla (isoja) yrityksiä on - ja täytyykin olla - hyvät turvallisuusasioiden hallintajärjestelmät. Sitten on suuri joukko keskisuuria ja isohkoja yrityksiä, joissa jokin turvallisuuden osa-alue on mallikkaassa kunnossa ja jotkut osa-alueet aivan vailla huomiota. Ja sitten on suuri joukko pieniä yrityksiä, jotka eivät noudata edes lainsäädäntöä.

Syksyn 2013 aikana Tuula Pohjola Consulting Oy ja Helsingin Pelastuskoulu laativat turvallisuuskyselyn yrityksille ja julkishallinnon organisaatioille. Yritysten tutkimustulos julkistetaan huhtikuun 2014 alussa ja julkishallinnon kyselyn tulokset toukokuussa 2014.  Silloin saamme numerotietoa edellä esitetyistä turvallisuusnäkökohdista suomalaisissa yrityksissä.

Samaan aikaan syksyllä 2013 Crnet Oy kehitti yhdessä Qonsalt Oy:n kanssa yrityksille sovelutuvan yritysturvallisuuden itsearviointiin tarkoitetun työkalun (TUKKI), jonka avulla organisaatio voi arvioida oman turvallisuusjohtamisen tasonsa. TUKKIin voi kutsua myös oman toimitusketjun toimijat arvioimaan oman yrityksensä turvallisuuden tasoa. Työkalu on suunniteltu nimenomaan pk-sektorin yrityksille. Samaan aikaan Cybricon Oy  on kehittänyt IT-turvallisuuden arviointityökalun keskisuurille ja suurille yrityksille.

Helppokäyttöisiä verkkopohjaisia työkaluja yritysten turvallisuusasioiden itsearviointiin on siis tarjolla. Nyt ei tarvitsekaan muuta kuin ryhtyä toimeen vastaamalla asiantuntioiden laatimiin turvallisuuskysymyksiin. Seuraava askel onkin sitten huomattavasti haasteellisempi: pitää ryhtyä parantamaan yrityksen turvallisuusasioita. Ja silloin ollaankin siten jo tiellä turvallisuusasioiden hyvään hallintaan.

Tuula Pohjola
TkT
Crnet Oy