Valkohattuhakkeri ja energia-alan yhteistyö palkittiin tietoturvan suunnannäyttäjinä

Julkaistu 25.05.2018

Miten varmistaa, että organisaation tietoturva on riittävällä tasolla? Helsingissä esiteltiin tiistaina kaksi erilaista lähestymistapaa, kun Energia-alan tiedonvaihto-ryhmä eCIP ja valkohattuhakkeri Iiro Uusitalo palkittiin vuoden Tietoturvan suunnannäyttäjinä.

Tiedonvaihtoryhmä on osoittanut yhteistoimintamallin toimivuuden sekä parantanut yhteiskunnan toimintavarmuutta ja siten selvästi saavuttanut sille asetetut tavoitteet. Uusitalo on etsinyt, löytänyt ja raportoinut useita ohjelmistohaavoittuvuuksia, ja työllään ehkäissyt merkittävästi niiden hyväksikäyttöä Suomessa.

Kunnianosoitukset jaettiin toukokuisena tiistaina Helsingin Tennispalatsissa järjestetyssä Kyberturvallisuuskeskuksen Tietoturvaseminaarissa, jonne noin 200 tietoturva-alan asiantuntijaa oli kokoontunut jakamaan tietoa ja verkostoitumaan. "Haluan että kun tänään lähdette täältä, teistä tulee ylivertaisia", tiivisti Viestintäviraston pääjohtaja Kirsi Karlamaa tapahtuman tavoitteen.

Hän linjasi alan toiminnan kolmeksi peruspilariksi yhteistyön, avoimuuden ja luottamuksen. Viimeisimpään teemaan palasi myös Nesteen CISO Tomi Pitkänen, joka nouti toisen palkinnoista tiedonvaihtoryhmän puheenjohtajan roolissa.

Hän kertoi omassa esityksessään tarkemmin eCIP-ryhmän toiminnasta ja kertoi sen liikkuvan tarvittaessa erittäin nopeasti – ongelmatilanteessa Tomi saa ratkaisuehdotukset pöydälleen parissa tunnissa. Se on aika hyvin ryhmältä, jossa on vajaat parikymmentä jäsentä ja joka tapaa kasvokkain vain muutaman kerran vuodessa.

Tällainen toiminta ei olisi mahdollista ilman luottamusta, jonka rakentamiseen Pitkäsellä oli myös liuta käytännön ohjeita. Kaiken pohjana on vastavuoroisuus: jokainen ryhmän jäsen saa vuorollaan kysyä ja jokaiseen kysymykseen pyritään vastaamaan parhaan tiedon mukaan. Luottamusta vaaditaan jo siksi, että ryhmässä käsiteltävät aiheet ovat sellaisia, että niiden vuotaminen voisi tuottaa konkreettista, liiketoiminnallista haittaa.

Sen takia kaikki keskustelut luokitellaan liikennevaloprotokollan mukaisesti, jolloin jäsenet tietävät välittömästi, ovatko nyt käsiteltävät aiheet ehdottomasti vain ryhmän tietoon jääviä vai voiko niistä esimerkiksi kertoa omassa organisaatiossa harkinnan ja tarpeen mukaan. Rikkomuksista ja vapaamatkustamisesta, kuten harvakseltaan järjestettävien kokousten tarkoituksellisesta välttelystä, tulee seuraamuksia – muutenhan yhteisö ei voisi tuntea itseään turvalliseksi.

Samasta syystä kaupalliset toimijat, kuten tietoturvaohjelmistojen valmistajat, on rajattu ryhmän jäsenyyden ulkopuolelle. Sidosryhmiä voidaan kyllä tavata, mutta keskustelut pidetään tiukasti omassa porukassa. Itse asiassa vierailut eri yhtiöissä ovat olennainen osa toimintaa ja siitä syntyy vielä oma bonuksensa, sillä kun tusina suomalaisten energiayhtiöiden tietoturvajohtajia ilmestyy samalla kertaa vierailulle, se auttaa konkretisoimaan tietoturvan merkitystä myös vierailun järjestäjälle.

Pitkänen suositteli toimintamallia myös muille aloille. Hän ei pidä ongelmallisena sitä, että joukossa on hyvin erikokoisten yhtiöiden edustajia, vaan pikemminkin näkee sen vahvuutena, sillä usein pienuus pakottaa keksimään luovia ratkaisuja ongelmiin, jotka koskettavat kaikkia saman sektorin toimijoita. "Laaja-alaisuus on avain, sillä ei ole olemassa yhtä oikeaa ratkaisua, teknologiamielessä tai prosessimielessä", hän sanoi.

Jos onnistuminen on jostain kiinni, niin osallistujien motiiveista. Heidän pitää olla valmiita myös jakamaan tietoa, ei vain imemään tietoja toisilta. Luottamuksen syntyminen vie tietenkin aikaa, joten on vain luonnollista että ensin ihmiset kuuntelevat enemmän ja alkavat kysellä vasta myöhemmin.

"Toiset ihmisethän sen päättävät, syntyykö luottamusta vai ei. Toki se on kiinni myös omasta käytöksestä, mutta sitä ei voi silti itse päättää", Pitkänen sanoi. "Luottamuksen heräämisen huomaa siitä, kun aletaan esittää arkaluontoisia kysymyksiä."

Teksti ja Kuva: Olli Sulopuisto

Viestintäviraston Kyberturvallisuuskeskuksen Tietoturvaseminaari18 järjestettiin 22.5.2018 Helsingissä Tennispalatsissa. Julkaisemme seminaarin aiheista artikkelisarjan, jonka ensimmäinen osa tämä artikkeli on. Sarjan seuraavissa osissa käsittelemme muun muassa haavoittuvuuksien metsastystä ja tietoturvan merkitystä verkottuneessa yhteiskunnassa. Muut seminaaria koskevat uutiset löydät niiden ilmestyttyä osoitteesta

Asiasanat: Tietoturva , Haavoittuvuuskoordinointi , Kyberturvallisuus , Tilaisuudet , Uutiset

LinkedIn Print