Turvallisuutta voi hallita vain kokonaisuutena

Kari Salmela, turvallisuusjohtaja
Kari työskentelee Loihde Oyj:llä turvallisuusjohtajana. Hän on paitsi kokenut turvallisuuden ja etenkin tietoturvallisuuden asiantuntija myös ironisen huumorin lannistumaton viljelijä. Karia kiinnostaa kaikenlainen tiede ja tekniikka ja hän koettaa seurata muutenkin suhteellisen laajasti mitä ympärillä ja maailmassa tapahtuu.
Blogi Kokonaisturvallisuus Kyberturva

Turvallisuus on tunne, johon vaikutetaan sekä viestinnällä että toiminnalla. Kattava turvallisuuden hallinta vaatii nykyistä parempaa tilannekuvaa sekä valvontaa, joka huomioi koko ketjun fyysisestä suojauksesta aina ihmisten toimintaan. Ongelmia varten tulisi harjoitella puolustautumista etukäteen.

”Turvallisuus tarkoittaa vaarojen ja uhkien (riskin) poissaoloa, kuin myös psykologista kokemusta niiden poissaolosta. Turvallisuus esiintyy siis ilmiönä kaikkialla, missä esiintyy jonkinlaista vaaraa. Maailman monimutkaistuessa, verkottuessa myös turvallisuus saa uusia piirteitä. Turvallisuus on (usein) absoluuttisesti mahdotonta, joten turvallisuus on suhteellinen määre.” –Wikipedia
Moni turvallisuusalan asiantuntija, kuten kyberturvallisuuden professori Jarno Limnéll, on todennut, että turvallisuus on tunne. Englannin kielessä on kaksi sanaa, ”safety” ja ”security”, jotka molemmat voidaan kääntää suomeksi samaksi sanaksi turvallisuus. Näiden välillä on kuitenkin mielestäni se ero, että ”safety” tarkoittaa konkreettisia toimenpiteitä tai vaikkapa laitteen teknistä ominaisuutta tai kontrollia, jolla turvaa tai suojaa tehdään. ”Security” on taas enemmän lopputulos, jonka ihminen (todellisesti tai virheellisesti) kokee tunteena edellä mainituista toimista.
Ihmisten kokemaan turvallisuudentunteeseen voidaan vaikuttaa esimerkiksi viestinnällä, mutta suojan lisäämiseksi tehtävillä käytännön toimenpiteillä varmistetaan, että sanoille on katetta. Ei ole järkevää viestiä pelkästään uhista, jolloin asiaan perehtymättömät voivat suhtautua tilanteeseen apaattisesti ja tehdä sitä virhetulkintaa, että heidän tekemisillään ei ole merkitystä. Ennemminkin täytyisi antaa kaikille käyttäjille ohjeita ja työkaluja, joilla heidät saadaan valjastettua osaksi organisaation turvallisuustyötä. Käyttäjät aiheuttavat edelleen suuren osan turvallisuusongelmista omilla toimillaan. Yritykset, kuten Hoxhunt, ovat tehneet käyttäjän osallistamisesta tietoturvatyöhön mielenkiintoisen konseptin, jonka soisi leviävän laajemminkin.
Digitalisointi tekee yritysten toimintaympäristöstä entistä haavoittuvampia ICT-ympäristöstä johtuville toiminnallisille uhille. Monet yritykset eivät nykyään tuota mitään fyysistä tuotetta, jolloin digitaalisten prosessien pysäyttäminen on suora uhka koko yrityksen olemassaololle. On siinä mielessä ironista, että monet turvallisuuden kehittämisen hankkeet keskittyvät vain joko ICT-ympäristön tai fyysisen toimintaympäristön suojaamiseen, kun liiketoimintatavoitteet edellyttävät molempien ympäristöjen yhtäaikaista ja saumatonta turvaamista. On suuri riski, että käsittelemällä näitä kahta täysin toisistaan erillisinä saarekkeina, väliin jää aukkoja, joiden hyväksikäyttö voi rikkoa joko toisen tai molempien ympäristön toimintakyvyn.
Von Solmsin ja Van Niekerkin (2013) esittämä jako kyberturvan, tietoturvan ja ICT-turvan välillä voi auttaa hahmottamaan paremmin toimintaympäristön turvallisuutta kokonaisuutena. Kyberturvassa hyökkäyksen kohteena ovat tietoon perustumattomat varat, tietoturvallisuudessa puolestaan käsitellään tietoa paikallaan olevana kohteena ja ICT-turva on edellä mainittujen välimaastossa.
kyberturvan kokonaiskuva
Näiden ero on siinä, että tietoturvaongelmien vaikutus ihmisiin ja yhteiskuntaan on enintään epäsuora, kun taas kyberturvan ongelmilla on suoria vaikutuksia. Erittäin harva nykyinen tietojärjestelmä on täysin riippumaton ympäröivästä tietoverkosta ja ulkoisista resursseista. Siksi esimerkiksi tietoliikenteen estäminen tai väärentäminen, tai vaikka sähköjen tai jäähdytyksen katkaiseminen on tehokas tapa haitata tietojärjestelmien toimintaa vaikuttamalla niiden toimintaedellytyksiin, ilman että itse järjestelmään päästään käsiksi.
Haitanteolla tai rikollisella toiminnalla voi olla myös ihmisten henkeä ja terveyttä vaarantavia seurauksia. Esimerkiksi pääsy voimalaitoksen automaatiojärjestelmään, jossa tunkeutuja voi käännellä haluamiaan venttiilejä tai kytkimiä päälle tai pois mielensä mukaan, voi aiheuttaa laitoksessa katastrofaalisia seurauksia.
Kattava turvallisuuden hallinta edellyttääkin nykyistä parempaa ymmärrystä kaikkien turvajärjestelmien toimintakyvystä – ”tilannekuvaa” – sekä valvontaa, joka huomioi paremmin koko ketjun fyysisestä suojauksesta käyttäjien toiminnan seuraamiseen. Kun ongelmia havaitaan, niihin tulisi puuttua nopeasti ja oikeansuuntaisin toimenpitein. Tämä ei onnistu mitenkään muutoin kuin harjoittelemalla vastatoimintaa.
Lähde:
Von Solms, Rossouw & Johan van Niekerk (2013). From information security to cyber security. Computers & Security 38.