18.1.2017

Tekninen tietoturvatarkastus Fingridille

Insta toteutti Suomen kantaverkkoyhtiö Fingrid Oyj:n pilvipalveluna toimivalle, asiakasrajapintaan suunnatulle tiedonvaihtojärjestelmälle tietoturvatarkastuksen vuoden 2015 loppupuolella. Tietoturvatarkastus sisälsi penetraatiotestauksen sekä avaintenhallintaprosessin ja käyttöympäristön konfiguraation tarkastuksen. Projektin loppuraportissa tunnistettiin kehittämiskohteita ja riskialueita, joista asiakas voi raportoida omalle järjestelmätoimittajalleen.

Fingrid on yhteiskunnallisesti ja huoltovarmuuden näkökulmasta kriittinen toimija ja organisaatio. Tämän kaltaiselle yhtiölle tietoturvaan liittyy myös maineriski. Kun uusin projektinhallintamalli otettiin yrityksessä käyttöön, liitettiin tietoturva-auditointi osaksi prosessia. Kaikki uudet, käyttöön otettavat järjestelmät sekä kriittiset järjestelmäpäivitykset tarkastetaan. Niiden toiminnasta halutaan olla ehdottoman varmoja. ICT painottuu organisaation liiketoiminnassa vahvasti.  Tietojärjestelmät eivät ole vain liiketoiminnan tuki vaan sen mahdollistaja, ja kriittisiä järjestelmiä on useita.

”Tietoturvasta huolehtiminen on osa vastuullisuutta. Se on meille tärkeä arvo. Me vastaamme aina järjestelmistämme ja niiden tietoturvasta, vaikka ulkopuolinen taho ne toteuttaisi. Vastuu on meidän”, painottaa Fingridin ICT-johtaja Kari Suominen.

Yksittäinen haavoittuvuus voi vaarantaa koko  ICT-ympäristön tietoturvallisuuden


Tietoturvan merkitys on korostunut entisestään osittain siksi, että yksittäisiä erillisiä järjestelmiä ei juuri enää ole vaan järjestelmät on integroitu osaksi kokonaisuutta. Tällöin  yksittäinenkin haavoittuvuus voi vaarantaa organisaation koko ICT-ympäristön tietoturvallisuuden. Kokonaisuuden hallinta edellyttää vahvaa ammattitaitoa. Suominen kertoo Fingridin haluavan tehdä yhteistyötä vain huippuosaajien kanssa.

Tietoturvatarkastuksen tehnyt Instan tiimi kiittelee asiakkaan aitoa kiinnostusta projektia kohtaan. ”Yhteistyö oli rakentavaa, sillä asiakkaalla oli halu tehdä tarkastus kunnolla. Tavoitteena oli saada konkreettista tietoa, jonka avulla toimintaa päästään kehittämään ja tietoturvaa voidaan parantaa”, kertovat Instan tietoturva-asiantuntijat.

Fingridille tehty tietoturvatarkastus sisälsi:

  • penetraatiotestauksen
  • avaintenhallintaprosessin tarkastuksen
  • käyttöympäristön konfiguraation tarkastuksen

Loistavaa työtä

"Arvostan suuresti sitä ammattiosaamista, jota instalaiset projektissa osoittivat. Kaikki meni niin kuin sovittiin. Meillä auditoinneissa ovat aina mukana alusta saakka ICT:n ja auditoijan lisäksi liiketoimintayksikkö sekä järjestelmän toimittaja.
Tarkastukset ovat äärimmäisen hyvää oppia myös liiketoimin-nalle. He vastaavat lopulta palvelusta. Kun kaikki ovat alusta saakka mukana, on yhteistyö helpompi pitää avoimena ja kes-kusteluyhteys säilyy koko projektin ajan. Näin oli myös nyt.”
Fingrid Oyj:n ICT-johtaja Kari Suominen

Fingrid

Fingrid Oyj on suomalainen julkinen osakeyhtiö, joka vastaa sähkön siirrosta Suomen kantaverkossa. Maanlaajuinen kantaverkko on keskeinen osa Suomen sähköjärjestelmää ja sen kautta kulkee noin 75 prosenttia kaikesta Suomessa käytetystä sähköstä. Kantaverkko on sähkönsiirron runkoverkko, johon ovat liittyneet suuret voimalaitokset ja tehtaat sekä alueelliset jakeluverkot. Fingridin vastuulla ovat kantaverkon käytön suunnittelu ja valvonta sekä verkon ylläpito ja kehittäminen.