Tieto leviää varmasti kun sen turvaluokittelee...
Jollet usko, niin käy vilkaisemassa mitä kaikkea löytyy WikiLeaksistä. Verkoston tietoturvan kannalta turvaluokitellun aineiston käsittelyohjeita on turha lähteä ohjeistamaan. Eri viranomaisilla kun on hieman toisistaan poikkeavat tavat käsitellä turvaluokiteltua materiaalia. Myös mikä materiaali on turvaluokiteltua ja millä perusteilla vaihtelee viranomaisten kesken. Käytännössä ohjeistus kannattaakin laatia projektin tullessa eteen viranomaiskohtaisesti huomioiden projektin vaatimukset.
Suomessa julkisuuslaki rajoittaa mitä kaikkea tietoa voi turvaluokittaa. Oma näkemykseni on, että mitä vähemmän on turvaluokiteltua tietoa, sitä varmemmassa turvassa on turvaluokiteltu tieto. On helpompaa käsitellä pientä määrää, sopia siitä ja käyttää turvaluokiteltua tietoa kun sen määrä on kohtuullinen projektin kokoon nähden. Jos koko projekti on turvaluokiteltua tietoa, niin silloin koko toiminnan tulisi tapahtua "turvaluokitellussa tilassa". Tämä ei käytännössä ole mahdollista kun projektia tehdään verkoston kanssa yhdessä.
Yksinkertaisetkin toiminteet muuttuvat turvaluokittellun materiaalin kohdalle monimutkaisiksi. Tulostaminen, tilojen siivoukset, tietokoneen kovalevyn vaihto jne. aiheuttavat harmaita hiuksia. Isojen piirustusten kopiointiin käytetään pääsääntöisesti kopiointiin erikoistunutta yritystä. Pitää siis olla kopiolaitos, jolla on turvaluokiteltu tila piirustusten käsittelyyn. Vielä parempi on, jos kopiointilaitoksen kuljetuspalvelutkin on turvaluokiteltu. Turvaluokitellun materiaalin käsittelyyn tarkoitettu tilakin pitää joskus siivota kunnolla. Turvaluokitellun tilaan "naulatut" laitteet hajoavat. Niitä pitää huoltaa ja niihin pitää asentaa uusia ohjelmia.
Verkoston sopimuksessa on hyvä sopia periaatteet miten toimitaan turvaluokiteltujen projektien kohdalla. Ovaatko ne täysin erikseen veloitettavia? Miten toimitaan, jos viranomainen tai asiakas edellyttää uhkasakkoa ja se kohdistuu palvelun tuottajan toimintaan? Verkoston tietoturvaohjeisiin ei kuitenkaan kannata lähteä kuvaamaan turvaluokiteltujen projektien osalta tietoturva toimenpiteitä ja vaatimuksia. Ne kannattaa sopia erikseen projektikohtaisesti.
Kimmo Metso
Ei kommentteja:
Lähetä kommentti