Julkaistu: 12.8.2003

Vara on viisautta eikä vahingon enne

JULKISUUDESSA TIETOTURVALLISUUS liitetään usein tietoverkkojen uhkien torjuntaan. Milloin uudet, entistä älykkäämmät virukset uhkaavat maailmanlaajuisesti tietokoneiden käyttäjiä, milloin hakkerit lamauttavat verkkopalveluja tai tunkeutuvat yritysverkkoihin.

Viranomaisille ja yrityksille tietoverkot ovat keskeinen palvelujen tarjonnan, markkinoinnin ja tiedottamisen kanava. Myös Tilastokeskuksessa sähköisten palvelujen määrä kasvaa, ja samalla palvelujen vaatimukset kasvavat. Asiakkaan on voitava ottaa yhteyttä palveluihin mihin vuorokauden aikaan hyvänsä. Palvelun on oltava toimiva, selkeästi ohjeistettu ja helppokäyttöinen. Asiakkaan on pystyttävä luottamaan, ettei hän saa omalle koneelleen virusta vierailunsa päätteeksi.

Hyvin toimiva sähköinen palvelu on keskeinen tietoturvallisuushaaste, mutta sittenkin se on vain näkyvä osa palvelukokonaisuutta. Sitä edeltää monisyinen tuotantoketju, jossa käytännössä mikä tahansa lenkki voi pettää. Uhkia on monia. Lähdeaineistoja ei saada ajoissa, tai ne ovat virheellisiä tai puutteellisia. Avainhenkilö sairastuu, eikä hänellä ole sijaista. Uusi, järjestelmää tuntematon työntekijä tekee kohtalokkaan käsittelyvirheen. Palvelin kaatuu kriittisellä hetkellä. Tiedon virheellisyys paljastuu vasta julkistamisen jälkeen.

Varman ja toimivan palvelun taustalla on yleensä hyvin organisoitu ja kuvattu tuotantoketju. Siinä palvelusta vastaavat käyvät läpi tuotannot kapeikot. He tunnistavat uhkat ja riskit ja ennakoivat vaihtoehdot, miten palvelu tuotetaan, vaikka uhkat toteutuisivat.

Tietoturvallisuuden keskeinen tehtävä on prosessien jatkuvuuden takaaminen. Turvallisuuden perusta luodaan riskianalyyseilla ja niihin liittyvillä toipumissuunnitelmilla.

Sähkökatkos saattaa lamauttaa verkon, rikkoa herkkiä laitteita, hävittää tai muuttaa tietoja. Häiriöstä saatetaan selvitä pelkällä säikähdyksellä, jos virransyöttö on varmistettu, varaosia on saatavilla, huoltosopimukset ovat kunnossa ja tiedostojen varmuus- ja suojakopioinnista huolehdittu. Pahimmillaan kriisistä toipuminen saattaa merkitä toiminnan jatkamista supistetuin henkilöresurssein varalaitteilla ja varatiloissa. Toiminnan palauttaminen ennalleen onnistuu helpommin, jos toipumissuunnitelma on olemassa ja siinä on toimintamallit kiperiinkin tilanteisiin.

Yrityksen samoin kuin viranomaisenkin on tunnettava kriittiset prosessinsa ja varmistettava, miten pahimmastakin vaihtoehdosta selvitään. Jos konesalissa syttyy tulipalo, ei toiminta voi lakata kuukausiksi, vaan kriittiset tiedot on pystyttävä tuottamaan kohtuullisessa ajassa, vahingoista huolimatta. Vanha sanonta "Vara on viisautta eikä vahingon enne" pätee edelleenkin.

Eero Koljonen
Tietoturvapäällikkö
Tilastokeskus


Päivitetty 12.8.2003

Lisätietoja:
sähköposti: tietoaika@tilastokeskus.fi