1. JOHDANTO

Tietoturvalliseen tietoyhteiskuntaan2.2. Yritysten tietoturvatietoisuus –työryhmän raportti21.2.2005

SISÄLLYSLUETTELO21. JOHDANTO...................................................................................................................................32. TIETOTURVATIETOISUUDEN NYKYTILA PK-YRITYKSISSÄ ......................................62.1. VÄHÄN TUTKIMUSTIETOA TARJOLLA .........................................................................................62.2. TIETOTURVALLISUUDEN TASO VAIHTELEVA ..............................................................................62.3. MONISSA SUURISSA YRITYKSISSÄ TILANNE HYVÄ......................................................................72.4. TIETOTURVATIETOISUUDEN ASENTEELLISIA ESTEITÄ ................................................................82.5. HAASTEENA PK-YRITYKSET .......................................................................................................83. TIETOTURVAN MERKITYS YRITYSTOIMINNALLE......................................................103.1. TIETO ON TÄRKEÄ TUOTANTORESURSSI ...................................................................................103.2. TIETOTURVALLISUUS ON OSA LIIKETOIMINNAN RISKIENHALLINTAA........................................114. YRITYSTEN TIETOTURVATIETOISUUTTA EDISTÄVÄT TOIMIJAT JATOIMENPITEET ............................................................................................................................134.1. TOIMIJOITA JA TOIMENPITEITÄ.................................................................................................145. PK-YRITYKSEN TIETOTURVALLISUUSOHJELMA........................................................175.1. MALLI TIETOTURVATIETOISUUSOHJELMASTA: KOULUTUKSEEN PERUSTUVA PK-YRITYKSENTIETOTURVALLISUUSOHJELMA........................................................................................................175.2. OHJELMAN RAKENNE ...............................................................................................................18YHTEENVETO..................................................................................................................................21

31. JOHDANTOTietoturvallisuuden ja tietoriskien ymmärtäminen on nopeasti kehittyvässä tietoyhteiskunnassaentistäkin tärkeämpää. Koko yhteiskunta on lisääntyvässä määrin riippuvainentietojärjestelmien toiminnasta. Erityisen tärkeää tietoturvatietoisuus ja riskienymmärtäminen on yrityksille, joiden toiminnan jatkuvuuden, kehityksen ja kilpailukyvynedellytyksenä ovat toimivat tietojärjestelmät. Liiketoiminnassa hyödynnetäänenenevässä määrin tietojärjestelmiä ja muita tietoteknisiä ratkaisuja. Palvelujen automatisointi,yritysten verkostoituminen ja sähköisen kaupankäynnin kehittyminen asettavathaasteita valtakunnallisten ja yksityisten tietoverkkojen hallinnalle, joissa onhaasteena toteuttaa tarvittava tietoturvallisuus.Tietoturvallisuuden hallinta on laaja-alaista ja sen toteuttaminen vaatii teknisiä ratkaisuja,toiminnallisia ja oikeudellisia käytäntöjä. Toistaiseksi yritysten tietoturvatietoisuudestaSuomessa on käytettävissä varsin vähän koottua, järjestelmällistä tietoa. Tietojärjestelmienja sovellusten komplisoitumisen ja kapasiteetin nopean lisääntyminenasettavat osaamiselle ja resursseille vaatimuksia. Tässä kehityksessä erityisesti pienetyritykset ovat huonommassa asemassa. Vastuun ymmärtäminen tietoturvallisuudenminimitason toteuttamiseksi ei ole edennyt toivotulla tavalla. Tämä koskee sekä yksityisiäkansalaisia, yrityksiä ja monia muita toimijoita.Useat selvitykset ovat osoittaneet, että huoli tietoturvallisuuden toteutuksesta ja tasostaon kyllä lisääntynyt, mutta käytännön toimenpiteet laahaavat perässä. Käsitys siitä,että tietoturvallisuus on vain tietotekninen asia, joka on hoidettavissa tekniikalla, laitteillaja sovelluksilla on vallitseva. Ihmiset ovat kuitenkin tiedon ja tietojärjestelmienkäyttäjinä aivan keskeisessä asemassa ja heidän motivoinnistaan on kyse tietoturvatietoisuudenparantamisessa. Erityisen tärkeää on, että yrityksen johto ymmärtää tietoturvallisuudenmerkityksen ja on sitoutunut parantamaan sitä.Computer Security Institute:n selvityksen mukaan tietojen luottamuksellisuuden,eheyden ja käytettävyyden keskeiset ongelmat ovat ihmisten toiminnassa. Selvitettäessätietojärjestelmien riskitekijöitä ja erityisesti mitkä tekijät vaikuttavat tietojen häviämiseen,kävi ilmi, että 80 % tietohävikistä johtuu käyttäjistä ja heidän toiminnastaanja vain 20 % tietoteknologiasta. Kuitenkin yritykset investoivat pääasiassa tietojärjestelmiinja niiden kehittämiseen – eivät ihmisten kouluttamiseen, eivätkä varsinkaantietoturvakoulutukseen. Tämäkin johtuu pitkälti siitä, että ajatellaan tietoturvallisuudenolevan ainoastaan tietotekniikkaa hallitsevien erityisasiantuntijoiden ongelma,ei käyttäjien eikä yritysjohdon.

4Työntekijänkosto9 %Fyysisetongelmat20 %Virukset4 %Ulkoinenhakkerointi2 %Sisäinenhakkerointi10 %Ihmistentekemätvirheet55 %Tietojärjestelmiin kohdistuneet riskit (Lähde: Computer Security Institute)Tietoturvallisuustietoisuus työryhmän keskeisenä tavoitteena on parantaa tietoturvatietoisuuttasekä myötävaikuttaa siihen, että suomalaiset pk-yritykset ottavat käyttöönsoveltuvia tietoturvaa lisääviä toimenpiteitä. Työryhmän työllä on keskeinen liityntäyleisen tietoturvatietoisuuden hyväksi tehtävässä työssä ja strategiatyöryhmien toimintaan.Työryhmän työn lähtökohtana on ollut kansallisessa tietoturvallisuuskatsauksessa tunnistettutarve lisätä yritysten tietoturvatietoisuutta.Kansallisen tietoturvallisuusstrategiatyöryhmän tunnistamia vahvoja aktiviteetteja(pallot) ja tarpeita tietoturvatyölle (kolmiot) (Lähde: Kansalliseen tietoturvastrategiaanliittyvä tietoturvakatsaus 2002)Tietoturvatietoisuuden kehittäminen ja parantaminen on yrityksissä jatkuva prosessi,jonka lähtökohtana on johdon ja henkilöstön tietoisuus asian tärkeydestä. Tiedosta-

malla asian tärkeys motivoidaan henkilöstö toimimaan tavoitteen mukaisesti. Seuraavassavaiheessa tietoturvallisen toimintatavan omaksumisessa ovat perehdyttäminen jakoulutus, jossa keskeisten tietoturvatoimenpiteiden tulisi toteutua samantasoisina jaoikein. Kolmantena vaiheena prosessia on opetus ja kasvatus, jonka myötä tietoturvaasiantuntijatosaavat ennakoida tietoturvallisuuden ongelmien kehitystä ja laatia vastatoimia.Työryhmän tavoitteena on löytää toimivia ratkaisuja yritysten tietoturvatietoisuudenparantamiseksi sekä antaa suosituksia yrityksille sekä pk-yritysten toimintaa kehittävilleorganisaatioille. Työryhmä on paneutunut tietoturvallisuuden nykytilan analysointiin,tietoturvan merkitykseen yritystoiminnassa sekä tietoturvatietoisuutta edistävientoimijoiden toimintaan.. Nykytila-analyysin pohjalta tehtyjen johtopäätöstenperustella on laadittu suositus pk-yritysen tietoturvallisuusohjelmasta, jonka avulla pkyrityksetvoivat järjestelmällisesti toteuttaa henkilöstön tietoturvallisuusohjelman.Käytännön ratkaisut (mm. tietoturvatietoisuusohjelmat, -hankkeet ja toimenpiteet) sekäsuositukset tulee saattaa mahdollisimman tehokkaasti osaksi käytännön toimintaa.Luottamuksen lisäämiseksi sekä asiallisen tiedon antamiseksi ovat kauppa- ja teollisuusministeriö,TE-keskukset ja liikenne- ja viestintäministeriö järjestämässä vuosina2005 – 2006 pk-yrityksille tarkoitetun 10 tietoturvatilaisuutta sisältävän seminaarikiertueen.Tilaisuudet toteutetaan eri puolella Suomea TE-keskuspaikkakunnilla. Mukanayhteistyössä seminaarikiertueella ovat lisäksi Viestintävirasto, PKT-säätiö ja paikallisestivalittavat yhteistyökumppanit.5

62. TIETOTURVATIETOISUUDEN NYKYTILA PK-YRITYKSISSÄ2.1. Vähän tutkimustietoa tarjollaYritysten tietoturvatietoisuuden tai tietoturvallisten toimintatapojen tasosta ei ole tällähetkellä saatavissa täsmällistä ja tuoretta tietoa. Tietoturvatietoisuuden inhimillisenpuolen ts. ihmisten motivoitumisen ja osaamisen kehittymistä kuvaavia mittareita eiole määritetty. Näin ollen tällaista tietoa ei ole kerätty, saatikka seurattu.Useat eri selvitykset antavat kuitenkin viitteitä siitä, että yrityksillä – erityisesti pkyrityksillä– on puutteita tietoturvatietämyksessä ja osaamisessa. Suomen Yrittäjienhuhtikuussa 2004 tekemän nettikyselyn mukaan jopa 60 % netissä kyselyyn vastanneistayrityksistä myönsi tietotekniikan täysimittaisen hyödyntämisen liiketoiminnantukena kompastuvan osaamisvajeeseen. Samaisen kyselyn mukaan yritysten tietoturvaon hoidettu vaihtelevasti. Tietoturvasuunnitelman oli tehnyt 60 %: yrityksistä. Tietoturvallisuudenteknisiä järjestelmiä käytettiin laajalti - virustorjuntaohjelma oli 95%:lla yrityksistä ja palomuuri jopa kahdella kolmasosalla yrityksistä.Usein sanotaan, että tietoturvallisuus kokonaisuutena on yhtä vahva tai heikko kuin”tietoturvallisuusketjun” heikoin lenkki. Tämä heikoin kohta, jossa tietoturvallisuushelpoimmin on murrettavissa, löytyy monesti inhimillisestä tekijästä. Esimerkkinä tästänostettakoon esille Digitodayn marraskuussa 2003 tekemä testi, jossa houkuteltiin18 yrityksessä tai kunnassa työskentelevää henkilöä antamaan salasanansa ja tunnuksensavieraalle henkilölle. Kaikki henkilöt, joihin testissä otettiin yhteyttä, luovuttivatomat tai työnantajansa salaiset tunnukset puhelimessa tai sähköpostissa. Lisäksi luovutetutsalasanat olivat tietoturvallisuuden periaatteiden vastaisesti helposti arvattavia.Luottamus on tietoyhteiskunnan kehittymisen keskeinen edellytys. Luottamus tai senpuute, heijastuu yritysten sähköisen liiketoiminnan hyödyntämisessä. Helsingin kauppakamariteki keväällä 2003 pääkaupunkiseudun pk-yrityksille selvityksen (Selvityspk-yritysten tietotekniikan ja sähköisen liiketoiminnan tarpeista), jonka mukaan yrityksetkokivat tietoturvakysymykset toiseksi merkittävämpänä esteenä sähköisen liiketoiminnanhyödyntämisessä. Verrattuna vuonna 2001 tehtyyn vastaavaan selvitykseen,on tietoturvakysymysten merkitys sähköisen liiketoiminnan esteenä vielä jopahieman merkittävämpi kuin kaksi vuotta sitten.Viimeaikaiset ongelmat esimerkiksi liittyen yleisesti käytössä olevan selaimen tietoturva-aukkoihinsekä siihen liittynyt sekavahko tiedottaminen eivät ole omiaan lisäämäänyritysten luottamusta tietotekniikkaan ja sen käyttöön.2.2. Tietoturvallisuuden taso vaihtelevaLuonnollisesti yritysten tietoturvallisuuden taso ja toteutus vaihtelevat suuresti toimialoittainja yrityksittäin. Toimialoilla, joilla turvallisuusvelvoitteet ovat lakisääteisiätai turvallisuusstandardien noudattaminen on liiketoiminnan välttämätön edellytys,turvallisuusmenettelyt ja –järjestelmät ovat usein hyvällä tasolla. Tämän tason toteutumistamyös tarkastetaan säännöllisesti, jotta kerran hyvin toimineet järjestelyt eivät

pääse rapautumaan. Toimiakseen luotettavasti tällainen tiukasi ohjattu ja auditoitu tietoturvallisuusedellyttää, että henkilöstön tietoturvatietoisuuteen kiinnitetään huomiota.Aloilla ja yrityksissä, joilla turvallisuusmenettelyt perustuvat pääosin yritystenomaehtoiseen toimintaan, turvallisuustaso on usein vaihteleva.Monet pienet yritykset toimivat nykyään suurempien yritysten alihankkijoina tai ovatmuutoin osa useamman yrityksen muodostamaa palvelukokonaisuutta. Tällaisessaverkostoituneessa toimintamallissa kokonaisuuden merkittävimmän yrityksen tietoturvavaatimuksetmäärittävät kaikkien toimintaketjun yritysten tietoturvallisuuden tason.Usein tämä ”veturiyritys” myös tarkastaa muiden toimijoiden turvallisuusmenettelyt.Tämä ohjaa kokonaisuuden kaikkia yrityksiä täyttämään ainakin tietoturvallisuudenvähimmäisvaatimustason.Myös lainsäädäntö (esim. RL 30:4-6), viranomaisten ohjeet sekä mahdolliset sopimuksetsekä alakohtaiset vaatimukset edellyttävät, että yrityksen henkilöstö on tietoinenyrityksen tietoturvavastuista ja nämä vastuut käytännössä toteuttavista menettelytavoista.Säädöksiä ei pk-yrityksissä kuitenkaan välttämättä tunneta riittävästi.72.3. Monissa suurissa yrityksissä tilanne hyväSuurimmille, maailman johtaville yrityksille on tietoturvatietoisuus ollut osana yritysjohdonperehdyttämistä ja koulutusta jo pitkään. Niissä yrityksissä, joissa tietoturvallisuuson nostettu osaksi strategista suunnittelua ja tavoitteiden asettamista, on tietoturvatietoisuussaanut konkreettista sisältöä.Tietoturvatietoisuuden ylläpitäminen on edelläkävijäyrityksissä on toteutettu siten, ettätietoturvallisuudesta on viestitty eri tavoin yrityksen eri henkilöstöryhmille. Näkökulmatietoturvallisuuteen on hyvin erilainen tietojärjestelmien ja tietoturvallisuudenasiantuntijoille kuin muulle henkilöstölle, ml. yrityksen johto. Edelläkävijäyrityksissäon myös määritetty tietoturvallisuuspolitiikka, -menettelyt ja –ohjeistus. Näiden lisäksivastuunjako tietoturvallisuuteen liittyvissä asioissa on selkeä.Yrityksen johto myös seuraa säännönmukaisesti tietoturvallisuuden edistymistä. Edistyksellisimmissäyrityksissä tietoturvallisuudelle on yhteisesti sovittu mittareista, joillatietoisuuden ja toteutuksen tasoa ja kehitystä voidaan helpommin arvioida. Tällaisissayrityksissä voi olla lisäksi sisällytetty liiketoimintaa ohjaaviin periaatteisiin myös”hyvä tietohallinto/turvallisuustapa” läpinäkyvyyttä ja uskottavuutta parantamaan.(Tällainen toiminta vastaa Corporate Governance – ajattelussa ITC- tai ITSEC-Governancea eli sitoutumista toimimaan näissä asioissa ennalta arvattavalla tavalla).Johdon julkisen sitoutumisen merkittävä etuna on, että se edellyttää yrityksen henkilöstönperehdyttämistä ja kouluttamista toimimaan odotetulla tavalla esimerkiksi laatuasioidenyhteydessä. Tietoturvallisuustietoisuuden liittäminen kiinteäksi osaksi yrityksentoiminnan ohjausta vaikuttaa pysyvästi toimintakulttuuriin, koska tällöin tietoturvallisuuson mittauksen, kehityksen ja jatkuvan parantamisen kohteena. Tällainenkonsepti sopii hyvin yrityksiin, joissa on käytössä laatustandardi/-deja.

82.4. Tietoturvatietoisuuden asenteellisia esteitäTietoturvatietoisuuden ja tietoturvallisuuden kehittäminen kohtaa edelleenkin monenlaisiayritysten toimintakulttuurista johtuvia esteitä. Tietoturvallisuutta ei nähdä liiketoimintaanolennaisesta liittyvänä laatutekijänä, vaan se mielletään liian helposti vaintietotekniikka-asiantuntijoiden hoitamaksi tekniikaksi muiden tekniikoiden joukossa.Näin ollen tietoturvallisuus ei ole riittävässä määrin yrityksen johdon kiinnostuksenkohteena.Julkisessa keskustelussa huomio kiinnittyy usein yksipuolisesti vain erityiskysymyksiinkuten virustorjuntaan tai palomuureihin, mistä huolehtimalla koko tietoturvallisuudenuskotaan olevan hallinnassa. Tällöin kokonaisuuden hallinta, ml. tärkeä inhimillisentoiminnan osuus, jää vaille ansaitsemaansa huomiota. Lisäksi tietoturvallisuudennäkeminen erityiskysymyksenä voi korostaa turvallisuuskulttuurissa eitoivottujailmiöitä. Asiantuntijat ovat usein haluttomia jakamaan hallussaan olevaa tietämystähenkilöille, joiden pitäisi osana päivittäistä toimintaa huolehtia tietoturvallisuudesta.Tietoturvallisuuteen on kehitetty paljon erilaisia normeja – lait, standardit, yritystenväliset sopimukset yms. Vastausta kaikkiin keskeisiin kysymyksiin ei kuitenkaan löydyvalmiiksi määritellyistä normeista, kuten usein ajatellaan. Monet tilanteet joudutaanratkaisemaan erilaisten eettisten valintojen pohjalta. Yrityksen eettisten toimintaperiaatteidenpuute voi aiheuttaa kiperiä tilanteita tietoturvallisuuden ongelmatilanteidenratkaisemisessa.2.5. Haasteena pk-yrityksetPienissä yrityksissä, jotka eivät osallistu yritysten välisiin tietoverkkoihin tai muutoinovat jääneet tietoturvallisuusohjauksen ulkopuolelle, ei ole yrityksen ulkopuolelta tulevaapainetta tietoturvatietoisuuden kehittämiseen. Kehittämisen edellytys on tällöin,että yrityksen johto näkee tietoturvallisuuden merkityksen yrityksen toimintavarmuudenparantamisessa. Ensimmäinen kysymys, johon on tarpeen löytää vastaus, onkin”miten kehittää tietoturvallisuutta siellä, missä sitä ei tiedetä tarvittavan?”Suurille yrityksille kehitetyt johtamis- ja laatumallit sekä tietoturvallisuuden hallintajärjestelmätkoetaan sellaisenaan usein liian raskaiksi pienille yrityksille. Haasteena ontällöin hyvien, systemaattisten menetelmien skaalautuvuus pk-yritysten tarpeisiin siten,ettei niiden soveltaminen vaadi raskasta byrokratiaa. Tämä edellyttää sitä, että tietoturvallisuudenkeskeiset yritykselle tärkeät tavoitteet on selkeästi määritelty.Pk-yrityksissä ongelmallista voi olla asioista tiedottaminen yleensä, mukaan lukientietoturvallisuuskysymykset. Usein saatetaan olettaa, että asiat hoituvat itsestään, pienessäporukassa ei tarvita erityisiä viestintäjärjestelyjä. Tällainen ”luonnollinen” tiedonkulkutoimii kuitenkin vain hyvin pienissä ryhmissä. Jo pienehkössä yrityksessäosa henkilöstöstä voi jäädä vaille olennaista tietoa, jollei viestintään ole olemassa systemaattistamenettelyä. Yksisuuntainen tietoturvaviestintä ei ole riittävää, vaan voi ollapassivoivaa ja tukea ”muut hoitavat tietoturva-asiat” -asennetta. Osallistumalla itse

aktiivisesti tavoitteiden määrittelyyn ja keskusteluun hyvät tietoturvalliset menettelytjuurtuvat osaksi päivittäistä toimintaa.9

103. TIETOTURVAN MERKITYS YRITYSTOIMINNALLETietoturvallisuuden sisältö on yleisesti käytetyn määritelmän mukaan laaja: sillä tarkoitetaaneri muodossa olevien tietojen ja palvelujen, järjestelmien ja tietoliikenteensuojaamista niihin kohdistuvien riskien hallitsemiseksi soveltuvilla toimenpiteillä. Itseasiassa tietoturvallisuus on laajempi käsite kuin vain tieto- ja viestintäteknologioidentekninen turvallisuus.3.1. Tieto on tärkeä tuotantoresurssiTietoturvallisuuden katsotaan toteutuvan, kun voidaan varmistaa tietojen luottamuksellisuus,eheys ja käytettävyys. Tietojen ja järjestelmien eheys, käytettävyys ja luottamuksellisuusvaikuttavat yrityksen tuottavuuteen ja näin ollen myös kilpailukykyyn.Osaltaan ne vaikuttavat yritysten välisen ja koko tietoyhteiskunnan luottamuksen edistymiseen.Tietoturvallisuuden kehittämisellä saavutettavat hyödyt (lähde: kansallinen tietoturvakatsaus2002)Nykyisellään tietoturvallisuudessa on eniten kiinnitetty huomiota luottamukselliseen.On selvää, että luottamuksen säilyttämiseksi on yrityksissä kiinnitettävä huomiota mitenyritykselle tärkeitä tietoja säilytetään ja toisaalta miten niitä jaetaan. Yrityksissäkäsitellään ja tuotetaan liiketoimintaan liittyvää tietoa, mm. tuote- ja asiakastietoja sekäliiketoiminnan tulevaisuutta koskevia tietoja, mm. tuotekehitystietoja. Liiketoiminnalletärkeiden tietojen luvaton kopiointi tai hyödyntäminen ilman niistä maksettuakorvausta aiheuttaa menetyksiä tiedot luoneelle yritykselle. Yritystietojen vuotaminenvastikkeetta vähentää yrityksen aineetonta varallisuutta. Esimerkiksi menetetyt tilauksettai kilpailijan nopeat tuotejulkistukset, voivat olla tietovuotojen seurauksia. Epäselvättiedon käsittelytavat saattavat aiheuttaa sopimusrikkomuksia tai lakien vastaistatoimintaa.Yrityksissä käsitellään myös nykyisten, entisten ja tulevien työntekijöiden henkilötietoja.Lisäksi hyvä tietojen käsittelytapa edellyttää sähköisen viestintään liittyvien tie-

tavia ovat valmisohjelmistojen virheisiin ja puutteellisuuksiin liittyvät riskit, jotkamahdollistavat tietojärjestelmiin murtautumisen tai järjestelmien toiminnan häirinnän.Havaittuihin tietoriskeihin varautumisessa on arvioitava toisaalta mihin uhat kohdistuvat,keitä ovat uhkaajat, mitä riskeihin varautuminen ja torjunta maksavat tai mitämaksaa vahingon korjaaminen. Luonnollisesti varautumiseen vaikuttaa myös se mitentodennäköistä on riskin realisoituminen. Suojauskeinot voidaan luokitella yrityksen sisällänoudatettaviin toimintatapoihin, käytettäviin tietoteknisiin ratkaisuihin, fyysisentyöympäristön suojausratkaisuihin sekä asiakkaitten ja muiden sidosryhmien välisessäyhteistyössä noudatettaviin toimintatapoihin.Pk-yrityksissä tietoriskitietoisuudessa ja -hallinnassa on kehittämistä. Helsingin kauppakamarinyritysturvallisuus –tutkimuksen (10.8.2004) mukaan kysyttäessä henkilöstönriskitietoisuuden ja –valmiuksien kehittämistä vastaajista noin 30 %:ilmoitti, ettäyrityksessä on annettu esimiehille ja henkilöstölle koulutusta ja n. 50 %:lla ei ole ollutlainkaan koulutusta. Tietoturvatietoisuuden tarvetta kuvaavat myös pk-yritysten tulevaisuudenpainopisteet, jotka olivat tietojärjestelmien ja –verkon tietoturvallisuudenkehittäminen, riskien kartoitus ja tietoaineistojen suojaaminen (Helsingin kauppakamarinYritysturvallisuus –tutkimus, 10.8.2004).12

Suomen Yrittäjien huhtikuussa 2004 tekemän nettikyselyn mukaan jopa 60 % netissäkyselyyn vastanneista yrityksistä myönsi tietotekniikan täysimittaisen hyödyntämisenliiketoiminnan tukena kompastuvan osaamisvajeeseen.144.1. Toimijoita ja toimenpiteitäTietoturvallisuutta edistävät toimijoita ja toimenpiteitä voidaan luokitella monin tavoin.Tässä raportissa jaottelun pohjana on käytetty jaettavan informaation kohderyhmääja vaikeusastetta. Toimijat ovat jaettu kolmeen ryhmään: perustietoa, asiantuntijatietoaja kehittäjätietoa antaviin tahoihin. Useat näistä esimerkkinä mainittavista organisaatiostajakavat informaatiota monentasoisille tietoturvan käyttäjille. Tässä toimijaton jaottelu yllä mainittuihin kolmeen ryhmään.a) Perustietoa tietoturvallisuudestaTässä listassa on esitetty tahot, jotka antavat tietoturvasta perustietoutta. Perustietotasoon taso, jonka jokaisen käyttäjän tulisi hallita. Lisäksi nämä tahot jakavat perustietouttatietoturvan järjestämisestä ja merkityksistä yritystoiminnalle. Useat tahot jakavatmateriaalia sekä painetussa että digitaalisessa muodossa.Tarjoaja Palvelu www-osoiteElinkeinoelämän Yleisluonteinen tietoturvaopashttp://www.ytnk.fikeskusliittopk-yrityksille: la-eista, yritysten tietoaineistonsuojaamisesta, myöstekniikkaa.TIEKE Lyhyt opas tietoturvan http://www.tieke.fi/tietoturvaopas/perusasioista. Keskittynytenemmän tekniikkaan.Kansalliset tietoturvatalkootPerustietoa tietoturvasta, http://www.tietoturvaopas.fi/yleisesti kansalaisille.Edu.fi Perustietopaketti ruotsiksi http://www.x-sajting.net/datorskydd/Asiointiopas Perustietopaketti suomeksi http://www.asiointiopas.fi/asiointiopSuomen Yrittäjätja ruotsiksi"Kymmenen kysymystäyrityksesi tietoturvasta"as/suomi/etusivu/http://www.yrittajat.fi/sy/home.nsf/pages/3F4A9E5E6C6663B6C2256E350050FF9Fb) Asiantuntijatietoa tietoturvallisuudestaAsiantuntijataholla tarkoitetaan yrityksissä ja organisaatioissa työskenteleviä henkilöitä,joiden asemansa tai tehtäviensä takia pitäisi hallita tietoturvan perusasioiden lisäksitietoturvan tekniikoiden ja sovellusten käytännön soveltaminen. Alla olevaan listaanon julkisten toimijoiden lisäksi lisätty jaottelukriteereistä poiketen Microsoft. Perusteenaon yrityksen tuotteiden merkittävä asema markkinoilla.Tarjoaja Palvelu www-osoiteMicrosoft Ohjelmistopäivityksiä, http://www.microsoft.com/finland/sohjeitaecurity/

Tietoturva ry Linkkejä, yhteistyötä http://www.tietoturva.fi/Funet CERT Neuvonta- ja koordinointipalveluhttp://www.csc.fi/suomi/funet/cert/index.html.fiPk-yritysten Riskien hallinta ja neuvontaahttp://www.pk-rh.com/riskien hallintaTietosuojaviranomaisevusto.Tietosuojavaltuutetun si-http://www.tietosuoja.fi/Valtionhallinnontietoturvallisuudenjohtoryhmä(VAHTI)Suosituksia ja valtionhallinnontietoturvallisuudenohjaaminen ja kehittäminenhttp://www.vm.fi/vm/liston/page.lsp?r=2685&l=fi/ViestintävirastoYleistietoa tietoturvasta jatorjuntatoimistac) Kehittäjätietoa tietoturvallisuudestahttp://www.ficora.fi/suomi/tietoturva/index.htmKehittäjillä tarkoitetaan henkilöitä, joiden vastuulla on tietoturva-asioiden ohjelmistoja toiminnallinen kehittäminen. Tällaisten henkilöiden pitää olla jatkuvasti tietoisiatietoturva-alan kehityksen tapahtumista ja suuntaviivoista. Alla olevasta listasta löytyyniitä tahoja, jotka jakavat tämän tasoista tietoutta.15Tarjoaja Palvelu www-osoiteTietoturva ry Linkkejä, yhteistyötä http://www.tietoturva.fi/Funet CERT Neuvonta- ja koordinointipalveluhttp://www.csc.fi/suomi/funet/cert/index.html.fiTietojärjestelmienYhdistys kehittää ja edistäähttp://www.isaca.fi/tarkastus javalvonta ry tietojärjestelmätarkas-tusta, tietoturvallisuuttaja hyvää tietojärjestelmienrakentamis- ja tietojenkäsittelytapaa.Huoltovarmuus-Opas tietoturvasta http://www.nesa.fi/etusivu.htmlkeskusValtionhallinnontietoturvallisuudenjohtoryhmä(VAHTI)ViestintävirastoTampereen yliopistonvirustutkimusyksikköTietoturvakonsortioSuosituksia ja valtionhallinnontietoturvallisuudenohjaaminen ja kehittäminenTietoa tietoturvasta, torjuntatoimistaja tietoliikennestandardoinnistaTietoja viruksistaTietoturvallisuuden parantaminen,tietoturvallisuudentutkimuksen ja opetuksenlaadun parantaminensekätietoturvallisuuden yhteistyöverkostonmuodostaminenhttp://www.vm.fi/vm/liston/page.lsp?r=2685&l=fi/http://www.ficora.fi/suomi/tietoturva/index.htmhttp://www.uta.fi/laitokset/virus/index-sf.htmlhttp://www.cs.uta.fi/fisc/

YliopistojentietoturvaPetterin JärvisentietoturvalinkitYleissivusto yliopistojenkeskitetylle tietoturvasivustolleSisältää mm. erilaisia työkalujatietoturvasta huolehtimiseen.Linkkejä ohjelmistoihin,virustietokantoihin, alankehitysorganisaatioihin jayrityksiin.http://www.yliopistojentt.fi16http://www.pjoy.fi/kirjat/tietoturva/turvalinkit.htm

175. PK-YRITYKSEN TIETOTURVALLISUUSOHJELMAHuolimatta siitä, että tietoturvatietoisuutta on käsitelty paljon kirjallisuudessa, on siitävähän järjestelmällisesti analysoitua tutkimustietoa. Useiden selvitysten mukaan voidaantodeta, että pienet ja keskisuuret yritykset eivät ole järjestelmällisesti lisänneethenkilökuntansa tietoturvatietoisuutta. Näin siitäkin huolimatta, että niiden toiminnanverkottuneisuus ja riippuvuus tietojärjestelmistä ja –verkoista on lisännyt asian tärkeyttäTietoturvatietoisuudesta keskustellaan vilkkaasti, mutta käytännön toimenpiteet ovatjääneet vähäisiksi. Tietojärjestelmien käyttäjien keskeistä roolia tietoturvan toteuttajinaei ole ymmärretty. Käsitys siitä, että tietoturvallisuus on hoidettavissa tekniikalla,laitteilla ja sovelluksilla, on syvälle juurtunut. Yritysten liiketoiminnan edellyttämätietoturvallisuuden taso vaatii niitä käyttäviltä ihmisiltä tietoisuutta heidän oman toimintansavaikutuksesta tietoturvallisuuteen. Tietoturvatietoisuutta lisäämällä kyetäänvaikuttamaan ihmisten asenteisiin ja käyttäytymiseen, jolloin parhaimmillaan päästääntietoturvallisempaan tapaan toimia. Tietoturvallinen toimintatapa konkretisoituu parantuneenatietoturvaohjeiden noudattamisena.Käyttäjien keskeisestä roolista tiedon käsittelyssä ja säilyttämisessä huolimatta (mm.Computer Security Instituten selvitys) kohdistuvat yritysten tietoturvainvestoinnitpääasiassa tietojärjestelmiin ja niiden kehittämiseen – eivät ihmisten kouluttamiseen.Tämä johtunee siitä, että tietoturvallisuus mielletään tietotekniikasta vastaavien tahojenasiaksi.Käyttäjien rooli tietoturvan toteuttamisessa on kuitenkin keskeinen. Tämän raportintavoitteena on esittää järjestelmällinen tapa toteuttaa yritysten henkilöstön tietoturvatietoisuusohjelmasekä tarjota käytännön ohjeita ja menettelytapoja.5.1. Malli tietoturvatietoisuusohjelmasta: koulutukseen perustuva pkyrityksentietoturvallisuusohjelmaKirjallisuudessa tietoturvatietoisuutta lähestytään lähinnä koulutuksen näkökulmasta.Koulutus on eniten käytetty tapa vaikuttaa ihmisten tietoisuuden tasoon, tietoihin, taitoihin,asenteisiin ja toimintaan. Tämän vuoksi tässä raportissa keskitytään koulutukseentietoisuuden nostamisen keinona. Koulutus kattaa kaikki ne keinot, jotka ovatkäytettävissä pyrittäessä oppimisen kautta muokkaamaan työntekijöiden tietoturvakäyttäytymistä.Näitä keinoja ovat esim. luennot, keskustelut (pienemmissä tai suuremmissaryhmissä), esimiesten näyttämä esimerkki sekä tietokoneavusteisesti tapahtuvaopetus.Tietoturvallisuuskoulutuksen järjestäminen henkilöstölle on investointi, jonka vaikuttavuutta(l. kannattavuutta) tulee mitata ja seurata. Tämä jää usein tekemättä, eikä tällöintiedetä oliko koulutuksella vaikutusta. Koulutus, joka ei tuota oppimista, on investointinakannattamaton. Tietoturvatietoisuuden kyseessä on oppimisen tavoitteenaparantaa tietoturvallista tapaa toimia. Tietoturvallisuutta ei voida merkittävästi parantaamuuttamalla vain muutamien yksittäisten henkilöiden käyttäytymistä. Muutoksen

on ulotuttava koko organisaatioon. Kyseessä on yksilötason ja koko organisaation oppimisprosessi.Työntekijät eivät aina tiedä, miten suorittaa työtehtävät tietoturvallisesti. Siksi organisaatioissatarvitaan tietoturvapolitiikka ja –ohjeet. Tietoturvapolitiikan tulee antaayleiset suuntaviivat yrityksen tietoturvalle ja siinä esitellään yleisellä tasolla kuinkatiedon turvaaminen yrityksessä tehdään. Tietoturvapolitiikassa voidaan määrittää esimerkiksitietoturvan organisointi, työntekijöiden tietoturvavastuut, ohjeet (mm. tietojenluokitteluun, verkkovalvontaan, uusien työntekijöiden taustojen selvittämiseenjne), tietoturvakoulutus sekä tietoturvan auditointi.Tietoturvaohjeissa määritellään tietoturva tarkemmin ja osa-alueittain. Parhaimmillaanyrityksen tietoturvaohjeet on sulautettu osaksi muuta työn ohjeistusta. Ohjeiden tuleekattaa työntekijöiden jokapäiväisiin työtehtäviin liittyvät tietoturva-asiat. Liian raskastaja turhaa ohjeistusta on syytä välttää ja ohjeet tulee jakaa vain niille henkilöille, jotkaniitä tarvitsevat.Yrityksen tietoturvatietoisuusohjelma tavoitteena on, että yrityksen henkilöstö sisäistäälaaditut ohjeet ja noudattaa niitä. Oppimisprosessin käynnistymisen edellytyksenäon, että työntekijät motivoituvat l. kiinnostavat tietoturvallisuudesta. Ohjelman tuloksenatulee työntekijöiden ymmärtää vastuunsa tietojen suojaamisessa. Työntekijän tuleekyetä tunnistamaan käsittelemänsä kriittiset tiedot sekä keinot, joita heillä on käytettävissääntietojen suojaamiseksi. Tunnistettuja keinoja (l. kontrolleja) tulee myöskyetä käyttämään.Koulutukseen perustuvan tietoisuusohjelman tehokkuutta edesauttaa systemaattinensuunnittelu sekä koulutuksen sopeuttaminen yrityksen tarpeisiin ja käytettävissä oleviinresursseihin. Suunnittelussa tulee huomioida työntekijöiden erilaiset tehtävänkuvat,tiedolliset ja taidolliset lähtötasot, yrityksen liiketoiminnan edellyttämät tietoturvatarpeetsekä koulutukseen käytettävissä olevat resurssit (mm. kouluttajat, opetusvälineet,paikka ja aika). Koska tietoturvallisuusohjelman tavoitteena on työntekijöidenmotivointi tietoturvallisuuteen ja tietoturvaohjeiden pysyvään noudattamiseen, onkoulutuksen motivoitava työntekijät itse aktiivisesti prosessoimaan koulutuksessaomaksuttua tietoa. Vain aktiivinen ajattelu ja osallistuminen tuottaa pysyviä asennemuutoksia.Tiedon passiivinen vastaanotto ei riitä. Tästä syystä tietoisuusohjelmankoulutusmenetelmät tulee valita huolella, jotta saadaan näkyvä muutos työntekijöidentieto toimintaan.185.2. Ohjelman rakenneTietoisuusohjelman ensimmäinen vaiheen (I) tavoitteena on johdon motivoituminen jasitoutuminen ohjelmaan. Johdon on ymmärrettävä tietoturvallisuuden merkitys yrityksenliiketoiminnalle ja taattava riittävät resurssit ohjelman toteuttamiseksi (mm. työaikaaja rahaa). Johdolla on tärkeä rooli myös mielipidevaikuttajana ja esimerkin näyttäjänä.Pelkkä tietoturvallisuudesta puhuminen ei riitä. Johdon on näytettävä esimerkkiäomalla toiminnallaan ja luotava tietoturvallisuudelle myönteinen ilmapiiri palkitsemallaja kiittämällä, mutta tarvittaessa myös kritisoimalla henkilökunnan tietoturvakäyttäytymistä.

Toisen vaiheen (II) aikana tarkistetaan, että organisaation tietoturvaohjeistus on ajantasalla ja korjataan mahdolliset puutteet. Ilman asianmukaista ja ajantasaista ohjeistustatietoturvatietoisuusohjelmalla ei ole onnistumisen edellytyksiä. Ihmisten käyttäytymiselleon kyettävä asettamaan selkeät tavoitteet. Ohjeistus on yrityskohtaista, useinjopa ryhmä- tai tehtäväkohtaista. Tietoturvaohjeistus voi kohdistua esimerkiksi seuraaviinaiheisiin:− tietojen luokitteluohjeet− sähköpostin käyttö: hyväksytty ja luvaton käyttö, liitetiedostojen käsittely, luokitelluntiedon käsittely, roskapostin tunnistaminen− fyysinen turvallisuus: avainten säilyttäminen, ovien lukitseminen, turvajärjestelmienkäyttö− salasanapolitiikka: luonti, säilyttäminen− tiedon tuhoaminen− lähiverkon ja internetin käyttö: sallitut ja kielletyt toimenpiteet, käytön valvonta.Kolmannessa vaiheessa (III) selvitetään työntekijöiden tietoturvatietoisuuden taso.Tämä voidaan tehdä seuraamalla heidän toimintatapojaan tai kartoittamalla kirjallisinkyselyin tai haastatteluin. Tietoturvallisuuden tason selvityksen yhteydessä on tärkeääpaneutua syihin, jotka estävät työntekijöiden tietoturvallisen käyttäytymisen. Useinnäitä syitä ovat mm. ohjeiden puute, vaikeasti löydettävät tai epäkäytännölliset ohjeet,ohjeiden noudattamattomuus yrityksen vallitsevana toimintatapana, ihmisten ymmärtämättömyysmahdollisista seurauksista, tiedolliset ja taidolliset puutteet, työkiireet jaristiriitaiset tulostavoitteet.Neljännessä vaiheessa (IV) tunnistetaan koulutusohjelman erilaiset kohderyhmät.Koulutuksen tarve määräytyy työtehtävän mukaan. Tietoturvatietoisuudenohjelmalleon löydettävissä ainakin kolme kohderyhmää: (1) johto ja esimiehet, (2) tietotekniikastaja tietoturvallisuuden teknisestä toteutuksesta vastaavat henkilöt ja (3) muuttyöntekijät. Useimmat työntekijöistä eivät tarvitse kovin laajaa koulutusta. Tehokkaintaon paneutua kunkin työntekijän kannalta olennaisiin asioihin. Ohjelman onnistunutläpivienti saattaa vaatia kohdeyleisön segmentointia myös muilla kriteereillä kutenheidän aiempi tietoturvallisuustietoisuutensa ja -tietämyksensä sekä tietojen ja tietojärjestelmienkäyttöoikeutensa.Viidennessä vaiheessa (V) toteutetaan koulutusohjelma. Kullekin tunnistetulle kohderyhmällesuunnitellaan ja toteutetaan sen tarpeita vastaava koulutus alla esitetyn nelivaiheisenprosessin mukaisesti:19

20Vaihe a:Tietoturva-ohjelmantavoitteetVaihe b:Kohderyhmäntiedot ja taidotKoulutuksentavoite ja sisältöVaihe c:Suunnittelu jatoteutusVaihe d:Tulosten arviointiKuvio 1. Koulutuksen neljä vaihetta.Koulutuksen suunnittelussa ja toteutuksessa tulee kussakin vaiheessa (a –d) kiinnittäähuomiota seuraaviin asioihin:Jokaiselle koulutustilaisuudelle määritellään erikseen tavoitteet: mitä osallistujien tulisikunkin koulutustilaisuuden jälkeen osata ja miten sen tulisi näkyä heidän tietoturvakäyttäytymisessään.Samalla mietitään mitä tietoja ja taitoja kyseiset käyttäytymismallitvaativat.Analysoidaan kyseisen kohderyhmän tietämys ja taidot koulutuksen aihealueesta.Analyysiin vaadittavat tiedot on yleensä kerätty tietoisuusohjelman kolmannen vaiheen(III) aikana.Suunnitellaan ja toteutetaan koulutus. Osana suunnittelua sovitaan koulutuksen ajankodat,henkilöresurssit ja budjetti. Koulutuksessa tulee keskittyä vain niihin asioihin,jotka analyysissä paljastuivat kohderyhmän osalta puutteelliseksi. Pitkäaikaisten tulostensaavuttamiseksi tulee suunnittelussa kiinnittää huomiota myös sopivien koulutusmenetelmienvalintaan. Menetelmien on houkuteltava ja motivoitava kohderyhmän jäsenetaktiiviseen tiedon prosessointiin – ajatteluun. Tehokas motivoinnin keino ontehdä opetettavasta asiasta henkilökohtaisesti merkityksellistä. Esimerkkinä tällaisestamainittakoon tietoturvattomaan käyttäytymiseen liittyvien riskien sekä niiden mahdollistenikävien seurausten havainnollistamiseen. Koulutuksen suunnittelun aikana valitaanmyös toteutustavat (esim. luennot, harjoitukset ja niitä tuleva verkko-opetus taikirjallinen itseopiskelumateriaali), tuotetaan tarvittava materiaali ja valmistellaan koulutusympäristö.Lopuksi koulutus toteutetaan laaditun suunnitelman mukaisesti.Jokaisen koulutussession jälkeen mitataan sen tulokset. Mahdollisia mittareita ovatmm. vähentyneet tietoturvarikkomukset tai parantuneen tietoisuuden seurauksena lisääntynyttietoturvaongelmien raportointi. Mikäli halutaan mitata koulutustilaisuuksienvaikutusta vain kohderyhmän tietämyksen tasoon, voidaan pitäytyä kirjallisissa ja

suullisissa testeissä. Arvioinnin perusteella laaditaan kullekin kohderyhmälle tarvittaessauusi, parannettu koulutussuunnitelma.21YhteenvetoTyöntekijöiden merkitys tietoturvallisuuden toteuttajina on tärkeä. Parhaatkin teknisettietoturvakontrollit voidaan lähes aina kiertää käyttäjien toimesta. Tämän takia yritystenja muiden organisaatioiden tulee pyrkiä järjestelmällisesti kohottamaan työntekijöidensätietoturvatietoisuuden tasoa. Parhaimmillaan saavutetaan koko yrityksen kattavatietoisuus, joka näkyy tietoturvaohjeiden noudattamisena. Onnistumisen tärkeinedellytys on johdon tuki ja esimerkki sekä sen takaamat riittävät resurssit. Myös tietoturvapolitiikanja -ohjeistuksen tulee olla ajan tasalla.Koulutus on eniten käytetty tapa tietoisuuden nostattamiseen. Tehokas koulutus vaatiierilaisten kohderyhmien tunnistamista ja koulutuksen räätälöintiä kullekin ryhmällesopivaksi. Koulutuksen tarve vaihtelee mm. aiemman tietämyksen ja työtehtävienmukaan. Koulutuksen onnistuminen vaatii myös järjestelmällistä suunnittelua ja sopivienkoulutusmenetelmien valintaa. Menetelmien tulee houkutella ja motivoida oppijataktiiviseen omaehtoiseen ajatteluun tekemällä tietoturvallisuudesta henkilökohtaistaesimerkiksi riskien ja niiden seurausten tunnistamisen kautta.Koska koulutus on investointi, tulee sen tehokkuutta mitata. Niinpä jokaisen koulutustilaisuudenvaikuttavuutta tulee arvioida seuraamalla työntekijöiden tietoturvakäyttäytymisenmuutoksia ja mahdollisesti myös kirjallisin testein ja haastatteluin.