mitä apuja vahti tarjoaa julkisen hallinnon …atk-paivat.fi/2018/s09-rousku.pdfvaltaosa...
TRANSCRIPT
Mitä apuja VAHTI tarjoaa julkisen hallinnon
digitaalisen turvallisuuden kehittämiseen?
23.5.2018 Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus
Esitykseni sisältö
‒ Valtiovarainministeriön rooli
‒ Mistä tässä kokonaisuudessa on kyse?
‒ Miten uusi VAHTI toimii ja edistää kyberturvallisuutta?
‒ Miten organisaatiosi voi kehittää digitaalista turvallisuutta –
mitä apuja VAHTI tarjoaa?
‒ Kutsu ja mahdollisuus yhteistyöhön
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?2
@kimmo
3
Kimmo Rousku
VAHTI-pääsihteeri
Puh. 029553 5120
@kimmorousku
Kutsuthan minut
verkostoosi?
‒ ATK-ICT-alalla v 1985 saakka ~nörtti
‒ Valtionhallinnossa v 1994-, 1.1.2018
alkaen Väestörekisterikeskus
‒ Tietohallintotausta, joka muuttunut
viimeisen ~10 v aikana tietoturva-
kyberturvallisuus –riskienhallinnaksi
‒ Olen kirjoittanut v. 1993-2017 noin
~20 teosta
‒ TiVi-Turvasatama-blogi v 2012 alkaen
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?
Valtiovarainministeriön rooli
Valtiovarainministeriön tehtävänä on (1) julkisen hallinnon
tietoturvallisuuden yleinen kehittäminen ja (2) valtionhallinnon
tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta
tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä
perustuu useisiin säädöksiin.
Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki
viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden
arvioinnista (1406/2011), valmiuslaki (1552/2011), valtioneuvoston ohjesääntö
(262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003).
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?4
Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä
- VAHTI
‒ Valtiovarainministeriö on asettanut VAHTIn toimimaan
julkisen hallinnon digitaalisen turvallisuuden
kehittämisestä ja ohjauksesta vastaavien
organisaatioiden yhteistyö-, valmistelu- ja
koordinaatioelimenä.
‒ VAHTIn asema on kirjattu voimassa oleviin valtioneuvoston
periaatepäätöksiin Suomen kyberturvallisuusstrategiasta
2013 ja valtionhallinnon tietoturvallisuuden kehittämisestä
2009. Lisäksi VAHTIlla on keskeinen rooli kyberturvallisuus-
strategian toimeenpano-ohjelman v. 2017 – 2020
toteuttamisessa.
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?5
Mistä tässä kokonaisuudessa on kyse?
Tietoturvallisuus
‒ Tietoturvallisuus = tiedon saatavuus + eheys +
luottamuksellisuus ja mikäli mukana henkilötietoja,
huomioitava tietosuoja
‒ Tietoturvallisuus on tietosuojan mahdollistaja
Saatavuus
Eheys
Luottamuksellisuus
Kimmo Rousku
28081999-1234Tietosuoja
Hu
om
ioit
ava
ain
a!
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?7
Kyberturvallisuus
‒ Tietoturvallisuus näyttäytyy hyvin vahvasti tietojen, osin tietojärjestelmien näkökulmasta
‒ Kyberturvallisuus tarkoittaa laaja-alaisesti digitaalisen toimintaympäristön (virtuaalinen bitti / ICT-maailma mutta myös fyysinen maailma) toiminnan turvaamista, johon kuuluu myös datan ja informaation käsittelyyn liittyvät fyysiset rakenteet (konesalit, sähkönjakelu, henkilöstö jne). Kyberturvallisuutta on myös kyky sietää näitä uhkia (resilienssi).
‒ Kyberturvallisuuteen voidaan vaikuttaa useilla erilaisilla keinoilla, tietoturvauhan lisäksi myös hybridivaikuttamisen keinoin
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?8
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?9
- informaatiovaikuttaminen
(muista myös ptrollaus )
Ja muita keinoja ovat esimerkiksi
psykologiset, poliittiset,
taloudelliset, tekniset,
humanitaariset ja sotilaalliset
keinot
Digitaalinen turvallisuus
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?10
Organisaation toimintaympäristö
Digitaalinen
toimintaympäristö
Tietoturvallisuus
Toiminnan jatkuvuus ja varautuminen
Toiminnan johtaminen ja riskienhallinta
Kyberturvallisuus ja varautuminen hybridiuhkiin
Tietosuoja
Digitaalisten palveluiden
ekosysteemit | alustat
Palveluiden
tuottajat
Julkinen hallinto
Toimintaan kohdistuvat vaatimukset 11
Toiminnan johtaminen
Riskienhallinta
Toimintaan kohdistuvat tieto- ja kyberturvauhat
Varautuminen häiriötilanteisiin
Tekninen turvallisuus
TietoturvallisuusKaiken toiminnan ja tiedon saatavuuden ja eheyden turvaaminen
Henkilötiedot – tietosuoja Salassa pidettävä tieto – luottamuksellisuus
Hallinnollinen turvallisuus
Suojattava tieto | kohde | toimintaHenkilöstö
Toiminnan mittaaminen ja vaatimusten hallinta sekä arviointi
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?
Ja päätavoite
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?12
Tuottamamme palvelut ovat turvallisia ja niihin voidaan luottaa.
#luottamus #menestys
Kehitämme turvallisuutta hyödyntäen tarkoituksenmukaisesti uutta
teknologiaa
Johtaminen ja riskienhallinta – henkilöstön koulutus – teknisen
turvallisuuden kehittäminen, esimerkiksi havainnointikyky ja reagointi
Missä tieto- ja kyberturvallisuudessa
Suomessa mennään?
Kyberturvallisuusstrategia - KyberTPO
‒ Turvallisuuskomitea julkaisi 20.4.2017 Suomen
kyberturvallisuusstrategian toimeenpano-ohjelman uuden
version, joka kokoaa yhteen julkisen hallinnon merkittävät
kyberturvallisuutta parantavat hankkeet ja toimenpiteet
vuosille 2017–2020.
‒ Ohjelma on jaettu kolmeen kokonaisuuteen, joista
ensimmäisessä ovat johtamiseen, säädöksiin sekä muihin
toimintoihin liittyvät ei-teknisluontoiset toimenpiteet.
‒ Toisessa kokonaisuudessa ovat digitaalisiin palveluihin
liittyvät parannustoimet ja kolmannessa kokonaisuudessa
jatkuvaluontoiset toimenpiteet, kuten koulutukseen,
tutkimukseen ja harjoituksiin liittyvät asiat.
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?14
Job well done!
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?15
"Finland is a leading expert in cybersecurity. In fact,
we should be calling you pretty soon. You do do a
fantastic job with cybersecurity, and I
congratulate you. And I think in a very short period
of time, we're going to be right there with you, believe
me. The United States is a very proud partner of
Finland's European Center of Excellence to counter
modern threats, including cyberattacks."
Ja parempi todistusaineisto
‒ Suomi sijoittuu toiseksi (tai
jaettu toinen) Viron NCSI-
indeksissä - kaikkiaan 97
maasta koostuvalla listalla
‒ Menetelmä edellyttää, että
kysymyksiin pitää pystyä
osoittamaan toteutuminen
lainsäädännöstä tai muista
julkisista, virallisista
asiakirjoista
‒ ”rasti – ruutuun – ok” – ei riitä!
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?16
Miten uusi VAHTI toimii ja edistää
digitaalista turvallisuuta
Kyber- ja tietoturvallisuuden kehittäminen, ohjaus ja yhteistyö
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?18
Julkisen hallinnon digitaalisen turvallisuuden johtaminen
Valtioneuvoston ja
hallinnonalojen
tietoturvaryhmät
Turvallisuuskomitea
Juhta
TIETOKEKO
Valmiuspäällikkökokous
NSA-yhteistyöryhmä
Operatiiviset toimijat (mm.
ICT-palvelu- ja
kyberturvallisuuskeskukset)
Yhteistyön laajentaminen – VAHTIn uudet peruspilarit
‒ 1. Johtaminen ja riskienhallinta JORI
‒ Tietoturvallisuuden hallintajärjestelmä sekä riskienhallinta
‒ 2. Toiminnan jatkuvuuden hallinta TOJA
‒ Ennakoiva suunnittelu ja varautuminen normaaliolojen häiriöihin ja poikkeusoloihin, tarvittava
harjoittelu ja testaaminen
‒ 3. Turvallisuus kehittämisessä TUKE
‒ Uusien asioiden toteuttamisessa (hankkeet, projektit, muu toiminta) edellytettävät
vaatimukset
‒ 4. Turvallisuuden ylläpito TUTO
‒ Operatiivisen toiminnan ylläpito
‒ 5. Seuranta ja arviointi SETI
‒ Vaatimustenmukaisuus, tavoitteiden asettaminen ja saavuttamisen arviointi, mittaaminen19
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?
VAHTIn toiminta
‒ Mukana toiminnassa >50 organisaatiota, noin 130 johtajaa,
esimiestä ja asiantuntijaa johtoryhmä, sihteeristö ja viidessä
asiantuntijaryhmissä
‒ Valtionhallinnon organisaatiot
‒ Kuntien edustajat
‒ Sairaanhoitopiirien edustajat
‒ Yliopistojen edustajat
‒ VAHTI järjestää vuosittain useampia seminaari-
/koulutustilaisuuksia, lokakuussa järjestetään 2. julkisen
hallinnon digitaalisen turvallisuuden teemakuukausi
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?20
Mitä teemme vuosina 2018-2019
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?21
Mitä saimme aikaiseksi vuonna 2017?
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?22
Miten organisaatiosi voi kehittää digitaalista
turvallisuutta – mitä apuja VAHTI tarjoaa?
Vaatimustenmukaisuus – vuonna 2018
‒ Tietoturvallisuusasetus 681/2010 -
https://www.finlex.fi/fi/laki/alkup/2010/20100681
‒ Tietoturvallisuuden perustaso
‒ 5§ ja siellä olevat 10 kohtaa
‒ VAHTI-ohje 2/2010 ja sen liite 5 antavat ohjeet perus- ja korotetun tietoturvatason
osalta
‒ Vastaavasti toiminnan jatkuvuutta voidaan kehittää sekä ICT-
varautumisen ohjeistuksen (2/2012) sekä Toiminnan jatkuvuuden
hallinnan (2/2016) avulla
‒ Kaikessa toiminnassa tarvitaan riskienhallintaa – uusi ohje ja
prosessi sekä työkalu saatavilla – VM 22/2017 Ohje
riskienhallintaanMitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?24
Vaatimustenmukaisuus – vuonna 2019
‒ Tiedonhallintalain myötä korvautuu tietoturvallisuusasetus ja
ennen kaikkea kansallisen salassa pidettävän tietoaineiston
luokittelu
‒ Suojaustasot poistuvat, mutta turvallisuusluokitellun tiedon osalta jäävät
(esimerkiksi kansallinen turvallisuus)
‒ Samoin tietoturvatasot poistuvat ja tilalle tulee tietoturvallisuuden
vähimmäistaso, joka edellyttää jatkossa paremmin myös saatavuuden ja
eheyden varmistamista kaiken toiminnan osalta ja luottamuksellisuuden
varmistamista kun kyse on salassa pidettävistä tiedoista
‒ Toteutamme ja rakennamme tätä varten kokonaan uudet työnimellä VAHTI
100-kulkevan vaatimuskehikon – organisaatio | tietojärjestelmä | hankinta –
vaatimukset sekä näiden auditoinnin & tarkastuksen mahdollistavat
auditointikriteerit – mallia mahdollista pilotoida loppuvuoden aikanaMitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?25
Mukaan autiosaarelle – aloita näistä?
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?26
Bonuksena
Tämä ohje on laadittu tukemaan asiointipalveluiden suunnittelua,
hankintaa, toteuttamista ja kehittämistä. Ohje kuvaa yleisellä
tasolla, kuinka turvallisuuden eri osa-alueet tulee ottaa huomioon
sähköisiä asiointipalveluita suunniteltaessa ja niitä toteutettaessa.
Ohjeessa kerrotaan yhteenveto sähköisen asioinnin
tietoturvallisuutta säätelevistä laeista ja viitekehyksistä. Ohjeen
avulla halutaan auttaa muodostamaan kokonaisnäkemys
sähköisen asioinnin keskeisistä tietoturvauhista.
Ohje tarjoaa käytännön neuvoja sähköisen asiointipalvelun
tietoturvallisista rakenneratkaisuista ja toimintamalleista, ja
havainnollistaa niitä sähköisen asioinnin viitearkkitehtuurin ja
julkishallinnon konkreettisten case-esimerkkien kautta. Ohje
tarjoaa perustiedot julkisen hallinnon sähköisen asioinnin
tukipalveluista ja niiden tarjoamista hyödyistä tietoturvallisuuden
varmistamisessa. Ohje kokoaa sähköisiä asiointipalveluita
tarjoaville tahoille velvoittavat vaatimukset sekä tarjoaa
suositusluonteisia ohjeita ja hyviä käytäntöjä.Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?27
VAHTI-henkilöstön ja johdon tietoturvabarometri
‒ Valtiovarainministeriön asettama Valtionhallinnon tieto- ja
kyberturvallisuuden johtoryhmä (VAHTI) toteutti syksyllä
2016 julkisen hallinnon organisaatioille ja henkilöstölle
suunnatun VAHTI-tietoturvabarometrin.
‒ Tähän vapaaehtoiseen kyselyyn osallistui 97
organisaatiota: 66 valtionhallinnon ministeriötä, virastoa
tai laitosta, 30 kuntaa sekä yksi sairaanhoitopiiri.
Mahdollisia vastaajia kyselyyn oli yli 168 000 ja
vastauksia saatiin 13 915, jolloin vastausprosentiksi
muodostui 8,3 %. Organisaatioiden johdolle esitettiin
erikseen 15 lisäkysymystä koskien tietoturvallisuuden
tärkeyttä, sen toteuttamisen vaikeutta sekä toteuttamisen
onnistumista organisaatiossa. Näihin kysymyksiin saatiin
742 vastausta.
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?28
‒ Kyselyssä tuli esiin useita myönteisiä havaintoja, mutta
myös kehitettävää. Kyselyn positiivisimpia havaintoja oli se,
että vastaajat pitävät tietoturvallisuutta keskeisenä
työnteon mahdollistajana (93,1 %). Lisäksi lähes kaikki
vastaajat (96,4 %) kokivat olonsa joko hyvin turvalliseksi
tai melko turvalliseksi päätelaitteilla työskennellessään.
Valtaosa vastaajista (96,2 % ) piti myös
tietoturvallisuuden toteuttamista organisaatioissa
vähintään hyvänä. Johto näki tietoturvallisuuden hyvin
tärkeäksi (3,60 asteikolla 1–4 ), sen toteuttamisen
keskivaikeaksi (2,52) ja toteutumisen kohtalaisen hyväksi
omassa organisaatiossa (2,82).Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?29
‒ Kehittämiskohteeksi nousevat henkilöstön säännöllinen
tietoturvallisuuden eri osa-alueet kattava koulutus ja
tiedottaminen ajankohtaisista tietoturvallisuuden
uhkakuvista. Erityisesti mobiililaitteiden käyttö,
häiriötilanteessa toimiminen sekä salasanojen hallinta
edellyttävät lisäkoulutusta. Vastaavasti tyytyväisimpiä
koulutuksen ja ohjeistuksen määrään oltiin
toimitilaturvallisuuden (44,4 %), sähköpostin käytön (43,7 %)
ja henkilötietojen käsittelyn (43,5 %) suhteen. Myös teknistä
tietoturvallisuutta tulee kehittää edelleen, esimerkiksi
ottamalla käyttöön salasanojen hallintaohjelmia sekä
tunnistamalla ja estämällä uusia huijauskeinoja.Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?30
Muita menetelmiä ja keinoja
1. tietosuojavideomme julkaistiin 22.6
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?32
Yhteishankkeet – 12 pidetty, ~5 jäljellä
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?33
JHDTTV 2-6.10.2017
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?34
Kaikki VAHTI-tilaisuuksien materiaalit hyödynnettävissä
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?35
www.vahtiohje.fi
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?36
Ajankohtaista‒ Julkaisimme alkuvuosi 2017 www.vahtiohje.fi
‒ Ohje riskienhallintaan (ISO 31000-standardi taustalla)
‒ Sähköisen asioinnin tietoturvallisuusohje
‒ VAHTIn toimintasuunnitelma v. 2017-2019
‒ VAHTIn toimintakertomus vuodelle 2017
‒ Huomaattehan
‒ Henkilöstön ja johdon tietoturvabarometri
‒ Tietoturvapoikkematilanteiden hallinta VM 8/2017
‒ Pilkahduksia tulevaisuuteen –raportti VM 10/2017
‒ Luku 8 käsittelee digitaalista turvallisuutta
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?37
Yhteistyö
‒ VAHTIssa toimii asiantuntijajaoston alaisuudessa viisi
asiantuntijaryhmää, joihin toivomme laaja-alaista
osallistumista julkisesta hallinnosta
‒ Samoin mahdollistamme osallistumisen VAHTI-kuukausi-
infoon, joka on katsaus VAHTI-toimintaan Skype/Lync-
kokouksena
‒ Ilmoittautuminen: [email protected]
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen
turvallisuuden kehittämiseen?38
Kimmo Rousku
VAHTI-pääsihteeri
Puh. 029553 5120
Lisätietoja: [email protected]
www.vahtiohje.fi – www.arjentietosuoja.fi