Mira Leinonen työskentelee pelastusylitarkastajana Etelä-Suomen aluehallintovirastossa, nyt virkavapaalla. Sähköposti: mirafoni112@gmail.com
”Olette te melkoisia luonnonlapsia” totesi yhteistoimintaviranomainen minulle kuvatessaan pelastustoimen tietoturvan tilaa. Pelastustoimessa käsitellään päivittäin tietoa, joka on salassa pidettävää ja joka tulisi turvata. Tietoturva-asiat ovat tulleet pelastustoimeen huomioitavaksi voimallisemmin parin viime vuoden aikana, kun viranomaisten välinen yhteistoiminta on vahvistunut yhteisten tietojärjestelmähankkeiden myötä. Tietoturva-asioissa pelastustoimi seilaa kuitenkin kehnon ja välttävän tason välillä ja on onni, ettei ainakaan toistaiseksi ole tiedossa pelastustoimen osalta merkittäviä tietovuotoja, joilla olisi tiettävästi aiheutettu merkittäviä haittoja ihmisille tai omaisuudelle.
Suhtautuminen tietoturvaan pelastustoimessa on ollut välinpitämätöntä tai sitä on kirottu, mutta nyt uusien viranomaisten yhteisten tietojärjestelmien myötä ala on pakotettu opiskelemaan asiaa. Tietoturva on vain osaamattomien henkilöiden käsissä sellainen elementti, jolla vaikeutetaan käytännön elämää, kun taas osaavissa käsissä tarvittava tieto on saatavilla, se on eheää ja luotettavaa. Tietoturvallisuus, siinä missä muutkin turvallisuuden osa-alueet, vaativat paneutumista ja perehtymistä. Pahin virhe onkin, että alalla luullaan tämän asian olevan kunnossa automaattisesti ilman sen kummempia toimenpiteitä. Osaamattomuus asian suhteen paljastuukin usein muutamilla lausahduksilla, kun väitetään, että kaikki tieto pelastustoimessa on julkista tai että tiettyjen tietoturvatasojen saavuttaminen olisi vain auditoinnista kiinni.
Tietoturva-asioiden kuntoon saattaminen pelastustoimessa lähteekin johdon sitoutumisesta ja riittävien resurssien varmistamisesta. Tällä hetkellä esimerkiksi pelastuslaitoksilta kysyttäessä, kuka vastaa teillä tietoturvasta, saa tyypillisemmin vastauksen, että jonkun keskuskunnan it-tukihenkilö tai tietohallintopäällikkö – tietoturva on vastuutettu oman organisaation ulkopuolelle. Muidenkin tietoturvan osa-alueiden saattaminen hyväksyttävälle tasolle lähtee siitä liikkeelle, että omassa organisaatiossa on asialle vihkiytynyt asiantuntija, koski se kuntoon saattaminen sitten toimitiloja, laitteita, ohjelmistoja, tietoaineistoa, tietoliikennettä tai henkilöstöä.
Pelastustoimen kumppanuusverkosto on Oulu-Koillismaan pelastuslaitoksen johdolla puuhannut pelastuslaitoksille tietoturvahanketta, jonka tavoitteena on saattaa pelastuslaitoksien tietoturva-asiat perustasolle. Hanke on hyvä ja toivottava ja se tulee lisäämään keskinäistä luottamusta yhteistoimintaviranomaisten kanssa. On muistettava, että tietoturva ei ole projektiluontoinen asia, vaan sen kanssa viranomaisten on elettävä ja josta on otettava omistajuus. Jos rakentamismääräyskokoelmastakin saamme välillä aikaiseksi 22 erilaista tulkintaa, on oletettavaa, että tietoturvasta tulee ilman kunnollista asian haltuunottoa ja ohjausta vastaavanlainen määrä tulkintoja. On luonnonlapsien aika kasvaa aikuisiksi.
Teksti: Mira Leinonen
