Opsec Oy:n tietohallintopäällikkö Jukka Törmä ja Seinäjoen Energian tietohallintopäällikkö Seppo Haapamäki

Seinäjoen Energialla panostetaan tietoturvallisuuden johtamiseen

Seinäjoen Energia tarjoaa asiakkailleen sähkön, kaukolämmön ja vesihuollon palveluja, joten tietoturvallisuus on tärkeä osa organisaation toimintaa. Yhteiskunnan kannalta merkittävänä toimialana energiahuollossa puhutaankin kyberturvallisuuden johtamisesta. Seinäjoen Energian tietohallintopäällikkö Seppo Haapamäki on päämäärätietoisesti kehittänyt organisaation tietoturvallisuutta osana tietohallinnon johtamista. “Toimintavarmuudesta ja turvallisuudesta emme tingi” löytyy Seinäjoen Energian vastuullisuuskuvauksesta, joten Sepon toimesta tietoturvallisuus on myös tuotu organisaatiossa jokaisen työntekijän arkeen. 

Opsec Oy on toiminut Seinäjoen Energian kumppanina jo seitsemän vuotta, jonka aikana tietohallintoa ja tietoturvallisuutta on kehitetty yhdessä, osana päivittäistä IT-ympäristön toimintaa. 

Tietoturvapoikkeamien hallintamalli

Viimeisin tietoturvallisuuden kehittämisen osa Seinäjoen Energialla on ollut tietoturvapoikkeamien käsittelyyn suunniteltu hallintamalli, jonka ensisijainen tavoite on palauttaa tietoturvahäiriöiden jälkeen organisaation toiminta normaaliksi mahdollisimman pian havaitun poikkeaman tai haavoittuvuuden jälkeen. Yhdessä Opsec Oy:n asiantuntijoiden kanssa suunnitellun hallintamallin avulla voidaan siis minimoida haitallisia tietoturvaan liittyviä tekijöitä ja vaikutuksia. Jatkossa tietoturvallisuuteen liittyviä häiriöitä voidaan siis organisaatiossa hallita valmiiden toimintaprosessien avulla ja näin vähentää palvelutuotantoon kohdistuvia haittoja ja keskeytyksiä. Hallintamallin avulla voidaan näin myös varmistaa palveluiden laadukkuus ja saatavuus. – Hallintamallin tarkoitus on nimenomaan varmistaa liiketoiminnan jatkuvuus, jossa katkoksia ei olisi tai ne olisivat mahdollisimman lyhyitä. Energiahuollossa toimintaympäristön täytyy olla erittäin toimintavarma ja turvallinen, Seppo tiivistää hallintamallin hyödyt. 

Nyt määriteltyjen prosessien avulla Seinäjoen Energia on parantanut toimintakykyään reagoida erilaisiin tietoturvapoikkeamiin. Hallintamalli myös selkeyttää toimintaa poikkeustilanteissa ja kehittää kykyä havaita poikkeamia IT-ympäristössä. Seinäjoen Energia vastaa nyt myös paremmin lakisääteisiin velvoitteisiin tietoturva- ja tietosuojapoikkeamien käsittelyssä, koska nyt toteutetussa tietoturvan hallintamallissa on huomioitu tietoturvariskien lisäksi NIS-direktiivi ja EU:n tietosuoja-asetus. NIS-direktiivi velvoittaa, että yhteiskunnan kannalta tärkeillä toimialoilla organisaatioiden tulee ehkäistä ja minimoida tietoturvapoikkeamien vaikutus palvelujen jatkuvuuteen ja tietosuoja-asetus velvoittaa henkilötietojen suojaamista. Lainsäädäntö siis velvoittaa teknisiin ja hallinnollisiin toimenpiteisiin verkko- ja tietojärjestelmien turvallisuuteen ja henkilötietoihin kohdistuvien poikkeamien ja riskien hallitsemiseksi.

Opsec Oy:n asiantuntijoiden kehittämässä hallintamallissa nämä energiahuoltoa koskevat lainsäädännön osat ovat integroitu osaksi hallintamallia, jotta sitä voidaan soveltaa saumattomasti silloin, kun poikkeamia havaitaan. 

Opsec Oy:n toimitusjohtaja Mika Lindberg kertoo, että Seinäjoen Energian tietoturvan hallintamallissa on viisi pääkohtaa: havainnointi, tapahtumien arviointi, tietosuojaloukkausten ilmoitusvelvollisuus, NIS-raportointivelvollisuus ja tietoturvapoikkeamien käsittely. – Seinäjoen Energialla tietoturvapoikkeamien hallintamalli esittää toimenpiteet ja prosessit tietoturvahäiriöiden ja haavoittuvuuksien käsittelyyn sekä niistä viestimiseen. Hallintamallissa avataan yksityiskohtaisesti eri osa-alueet ja sieltä löytyy yksittäisiä toimenpiteitä, joiden kokonaisvaltainen kuvaus ilmenee prosessikaaviosta. Jokainen prosessi sisältää myös asiasta vastaavat tahot, joiden tehtävä on toteuttaa ja hallinnoida prosessin kulkua tietoturvapoikkeamien ilmetessä, Mika Lindberg kertoo. 

Käyttäjille kehitettiin sovellus tietoturvapoikkeamista ilmoittamiseen

Osana tietoturvan hallintamallia Seinäjoen Energialle kehitettiin myös sovellus Opsec Oy:n ohjelmoijan Mika Mäkelän toimesta. Uuden sovelluksen avulla käyttäjät voivat jatkossa ilmoittaa havaitsemistaan tietoturvapoikkeamista vaivattomasti. – Halusin meidän käyttäjille matalan kynnyksen ilmoituskanavan, jotta käyttäjien kohtaamat tietoturvaan liittyvät ongelmat ja epäilykset saataisiin nopeasti ja helposti esille, Seppo kertoo. 

Organisaation kaikille käyttäjille tarkoitetussa sovelluksessa kysytään käyttäjältä havaittuun tietoturvapoikkeamaan liittyvät tiedot ja sen jälkeen sovellus lähettää ilmoituksen poikkeamasta tietohallinnon ja tietosuojavastaavan käsittelyyn, jotka analysoivat ja päättävät, miten poikkeaman kanssa toimitaan. Sovelluksen tarkoitus on siis saada mahdollisimman moni poikkeama ilmi ja nopeaan käsittelyyn, jotta häiriöiden vaikutuksia organisaation toimintaan voitaisiin vähentää. Lisäksi sovellus auttaa täyttämään lainsäädännön vaatimia velvollisuuksia. Seinäjoen Energiaa koskee niin NIS-direktiivin että tietosuoja-asetuksen tuomat tietoturvapoikkeamien ilmoitusvelvoitteet viranomaisille. NIS-direktiivi vaatii välitöntä ilmoitusta ja tietosuoja-asetus 72 tunnin sisällä tehtyä ilmoitusta viranomaisille. 

Opsec Oy:n IT-joukkue laajasti mukana tietoturvan kehittämisessä 

Seinäjoen Energialla tietoturvallisuutta on kehitetty Sepon toimesta niin hallinnollisella kuin teknisellä puolella ja sekä syväosaamista että muita päivittäisiä resursseja on saatu Opsec Oy:lta. Seinäjoen Energian yhteistyö Opsec Oy:n IT-joukkueen kanssa on toiminut pohjana tietoturvan hallintamallin toteutuksessakin. Mukana kehitystyössä on ollut Opsec Oy:n tietohallinnon, tietoturvan ja tietosuojan asiantuntijoita sekä järjestelmäasiantuntija, ohjelmoija ja teknisen tuen asiantuntijoita. – Tietoturvallisuutta on kehitetty vuosien varrella laajamittaisesti Opsec Oy:n asiantuntijoiden kanssa, joten luottamus tekemiseen on molemminpuolista. Minulle on aina tärkeää, että yhteistyö perustuu kumppanuudelle ja luottamukselle, Seppo kuvailee pitkään jatkunutta yhteistyötä.


Jos yritystäsi tai organisaatiotasi kiinnostaa tietoturvapoikkeamien hallintamalli, ota yhteyttä asiantuntijoihimme.