Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
1. Tietoturva ja digitaalinen turvallisuus
maakuntien toiminnassa
8.2.2018 Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus
2. Esitykseni sisältö
‒ Valtiovarainministeriön rooli
‒ Mistä tässä kokonaisuudessa on kyse?
‒ Miten uusi VAHTI toimii ja edistää kyberturvallisuutta?
‒ Miten organisaatiosi voi kehittää digitaalista turvallisuutta –
mitä apuja VAHTI tarjoaa?
‒ Kutsu ja mahdollisuus yhteistyöhön
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
2
3. @kimmo
3
Kimmo Rousku
VAHTI-pääsihteeri
kimmo.rousku@vrk.fi
Puh. 029553 5120
@kimmorousku
Kutsuthan minut
verkostoosi?
‒ ATK-ICT-alalla v 1985 saakka ~nörtti
‒ Valtionhallinnossa v 1994-
‒ Tietohallintotausta, joka muuttunut
viimeisen ~10 v aikana tietoturva-
kyberturvallisuus –riskienhallinnaksi
‒ Olen kirjoittanut v. 1993-2017 noin
~20 teosta
‒ TiVi-Turvasatama-blogi v 2012 alkaen
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
4. Valtiovarainministeriön rooli
Valtiovarainministeriön tehtävänä on (1) julkisen hallinnon
tietoturvallisuuden yleinen kehittäminen ja (2) valtionhallinnon
tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta
tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä
perustuu useisiin säädöksiin.
Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki
viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden
arvioinnista (1406/2011), valmiuslaki (1552/2011), valtioneuvoston ohjesääntö
(262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003).
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
4
5. Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä
- VAHTI
‒ Valtiovarainministeriö on asettanut VAHTIn toimimaan
julkisen hallinnon digitaalisen turvallisuuden
kehittämisestä ja ohjauksesta vastaavien
organisaatioiden yhteistyö-, valmistelu- ja
koordinaatioelimenä.
‒ VAHTIn asema on kirjattu voimassa oleviin valtioneuvoston
periaatepäätöksiin Suomen kyberturvallisuusstrategiasta
2013 ja valtionhallinnon tietoturvallisuuden kehittämisestä
2009. Lisäksi VAHTIlla on keskeinen rooli kyberturvallisuus-
strategian toimeenpano-ohjelman v. 2017 – 2020
toteuttamisessa.
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
5
7. Tietoturvallisuus
‒ Tietoturvallisuus = tiedon saatavuus + eheys +
luottamuksellisuus ja mikäli mukana henkilötietoja,
huomioitava tietosuoja
‒ Tietoturvallisuus on tietosuojan mahdollistaja
Saatavuus
Eheys
Luottamuksellisuus
Kimmo Rousku
28081999-1234Tietosuoja
Huomioitava
aina!
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
7
8. Kyberturvallisuus
‒ Tietoturvallisuus näyttäytyy hyvin vahvasti tietojen, osin
tietojärjestelmien näkökulmasta
‒ Kyberturvallisuus tarkoittaa laaja-alaisesti digitaalisen
toimintaympäristön (virtuaalinen bitti / ICT-maailma mutta
myös fyysinen maailma) toiminnan turvaamista, johon
kuuluu myös datan ja informaation käsittelyyn liittyvät
fyysiset rakenteet (konesalit, sähkönjakelu, henkilöstö jne).
Kyberturvallisuutta on myös kyky sietää näitä uhkia
(resilienssi).
‒ Kyberturvallisuuteen voidaan vaikuttaa useilla erilaisilla keinoilla,
tietoturvauhan lisäksi myös hybridivaikuttamisen keinoin
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
8
9. Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
9
- informaatiovaikuttaminen
(muista myös ptrollaus )
Ja muita keinoja ovat esimerkiksi
psykologiset, poliittiset,
taloudelliset, tekniset,
humanitaariset ja sotilaalliset
keinot
12. Toimintaan kohdistuvat vaatimukset 12
Toiminnan johtaminen
Riskienhallinta
Toimintaan kohdistuvat tieto- ja kyberturvauhat
Varautuminen häiriötilanteisiin
Tekninen turvallisuus
Tietoturvallisuus
Kaiken toiminnan ja tiedon saatavuuden ja eheyden turvaaminen
Henkilötiedot – tietosuoja Salassa pidettävä tieto – luottamuksellisuus
Hallinnollinen turvallisuus
Suojattava tieto | kohde | toimintaHenkilöstö
Toiminnan mittaaminen ja vaatimusten hallinta sekä arviointi
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
13. Mistä tässä kaikessa on kyse? Vaatimustenmukaisuus
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
13
14. Ja päätavoite
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
14
Tuottamamme palvelut ovat turvallisia ja niihin voidaan luottaa.
#luottamus #menestys
Kehitämme turvallisuutta hyödyntäen tarkoituksenmukaisesti uutta
teknologiaa
Johtaminen ja riskienhallinta – henkilöstön koulutus – teknisen
turvallisuuden kehittäminen, esimerkiksi havainnointikyky ja reagointi
16. Kyberturvallisuusstrategia - KyberTPO
‒ Turvallisuuskomitea julkaisi 20.4.2017 Suomen
kyberturvallisuusstrategian toimeenpano-ohjelman uuden
version, joka kokoaa yhteen julkisen hallinnon merkittävät
kyberturvallisuutta parantavat hankkeet ja toimenpiteet
vuosille 2017–2020.
‒ Ohjelma on jaettu kolmeen kokonaisuuteen, joista
ensimmäisessä ovat johtamiseen, säädöksiin sekä muihin
toimintoihin liittyvät ei-teknisluontoiset toimenpiteet.
‒ Toisessa kokonaisuudessa ovat digitaalisiin palveluihin
liittyvät parannustoimet ja kolmannessa kokonaisuudessa
jatkuvaluontoiset toimenpiteet, kuten koulutukseen,
tutkimukseen ja harjoituksiin liittyvät asiat.
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
16
17. Job well done!
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
17
"Finland is a leading expert in cybersecurity. In fact,
we should be calling you pretty soon. You do do a
fantastic job with cybersecurity, and I
congratulate you. And I think in a very short period
of time, we're going to be right there with you, believe
me. The United States is a very proud partner of
Finland's European Center of Excellence to counter
modern threats, including cyberattacks."
19. Kyber- ja tietoturvallisuuden kehittäminen, ohjaus ja yhteistyö
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
19
Valtionhallinnon digitaalisen turvallisuuden johtaminen
Valtioneuvoston ja
hallinnonalojen
tietoturvaryhmät
Turvallisuuskomitea
JUHTA
TIETOKEKO
Valmiuspäällikkökokous
NSA-yhteistyöryhmä
Operatiiviset toimijat (mm.
ICT-palvelu- ja
kyberturvallisuuskeskukset)
20. Yhteistyön laajentaminen – VAHTIn uudet peruspilarit
‒ 1. Johtaminen ja riskienhallinta JORI
‒ Tietoturvallisuuden hallintajärjestelmä sekä riskienhallinta
‒ 2. Toiminnan jatkuvuuden hallinta TOJA
‒ Ennakoiva suunnittelu ja varautuminen normaaliolojen häiriöihin ja poikkeusoloihin, tarvittava
harjoittelu ja testaaminen
‒ 3. Turvallisuus kehittämisessä TUKE
‒ Uusien asioiden toteuttamisessa (hankkeet, projektit, muu toiminta) edellytettävät
vaatimukset
‒ 4. Turvallisuuden ylläpito TUTO
‒ Operatiivisen toiminnan ylläpito
‒ 5. Seuranta ja arviointi SETI
‒ Vaatimustenmukaisuus, tavoitteiden asettaminen ja saavuttamisen arviointi, mittaaminen
20
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
21. VAHTIn toimintasuunnitelma v.
2017-2019
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
21
Keskeiset tehtävät v 2017:
2.1 Tietoturvasäädöstön uudistaminen
ja toimeenpano => siirtyminen v 2018
2.6 JUHTA-yhteistyö
2.6.1 Tietosuojakoulutukset
2.6.2 Osoitusvelvollisuuden
toteuttamisen yhteishanke
22. VAHTIn toiminta
‒ Mukana toiminnassa >50 organisaatiota, noin 130 johtajaa,
esimiestä ja asiantuntijaa johtoryhmä, sihteeristö ja viidessä
asiantuntijaryhmissä
‒ Valtionhallinnon organisaatiot
‒ Kuntien edustajat
‒ Sairaanhoitopiirien edustajat
‒ Yliopistojen edustajat
‒ VAHTI järjestää vuosittain useampia seminaari-
/koulutustilaisuuksia, lokakuussa järjestetään 2. julkisen
hallinnon digitaalisen turvallisuuden teemaviikko
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
22
24. Vaatimustenmukaisuus – vuonna 2018
‒ Tietoturvallisuusasetus 681/2010 -
https://www.finlex.fi/fi/laki/alkup/2010/20100681
‒ Tietoturvallisuuden perustaso
‒ 5§ ja siellä olevat 10 kohtaa
‒ VAHTI-ohje 2/2010 ja sen liite 5 antavat ohjeet perus- ja korotetun tietoturvatason
osalta
‒ Vastaavasti toiminnan jatkuvuutta voidaan kehittää sekä ICT-
varautumisen ohjeistuksen (2/2012) sekä Toiminnan jatkuvuuden
hallinnan (2/2016) avulla
‒ Kaikessa toiminnassa tarvitaan riskienhallintaa – uusi ohje ja
prosessi sekä työkalu saatavilla – VM 22/2017 Ohje
riskienhallintaan Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
24
25. Vaatimustenmukaisuus – vuonna 2019
‒ Tiedonhallintalain myötä korvautuu tietoturvallisuusasetus ja
ennen kaikkea kansallisen salassa pidettävän tietoaineiston
luokittelu
‒ Suojaustasot poistuvat, mutta turvallisuusluokitellun tiedon osalta jäävät
(esimerkiksi kansallinen turvallisuus)
‒ Samoin tietoturvatasot poistuvat ja tilalle tulee tietoturvallisuuden
vähimmäistaso, joka edellyttää jatkossa paremmin myös saatavuuden ja
eheyden varmistamista kaiken toiminnan osalta ja luottamuksellisuuden
varmistamista kun kyse on salassa pidettävistä tiedoista
‒ Toteutamme ja rakennamme tätä varten kokonaan uudet työnimellä VAHTI
100-kulkevan vaatimuskehikon – organisaatio | tietojärjestelmä | hankinta –
vaatimukset sekä näiden auditoinnin & tarkastuksen mahdollistavat
auditointikriteerit – mallia mahdollista pilotoida loppuvuoden aikana
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
25
26. Mukaan autiosaarelle – aloita näistä?
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
26
27. Bonuksena
Tämä ohje on laadittu tukemaan asiointipalveluiden suunnittelua,
hankintaa, toteuttamista ja kehittämistä. Ohje kuvaa yleisellä
tasolla, kuinka turvallisuuden eri osa-alueet tulee ottaa huomioon
sähköisiä asiointipalveluita suunniteltaessa ja niitä toteutettaessa.
Ohjeessa kerrotaan yhteenveto sähköisen asioinnin
tietoturvallisuutta säätelevistä laeista ja viitekehyksistä. Ohjeen
avulla halutaan auttaa muodostamaan kokonaisnäkemys
sähköisen asioinnin keskeisistä tietoturvauhista.
Ohje tarjoaa käytännön neuvoja sähköisen asiointipalvelun
tietoturvallisista rakenneratkaisuista ja toimintamalleista, ja
havainnollistaa niitä sähköisen asioinnin viitearkkitehtuurin ja
julkishallinnon konkreettisten case-esimerkkien kautta. Ohje
tarjoaa perustiedot julkisen hallinnon sähköisen asioinnin
tukipalveluista ja niiden tarjoamista hyödyistä tietoturvallisuuden
varmistamisessa. Ohje kokoaa sähköisiä asiointipalveluita
tarjoaville tahoille velvoittavat vaatimukset sekä tarjoaa
suositusluonteisia ohjeita ja hyviä käytäntöjä.
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
27
28. VAHTI-henkilöstön ja johdon tietoturvabarometri
‒ Valtiovarainministeriön asettama Valtionhallinnon tieto- ja
kyberturvallisuuden johtoryhmä (VAHTI) toteutti syksyllä
2016 julkisen hallinnon organisaatioille ja henkilöstölle
suunnatun VAHTI-tietoturvabarometrin.
‒ Tähän vapaaehtoiseen kyselyyn osallistui 97
organisaatiota: 66 valtionhallinnon ministeriötä, virastoa
tai laitosta, 30 kuntaa sekä yksi sairaanhoitopiiri.
Mahdollisia vastaajia kyselyyn oli yli 168 000 ja
vastauksia saatiin 13 915, jolloin vastausprosentiksi
muodostui 8,3 %. Organisaatioiden johdolle esitettiin
erikseen 15 lisäkysymystä koskien tietoturvallisuuden
tärkeyttä, sen toteuttamisen vaikeutta sekä toteuttamisen
onnistumista organisaatiossa. Näihin kysymyksiin saatiin
742 vastausta.
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
28
29. ‒ Kyselyssä tuli esiin useita myönteisiä havaintoja, mutta
myös kehitettävää. Kyselyn positiivisimpia havaintoja oli se,
että vastaajat pitävät tietoturvallisuutta keskeisenä
työnteon mahdollistajana (93,1 %). Lisäksi lähes kaikki
vastaajat (96,4 %) kokivat olonsa joko hyvin turvalliseksi
tai melko turvalliseksi päätelaitteilla työskennellessään.
Valtaosa vastaajista (96,2 % ) piti myös
tietoturvallisuuden toteuttamista organisaatioissa
vähintään hyvänä. Johto näki tietoturvallisuuden hyvin
tärkeäksi (3,60 asteikolla 1–4 ), sen toteuttamisen
keskivaikeaksi (2,52) ja toteutumisen kohtalaisen hyväksi
omassa organisaatiossa (2,82).
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
29
30. ‒ Kehittämiskohteeksi nousevat henkilöstön säännöllinen
tietoturvallisuuden eri osa-alueet kattava koulutus ja
tiedottaminen ajankohtaisista tietoturvallisuuden
uhkakuvista. Erityisesti mobiililaitteiden käyttö,
häiriötilanteessa toimiminen sekä salasanojen hallinta
edellyttävät lisäkoulutusta. Vastaavasti tyytyväisimpiä
koulutuksen ja ohjeistuksen määrään oltiin
toimitilaturvallisuuden (44,4 %), sähköpostin käytön (43,7 %)
ja henkilötietojen käsittelyn (43,5 %) suhteen. Myös teknistä
tietoturvallisuutta tulee kehittää edelleen, esimerkiksi
ottamalla käyttöön salasanojen hallintaohjelmia sekä
tunnistamalla ja estämällä uusia huijauskeinoja.
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
30
39. Yhteistyö
‒ VAHTIssa toimii asiantuntijajaoston alaisuudessa viisi
asiantuntijaryhmää, joihin toivomme laaja-alaista
osallistumista
‒ Samoin mahdollistamme osallistumisen VAHTI-kuukausi-
infoon, joka on katsaus VAHTI-toimintaan Skype/Lync-
kokouksena
‒ Ilmoittautuminen: vahti@vrk.fi
Tietoturva ja digitaalinen turvallisuus maakuntien
toiminnassa - 8.2.2018
39