Kriittisten toimintojen datan hallinta on osa tulevaisuuden huoltovarmuutta

Yhteiskunnan digitalisoituessa kriittistä dataa syntyy paljon. Dataa voidaan niin ikään yhdistellä ja analysoida entistä enemmän. Kehitys koskee myös yhteiskunnan elintärkeitä toimintoja, kuten terveydenhuoltoa, logistiikkaa, finanssialaa ja teleyrityksiä, jotka käsittelevät suuria tietomassoja järjestelmissään.

On tärkeää, että huoltovarmuuskriittisissä organisaatioissa ymmärretään, millaista tietoa ne tietojärjestelmissään käsittelevät. Vähintään yhtä tärkeää on ymmärtää, mihin kaikkeen tietoon omalla henkilöstöllä ja tietojärjestelmien palveluntuottajilla alihankintaketjuineen on pääsy.

”Datan suojaamisen kannalta on oleellista, että tiedon käsittelyyn sen koko elinkaaren ajan osallistuvat tietojärjestelmät ovat eheät ja hallinnassa. Vaikka järjestelmä olisikin joutunut ulkopuolisen käsiin, se ei välttämättä näy ulospäin eikä tunnu – ennen kuin on myöhäistä”, muistuttaa WithSecuren tietoturvajohtaja Erka Koivunen.

Kriittisen infrastruktuurin yrityksillä on hallussaan Suomen huoltovarmuuteen liittyvää luottamuksellista tietoa ja yritykset ovat tavallisesti toisiinsa kytköksissä niin Suomessa kuin Suomen rajojen ulkopuolellekin. Keskinäisriippuvuuden takia yhteen yritykseen kohdistuva uhka voi vaikuttaa myös toisen yrityksen toimintaan.

Huoltovarmuuskriittiset yritykset tai niiden tietojärjestelmien palveluntuottajat eivät ole pelkästään suomalaisessa omistuksessa. Yhä useampi huoltovarmuuskriittinen yritys on myös siirtämässä tietojärjestelmiään pilvipalveluihin, minkä seurauksena yritysten riippuvuus ulkomaisista palveluntuottajista kasvaa.

Älyratkaisujen data voi kiinnostaa autoritaarisia valtioita 

Huoltovarmuuskriittisissä organisaatioissa syntyy tietomassoja, joiden merkitystä organisaatioissa ei välttämättä aina ymmärretä. Esimerkiksi energiasektorin ohjaukseen käytettävä data saattaa kiinnostaa autoritaarisia valtioita. Autoritaaristen valtioiden ja demokraattisten oikeusvaltioiden välinen globaali jännite on otettava huomioon arvioitaessa ulkoistuksiin ja palveluntarjoajan valintaan liittyviä riskejä silloinkin, kun data ei sisällä henkilötietoa.

Tulevaisuudessa yhteiskunnan monet elintärkeät toiminnot, kuten energiantuotannon tai liikenteen ohjaus, perustuvat älyratkaisuille. Ne ovat usein yhteydessä verkkoon, ja siten ne voivat olla alttiimpia oikeudettomalle tunkeutumiselle tai tahalliselle vaikuttamiselle. Jos esimerkiksi ulkomaiseen palveluntarjoajaan kohdistuu tahallista vaikuttamista, se voi vaikuttaa suomalaisen lentokentän tai lääkehuollon toimintaan.

Koskaan aiemmin yrityksillä ei ole ollut näin hyvää turvallisuustekniikkaa käytettävissään.

Älyratkaisuissa syntyvää dataa käytetään myös tekoälyn opettamiseen. Autoritaariset valtiot pyrkivät hankkimaan länsimaista dataa omien tekoälyratkaisuiden kehittämiseen. Kasvojen- tai puheentunnistus ovat esimerkkejä tekoälyjärjestelmistä, joissa tarvitaan mahdollisimman erilaista dataa.

Erka Koivunen ennakoi siirtymää todelliseen diginatiiviuteen, jossa tietotekniikka mahdollistaa palveluja, jotka eivät ole aiemmin olleet mahdollisia. Vaarana älyratkaisuihin perustuvassa maailmassa on kuitenkin se, että niin kauan kuin erilaiset algoritmit ovat tiukasti suojattuja yrityssalaisuuksia, emme näe sitä, mihin niiden päätöksenteko perustuu.

Keinoja datan hallintaan on jo olemassa

Kriittisen infrastruktuurin suojaaminen vaatii laajaa yhteistyötä koko yhteiskunnassa. Suojelupoliisin tehtävänä on torjua kansallisen turvallisuuden uhkia ja tuottaa niistä ennaltaehkäisevää tietoa yrityksille ja viranomaisille.

Koska kriittinen infrastruktuuri on yritysomistuksessa, tarvitaan myös yritysten omia toimia sen suojaamiseen. 

”Koskaan aiemmin yrityksillä ei ole ollut näin hyvää turvallisuustekniikkaa käytettävissään”, arvioi Erka Koivunen.

Hän peräänkuuluttaa ymmärrystä datasta: mistä data on peräisin, mikä on sen luottamuksellisuuden aste tai millaisia käyttörajoituksia siihen liittyy. Kun nämä asiat ovat selvillä, on kohtalaisen helppoa nimetä tietojen käyttäjille erilaisia pääsyoikeuksia.

”Tietosuoja-asetuksen velvoitteiden täyttämiseksi luotu metakehikko toimii hyvänä pohjana. Toimimaan saatua luokitusjärjestelmää kannattaa vaalia kirjastonhoitajan kärsivällisyydellä”, kuvailee Koivunen.

Supon laatimat turvallisuusselvitykset ovat myös yksi osa huoltovarmuuskriittisten yritysten suojaamista käyttäjien muodostamalta riskiltä.

Jos aiemmin tietojärjestelmiä on suojattu tietoturvapoikkeamilta siten, että käyttäjä on kerran tunnistautunut järjestelmään, niin enää se ei riitä. Nykytekniikalla suojaus perustuu monikerroksiseen vahvaan tunnistautumiseen ja käytön aikaisten poikkeavuuksien tunnistamiseen. Jokainen käyttäjän laite ja hänen tekemänsä toimenpide voidaan tarkistaa ja lokittaa. Päätelaitteista ja pilvipalveluista voidaan kerätä tiedot samoista toimenpiteistä ja näin todentaa havainnot.

Tätä valvontamekanismia yrityksen pitää myös valvoa, jotta sitä ei käytetä väärin.

Organisaation kannattaa hyödyntää myös muut kuin tietotekniset ratkaisut tietojensa hallinnassa. Julkishallinnon organisaatio, joka käsittelee julkisuuslain perusteella turvaluokiteltuja tietoja, voi esimerkiksi soveltaa hankinnoissaan turvallisuus- ja puolustushankintakriteereitä. Se mahdollistaa turvallisuusnäkökohtien huomioimisen esimerkiksi tietojärjestelmien palvelutoimittajien kilpailutuksissa.