Oulun yliopiston hallituksen kokouksen 16.12.2024 pöytäkirjan 9 § koskee sisäisen tarkastuksen raportointia. Kyseisen kohdan liiteluettelo on seuraava:
Näistä erityisen kiintoisiin kuuluu mm. osittain salassapidettävä (tietoturva ja) käyttövaltuushallinta -dokumentti. Kyseisten prosessien toimivuudesta minullakin on henkilökohtaista kokemusta. Erinäisiä esihenkilötason käyttövaltuuksia tarvinneita hyväksymistehtäviä on tarjottu vielä yli vuosi myöhemmin jäätyäni niistä pois 1.1.2024.
Oulun yliopistossa esim. UFO-käyttäjätunnuksen on saanut pelkällä yksikönjohtajan päätöksellä tarvitsematta missään vaiheessa todistaa henkilöllisyyttään. Keillä muilla on ollut valtuus myöntää käyttäjätunnus? En viitsi spekuloida, mutta selvisiköhän tämä tarkastuksessa? Toivottavasti tilanne on muuttunut.
Tietoturvassa on muitakin isoja ongelmia, joista toivottavasti ei koskaan seuraa tai ole seurannut mitään ikävää. Kuitenkin mm. Major Incident Management (MIM) -valmiuden olisi sisäisessä tarkastuksessa pitänyt saada arvio ”housut kintuissa odotamme taivaankannen putoamista”.
Mm. käyttäjätunnuksia on kalasteltu yliopiston verkon sisällä jo pidempään. Kuinhahan moni on saanut yliopiston sisältä lähtenyttä ’Microsoftin’ sähköpostia, jossa pyydetaan uudellenkirjautumista yliopiston tilille? Olet ehkä nähnyt tuon kirjautuessasi palveluihin, joten asianmukaiselta näyttävä kalastelusähköposti voi hämätä. Mikäli kyse on useamman yliopistolaisen tietokoneeseen pesiytyneestä haittaohjelmasta, niin tunnusten ahkerakaan vaihto ei taida heti auttaa.
Suosittelenkin mielestäni erittäin perustellusti, että kukaan ei käyttäisi yliopistolla käyttämäänsä tunnusta ja salasanaa missään muussa palvelussa.
Kokouksessa 16.12.2024 raportoidut havainnot ja johtopäätökset sain kirjaamosta olennaisilta osiltaan salattuina. Pitäisikö salaamisperusteeksi tulkita intressi piilottaa tietoturvan todellinen tila? Sisäisen tarkastuksen käsitys mm. käyttövaltuuksien hallinnasta on kohtelias ”C: tyydyttävä”. Onko tuo jokin neuvottelutulos?
Koko raportti on tämän artikkelin lopussa. Voinemme tulkita sen salatut osuudet kriittisiksi ”kehityskohteiksi”: Ehkä Oulun yliopiston ei tarvitse tavoitella ISO27001 -sertifikaattia, mutta ryhdistäytymisen tarvetta on ollut ja on edelleenkin melkoisesti.
Kiitos mielenkiintoisesta tarkastelusta yliopiston käytänteisiin. Olen usein, niin kuin nytkin, ihmetellyt yliopiston salauskäytäntöjä. Nytkin ”Salassa pidettävä JulkL 621/1999, 24.1§, 7 ja 17-k”.
****** 24 §:n 1 mom. kohta 7: salassa pidettäviä ovat asiakirjat, jotka sisältävät tietoja yksityisestä henkilöstä, hänen taloudellisesta asemastaan, terveydestään, henkilökohtaisista oloistaan jne. (henkilötietosuoja).
****** 24 §:n 1 mom. kohta 17: salassa pidettäviä ovat asiakirjat, jotka koskevat mm. valvontaa, tarkastuksia tai viranomaisen varautumista tiettyihin tilanteisiin, jos julkisuus vaarantaisi valvonnan tai turvallisuuden tarkoituksen toteutumisen.
Mitä tietoja yksityisestä henkilöstä on tuossa dokussa, mikä sen vuoksi on salassapidettävä?
Jo pitkään on tuntunut siltä, että ne julkisuuslain pykälät, joiden perusteella hallituksen pöytäkirjoista salataan asioita, on arvottu lottokoneella.
Työni puolesta teen asiakirjoihin salassapitomerkintöjä, ja haluan korjata Pekka Kessin kirjoitusta noiden julkisuuslain kohtien osalta. JulkL 24.1§ 7-k käsittelee: ”…henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat…”. Kyseessä ei siis ole henkilöihin liittyvät tiedot. Ja JulkL 24.1§ 17-k puolestaan koskee: ”…asiakirjat, jotka sisältävät tietoja valtion, hyvinvointialueen, kunnan tai muun julkisyhteisön tai 4 §:n 2 momentissa tarkoitetun yhteisön, laitoksen tai säätiön liikesalaisuudesta,…”. Dokumentista on salattu tietoja tieturvan ja julkisyhteisön (=yliopisto) liikesalaisuuksien perusteella. Kokonaan nuo pykälät julkisuuslain mukaan salattavista tiedoista löytyvät Finlex-sivuston kautta https://www.finlex.fi/fi/lainsaadanto/1999/621#chp_6__sec_24__heading . Ja tietojen salaamisperusteita löytyy toki muistakin säädöksistä.
Ohje on ytimekäs: ei pidä käyttää samaa sähköpostitunnusta ja salasanaa missään muussa palvelussa. Tätä olisi tietohallinto voinut vastuuttoman salailun sijaan painottaa kertomalla yliopiston sisäverkon turvattomuudesta.
Tämä ei ollenkaan ole moite Katariinalle vaan lähinnä hypoteettinen pohdiskelu: Hallinto-oikeus voisi ”happotestata”, sisältyykö noihin salattuihin kohtiin sellaisia yliopiston turvajärjestelyihin tai liikesalaisuuksiin liittyviä asioita, jotka on lain nojalla salattava. Rohkenen epäillä.
Täsmennän vielä, että minä teen salassapitomerkintöjä, toiset tahot tekevät arviot ja päätökset siitä mitkä tiedot ovat salassapidettäviä. Toki annan kysyttäessä oman mielipiteeni ja näkemykseni siitä mitkä lainkohdat voisivat kulloinkin olla salassapidon perusteina :o)
Tietoturvaselvitys on ollut hallituksessa jo yhdeksän kuukautta sitten. Se on dynamiittia, sillä virheiden ja laiminlyöntien salailua ei voi hyväksyä yliopistossa.
Oulun yliopistolla on eettiset periaatteet, joista yliopiston johto ei näytä piittaavan paskan vertaa https://www.oulu.fi/fi/yliopisto/eettiset-periaatteet.
Olen pyytänyt ko. liitedokumentin muutaman muun ohessa 16.1.2025 ja saanut ne 30.1.2025. Pystyin sensuroinnista huolimatta mielestäni hyvin päättelemään kipupisteet ja päätin antaa aikaa korjauksille. Tilanteessa oli turha lietsoa huolta.
NIS2 on valitettavan hampaaton korkeakoulujen suhteen, https://etn.fi/index.php/tekniset-artikkelit/13-news/17159-nis2-direktiivissae-on-korkeakoulujen-kokoinen-vuotava-aukko
Meillä on aika paljonkin tutkimusta, jonka pitäisi mennä kriittinen toimija -kategorian alle. Sellaista tekevien pitäisi pystyä varmistumaan siitä, että infran käyttö on turvallista. Lääkiksellä homma on hyvin hoidossa (käyttävät esim. Helsinki / CSC / kohta ilmeisesti täällä Oulussakin), mutta muilla varmasti erittäin kirjavasti.
Ensimmäinen askel kohti NIS2-direktiivin velvoitteita olisi ISO27001-velvoitteiden täyttäminen, mihin pyrittäessä kevyeksi väliaskeleeksi sopii vaikkapa ISO9001. Oulun yliopiston nykyinen laatujärjestelmä ei pääse edes tuon jälkimmäisen tasolle (ihan alkuun: mikä tässä yliopistossa on laatupoikkeama ja missä on poikkeamarekisteri? Noiden kautta pääsisi korjauksiin, jne.)
Tietenkin mielenkiintoista olisi nähdä yliopiston johdon kyvykkyys tietojärjestelmäkatastrofiharjoituksen puitteissa, jollaisia NIS2 edellyttää. Lisäksi edellytetään haavoittuvuuksien jatkuvaa metsästystä ja seurantaa. Epäilenpä, että tuollaiset operaatiot eivät jäisi yliopistoväeltä huomaamatta, kuten ei se oikeakaan katastrofi.
Mutta kuulemma tuurilla isotkin laivat seilaavat.
Olen tiedekunnassani nähnyt kaksi kierrosta valmistautumista yliopiston PDCA-laatujärjestelmän auditointeihin. Sen mukainen suunnittelu, toteuttaminen, arviointi ja kehittäminen tuntuvat liittyvän eniten laatujärjestelmään itseensä ilman heijastuksia yliopiston arkeen (muutoin kuin hukattu aika). Kun yliopiston johtamista olen seurannut, niin tämä voi olla enemmän etu kuin haitta.