Haastattelimme filosofian maisteri ja Niilo Mäki Instituutin tietohallintopäällikkö Miika Pekkarista hänen työstään Niilo Mäki Instituutissa sekä kysyimme vinkkejä, joilla sekä yksityinen henkilö että organisaatio voi parantaa tietoturvaansa.
Monipuolinen ja haastava työnkuva: IT-ympäristön ylläpitoa ja kehittämistä
Pekkarinen tuli töihin Niilo Mäki Instituuttiin vuonna 2007 Jyväskylän yliopiston ATK-keskukselta. Aluksi hän työskenteli LukiMat -hankkeessa ja osallistui Ekapelin kehitykseen. Työnkuva on laajentunut ja monipuolistunut; nykyään Pekkarinen työskentelee tietohallinnon tiimin esimiehenä sekä monenlaisissa IT-ympäristön ja infran kehitys- ja ylläpitotehtävissä:
”Työhöni kuuluvat olennaisesti myös tietoturva-asiat unohtamatta ohjelmistokehitystä. Olen esimerkiksi kehittänyt Niilo Mäki Instituutin HR-järjestelmän, jota ylläpidetään ja jatkokehitetään edelleen. Teen myös IT-ylläpitotyötä, esimerkiksi palvelinjärjestelmien elinkaaripäivityksiä, joita olen parhaillaan suunnittelemassa.”
Pekkarinen on mukana myös Niilo Mäki Instituutin ja kumppaneiden eTale Africa -projektissa, jossa kehitetään tietotekniikkaa apuna käyttäen ratkaisuja, joiden tarkoituksena on parantaa alakoulun opettajien ja erityisopettajien taitoja lukutaidon opetuksessa Afrikan maissa paikallisilla kielillä ja tarjota opettajille välineitä edistää lasten lukemaan oppimista erityisesti lapsilla, joilla on lukemaan oppimisen vaikeuksia. Pekkarinen on mukana hankkeessa kehitettävän oppimisympäristön suunnittelussa. Hän on käynyt hankkeen tiimoilta jo kolme kertaa Afrikassa, ja tulevana vuonna voi edessä olla uusi seminaarimatka.
Tarvittaessa Pekkarinen myös konsultoi ja auttaa tutkimushankkeiden käynnistämisessä varsinkin GDPR- (EU:n tietosuoja-asetus, henkilötietojen käsittelyä sääntelevä laki) ja tietosuoja-asioissa, jotka herättävät usein kysymyksiä. Hän auttaa myös tietosuojaselosteiden laatimisessa.
Työssä Pekkarista innostaa sen haastavuus. Pekkarinen kertoo alan kehittyvän niin kovaa vauhtia, että on jatkuvasti opiskeltava uusia asioita pysyäkseen mukana alan kehityksessä. Haastavinta työssä ovat uudet teknologiat ja niiden mukanaan tuomien mahdollisuuksien hyödyntäminen käytännössä. Jatkuvasti eteen tulee myös tilanteita, joissa täytyy pilotoida uusia ratkaisuja ja testata niitä.
”Kun tulee uusia ja lupaavia avoimen lähdekoodin teknologioita tutustun niihin tarkemmin ja testaan, soveltuisivatko ne Niilo Mäki Instituutin tarpeisiin. Jos löytyy sopivia teknologioita, niitä räätälöidään ja otetaan käyttöön myös meillä”, Pekkarinen kertoo.
Tietoturva-asiat on pidettävä kunnossa
Pekkarinen kertoo, että tietosuoja-asioilla on merkittävä rooli hänen työssään:
”Tietoturva ja tietosuoja ovat kaikkien palvelujen ja palvelinjärjestelmien suunnittelun lähtökohta. Niiden pitää olla kunnossa. Viime aikoina kyberturvallisuuden merkitys on kasvanut merkittävästi ja teknologian kehittyminen avaa uudenlaisia uhkakuvia.”
Pekkarisen mukaan nykypäivänä suosittu IT-palveluiden osittainen tai laajamittainen ulkoistaminen ei automaattisesti tarkoita parempaa tietoturvaa tai pienempiä riskejä.
”Organisaatio, tai pilvipalveluiden loppukäyttäjä kuten yksityishenkilö, on lopulta avainasemassa siinä, että palvelun käyttäminen olisi turvallista. Yksi esimerkki tästä voisi olla palveluihin tallennetun datan varmuuskopiointi, joka on usein täysin organisaation tai loppukäyttäjän vastuulla”, Pekkarinen toteaa.
Pekkarinen kertoo myös, että kalastelu- ja huijausviestien määrä kasvaa tasaisesti vuosi vuodelta ja hyökkäykset kehittyvät jatkuvasti taitavammin toteutetuiksi ja paremmin kohdennetuiksi. Erityisesti kohdennettujen hyökkäyksien lisääntyminen on kaikkein suurin riski organisaatiolle, koska tämän tyyppisiä tietomurtoja ja kalasteluyrityksiä on hankala torjua.
”Niilo Mäki Instituutissa kaikissa palveluissa laaditaan huolella tietosuojaselosteet ja varmistetaan, että tietosuoja-asetuksen kriteerit täyttyvät. Meillä on käytössä kaikenlaisia teknisiä ratkaisuja, joilla tietomurrot pyritään estämään. Henkilöstön ja käyttäjien koulutus on yksi tärkeimpiä tekijöitä, jolla tietoturvaa pystytään edistämään”, Pekkarinen kertoo.
Niilo Mäki Instituutissa kehitetyssä Arvio-palvelussakin lähtökohtana on henkilötietojen minimointi. Arvio-palvelu on tietojärjestelmä, joka mahdollistaa sen, että erilaisia tehtäväkokonaisuuksia, seuloja tai palveluita voidaan sujuvasti integroida yhden ja saman palvelun alle yhteisiä raameja, eli ohjelmistokehitystä hyödyntäen, kuten esimerkiksi DigiLukiseulan seulontatehtävät. Opettaja voi itse valita, tallentaako esimerkiksi oppilaan nimen Arvio-palveluun. Arviossa on myös tarkasti määritelty käyttöoikeuksia eli sitä, kenellä on pääsy järjestelmään. Järjestelmää on kovennettu sellaiseksi, että se on suojassa verkosta tulevilta uhkilta. Nämä ovat järjestelmän kehittämisen perusperiaatteita. Pekkarinen kertoo, että asiakkaat ovat hyvin tarkkoja tietosuojasta ja tietoturvasta.
Mitä yksityinen henkilö voi tehdä parantaakseen tietoturvaansa?
Yksityishenkilöä Pekkarinen suosittaa ottamaan käyttöön monivaiheisen tunnistautumisen kaikissa palveluissa, missä se vain on mahdollista. Tällä pystytään jo paljon ehkäisemään tietoturvauhkia. Toisekseen olisi hyvä varmistaa, että kaikki internetiin yhteydessä olevat laitteet ovat valmistajan tuen piirissä ja että viimeisimmät tietoturvapäivitykset niihin olisi asennettu.
”En esimerkiksi suosittele, että kotona käytetään hyvin vanhaa tietokonetta, missä on vanhentunut käyttöjärjestelmä, johon ei ole enää saatavilla mitään tietoturvapäivityksiä”, Pekkarinen toteaa.
Kolmantena asiana Pekkarinen kehottaa huolehtimaan tietojen varmuuskopioinnista. Puhelintakaan ja sen sisältämiä kallisarvoisia valokuvia ei kannata unohtaa. Varmuuskopioinnissa ei Pekkarisen mukaan kannata luottaa ainoastaan pilvipalveluihin, vaan käyttää useampaa menetelmää siten, että ainakin yhdet varmuuskopiot olisivat irti tietoverkosta. Käytännössä tällöin käytetään jotakin ulkoista laitetta, kuten irrotettavaa kovalevyä, cd-levyä tai dvd:tä.
Tietoturvaterveiset organisaatioille
Organisaatioille Pekkarinen antaa kaksi ajankohtaista ja tärkeää vinkkiä. Ensinnäkin Pekkarinen kehottaa seuraamaan kyberturvallisuuskeskuksen tiedotteita, erityisesti haavoittuvuuskoosteita, jotka kannattaa tilata sähköpostiin. Ne lähetetään kerran päivässä automaattisesti. Tiedotteessa kerrotaan, mitä haavoittuvuuksia eri ohjelmistoissa ja laitteissa maailmalla on kullakin hetkellä havaittu. Kyberturvallisuuskeskukselle kannattaisi myös raportoida kyberturvallisuuteen liittyvistä havainnoista ja poikkeamista. Näin saadaan paremmin kansallisella tasolla hahmotettua kyberturvallisuuden tilaa.
Toinen vinkki koskee tunnistautumista:
”Kaikkein kriittisimmissä toiminnoissa kuten palveluiden ja palvelimien hallinnassa ja ylläpidossa kannattaisi ottaa tunnistautumisessa käyttöön erillinen älykortti tai laitteistopohjaiseen varmennusavaimeen perustuva käyttäjän todentaminen. Tämä on paljon varmempi ja hakkeriturvallisempi tapa kuin käyttää pelkästään salasanoja”, Pekkarinen kertoo.
Työn vastapainona tekniikka, hyvä kahvi ja lentäminen
Haastavan työn vastapainoksi Pekkarinen harrastaa kaikenlaista tekniikkaan ja elektroniikkaan liittyvää suunnittelua ja rakentelua:
”Joku voisi kysyä, miten tällainen aivo- ja suunnittelutyö toimii työn vastapainona, mutta itse koen sen rentouttavana. Tällä hetkellä työn alla on esimerkiksi kodin automaatiojärjestelmän kehittäminen; miten saadaan paras mahdollinen hyöty pörssisähköstä optimoimalla sähkön kulutusta tarpeen ja tuntihinnan mukaan”, Pekkarinen kertoo.
Toinen arkisempi asia, jonka avulla Pekkarinen rentoutuu, on etätyöpäivien kahvihetki:
”Tällöin valmistan herkullisen espressopohjaisen cappuccinon jauhamalla sen ensin kahvipavuista, valmistamalla niistä espresson ja vaahdottamalla vielä maidonkin päälle. Välillä pavutkin saattavat olla itse paahdettuja. Koen kahvinvalmistamisen monivaiheisen prosessin rentouttavaksi.”
Kokonaisvaltaisemmin töistä pääsee muihin ajatuksiin ilmailuharrastuksen parissa. Pekkarinen on suorittanut yksityislentäjän lupakirjan, mikä mahdollistaa yleisilmailukoneen vuokraamisen vaikkapa paikallisesta ilmailukerhosta. Koneella pystyy lentämään paikallislentoa maisemia ihaillen, esimerkiksi auringonlaskua katsellen. Pidemmätkin lennot ovat mahdollisia kokemuksen karttuessa. Pekkarinen haluaa vielä painottaa, että lentämisen ilmastopäästöjä kompensoi se, että ilmailuharrastajat ovat vapaaehtoisina hyvin tärkeässä roolissa esimerkiksi metsäpalovalvontalentojen ja kadonneiden henkilöiden etsintälentojen järjestämisessä.