FM Laura Kinnunen toimii asianhallintaprojektin projektipäällikkönä ja tietosuojaryhmän jäsenenä Lapin ammattikorkeakoulussa.
Lapin ammattikorkeakoululle tarjoutui mahdollisuus osallistua valtakunnalliseen TAISTO18-harjoitukseen marraskuussa 2018. Kyseessä oli 27.11.2018 järjestetty tietoturva- ja tietosuojaloukkausten hallinnan harjoitus julkisen hallinnon organisaatioille.
Kuvitteellisessa tilanteessa Lapin AMKin tietojärjestelmään kohdistui tietomurto, jonka seurauksena arkaluonteisia henkilötietoja julkaistiin rikollisten toimesta internetissä. TAISTO18-harjoitus antoi mahdollisuuden testata turvallisesti Lapin AMKin valmiuksia ja henkilöstön osaamista toimia kriisitilanteeseen johtaneessa tapahtumaketjussa.
Harjoituksen toteutuksesta vastasi Väestörekisterikeskus yhteistyössä Suomen poliisin, tietosuojavaltuutetun toimiston, Valtion tieto- ja viestintätekniikkakeskus Valtorin sekä Viestintäviraston Kyberturvallisuuskeskuksen kanssa.
Epäilystä vaiheittain henkilötietojen tietoturvaloukkaukseen
Harjoituksen kuluessa Väestörekisterikeskus lähetti sähköpostitse 10 syötettä, joiden sisältöä ei ennakkoon tiedetty.
Ensimmäisen viestin mukaan Viestintäviraston Kyberturvallisuuskeskus oli julkaissut punaisen varoituksen liittyen laajaan tietojärjestelmiin kohdistuneeseen haavoittuvuuteen.
Seuraavissa syötteissä tilanne eteni niin, että aktivistiryhmä ilmoitti murtautuneensa suureen määrään suomalaisia verkkopalveluita ja julkaisseensa arkaluonteisia henkilötietoja suomalaisten organisaatioiden henkilöstöstä. Tilanteen käsittelyn edetessä myös media halusi lisätietoja koskien päivän tapahtumia.
Pää kylmänä toimeen
Harjoituksen myötä eskaloituneessa henkilötietojen tietoturvaloukkauksessa Lapin AMKin tietoturvaan, tietosuojaan ja kriisiviestintään liittyvät menettelyohjeet tulivat tarpeeseen. Jokaista edellä mainittua toimintaohjetta hyödynnettiin ja testattiin harjoituksen aikana.
Lisäksi päivän aikana lähetettiin todellisesti ilmoitukset tietosuojavaltuutetun toimistolle ja Kyberturvallisuuskeskukselle sekä harjoiteltiin sähköisen rikosilmoituksen tekemistä Poliisille.
Harjoitus kesti koko päivän, jonka ajaksi Rantavitikan kampukselle Rovaniemellä perustettiin tilannehuone. Tilannehuoneen toimintaan osallistuivat tietosuojavastaava Pirjo Kärki-Koskinen, vararehtori Reijo Tolppi, tietohallintopäällikkö Markku Taipale, palvelupäällikkö Anu Pruikkonen, lehtori Tuomo Lindholm, erityisasiantuntija Laura Kinnunen ja Lapin yliopistolta tietoturvapäällikkö Esa Mätäsaho ja tiedeviestintäsuunnittelija Johan-Eerik Kukko.
Koska Lapin korkeakoulukonserni tuottaa IT-palvelut Lapin AMKille, myös korkeakoulukonsernin muiden jäsenorganisaatioiden (Lapin yliopisto, Rovaniemen koulutuskuntayhtymä) IT-palvelujen henkilöstöä osallistui harjoitukseen.
Tilannetta hallittiin kriisiviestinnällä
Päivän aikana viestinnän todettiin olevan hyvin merkittävässä roolissa henkilötietoihin kohdistuvassa tietoturvaloukkauksessa.
Sisäistä henkilöstölle ja opiskelijoille suunnattua sekä ulospäin laajalle yleisölle ja medialle suunnattua kriisiviestintää toteutettiin menestyksekkäästi harjoituspäivän ajan.
Laaja informointi henkilötietojen vuotamisesta aloitettiin jo aikaisessa vaiheessa, joka todettiin harjoituksen päättyessä myönteiseksi asiaksi. Vararehtori Reijo Tolppi totesikin, että kriisiviestintää ei voi koskaan harjoitella liikaa.
Harjoittelu tuottaa parhaimmillaan onnistumista ja kehittymistä
Osallistuin TAISTO18-harjoitukseen tarkkailijana, jonka mukaisesti tehtäväni oli seurata muiden harjoitukseen osallistuneiden toimintaa ja pitää sen mukaisesti tapahtumapäiväkirjaa.
Nyt kun tuota päivää miettii jälkikäteen, voin kyllä todeta, että asiantuntijat toimivat erittäin rauhallisesti ja hallitsivat vaikean tilanteen johtamisen.
Vaikka Väestörekisterikeskuksen lähettämät syötteet olivat kaikille osallistujaorganisaatioille samat, ei harjoituksen läpivientiin ollut yhtä oikeaa ratkaisua tai reittiä. Päivän suola olikin siinä, että tilannetta mietittiin Lapin AMKin näkökulmasta ja toimimme meidän toimintaohjeidemme mukaisesti.
Poikkeustilanteita harjoitellaan, jotta voidaan saavuttaa ymmärrys organisaation kyvykkyydestä ehkäistä vastaavien tilanteiden toteutuminen. Lopputuloksena pitäisi olla kriittinen oman toiminnan arviointi, joka tuottaa kehittämistarpeita.
Lapin AMKin tietosuojaryhmä sai TAISTO18-harjoituksen jälkipohdinnoista kehityslistalleen huomioita. Kehittämiskohteiden tunnistaminen ei kuitenkaan riitä, vaan huomiot on myös pantava toimeen.
Tietoturvaan ja tietosuojaan suhtaudutaan Lapin AMKissa vakavuudella ja ymmärryksellä, jonka ansiosta osallistuimme myös TAISTO18-harjoitukseen. Kokonaisuudessaan Lapin AMKin TAISTO18 -harjoituksesta suoriutumiseen saa suhtautua ylpeydellä sekä henkilöstön erinomaisen toiminnan että tunnistetun ja jo toteutetun kehittämisen osalta.
Anu Pruikkonen, Markku Taipale, Johan-Eerik Kukko, Laura Kinnunen, Reijo Tolppi, Tuomo Lindholm, Esa Mätäsaho, Pirjo Kärki-Koskinen. Kuva: Jakke Rutonen