Valtion kyberturvallisuus jäänyt kuin tuleen makaamaan

Julkisuuteen vuotanut Valtiontalouden tarkastusviraston asiakirja tietoturvan ja kybersuojauksen tasosta valtionvirastoissa on mielenkiintoista luettavaa. Raportti analysoi nykymittapuun mukaan suorastaan ammottavia turva-aukkoja ja laiminlyöntejä, jotka voivat hyvin selittää jo tapahtuneita urkintatapauksia.
Valtioneuvoston laatima kyberturvallisuusstrategia asiakirja on olemassa, mutta siinä asetettuja ”kaikkia tavoitteita” ei Valtiontalouden tarkastusviraston mukaan olisi saavutettu. Miksi? Kyberturvallisuusstrategian määrittelemät ohjaustoimet ovat pitkälti kohdistuneet yksittäisiin virastoihin, ja muut ovat kai viitanneet kintaalla koko asialle. ”Ohjausteho on ollut heikko”, kuten raportti määrittelee.
Toimintavarmuutta, kyberturvaa- ja suojausta parantavien strategioiden funktio valtionkonttoreissa on jäänyt epäselväksi. Tarkastusviraston mukaan toimenpiteitä ei yleensä ole ”aikataulutettu eikä niiden toteutumista ole seurattu”.
Sillä tavalla. Jos tietoturvan kiveen hakattuja periaatteita ei viedä käytäntöön, ei voi paljon odottaa. Esimerkiksi virustutka tai palomuuri ovat nopeasti hyödyttömiä ilman niiden automaattisten toimintojen aikataulutusta, aktiivista lokitietojen valvontaa ja analyyttistä seurantaa.
Tulee mieleen muuan yrittäjä vuosien takaa, jolla oli firmansa koneissa niin hyvä palomuuri, ettei vielä yhtä virusta ollut löytynyt. Miehen logiikan mukaan kaikki oli kunnossa.
Nykyään valtiolla jokainen virasto ja laitos vastaa omasta kybersuojauksestaan, ja riskienhallinnan käytännöt vaihtelevat, perustelee VTV leväperäisyyttä.
Rivien välistä voi lukea vaikka mitä. Esimerkiksi lause ”yhdenmukaisuuden puute voi johtaa eritasoisiin ratkaisuihin kybersuojauksen järjestämisessä” tarkoittanee, että ongelmat ovat vakavia. ”Eritasoiset ratkaisut” liittyvät niin rautaan, softaan kuin käytäntöihin käyttäjäpäässä – nehän tavallisesti ovat retuperällä, kuten olemme jo aiemmin todenneet.
Laaja turvallisuuskonsultointi olisi välttämätöntä ja kiireellistä. Systeemin hajanaisuuden takia eri ministeriöiden ja keskusvirastojen pitäisi neuvotella vielä keskenään vastatoimenpiteiden käynnistämisestä oikean kyberturvallisuushyökkäyksen sattuessa. Tiedämme että neuvotteluihin ei olisi aikaa, vaan johtokeskuksen tulisi toimia heti.
Niin kauan kun ulkoministeriön järjestelmään voi tunkeutua koneelle ladattavan, edustusravintolan ruokalistaan html-koodatun troijalaisen muodossa, tilanne on erittäin haavoittuva. Pahimmillaan valinkauhassa on kansallinen turvallisuus.
Silmäilemältäni raportilta olisin odottanut suorasanaisempaa ruoskintaa, sillä aikaa ottaa onkeensa jo tapahtuneista kybermurroista on ollut. Asiallisesti mitään ei ole tapahtunut.
Ottakaa te yksityiset yhtiöt ja innovatiiviset tiedepuistot tiennäyttäjän rooli siinä, kuinka suojaudutaan tämän aikakauden verkkouhkia vastaan. Ottakaa yhteyttä, apu löytyy kaikkiin ongelmiin.
