Älypuhelimien tietoturvallisuus - hyvät käynnöt

 

Älypuhelimien tietoturvallisuus - hyvät käynnöt

Taitto: Taina Ståhl
Kannen kuva: www.nokia.com, Press kuva-arkisto

ISBN 978-951-804-761-5 (nid.)
ISBN 978-951-804-762-2 (pdf)
ISSN 1455-2566Painopaikka Edita Prima Oy
Helsinki 2007

 

Älypuhelimet Tekninen liite

Keskustelualueet

Esipuhe

Valtiovarainministeriö (VM) vastaa valtion tietoturvallisuuden ohjauksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa
ja sen valmistelussa.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.

VAHTIssa käsitellään kaikki merkittävät valtionhallinnon tietoturvalinjaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietoturvatoimenpiteitä. VAHTIn käsittelyn kohteina ovat kaikki tietoturvallisuuden osa-alueet.

VAHTIn toiminnalla on parannettu valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on aikaansaatu erittäin kattava yleinen tietoturvaohjeisto (http://www.vm.fi/VAHTI). Valtiovarainministeriön ja VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita. VAHTI on valmistellut, ohjannut ja toteuttanut valtion tietoturvallisuuden kehitysohjelman, jossa on aikaansaatu merkittävää kehitystyötä yhteensä 26 kehityskohteessa yli 300 hankkeisiin nimetyn henkilön toimesta.

VAHTI edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä.

Valtionhallinnon lisäksi VAHTIn toiminnan tuloksia hyödynnetään laajasti myös kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. VAHTI on saanut kolmena perättäisenä vuotena tunnustuspalkinnon esimerkillisestä toiminnasta Suomen tietoturvallisuuden parantamisessa.

Tämän ohjeen on laatinut VAHTIn alainen älypuhelimien tietoturvallisuus – työryhmä. Ohje on viimeistelty laajan lausuntokierroksen palautteen pohjalta ja hyväksytty julkaistavaksi VAHTIn kokouksessa lokakuussa 2007.

Johdon yhteenveto

Älypuhelimet ovat yleistyneet valtionhallinnossa muutamassa vuodessa siten, että niistä on tullut merkittävä työtapoja muuttava teknologiaratkaisu. Älypuhelimet mahdollistavat ajasta ja paikasta riippumattoman käytön tyypillisesti organisaation sähköpostiin, kalenteriin, yhteystietoihin sekä joissain tapauksissa myös esimerkiksi intranet- tai muihin www-palveluihin. Tulevaisuudessa älypuhelimiin asennettavat client-ohjelmat mahdollistavat entistä kriittisempien organisaation substanssiin liittyvien tietojärjestelmien hyödyntämisen.

Älypuhelimien käyttöönotto on levinnyt organisaatioissa usein ilman ennalta suunniteltua käyttöönottostrategiaa. Nykyaikainen älypuhelin on kuin työasema, niin hyvässä kuin pahassa. Älypuhelinten hallinnointi edellyttää vastaavanlaisia prosesseja ja samanlaista selkeää elinkaarenhallintaa kuin työasemien hallinnointi. Ilman huolellista etukäteissuunnittelua, käyttöönotettava ratkaisu saattaa muodostua niin käyttöönotto- kuin käyttökustannuksiltaan ennakoitua kalliimmaksi sekä vaarantaa organisaation tietoturvallisuuden.

Tietoturvallisuuden osalta älypuhelimiin liittyy samankaltaisia uhkakuvia kuin henkilökohtaisiin tietokoneisiin. Uudet puhelimet ja palvelut aiheuttavat myös uudenlaisia ongelmia. Tämä ohje koskee älypuhelinten tietoturvallisuuteen liittyviä valtionhallinnossa noudatettavaksi suositeltavia hyviä käytäntöjä, joilla ehkäistään tietoturvaongelmia ja pienennetään tietoturvariskejä. Samalla
tässä yhteydessä pyritään nostamaan esille niitä seikkoja, joilla käyttöönotettavasta ratkaisusta saadaan mahdollisimman kustannustehokas.

Ohje on tarkoitettu kaikille niille henkilöille, jotka vastaavat organisaation älypuhelimiin liittyvistä toiminnoista.

Ohje sisältää tämän tekniselle henkilöstölle suunnatun ohjeen liitteineen sekä loppukäyttäjille tarkoitetun ”Älypuhelinten turvallinen käyttö”-ohjeen, jonka jokaisen organisaation tulee mukauttaa tukemaan omaa tietoturvapolitiikkaa, infrastruktuuria ja toimintakulttuuria mahdollisimman hyvin. Liitteet on ladattavissa sähköisessä muodossa VAHTI-sivustolta osoitteessa http://www.vm.fi/VAHTI.

Lukijalle

Ohjeistuksen lukemisen helpottamiseksi ohessa on muutama yleisohje dokumentin sanastosta ja rakenteesta. Asiakirjaa tehtäessä osa termistöstä oli vakiintumatonta ja samoilla termeillä tarkoitettiin välillä hieman eri asioita. Olemme liittäneet asiakirjaan sanaston, jossa selvennetään joitakin termejä sekä valaistaan mitä näillä termeillä tarkoitetaan tässä asiakirjassa.

Kokonaisuus on jaettu kolmeen erilliseen tekstiosaan sekä näitä täydentävään Excel-taulukkoon.

1. Hyvät käytännöt -ohje
Tähän asiakirjaan on kerätty hyviä käytäntöjä liittyen älypuhelin-infrastruktuurin elinkaarenhallintaan ja toteuttamiseen. Asiakirjan sisältö on tuotettu pohjautuen työryhmän omaan osaamiseen sekä tapaamisiin, joita työryhmällä on ollut älypuhelinten, älypuhelinratkaisujen ja -palveluiden toimittajien kanssa.

2. Älypuhelimen turvallinen käyttö
VAHTI-sivustolla sijaitseva asiakirja on tarkoitettu malliksi, kun organisaatiossa tehdään käyttäjille älypuhelimen käyttöohjetta. Tähän asiakirjaan on koottu sellaisia asioita, joita on hyvä huomioida ohjeen suunnittelussa. Lisää, poista, muokkaa tai käytä tukilistana tehdessäsi organisaatiosi järjestelmiin ja tietoturvapolitiikkaan sopivaa ohjetta.

3. Tekninen liite
VAHTI-sivustolla sijaitsevassa teknisessä liitteessä käsitellään älypuhelinten historiaa sekä ominaisuuksia tekniikasta kiinnostuneille. Liitteen nykytekniikkaa koskevat tiedot vanhenevat uusien puhelinmallien ja ratkaisujen kehittyessä hyvinkin nopeasti, joten tarkista tietojen ajankohtaisuus ratkaisujen toimittajilta.

Vaatimuskriteeristö-taulukko
Ohjeessa mainittu Excel-taulukko on saatavilla ohjeen VAHTI-sivustosta. Tähän taulukkoon on koottu erilaisia Pushmail- ja etähallintaratkaisujen ominaisuuksia. Taulukon tehtävänä on hahmottaa, minkälaisia ominaisuuksia on dokumentin tekohetkellä ollut saatavilla. Uskomme taulukosta olevan hyötyä, kun organisaatio suunnittelee tuotteiden kilpailutukseen liittyvän kriteeristön tuottamista.

Lisätietoja mobiililaitteiden tietoturvallisuudesta löydät lukuisista aihetta käsittelevistä www-sivustoista. Työryhmä suosittelee tutustumaan esim. Viestintäviraston mobiiliturvasivustoon osoitteessa http://www.ficora.fi/mobiiliturva.

Johdanto

Vaikka valtionhallinnossakin yleistyneitä älypuhelimia koskevat periaatteessa samat lainalaisuudet kuin tietokonelaitteistoa, on niiden vakioinnissa, käytössä ja ylläpidossa (=elinkaarenhallinnassa) otettava huomioon monia erityispiirteitä.

Älypuhelimia ja niiden hallintaa varten ei ole ollut olemassa valtionhallintoa koskevaa ohjeistusta. Organisaatioissa on toistaiseksi laadittu omia erillisiä ohjeita. Jotta laitteiden käyttöönotto ja hallinta saadaan valtion organisaatioissa vakioitua, tarvitaan yleiset ohjeet ja suositukset käytettävistä tekniikoista sekä loppukäyttäjille ajanmukainen turvaohjeistus.

Tässä IT-ylläpitohenkilöstölle suunnatussa hyvät käytännöt -ohjeessa on pyritty nostamaan esille se tietous ja ne parhaat käytännöt, joita viimeisten parin vuoden aikana on kertynyt älypuhelinteknologiaa käyttäviin valtionhallinnon organisaatioihin.

Haluamme erityisesti painottaa tässä ohjeessa sitä, että tietoturvallisuuden merkitys älypuhelimissa on asia, jonka tärkeys tulee nousemaan vuosi vuodelta. Kaikki tietoturvallisuuden eteen, vakiointiin ja etähallintamenetelmiin käytetty työ niin tietokoneissa kuin älypuhelimissa helpottaa suojautumista paitsi nykyisiä myös tulevaisuuden tietoturvauhkia vastaan.

VAHTI-johtoryhmä on ohjannut työryhmän toimintaa siten, että hanketta on käsitelty kokouksissa 11/2006 ja 4/2007 sekä tuotettu materiaali on hyväksytty 10/2007 pidetyssä VAHTI-johtoryhmän kokouksessa.

Tuotettu materiaali toimitettiin lausunnoille heinäkuun alussa, jonka jälkeen organisaatioilla oli lausumisaikaa elokuun loppuun saakka. Työryhmä kokoontui 5.9.2007 workshop-tilaisuuteen, jossa se käsitteli ehdotetut muutokset, jonka pohjalta asiakirjoja täydennettiin annettujen lausuntojen pohjalta.

Työryhmän työskentelyyn ovat osallistuneet seuraavat henkilöt:

Keskitalo Kari               valtiovarainministeriö
Kommonen Mats          Turun yliopisto
Koskinen Mika             Länsi-Suomen ympäristökeskus
Leskinen Juha-Pekka   Eduskunta
Lähteenmäki Janne      Tekes
Puhto Maarit               Stakes
Mäkinen Kimmo          työministeriö
Vähämäki Pekka         Maanmittauslaitos
Rousku Kimmo           Stakes, työryhmän puheenjohtaja
Kuparinen Teemu        Stakes, työryhmän sihteeri

Helsingissä, 29.10.2007.

Kimmo Rousku
Työryhmän puheenjohtaja

Tulosta