Fingridissä suhtaudutaan tietoturva-asioihin vakavasti välttämättömänä osana toimintaa. Energian huoltovarmuutta ylläpitävä yhtiö on aina ollut mieluiten askeleita edellä tietoturva-asioissa.
”Meille tietoturva on korkeimman prioriteetin asia. Olemme huoltovarmuusyhtiö, joka pitää valtakunnassa valot päällä ja sähkön liikkeessä”, perustelee Fingridin ICT-johtaja Kari Suominen.
Nyt Fingridin tietoturvan johtamisjärjestelmä on auditoitu ISO 27001 -standardin vaatimuksien mukaiseksi, mikä kertoo, että organisaation tietoturva on hyvällä tasolla. Siitä osoituksena Fingridille on myönnetty tietoturvasertifikaatti.
Suomisen mukaan sertifikaatti ei sinänsä ole itseisarvo, mutta tärkeä apuväline tietoturvan tason määrittelyssä.
Standardissa olevien valmiiden kriteerien seuraaminen helpottaa kaikkea toimintaa. Esimerkiksi sähköjärjestelmän murros, jossa tavoitellaan hiilineutraalia Suomea vuonna 2035, vaatii järjestelmien jatkuvaa päivittämistä ja automatisointia.
”Meillä on nyt todennettu johtamisen malli, joka vastaa vaatimuksia. Toimintamme on jo ollut pitkään standardin mukaista, mutta yhteiskunnan yhä sähköistyessä ja järjestelmien jatkuvasti muuttuessa on tärkeä pystyä seuraamaan, että tietoturva-asiat pysyvät jatkossakin kunnossa”, Suominen sanoo.
Monissa EU-maissa tietoturvan sertifiointia vaaditaan huoltovarmuuden kannalta kriittisiltä toimijoilta, kuten kantaverkkoyhtiöiltä.
”Tietoturvallisuuden sertifiointi saattaa tulla vaatimukseksi Suomessakin, kun asioita harmonisoidaan EU:ssa. Regulaatio ja lainsäädäntö alkavat mahdollisesti vaatia virallista tapaa toimia ja sen toimintatavan osoittamista, sertifikaattia. Nyt olemme siihenkin valmiina.”
Palvelutoimijoiden hallintamalli ja ICT-riskien hallinta ajan tasalle
Tietoturvasertifikaatin hankkiminen ei aiheuttanut Fingridissä suuria muutoksia, koska toiminta oli suurilta osin jo valmiiksi vaatimusten mukaista. Pientä korjattavaa kuitenkin ilmeni.
”Löysimme prosessin aikana ne asiat, jotka vaativat parantamista, ja saimme ne kuntoon. ICT-riskien hallintaa tuli parantaa, mikä olikin todella tärkeä tunnistaa”, Suominen sanoo.
Myös palvelutoimittajien hallintamalli otettiin tarkasteluun.
Myös palvelutoimittajien hallintamalli otettiin tarkasteluun. Suuri yhtiö tarvitsee monenlaisia kumppaneita myös kriittisissä toiminnoissa. Fingrid käyttää ulkopuolisia kumppaneita esimerkiksi palvelinjärjestelmien ja työasemien ylläpidossa.
”Toimitusketjun osallistujat pääsevät syvälle Fingridin tietoihin, joten meidän on tärkeä todentaa heidän tietoturvansa taso ja se, että myös heidän alihankkijoidensa tietoturva-asiat vastaavat vaatimuksiamme. Tähän välineeksi toteutimme standardiin perustuvan palvelutoimittajien hallintamallin”, tietoturvapäällikkö Jyrki Pennanen kertoo.
Yllättävän sujuva prosessi
Tietoturvan sertifikaatin Fingridille teki ja myönsi Nixu Certification Oy. Sertifiointiprosessi alkoi viime vuoden elokuussa ja sujui Pennasen mukaan yllättävän vaivattomasti, sillä sertifiointiin liittyvät tehtävät olivat Fingridissä lähinnä käytäntöjen dokumentointia.
”Loppuraportissa positiivisten löydösten määrä ylitti auditoijan mukaan poikkeamat ensimmäisen kerran hän urallaan”, Pennanen myhäilee tyytyväisenä.
Prosessissa mukana ollut SecWed Oy:n konsultti Jarkko Aula kiittää fingridiläisten tietoturvaosaamista.
Organisaation johto ja henkilöstö olivat hänen mukaansa alusta asti sitoutunutta sertifiointityöhön, ja asiat tehtiin yhdessä. Jos korjattavaa oli, toimeen tartuttiin nopeasti.
”Fingridissä vallitsee erityinen turvallisuus- ja tietoturvakulttuuri.”
”Fingridissä vallitsee erityinen turvallisuus- ja tietoturvakulttuuri, mikä teki projektista vaivatonta alusta lähtien. He ovat rautaisia asiantuntijoita.”
Sertifikaatin hankkiminen on ulkopuolisille toimijoille osoitus organisaation halusta kehittää tietoturvaa jatkuvasti.
”Sertifikaatti todistaa, että Fingridissä tietoturva otetaan vakavasti. Auditoinneilla seurataan jatkossakin, että tietoturvan taso pysyy sertifikaatin vaatimusten mukaisena”, Aula sanoo.
Avoimuuden kulttuuri kuuluu tietoturvaan
Tietoturvasertifikaatissa oli auditoitavana 20 fingridiläistä johdosta asiantuntijoihin, mutta todellisuudessa sertifikaatti kattaa koko Fingridin toiminnan.
Tietoturvapäällikkö Pennanen kehuu, että fingridiläiset ovat tietoturvan edelläkävijöitä. Työn luonteeseen kuuluu olla valppaana ja tuoda nopeasti esiin tietoturvaa uhkaavia ongelmia.
Avoimuuden kulttuuri on tärkeä osa tietoturvaa.
”Fingridiläinen on tietoturvan vahvin lenkki! Meidän henkilöstömme on tietoturva-asioissa koko ajan hereillä ja jos poikkeamia huomataan, niistä kerrotaan heti. Mikäli työtä tehdessä tulee virhe, siitä ilmoitetaan heti ja asia päästään saman tien korjaamaan”, Pennanen toteaa.
Tiedote Fingridille myönnetystä 27001 -tietoturvasertifikaatista
