Mitä on tietoturva?
Tietoturvallisuus on osa organisaation kokonaisturvallisuutta ja riskienhallintaa. Tietoturvatoiminnalla toteutetaan osaltaan Helsingin kaupungin strategiaa ja kaupungin arvoja. Helsingin kaupungin tietoturvalinjaukset koskevat Helsingin sekä kaupunkikonsernin tietoverkkoon liitettyjä yhteisöjä. Linjaukset koskevat kaupungin yhteisen tietoverkon lisäksi myös erityistarpeita varten käytettäviä erillisverkkoja ja järjestelmiä.
Tietoturvallisuustoimet tähtäävät tietojen riittävän eheyden, käytettävyyden ja luottamuksellisuuden varmistamiseen kaikkina aikoina. Eheydellä tarkoitetaan tiedon yhtäpitävyyttä alkuperäisen tiedon kanssa. Käytettävyydellä tarkoitetaan tietoturvallisuuden yhteydessä sitä, että tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana. Luottamuksellisuudella tarkoitetaan, ettei kukaan sivullinen saa tietoa.
Tietoturvallisuustoimet tulee aina suhteuttaa suojattavan kohteen arvoon, tietoturvallisuuteen ei kannata käyttää yhtään enempää rahaa ja työtä kuin tiedon ja toiminnan luonne vaatii. Näin ollen julkisen tiedon suojaamiseen ei tarvita aivan samanlaisia toimenpiteitä kuin esimerkiksi terveystietojen. Tietoturvajärjestelyjen tarkoituksena on varmistaa tietoaineistojen, tietojärjestelmien ja palveluiden asianmukainen suojaus siten, että tietoihin liittyvät riskit tulevat huomioiduiksi.
Tietojen tulee olla käytettävissä niitä työ- tai palvelutehtävissä tarvitseville. Tiedot pitää suojata vääristymiseltä. Käyttörajoitettuihin tietoihin pääsy tulee varmistaa käyttöoikeuksia hallinnoimalla. Tietoturvajärjestelyiden riittävyys suhteessa tunnistettuihin tietoriskeihin tulee tarkastaa osana sisäistä valvontaa ja riskienhallintaa.
Valtionhallinnon tieto- ja kybeturvallisuuden ohjausryhmä (VAHTI) on julkaissut useita hyviä tietoturvallisuuteen liittyviä oppaita ja ohjeita. Vaikka ohjeet eivät ole kunnille velvoittavia, niitä kannattaa hyödyntää soveltuvin osin.
Tietoturvaa lähellä on myös kyberturvallisuus, jolla tarkoitetaan yhteiskunnallisesti merkittävien kohteiden ja sähköisten toimintojen turvallisuutta. Kyberturvallisuuskeskus julkaisee mm. turvallisen tuotekehityksen opasta.
Pilvipalvelujen osalta hyvänä ohjenuorana toimii valtiovarainministeriön Julkisen hallinnon pilvipalvelulinjaukset.
Miksi?
Mikäli Helsingin kaupungin vastuulla olevia salassa pidettäviä tietoja joutuu asiattomille, niin ihmisten yksityisyys voi tulla loukatuksi tai turvallisuus voi vaarantua. Tietojen vääristyminen voi johtaa vääriin tietoihin perustuvaan päätöksentekoon. Mikäli tietoja ei ole saatavissa niitä tarvittaessa, kaupungin vastuulla oleva työtehtävä voi viivästyä tai jäädä tekemättä.
Tietoturvallisuuteen liittyvien riskien toteutuminen voi aiheuttaa taloudellisen menetyksen kaupungille, korvausvastuun tai rikosoikeudellisen rangaistuksen vastuussa olevalle henkilölle. Tietovahingot myös huonontavat kaupungin mainetta luotettavana ja osaavana yhteistyökumppanina.
Tieto- ja IT-riskien hallinta Helsingin kaupungilla on osa normaalia riskienhallintaa. Tietoriskien hallinta pyrkii varmistamaan Helsingin toimintakyvyn kaikissa tilanteissa tietojen käytön osalta. Tietoriskien hallinnassa sovelletaan kaupungin riskienhallinnasta annettuja ohjeita ja määräyksiä.
Kaikkia uhkia ja vaaroja vastaan on mahdoton varautua. Siksi on tärkeää tunnistaa ne kaupungin tarvitsemia tietoja uhkaavat vaaratekijät, joista voi aiheutua vakavimmat haitalliset seuraukset. Tätä uhkien tunnistamista ja vakavuuden arviointia kutsutaan riskianalyysiksi. Riskianalyysillä löydettyjä vakavimpia tietoriskejä vastaan suojaudutaan erilaisilla tietoturvajärjestelyillä.
Tietoriskien hallinnan tueksi käytetään tietoturvan asiantuntijapalveluita. Keskushallinto voi kilpailuttaa ja tarjota puitesopimuksen kautta koko kaupunkikonsernille tietoturvan asiantuntijapalveluita. Tällaisia palveluita ovat esimerkiksi vaatimusten mukaisuuden, jatkuvuuden sekä tietoturvan testaus- ja arviointipalvelut.
Miten?
Tietoturvatyö on siinä mielessä yleistä laadun kehittämistä, että siihen voidaan soveltaa normaalia toiminnan kehittämisen prosessia (Plan-Do-Check-Act -malli).
Tietoturvaan sovellettuna kehittämisen prosessin avaintehtävät ovat:
- Suunnittele: Selvitä tarvittava tietoturvan taso ja analysoi järjestelmään ja toimintaan liittyvät riskit. Selvitä onko hankkeessa riittävä tietoturvaosaaminen tarpeisiin nähden (erityisesti korotetun tietoturvatason järjestelmissä tietoturvan resursointiin on panostettava) ja hanki lisää tarvittaessa osaamiskeskuksen kautta.
- Toteuta: Päätä toteutettavat tietoturvapiirteet riskianalyysin perusteella ja toteuta ne turvallisen ohjelmistokehityksen ja tuotantoon viennin menetelmin. Muista myös testaus.
- Tarkista: Varmistu tietoturvatarkastuksella tai muulla tavoin, että toteutetut tietoturvapiirteet toimivat.
- Toimi: Valvo tietoturvapiirteiden toimintaa, korjaa puutteet, puutu väärinkäytöksiin.
Nämä tietoturvaprosessin vaiheet on Kehmet-sivustolla sulautettu kunkin kehitysmallin sisään, sillä tietoturvallisuus on oleellinen osa kaikkea toiminnan kehittämistä. Erityisesti tietoturvallisuuden vaatimukset on otettava huomioon jo kehittämisen alusta asti, jotta työlistalle tai tarjouspyyntöön saadaan oikein mitoitetut tietoturvallisuuden vaarantumisen estävät toimet. Tietoturvapiirteiden toteuttaminen jo suunniteltuun prosessiin tai tehtyyn tietojärjestelmään on yleensä paljon kalliimpaa kuin jos tietoturvatarpeet on huomioitu ennalta.
Tietoturvallisuuden hallinta on prosessi
Kun yksi kehityssykli on saatu päätökseen, on jonkin ajan kuluttua syytä palata takaisin suunnitteluvaiheeseen ja katsoa mitä muutoksia ympäristöön tai toimintaan on tullut sitten viime suunnitteluvaiheen ja käydä sykli uudestaan läpi.
Roolit
Hankkeen kuluessa tarvitaan monenlaista tietoturvallisuuden asiantuntemusta. Eri vaiheissa tarvitaan eri tyyppistä asiantuntemusta. Asiantuntijarooleja ovat muun muassa:
- Hallinnollisen tietoturvallisuuden asiantuntija, vastuualue käytäntöjen ja suunnitelmien dokumentointi sekä riskianalyysit
- Teknisen tietoturvallisuuden asiantuntija, vastuualue järjestelmän ja ohjelmiston tietoturvapiirteiden suunnittelu ja toteutus
- Tietoturvatarkastaja, vastuualueena suorittaa tietoturvatarkastus sovittuun kohteeseen sovitusta näkökulmasta ja raportoida poikkeamista
Käytänteet
- Tietoturvatason määritys
- Tietoturvallisuuden kohdistuva riskianalyysi joka tuottaa riskitaulukon
- Tietoturvallinen ohjelmistokehitys, jonka osana järjestetään esimerkiksi koodikatselmointeja
- Tietoturvatestaus
- Tietoturvatarkastus, joka tuottaa tietoturvatarkastusraportin
- Osana arkkitehtuurin kohdalla tehtävää tietoturvatyötä on syytä pohtia organisaation tai toiminnan luottamusrajoja. Mistä lähteistä tulevaan tietoon voidaan luottaa ja mistä tuleva tieto pitää erikseen varmistaa tai validoida? Validoinnissa on myös pohdittava sitä, tarkistetaanko pelkästään tiedon rakenne (esim. postinumero koostuu vain numeroista) vai tehdäänkö myös merkityksen validointia (postinumero on Helsingin kaupungin alueella ja olemassa).
- Tietoturvallisuuden tilan valvonta tuotannon aikana
- Tuotannonaikaiset tietoturvallisuuspäivitykset eri osiin järjestelmiä
- Kehitysaikaisten järjestelyjen purku tarvittavassa laajuudessa (käyttäjätunnukset ja -oikeudet, tietoliikennejärjestelyt, ylimääräiset testijärjestelmät, testidata yms). Eri kehitysmenetelmissä tämän toimenpiteen laajuus on erilainen, esimerkiksi ketterässä kehityksessä pyritään mahdollisimman aikaisessa vaiheessa tuotannon kaltaiseen toimintaan, jolloin tuotantovaiheessa kehitysaikaisten erityisjärjestelyjen määrän tulisi olla vähäinen.