mitä apuja vahti tarjoaa julkisen hallinnon …atk-paivat.fi/2018/s09-rousku.pdfvaltaosa...

Mitä apuja VAHTI tarjoaa julkisen hallinnon

digitaalisen turvallisuuden kehittämiseen?

23.5.2018 Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Esitykseni sisältö

‒ Valtiovarainministeriön rooli

‒ Mistä tässä kokonaisuudessa on kyse?

‒ Miten uusi VAHTI toimii ja edistää kyberturvallisuutta?

‒ Miten organisaatiosi voi kehittää digitaalista turvallisuutta –

mitä apuja VAHTI tarjoaa?

‒ Kutsu ja mahdollisuus yhteistyöhön

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?2

@kimmo

3

Kimmo Rousku

VAHTI-pääsihteeri

kimmo.rousku@vrk.fi

Puh. 029553 5120

@kimmorousku

Kutsuthan minut

verkostoosi?

‒ ATK-ICT-alalla v 1985 saakka ~nörtti

‒ Valtionhallinnossa v 1994-, 1.1.2018

alkaen Väestörekisterikeskus

‒ Tietohallintotausta, joka muuttunut

viimeisen ~10 v aikana tietoturva-

kyberturvallisuus –riskienhallinnaksi

‒ Olen kirjoittanut v. 1993-2017 noin

~20 teosta

‒ TiVi-Turvasatama-blogi v 2012 alkaen

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?

Valtiovarainministeriön rooli

Valtiovarainministeriön tehtävänä on (1) julkisen hallinnon

tietoturvallisuuden yleinen kehittäminen ja (2) valtionhallinnon

tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta

tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä

perustuu useisiin säädöksiin.

Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki

viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden

arvioinnista (1406/2011), valmiuslaki (1552/2011), valtioneuvoston ohjesääntö

(262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003).

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?4

Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä

- VAHTI

‒ Valtiovarainministeriö on asettanut VAHTIn toimimaan

julkisen hallinnon digitaalisen turvallisuuden

kehittämisestä ja ohjauksesta vastaavien

organisaatioiden yhteistyö-, valmistelu- ja

koordinaatioelimenä.

‒ VAHTIn asema on kirjattu voimassa oleviin valtioneuvoston

periaatepäätöksiin Suomen kyberturvallisuusstrategiasta

2013 ja valtionhallinnon tietoturvallisuuden kehittämisestä

2009. Lisäksi VAHTIlla on keskeinen rooli kyberturvallisuus-

strategian toimeenpano-ohjelman v. 2017 – 2020

toteuttamisessa.

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?5

Mistä tässä kokonaisuudessa on kyse?

Tietoturvallisuus

‒ Tietoturvallisuus = tiedon saatavuus + eheys +

luottamuksellisuus ja mikäli mukana henkilötietoja,

huomioitava tietosuoja

‒ Tietoturvallisuus on tietosuojan mahdollistaja

Saatavuus

Eheys

Luottamuksellisuus

Kimmo Rousku

28081999-1234Tietosuoja

Hu

om

ioit

ava

ain

a!

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?7

Kyberturvallisuus

‒ Tietoturvallisuus näyttäytyy hyvin vahvasti tietojen, osin tietojärjestelmien näkökulmasta

‒ Kyberturvallisuus tarkoittaa laaja-alaisesti digitaalisen toimintaympäristön (virtuaalinen bitti / ICT-maailma mutta myös fyysinen maailma) toiminnan turvaamista, johon kuuluu myös datan ja informaation käsittelyyn liittyvät fyysiset rakenteet (konesalit, sähkönjakelu, henkilöstö jne). Kyberturvallisuutta on myös kyky sietää näitä uhkia (resilienssi).

‒ Kyberturvallisuuteen voidaan vaikuttaa useilla erilaisilla keinoilla, tietoturvauhan lisäksi myös hybridivaikuttamisen keinoin

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?8

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?9

- informaatiovaikuttaminen

(muista myös ptrollaus )

Ja muita keinoja ovat esimerkiksi

psykologiset, poliittiset,

taloudelliset, tekniset,

humanitaariset ja sotilaalliset

keinot

Digitaalinen turvallisuus

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?10

Organisaation toimintaympäristö

Digitaalinen

toimintaympäristö

Tietoturvallisuus

Toiminnan jatkuvuus ja varautuminen

Toiminnan johtaminen ja riskienhallinta

Kyberturvallisuus ja varautuminen hybridiuhkiin

Tietosuoja

Digitaalisten palveluiden

ekosysteemit | alustat

Palveluiden

tuottajat

Julkinen hallinto

Toimintaan kohdistuvat vaatimukset 11

Toiminnan johtaminen

Riskienhallinta

Toimintaan kohdistuvat tieto- ja kyberturvauhat

Varautuminen häiriötilanteisiin

Tekninen turvallisuus

TietoturvallisuusKaiken toiminnan ja tiedon saatavuuden ja eheyden turvaaminen

Henkilötiedot – tietosuoja Salassa pidettävä tieto – luottamuksellisuus

Hallinnollinen turvallisuus

Suojattava tieto | kohde | toimintaHenkilöstö

Toiminnan mittaaminen ja vaatimusten hallinta sekä arviointi

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?

Ja päätavoite

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?12

Tuottamamme palvelut ovat turvallisia ja niihin voidaan luottaa.

#luottamus #menestys

Kehitämme turvallisuutta hyödyntäen tarkoituksenmukaisesti uutta

teknologiaa

Johtaminen ja riskienhallinta – henkilöstön koulutus – teknisen

turvallisuuden kehittäminen, esimerkiksi havainnointikyky ja reagointi

Missä tieto- ja kyberturvallisuudessa

Suomessa mennään?

Kyberturvallisuusstrategia - KyberTPO

‒ Turvallisuuskomitea julkaisi 20.4.2017 Suomen

kyberturvallisuusstrategian toimeenpano-ohjelman uuden

version, joka kokoaa yhteen julkisen hallinnon merkittävät

kyberturvallisuutta parantavat hankkeet ja toimenpiteet

vuosille 2017–2020.

‒ Ohjelma on jaettu kolmeen kokonaisuuteen, joista

ensimmäisessä ovat johtamiseen, säädöksiin sekä muihin

toimintoihin liittyvät ei-teknisluontoiset toimenpiteet.

‒ Toisessa kokonaisuudessa ovat digitaalisiin palveluihin

liittyvät parannustoimet ja kolmannessa kokonaisuudessa

jatkuvaluontoiset toimenpiteet, kuten koulutukseen,

tutkimukseen ja harjoituksiin liittyvät asiat.

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?14

Job well done!

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?15

"Finland is a leading expert in cybersecurity. In fact,

we should be calling you pretty soon. You do do a

fantastic job with cybersecurity, and I

congratulate you. And I think in a very short period

of time, we're going to be right there with you, believe

me. The United States is a very proud partner of

Finland's European Center of Excellence to counter

modern threats, including cyberattacks."

Ja parempi todistusaineisto

‒ Suomi sijoittuu toiseksi (tai

jaettu toinen) Viron NCSI-

indeksissä - kaikkiaan 97

maasta koostuvalla listalla

‒ Menetelmä edellyttää, että

kysymyksiin pitää pystyä

osoittamaan toteutuminen

lainsäädännöstä tai muista

julkisista, virallisista

asiakirjoista

‒ ”rasti – ruutuun – ok” – ei riitä!

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?16

Miten uusi VAHTI toimii ja edistää

digitaalista turvallisuuta

Kyber- ja tietoturvallisuuden kehittäminen, ohjaus ja yhteistyö

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?18

Julkisen hallinnon digitaalisen turvallisuuden johtaminen

Valtioneuvoston ja

hallinnonalojen

tietoturvaryhmät

Turvallisuuskomitea

Juhta

TIETOKEKO

Valmiuspäällikkökokous

NSA-yhteistyöryhmä

Operatiiviset toimijat (mm.

ICT-palvelu- ja

kyberturvallisuuskeskukset)

Yhteistyön laajentaminen – VAHTIn uudet peruspilarit

‒ 1. Johtaminen ja riskienhallinta JORI

‒ Tietoturvallisuuden hallintajärjestelmä sekä riskienhallinta

‒ 2. Toiminnan jatkuvuuden hallinta TOJA

‒ Ennakoiva suunnittelu ja varautuminen normaaliolojen häiriöihin ja poikkeusoloihin, tarvittava

harjoittelu ja testaaminen

‒ 3. Turvallisuus kehittämisessä TUKE

‒ Uusien asioiden toteuttamisessa (hankkeet, projektit, muu toiminta) edellytettävät

vaatimukset

‒ 4. Turvallisuuden ylläpito TUTO

‒ Operatiivisen toiminnan ylläpito

‒ 5. Seuranta ja arviointi SETI

‒ Vaatimustenmukaisuus, tavoitteiden asettaminen ja saavuttamisen arviointi, mittaaminen19

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?

VAHTIn toiminta

‒ Mukana toiminnassa >50 organisaatiota, noin 130 johtajaa,

esimiestä ja asiantuntijaa johtoryhmä, sihteeristö ja viidessä

asiantuntijaryhmissä

‒ Valtionhallinnon organisaatiot

‒ Kuntien edustajat

‒ Sairaanhoitopiirien edustajat

‒ Yliopistojen edustajat

‒ VAHTI järjestää vuosittain useampia seminaari-

/koulutustilaisuuksia, lokakuussa järjestetään 2. julkisen

hallinnon digitaalisen turvallisuuden teemakuukausi

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?20

Mitä teemme vuosina 2018-2019

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?21

Mitä saimme aikaiseksi vuonna 2017?

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?22

Miten organisaatiosi voi kehittää digitaalista

turvallisuutta – mitä apuja VAHTI tarjoaa?

Vaatimustenmukaisuus – vuonna 2018

‒ Tietoturvallisuusasetus 681/2010 -

https://www.finlex.fi/fi/laki/alkup/2010/20100681

‒ Tietoturvallisuuden perustaso

‒ 5§ ja siellä olevat 10 kohtaa

‒ VAHTI-ohje 2/2010 ja sen liite 5 antavat ohjeet perus- ja korotetun tietoturvatason

osalta

‒ Vastaavasti toiminnan jatkuvuutta voidaan kehittää sekä ICT-

varautumisen ohjeistuksen (2/2012) sekä Toiminnan jatkuvuuden

hallinnan (2/2016) avulla

‒ Kaikessa toiminnassa tarvitaan riskienhallintaa – uusi ohje ja

prosessi sekä työkalu saatavilla – VM 22/2017 Ohje

riskienhallintaanMitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?24

Vaatimustenmukaisuus – vuonna 2019

‒ Tiedonhallintalain myötä korvautuu tietoturvallisuusasetus ja

ennen kaikkea kansallisen salassa pidettävän tietoaineiston

luokittelu

‒ Suojaustasot poistuvat, mutta turvallisuusluokitellun tiedon osalta jäävät

(esimerkiksi kansallinen turvallisuus)

‒ Samoin tietoturvatasot poistuvat ja tilalle tulee tietoturvallisuuden

vähimmäistaso, joka edellyttää jatkossa paremmin myös saatavuuden ja

eheyden varmistamista kaiken toiminnan osalta ja luottamuksellisuuden

varmistamista kun kyse on salassa pidettävistä tiedoista

‒ Toteutamme ja rakennamme tätä varten kokonaan uudet työnimellä VAHTI

100-kulkevan vaatimuskehikon – organisaatio | tietojärjestelmä | hankinta –

vaatimukset sekä näiden auditoinnin & tarkastuksen mahdollistavat

auditointikriteerit – mallia mahdollista pilotoida loppuvuoden aikanaMitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?25

Mukaan autiosaarelle – aloita näistä?

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?26

Bonuksena

Tämä ohje on laadittu tukemaan asiointipalveluiden suunnittelua,

hankintaa, toteuttamista ja kehittämistä. Ohje kuvaa yleisellä

tasolla, kuinka turvallisuuden eri osa-alueet tulee ottaa huomioon

sähköisiä asiointipalveluita suunniteltaessa ja niitä toteutettaessa.

Ohjeessa kerrotaan yhteenveto sähköisen asioinnin

tietoturvallisuutta säätelevistä laeista ja viitekehyksistä. Ohjeen

avulla halutaan auttaa muodostamaan kokonaisnäkemys

sähköisen asioinnin keskeisistä tietoturvauhista.

Ohje tarjoaa käytännön neuvoja sähköisen asiointipalvelun

tietoturvallisista rakenneratkaisuista ja toimintamalleista, ja

havainnollistaa niitä sähköisen asioinnin viitearkkitehtuurin ja

julkishallinnon konkreettisten case-esimerkkien kautta. Ohje

tarjoaa perustiedot julkisen hallinnon sähköisen asioinnin

tukipalveluista ja niiden tarjoamista hyödyistä tietoturvallisuuden

varmistamisessa. Ohje kokoaa sähköisiä asiointipalveluita

tarjoaville tahoille velvoittavat vaatimukset sekä tarjoaa

suositusluonteisia ohjeita ja hyviä käytäntöjä.Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?27

VAHTI-henkilöstön ja johdon tietoturvabarometri

‒ Valtiovarainministeriön asettama Valtionhallinnon tieto- ja

kyberturvallisuuden johtoryhmä (VAHTI) toteutti syksyllä

2016 julkisen hallinnon organisaatioille ja henkilöstölle

suunnatun VAHTI-tietoturvabarometrin.

‒ Tähän vapaaehtoiseen kyselyyn osallistui 97

organisaatiota: 66 valtionhallinnon ministeriötä, virastoa

tai laitosta, 30 kuntaa sekä yksi sairaanhoitopiiri.

Mahdollisia vastaajia kyselyyn oli yli 168 000 ja

vastauksia saatiin 13 915, jolloin vastausprosentiksi

muodostui 8,3 %. Organisaatioiden johdolle esitettiin

erikseen 15 lisäkysymystä koskien tietoturvallisuuden

tärkeyttä, sen toteuttamisen vaikeutta sekä toteuttamisen

onnistumista organisaatiossa. Näihin kysymyksiin saatiin

742 vastausta.

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?28

‒ Kyselyssä tuli esiin useita myönteisiä havaintoja, mutta

myös kehitettävää. Kyselyn positiivisimpia havaintoja oli se,

että vastaajat pitävät tietoturvallisuutta keskeisenä

työnteon mahdollistajana (93,1 %). Lisäksi lähes kaikki

vastaajat (96,4 %) kokivat olonsa joko hyvin turvalliseksi

tai melko turvalliseksi päätelaitteilla työskennellessään.

Valtaosa vastaajista (96,2 % ) piti myös

tietoturvallisuuden toteuttamista organisaatioissa

vähintään hyvänä. Johto näki tietoturvallisuuden hyvin

tärkeäksi (3,60 asteikolla 1–4 ), sen toteuttamisen

keskivaikeaksi (2,52) ja toteutumisen kohtalaisen hyväksi

omassa organisaatiossa (2,82).Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?29

‒ Kehittämiskohteeksi nousevat henkilöstön säännöllinen

tietoturvallisuuden eri osa-alueet kattava koulutus ja

tiedottaminen ajankohtaisista tietoturvallisuuden

uhkakuvista. Erityisesti mobiililaitteiden käyttö,

häiriötilanteessa toimiminen sekä salasanojen hallinta

edellyttävät lisäkoulutusta. Vastaavasti tyytyväisimpiä

koulutuksen ja ohjeistuksen määrään oltiin

toimitilaturvallisuuden (44,4 %), sähköpostin käytön (43,7 %)

ja henkilötietojen käsittelyn (43,5 %) suhteen. Myös teknistä

tietoturvallisuutta tulee kehittää edelleen, esimerkiksi

ottamalla käyttöön salasanojen hallintaohjelmia sekä

tunnistamalla ja estämällä uusia huijauskeinoja.Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?30

Muita menetelmiä ja keinoja

1. tietosuojavideomme julkaistiin 22.6

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?32

Yhteishankkeet – 12 pidetty, ~5 jäljellä

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?33

JHDTTV 2-6.10.2017

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?34

Kaikki VAHTI-tilaisuuksien materiaalit hyödynnettävissä

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?35

www.vahtiohje.fi

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?36

Ajankohtaista‒ Julkaisimme alkuvuosi 2017 www.vahtiohje.fi

‒ Ohje riskienhallintaan (ISO 31000-standardi taustalla)

‒ Sähköisen asioinnin tietoturvallisuusohje

‒ VAHTIn toimintasuunnitelma v. 2017-2019

‒ VAHTIn toimintakertomus vuodelle 2017

‒ Huomaattehan

‒ Henkilöstön ja johdon tietoturvabarometri

‒ Tietoturvapoikkematilanteiden hallinta VM 8/2017

‒ Pilkahduksia tulevaisuuteen –raportti VM 10/2017

‒ Luku 8 käsittelee digitaalista turvallisuutta

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?37

Yhteistyö

‒ VAHTIssa toimii asiantuntijajaoston alaisuudessa viisi

asiantuntijaryhmää, joihin toivomme laaja-alaista

osallistumista julkisesta hallinnosta

‒ Samoin mahdollistamme osallistumisen VAHTI-kuukausi-

infoon, joka on katsaus VAHTI-toimintaan Skype/Lync-

kokouksena

‒ Ilmoittautuminen: vahti@vrk.fi

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen

turvallisuuden kehittämiseen?38

Kimmo Rousku

VAHTI-pääsihteeri

Puh. 029553 5120

Lisätietoja: etunimi.sukunimi@vrk.fi

vahti@vm.fi

www.vahtiohje.fi – www.arjentietosuoja.fi