Miehet katsovat tietokoneen ruutua. Kaikilla on päällään huomiovaatteet, yhdellä miehellä on kädessään kännykkä, jolla hän osoittaa ruutua.

Mustankorkealla on tehty viime vuosien aikana rutkasti töitä tietoturvan eteen. Olemme uusineet it-infraa, kuten palvelin- ja verkkolaitteita, ja nyt haemme parannuksia tietoturvaan automaation avulla.

Mediassa on lähes viikoittain esillä tilanteita, joissa tietoturva on pettänyt ja ihmisten henkilötiedot ovat päätyneet vääriin käsiin. Tässä onkin yksi syy siihen, miksi tietoturvalla on niin merkittävä rooli yrityksen toiminnassa: sen avulla muun muassa henkilötiedot ja yrityksen arkaluontoiset asiat pysyvät turvassa.

Mustankorkealla keskeinen parannus tietoturvaan vuonna 2023 oli Microsoftin Intune-laitehallinnan käyttöönotto. Intunen perusajatus on se, että yrityksellä on näkymä kaikkiin laitteisiinsa ja niitä voidaan hallinnoida sekä päivittää IT-yksiköstä käsin. Näin esimerkiksi erilaiset päivitykset tulevat automaattisesti käyttäjien laitteille, eikä heidän tarvitse huolehtia niistä tai olla vastuussa tietoturvan vaarantumisesta, jos päivitys jääkin tekemättä. Intunen myötä myös yrityksen resursseihin, kuten erilaisiin tiedostoihin, pääsee käsiksi vain yrityksen laitteilla.

”Yksi suurimmista riskeistä tietoturvan kannalta on ihmisten oma toiminta. Automaatio auttaakin pienentämään inhimillisten virheiden mahdollisuutta.”

Jani Ranta, ICT-palvelupäällikkö
Mies katsoo hymyillen kameraan, taustalla näkyy Kivääritehdas

Automaatio auttaa vähentämään inhimillisiä virheitä

Tietoturvan vaarantuminen johtuu useimmiten inhimillisistä virheistä. Siksi henkilöstön kouluttaminen tietoturvaan liittyvissä asioissa on myös Mustankorkealla keskeisessä asemassa. Käytännössä jokainen Mustankorkean työntekijä toimii joidenkin järjestelmien ja laitteiden kanssa. Mustankorkealla pidetäänkin kerran kuussa henkilöstöpalaveri, jossa käsitellään myös tietoturva-asioita.

– Monet tietoturvaan liittyvät asiat ovat sellaisia, etteivät ne suoraan näy työntekijöille. Tuomme niitä esiin, kerromme, miten toimitaan ja muistuttelemme turvallisista toimintatavoista, Mustankorkean ICT-palvelupäällikkö Jani Ranta kertoo.

Ihmiset ovat valveilla ja varovaisia

Varsinaista tietoturvakoulutusta järjestetään tarpeen mukaan. Lisäksi erilaisista ohjeista ja toimintavoista tiedotetaan sähköpostitse.

– Meillä on siinä mielessä hyvä tilanne, että henkilöstömme helposti ilmoittaa, jos tulee jotain epäilyttävää, esimerkiksi outo sähköposti. Ihmiset ovat valveilla ja varovaisia, mikä on erittäin hyvä asia, Ranta toteaa.

Mustankorkealla inhimillisten virheiden mahdollisuutta pyritään pienentämään kouluttautumisen ja laitehallinnan lisäksi myös automaattisilla valvonta- ja ylläpitokeinoilla.

– Olemme esimerkiksi ottaneet MFA:n (vahvistettu tunnistautuminen ja kirjautuminen) käyttöön sekä omissa että ulkoisissa palveluissamme aina, kun se on mahdollista, Ranta kertoo.

Kuvassa näkyy etualalla näppäimistö, puhelin ja kuulokkeet. Taustalla näkyy epäselvästi nainen.
Tietoturva on ensiarvoisen tärkeää, kun käsitellään ihmisten henkilötietoja. ICT-asioihin on panostettu Mustankorkealla paljon.

Varaudumme NIS2-direktiiviin

NIS2-direktiivi on lokakuussa voimaantuleva, Euroopan Unionin yhteinen kyberturvallisuutta koskeva lainsäädäntö, joka velvoittaa kriittiseksi luokiteltuja toimialoja toimimaan tietyllä tavalla. Käytännössä direktiivi esimeriksi asettaa yrityksen johdolle aiempaa enemmän vastuuta tietoturva-asioissa ja velvoittaa ilmoittamaan mahdollisista vaaratilanteista viranomaisille. Olennaista on myös se, että NIS2:n vaatimukset koskevat koko toimitusketjua, eli esimerkiksi myös organisaation sidosryhmiä ja kumppaneita.

NIS2 asettaa myös aikarajoja häiriötilanteiden käsittelylle. Häiriöstä, joka aiheuttaa maine- tai taloudellista haittaa yritykselle, sen asiakkaille tai sidosryhmille, täytyy ilmoittaa valvovalle viranomaiselle 24 tunnin kuluessa, ja 72 tunnin päästä on jo oltava valmiina tarkempi selvitys siitä, miten tilanteessa toimitaan.

– Mustankorkealla nämä asiat ovat jo hyvällä mallilla, eikä varsinaista teknistä tekemistä tarvita. Sen sijaan keskitymme suunnittelemaan etukäteen ja dokumentoimaan esimerkiksi sen, miten toimimme erilaisissa häiriötilanteissa. Meidän kohdallamme tällainen häiriötilanne voisi tarkoittaa esimerkiksi vaaka-aseman tai biokaasun tankkauspisteen tietoturvan vaarantumista, Ranta kertoo.