Tietoturvapäällikön työtä tekevänä viikon uutinen tietomurrosta psykoterapiakeskus Vastaamoon on iskenyt kovaa monellakin tapaa – niin ammattikunnan ylpeyteen kuin inhimilliseen huoleen äärimmäisen arkaluonteisista tiedoista. Kokeilen nyt hieman metaforien ja suurempien kuvien kautta kuvastaa ongelman nimeä. Avainasia on ymmärtää tietoturva osana suurempaa strategiaa, ei erillisenä sektorina.
”Olemme valmiina saksalaisten tuloon”
Väliotsikon kaltainen tunnelma oli liittoutuneilla Belgiassa toisen maailmansodan alussa. He tiesivät mistä saksalaiset hyökkäisivät ja olivat valmiina. Etuovi Ranskaan oli niin sanotusti muurattu tiukasti umpeen. Sääli vaan että saksalaiset eivät välittäneet etuovesta vaan salamasodan keinoin he hyökkäsivätkin keittiön kautta ja yllättivät liittoutuneet housut kintuissa. Liittoutuneet olettivat tietävänsä mistä hyökkäys tulee ja varautuivat siihen. He eivät kuitenkaan varautuneet epätodennäköisiin vaihtoehtoihin ja lopputulos on historiaa.
Hyvin usein tietoturvan suunnittelu tapahtuu juuri näin: suojataan todennäköisin hyökkämisreitti tehokkaasti, mutta unohdetaan että reittejä on useita. Vastaamo oli tunaroinut tietoturvansa aivan täydellisesti ja lopputulos oli samaa tasoa kuin jos pankkiholvista olisi takaovi seppoisen selällään suoraan kadulle. Kokonaisuutta ei nähty, ei asioiden välisiä riippuvuuksia, ei tehty lain vaatimaa oletusarvoisen tietoturvan suunnittelua. Ehkä rahaa oli käytetty paljon, mutta osaamista vähän. Merkkejä on jo ilmassa siitä, että Vastaamo oli myös muilta osin laiminlyönyt räikeästi tietosuojan ja -turvan velvoitteita, esimerkiksi jättämällä poistamatta tietoja joita olisi pitänyt poistaa. Toivottavasti firman johto löytää itsensä ja ylpeytensä tuomarin edestä ennen pitkää.
Kaikkea järkeä ei voi ulkoistaa
Tietotekniikan ammattilaisen tehtävät ovat muuttuneet. Tänä päivänä ei tarvitse osata hallita perinteisiä palvelimia tai pääkoneita, tai moniakaan muita pieniä yksityiskohtia. Pilvipalvelut ja palvelukonseptit antavat mahdollisuuden ulkoistaa kätevästi monia rutiinitöitä. Myös tietoturvan valvontaan ja toteutukseen on tehokkaita ja osaavia ulkoistuskumppaneita. Tästä syntyy hyvin nopeasti mielikuva, että lähes tai koko tietotekniikkaosaston voi ulkoistaa, riittää että hankkii sopivat konsultti- ja ulkoistuskumppanit. Voin luvata, että Vastaamo ei ole ensimmäinen tai ainoa tästä ongelmasta kärsivä firma, niitä on terveysalan lisäksi esimerkiksi talouspuolella ja se huolettaa minua. Julkisella sektorilla ongelma on vielä suurempi.
Jos jokaisen vipstaakin ja palasen tarkka osaaminen ei ole tietotekniikan ammattilaisen työtä, sitäkin suurempi vastuu on kokonaisuuden ymmärtämisellä. Tämä on asia jota ihan oikeasti ei voi ulkoistaa toimivasti. Talossa on oltava henkilö tai henkilöitä, jotka ymmärtävät miten ja miksi jokainen palanen toimii, mitkä ovat niiden riippuvuudet, mitkä ovat heikkoja kohtia, yms. Kokonaiskuvan hallinnassa pitää yhdistää vähimmilläänkin yrityksen leipätyön operatiiviset tarpeet, tietoturvanäkökulmat, juridiset vaateet, käytettävyys, budjetointi ja viestintä. Tuossa on hiton monta liikkuvaa osaa ja hyvä selitys sille, miksi strategiapelit ovat tietotekniikkaväen suosiossa. Sadan eri tavoin liikkuvan asian samanaikainen pohdinta on haastavaa, mutta myös palkitsevaa.
Virheistä oppiminen
Perustuen siihen, miten paljon terveydenhuoltoalan tietotekniikassa on käynyt eri kokoisia farsseja viime vuosina, en ole vakuuttunut että tämä tapahtuma johtaa juurikaan korjauksiin. Olisi ideaalia, että esimerkiksi Valvira ottaisi asiasta tiukemman otteen. Heillä voisi myös olla palkkio-ohjelma, jossa turva-aukon paljastamisesta heille maksettaisiin pieni palkkio. Moinen on yleistä suurten tietotekniikkayritysten parissa. Pelkään kuitenkin, että toimenpiteet jätetään konsulttien harteille, eli sinne mistä ongelma ilmeisesti alun perin lähtikin.
”Sillä se lähtee millä se tulikin” on pöhkö sanonta, joka on suunnilleen yhtä hyödyllinen tällä kertaa kuin vinkkinä krapulaa potevalle. Nyt olisi syytä tuijottaa peiliin, särki päätä tai ei, ja hyväksyä että arkaluonteiset tietojärjestelmät kaipaavat vastuuta ja osaamista. Näistä kumpaakaan ei voi ulkoistaa. Joskus työ pitää vain tehdä.