Tietoturvan tarve lisääntyy, ja tämä näkyy myös Centrian TKI-toiminnassa
Centrian tietoturvan tutkimusryhmä on vuosien varrella toteuttanut sekä paikallisia että kansainvälisiä hankkeita. Tutkimus- kehitys ja innovaatiohankkeiden työntekijöille ala on todella mielenkiintoinen. Hanketoiminnassa oppii koko ajan uutta ja työpäivät ovat erilaisia. Kun Pietarsaaren kampukselle vuonna 2017 rakennettiin tietoturvalaboratorio Centria SecuLab, tietoturvaa testattiin yhdessä seudun yritysten IT-alan asiantuntijoiden kanssa. Sen jälkeen tietoturvahankkeissa on rakennettu kansalaistaitoja ja tarjottu opastusta tavallisille toimistotyöntekijöille. Viime aikoina on jälleen tullut kysyntää nimenomaan IT-alan ammattilaisten parissa.
Centria SecuLabin tietoturva-asiantuntija Tom Tuunainen vastaa mielellään kysymyksiin tietoturva-alan viimeaikaisesta kehityksestä.
– Minulta on kysytty suunnattomasti jo kahden vuoden ajan tietoturva-auditoinnista. Yrityksillä on tarvetta kartoittaa tietoturvansa tasoa, ja usein tavoitteena on hakea tietoturvasertifikaattia. Käytännössä tämä tarkoittaa, että organisaatio pyytää minut paikan päälle käymään läpi yrityksen rutiineja. Havaintojeni jälkeen pohdimme sitä, miten toimintaa sopeutetaan tietoturvaan. Käytännössä prosessi on todella pitkä, vähintään puolitoista vuotta, sillä pk-yritysten työntekijät työstävät asiaa normaalin päivätyönsä ohessa. Minä en voi vain antaa heille valmista pakettia, sillä jokaisen yrityksen liiketoiminta ja käytännöt vaihtelevat. Prosessi on tehtävä yhteistyössä koko organisaation kanssa.
Tom Tuunainen tosin huomauttaa, että Centrialla ei ole oikeutta myöntää tietoturvasertifikaattia, vaan sen tekee ulkopuolinen tarkastaja, esimerkiksi Kiwa tai Bureu Veritas. Huolimatta siitä, että prosessi on pitkä, standardin hakemista on paljon hyötyä.
Työskentelemällä ISO 27001:n mukaisesti yritys täyttää kansainväliset tietoturvavaatimukset. Samalla vahvistetaan uskottavuutta ja luotettavuutta palveluiden tarjoajana sekä yleensä asiakastyytyväisyyttä. Hallitsemalla riskejä yritys voi vähentää potentiaalisten tietoturvaloukkausten mahdollisuutta sekä suojata yritystä mahdollisilta taloudellisilta menetyksiltä ja maineen vahingoittumiselta. Tietoturvastandardi ISO 27001 on osa moderneja ISO-standardeja, ja yhteinen rakenne helpottaa tietoturvastandardin integrointia olemassa oleviin johtamisjärjestelmiin.
Tom Tuunainen kertoo, että tietoturvatutkimusryhmän hankkeissa tuetaan yleisesti organisaatioita tietoturvatason kohottamisessa:
– Meillä on tarjolla tapahtumia ja webinaareja sekä luentoja ja räätälöityjä koulutuksia. Näissä voivat kaikki organisaatiot kohottaa tietoturvatietämystään, koska tarjoamme selkeästi tietoa sekä tavallisille toimistotyöläisille kuin myös it-alan asiantuntijoille. Tietoturvasta on hyvä muistuttaa säännöllisesti, jotta asia pysyy mielessä.
Tällä hetkellä Centrian tietoturvatutkimusryhmä perehtyy CYPRESS-hankkeessa avaruuden tietoturvaan. CYPRESS-hankkeessa tehdään kansainvälistä yhteistyötä, ja testataan satelliittiterminaalin toimivuutta sekä häiriönsietokykyä. Tuunainen menee mietteliääksi, kun aletaan puhua kriittisestä infrastruktuurista:
– Nyt, kun on tullut käpisteltyä satelliittipuolta, niin näkemykseni on, että oikeastaan koko satelliittiekosysteemiin pitäisi kohdentaa panoksia. Tämän kokonaisuuden tietoturvakäytänteet kun ovat vielä monissa yrityksissä pahasti hakusessa.
Centria SecuLab on tietoturvalaboratorio, jonka laitteilla voidaan esimerkiksi skannata yrityksen sisäverkon haavoittuvuuksia. Jokaisen hankkeen myötä laboratorion varustus ja henkilökunnan osaaminen on kasvanut. Esimerkiksi meneillään olevassa CYPRESS-hankkeessa hankitaan uusinta tekniikkaa oleva monitorointityökalu, joka mahdollistaa projektin ajankohtaisen testauksen.
Kun Tuunaiselta kysyy, mikä hanke on tähän mennessä ollut kiinnostavin, hän ei osaa vastata:
– Ei ole vielä tullut kahta samanlaista projektia vastaan, ja kaikki hankkeet ovat olleet mielenkiintoisia. Hanketyöstä yksitoikkoisuus on kaukana, tilanne muuttuu päivästä päivään ja aina on jotain uutta työpöydällä. Olen ollut töissä myös yrityksissä, mutta siellä tuppaa kaikki menemään melko samaa rataa, ja viikosta toiseen tehdään samoja työtehtäviä. Vaihtelevuus on hauskaa, ja uuden projektin myötä tulee aina uusia juttuja työstettäväksi. Työ on tiedonhakua, kirjoittamista, testaamista, tutkimista, kokeilua ja erehdystä, kuten myös pohtimista, yritysvierailuja, tapahtumiin osallistumista sekä niiden järjestämistä.
Kuvassa Tom Tuunainen. Kuvan taustan muokkaukseen on hyödynnetty generatiivista tekoälyä. Kuva Johnny Finne
Lue lisää:
CYPRESS-hanke keskittyy kehittämään edistyneitä kyberturvallisuusratkaisuja kyberfyysisille järjestelmille (CPS), joita käytetään kriittisessä infrastruktuurissa, älykaupungeissa ja -rakennuksissa sekä hätäviestintäverkoissa.
CYPRESS-hanketta rahoittaa Business Finland. Hanke on osa eurooppalaista CELTIC-NEXT-ohjelmaa. CELTIC-NEXT on EUREKA-klusteri, joka keskittyy seuraavan sukupolven viestintäratkaisuihin ja mahdollistaa digitaalisen yhteiskunnan kehityksen. CELTIC-NEXT edistää ja koordinoi kansainvälisiä yhteishankkeita tieto- ja viestintäteknologian alalla.