Facebook Twitter LinkedIn Sähköposti

Paljon vartijana 15 miljardin tietoturvayksikössä

Henri Burtsov vartioi ryhmänsä kanssa Suomen kallisarvoisimpia tietoja. Eri puolilla maata humisevat palvelimet, joista on pääsy minun, sinun, lapsesi ja maan johdon terveystietoihin ja maksettuihin sosiaalietuuksiin. Väärissä käsissä tällä datalla voisi horjuttaa koko yhteiskuntaa.
Teksti Ville KorhonenKuvat Vilja Harala

Kelan tietoturvayksikön päällikkö Henri Burtsov on saapunut aamukahdeksaksi Kelan päätoimitaloon Helsingin Töölöön. Alvar Aallon suunnittelemassa ja vuonna 1956 valmistuneen talon neuvotteluhuoneessa hän istuu pienen pöydän ääreen. Ennen ensimmäistä kysymystä keskustelulle asetetaan raja, johon palaamme useasti.

­­”Kerron työstäni mielelläni, mutta kaikesta en voi voi puhua.”

Ymmärretään. Tietoturvan kannalta Kelan toimintaympäristö ei ole vain haastava vaan kriittinen. Maailmalta löytyy esimerkkejä haavoittuvista vastaavista järjestelmistä ja tietomurroista. Niistä lisää vähän myöhemmin.

Maailmalta löytyy esimerkkejä kriittisistä tietomurroista.

Burtsov on lähtenyt linnunlaulun aikaan Jyväskylästä, jossa Kelalla on iso osa it-toiminnoistaan.

”Tarkemmin me ei oikein voida julkisesti avata sitä, mitä me teemme milläkin paikkakunnalla.”

Emme avaa, mutta ymmärtääkseen Burtsovin työtä täytyy ymmärtää mitä kaikkea Kelassa tehdään.

Kaikesta jää jälki

Kelan tehtäväkenttä on muuttunut ja laajentunut siitä, kun Kansaneläkelaitoksen päätoimitalo makasi vielä Alvarin ja Ainon piirustuspöydällä. Nyt sen toiminta läpäisee sekä pankki- että vakuutusaloja.

Eduskunnan alaisesta ja sen valvomasta Kelasta on tullut kaikkia kansalaisia jossain vaiheessa elämää palveleva sosiaaliturvan hoitaja.

Samaan aikaan kun Burtsov hörppii päätalossa aamukahviaan, kelalaiset aloittelevat työpäiväänsä ja päivän ensimmäisiä Skype-kokouksiaan. Naapurihuoneessa innovoijat kokeilevat uusia työtiloja VR-lasit päässä. Asiantuntijat antavat lausuntoja terveystietojen toissijaisen käytön lainvalmistelun tueksi, kirjoittavat tärppejä työttömyysturvan suojaosasta, pohtivat lohkoketjutekniikan mahdollisuuksia etuusratkaisuissa ja valmistelevat kuntoutuspalvelujen kilpailutuksia.

Monessa asiassa tavoitteemme on olla edelläkävijä.

Yhteiskunta on siirtynyt verkkoon. Kelan palveluneuvojat kohtaavat päivässä 10 000 asiakasta kasvokkain, verkkohakemuksia jätetään 40 000. Päivässä palvellaan 13 000 puhelinasiakasta ja samassa ajassa tallennetaan Kanta-palvelujen potilastiedon arkistoon 1,3 miljoonaa asiakirjaa.

”Tekniikka kehittyy nopeasti, samoin ihmisten tarvitsemien palveluiden kirjo ja odotukset. Siksi Kelassa on panostettu vahvasti innovointiin. Monessa asiassa tavoitteemme on olla edelläkävijä.”

Sosiaalietuuksia maksetaan lähes joka päivä 54 miljoonaa euroa, vuodessa yli 14 miljardia. Kaikkia toimintoja yhdistää tietoverkossa liikkuvat ykköset ja nollat ja niiden määrä kasvaa koko ajan. Jokaisesta käynnistä, puhelusta ja reseptistä jää jälki tietojärjestelmiin, joka tallentuu johonkin niistä konesaleista, joista tässä haastattelussa ei tarkemmin puhuta.

Tietoa yhdistelmällä voitaisiin jo nyt luoda hintalappu, jonka perusteella esimerkiksi kansainväliset terveyspalveluja tarjoavat yritykset tai vakuutusyhtiöt tai asuntolainoja myöntävät rahoituslaitokset voisivat tarjota tai olla tarjoamatta palveluja. Olemme kaikki heidän potentiaalisia asiakkaitaan.

”Datan määrä kasvaa eikä kukaan tiedä, mitä kaikkea sillä voidaan tehdä viiden tai vaikkapa kymmenen vuoden päästä. Lainsäädäntö on usein askelen perässä”, Burtsov sanoo ja kurtistaa otsaansa.

Yksi Suomen suurimmista it-taloista

Kela toimeenpanee, laskentavasta riippuen, sataa lakiin perustuvaa etuutta ja vastaa sekä terveydenhuollon että kansalaisten Kanta-palveluista. Käytännössä jokaiselle etuudelle on Kelassa rakennettu oma järjestelmänsä.

Tätä tietotekniikkajärjestelmien verkostoa organisaatio rakentaa ja ylläpitää pitkälle itsenäisesti. Kaikkiaan liki 8 000 työntekijän organisaation it-yksikkö työllistää noin 750 ihmistä. Se tekee Kelasta yhden Suomen suurimmista it-taloista.

”Tätä ei moni alalla työskenteleväkään tiedä.”

Osaaminen ja omistajuus on haluttu pitää talossa.

Järjestelmien ylläpito, lainmuutosten takia tehtävät muutostyöt sekä uusien järjestelmien toteuttaminen ovat kuitenkin vain osa it-työtä. Sovelluksia on kehitettävä koko niiden elinkaaren ajan.

”Se on ollut organisaatiolta tietoinen valinta. Osaaminen ja omistajuus on haluttu pitää talon sisällä ja toisaalta hankintaketjut lyhyinä. Esimerkiksi tietoturvaan liittyviin tilanteisiin pystytään reagoimaan tämän ansiosta välittömästi.”

Parhaimmista osaajista kilpaillaan. Burtsovin mukaan alan palkkaus ei julkisella puolella jää enää jälkeen yksityisestä sektorista etenkään erikoisosaajiltaan. Syväosaajat ovat merkittävässä roolissa Kelan tietoturvan kannalta. Reagointinopeus on valttia, jos jotain sattuu.

”Työ on merkityksellistä ja yhteiskunnan elintärkeiden toimintojen turvaamista. On kuitenkin selvää, ettei pelkästään sillä voida kilpailla.”

”Voiko se tapahtua meillä?”

Vuoden 2018 heinäkuussa Singaporesta kuului hurjia. Asukasluvultaan Suomen kokoisen kaupunkivaltion pääministeri kertoi Facebookissa, että terveydenhuollon tietokannasta oli varastettu hänen ja 1,5 miljoonan kansalaisen tai maassa hoitoa saaneen henkilötiedot.

Tapaus on Burtsoville tuttu.

”Erilaisia tietomurtoja tapahtuu maailmalla jatkuvasti. Tämä oli tietysti iso, mutta kyllä jokainen tietoturvapoikkeama on vakava asia.”

Singaporessa murtautujien käsiinsä saamat tiedot sisälsivät noin 16 000 ihmisen lääkemääräykset, mutta eivät muita terveystietoja. Hyökkäyksen kohteena oli tietojen mukaan ennen kaikkea pääministeri. Perimmäinen syy jäi hämärän peittoon.

”Yleisiä motiiveja tietomurtoihin ovat raha, poliittinen vaikuttaminen, tiedustelu ja liputtaminen.”

Rahaa voidaan vaatia esimerkiksi vaikeasti jäljitettävissä virtuaalivaluutoissa varastettuja tietoja tai digitaalista avainta vastaan, jolla rikollisten salaamat tiedostot voitaisiin avata.

Poliittisessa vaikuttamisessa halutaan saada vastustaja näyttämään huonolta tai aiheuttaa yhteiskunnallista kuohuntaa.

Liputtamisella taas tarkoitetaan huomion hakemista muilta samankaltaisilta toimijoilta, esimerkiksi hakkereilta. Varastetaan jotakin ja julkaistaan se huomion ja arvostuksen hankkimisen motivoimana.

Singaporen mammuttimaisesta murrosta kirjoitettiin yli 400-sivuinen julkinen raportti. Paperitöitä ja erilaisten selvitysten tekemistä on myös Burtsovin työ.

­”Aika vähän olen hyökkäysten kanssa suoraan tekemisissä. Asioista raportoidaan ja tehdään selvityksiä. Yksin näitä hommia ei voi tehdä, ja yhteistyö eri viranomaisten kanssa on säännöllistä.”

Muutama viikkoa aiemmin Kelan järjestelmiä on testattu tarkoituksella kohdistetulla murtotestausjaksolla. Niiden tuloksista ei voida puhua, mutta Burtsovin mukaan Kelassa kaksi tärkeintä asiaa on kunnossa.

”Talon henkilökunta ymmärtää tietoturvan merkityksen ja johdolta saatu tuki sekä resurssit antavat meille mahdollisuuden keskittyä työhömme.”

”Nukun yöni ihan hyvin.”

Haastattelulle varattu aika on lopussa. Yläkerroksessa alkaa tilaisuus, johon Burtsovilta on tilattu esitys. Ovella lähtöä tekevältä tekee mieli vielä kysyä sen sisällöstä.

”Siitä en voi tarkemmin puhua.”

Entä voidaanko Singaporen kaltaiset murrot estää meillä?

”Sen eteen tehdään töitä ja harjoitellaan säännöllisesti. Nukun yöni ihan hyvin.”