Turvalliset valtiokonsernin palvelut

Turvalliset valtiokonsernin
palvelut

Apulaisjohtaja Kimmo Rousku
Valtiokonttori, Valtion IT-palvelukeskus

Sisältö
• Muuttunut uhkatilanne
• Tietoturvallisuuden peruspilarit - kertaus
- Luottamuksellisuus, eheys, saatavuus
 Miten nämä näkyvät tänä päivänä?
• Unohdetaan tietoturvallisuus!
- Uudenlainen näkymä
• Tietoturvallisuus palveluiden keskittämisen kannalta
• Miten edellä olevat toteutetaan VY-palveluissa?
• Tietoturvallisuuden keskittäminen valtiokonsernissa
- Edut ja haasteet
• Kimmon 8 teesiä tietoturvallisuuteen liittyen

Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku 26.10.2011

2011, Kimmo Rousku 26.10.2011

https://www.cert.fi/katsaukset/2011/tietoturvakatsaus3201
1.html

CERT-FI sai yhden urkinnan kohteeksi joutuneen henkilön
tietokoneen tutkittavaksi. Tietokoneessa olevasta ajantasaisesta
virustorjuntaohjelmistosta huolimatta koneelle oli piiloutunut
aiemmin tuntematon versio Zeus-haittaohjelmasta.

Tutkimuksissa ei paljastunut koska ja miten haittaohjelma oli
päässyt tietokoneeseen. Haittaohjelman määrittelytiedostosta
kuitenkin kävi ilmi, että se oli räätälöity suomalaisten pankkien
käyttäjien vakoilemiseen. Määrittelytiedostossa listattiin
kahdeksan eri suomalaista verkkopankkia, joiden asiakkaiden
pankkitunnuksia haittaohjelma oli ohjelmoitu varastamaan.

2011, Kimmo Rousku 26.10.2011

Tietoturvallisuuden peruspilarit
Luottamuksellisuus

Eheys

Saatavuus

2011, Kimmo Rousku 26.10.2011

Luottamuksellisuus
Tiedot ovat niihin oikeutettujen käytössä
• Kotona: säilytätkö ”asiakirjoja”
a) eteisen pöydällä
b) jossakin laatikossa
c) tietyssä, lukitussa laatikossa
d) tärkeimmät asiakirjat myös pankkiholvissa

• Työpaikalla:
- jotta voit käsitellä tietoja oikein, edellyttää se tietojen luokittelua – julkinen
vs. salassa pidettävä tietoaineisto

• 1.10.2010 voimaan astunut tietoturvallisuusasetus toi uuden luokittelun,
jonka mukaan tietoa pitää jatkossa käsitellä – valitettavan usein
organisaatio ei ole kuitenkaan tehnyt ns. luokituspäätöstä eli ottanut tätä
käyttöön
- Tulee hankaloittamaan tietojenvälitystä valtiokonsernin sisällä

2011, Kimmo Rousku 26.10.2011

Eheys

• Tieto ei saa muuttua hallitsemattomasti tai
muullakaan tavalla sen elinkaaren aikana
- Kotona: toivottavaa on, että kaikki talouteesi liittyvät asiakirjat pysyvät
muuttumattomina, toisaalta ei ole sinun vaan muiden organisaatioiden
huoli (pankki, viranomaiset)
- Työpaikalla: valtaosa tiedoistamme on tietojärjestelmissä, joissa on
käytettävissä eri keinoja tietoaineistojen eheyden valvomiseen
• Vai onko – esimerkki: mistä tiedät että lähettämäsi sähköpostiviesti ei
muutu matkan aikana?

2011, Kimmo Rousku 26.10.2011

Eheys

2011, Kimmo Rousku 26.10.2011

Saatavuus

• Tieto on osapuolien saatavilla (käytettävissä) silloin,
kun sitä tarvitaan
- Kotona:
• Itselläni yleensä juuri se paperi, jota olen etsimässä on
mystisesti ”kadonnut jonnekin”
- Työpaikalla:
• Koska toimintamme pohjautuu entistä enemmän
tietojärjestelmien varaan, sitä tärkeämmäksi nousee
tietojärjestelmien osalta taata niiden korkea käytettävyys ja
kyky palautua normaaliolojen häiriötilanteissa
toimintakykyiseksi niille määritetyssä ajassa

2011, Kimmo Rousku 26.10.2011

Tulevaisuuden sähköinen asiakirja / paperi (E4) osaa myös kertoa sijaintinsa.
VALDA v 20xx sisältää metatietona tiedot siitä, missä asiakirjaa sillä hetkellä
fyysisesti käsitellään pohjatuen gps-teknologiaan.
2011, Kimmo Rousku 26.10.2011

Erityinen huomio

• Edellä olevien merkitys vaihtelee tietojärjestelmittäin ja palveluittain:
- Luottamuksellisuus
• Tärkeys nousee tietoaineiston luokituksen noustessa – esimerkiksi julkisessa
tiedossa seuraavat kohdat ovat tärkeämpiä

- Eheys
• Mikä on sellaista tietoa, jolla ei nyt ole niin väliä, vaikka se muuttuisi?
• Ruokalista vs. pankkipalvelut

- Saatavuus
• Täytyykö ruokalistan olla aina saatavilla? Entäs pankkipalveluiden?

2011, Kimmo Rousku 26.10.2011

MAK – manuaalinen äänestyskone

BS eli
KYLLÄ NJAAA HL
Näinhän se En ole ihan
Olen
menee samaa
vahvasti eri
mieltä
mieltä

2011, Kimmo Rousku 26.10.2011

Tietoturvallisuuden peruspilarit

Luottamuksellisuus

Eheys

Saatavuus

2011, Kimmo Rousku 26.10.2011

Unohdetaan historia

• Uudenlainen tapa käsitellä tietoa, unohdetaan
perinteinen tapa ja mietitään asiaa toisesta näkökulmasta

2011, Kimmo Rousku 26.10.2011

Unohdetaan tietoturvallisuus!

• Terminä ”tietoturvallisuus” on auttamatta vanhentunut,
vaikka se kuvaa hyvin periaatetta – turvaamme tietoa
• Sen sijaan tuon tilalla pitäisi miettiä meidän jokaisen
toimintaa seuraavasta kolmesta näkökulmasta:
- Riskien arviointi
• Mikä toimintaamme uhkaa, onko mahdollista, mitä maksaa?

- Jatkuvuuden takaaminen
• Miten voimme taata ydintoimintamme (liiketoiminta)
häiriötilanteissa?

- Varautuminen ja toipuminen
• Mitä meidän tulee käytännössä tehdä, jos xxx on alhaalla?

2011, Kimmo Rousku 26.10.2011

Otetaan näkökulmaksi TIETO

Miten
TIETOA
Tieto suojellaan
elinkaaren eri
osa-alueissa?

2011, Kimmo Rousku 26.10.2011

Suojaustasomerkintä:ST I
Erittäin
Turvallisuusluokitusmerkintä:
salainen Korkea taso

ST II turvattavat
Salainen kohteet

Korotettu taso
ST III
Luottamuksellinen turvattavat
kohteet

ST IV Perustaso
turvattavat
Käyttö rajoitettu
kohteet

Julkinen tieto
2011, Kimmo Rousku 26.10.2011

Ratkaisu on tietoturvatasot
Perustaso 30.9.2013 mennessä
.. ja sama kaikilla hallinnonaloilla VM

Valtion talous- ja
Aluehallintovirastot Maistraatit Tilastokeskus Tullilaitos Valtiokonttori henkilöstöhallinnon Verohallinto VRK
palvelukeskus

2011, Kimmo Rousku 26.10.2011

Unohdetaan hetkeksi
perinteinen tietoturvallisuus

Varautuminen
ja toipuminen

Jatkuvuuden
takaaminen

Riskien
arviointi

2011, Kimmo Rousku 26.10.2011

Riskien arviointi

• Jos emme arvioi ylipäätään riskejä, miten voimme toimia
kustannustehokkaasti ja tarkoituksenmukaisesti?
- Miten voimme varmistua siitä, että tekemämme
päätökset ja investoinnit kohdistuvat sellaisiin
kohtiin, joissa todennäköisyys * seuraukset
ylittävät merkittävästi sen summan, joka
riskienarvioinnilla voitaisiin estää
• Jälleen tarkoituksenmukaisuus – KISS – Keep It Simple

2011, Kimmo Rousku 26.10.2011

Jatkuvuuden takaaminen

• Ei JOS vaan KUN jotain tapahtuu, pitää meidän olla
valmiina takaamaan yhteiskunnan toimivuus
normaaliolojen ohella poikkeusoloissa

Valtiokonttori on keskeinen
toimija useilla yhteiskunnan
turvallisuuteen liittyvillä osa-
alueilla, sillä tuotamme
palveluita yhteiskunnan
keskeisiin toimintoihin.

2011, Kimmo Rousku 26.10.2011

Varautuminen ja toipuminen

• Yksittäisen tietojärjestelmän tasolla meillä tulee olla kyky
toipua häiriöstä tietojärjestelmän ja sen edellyttämän
palveluarvon (liiketoiminnan) odotusten mukaisesti
- Mitä tärkeämmästä tietojärjestelmä on kyse, sitä
tärkeämmäksi tulee huolehtia palvelukohtaisista
teknologian sijaan muihin varajärjestelyihin liittyvistä
(toiminta)prosesseista

2011, Kimmo Rousku 26.10.2011


BS eli
NJAAA KYLLÄ HL
En ole ihan Näinhän se Olen
samaa menee vahvasti eri
mieltä
mieltä

2011, Kimmo Rousku 26.10.2011

Tietoturvallisuus palveluiden
keskittämisen kannalta
Uhat ja mahdollisuudet

Sen sijaan, että

• … valtiokonsernissa on x 000 internet-liityntää, joiden
tietoturvallisuudesta (palomuuri, 24/7-valvonta,
haittaohjelmien torjunta, hyökkäystentorjunta) emme voi
olla varmoja, on meillä Valtion yhteinen
tietoliikenneratkaisu VY-verkko
• … meillä olisi jatkossa x 00 viestintäratkaisua, joissa ei
ole kattavaa haittaohjelmien torjuntaratkaisua, erilaisia
toimintapolitiikkoja, meillä on Valtion yhteinen
viestintäratkaisu
• … ja sama toistuu muissa ratkaisuissa

2011, Kimmo Rousku 26.10.2011

Mahdollisuudet

• Keskittämällä palveluita saavutetaan tietoturvallisuuden
osalta esimerkiksi:
- Sellainen käyttö- ja tuotantoympäristö, joka ei ole
mahdollista tai kustannustehokasta jokaiselle yksittäiselle
virastolla
• Tuotantoympäristö täyttää tietoturvatasojen ja ICT-
varautumisen palvelulta edellyttämät vaatimukset
• Edellä kuvatut perus – korotettu – korkea taso

2011, Kimmo Rousku 26.10.2011

Mahdollisuudet

• Karsittua turhia ohjelmistolisenssejä, yhdenmukaistettua
prosesseja ja toimintatapoja
- Tästä käytännön esimerkki - keskitetty hallinta-, valvonta-
ja raportointi
- Valtion IT-palvelukeskus ottaa asiakkaalta tämän työn
vastatakseen toimittajan kanssa siitä
- Samoin me vastaamme toimittajien kanssa tehtävän
turvallisuussopimuksen valvomisesta, tarvittavien
henkilöiden turvallisuusselvityksistä sekä
vaitiolosopimuksista

2011, Kimmo Rousku 26.10.2011

Mahdollisuudet

• Sen sijaan että jokainen meistä auditoi ja skannaa satoja
/ tuhansia valtionhallinnon palveluita, tehdään se nyt vain
kerran
- Ongelma on juuri se, että kukaan ei pysty auditoimaan ja
skannaamaan kaikkia nykyisiä valtiokonsernin
(kymmeniä)tuhansia järjestelmiä
• Keskittämällä IT-palveluita tähän pystytään

2011, Kimmo Rousku 26.10.2011

Uhat

Entä kun jotain tapahtuu?
• Palveluiden jatkuvuus- ja toipumissuunnittelu täytyy olla
paremmalla tasolla kuin yksittäisen, virastokohtaisen palvelun
- Tärkeimmissä palveluissa tulee toteutuksessa harkita palvelun
monentamista (kahdentamista) tarvittavan palvelutason
saavuttamiseksi
• Organisaatiossa tulee olla mietittynä sen omaan toimintaan
liittyvät prosessit siltä osin, että se pystyy jatkamaan toimintaa
mahdollisen häiriötilanteen aikana – mikäli siihen on tarvetta

2011, Kimmo Rousku 26.10.2011

Miten edellä olevat asiat toteutetaan
Valtion IT-palvelukeskuksen
tuottamissa palveluissa?

2011, Kimmo Rousku 26.10.2011

Hallinnollinen tietoturvallisuus

• Valtiokonttori täyttää tietoturvatasojen edellyttämän
perustason ensi kuussa suoritettavassa
loppuauditoinnissa
- Tietojärjestelmätasolla huolehdimme vaatimusten
täyttämisestä seuraavilla sivuilla esitettävillä menetelmillä
• Valtion IT-palvelukeskus kehittää toimintaansa siten, että
sen tietoturvallisuuden hallintajärjestelmä täyttää ISO
27001-sertifiointivalmiuden v. 2013 kuluessa

2011, Kimmo Rousku 26.10.2011

TTT ja ICT-varautuminen

• Pääsääntöisesti Valtiokonttorin tuottamat palvelut
täyttävät korotetun tietoturvatason sekä korotetun
ICT-varautumisen tason
• Valtion IT-palvelukeskuksen tuottamat Valtion yhteiset IT-
palvelut on tarkoitettu normaalioloihin
- Niiltä osin kuin palveluilta odotetaan yhteiskunnan
turvallisuusstrategian mukaista toimintakykyä, sitä
kasvatetaan palvelukohtaisesti

2011, Kimmo Rousku 26.10.2011

Infrastruktuuri

Tietoturvallisuus hankkeen aikana
● riskien arviointi ● vaatimukset
● sopimukset ● auditointi ● hyväksyntä

Tietoturvallisuus jatkuvissa
VALTION IT-PALVELUKESKUKSEN palveluissa
PALVELU X
● perustiedot ● riskien arviointi
● jatkuvuussuunnittelu
● toipumissuunnittelu ● häiriöiden
hallinta ja viestintä ● auditointi
ja haavoittuvuusskannaus ●
raportointi ja toimittajayhteistyö
● vuosikello

2011, Kimmo Rousku 26.10.2011

Missä ongelmat syntyvät? Kustann
Mitä aikaisemmassa vaiheessa mahdolliset us-
ongelmat löydetään, sitä kustannus- kerroin
tehokkaampaa niiden korjaaminen on
100
Vaatimusmäärittely, kilpailutus ja
sopimukset ovat ratkaisevassa roolissa!
Tarvittavat auditoinnit
/ haavoittuvuusskannu
jatkuvassa palvelussa

10

Tarvittavat auditoinnit
hankevaiheen aikana
1
Aika
2011, Kimmo Rousku 26.10.2011

Valtion IT-palvelukeskuksen rooli vs.
TUVE-verkko ja palvelut

• Valtion IT-palvelukeskuksen tuottamat VY-palvelut eivät
täytä turvallisuusluokiteltavien asiakirjojen käsittelyssä
edellytettäviä vaatimuksia, joita tullaan arvioimaan
kansallisen turvallisuusauditointikriteeristön (KATAKRI)
vaatimuksia vastaan
- tietojen oikeudeton paljastuminen voi aiheuttaa vahinkoa
kansainvälisille suhteille, valtion turvallisuudelle,
maanpuolustukselle tai muille yleisille eduille julkisuuslain
24 §:n 1 momentin 2, 7 – 10 kohdissa tarkoitetulla tavalla.

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• 1. Keskittämällä IT-palveluita parannetaan
valtiokonsernin tietoaineistojen tietoturvallisuutta
- Organisaatioiden tulisi tehdä luokittelupäätös, jotta
tietoaineistojen käsittely tapahtuisi kaikkialla
yhdenmukaisesti
- Kun otetaan käyttöön uusia palveluita, pitää vanhoja
prosesseja ml. tietoturvallisuus purkaa, lopettaa vanhoja
palveluita (lisenssimaksut), koska muuten laskettuja
kustannussäästöjä ei saavuteta

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• 2. Palveluiden ja tietoturvallisuuden keskittämisessä
tarvitaan yhteistyötä ja saatetaan joutua tekemään
kompromisseja, jotka saattavat vaikuttaa yksittäisen
organisaation kannalta epäedulliselta
- VY-verkossa ja VYVI-viestintäratkaisussa luodaan
peruspolitiikka, jota jokainen organisaatio voi tiukentaa

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• 3. Päällekkäisen tietoturvatyön määrää pitää päästä
vähentämään
- Valtionhallinnossa tehtiin v 2010 lähes 15 000
turvallisuusselvitystä
- Kukaan ei tiedä, kuka ja kenen kanssa on tehty millaisia
vaitiolositoumuksia
- Organisaatioiden ja toimittajien väliset
turvallisuussopimusmallit vaihtelevat jopa palveluittain
- Missään ei ole keskitettyä tietoa siitä, mitä kukin organisaatio
on auditoinut ja miten tätä tietoa voitaisiin kattavasti
valtionhallinnossa hyödyntää?
• Osa tästä problematiikasta häviää
turvallisuusselvityslainsäädännön uudistamisen myötä,
mutta se edellyttää myös vastaavasti enemmän yhteistyötä

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• 4. Valtiokonsernin sisällä pitää kasvattaa luottamusta
sisäisiin toimijoihin
- Valtionhallinnon kesken täytyy päästä kevyempiin
ratkaisuihin niin turvallisuussopimuskäytäntöjen,
turvallisuusselvitysten, vaitiolositoumusten kuin
auditointien osalta
• Valtion IT-palvelukeskuksen uusissa sopimusmalleissa on
yhteinen turvallisuussopimusliite ja palvelukohtaisesti sovittavat
tietoturvallisuuteen liittyvät yksityiskohdat
• Osa tätä luottamusta on se, että sekä organisaatiot että
palvelut saavuttavat niiltä edellytettävät tietoturva- ja
aikanaan ICT-varautumisen tasot

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• 5. Valtiokonsernin täytyy kyetä tuottamaan palveluita
erilaisia tietoaineistojen käsittelytarpeita varten
• Kansalliset, ST IV – III –tietoaineistot
• Erityissuojattavat, kv- tai muun turvallisuusluokittelun perusteella
käsiteltävät ST IV Käyttö rajoitettu, ST III Luottamuksellinen, ST II
Salainen –tietoaineistot
- ja olosuhteita varten
• normaaliolojen vaatimukset
• poikkeusolojen vaatimukset

• Kustannustehokkuus ja saatavuus sekä helppokäyttöisyys
saavutetaan roolittamalla työtehtävät ja niissä tarvittavat
tietoaineistot ja työvälineet
- Nykyinen malli on liikaa organisaatiokeskeinen

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• 6. Kuluttajistumisen huomioinen
- ”BYOB-malli” – Bring Your Own Bottles, consumerization
(kuluttajistuminen) tarkoittaa sitä, että henkilöstö voi
käyttää omia työvälineitä työtehtävien hoitamiseen
- Valtion IT-palvelukeskus selvittää, miten tätä
kehityssuuntaa voidaan hyödyntää esimerkiksi julkisten tai
ST IV-tietoaineistojen yhteydessä
• Esimerkiksi ST III tulee jatkossakin edellyttämään organisaation
hallinnassa olevaa, nykyaikaisilla teknisillä tietoturvaratkaisuilla
tuotettua päätelaitepalvelua
• Tämä ei tarkoita sitä, etteikö esimerkiksi tällaista päätelaitetta
voisi jatkossa käyttää vapaa-ajan palveluihin

2011, Kimmo Rousku 26.10.2011

Case Digikamera

• Kuinka moni muistaa, kun ensimmäistä kertaa näki
väritelkkarin? Siis ohjelmaa mustavalko-tv:n sijaan
väritelkkarista?
• Painakaa tämä päivämäärä mieleen – 26.10.2011 – tämä
tulee jäämään mieleenne samanlaisena historiallisena
päivämääränä.
- Voidaan sitten kaikki yhdessa virtuaalivanhainkodissa
letkuissa muistella sitä ensimmäistä Kimmon ottamaa 3D
kuvaa ja videota
- Ja katsella, miten meidän ”varaosat” ovat vuosien varrella
kehittyneet
• Kuva tulee Valtiokonttorin sivuille muiden materiaalien joukkoon

2011, Kimmo Rousku 26.10.2011

Miten tämä liittyy tietoturvaan?

• Kukaan ei kyseenalaista sitä, jos tuon oman
henkilökohtaisen kameran töihin ja otan sillä kuvan?
• Sen sijaan jos tämä tilaisuus pidettäisiin esimerkiksi
pääesikunnassa, valokuvaaminen saattaisi olla kiellettyä
– ainakin muilla kuin työnantajan välineillä ja heidän
henkilöiden toimesta?

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä
• Kuluttajistuminen - saatavuus
• Jatkossa meidän täytyy entistä enemmän työskennellä sen eteen, että se
tieto, joka on aidosti oikean henkilön saatavilla, hän saa sen käyttöönsä
mahdollisimman käyttäjäystävällisesti (helposti) – ja muut mahdollisimman
hankalasti tai eivät lainkaan

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• 7. Hyödyntäkää Valtion IT-palvelukeskuksen
tarjoamia palveluita tietoturvallisuuden
parantamiseen enemmän ?!
- Valtiovarainministeriön yhteishanke
tietoturvallisuusasetuksen täytäntöönpanon tukemiseksi
(mukana noin 50 virastoa, 3. aaltoon otetaan lisää
virastoja)
- Valtiovarainministeriön hanke haavoittuvuusskannauksen
tuottamiseksi internet-verkkoon näkyville verkkopalveluille
• Mukana 45 virastoa, tammikuussa alkavaan 3. käyttöönottoon
otetaan lisää virastoja

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• Valtion IT-palvelukeskuksen työkalupakin noin 200
käyttäjällä on käytettävissään kattava tietoturvallisuuteen
liittyvä materiaalikokonaisuus sekä kolme maksutonta
verkkokoulutuskokonaisuutta:
- Henkilöstön tietoturvakoulutus
- Johdon tietoturvakoulutus
- Tietoaineiston käsittelyn verkkokoulutus

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• Lisäksi uusimpana, Kysy tietoturvallisuudesta –
asiantuntijapalvelumme, linkittämällä alla olevan
painikkeen vaikkapa organisaationne intranet-verkkoon,
henkilöstönne voi kysyä tietoturvallisuudesta yleisellä
tasolla Valtion IT-palvelukeskuksen asiantuntijoilta

2011, Kimmo Rousku 26.10.2011

Kimmon 8 teesiä

• Henkilökohtainen vinkki
• 8. Toimimalla työpaikalla samalla tavalla kuin kotona,
moni riski jäisi toteutumatta
• Miksi osalla meistä on työpaikalla eri aivot kuin kotona?

2011, Kimmo Rousku 26.10.2011

Kimmo Olen
KYLLÄ
puhuu täysin
Näinhän
paljon, samaa
se
mutta mieltä!
menee!
asiaa!

2011, Kimmo Rousku 26.10.2011

kimmo.rousku@valtiokonttori.fi
etu.suku@valtiokonttori.fi

tietoturva.vip@valtiokonttori.fi
vip.tietoturva@valtiokonttori.fi

www.valtiokonttori.fi/ttt

2011, Kimmo Rousku 26.10.2011

Turvalliset valtiokonsernin palvelut

Recommended

Recommended

More Related Content

Similar to Turvalliset valtiokonsernin palvelut

Similar to Turvalliset valtiokonsernin palvelut (19)

More from Valtiokonttori / Statskontoret / State Treasury of Finland

More from Valtiokonttori / Statskontoret / State Treasury of Finland (20)

Turvalliset valtiokonsernin palvelut