Teknologia 23 -tapahtuman TIVIA Stagen kolmannen päivän eli torstain 9.11.2023 kymmenennen ja viimeisen esityksen piti Chief Information Security Officer Timo Wiander Enfucelta. Kolmannen päivän ohjelma oli kokonaan Tietoturva ry:n järjestämää ja päivän esityksillä oli 20–70 seuraajaa paikan päällä.

Aktialla ollessaan Wiander ehdotti Finanssi-ISAC:ssa toimialakohtaisen tietoturvakoulutuksen perustamista. Pohjaksi otettiin ydinturvallisuuspuolen kehikko sillä erolla, että koulutuksessa keskityttiin pelkästään tietoturvallisuuteen. Sillä alueella toimialan toimijat kun eivät kilpaile keskenään. Yhteisen koulutuksen avulla saavutettiin muun muassa kustannussäästöjä. Koulutus hoidettiin omin voimin ilman ulkopuolisia kouluttajia, mikä helpotti sanoman kirkastamista ja kohderyhmien tunnistamista. Myös yhteinen tietoturvaterminologia ja toistojen pohjalta tapahtuva toiminnan muutos olivat tavoitteena toimialan sisällä. Ensimmäinen koulutus pidettiin 17.6.2022.

Koulutukselle tehtiin yhteinen visuaalinen ilme. Mukaan lähti pankkeja, Suomen Pankki, Traficom, Finanssivalvonta, Huoltovarmuuskeskus ja Enfuce, johon Wiander oli siirtynyt Aktialta. Huoltovarmuuskeskuksen mukana oleminen oli perusteltua siitäkin näkökulmasta, että juuri huoltovarmuutta kurssin avulla oltiin toimialan sisällä tietoturvaan liittyen luomassa.

Koulutuksessa on kolme moduulia: Tietoturvan ja tietosuojan perusteet, Tietoturvallisuuspalvelujen ja -järjestelmien elinkaaressa ja Viranomaiset. Perusteissa käydään läpi muun muassa tietoturva ja pankkisalaisuus, tietoturvan varmistamisen tärkeys, finanssialan uhkatekijät ja uhat, turvallisuuspoikkeamat, henkilöstön turvallinen työskentely, tietojen turvaluokittelu, kolmannet osapuolet, turvallisen ohjelmiston kehittämisen elinkaari, toiminnalliset ja ei-toiminnalliset vaatimukset sekä viranomaisten osuudet.

Wiander esitteli koulutuksen pintaa syvemmältä. ”Ihmisen tulee olla tietoturvan vahvin lenkki”, Wiander totesi esityksen aikana useampaan kertaan.

Palautetta kysyttäessä kaikki vastaajat totesivat koulutuksen hyödylliseksi, ja se sai hyvät arvosanat. Palautteen mukaan muutoinkin keskeiset tavoitteet saavutettiin: koulutustilaisuudet koettiin hyväksi tavaksi verkostoitua ja ihmiset saatiin keskustelemaan. Myös kehitettävää löytyi; materiaalia piti tiivistää.

Koulutus ja sen kehittäminen jatkuu. Syntynyt materiaali on vapaasti käytettävissä kriittisen infrastruktuurin yrityksille mutta ei kaupallisille yrityksille. Toiminnalle ollaan hakemassa julkista rahoitusta, jotta materiaaleja voitaisiin tehdä vielä paremmiksi. Toimijaryhmä on myös jonkin verran laajentunut.

Teksti: Reino Myllymäki
Kuva: TIVIA ry