Teollisen vallankumouksen myötä syntyi uusi ammattikunta tilintarkastajat. Digitaalisen vallankumouksen seurauksena meille on jo syntynyt tietoturvatarkastajien ammattikunta, mutta vielä tietoturvantarkastamista ei mielletä välttämättömäksi pahaksi samalla tavalla kuin tilintarkastusta. En usko eläkkeelle jäädessäni tilanteen enää olevan sellainen, että tietoturvatarkastusta teettävät ainoastaan kyberriskitietoiset yritykset vaan siitä muodostuu tilintarkastuksen mukainen vuosittainen lakisääteinen rutiini kaikille organisaatioille. On tärkeää myös ymmärtää se, että viranomaistoimin ei tietoturvatarkastusta ole riittävän kattavasti mahdollista tehdä. Juuri eläkkeelle jäänyt tietosuojavaltuutettu Reijo Aarnio muistutti jäähyväiskommenteistaan tästä asiasta. Viranomaisvetoinen tietoturvatarkastaminen on yhtä hyvä idea kuin ehdotus, jossa vuosittainen tilitarkastus korvattaisiin vuosittaisella verotarkastuksella.
On kaikille selvää koneiden ja laitteiden tapauksessa, että virhetoiminnan seurauksena vakavia vaaroja hengelle tai terveydelle aiheuttavat tuotteet on tarkastettava ennen markkinoille saattamista. Lisäksi tällaisia laitteita täytyy myös säännöllisesti tarkastaa oli sitten kyseessä auto, laiva tai hissi. Kun tämän kaltaiset tuotteet ovat muuttumassa autonomisesti liikkuviksi tietokoneiksi ei kukaan varmastikaan halua kyseenalaistaa tarvetta näiden koneiden sulautettujen tietojärjestelmien ennakkotarkastamisesta ja pakollisesta tietoturvahaavoittuvuuksien korjaamisesta.
Olemme nyt saaneet muistutuksen siitä, että myös tieto itsessään voi potentiaalisesti vaarantaa henkeä ja terveyttä. Ehkä meidän tulisi pysähtyä miettimään sitä miten me varmistamme arkaluontoisia henkilötietoja käsittelevien tietojärjestelmien tietoturvallisuutta. Tähän tarvitaan sekä ennakkotarkastusta että säännöllistä katsastamista. Muilta toimialoilta tiedämme, että viranomaisen tehtäväksi sopii tarkastusten ja katsastamisen valvonta. Itse tarkastaminen tulee suorittaa markkinaehtoisesti. Tietotekniikan tarkastamisen automatisointi on tärkeää ei pelkästään kustannusten hallitsemiseksi vaan riittävän tiheän katsastusvälin varmistamiseksi.
Organisaatioiden vastuullisten päätöksentekijöiden on hyvä ymmärtää vapaaehtoisesta tietoturvatestauksesta päättäessään, sen vaikuttavan ainoastaan ensimmäisen tietoturvatestin ajankohtaan ja antavan mahdollisuuden korjata havaitut puutteet ennen seuraavaa testaajaa. Kaikkien internettiin kytkettyjen tietojärjestelmien ja laitteiden tietoturvatestaus tullaan kyllä suorittamaan viimeistään jonkun satunnaisesti valikoituneen tahon toimesta. Kiire ja kustannusten säästäminen eivät ole hyvää johtamista kun suojellaan organisaation arvokkainta omaisuutta sen omaa ja asiakkaiden tietoa.
Kategoriat