Kansallinen kyberturvallisuusharjoitus miten harjoitus tekee mestarin?

Transkriptio

1 Kansallinen kyberturvallisuusharjoitus miten harjoitus tekee? Kimmo Rousku VAHTI

2 Agenda 1. Kyberkuulumiset 2. Harjoitus tekee 3. VAHTI-kuulumiset 2

3 VAHTI?

4 VAHTI Valtiovarainministeriön tehtävänä on julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin säädöksiin. Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011) ja valmiuslaki (1552/2011), valtioneuvoston ohjesääntö (262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). Lisäksi valtiovarainministeriön vastuulla on laissa valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä tarkoitettujen yhteisten palvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjaus (1226/2013). 4

5 VAHTI Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä. 5

6 Kyberturvallisuus?

7 7

8 Muutamaa vuotta myöhemmin Alessandro Volta kuitenkin osoitti, että kahden metallin koskettaessa toisiaan esiintyy samantapainen ilmiö ilman sammakonjalkaakin. Havainto johti Voltan parin ja samalla sähkövirran keksimiseen. [1] 8

9 Mietitään vielä Myrsky tai reitittimen hajoaminen Sähkökatko tai muuten tietoliikenne poikki Tietoturva- vai Kyberturvallisuusongelma? 9

10 10

11 Tieto vs kyberturvallisuus L E S 11

12 UHKAT - erilaisia häiriöitä ja niiden aiheuttajia Poikkeamien ja häiriöiden vaikutus ja merkitys ~entä jatkossa yleisyys? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt 12

13 Iso kuva mitä tästä puuttuu? Mitä tarvitaan? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Poikkeamien ja häiriöiden vaikutus ja merkitys ~entä jatkossa yleisyys? Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvuussuhteet vuorovaikutus Riskienhallinta-prosessi ja BIA-vaikutusanalyysi Varautumissuunnittelu- ja suunnitelmat Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunnitelmat Toipumissuunnitelmat tietojärjestelmä(t) Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt 13 Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt 13

14 Hyvä esimerkki toissa viikon perjantailta

15 Mitä tarvitaan? Toiminta Riskien- ja kriittisyyden ja vaikutusten arviointi sekä riippuvuuksien tunnistaminen Vaatimustenmukaisuus - tietoturvallisuus Toiminnan jatkuvuus ja Varautuminen häiriötilanteisiin Salassapidettäviä tietoja? Henkilötietoja? 15

16 Mitä tarvitaan? Tietoturvan rinnalle tietosuojan mukaantulo Tietosuoja Saatavuus Eheys Luottamuksellisuus Kimmo Rousku EU-tietosuoja-asetuksen muutokset tuovat velvoitteita myös tietoturvallisuuden kehittämiseen 16

17 Entäs kyberturvallisuus Tietoturvallisuus Kyberturvallisuus Tietoturvallisuus - (ICT) kybertoimintaympäristö - kybertoimintaympäristö Analoginen tieto Muuta kuin tietoa (toiminta) Muuta kuin tietoa VAIKUTTAMINEN (toiminta) Digitaalinen tieto (ICTn avulla) Digitaalinen tieto Vaikuttaminen ICT:n avulla kohteeseen 17

18 Kuinka harjoitus tekee?

19 Ennakointi Johtaminen Suojattava kohde Reagointi Riskienhallinta Rautaa rajalle Turvallisuuden Prosessien mukainen toiminta seuranta ja arviointi Henkilöstön ohjeistus, tietoisuuden kasvattaminen, koulutus Toiminnan jatkuvuuden varmistaminen 19

20 Tuuletin Oliko poikkeaman aiheuttama tunnettu uhka ~ei siis vielä riskiksi tunnistettu tai hallinnassa oleva riski, joka kuitenkin laukesi? Todennäköisyys kasvoi tai sovitut toimenpiteet eivät purreet? Tietoturvapoikkeama ~kyberturvallisuushäirö entäs muut häiriöt ( ict, muu toiminta, luonto) Henki Omaisuus Tieto Raha Maine Lakisääteisyys Varautumissuunnittelu- ja suunnitelmat Jatkuvuus- ja valmiussuunnittelu Kyvykkyys reagoida! Toipumissuunnitelmat tietojärjestelmä(t) 20

21 Miten niitä mestareita leivotaan useamman vuoden havainnot ja opit

22 22

23 Tärkeintä on, että harjoitellaan!

24 Harjoitellaanko riittävästi? Sekä VAHTIn valtionhallinnon ( ) että kuntakyselyn (2015) ja uusimman VAHTI henkilöstön ja johdon tietoturvabarometrin mukaan: VAHTI-baro johdon kysymys 5.3 Häiriötilanteiden hallintaa harjoitellaan riittävästi tärkeys vaikeus toteutuminen: 4 erittäin tärkeää erittäin vaikeaa erittäin hyvin 3 tärkeää melko vaikeaa melko hyvin 2 ei kovin tärkeää melko helppoa melko huonosti 1 ei lainkaan tärkeää erittäin helppoa erittäin huonosti Tärkeys: 3,30 Vaikeus: 2,70 Toteutuminen:2,07 24

25 Havaintoja ja kokemuksia Sitouttaminen Organisaation johdon ymmärryttäminen Entä mukaansaanti & osallistaminen? Tehtävät harjoituksessa? Harjoituksen rajaus ja resurssit Mitä ja miksi harjoitellaan? Onko organisaatiossa olemassa toimintamallit ~prosessit mitä harjoitella? Ketkä kaikki osallistuvat? Tarkkailu ja havainnot raportointi => kehittäminen Tämän takia harjoituksia tehdään mestarit löytävät kehittämiskohteet harrastelijat puuhastelevat samojen asioiden kanssa vuodesta toiseen! PDCA kyspsyystasomallit-ajattelu 25

26 Havaintoja ja kokemuksia Pöytäharjoitus vs laajempi, teknisen toimintaympäristön mahdollistama harjoitus Jos ns. testiympäristö joka ei vastaa aitoa, sen perehdyttämiseen varattava aikaa Kuten riskienhallinnassa, pelkästään asiantuntijoiden saaminen sovitusti ja johdetusti saman pöydän pikaviesti-istunnon ääreen on jo toimintaa kehittävä tapahtuma Joka tapauksessa tarkoituksena on harjoitella toimintaan liittyviä prosesseja tai sitä, mitä on sovittu harjoiteltavan Eri asia on se, jos tarkoitus on oikeasti harjoitella olemassa olevan organisaation käytössä olevia palveluita ja prosesseja, niin tällöin pitäisi pystyä käyttämään olemassa olevaa ympäristöä (tai mahdollisimman aitoa harjoitusympäristöä) Entäs kun harjoitus karkaa käsistä? Tai samaan aikaan iskee oikea häiriö? 26

27 Havaintoja ja kokemuksia Viestintä Huhu kertoo, että kerran 40-luvulla onnistuttu? Viestintä pitää saada mukaan, koska häiriö ja kriisiviestintä on tunnetusti hyvin haastavaa normaalioloissa, puhumattakaan laajempi MiM-tapaus Johdon rooli Johdon keskeisin viesti on ollut tämä: Jotta johto voi tehdä päätöksiä, se edellyttää hyvin valmisteltuja ehdotuksia, mitä tulee tehdä. Päätöksiä tehdään kun niiden tekemiseen on perusteet ne tehdä! Johdon ja asiantuntijoiden välillä tuntuu olevan välillä selkeä viestinnällinen ongelma kumpikaan ei oikein ymmärrä toisia Ja sitten jos mukana on vielä vahva liiketoiminnan vaikutus, tulee myös sieltä lisähaasteita 27

28 Tulossa kattava ohjepaketti - tukimateriaali 28

29 Tulossa kattava ohjepaketti - tukimateriaali 29

30 Tulossa käsikirja harjoituksia varten 30

31 Lisäluettavaa Suosittele erikseen organisaation johdon ja keskeisten asiantuntijoiden mediavalmennusta erilaisiin tilanteisiin: Onko käyttäjätietojen vuotaminen rikollisille jo loppunut? 31

32 Mistä APUA VAHTI auttaa!

33 Uusi VAHTI-johtoryhmä asetetaan v Nykyinen toimikausi päättyy Sopivasti osana 20. VAHTIn juhlavuotta asetamme uuden julkishallinnon tieto- ja kyberturvallisuuden johtoryhmän Keskeiset muutokset: Itse johtoryhmän toiminnan vahvistaminen, ministeriöt ja keskeiset muut turvaelimet mukaan toimintaan sekä kuntatoimijat VAHTI-sihteeristön toiminnan vahvistaminen ja laajentaminen etenkin kuntatoimijoiden osalta Nykyiset ohje, tekninen ja kuntien tietoturvajaosto korvautuvat viidellä asiantuntijajaoksen alaisuudessa toimivalla työryhmällä VIRT-häiriötilannehallinnan kehittäminen osaksi VAHTI-toimintaa 33

34 Asiantuntijajaos Julkishallinnon kyberturvallisuuden johtaminen Sihteeristö VAHTI-johtoryhmä Turvallisuuskomitea JUHTA TIETOKEKO Valmiuspäällikkökokous NSA-yhteistyöryhmä TSV Johtaminen ja riskienhallinta Turvallisuus kehittämisessä Turvallisuuden ylläpito Toiminnan jatkuvuuden hallinta VIRT-toiminta operatiivinen Seuranta ja arviointi Valtioneuvoston ja hallinnonalojen tietoturvaryhmät Operatiiviset toimijat (mm. ICT-palvelu- ja kyberturvallisuuskeskukset) 34

35 Ajankohtaista VAHTI-toiminnassa Uusi VAHTI-portaali Julkaisemme joulukuussa Meidän oman toiminnan digitalisaatio linkitykset myös verkkokoulutuksiin Mahdollisesti tulevan asetuksen lain keskeinen täytäntöönpanon tukipalvelu Uudet (tieto)turvavaatimukset Päivitämme tietoturvavaatimuksia pilottityyppisesti pilotoimme sopivia uuden tietoturvallisuuden perus(minimi)tason yhtenäisempiä vaatimuksia Vaatimukset: organisaatio (hallinnollinen) palvelut (tekninen) hankinta <= auditointivaatimukset Samoin käynnissä on selvitys nykyisen tietoturvasäädöstön toimivuudesta mikä on toimivaa ja hyvää miten tätä tulisi mahdollisesti uudistaa tai päivittää? 35

36 Ajankohtaista VAHTI-toiminnassa Uusia VAHTI-materiaaleja saatavilla Tulossa vielä v 2016: VAHTI 3/2016 Tietoturvapoikkeamien hallinta VAHTI 4/2016 Sähköisen asioinnin tietoturvaohje VAHTI-raportti 2/2016 VAHTI-tietoturvabarometri VAHTI 2/2015 Ohje salauskäytännöistä käännös englanniksi 36

37 Digitaaliseen turvallisuuteen kohdistuvien riskien hallinta taloudellisen ja yhteiskunnallisen hyvinvoinnin edistämiseksi Suosittelen tutustumaan ylätason näkemys kokonaisuuteen hyödynnämme tätä VAHTI-riskienhallintaohjeen uudistamistyössä 37

38 VAHTIn kuntajaoston kiertue Kuntakiertueen paikkakunnat, aikataulu ja ilmoittautuminen: Jyväskylä, Minnansali, Vapaudenkatu Vaasa, Vaasan yliopisto, Wolffintie Kuopio, Valtuustotalo, Suokatu Helsinki, Kuntatalo, Toinen linja 14 38

39 VAHTI-riskienhallinta x/2017 Uudistamme kokonaan 7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa Lopputulos: Päivitetty ohje Riskienhallintaprosessi, sitä tukeva ohje ja Excel-työkalu Perinteinen tietoriski tietoturvallisuus kyberriskit tietosuoja sekä digitalisaation riskit ja mahdollisuudet case-esimerkit Selvitämme 2017, miten RaaS saadaan toteutettua Hyödynnämme ISO pohjaisuutta esimerkiksi terminologian, prosessin osalta rusinat pullasta ja kerma päältä -mallilla 39

40 Varaa aika kalenterista! 40

41 Mikään teknologia ei korvaa IHMISEN tietoturvakäyttäytymistä 41

42 Kimmo Rousku VAHTI-pääsihteeri Puh Kutsuthan minut verkostoosi?