Tietojärjestelmille on asetettava tietojen suojaamisen mukaiset vaatimukset
Suomessa tapahtunut tietomurto on vakava. Isku ihmisten arkaluonteisiin tietoihin ja yksityisyyteen sekä yhteiskunnan perusluottamukseen ei ole hyväksyttävää. Teko korostaa ennen kaikkea tietojen suojaamisen merkitystä. Hyvin suunniteltu ja rakennettu kyberturvallisuus suojaa organisaation toimintakykyä ja varmistaa, että liiketoiminnassa voidaan hyödyntää digitaaliteknologian tarjoamia hyötyjä täysimääräisesti.
Digitaalinen yhteiskunta verkottuu kaiken aikaa yhä enemmän, tietojärjestelmät vaihtavat keskenään tietoa ja meihin liittyvää dataa tallentuu eri järjestelmiin. Meistä jää digitaalinen sormenjälki verkkoon. Kansalaisten arjen palvelut ja yhteiskunnan toimintakyky on rakentunut pitkälti tietoverkkojen, tietoliikennejärjestelyiden ja tietojärjestelmien varaan. Erilaiset organisaatiot laajasti kaikilla eri yhteiskunnan sektoreilla ovat yhä riippuvaisempia digitaalisista palveluista. Samalla niihin kohdistuvat kyberuhat lisääntyvät. Kaikkien organisaatioiden on selvitettävä, mitkä tietoteknisen ympäristön (järjestelmät, tiedot, palvelut ja verkot) osat ovat kaikkein kriittisimpiä niille asetettujen tavoitteiden saavuttamisessa. Lisäksi pitää olla ymmärrys, mistä organisaation tietotekninen ympäristö käytännössä koostuu.
Liiketoimintariskien tavoin organisaatio ei voi koskaan poistaa kaikkia kyberturvallisuusriskejä. Johdon on kuitenkin varmistettava, että erityisesti suojataan niitä asioita, jotka tukevat liiketoimintatavoitteiden saavuttamista. Tärkeimmät liiketoimintatekijät ovat arvokkaimpia asioita. Ne voivat olla arvokkaita yksinkertaisesti siksi, että organisaatio ei kykene toimimaan ilman niitä. Liiketoimintatekijöiden vaarantuminen voi vahingoittaa myös mainetta tai aiheuttaa suuria taloudellisia tappioita.
Kyberturvallisuus on välttämätöntä ottaa huomioon jo varhaisessa vaiheessa suunniteltaessa tietojärjestelmiä. Tietoon liittyvät tietoturvavaatimukset on tunnistettava, tietoturva- ja tietosuojavastuut on oltava selvillä ja niille on varattava riittävät resurssit ja toimintamahdollisuudet. Samoin tiedot on suojattava ja varmistettava asianmukaisesti. Lisäksi tietojen ja järjestelmän käytön seuranta ja valvonta on suunniteltava sekä mahdollisiin väärinkäytöksiin varauduttava ennalta.
Arvioinnit lisäävät luottamusta
Liikenne- ja viestintäviraston Kyberturvallisuuskeskus toimii kansallisena tietoturvaviranomaisena, jonka tehtävänä on jo pitkään ollut tietojärjestelmien arviointi ja hyväksyntä. Viraston ja viraston lukuun toimivien hyväksyttyjen arviointilaitosten lisäksi arviointia tarjoavat useat muut palveluntarjoajat. Järjestelmien säännöllinen arviointi ja niistä löydetyt kehittämiskohteet parantavat merkittävällä tavalla kyberturvallisuuden tasoa ja tietoturvallisuuden kehittämistä organisaatioissa. Arviointia kevyempänä keinona on tarkastella tietoturvallisuuden kypsyystasoa esimerkiksi Kybermittarin avulla. Tällä viikolla julkistettu Kybermittari näyttää, millä tasolla kyberriskien tunnistaminen, suojautuminen, havainnointi, reagointi ja palautuminen ovat organisaatiossa.
Kyberturvallisuuden hallinta varmistaa vakaan tulevaisuuden terveydenhuollon, finanssisektorin, energiasektorin, logistiikan, liikenteen, median ja lukuisien muiden yhteiskunnan sektoreiden alueilla.
Asetetaan tietojärjestelmille tietoturvallisuuden vaatimukset ja pidetään niistä kiinni!
Kirjoittaja: Kyberturvallisuuskeskuksen johtaja Aki Tauriainen
Jatketaan keskustelua Twitterissä @CERTFI (Ulkoinen linkki)
Lisätietoa Kybermittarista (Ulkoinen linkki)