Turvaluokitellulla kehittämisellä tarkoitetaan työtä, jota tehdään sellaisen materiaalin parissa, joka on määritelty salaiseksi tai vähintään rajoitetuksi. Turvallisuusluokiteltua työtä tehdään usein valtiohallinnon turvallisuuskriittisissä organisaatioissa, kuten esimerkiksi Puolustusministeriössä.
twodayn asiantuntijat – arkkitehti ja asiakkaiden määrittelyistä vastaava Lasse Kulmala, sovellusarkkitehti ja scrum master Samuli Lappi sekä liiketoimintapäälikkö Mika Immonen – raottavat bunkkerin ovea siihen, millaista on työskennellä yhteiskunnan toimivuuden kannalta kriittisten turvaluokiteltujen projektien parissa, salaisuuksia säilyttäen.
He kertovat muun muassa:
- Eroaako arki turvaluokitellun projektin ja tavanomaisen kehitystyön välillä
- Millaisia ovat mahdollisuudet etätöihin turvaluokituksen piirissä
- Mitä tulisi ottaa huomioon, kun harkitsee uraa turvaluokiteltujen projektien parissa
- Työn parhaita puolia ja syitä, miksi he ovat viihtyneet alalla pitkään
Turvaluokittelu määrää työskentelytavan – näin varmistetaan turvallinen kehittäminen
Turvallisuus on ensisijainen prioriteetti, kun työskennellään turvaluokiteltujen projektien parissa. ”Ensinnäkin kaikki työntekijämme turvaluokitelluissa projekteissa ovat turvaselvitettyjä, mikä tarkoittaa, että heidän on läpäistävä Supon turvataustatarkastus ennen kuin he voivat työskennellä turvaluokitellun materiaalin parissa”, kertoo Mika Immonen. Tämä on olennainen menettely, jolla varmistetaan, etteivät herkät tiedot päädy vääriin käsiin.
Turvallisuuskriittisissä projekteissa noudatetaan sekä toimittajan että asiakkaan tietoturva- ja tietosuojapolitiikkoja, mutta asiakkaan käytännöt määrittävät pääasiallisen toimintatavan. Tämä voi tarkoittaa, että jotkin toimittajan työkalut, kuten sähköposti ja kalenteripalvelut, eivät ole käytettävissä yhteistyössä asiakkaan kanssa.
Ei ole yhtä vastausta sille, millaista on työskennellä turvaluokitetussa projektissa. Eri tasoisia turvaluokituksia on useita.
”Korkeimman luokan turvaluokitellut työt edellyttävät esimerkiksi järeämpiä fyysisiä turvatoimia, kuten ikkunattomia huoneita, omien laitteiston (kuten henkilökohtaiset mobiililaitteet) käyttökieltoa, lukittuja ovia ja valvottuja tiloja”, Mika kertoo.
Juuri twodaylla turvaluokiteltu työ ei ole Mikan mukaan synonyymi bunkkerille, sillä useimmat projektit ovat turvaluokitusten keskikastia.
"Meidän projekteissamme kaikista korkeimman tason turvamekanismeja ei yleensä edellytetä. Tiimimme voi suorittaa ohjelmistokehitystä ja suunnittelua asiakkaan asettamien vaatimusten mukaisesti, joka voi sallia myös etätyöskentelyn. Mutta, jos kyseessä on turvaluokiteltu materiaali, sitä käsitellään ja tarkastellaan vain erityisesti tähän tarkoitukseen varatulla laitteistoilla ja verkoilla, jotka sijaitsevat turvallisuudeltaan varmennetuissa tiloissa”, Mika jatkaa.
”Lasse esimerkiksi tarkastelee tarvittavat tiedot turvatiloissa, minkä jälkeen hän voi palata tavalliseen työympäristöönsä ja jatkaa työtä kuten missä tahansa muussa ohjelmistokehitysprojektissa.”
Metallibunkkerista etätyöhön – pandemia muutti työtapoja
Toisin kuin moni saattaa kuvitella, työ turvaluokiteltujen projektien kanssa ei tarkoita kellarissa koodamista ikkunat pimennettyinä. Koronapandemian seurauksena monet asiat muuttuivat, raivaten tietä valoisammille työskentelytavoille.
“Kuvitelmat turvaluokitellusta työskentelystä synkissä metallibunkkereissa ovat nykyään pääasiassa vanhentuneita stereotypioita. Meilläkin tehtiin vielä muutama vuosi sitten kaikki työt turvatiloissa. Pandemian myötä työskentelyolosuhteemme ovat käyneet läpi perusteellisen evoluution, ja tämä uusi normaali on tullut jäädäkseen meille, ja myös asiakkaillemme”, kertoo Mika Immonen, liiketoimintapäällikkö Cloud Solutions & Integrations -yksiköstä.
Nykyään osa turvaluokitelluista töistä voidaan tehdä etänä. Lasse Kulmala sekä Samuli Lappi iloitsevat tästä muutoksesta, sillä se tarkoittaa heille vapautta. Toimistolla käydään tarvittaessa, mutta etänä pidettävät asiakaskokoukset ovat päivittäisiä.
“Kuvitelmat turvaluokitellusta työskentelystä synkissä metallibunkkereissa ovat nykyään pääasiassa vanhentuneita stereotypioita. Meilläkin tehtiin vielä muutama vuosi sitten kaikki työt turvatiloissa. Pandemian myötä työskentelyolosuhteemme ovat käyneet läpi perusteellisen evoluution."
Mika Immonen, liiketoimintapäällikkö, Cloud Solutions & Integrations
Turvaluokitellun projektin ja tavanomaisen kehitystyön erot: yhteistyö, laatu ja määritykset
Asiakasyhteistyössä korostuu avoimuus, rehellisyys ja vuorovaikutus
Turvaluokitelluissa projekteissa asiakasyhteistyö on syvällisempää kuin tavallisissa kehityshankkeissa, Mika kertoo. Haasteiden selvittäminen asiakkaan kanssa on yksi turvaluokiteltujen projektien erityispiirteistä.
Tyypilliset tavat ratkoa ongelmia muuttuvat turvallisuusmääräysten vuoksi. "Ei ole mahdollista vain lyödä koodia kollegalle, kun vastaan tulee haasteita. Sen sijaan meidän täytyy käydä läpi asioita paljon tarkemmin asiakkaan kanssa", Samuli selittää.
"Ei ole mahdollista vain lyödä koodia kollegalle, kun vastaan tulee haasteita. Sen sijaan meidän täytyy käydä läpi asioita paljon tarkemmin asiakkaan kanssa. Asiakkaamme ovat valmiita osallistumaan aktiivisesti prosessiin, mikä tekee työstämme entistä mielenkiintoisempaa."
Samuli Lappi, Konsultti, Cloud Solutions & Integrations
Palvelumuotoilulla keskeinen asema
Syvä ymmärrys asiakkaan tarpeista sekä palvelumuotoilun tärkeys korostuvat turvaluokitelluissa projekteissa. Lasse Kulmala toimii linkkinä asiakkaan ja palvelumuotoilijoiden välillä. Hän painottaa, että asiakkaan haastaminen on sallittua ja suotavaa. "Meidän on varmistettava, että navigoimme projektin suunnan oikein jo alusta alkaen", hän toteaa.
Turvallisuuskriittisten projektien asiakkaat ovat usein erittäin avoimia ja valmiita yhteistyöhön. He ymmärtävät, että läpinäkyvät keskustelut ja säännölliset palaverit ovat välttämättömiä projektin onnistumisen kannalta. "Asiakkaamme ovat valmiita osallistumaan aktiivisesti prosessiin, mikä tekee työstämme entistä mielenkiintoisempaa", Lasse lisää.
Tämä luo perustan syvemmälle yhteistyölle, missä asiat käydään läpi yksityiskohtaisesti yhteisissä palavereissa. Keskusteluissa arvostetaan mahdollisuutta käsitellä haasteita rehellisesti.
"Voimme tuoda esille myös ikäviä asioita ja jutella avoimesti mahdollisuuksista, ilman, että kenenkään tarvitsee pelätä", sanoo Mika.
Vähäinen vaihtuvuus tiimin puolelta sekä asiakkaiden arvostus vakautta kohtaan ovat myös keskeisiä tekijöitä, jotka tukevat pitkäjänteistä yhteistyötä.
"Meille on tärkeä varmistaa, että työntekijämme ovat tyytyväisiä, jolloin voimme taata asiakkaille ydintiimin pysyvyyden", Mika korostaa.
"Voimme tuoda esille myös ikäviä asioita ja jutella avoimesti mahdollisuuksista, ilman, että kenenkään tarvitsee pelätä."
Mika Immonen, liiketoimintapäällikkö, Cloud Solutions & Integrations
Tiukat määritykset
Turvallisuuskriittisille sovelluksille asetetut määritykset ovat tavallista tiukempia. Kehittämisessä käytettävät menetelmät, työkalut ja komponentit valitaan huolellisesti, ja niiden on läpäistävä tiukat turvallisuuskriteerit. Esimerkiksi kolmansien osapuolien kirjastoja tai työkaluja ei ehkä voida käyttää, ellei niiden turvallisuustaso ole varmistettu.
Kehittäjän näkökulmasta arki turvaluokitellun projektin ja tavanomaisen kehitystyön välillä näkyy juuri näissä tiukemmissa määrityksissä. ”Etäyhteyksiä ei aina voi muodostaa eivätkä kehittäjät aina pääse asiakkaan omaan testiympäristöön kiinni. Tietyllä tavalla ollaan muitten toimijoiden armoilla ja siksi kommunikaatio on erittäin tärkeä”, kertoo Lasse.
Tämä ei kuitenkaan ole niin huono asia, kuin mitä voisi ensin kuvitella.
“Näiden haasteiden takia asiakkaat ottavat usein aktiivisen roolin sovellusten versioiden asentamisessa ja ongelmatilanteiden ratkonnassa, mikä tekee tiiviistä ja avoimesta kommunikaatiosta entistäkin tärkeämpää", Lasse jatkaa.
Korkea laatu keskiössä
Laadunvarmistus on koko kehitysprosessin kulmakivi. Lasse ja Samuli kertovat, että laadun ehdoton priorisointi tekee työstä turvaluokiteltujen projektien parissa erityisen kiinnostavaa. "On erittäin palkitsevaa työskennellä ympäristössä, jossa laadusta ei tingitä", Lasse toteaa.
Ennen kuin koodi siirtyy tuotantokäyttöön, sen laatu on varmistettu perusteellisesti. Tämä tarkoittaa kattavia koodianalyyseja, testejä, ja sääntöjen noudattamisen tarkistamista, jotka yhdessä varmistavat, ettei koodissa ole virheitä.
“Lisäksi ulkopuoliset tietoturva-auditoinnit ovat yleisiä, missä sekä koodin että sen dokumentaation turvallisuus tarkistetaan huolella ennen käyttöönottoa”, kertoo Samuli.
"On erittäin palkitsevaa työskennellä ympäristössä, jossa laadusta ei tingitä"
Lasse Kulmala, Konsultti, Cloud Solutions & Integrations
Pitkät projektit ja vielä pidemmät työkaverisuhteet
Pitkät projektit ja vielä pidemmät työkaverisuhteet ovat turvallisuuskriittisen kehittämisen peruspilareita. Niille, jotka pohtivat uraa tässä ympäristössä, Lasse antaa vinkin: "Valitse paikka, jossa työntekijöitä arvostetaan ja missä on hyvä työilmapiiri. Työkaverit ja yrityskulttuuri ovat pitäneet minut täällä jo yli kymmenen vuotta."
Kehittäjät arvostavat työtään erityisesti, kun he voivat nähdä työnsä yhteiskunnallisen vaikutuksen. "Työn merkityksellisyys on korvaamatonta. Kun näkee, että omalla panoksellaan on todellista arvoa kansalaisten arjessa, se tuo työhön aivan uudenlaista syvyyttä", kertoo Samuli.
“Vaikka työstä ei voi vapaa-ajalla avoimesti puhua, työkavereille voi aina avautua. Päivät kuluvat nykyään toimistolla tai kotona, ei metallikuutioissa. Koronapandemian jälkeen työskentelytavat ovat avautuneet, ja työ on muuttunut paljon lähemmäksi normaalia ohjelmistokehitystä”, Mika jatkaa.
"Työn merkityksellisyys on korvaamatonta. Kun näkee, että omalla panoksellaan on todellista arvoa kansalaisten arjessa, se tuo työhön aivan uudenlaista syvyyttä."
Samuli Lappi, Konsultti, Cloud Solutions & Integrations
Työssä on viihdytty vuosia
Lassen mukaan työn parhaisiin puoliin kuuluu tiivis ja pitkäaikainen yhteisö, jossa kaikki tukevat toisiaan. "Olen viihtynyt täällä pitkään, koska täällä on kiva meininki, työkaverit ovat mukavia, ja työnteon kulttuuri on joustava ja avoin. Matala byrokratia ja vapaus tuoda omia ideoita pöytään ovat tehneet tästä paikasta ihanteellisen", Lasse kertoo.
"Kun viihdyt työyhteisössä ja koet työtehtävät kiinnostaviksi ja merkityksellisiksi, ei ole syytä harkita työpaikan vaihtoa", Samuli summaa.
"Olen viihtynyt täällä pitkään, koska täällä on kiva meininki, työkaverit ovat mukavia, ja työnteon kulttuuri on joustava ja avoin. Matala byrokratia ja vapaus tuoda omia ideoita pöytään ovat tehneet tästä paikasta ihanteellisen."
Lasse Kulmala, Konsultti, Cloud Solutions & Integrations
Haluatko sinäkin uraltasi vakautta, vapautta ja välittäviä työkavereita?