Operaatio Otava on nykyajan Stella Polaris

Sisältääkö tuottamasi asiakirja salassa pidettävää sisältöä? Olet varmasti usein joutunut pohtimaan tätä kysymystä.

Salaisia tietoja käsitellään julkishallinnon tehtävissä ja julkisoikeudellisissa yhteisöissä, joiden on noudatettava tiedonhallintalakia. Salainen asiakirjaleima tulee monelle tutuksi myös elinkeinoelämän palveluksessa.

Jatkosodan aikana vuonna 1944 toteutettiin operaatio Stella Polaris (Pohjantähti). Silloinen tiedustelujohto halusi varmistaa salaisen tiedon siirtämällä 300 asiakirjalaatikkoa laivalla Ruotsiin. Vierailin viime kesänä länsirannikolla kyseisen operaation muistomerkillä, jolloin havahduin pohtimaan, miten nyky-yhteiskunnassa vastaavassa tilanteessa tietoa suojattaisiin ja varmistettaisiin. 

Kriittinen tieto hajautettava maantieteellisesti

Asiakirjat ovat nykyään pääosin digitaalisessa muodossa. Datan käsittelyprosessit ovat muuttuneet melkoisesti  80 vuodessa. Kriisitilanteessa ei tarvitse enää pakata asiakirjoja laatikoihin ja lähettää laivalla naapurimaahan. Tieto on tallennettu järjestelmiin ja varmennettu maantieteellisesti hajautetuille palvelimille.

Venäjän hyökkäyssodasta saatujen oppien myötä on yhä tärkeämpää hajauttaa kriittistä tietoa maantieteellisesti. Ukrainalaiset ovat oivaltaneet tämän. He pystyvät hyödyntämään tallennettua tietoa sodan aikana luovasti, vaikka hyökkääjä on tuhonnut tietoliikenteen kohteita.  

Tiedon käytettävyys kannattaa turvata siis jo ennalta. Kuvitteellisen tiedontallennusoperaation voisi nimetä esimerkiksi Ison karhun tähtikuvion muodostaman kauhamaisen tähtikuvion Otavan mukaan.

Kurkotus yötaivaalle vie tiedontallentajan ajatukset myös kohti ”pilveä”, joka saattaa johtaa harhaiseen ajatukseen höttömäisestä ja epävakaasta tallennusympäristöstä. Pilviharson takana pilkottaa kuitenkin järjestelmällinen, vakaa ja kestävä osakokonaisuuksien muodostama hybriditoteutus erilaisista tallennus- ja käyttöympäristöistä.

Ohjeet tiedon salaukselle ja käsittelylle

Salaisten asiakirjojen käsittelyyn liittyy tiedonhallintalain lisäksi useita säädöksiä ja valtiovarainministeriö on julkaissut parin vuoden aikana liki saman verran täydentäviä suosituksia. Tiedon rajattu jakaminen on tärkeää organisaatioiden ja yksilöiden toiminnalle, joten menettelytavat on syystäkin ohjeistettava mahdollisimman tarkasti. Ohjeistus antaa hyvät perusteet myös salaisen tiedon käsittelylle.

VM:n tammikuussa 2023 julkaisema suositus (VM:n julkaisuja 2023:4) kuvaa salassa pidettävien asiakirjojen käsittelyyn liittyviä vaatimuksia. Suosituksessa on pyritty tuomaan esiin paine jatkuvaan reagointiin, jonka yhteiskunnallinen muutos aiheuttaa.

Tarkka ohjeistaminen muuttuvassa yhteiskunnassa luo kuitenkin myös haasteen ihmisten ja organisaatioiden omaksumiskyvyille. Perinteisten asiakirja-arkistojen ajasta otetaan juuri nyt askeleita tietovarastojen ja -altaiden suuntaan. Tiedon avoimuuden ja saatavuuden hyötyä haastaa datan rajaaminen hallitusti eri käyttäjille. Säädösten ja suositusten tavoitteena on luoda vaatimuksia, jotka määrittävät perusteet toimintaa tukeville tiedonhallintajärjestelmille.

Tietoturvaa käytettävyyden kustannuksella?

Asiakirjojen tai muun tiedon suojaaminen luo myös oman haasteensa prosessien ja palveluiden sujuvuudelle. Joskus voi olla tarkoituskin rajata jotain tietoa laajalta näkyvyydeltä. Tiukka tietoturva ja tiedon rajaton saanti tarkoittavat siis jatkuvaa tasapainoilua käytettävyyden näkökulmasta. Kun tiedon saannille asetetaan vielä erityinen aikakriittisyys, salaisen tiedon käsittely vaatii erityistä huomiota.

Pandemia-aika on lisännyt etätyötä ja pakottanut luomaan uusia malleja salaisen tiedon käsittelylle. VM:n suosituksissa on esimerkkejä turvallisuusalueiden ulkopuolella tehtävälle työlle.

Säädökset ottavat salattavuuden kohdalla kantaa asiakirjoihin. Digitaalisessa maailmassa tieto koostuu muustakin kuin asiakirjapohjaisesta tiedosta. Yksittäinen, esimerkiksi sensorin tuottama data, saattaa olla irrallisena hyvinkin harmiton tietoalkio. Kun se yhdistetään tarkoituksella tai esimerkiksi järjestelmävirheen takia tahattomasti johonkin muuhun tietoon, suojausluokitus saattaa muuttua.  

Salaisten asiakirjojen tai tietojen tietoturva on kriittisimmillään, kun tietoaineistoja siirretään tietoverkosta toiseen. Siirtoon liittyy aina riskejä, jotka on otettava huomioon, kun tarkastellaan tarpeiden pohjalta hyötyjä ja vaikuttavuutta suhteessa riskeihin. Uusien teknologioiden käyttöön liittyy aina riskejä. Esimerkiksi pilvipalveluissa väijyvät lainsäädäntöjohdannaiset, tietojen fyysiseen sijaintiin ja määräysvaltaan liittyvät uhat.

Määrittele mikä on salaista

Jatkosodan aikana pelättiin, että tärkeä tiedustelutietoa sisältävät asiakirjat tai tiedusteluhenkilöstö joutuvat Neuvostoliiton haltuun, jolloin voi paljastua, kuinka sotilaallista tietoliikennettä oli pystytty seuraamaan ja avaamaan salakirjoitettuja sanomia. Silloiset tiedon tuottajat tunsivat vastuunsa varmistaa salaisen tiedon säilyvyys.

Tämän päivän riskienhallinta pohjautuu skenaarioihin tulevaisuuden häiriötilanteista. Parhaimmatkaan suositukset eivät poista tiedon tuottajan vastuuta määrittää, mikä on salaista tietoa ja miten sitä tulisi käsitellä niin, että tieto olisi käytettävissä luotettavasti niille, jotka sitä tarvitsevat. Data muuttuu informaatioksi vasta kun se saa merkityksen, joten tiedon leimaaminen salaiseksi haastaa tekijänsä jatkossakin, vaikka teknologia siinä osin voisi auttaakin. Operaatio Otava on käynnissä.  

__________________________________________________________

• Puntaroitko sinä parhaillaan turvallisuus- ja riskienhallinnan ongelmia? Kannattaa kysyä neuvoa asiantuntijalta. Fujitsu toimittaa turvallisia ratkaisuja ja palveluita myös salaisten asiakirjojen ja tietojen hallintaan. Tietoturvalliset pilvipalvelut, tietoturvaluokitellun tiedon välittäminen eri verkkojen välillä ja käyttäjien pääsyn hallinta ovat ydinosaamistamme. Autamme mielellämme ratkaisemaan haasteitanne salaisenkin tiedon hallinnassa.

---