Savonia-artikkeli: TAISTO21 – Harjoittelu tekee mestarin myös tietoturvassa

Tietoturvaan liittyvät ongelmat lisääntyvät nykyisin voimakkaasti. Kukapa ei olisi törmännyt vaikkapa kalasteluviesteihin, jolla houkutellaan viatonta käyttää erilaisten viestien avulla antamaan käyttäjätunnuksensa tiedot. Näitä viestejä tulee sähköpostin ja jopa puhelimen tekstiviestien avulla. Rikollisilla vaikuttaa olevan ehtymätön mielikuvitus. Teleoperaattorit pyrkivät sulkemaan puhelimia/osoitteita, joista tätä soopaa suolletaan, mutta aina jotain viestejä pääsee läpi.

Usein rikollisen tavoitteena on myös saada käyttäjä antamaan pankkitilinsä kirjautumistiedot oikeita pankkisivuja muistuttavien huijaussivujen kautta. Pankin sivuille ei kannata nykyään koskaan mennä erilaisten valmiiden linkkien kautta vaan kirjoittamalla itse pankin nettiosoite selaimeen. Tällaiset pankkitilien tyhjennyskeikat ovat hyvin tuottoisia rikollisille, 1990-luvulla Suomessa tehtiin vuosittain vielä kymmeniä pankkiryöstöjä vuodessa – nykyisin ei ole tehty pitkään aikaan enää yhtään perinteistä ryöstöä. Pankin rahat ovat rikolliselle helpompi ja turvallisempi ryöstää tietoverkon kautta.

Pari vuotta sitten voimaan tullut tietosuoja-asetus kiristi henkilötietojen käsittelyä, erikoisen suojattavia tietoja ovat arkaluonteiset henkilötiedot. Henkilötietoja ovat sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen. Henkilö voidaan tunnistaa esimerkiksi nimen, henkilötunnuksen tai jonkin hänelle tunnusomaisen tekijän perusteella. Lisää tietoa täältä: https://tietosuoja.fi/mika-on-henkilotieto, tietosuojavaltuutetun virasto 13.12.2021.

Laki edellyttää tietojen kerääjältä ja käyttäjältä henkilötietojen antajan informointia siitä miten kerättyjä tietoja käsitellään ja miten ne voi poistaa tarvittaessa. Kerätyistä henkilötiedoista muodostuu aina rekisteri, joka vaatii rekisteriselosteen teon.

Kaikkea edellä mainittuja toimia harjoitellaan vuosittain pidettävässä TAISTO-harjoituksessa. Harjoituksesta vastaa Digi- ja väestötietovirasto.

TAISTO21-harjoitus 2

TAISTO-harjoitus on julkishallinnolle suunnattu tietosuoja- ja tietoturvaloukkauksien hallinnan harjoitus, jossa organisaatiot harjoittelevat toimintamalleja ja prosesseja erilaisten häiriötilanteiden varalle. Harjoituksen avulla reagointi tietoturva- tai tietosuojaloukkaukseen voidaan hoitaa tositilanteessa hallitummin, jolloin toipuminen on nopeampaa.

Digi- ja väestötietovirasto vastaa TAISTO-harjoituksen toteuttamisesta ja ohjaamisesta. Harjoituksen johtajana toimii Digi- ja väestötietoviraston tietoturva-asiantuntija. Lisäksi harjoituksen toteuttamisessa on mukana muita Digi- ja väestötietoviraston asiantuntijoita eri tehtävissä.

Harjoituksen suunnittelu tehdään yhteistyössä Keskusrikospoliisin, Kyberturvallisuuskeskuksen, tietosuojavaltuutetun toimiston, Valtorin ja Turvallisuuskomitean kanssa.

Marraskuussa pidettävien TAISTO21-harjoitusten jälkeen Digi- ja väestötietovirasto julkaisee harjoitusmateriaalin kaikkien saataville.

TAISTO21-harjoituksen tavoitteena olivat
• Kehittää digitaalisen turvallisuuden häiriötilanteiden hallintaa.
• Kehittää toiminnan jatkuvuuteen ja varautumiseen liittyviä toimintamalleja,
prosesseja ja ohjeita.
• Vahvistaa harjoituskulttuuria ja mahdollistaa hyvä harjoituskokemus niin ensi-
kertalaisille kuin jo harjoitelleille.
• Ymmärtää yhteistyökumppanien roolit laajassa arvo- ja toimitusverkostossa.

Osallistuva organisaatio voi asettaa myös omia tavoitteita harjoitukselle.

TAISTO21 savonialaisin silmin

TAISTOlle varattiin hyvissä ajoin neuvotteluhuone, joka toimi harjoituksen johtokeskuksena. Harjoitukseen kutsuttiin tietosuojavastaavan ja tietoturvapäällikön lisäksi henkilöstöä ICT-palveluista, viestinnästä ja johdosta. Harjoitukseen osallistui kaikkiaan seitsemän henkilöä.

Harjoitustehtäviä tippui tasaiseen tahtiin Digi- ja väestötietovirastosta. Skenaariona oli tuntemattoman henkilön tunkeutuminen Savonian toimistotiloihin, kannetavan tietokoneen varastaminen ja sen sisältämien henkilötietojen levittäminen sosiaalisessa mediassa. Harjoitustiimimme pyrki ratkaisemaan eteen tulevat tilanteet tapauskohtaisesti ja tekemään tarvittavat ilmoitukset tietosuojavaltuutetun toimistoon ja poliisille. On tärkeä harjoitella ilmoitusten tekoa, jotta tositilanteessa tietää mitä ilmoituksia pitää tehdä ja kenelle.

Viestintä kirjoitti harjoituksen aikana lehdistölle ja sosiaaliseen mediaan annettavat tiedotteet. Mukaan oli mahdutettu myös osa, jossa tuli vastata reportterin tekemiin kysymyksiin. Ulospäin tiedottaminen kuuluu johdolle, mutta kun sillä hetkellä ei johtoa ollut paikalla, viestintä hoiti senkin tiedottamisen. Harjoituksesta pidettiin päiväkirjaa, josta selviävät jälkikäteenkin tehdyt ratkaisut. Näitä voidaan hyödyntää omissa tietoturvaan liittyvissä harjoituksissa.

Savonia osallistui nyt TAISTO-harjoitukseen neljännen kerran, jokaisella kerralla osallistuminen on kannattanut ja oppia ollaan saatu. Ohjeistuksesta löytyi tällä kertaa puutteita ja tärkeää oli myös, että uusi tietosuojavastaava ja viestintäpäällikkö pääsivät testaamaan taitojaan lähes aidossa tilanteessa. Ensi vuonna uudestaan!

Kirjoittaja:

Matti Kuosmanen, ICT-päällikkö, Savonia-ammattikorkeakoulu