tag:blogger.com,1999:blog-2657737831353201172.post3033882557547662731..comments2023-10-09T17:30:35.611+03:00Comments on Väkivallaton maanpuolustus ja sen henki: Digitaalisen Suomen puolustamisestaUnknownnoreply@blogger.comBlogger4125tag:blogger.com,1999:blog-2657737831353201172.post-83752158017297939052019-04-08T01:03:31.717+03:002019-04-08T01:03:31.717+03:00Blogin hallinnoija on poistanut tämän kommentin.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-2657737831353201172.post-54282899378418132502019-02-18T17:38:28.203+02:002019-02-18T17:38:28.203+02:00Erastotenes,
"Katakri on viranomaisten audit...Erastotenes,<br /><br />"Katakri on viranomaisten auditointityökalu, jota voidaan käyttää arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa."<br /><br />Suurta osaa yhteiskunnan toiminnan kannalta kriittisistä järjestelmistä operoi kuitenkin muu kuin viranomaistaho eikä niissä käsitellä viranomaisen salassapidettävää tietoa. Vaikka ao. järjestelmien kehittäjät / operoijat käyttäisivätkin KATAKRIa taustapaperina (mikä on luultavasti harvinaista), niillä ei ole mitään intressiä huomioida KATAKRIa siltä osin kuin sen vaatimukset ylittävät organisaation oman arvion riskeistä ja niihin varautumisen tärkeydestä. <br /><br />KATAKRI ei myöskään kata esim. uhkien havaitsemista tai järjestelmän toiminnan varmistamista sen ollessa hyökkäyksen kohteena. Ts. KATAKRI ei riitä, vaikka olenkin samaa mieltä siitä, että tilanne on nykyään parempi ja esim. viestintävirasto on tehnyt hyvää työtä. <br /><br />Mikäli todella otamme kansallisesti kriittisen infran suojaamisen vakavasti ja haluamme varmistaa minimitason toiminnan myös poikkeusoloissa, vaaditaan kokonaan toista luokkaa olevia panostuksia. <br /><br />Nykytilanne on (karrikoidusti) hieman sama kuin jos aseellinen maanpuolustus olisi hajautettu itsenäisesti toimiville kunnille ja kuvitteellinen puolustusvirasto olisi ohjeistanut niitä vain siinä, kuinka ase- ja ammusvarikot pitää rakentaa (=KATAKRI) jotta tavarat eivät joudu vääriin käsiin. Kuntia ei velvoiteta varustamaan omaa armeijaa ja mikäli ne sellaisen varustavat, puolustusvirasto jättää kuntien itsensä päätettäväksi itse mitä uhkia (jos mitään) varten kunnallinen armeija mitoitetaan, mikä on sen tehtävä, kuinka paljon miehistön koulutukseen panostetaan ja mikä on koulutuksen sisältö, missä tilanteessa kunnallinen armeija saa valtuudet ryhtyä toimimaan ja kuinka sen toimintaa koordinoidaan naapurikuntien tai puolustusviraston kanssa. Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-2657737831353201172.post-44522041041657481822019-02-18T16:14:36.125+02:002019-02-18T16:14:36.125+02:00En lähtisi ihan noin perusteista. Kriteerit ovat o...En lähtisi ihan noin perusteista. Kriteerit ovat olemassa. KATAKRI on hyvä työkalu, joka toimii ihan kohtuullisesti myös tuotannon tietojärjestelmien suojauksen mittarina, vaikka niissä tarvitaan joitain lisäjekkuja. Kriteerit siis on.<br /><br />Myös tilannekuva on. Viestintävirasto ja huoltovarmuuskeskus ovat tehneet jo yli vuosikymmenen ajan töitä yritysten tietoturvan parantamiseksi, ja niille on muodostunut uskoakseni erittäin hyvä kuva maan kriittisistä tietojärjestelmistä. Jos lukee kansallisen riskiarvion ja kokonaisturvallisuusstrategian, tajuaa kyllä, miten valtavan vahvaan tietopohjaan nämä julkiset dokumentit perustuvat. Erastotenes Aleksandrialainenhttps://www.blogger.com/profile/02022287922481645252noreply@blogger.comtag:blogger.com,1999:blog-2657737831353201172.post-4968370579173520132019-02-18T14:42:52.698+02:002019-02-18T14:42:52.698+02:00"3. Merkittävä osa KII:sta on yksityisen sekt..."3. Merkittävä osa KII:sta on yksityisen sektorin hallussa ja siellä turvallisuus ei välttämättä ole ensisijainen asia."<br /><br />"7. Kellään Suomessa ei tällä ole riittävää kykyä ja ymmärrystä johtaa KII:n puolustamista laajemman hyökkäyksen tapahtuessa."<br /><br />Jos järjestelmiä ei ole alunperin rakennettu ennalta määritellyn turvallisuustason mukaisiksi, hyökkäyksen sattuessa ollaan melko kädettömiä.<br /><br />Täydellistä turvaa ei ole olemassa, joten se mikä on riittävä turvallisuuden taso missäkin tapauksessa on väistämättä suhteellista. <br /><br />Yritykset suojaavat lähtökohtaisesti omaa liiketoimintaansa ja varautuvat liiketoimintaan kohdistuviin riskeihin. Niiden moittiminen kansallisen turvallisuuden huomiotta jättämisestä on - etenkin kun kukaan ei ole esittänyt niille lakiin perustuvia vaatimuksia tai edes suosituksia - melko täydellinen harhalaukaus.<br /> <br />Uskaltaisin väittää, että kellään Suomessa ei ole kattavaa kuvaa siitä, mitä kriittisiä järjestelmiä meillä on, kuka niitä operoi puhumattakaan siitä mitä riskejä niihin kohdistuu ja kuinka niiden suojaus tulisi järjestää.<br /><br />Ensiksi pitäisi määritellä mitä kriittisellä infralla tarkalleenottaen tarkoitetaan. Tarvitaan kriteerit. Kaikki infra ei tarvitse samantasoista suojausta. Siksi tarvitaan myös kriittisyysluokitus ja kullekin luokalle pitäisi määritellä pakollinen / suositeltava suojaustaso ja menettely (esim. sertifiointi) jolla järjestelmän vaatimustenmukaisuus voidaan puolueettomasti todentaa.<br /><br />Ilman tällaista perustaa kukaan ei edes tiedä, hankkiiko, myykö operoiko, ylläpitääkö tai valmistaako organisaatio kriittiseksi luettavia järjestelmiä ja mitä toimenpiteitä niiltä tulisi tällöin edellyttää.<br /><br />Ilman lakiin kirjattuja vaatimuksia on turha kuvitella, että organisaatiot - yksityiset tai julkiset - varautuisivat riskeihin muutoin kuin oman toimintansa näkökulmasta. <br /><br />Liikkeelle voisi lähteä kriittisten järjestelmien luokituksesta ja siihen perustuvista suosituksista. Organisaatioilla olisi tällöin edes jotain minkä pohjalta arvioida toimintaansa ja kriittisiin järjestelmiin liittyviä päätöksiä. Anonymousnoreply@blogger.com