janne viskari,¤semin… · •harjoituksessa emme keskity niinkään teknisen tietoturvallisuuden...
TRANSCRIPT
Janne Viskari, Väestörekisterikeskus
Konstantinos Moulinos, ENISA, Greece
Agu Kivimägi, eGA, Estonia
Jarno Limnéll, Aalto-yliopisto
Erikoisohjelmanumero
Digiturvalekuri- ja pastori, aloitteleva mentalistin ensimmäinen esitys
Lounaspaikkoja
Ravintola Kuja kadun toisella puolella ja Metallitalossa on Sodexhon La Mer.
Hakaniemen hallissa on paljon ravintoloita, mm. Soppakeittiö ja kasvisravintola Roots.
Seuraavaksi lähinnä on varmaan Ravintola Sävel (Hämeentie 2) ja Ympyrätalon Rosso, sekä
Paasitornin rakennuksessa mm. Juttutupa (itsepalvelubuffa).
Tämän talon ravintolassa perinteistä jauhelihakastiketta ruskeassa kastikkeessa, kasviscurrya,
kanakeittoa ja leipäjuustosalaatti
Lisäksi tarjolla vegaanibuffettia, joka on erillinen pöytä kokonaan vegaanisena.
Lounastauko – jatkuu klo 13.00
JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE
VÄESTÖREKISTERIKESKUS
HANNA HEIKKINEN | KIRSI JANHUNEN | ERJA KINNUNEN | JUHA KIRVES | LAURA PENTTILÄ | KIMMO ROUSKU
Sisältö
•Yleistä hankkeesta
•Kunkin projektin tilanne•Mitä on jo tehty?•Mitä on vielä tulossa 2019 aikana?•Vuosien 2020-2021 alustavat suunnitelmat
•Koulutusympäristö ja digiturvapeli
PROJEKTI 1Digitaalisen turvallisuuden
johtamisen ja riskienhallinnan kehittäminen
PROJEKTI 2Digitaalisen turvallisuuden
soveltamis- ja arviointikehikon toteuttaminen
PROJEKTI 3Digitaalisen turvallisuuden
koulutusjärjestelmä ja digiturvasovellus
PROJEKTI 4Digitaalisen turvallisuuden
kokonaiskuvan ja raportoinnin kehittäminen
PROJEKTI 5Digitaalisen turvallisuuden
harjoitustoiminnankehittäminen
Kimmo Rousku Kirsi Janhunen Juha Kirves
Erja Kinnunen Hanna Heikkinen
PROJEKTI 1Digitaalisen turvallisuuden
johtamisen ja riskienhallinnan kehittäminen
PROJEKTI 2Digitaalisen turvallisuuden
soveltamis- ja arviointikehikon toteuttaminen
PROJEKTI 3Digitaalisen turvallisuuden
koulutusjärjestelmä ja digiturvasovellus
PROJEKTI 4Digitaalisen turvallisuuden
kokonaiskuvan ja raportoinnin kehittäminen
PROJEKTI 5Digitaalisen turvallisuuden
harjoitustoiminnankehittäminen
Digitaalisen turvallisuuden käsikirja,
opastus ja harjoitus
Rakenne ja mallit tietoturvanormien käytännön
soveltamisohjeille
Koulutusympäristö ja digiturvasovellus, koulutussisältöjä
Digitaalisen turvallisuuden kokonaiskuvan
raportointijärjestelmä
Harjoitustoiminnan suunnitelmallinen kehittäminen ja
tukipalvelut
Projekti 1
•4 työpajaa toteutettu keväällä
•5 työpajaa loppuvuoden aikana, 21.8, 2.9, 19.9, 13.11, 19.11
•TAISTO19-harjoituksen käsikirjoitus valmistumassa, harjoitus kehittää kykyä selvitä esimerkiksi palvelunestohyökkäyksissä tai lunnashaitta-ohjelmatapauksissa – jatkuvuuden hallinta ja varautuminen keskiössä, samalla varmistetaan GDPR:n osalta tarvittavat prosessien kehittämisen henkilötietojen tietoturvaloukkausten osalta
PROJEKTI 1Digitaalisen turvallisuuden
johtamisen ja riskienhallinnan kehittäminen
Digitaalisen turvallisuuden käsikirja,
opastus ja harjoitus
Viisi työpajaa pidetty•Jokaisesta löytyy:
• Tallenne• Esitysmateriaalit• Tehtävät
•Painopiste ollut:• Riskienhallinta • Toiminnan jatkuvuus ja varautuminen• Tietosuoja – valittuja erityisaiheita
•2.9 luvassa *loistava* tietosuoja-työpaja, mm. kriisiviestintä
•19.9 valmistelussa mukana Turvallisuuskomitea sekä Kuntaliiton / HVK:n KUJA-projektit
•13.11 Aloitamme tietoturvallisuuden –tiedonhallintalain toimeenpanon tukea
TAISTO19-harjoitus - marraskuu•TAISTO19 – haluatko varautua ennakolta?
Tiedottamisen, kokemusten jakamisen
osalta erinomaista avoimuutta!
TAISTO19-harjoitus - marraskuu•Harjoituksessa emme keskity niinkään teknisen tietoturvallisuuden
kehittämiseen, vaan siihen, kuinka erilaisten häiriötilanteiden:• ICT ei toimi – tekninen häiriö• Joku aiheuttaa ongelman inhimillisen erehdyksen johdosta• Kyberhyökkäys• Ilmaston tai luonnonilmiön aiheuttama ongelma
• Yhteydessä organisaatio palautuu tehokkaasti häiriötä edeltäneeseen tilanteeseen.
• Organisaatiolla tulisi olla jokaisessa näistä tapauksista ohjeet ja prosessit harjoiteltuna, kuinka tällöin toimitaan – mistä saadaan tarvittaessa apua
• Erityisesti kannattaa huomata, että poikkeuksetta nykyaikana näissä syntyy myös henkilötietojen tietoturvaloukkaus, vaikka tietomurtoa ei tapahdu, esimerkiksi tiedon saatavuuden estymisenä – eli edellyttää syntyneen tilanteen osalta riskien arviointia
Miten ?•Ilmoittautukaa ja osallistukaa digiturva-yhteishankkeeseen
• Pääsette seuraamaan ja kehittämään toimintaanne edellä mainittujen työpajojen avulla
• https://vrk.fi/osallistu-digiturva-yhteishankkeeseen
•Ilmoittautukaa ja käynnistäkää valmistautuminen TAISTO19-harjoitukseen
•https://vrk.fi/taisto19• Mukana on jo 100+ organisaatiota, myös useampi huoltovarmuuskriittinen toimija on
kiinnostunut harjoituksesta• Kolme harjoituspäivää valittavissa marraskuussa 7.11 – 19.11 – 26.11, ensimmäinen
syöte ja valmistautuminen harjoitukseen tulee kaikille osallistujille jo 10.10 –organisaatio saa 4+ viikkoa aikaa valmistautua harjoitukseen
Projekti 2
•Kehittänyt rungon ja mallit julkisen hallinnon tietoturvasuosituksille. Suosituksista on aluksi laadittu luonnokset tiedonhallintalain luvun 4 soveltamiskorteista, eli nk. VAHTI100-korteista.
•Kortit laadittiin pääosin VAHTI:n asiantuntijajaosten toimesta. Kortit on tarkoitus julkaista kommenttikierrokselle syyskuun aikana. Tiedonhallintalalain toimeenpanoon liittyvät suositukset hyväksyy viimekädessä tiedonhallintalautakunta, joten kyseessä on vielä luonnokset.
PROJEKTI 2Digitaalisen turvallisuuden
soveltamis- ja arviointikehikon toteuttaminen
Rakenne ja mallit tietoturvanormien käytännön
soveltamisohjeille
Projekti 2
•Suositusmallia kokeillaan laajemmin muidenkin normien toimeenpanosuosituksiin (mm. Digipalvelulaki 2 luku)
•Seuraavassa vaiheessa projekti 2 valmistelee soveltamiskortit turvallisuusluokitusasetuksesta. Työ tapahtuu yhteistyössä mm. turvallisuusviranomaisten kanssa.
•Turvallisuusluokitusta avaavat kortit on tarkoitus saada luonnosvalmiiksi joulukuun alkuun mennessä. Korttien rakenne on samanlainen kuin tiedonhallintalain tietoturvasäännöksiä avaavat soveltamiskortit.
PROJEKTI 2Digitaalisen turvallisuuden
soveltamis- ja arviointikehikon toteuttaminen
Rakenne ja mallit tietoturvanormien käytännön
soveltamisohjeille
Digiturvallinen elämä(2020-2021)
Lapset Nuoret Ikääntyvät
Digituen saajat
Digiturvallinen työelämä(2019-2020)
OmaisetJohto, asiantuntijat ja henkilöstö
• Digiturvatietoisuuden parantaminen
• Organisaatioille työkaluja digiturva-asenteen ja -kulttuurin luomiseen
• Työkaluja julkisen hallinnon organisaatioille lainsäädännön koulutusvaatimusten täyttämiseen
PROJEKTI 3Digiturvallinen elämä -
oppimisympäristö ja peli
Projekti 3
• Tilanne:Oppimisympäristö:
• Ensimmäinen Digiturvallinen työelämä –koulutus henkilöstölle on julkaistu eOppiva-palvelussa Valtionhallintoon - https://www.eoppiva.fi/koulutukset/digiturvallinen-tyoelama
• Uusien koulutusten tuotanto on käynnistetty, lisää on luvassa jo syksyn aikana!
Peli
• Mobiilipeliä voidaan täydentää niin, että uuden uhkan ilmetessä se voidaan mallintaa peliin• Pelissä tuotettava lähdekoodi on avointa (jatkokehitystyö esimerkiksi avoimen yhteisön kautta + kieliversiot).
• Digiturvallinen elämä –pelin kilpailutus on päättynyt, kovatasoisia kilpailutöitä saapui 13.• Voittaja julkistetaan 20.9.2019.
• Tulossa:• Digiturvallinen elämä -oppimisympäristö julkaistaan julkishallinnon ja kansalaisten saataville syksyn aikana.• Tavoitteena on saada vuoden loppuun mennessä Digiturvallinen elämä –pelin betaversio.
Projekti 4
•Kokonaiskuva• Ennen kaikkea hallinnollista tilannetietoa, mm. VAHTIn tekemien
kyselyiden sähköistäminen• Ei teknisiä haavoittuvuuksia tai poikkeamia• Ei päällekkäistä tietoa muiden organisaatioiden kanssa• Tietoa voidaan käyttää johtamisen ja päätöksenteon tukena monella eri
tasolla
•Vaatimusmäärittely käynnissä
•Käyttäjien tarpeita ja toiveita kartoitettu työpajassa 12.8.
•Laaditaan luonnokset, joihin etsitään vielä johdon näkemystä
PROJEKTI 4Digitaalisen turvallisuuden
kokonaiskuvan ja raportoinnin kehittäminen
Digitaalisen turvallisuuden kokonaiskuvan
raportointijärjestelmä
Projekti 4
•Pilotointi vuoden 2019 loppupuolella (marraskuu?)• Vain osa kyselyistä • Vain osa organisaatioista• Raportointia varten tuotetaan malliraportit ja testataan räätälöintimahdollisuutta• Helppokäyttöisyys ja käyttäjäystävällisyys tavoitteena
•Pilottiorganisaatioiden etsintä syys-lokakuussa• Tavoitteena saada pilottiin osallistujia kaikista käyttäjäryhmistä; valtio, kunnat ja
kuntayhtymät, sairaanhoitopiirit ja yliopistot
•Vuoden 2020 aikana kilpailutus ja hankinta
•Tuotantokäyttö vuoden 2020 loppupuolella
•Jatkokehitys 2020 – 2021
PROJEKTI 4Digitaalisen turvallisuuden
kokonaiskuvan ja raportoinnin kehittäminen
Digitaalisen turvallisuuden kokonaiskuvan
raportointijärjestelmä
Projekti 4
•Arviointikehikko •Projekti 2 laatimiin suosituskortteja varten laaditaan
arviointityökalu•Sisältää kysymyksiä ja tarkistuslistoja•Ensisijaisesti organisaation suorittamaa itsearviointia varten •Tulee osaksi kokonaiskuvapalvelua•Mahdollistaa oman tilanteen ja sen kehittymisen seurannan•Mahdollistaa vertailun muihin oman viiteryhmän organisaatioihin•Työ käynnistynyt, valmis syksyn 2019 aikana
PROJEKTI 4Digitaalisen turvallisuuden
kokonaiskuvan ja raportoinnin kehittäminen
Digitaalisen turvallisuuden kokonaiskuvan
raportointijärjestelmä
Projekti 5
•Opas digitaalisen turvallisuuden harjoitusohjelman ja –toiminnan suunnitteluun
• Harjoitustoiminnan strategiset suuntaviivat• Harjoitustoiminnan liittäminen organisaation tavoitteisiin• Suunnitteluun tarvittavat perustiedot• Vuosisuunnittelun
•Luonnos julkaistaan 7.9.19
•Lausuntopyyntö syys - lokakuussa
PROJEKTI 5Digitaalisen turvallisuuden
harjoitustoiminnankehittäminen
Harjoitustoiminnan suunnitelmallinen kehittäminen ja
tukipalvelut
Projekti 5
•Harjoitustoiminnan kysely
Selvittää digitaalisen turvallisuuden ylläpitämiseen ja kehittämiseen tähtäävän harjoitustoiminnan nykytila ja kehitystarpeet julkisen hallinnon organisaatioissa.
• Vastausaika 30.8. asti
PROJEKTI 5Digitaalisen turvallisuuden
harjoitustoiminnankehittäminen
Harjoitustoiminnan suunnitelmallinen kehittäminen ja
tukipalvelut
Projekti 5
PROJEKTI 5Digitaalisen turvallisuuden
harjoitustoiminnankehittäminen
Harjoitustoiminnan suunnitelmallinen kehittäminen ja
tukipalvelut
Toteuttaako organisaationne itsenäistä harjoitustoimintaa? (Oman organisaation johtamaa toimintaa, joka on toteutettu omin resurssein tai ostopalveluna)
Kurkistus kyselyn
vastauksiin
Projekti 5
PROJEKTI 5Digitaalisen turvallisuuden
harjoitustoiminnankehittäminen
Harjoitustoiminnan suunnitelmallinen kehittäminen ja
tukipalvelut
Onko organisaatioonne nimetty asiantuntija, joka vastaa harjoitustoiminnan kehittämisestä ja toteuttamisesta?
Kurkistus kyselyn
vastauksiin
Projekti 5
•Harjoitustoiminnan toimintasuunnitelman tekeminen käynnistyy syksyllä
•Kyselyn analysointi – tulokset julkaistaan tammikuussa 2020
•Harjoitustoiminnan tukipalveluiden kartoitus
PROJEKTI 5Digitaalisen turvallisuuden
harjoitustoiminnankehittäminen
Harjoitustoiminnan suunnitelmallinen kehittäminen ja
tukipalvelut
Digiturvallinen työelämä –World premiere
•https://www.eoppiva.fi/koulutukset/digiturvallinen-tyoelama
Tietosuojan ABC•https://www.eoppiva.fi/koulutukset/tietosuojan-abc-julkishallinnon-
henkilostolle/
•91% suorittaneita eli 8358 / 9214, käyttäjiä siis lähes 10 000!!!
•Digiturvallinen työelämä –johdantokoulutus ja Tietosuojan ABC –koulutus tuodaan julkishallinnon ja kansalaisten saataville syksyn aikana!•Digiturvallinen työelämä –sarja jatkuu (henkilöstö, asiantuntijat ja
johto (2019 – 2020) ja Digiturvallinen elämä (2020-2021)
Digiturvallinen elämä -oppimisympäristö
Digiturvallinen työelämä (2019-2020)
Henkilöstö Asiantuntijat (Projekti 2)
Johto(Projekti 1)
Työpaikalla Etätyössä Työmatkalla Vapaa-ajalla
•Digiturvallinen työelämä –johdantokoulutus julkaistiin 19.6.2019 eOppiva-palvelussa valtionhallintoon.
• Statistiikkaa– Tähän päivään mennessä koulutuksella on 200 käyttäjää ja 120 suoritusta– Suorituksiin on mennyt yleensä noin tunti
•Kiitoksia: -asiapitoisuudesta-Marin ja Maurin tarinoista, jotka erään palautteenantajan mielestä olivat “loistavia” huutomerkin kera.
Digiturvallinen työelämä –ensimmäisen koulutuksen satoa.
#Kybersää ja muut ajankohtaiset asiat
Perttu Halonen, Liikenne- ja
viestintävirasto, Kyberturvallisuuskeskus
Pilvipalvelulinjaukset
Tommi Kangasaho, valtiovarainministeriö
Case: mihin suuntaan ja miten VRK kehittää
pilvipalveluita?
Pekka Ristimäki, Väestörekisterikeskus
15.00 Paneeli – turvallisen tietojenkäsittelyn toteuttaminen pilvipalveluympäristössä
•Tietosuojavastaava Ari Andreasson, Tampereen kaupunki• Kunta- ja tietosuojanäkökulma
•Turvallisuusjohtaja Samuli Bergström, Verohallinto • Merkittävä pilvipalveluiden hyödyntäjä
•Neuvotteleva virkamies Tommi Kangasaho, valtiovarainministeriö • Pilvipalveluiden ohjaus julkisessa hallinnossa
•Tietoturvapäällikkö Mats Kommonen, Turun yliopisto• Pilvipalvelut opetustoimessa
•Tietoturvapäällikkö Matti Parviainen, Espoon kaupunki • Kunta- ja tietoturvanäkökulma – paljon pilotointia pilven reunalla
•Tietoturvapäällikkö Pekka Ristimäki, Väestörekisterikeskus • Myös merkittävä sovelluskehitys pilven ympärillä
•Tietohallintojohtaja Ari Uusikartano, ulkoministeriö • Perinteisen tietojenkäsittelyn ohella kv-verkoston ja turvaviranomaisen mukanaan tuomat haasteet
Miten hyödynnättepilveä?
Yleisö- ja nettikysymysten vuoro
Ajankohtaista tiedonhallintalain toimeenpanossa –tietoturvallisuus
Tuija Kuusisto, valtiovarainministeriö
Eikä tässä vielä suinkaan kaikki!
https://vrk.fi/digiturvakommellus
Kiitos!