4 TIETOTURVATYÖN HAASTEET JA KIPUPISTEET

Onnistuneen kehittämisohjelman edellytys on riittävän luotettava arvio valtionhallinnon tietoturvallisuuden nykytilasta, kehityshankkeista sekä käsitys tilanteen kehityksestä. Tämän tavoitteen saavuttamiseksi työryhmä teki haastatteluja ja sähköpostikyselyn[9]. Haastattelut ja kyselyn vastaukset olivat korkeatasoisia ja niiden analysoinnista oli suuri apu työryhmälle.

4.1 Nykyiset ongelmat

Työryhmän näkemyksen mukaan tärkeimmät tietoturvallisuutta uhkaavat asiat valtionhallinnossa ovat:

• tietoturvatyöhön kohdennettujen resurssien puute, joka on seurausta tietototurvallisuuden liian alhaisesta priorisoinnista suhteessa muihin tavoitteisiin
• henkilöstön tietoturvatietoisuus[10]
• virukset ja muut haittaohjelmat

Tietoturvatyön keskeinen haaste julkishallinnossa on riittävien resurssien kohdentaminen tietoturvatyöhön. Ensisijaisesti resurssien allokoinnista johtuvaa puutetta ilmentää ammattitaitoisten tietoturvaihmisten työpanoksen suuntaaminen muihin töihin, mutta toissijaisesti myös rahan puute. Joissakin virastoissa määrärahoja jää käyttämättä, kun omia henkilöresursseja ei ole riittävästi.

Resurssien puutteen tasolla oleva ongelma koskee virastojen omaa henkilöstöä, joskin tilanne vaihtelee organisaatiosta toiseen. Joissain yksiköissä tietoturvallisuutta ei pidetä riittävän tärkeänä, eikä johto ei ole sitoutunut tietoturvallisuuteen tai on sitoutunut siihen vain nimellisesti.

Konkreettisista tietoturvauhista selkeimmin esiin tuodut ovat virukset (ja muut haittaohjelmat) ja roskaposti (späm, engl. spam). Virukset ovat vakava uhka niin tietoturvatyöntekijöiden kuin tavallisten käyttäjien mielestä, mutta palveluiden kehittämisestä vastaavat eivät koe asiaa yhtä vakavaksi. Virusuhan arvioidaan pahenevan tulevaisuudessa, vaikka tehokas virustorjunta on yleistä.

Roskaposti on vasta hiljakkoin noussut merkittäväksi tietoturvauhaksi, joka saattaa kaataa tietojärjestelmiä, eikä enää ainoastaan aiheuta pientä kiusaa sähköpostin käyttäjille. Roskapostin osalta tilanne muistuttaa viruksia: ongelman eteen joutuvat tietoturvatyötä tekevät ja tavalliset käyttäjät, eivät niinkään palveluita kehittävät. Roskapostista toivottiin VAHTIlta nykyistä ohjeistusta (5/2001) täydentävää ohjetta.

4.2 Lähitulevaisuuden haasteet

Tietoturvallisuuden lähitulevaisuus nähtiin varsin samanlaisena kuin nykyisyys. Virukset, roskapostit ja riittämättömät resurssit ovat tietoturvauhkia myös lähitulevaisuudessa. Uusina tai nykyistä merkittävästi vakavampina uhkina esiin tuotiin tietomurrot, verkkoterrorismi sekä yhteiskunnan yleisen tietotekniikkariippuvuuden aiheuttamat uhat, kuten Internetin mahdollinen lamautuminen.

4.3 Valtionhallinnon nykyinen tietoturvatyö

VAHTIn toimintaa ei kyselyssä pyydetty arvioimaan, mutta useat vastaajat antoivat palautetta: VAHTIn työ koettiin onnistuneeksi tai erittäin onnistuneeksi ja ohjeiden tasoa pidettiin enimmäkseen hyvänä. Kehityskohteet liittyvät kahteen alueeseen: tietoturvaympäristön muuttumiseen ja VAHTIn työn edelleen vahvistamiseen.

Tietoturvauhat muuttuvat nopeasti ja uhkien torjunnan keinovalikoima kehittyy jatkuvasti. Vastaajat toivoivat olemassa olevien VAHTI-ohjeiden riittävän nopeaa päivittämistä vastaamaan muuttuneita olosuhteita. Lisäksi toivottiin uusia, interaktiivisia toimintamuotoja, kuten keskustelupalstaa VAHTIn verkkosivuille.

Ohjeiden sisältöä ja määrää pidettiin hyvänä, kehittämiskohteina nähtiin helppolukuisten, yksinkertaistettujen ohjeiden määrän lisääminen. Lisäksi nähtiin tarvetta käytännönläheisemmille,soveltamista ja tietoturvatyön jalkauttamista tukeville ohjeille.

Kysyttäessä uusia toimintamuotoja tietoturvallisuuden edistämiseen tähtäävät yhteishankkeet ja -hankinnat saivat useita mainintoja. Ilmeinen tarve on myös ympärivuorokautiselle help-desk -toiminnalle (CERT-FI:n resurssit riittävät tällä hetkellä vain virka-aikana tapahtuvaan päivystykseen). Tietoturvaseminaareja, koulutustilaisuuksia ja yhteistyötä yritysten kanssa haluttiin myös lisää.

Valtionhallinnossa tietoturvallisuuden kehittämisen tärkeä toimintamuoto on tietoturvaohjeiden,-politiikkojen ja muiden vastaavien dokumenttien päivittäminen. Etätyö ja etäkäyttö sekä näiden kehittäminen ovat monissa organisaatioissa keskeinen tietoturvahuolia aiheuttava asia.

4.4 Tietoturvaongelmat vastaajaryhmittäin

Tietoturvavastaavat, toimintaa ja palveluja kehittävät sekä loppukäyttäjät mieltävät tietoturvaongelmat hieman toisistaan poikkeavasti: salasanojen suuri lukumäärä on ongelma keskivertokäyttäjälle, palvelujen kehittäjälle puolestaan verkkokäyttäjän tunnistaminen. Tietoturvatyötä tekevä koettaa ratkoa etäkäyttäjien verkkoon kirjautumista. Sama asia - käyttäjien tunnistaminen ja oikeuksien hallinta - ilmenee eri tavalla eri ryhmille.

Mielenkiintoinen havainto on, että useimmat loppukäyttäjät pitivät organisaationsa tietoturvaohjeistusta melko hyvänä, joskin saatavuutta keskinkertaisena. Tietoturvavastaavat puolestaan toivoivat VAHTIlta enemmän loppukäyttäjälle suunnattua ohjeistusta ja helppokäyttöisempiä ohjeita. Tietoturvavastaavat tekevät onnistunutta työtä VAHTI-ohjeiden muokkaamisessa organisaatioidensa käyttöön, mutta resurssien vähäisyyden vuoksi he toivoisivat loppukäyttäjälle valmiimpia ohjepaketteja. VAHTI on jo tiedostanut asian ja ryhtynyt toimenpiteisiin: käyttäjän tietoturvaohje (VAHTI 5/2003) ja opas tietoturvakoulutuksesta (VAHTI 6/2003) on julkaistu kyselyn jälkeen, ja lisää materiaalia (mm. multimediaa hyödyntävää) on valmisteilla.

Tietoturvavastaavat ja palveluita kehittävät törmäävät ohjelmien tietoturva-aukkoihin. Kehittäjiä huolestuttaa palvelujen tietoturvallisuus, kun taas tietoturvaihmisten vaikeutena on tarvittavien päivitysten nopean jakelun varmistaminen.

9 Tarkemmat tiedot haastatteluista ja kyselystä liitteessä.

10 Työryhmän tekemän kyselyn perusteella joissakin yksiköissä henkilöstön asenteet ovat ongelma.

Vahti- ylläpito08.10.2009 / 14:00:17
Tulosta