Tietoturvakonsultti pääsee hyvin harvoin kertomaan työstään julkisesti, suurin osa asiakkaiden projekteista ja asiakkailla tehtävästä työstä kun on yleensä erilaisten salassapitosopimusten suojaamaa. Mutta koska minulla nyt on harvinainen mahdollisuus jotain työstäni puhua, ajattelin tehdä virkistävän poikkeuksen hiljaisuuteen ja lausua muutaman oma-aloitteisen sanan Valtiovarainministeriön Tietoturvatasot-projektista, jossa olin pääasiallisena konsulttina keväästä loppusyksyyn 2008.

 

Työn taustalla on se tosiasia, että vaikka valtiohallinnon VAHTI-työryhmä on toiminut vuosikausia ja tuottanut eri tasoisia ohjeita tietoturvallisuuden parantamiseksi valtionhallinnossa, organisaatioiden tietoturvallisuuden taso on hyvin kirjava. Toisaalta valtion organisaatiojoukossa on asiaan hyvin paneutuneita tahoja, joilla on panostettu tietoturvaan vuosikausia, jopa sertifiointiin asti. Toisaalta taas on organisaatioita, joissa tietoturvallisuutta ei ole vielä nähty tärkeänä tai ymmärretty sen vaativan muutakin kuin palomuurin ja virustorjunnan. Siispä Tietoturvatasot-projektin tarkoitus oli ja on parantaa tietoturvallisuuden vähimmäistasoa tekemällä joukko minimivaatimuksia, jotka jokaisen valtionhallinnon organisaation tulee täyttää siirtymäkauden jälkeen. Minut palkattiin normaalin kilpailutuksen kautta tekemään esitutkimuksen jälkeistä tasomäärittelytyötä yhdessä Nixu Oy:n Jonna Särsin kanssa.

 

Tietoturvatasot-esitutkimuksessa oli todettu, että järkevin lähtökohta työlle on kypsyysajattelun käyttö (engl. maturity model). Tietoturva voidaan teknisin tempuin saada kertaalleen hyvälle tasolle, mutta jos organisaatiossa ei ole tietoturvallisuutta ja muutoksia ohjaavia prosesseja, se ei ole riittävän kypsä pitämään tietoturvallisuuden tasoa hyvänä ja tietoturvan taso rapautuu ajan myötä. Tietoturvallisuuden hallinnan osalta valmiita kypsyysmalleja sovellettavaksi on huomattavan vähän, ainoana tuli vastaan Information Security Management Maturity Model (ISM3), joka päätettiin ottaa työn lähtökohdaksi. ISM3 määrittelee sen, mitä erilaisia tietoturvaprosesseja hyvässä ja kypsässä organisaatiossa on. Esimerkkeinä voi hallinnolliselta puolelta antaa henkilöstön tietoturvakoulutuksen, tekniseltä puolelta taas uuden järjestelmän käyttöönoton prosessin. Ajatuksena on myös se, että kunkin yksittäisen tietoturvaprosessin hallinnan on oltava riittävän hyvällä ja kyvykkäällä tasolla.

 

Pian kuitenkin kävi projekti- ja ohjausryhmien kanssa selväksi, että työstä on tehtävä sellainen, että asiaan vihkiytymätönkin ymmärtäisi mitä pitää tehdä ja pystyisi sen avulla kehittämään tietoturvallisuutta. Kypsyysmallien peruslähtökohta kun on se, että prosessi voi oikeastaan olla millainen vaan, kunhan sillä on halutun tason tarkoittamat ominaisuudet (esim. dokumentoitu, koulutettu, mitattu jne). Toisaalta, jos olisimme antaneet ohjeita pelkästään tyyliin "tehkää kirjallinen palomuurin ylläpitoprosessi" ja lopettaneet siihen, vastaanotto olisi ollut todennäköisesti ollut aika kylmää ja työ olisi voinut jäädä pölyttymään mappeihin vaikeasti sovellettavana. Tämä tarkoitti, että kypsyysmallin käyttö tarvitsisi tuekseen paljon konkreettisia ohjeita ja tukea. Eli jotain muutakin kun nimettyjen prosessien vaatimista oli työssä kehitettävä.

 

Jollain tavalla oli saatava mukaan viitteitä ja vinkkejä siitä, millaisia prosessien olisi syytä olla ja mitä kussakin tulisi ottaa huomioon, menemättä kuitenkaan liiallisiin yksityiskohtiin (esimerkiksi salasanojen minimipituuksiin). Erityisen tärkeää tämä oli tietoteknisellä puolella, jossa liiallinen epämääräisyys olisi voinut johtaa käytäntöihin, joilla ei olisi ollut mitään todellista vaikutusta tietoturvallisuuteen. Itse käytännön IT-ylläpitotyötä tehneenä tiedän, että pelkkä käsienheilutteluohjeistus ei olisi riittänyt. Toisaalta liika yksityiskohtaisuus olisi tehnyt työstä vaikeasti ylläpidettävää.

 

Tämän pohdinnan tuloksena Tietoturvatasot-työssä on pohja vakaasti kypsyysajattelussa, mutta käytännön syistä siellä on myös joltinenkin määrä konkreettisia yksityiskohtia siroteltuna eri tasoille. Tämä ehkä sotii perinteistä kypsyysmalliajattelua vastaan, mutta takaa sen että työssä myös annetaan apua kehitystyöhön konkreettisten hyväksi havaittujen käytäntöjen muodossa.

 

Yleisesti ottaen tasojen vastaanotto on ollut lausuntokierroksella ja henkilökohtaisesti saatuna palautteena hyvää. Tarve ja lähestymistapa on ymmärretty ja konkretiaa on kiitelty. Vaatimusten täyttämisen kustannukset tosin mietityttävät joitakin, lisää rahaa kun ei ole vaatimusten täyttämiseen ilmeisestikään luvassa. Lisäksi on varsin ymmärrettävää, että jotkin organisaatiot haluavat tukeutua mieluummin kansainvälisiin standardeihin (esim. ISO 270001). Tällaisten organisaatioiden tietoturvatarpeet yleisesti ottaen ovat sen verran suurempia kuin keskimääräisen valtionhallinnon organisaation, että tämä heille sallittakoon. Nyt tehdyissä tasovaatimuksissa ei ole mitään sellaista, joka sotisi esimerkiksi ISO27k-sarjan vaatimuksia vastaan, mutta tämän työn perustaso on mitoitettu niin, että sen saavuttaminen onnistuu merkittävästi pienemmin kustannuksin kuin ISO27001-mukaisen tietoturvallisuuden hallintajärjestelmän pystyttäminen toisi.

 

Toivon, että olemme onnistuneet tässä käytännön ja teorian välisessä tasapainottelussa ja Tietoturvatasot-työ oikeasti helpottaa organisaatioita kehittämään tietoturvallisuuttaan. Vaikka ette kuuluisikaan valtionhallintoon, niin menkää ja käyttäkää veronmaksajien rahoilla tehtyä työtä hyväksenne. Tietoturvatasot-materiaali löytyy osoitteesta http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/03_muut_asiakirjat/20081103Lausun/name.jsp