Rahoituslaitoksen toimitilahankkeiden turvallisuusriskit, case: Rahoituslaitos X
Tähtinen, Tapio (2011)
Tähtinen, Tapio
Laurea-ammattikorkeakoulu
2011
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201104204565
https://urn.fi/URN:NBN:fi:amk-201104204565
Tiivistelmä
Tämän työn tarkoituksena oli kartoittaa erään Suomessa toimivan rahoituslaitoksen (Rahoitus-laitos X) toimitilahankkeisiin liittyvät turvallisuusriskit ja löytää sopivat toimenpiteet näiden riskien hallitsemiseksi. Toimitilahankkeet ovat keskeisin osa rahoituslaitos X:n eri toimipisteiden mittavampaa huollollista ylläpitoa sekä uusien toimitilojen rakentamista. Näiden hankkeiden lopputuotoksena valmistuvat rahoituslaitoksen toiminnan vaatimat toimitilat valtakunnallisesti. Työ toteutettiin toiminnallisena opinnäytetyönä, Rahoituslaitos X:n turvallisuusyksikön toimeksiannosta. Kohdelaitoksen turvallisuusyksikössä nähtiin tarve selvittää toimitilahankkeisiin kohdistuvat riskit, sekä ne tekijät, jotka vaativat turvallisuusyksikön huomiota. Tarve tähän nousi johtuen hankkeiden turvallisuuskonsultoinnin järjestelyistä, joista johtuen rahoituslaitoksen oma turvallisuusyksikkö ei juurikaan ole mukana tarkastelun alaisissa hankkeissa.
Tavanomaisista rakennushankkeiden ja muidenkin projektien riskinäkemyksistä poiketen, tässä tarkastelussa, olivat kohteena turvallisuusriskit, jotka uhkaavat rahoituslaitoksen turvallisuuspolitiikan mukaisia suojattavia arvoja. Näin ollen tarkastelussa ei otettu kantaa esimerkiksi hankkeiden budjetin tai aikataulun pitävyyteen niiltä osin, kuin mahdolliset turvallisuusriskit eivät niitä realisoituessaan voi vaarantaa. Turvallisuusriskillä viitataan tässä sellaisiin yritysturvallisuutta uhkaaviin sisäisiin ja ulkoisiin riskeihin, joilla voi olla niin vahinko- kuin liiketoimintariskeillekin ominaisia piirteitä. Turvallisuusriskitarkastelussa on huomioitu myös yhteiskunnan turvallisuustarpeet ja esimerkiksi rikollisuuden vaikutukset yritysturvallisuuteen.
Suomessa rahoituslaitosten, kuten myös esimerkiksi apteekkien ja patenttitoimistojenkin toimintaa ohjataan viranomaisten toimesta. Rahoituslaitoksille on näiden toimintaa ohjaavien pykälien myötä asetettu erikoisvaatimuksia koskien muun muassa pankkisalaisuuden alaisten tietojen suojaamista ja siten myös tietoturvallisuutta yleensäkin.
Vaikka tämä työ onkin toiminnallinen opinnäytetyö, täyttää hankkeiden tutkiminen ja riskienkartoitus laadullisen tutkimuksen tunnusmerkkejä. Riskikartoituksen edellyttämiä tietoja hankkeiden ominaisuuksista kerättiin toimintaan ja ohjeistukseen perehtymällä, osallisia tahoja haastattelemalla sekä toimintaa seuraten, havainnoinnin keinoin. Varsinaisessa riskien kartoituksessa hyödynnettiin Kansallisen turvallisuusauditointikriteeristön tietoturvaosiota, sekä tähän käyttöön muokattua haavoittuvuusanalyysiä. Hallintatoimenpiteitä määritettäessä hyödynnettiin kirjallisuuslähteiden lisäksi myös mainittuja finanssialaa sääteleviä lakeja ja säädöksiä, koska nämä antavat paikoin suoria vastauksia havaittujen riskien hallitsemiseksi.
Suurimmaksi ongelmaksi riskienhallinnan kannalta muodostui se, että toimitilahankkeet toteutetaan pääosin alihankintana. Tämä asettaa vaatimuksia muun muassa näiden alihankkijoiden luotettavuuden toteamiselle, sekä niille toimille, joilla varmistetaan se, että rahoituslaitoksille viranomaisten toimesta asetetut vaatimukset täyttyvät ja rahoituslaitoksen etu huomioidaan myös näiden tahojen toiminnassa. Tällaisen toiminnan hallinnoinnissa kattavasti laaditut ja aukottomat toimeksiantosopimukset ovat tärkeässä asemassa.
Tavanomaisista rakennushankkeiden ja muidenkin projektien riskinäkemyksistä poiketen, tässä tarkastelussa, olivat kohteena turvallisuusriskit, jotka uhkaavat rahoituslaitoksen turvallisuuspolitiikan mukaisia suojattavia arvoja. Näin ollen tarkastelussa ei otettu kantaa esimerkiksi hankkeiden budjetin tai aikataulun pitävyyteen niiltä osin, kuin mahdolliset turvallisuusriskit eivät niitä realisoituessaan voi vaarantaa. Turvallisuusriskillä viitataan tässä sellaisiin yritysturvallisuutta uhkaaviin sisäisiin ja ulkoisiin riskeihin, joilla voi olla niin vahinko- kuin liiketoimintariskeillekin ominaisia piirteitä. Turvallisuusriskitarkastelussa on huomioitu myös yhteiskunnan turvallisuustarpeet ja esimerkiksi rikollisuuden vaikutukset yritysturvallisuuteen.
Suomessa rahoituslaitosten, kuten myös esimerkiksi apteekkien ja patenttitoimistojenkin toimintaa ohjataan viranomaisten toimesta. Rahoituslaitoksille on näiden toimintaa ohjaavien pykälien myötä asetettu erikoisvaatimuksia koskien muun muassa pankkisalaisuuden alaisten tietojen suojaamista ja siten myös tietoturvallisuutta yleensäkin.
Vaikka tämä työ onkin toiminnallinen opinnäytetyö, täyttää hankkeiden tutkiminen ja riskienkartoitus laadullisen tutkimuksen tunnusmerkkejä. Riskikartoituksen edellyttämiä tietoja hankkeiden ominaisuuksista kerättiin toimintaan ja ohjeistukseen perehtymällä, osallisia tahoja haastattelemalla sekä toimintaa seuraten, havainnoinnin keinoin. Varsinaisessa riskien kartoituksessa hyödynnettiin Kansallisen turvallisuusauditointikriteeristön tietoturvaosiota, sekä tähän käyttöön muokattua haavoittuvuusanalyysiä. Hallintatoimenpiteitä määritettäessä hyödynnettiin kirjallisuuslähteiden lisäksi myös mainittuja finanssialaa sääteleviä lakeja ja säädöksiä, koska nämä antavat paikoin suoria vastauksia havaittujen riskien hallitsemiseksi.
Suurimmaksi ongelmaksi riskienhallinnan kannalta muodostui se, että toimitilahankkeet toteutetaan pääosin alihankintana. Tämä asettaa vaatimuksia muun muassa näiden alihankkijoiden luotettavuuden toteamiselle, sekä niille toimille, joilla varmistetaan se, että rahoituslaitoksille viranomaisten toimesta asetetut vaatimukset täyttyvät ja rahoituslaitoksen etu huomioidaan myös näiden tahojen toiminnassa. Tällaisen toiminnan hallinnoinnissa kattavasti laaditut ja aukottomat toimeksiantosopimukset ovat tärkeässä asemassa.