Keskitetyistä tietovarannoista on mahdollista tehdä turvallisia
Janne Kerttula, Elina Ussa ja Miira Riipinen kirjoittivat 28.11.2022 Helsingin Sanomiin mielipidekirjoituksen Liikenne- ja viestintävirastossa valmistelussa olevasta Sijaintitietopalvelusta ja siihen liittyvistä turvallisuusriskeistä Energiateollisuus ry.:n, FiCom Ry.:n ja Suomen Kuntaliitto ry.:n nimissä. He nostavat kirjoituksessaan esille aivan oikein keskitettyyn tietovarantoihin ja palveluihin, kuten Sijaintitietopalveluun, liittyviä turvallisuusriskejä, mutta esitetyssä kritiikissä sivuutetaan kylmänviileästi keinot tehdä keskitetyistä tietovarannoista turvallisia. He katsovat esittämänsä hajautetun tietovarannon olevan turvallisempi vaihtoehto kuin keskitetty tietovaranto. Tätä väitettä he tosin eivät perustele käytännössä millään tavoin, vaan pitävät asiaa automaattisena totena.
On totta, että keskitettyihin tietovarantoihin liittyy merkittäviä turvallisuusriskejä johtuen ennen kaikkea kriittisen tiedon kasautumisvaikutuksesta. Mutta samalla tavoin myös hajautettuihin tietovarantoihin liittyy merkittäviä turvallisuusriskejä, joista keskeisimmät liittyvät useiden tietojärjestelmien turvallisuuden tason kehittämiseen ja ylläpitämiseen, oman henkilöstön ja asiakkaiden käyttöoikeuksien hallintaan sekä tietojärjestelmien välisten yhteyksien turvallisuuden varmistamiseen.
Oli tietopalvelun toteutusmalli kumpi tahansa, tärkeintä on arvioida toteutusmalliin liittyvät turvallisuusriskit ja toteuttaa toimenpiteet, joilla nämä riskit voidaan minimoida. Tässä riskiarvioinnissa on myös syytä huomioida se, miten hyvin toteutusmallit ovat hallittavissa turvallisuuden näkökulmasta. Siinä missä hajautettu malli tuo turvallisuutta hajautuksen kautta, keskitetty malli tuo sitä tietoturvallisuuden hallittavuuden kautta, kun kehitettävänä ja ylläpidettävänä on vain yksi tietojärjestelmä lukemattomien, yleensä eri omistajien hallinnassa olevien tietojärjestelmien sijaan.
Toteutusmallin valinnassa on myös syytä huomioida olemassa oleva tilanne. Jossain tapauksissa on vain tehokkaampaa ja turvallisempaa kehittää uusi keskitetty tietovaranto ja -palvelu kuin yrittää kehittää ja korjata olemassa olevat hajautetut tietovarannot ja -palvelut erityisesti siinä tilanteessa, jossa niiden turvallisuuden tasosta ei ole tehty kattavaa arviointia ja dokumentaatiota. Myöskin tällaisten hajautettujen järjestelmien kerääminen yhteisen "hakukoneen" ympärille olisi valtava taloudellinen ponnistus ja teknisesti haastava, ellei jopa mahdoton toteuttaa turvallisesti, jos tavoitteena on saattaa tietovarantoihin kerätyt tiedot yhden pisteen kautta saataville.
Sijaintitietopalvelu rakennetaan ja ylläpidetään korkean turvallisuuden vaatimusten mukaisesti
Sijaintitietopalvelun turvallisuuteen kiinnitetään huomiota kaikissa vaiheissa lähtien jo palvelun ja siihen liittyvän tietojärjestelmän suunnittelusta. Palvelulle ja sen tietojärjestelmälle asetut turvallisuusvaatimukset ovat vastaavat kuin Suomen keskeisimmillä kansallisen turvallisuuden tietojen käsittelyyn tarkoitetuilla tietojärjestelmillä. Sijaintitietopalvelulle tullaan myös tekemään ulkopuolinen tietoturva-arviointi käyttäen samoja kriteereitä, joita vasten Suomen keskeisimmät kansallisen turvallisuuden tietojärjestelmät arvioidaan. Tietojen saantia Sijaintitietopalvelusta tullaan rajaamaan monikerroksisesti käyttötarpeiden mukaan.
Liikenne- ja viestintävirasto selvitti Sijaintitietopalvelun toteuttamista hajautetulla mallilla yhdessä laaja-alaisen työryhmän kanssa. Virasto joutui kuitenkin toteamaan, ettei hajautettu malli mahdollista lainsäädännön mukaisen helppokäyttöisen ja tietoturvallisen sijaintitietopalvelun tarjoamista, minkä kautta sijaintitiedot on saatavilla ilman aiheetonta viivytystä ja digitaalisessa muodossa. Hajautetussa mallissa ongelmana on se, ettei virastolla ole mitään keinoa varmistaa verkkoinfrastruktuurin omistajien tarjoamien sijaintitietopalvelujen, mukaan lukien niihin liittyvien tietojärjestelmien turvallisuutta. Merkittävä osa verkkoinfrastruktuurin omistajista ei myöskään ole ollut valmis kehittämään omia palveluja ja järjestelmiä siten, että sijaintitietojen toimittamisessa olisi voitu hyödyntää automaatiota ja tiedot olisi voitu toimittaa niitä pyytävälle ilman aiheetonta viivytystä. Osan työryhmäläisten toiveena olikin viraston kehittämä "sähköpostikonttori", joka olisi vain välittänyt saamiaan sähköpostiviestejä verkkoinfrastruktuurin omistajille. Välitetyt sähköpostiviestit ja niissä olevat tietopyynnöt sitten osa verkkoinfrastruktuurin omistajista olisi käsitellyt sähköisesti, ja jopa automaattisesti, ja osa vanhaan tyyliin analogisesti ihmiskäsittelijän toimesta. Sähköposti ei luonnollisesti olisi myöskään tietojen välityskanavana erityisen turvallinen.
Turvallisuudesta puhuttaessa ei tule myöskään unohtaa tietojen saatavuutta. Tällä hetkellä sijaintitietoja pyytävät, kuten maaurakoitsijat ovat tukalassa asemassa. Ne joutuvat kysymään tietoja lukemattomista paikoista olematta varmoja sitä, ovatko kysyneet kaikista tarpeellisista paikoista, ne saavat tiedot hyvin erilaisissa muodoissa, toiset pdf-karttoina ja toiset tarkkoina koordinaatteina, ja tiedot toimitetaan useista eri osoitteista eri aikaisesti. Nämä nykyisen hajautetun mallin ongelmat näkyvät muun muassa kaivuuvahinkoina ja katkoksina meidän kriittisissä tietoliikenneyhteyksissä.
Keskitetyistä tietovarannoista ja -palveluista, kuten Sijaintitietopalvelusta on mahdollista tehdä turvallisia, kunhan vain tunnistamme niihin liittyvät keskeiset turvallisuusriskit ja toteutamme tarvittavat toimenpiteet riskien minimoimiseksi. Sijaintitietopalvelu tulee olemaan valmistuessa yksi Suomen turvallisimmista julkisesti käytettävistä tietojärjestelmistä ja palveluista.
Kirjoittaja Jukka-Pekka Juutinen työskentelee johtajana Traficomin Kyberturvallisuuskeskuksessa.