Kuinka yliopisto turvaa arkaluonteisen tutkimustiedon, suojaa opiskelijoiden yksityisyyden ja navigoi digitaalisessa toimintaympäristössä? Vuoden tietoturvapäällikkönä palkittu Juha Malmivaara kertoo, miten Tampereen yliopisto on vienyt tietoturvaa eteenpäin sekä peräänkuuluttaa yhteistyötä ja tekoja koko yhteiskunnan huoltovarmuuden parantamiseksi.
Tampereen yliopiston (TUNI) tietoturvapäällikkö Juha Malmivaara aloitti työnsä vuonna 2019, kun Tampereen yliopisto ja Tampereen teknillinen yliopisto yhdistyivät muodostaen uuden korkeakouluyhteisön. Tähän yhteisöön kuuluu myös Tampereen ammattikorkeakoulu (TAMK).
“Pienen kaupungin kokoisen organisaation alkuaikoina tietoturva ei ollut ykkösasia, sillä monet perusasiat oli laitettava kuntoon tietoliikenteestä ja palkanmaksusta lähtien. Sen jälkeen tietoturva oli helpompi saada tekemisen agendalle”, muistelee Malmivaara.
Tekemistä riitti, sillä taklattavana olivat kolmen oppilaitoksen erilaiset toimintakulttuurit ja tietoturvakäytännöt. Lisähaastetta tarjosi koronaepidemia, joka sulki kampukset ja ajoi opiskelijat, tutkijat ja muun henkilökunnan etäopiskeluun ja -töihin. Poikkeusoloihin sopeutuminen sujui kuitenkin yllättävän kivuttomasti.
“Olimme uusi organisaatio, joka oli rakentanut toimintaympäristönsä SaaS:n ja pilvipalveluiden varaan. Tämä toi mukanaan skaalautuvuutta, mikä helpotti nopeaa siirtymistä etämaailmaan”, sanoo Malmivaara.
Yhteistyöllä parempaa tietoturvaa
Toimintaympäristön monimuotoisuus asettaa omat haasteensa Tampereen yliopiston tietoturvalle. Käyttäjäryhmiä on paljon, omien opiskelijoiden ja henkilöstön lisäksi esimerkiksi tiedekasvatuksen yhteistyöhön osallistuvat koululaiset ja erilaiset yhteistyökumppanit. Yhteisö on kansainvälinen, ja tietoturvaan liittyvät toimintatavat saattavat vaihdella. Lisämausteensa soppaan tuovat myös opiskelijoiden ja henkilökunnan omat laitteet.
“Avoimen tieteen ja sensitiivisen tutkimustiedon yhteensovittaminen ei ole helppoa. Olemme lähteneet ratkaisemaan sitä panostamalla vahvaan tunnistautumiseen ja identiteetin suojaamiseen. Niiden kautta on pääsy eri ympäristöihin. Tämän hetken ponnistuksena ollaan tuomassa käyttöön helppoa tiedon riskipohjaista tunnistamista ja käsittelyä”, kertoo Malmivaara.
Toinen tärkeä toimenpide on ollut yhteistyön lisääminen muiden korkeakoulujen kanssa. Malmivaara on ollut aktiivisesti muodostamassa yliopistojen tietoturva-asiantuntijoiden luottamusverkostoa (YO-ISAC), jonka tavoitteena on parantaa yliopistojen kyberturvallisuutta ja tiedonvaihtoa tietoturva-asioissa. Käytännössä tämä tarkoittaa muun muassa säännöllisiä tapaamisia, uhkakartan päivittämistä ja tietoturva-aiheisia työpajoja.
“Tampereen yliopistolla on hyvä ja kokenut tietoturvatiimi, vaikkakin aika kompakti. Pienemmissä yksiköissä ei välttämättä ole omaa tietoturvatiimiä lainkaan. Siksi tarvitaan verkostoitumista ja tiedonvaihtoa eri korkeakoulujen kesken”, arvioi Malmivaara.
Automaatio ja tekoäly tehostavat uhkien torjuntaa
CGI voitti loppuvuodesta 2023 CSC:n (Tieteen tietotekniikan keskus Oy) laajan yhteishankinnan, jossa haettiin korkeakouluille sekä muille CSC:n yhteistyötahoille kyberturvallisuuskeskus (CSOC) -palveluja eli tietoturvan valvonta- ja reagointipalveluja. Nämä palvelut otettiin käyttöön Tampereella huhtikuussa 2024.
“55 prosenttia hälytyksistä tulee työajan ulkopuolella, joten tämä on iso parannus kykyymme toimia. Uhkien torjunnassa automaatio on avainasemassa. Ihminen reagoi kalasteluun hitaasti. Sen sijaan automaatio ja tekoäly tunnistavat uhat nopeasti ja pystyvät reagoimaan niihin minuuteissa”, sanoo Malmivaara.
Tulevaisuuden kannalta tärkeä asia on YO-ISAC-ryhmän luoma valtakunnallinen malli tiedonluokittelulle ja -käsittelylle. Malli otetaan käyttöön Tampereella ensi vuonna ja se mahdollistaa turvallisen tiedon jakamisen ja tekoälytyökalujen käytön koko korkeakoulukentässä.
“Meillä on historiataakkaa tietojen arkistoinnissa”, Malmivaara myöntää. “Tavoitteena on luoda prosessit, joilla taakka ei ainakaan kasva ja vanhaa ympäristöä voidaan siivota.”
CSOC (Cyber Security Operations Center) -palvelussa valitut teknologiat ja tietoturva-asiantuntijoiden tiimi valvovat asiakkaan järjestelmiä, tunnistavat ja analysoivat poikkeamia sekä reagoivat tarvittaessa havaittuihin tietoturvauhkiin. CSOC-palvelutoteutuksessa järjestelmiä valvotaan ja turvataan sekä poikkeamiin reagoidaan ympäri vuorokauden. Kuva: Jonne Renvall, Tampereen yliopisto.
55 prosenttia hälytyksistä tulee työajan ulkopuolella, joten tämä on iso parannus kykyymme toimia. Uhkien torjunnassa automaatio on avainasemassa. Ihminen reagoi kalasteluun hitaasti. Sen sijaan automaatio ja tekoäly tunnistavat uhat nopeasti ja pystyvät reagoimaan niihin minuuteissa.
tietoturvapäällikkö, Tampereen yliopisto
Vuoden Tietoturvapäällikkö vaatii tekoja
Malmivaaran palkitseminen Vuoden Tietoturvapäällikkö 2024 -tittelillä lämmittää vuodesta 1988 asti tietoturvan parissa työskennelleen konkarin mieltä. Hän on uransa aikana toiminut aktiivisesti useissa verkostoissa, kuten esimerkiksi julkisen hallinnon digitaalista turvallisuutta Suomessa parantavassa VAHTI-työryhmässä varapuheenjohtajana.
Malmivaara haluaa muistuttaa korkeakoulujen tietoturvan merkityksestä osana yhteiskunnan huoltovarmuutta, sillä muuttunut geopoliittinen tilanne on tehnyt niistä houkuttelevia kohteita häirinnälle ja hakkeroinnille. Tällaisia tapauksia on jo noussut esille muun muassa Englannissa, Hollannissa ja Espanjassa. Pahimpina esimerkkeinä ovat tutkijastatuksella toimineet vakoilijat Norjassa ja Virossa.
“Suomessa huoltovarmuuden parissa toimivat organisaatiot ovat tämän näkökulman huomioineet, mutta lainsäädäntö ei ole pysynyt perässä. Yliopistot esimerkiksi rajattiin pois EU:n NIS2-direktiivistä (Network and Information Security 2 Directive), jonka tavoitteena on parantaa kyberturvallisuuden tasoa koko unionissa”, harmittelee Malmivaara.
