miten harjoitus tekee mestarin?
TRANSCRIPT
Kansallinen
kyberturvallisuusharjoitus – miten
harjoitus tekee mestarin?
VAHTI
2.11.2016 Kimmo Rousku
Agenda
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 2
1. Kyberkuulumiset
2. Harjoitus tekee mestarin
3. VAHTI-kuulumiset
VAHTI?
VAHTI
‒ Valtiovarainministeriön tehtävänä on julkisen hallinnon
tietoturvallisuuden yleinen kehittäminen ja valtionhallinnon
tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta
tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä
perustuu useisiin säädöksiin.
‒ Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki
viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden
arvioinnista (1406/2011) ja valmiuslaki (1552/2011), valtioneuvoston ohjesääntö
(262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). Lisäksi
valtiovarainministeriön vastuulla on laissa valtion yhteisten tieto- ja
viestintäteknisten palvelujen järjestämisestä tarkoitettujen yhteisten palvelujen
palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen
varautumisen, valmiuden ja turvallisuuden ohjaus (1226/2013).
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 4
VAHTI
Valtiovarainministeriön asettama Valtionhallinnon tieto- ja
kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon
tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta
vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja
koordinaatioelimenä.
‒ VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä
parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta,
laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää
tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista
kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä
tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä,
ylläpitoa ja käyttöä.
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 5
Kyberturvallisuus?
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 7
‒ Muutamaa vuotta myöhemmin
Alessandro Volta kuitenkin osoitti, että
kahden metallin koskettaessa toisiaan
esiintyy samantapainen ilmiö ilman
sammakonjalkaakin. Havainto johti
Voltan parin ja samalla sähkövirran
keksimiseen.[1]
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 8
Mietitään vielä
Myrsky tai
reitittimen hajoaminen
Tietoturva- vai
Sähkökatko tai muuten
tietoliikenne poikki
Kyberturvallisuus-ongelma?
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 9
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 10
Tieto vs kyberturvallisuus
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 11
L
E
S ◦
UHKAT - erilaisia häiriöitä ja niiden aiheuttajia
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 12
Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja
rakenteista
ICT-toiminnan häiriöt
Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot
Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt
Poikkeamien ja häiriöiden vaikutus ja
merkitys ~entä jatkossa yleisyys?
Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvuussuhteet | vuorovaikutus
Riskienhallinta-prosessi ja BIA-vaikutusanalyysi
Iso kuva – mitä tästä puuttuu? Mitä tarvitaan?
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 13
Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja
rakenteista
Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot
Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt
ICT-toiminnan häiriöt 13
Varautumissuunnittelu- ja suunnitelmat
Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunnitelmat
Toipumissuunnitelmat – tietojärjestelmä(t)
Poikkeamien ja häiriöiden vaikutus ja
merkitys ~entä jatkossa yleisyys?
Hyvä esimerkki toissa viikon perjantailta 21.10.2016
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 14
Vaatimustenmukaisuus
- tietoturvallisuus
Mitä tarvitaan?
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 15
Toiminta
Riskien- ja kriittisyyden ja vaikutusten
arviointi sekä riippuvuuksien
tunnistaminen
Toiminnan jatkuvuus ja
Varautuminen häiriötilanteisiin
Salassapidettäviä tietoja?
Henkilötietoja?
Mitä tarvitaan? Tietoturvan rinnalle tietosuojan
mukaantulo
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 16
Saatavuus
Eheys
Luottamuksellisuus
Kimmo Rousku
28081999-1234 Tietosuoja EU-tietosuoja-asetuksen muutokset
tuovat velvoitteita myös
tietoturvallisuuden kehittämiseen
Tietoturvallisuus
Entäs kyberturvallisuus
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 17
Digitaalinen
tieto (ICTn
avulla)
Analoginen
tieto
Kyberturvallisuus
- kybertoimintaympäristö
Digitaalinen
tieto
Muuta kuin
tietoa
(toiminta)
VAIKUTTAMINEN
Vaikuttaminen
ICT:n avulla
kohteeseen
Tietoturvallisuus Kyberturvallisuus
- (ICT) kybertoimintaympäristö
Digitaalinen
tieto (ICTn
avulla)
Analoginen
tieto
Muuta kuin tietoa (toiminta)
Kuinka harjoitus tekee mestarin?
Ennakointi Suojattava
kohde Reagointi
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 19
Rautaa rajalle
Prosessien mukainen toiminta
Henkilöstön ohjeistus, tietoisuuden kasvattaminen, koulutus
Turvallisuuden
seuranta ja arviointi Toiminnan
jatkuvuuden
varmistaminen
Riskienhallinta
Johtaminen
Tuuletin
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 20
Tietoturvapoikkeama
~kyberturvallisuus-
häirö – entäs muut
häiriöt (…ict, muu
toiminta, luonto)
Henki
Omaisuus
Tieto
Raha
Maine
Lakisääteisyys
Kyvykkyys
reagoida!
Varautumissuunnittelu- ja suunnitelmat
Toipumissuunnitelmat – tietojärjestelmä(t)
Jatkuvuus- ja valmiussuunnittelu
Oliko poikkeaman aiheuttama tunnettu uhka ~ei siis vielä riskiksi
tunnistettu tai hallinnassa oleva riski, joka kuitenkin laukesi?
Todennäköisyys kasvoi tai sovitut toimenpiteet eivät purreet?
Miten niitä mestareita leivotaan –
useamman vuoden havainnot ja opit
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 22
Tärkeintä on, että
harjoitellaan!
Harjoitellaanko riittävästi?
‒ Sekä VAHTIn valtionhallinnon (2009-2015) että kuntakyselyn
(2015) ja uusimman VAHTI henkilöstön ja johdon
tietoturvabarometrin mukaan:
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 24
Tärkeys: 3,30
Vaikeus: 2,70
Toteutuminen:2,07
VAHTI-baro johdon kysymys 5.3 Häiriötilanteiden hallintaa
harjoitellaan riittävästi – tärkeys – vaikeus – toteutuminen:
4 erittäin tärkeää | erittäin vaikeaa | erittäin hyvin
3 tärkeää | melko vaikeaa | melko hyvin
2 ei kovin tärkeää | melko helppoa | melko huonosti
1 ei lainkaan tärkeää | erittäin helppoa | erittäin huonosti
Havaintoja ja kokemuksia
‒ Sitouttaminen
‒ Organisaation johdon ymmärryttäminen
‒ Entä mukaansaanti & osallistaminen? Tehtävät harjoituksessa?
‒ Harjoituksen rajaus ja resurssit
‒ Mitä ja miksi harjoitellaan?
‒ Onko organisaatiossa olemassa toimintamallit ~prosessit mitä harjoitella?
‒ Ketkä kaikki osallistuvat?
‒ Tarkkailu ja havainnot – raportointi => kehittäminen
‒ Tämän takia harjoituksia tehdään – mestarit löytävät
kehittämiskohteet – harrastelijat puuhastelevat samojen asioiden
kanssa vuodesta toiseen! PDCA –kyspsyystasomallit-ajattelu
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 25
Havaintoja ja kokemuksia ‒ Pöytäharjoitus vs laajempi, teknisen toimintaympäristön
mahdollistama harjoitus
‒ Jos ns. testiympäristö joka ei vastaa aitoa, sen perehdyttämiseen varattava
aikaa
‒ Kuten riskienhallinnassa, pelkästään asiantuntijoiden saaminen sovitusti ja
johdetusti saman pöydän | pikaviesti-istunnon ääreen on jo toimintaa kehittävä
tapahtuma
‒ Joka tapauksessa tarkoituksena on harjoitella toimintaan liittyviä prosesseja –
tai sitä, mitä on sovittu harjoiteltavan
‒ Eri asia on se, jos tarkoitus on oikeasti harjoitella olemassa olevan organisaation
käytössä olevia palveluita ja prosesseja, niin tällöin pitäisi pystyä käyttämään
olemassa olevaa ympäristöä (tai mahdollisimman aitoa harjoitusympäristöä)
‒ Entäs kun harjoitus karkaa käsistä? Tai samaan aikaan iskee oikea häiriö?
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 26
Havaintoja ja kokemuksia
‒ Viestintä
‒ Huhu kertoo, että kerran 40-luvulla onnistuttu?
‒ Viestintä pitää saada mukaan, koska häiriö ja kriisiviestintä on tunnetusti
hyvin haastavaa normaalioloissa, puhumattakaan laajempi MiM-tapaus
‒ Johdon rooli
‒ Johdon keskeisin viesti on ollut tämä:
‒ ”Jotta johto voi tehdä päätöksiä, se edellyttää hyvin valmisteltuja
ehdotuksia, mitä tulee tehdä.”
‒ Päätöksiä tehdään kun niiden tekemiseen on perusteet ne tehdä!
‒ Johdon ja asiantuntijoiden välillä tuntuu olevan välillä selkeä viestinnällinen
ongelma – kumpikaan ei oikein ymmärrä toisia
‒ Ja sitten jos mukana on vielä vahva liiketoiminnan vaikutus, tulee myös
sieltä lisähaasteita 2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 27
Tulossa kattava
ohjepaketti -
tukimateriaali
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 28
Tulossa kattava ohjepaketti - tukimateriaali
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 29
Tulossa – käsikirja harjoituksia varten
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 30
Lisäluettavaa
‒ Suosittele erikseen organisaation johdon ja keskeisten
asiantuntijoiden mediavalmennusta erilaisiin tilanteisiin:
‒ ”Onko käyttäjätietojen vuotaminen rikollisille jo loppunut?”
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 31
Mistä APUA – VAHTI auttaa !
Uusi VAHTI-johtoryhmä asetetaan v 2017-2019
‒ Nykyinen toimikausi päättyy 31.12.2016.
‒ Sopivasti osana 20. VAHTIn juhlavuotta asetamme uuden
julkishallinnon tieto- ja kyberturvallisuuden johtoryhmän
‒ Keskeiset muutokset:
‒ Itse johtoryhmän toiminnan vahvistaminen, ministeriöt ja keskeiset muut
turvaelimet mukaan toimintaan sekä kuntatoimijat
‒ VAHTI-sihteeristön toiminnan vahvistaminen ja laajentaminen etenkin
kuntatoimijoiden osalta
‒ Nykyiset ohje, tekninen ja kuntien tietoturvajaosto korvautuvat viidellä
asiantuntijajaoksen alaisuudessa toimivalla työryhmällä
‒ VIRT-häiriötilannehallinnan kehittäminen osaksi VAHTI-toimintaa
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 33
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 34
Asia
ntu
nti
jaja
os
VIRT-operatiivinen
VAHTI-johtoryhmä
Sihteeristö
Johtaminen ja riskienhallinta
Toiminnan jatkuvuuden
hallinta
Turvallisuus kehittämisessä
VIRT-toiminta
Turvallisuuden ylläpito
Seuranta ja arviointi
Valtioneuvoston ja
hallinnonalojen
tietoturvaryhmät
Operatiiviset toimijat (mm.
ICT-palvelu- ja
kyberturvallisuuskeskukset)
Julkishallinnon kyberturvallisuuden johtaminen
Turvallisuuskomitea
JUHTA
TIETOKEKO
Valmiuspäällikkökokous
NSA-yhteistyöryhmä
TSV
Ajankohtaista VAHTI-toiminnassa
‒ Uusi VAHTI-portaali
‒ Julkaisemme joulukuussa
‒ Meidän oman toiminnan digitalisaatio – linkitykset myös verkkokoulutuksiin
‒ Mahdollisesti tulevan asetuksen | lain keskeinen täytäntöönpanon tukipalvelu
‒ Uudet (tieto)turvavaatimukset
‒ Päivitämme tietoturvavaatimuksia pilottityyppisesti – pilotoimme sopivia uuden
tietoturvallisuuden perus(minimi)tason yhtenäisempiä vaatimuksia
‒ Vaatimukset: organisaatio (hallinnollinen) – palvelut (tekninen) – hankinta <=
auditointivaatimukset
‒ Samoin käynnissä on selvitys nykyisen tietoturvasäädöstön toimivuudesta | mikä
on toimivaa ja hyvää | miten tätä tulisi mahdollisesti uudistaa tai päivittää?
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 35
Ajankohtaista VAHTI-toiminnassa
‒ Uusia VAHTI-materiaaleja saatavilla
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 36
Tulossa vielä v 2016: VAHTI 3/2016 Tietoturvapoikkeamien hallinta
VAHTI 4/2016 Sähköisen asioinnin tietoturva-
ohje
VAHTI-raportti 2/2016 VAHTI-tietoturva-
barometri
VAHTI 2/2015 Ohje salauskäytännöistä –
käännös englanniksi
Digitaaliseen turvallisuuteen kohdistuvien riskien hallinta taloudellisen
ja yhteiskunnallisen hyvinvoinnin edistämiseksi
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 37
Suosittelen tutustumaan – ylätason näkemys
kokonaisuuteen – hyödynnämme tätä
VAHTI-riskienhallintaohjeen uudistamistyössä
www.vahtiohje.fi
VAHTIn kuntajaoston kiertue
‒ Kuntakiertueen paikkakunnat, aikataulu ja ilmoittautuminen:
13.10. Jyväskylä, Minnansali, Vapaudenkatu 39-41
27.10. Vaasa, Vaasan yliopisto, Wolffintie 34
8.11. Kuopio, Valtuustotalo, Suokatu 42
9.11. Helsinki, Kuntatalo, Toinen linja 14
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 38
√
√
√
VAHTI-riskienhallinta x/2017
‒ Uudistamme kokonaan 7/2003 Ohje riskien arvioinnista
tietoturvallisuuden edistämiseksi valtionhallinnossa
‒ Lopputulos:
‒ Päivitetty ohje
‒ Riskienhallintaprosessi, sitä tukeva ohje ja Excel-työkalu
‒ Perinteinen tietoriski – tietoturvallisuus | kyberriskit | tietosuoja sekä
digitalisaation riskit ja mahdollisuudet –case-esimerkit
‒ Selvitämme 2017, miten RaaS saadaan toteutettua
‒ Hyödynnämme ISO 31000-pohjaisuutta esimerkiksi terminologian,
prosessin osalta – ”rusinat pullasta ja kerma päältä” -mallilla
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 39
Varaa aika kalenterista!
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 40
Mikään teknologia ei korvaa IHMISEN
tietoturvakäyttäytymistä
2.11.2016 Kyberturvallisuusmessut - harjoitus tekee
mestarin 41
Kimmo Rousku
VAHTI-pääsihteeri
Puh. 02955 30140
@kimmorousku
Kutsuthan minut verkostoosi?
http://www.vahtiohje.fi