Tietoturvalliseen tietoyhteiskuntaan. 5.4 Sertifikaatit -työryhmän loppuraportti

Transkriptio

1 Tietoturvalliseen tietoyhteiskuntaan 5.4 Sertifikaatit -työryhmän loppuraportti

2 Tietoturva-asioiden neuvottelukunnalle Sertifikaatit -hanke on osa valtioneuvoston 4. syyskuuta 2003 periaatepäätöksellä vahvistaman kansallisen tietoturvastrategian toimeenpanoa. Hankkeen tavoitteena on arvioida tarvetta edistää tietoturvallisuuteen liittyvien sertifikaattien hyödyntämistä sekä tarvetta lisätä käyttäjien ja kuluttajien tietämystä tietoturvallisuuteen liittyvien sertifikaattien merkityksestä palveluita ja tuotteita hankittaessa. Hankkeessa asetettiin Sertifikaatit -työryhmä, jonka toimikausi on Työryhmän tulee raportoida kansalliselle tietoturva-asioiden neuvottelukunnalle. Työryhmä aloitti toimintansa toukokuussa 2004 ja kokoontui toimikaudellaan 8 kertaa. Hankkeeseen osallistuivat: Haapaniemi Leena, SFS-Inspecta Sertifiointi Oy Helkamäki Tarja, Elisa Oyj Kilkkilä Sami, Viestintävirasto Kokko-Herrala Riitta, Kuluttajavirasto Koskinen Sami O., TKK Perttula Juha, liikenne- ja viestintäministeriö Terho Arja, valtiovarainministeriö Tikkanen Leena, Mittatekniikan keskus Työryhmän puheenjohtajana toimi neuvotteleva virkamies Juha Perttula liikenne- ja viestintäministeriöstä.

3 Saatuaan työnsä päätökseen työryhmä kunnioittaen luovuttaa loppuraporttinsa siihen sisältyvine esityksineen tietoturva-asioiden neuvottelukunnalle. Helsingissä 18. päivänä helmikuuta 2005 Juha Perttula työryhmän puheenjohtaja Haapaniemi Leena Helkamäki Tarja Kilkkilä Sami Kokko-Herrala Riitta Koskinen Sami O. Terho Arja Tikkanen Leena

4 Johdanto Erilaisia tietoturvaan liittyviä sertifikaatteja on markkinoilla varsin paljon. Näitä sertifikaatteja koskeva tietoisuus ja niiden hyödyntäminen ei kuitenkaan ole nykyisin sillä tasolla, että sertifikaateista eri toimijoille saatavissa olevat hyödyt tulisivat riittävässä määrin hyödynnettyä. Myöskään kattavaa selvitystä tältä alueelta ei ole tehty. Hankkeen tavoitteena on omalta osaltaan vaikuttaa siihen, että eri toimijat kuten mm. laitevalmistajat ja loppukäyttäjät olisivat mahdollisimman pitkälle tietoisia niistä tietoturvaan liittyvistä sertifikaateista, joista voisi olla juuri heille hyötyä. Tavoitteena on pyrkiä vaikuttamaan siihen, että tietoturvaan liittyvistä sertifikaateista hyödynnetään mahdollisimman pitkälle niistä erilaisille toimijoille saatavissa olevat hyödyt. Hankkeessa toteutettiin kattava selvitys kansainvälisistä ja kansallisista tietoturvaan liittyvistä henkilö-, tuote-, palvelu- ja järjestelmäsertifikaateista. Tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla (luottamuksellisuus), ettei tietoja voida muuttaa muun kuin siihen oikeutetun toimesta (eheys) ja että tiedot ja tietojärjestelmät ovat niihin oikeutettujen hyödynnettävissä (käytettävyys). Tietoturvasta huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteistoja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi. Tietoturvaan liittyvien sertifikaattien alueella keskeisiä kansallisia toimijoita ovat mm. Tieke, valtiovarainministeriö, yliopistot, Viestintävirasto ja lukuisat yksityisen sektorin yritykset ym. toimijat. Hankkeessa on pyritty löytämään nykyisiä tietoisuuden ja sertifikaattien hyödyntämisen ongelmakohtia ja tekemään arvio niistä toimenpiteistä, joiden avulla sertifikaatteja koskevaa tietoisuutta ja niiden hyödyntämistä voitaisiin edistää.

5 Työryhmän työn tueksi teetetty konsulttiselvitys valmistui lokakuussa Selvityksessä kartoitettiin kaikki olemassa olevat tietoturvaan liittyvät sertifikaatit ja pohdittiin sertifikaattien hyödyntämistä monipuolisesti eri näkökulmista. Konsulttityönä toteutettu erillinen selvitys on työryhmän raportin liitteenä. Selvityksen pohjalta työryhmä pyrki arvioimaan tarvetta edistää sertifikaattien käyttöä ja käyttäjien ja kuluttajien niitä koskevaa tietoisuutta sekä pyrki laatimaan ehdotuksia mahdollisesti tarvittavista toimenpiteistä. Tietoturvaan liittyvät sertifikaatit voidaan jaotella seuraavasti: Palvelusertifikaatit ovat sertifikaatteja, joita tietoturvallisuuden osalta voidaan myöntää palveluille, jotka täyttävät sertifikaatin myöntäjän tai jonkin muun tahon ennalta asettamat tietoturvallisuusvaatimukset, ja jotka todennetaan auditoinnilla näiden vaatimusten mukaiseksi. Tuotesertifikaatit ovat sertifikaatteja, joita tietoturvallisuuden osalta voidaan myöntää tuotteille, jotka täyttävät sertifikaatin myöntäjän tai jonkin muun tahon ennalta asettamat tietoturvallisuusvaatimukset, ja jotka todennetaan auditoinnilla näiden vaatimusten mukaiseksi. Järjestelmäsertifikaatit ovat sertifikaatteja, joita voidaan myöntää organisaation toiminnassa käytettävälle järjestelmälle (esimerkiksi tietoturvallisuuden hallintajärjestelmä) tai prosessille, jotka täyttävät kansainvälisen standardin, sertifikaatin myöntäjän tai jonkin muun tahon ennalta asettamat tietoturvallisuusvaatimukset, ja jotka todennetaan auditoinnilla näiden vaatimusten mukaiseksi. Henkilösertifikaatit ovat sertifikaatteja, joita voidaan myöntää henkilöille, jotka täyttävät tietoturvallisuuden alalla sertifikaatin myöntäjän tai jonkin muun tahon ennalta asettamat edellytykset, ja jotka todennetaan näiden edellytysten mukaiseksi. Henkilösertifikaatit voidaan lisäksi jaotella tuoteriippumattomiin ja tuoteriippuvaisiin henkilösertifikaatteihin. Hankkeessa löydettiin tietoturvaan liittyviä palvelusertifikaatteja 4 kpl, tuotesertifikaatteja 2 kpl, järjestelmäsertifikaatteja 2 kpl ja henkilösertifikaatteja yhteensä 86 kpl, joista tuoteriippumattomia 53 kpl ja tuoteriippuvaisia 33 kpl.

6 SERTIFIKAATIT -TYÖRYHMÄN ESITYKSET Työryhmän käsityksen mukaan uusia kansallisia tietoturvaan liittyviä sertifikaatteja ei ole tarpeen lähteä luomaan. Työryhmän näkemyksen mukaan on epätodennäköistä, että uudet kansalliset sertifikaatit toisivat lisäarvoa markkinoilla jo oleviin sertifikaatteihin nähden. Sen sijaan kansalliset resurssit tulisi kohdentaa jo olemassa olevien sertifikaattien vapaaehtoisen käytön edistämiseen. Työryhmän näkemyksen mukaan tietoisuuden lisääminen on keskeisin tarve, johon tulee panostaa ja jota tulee lisätä, jotta sertifikaateista eri toimijoille saatavissa olevat hyödyt saataisiin käytettyä mahdollisimman pitkälle hyväksi. Työryhmän näkemyksen mukaan tietoisuutta tulee lisätä nimenomaan riippumattomien ja puolueettomien, akkreditoinnin avulla päteväksi todettujen sertifiointielinten myöntämien sertifikaattien osalta. 1 Kansainvälinen yhteistyö Työryhmän näkemyksen mukaan kansainväliseen sertifikaattien kehittämistä koskevaan työhön osallistuminen ja tämän työn jatkuva seuraaminen on erittäin tärkeää. Vain aktiivisesti osallistumalla voidaan pyrkiä saamaan suomalaisia näkemyksiä ja intressejä huomioon otetuksi tässä työssä. Myös suomalaisen teollisuuden ja yliopistojen mukaan kytkeminen tähän toimintaan nykyistä vahvemmin, ja suomalaisissa yrityksissä olevan osaamisen mahdollisimman laajamittainen hyödyntäminen olisi tarpeen. Suomessa ei tällä hetkellä ole esimerkiksi Common Criteria sertifiointielintä. Kyseiselle sertifioinnille ei ole ollut kysyntää niin, että siitä olisi muodostunut kaupallisesti kannattavaa toimintaa. Toisaalta konsulttien tekemän selvityksen mukaan suomalaisen sertifointielimen puutetta ei ole pidetty ongelmana sertifiointeja hankittaessa suomalaisissa yrityksissä, sillä tuotteet ovat kansainvälisillä markkinoilla ja niiden dokumentointi teh-

7 dään ensisijaisesti englanniksi. Kotimaista seritifiointielintä ja testauslaboratorioita olennaisempaa on kuitenkin, että asiointi sujuu ulkomaisen testauslaboratorion kanssa. Työryhmän näkemyksen mukaan tietoturvastandardoinnin osalta tarvittaisiin nykyistä enemmän kotimaisten toimijoiden panostusta ja aktiivista osallistumista standardien kehittämistyöhön. Vastaavasti myös ISO:n piirissä on parhaillaan vireillä tietoturvallisuuden hallintajärjestelmien sertifiointiin tähtäävä hanke, jonka yhtenä lähtökohtana on BS sertifikaatin 2. osa. Työryhmän näkemyksen mukaan tähän työhön olisi tärkeää osallistua mahdollisimman aktiivisesti. Myös standardointityön koordinointia ja yhteistyömahdollisuuksien kehittämistä tulisi selvittää. Työryhmä esittää, että kaikkien kansainvälisestä yhteistyöstä tällä alueella vastaavien tahojen tulisi pyrkiä tehostamaan omalta osaltaan kasainvälistä osallistumista, ja pyrkiä löytämään keinoja riittävien resurssien varmistamiseksi kansainväliseen toimintaan osallistumista varten. Työryhmän näkemyksen mukaan keskeisten toimijoiden olisi toivottavaa ryhtyä myös konkreettisessa yhteistyössä pohtimaan keinoja kansainvälisen toiminnan kehittämiseksi ja tarvittavien resurssien varmistamiseksi. Yksityisen sektorin toimijoiden ja yliopistojen nykyistä vahvempi osallistuminen voisi olla työryhmän näkemyksen mukaan yksi keino resurssien lisäämiseen, mutta panostusta tarvittaisiin yhdessä sekä julkishallinnon että yksityisen sektorin puolelta. Yleisemmin kansainvälisessä yhteistyössä noudatettavien toimintatapojen kehittämistä pohditaan myös kansallisen tietoturvastrategian kansainvälisen yhteistyön kehittämistä koskevassa erillisessä hankkeessa (1.2). 2 Palvelusertifikaatit (Qweb, SafeBuy, Trusted Shops, Hacker Safe) Työryhmän näkemyksen mukaan palvelusertifikaateilla voisi olla selkeästi nykyistä suurempi merkitys elinkeinonharjoittajien ja palvelun tarjoajien toiminnassa palvelujen laatu- ja turvallisuustason nostajina. Tällöin palvelusertifikaatit hyödyttäisivät kaikkia toimijoita ja välillisesti myös kuluttajia ja muita loppukäyttäjiä. Palvelusertifikaattien

8 nykyistä laajemmalla hyödyntämisellä voitaisiin osaltaan edistää palvelujen tietoturvan ja laadun kehittymistä ja palveluja kohtaan tunnettavaa luottamusta. Suoraan kuluttajan valinnanmahdollisuuksia ohjaavana tekijänä sertifikaatit ovat kuitenkin monille kuluttajaryhmille monimutkainen ja vaikeasti ymmärrettävissä oleva ilmiö. Kuluttajien itse saattaa olla vaikeaa arvioida, mikä merkitys tietylle palveluun liitetylle sertifikaatille tulisi antaa, johtuen mm. erilaisten sertifikaattien määrästä ja niiden kriteeristöjen monimutkaisuudesta. Tämän kaltaisten suoraan kuluttajien valintoja ohjaavaksi tarkoitettujen sertifikaattien käyttö saattaa pahimmassa tapauksessa jopa johtaa kuluttajia harhaan ja luoda loppukäyttäjälle todellisuutta paremman kuvan palvelun luotettavuudesta tietoturvan kannalta. Lähtökohtana tulee tietenkin olla, että palvelujen tarjoajat noudattavat sertifikaattien asettamien vaatimusten lisäksi myös lainsäädännössä asetettuja tietoturvaa koskevia velvoitteita. Palvelusertifikaattien etuna kuitenkin on, että jokin ulkopuolinen ja riippumaton taho arvioi palvelun toteutuksen ja vahvistaa, että sertifikaatin edellyttämät seikat ovat kunnossa. Tietoturvaan liittyvät sertifikaatit mahdollistavat, että asiantunteva ja puolueeton kolmas taho arvioi palvelun tietoturvan, millä voisi olla verkkopalvelujen tietoturvan tasoa parantavia vaikutuksia. Työryhmän näkemyksen mukaan palvelusertifikaateista saatavissa olevien hyötyjen aikaansaaminen ja palvelusertifikaattien käytön yleistyminen vaatisi huomattavaa tietoisuuden lisäämistä nykyiseen verrattuna. Tämä edellyttäisi kaikkien niiden tahojen omatoimista panostamista tiedottamiseen, jotka työskentelevät sertifikaatteihin liittyvissä tehtävissä. Työryhmän näkemyksen mukaan tietoisuuden lisäämisen tulisi kohdistua erityisesti tietoverkoissa erilaisia sisältöjä ja tuotteita tarjoaviin palveluntarjoajiin. Työryhmä on pohtinut mahdollisuuksia ja tarvetta kehittää yksityisen sektorin verkkopalvelujen tietoturvavaatimuksia kuvaava kriteeristö. Työryhmän näkemyksen mukaan tällainen kriteeristö voisi olla tulevaisuudessa olennainen verkkopalveluiden tietoturvan tasoa kehittävä tekijä. Kriteeristön seuraaminen varmistaisi, että tietyn palvelun osalta ainakin tietoturvan perusasiat ovat kunnossa. Se, tulisiko kriteeristön täyttymisen arvi-

9 oiminen tapahtua palvelun tarjoajan oman harkinnan mukaan vai jonkin ulkopuolisen riippumattoman tahon toimesta, vaatisi vielä lisäselvitystä. Työryhmän näkemyksen mukaan kriteeristö tulisi ensisijaisesti pyrkiä kehittämään kansainvälisessä yhteistyössä Eu -tasolla. Myös Euroopan unionin verkko- ja tietoturvavirastolla saattaisi olla kehittämistyössä koordinoijan tai liikkeellepanijan rooli. Työryhmä esittää, että keskeiset kansalliset toimijat ryhtyisivät yhteistyössä selvittämään ja jatkokehittämään verkkopalvelujen tietoturvan kriteeristöä koskevaa ajatusta, ja arvioimaan sen käytännön toteuttamiskelpoisuutta. Työryhmän näkemyksen mukaan myös tietoturvastrategian hankkeessa 2.1 (Luottamus ja tietoturva sähköisissä palveluissa ohjelma) olisi jatkossa mahdollista pohtia sertifikaattien merkitystä tietoturvaa edistävänä tekijänä palvelujen konvergenssikehityksen myötä. 3 Tuote- (Common Criteria, FIPS 140-2, ITSEC) ja järjestelmäsertifikaatit (Good Privacy, BS 7799) Tuote- ja palvelusertifikaattien ja vastaavasti järjestelmäsertifikaattien kohdalla on ollut aiemmin havaittavissa kahden koulukunnan välinen näkemysero. Tuote- ja palvelusertifikaatit ovat painottaneet tietoturvasuunnittelun teknisiä yksityiskohtia, kun taas järjestelmäsertifikaatit ovat puolestaan perustuneet siihen, että organisaation laadukkailla toimintaprosessilla saavutetaan tietoturvallinen toimintaympäristö. Käyttötilanteesta riippuen kummankin koulukunnan mukaisella toteutuksella on ollut omat vahvuutensa ja heikkoutensa. Nyt näyttäisi kuitenkin siltä, että markkinoille on tulossa uudenlaisia sertifikaatteja (QWeb, GoodPriv@cy ja Trusted Shops), joissa on yhdistetty kummankin koulukunnan parhaita puolia. Markkinoilla tuntuu olevan varsin yleinen käsitys, että tuotteiden ja järjestelmien sertifiointi on aina pitkä ja kallis prosessi. Tuotteiden sertifioinnin kohdalla tämä seikka korostuu, koska esimerkiksi Common Criteria, FIPS ja ITSEC -tuotesertifikaatti pätee ainoastaan tuotteen sertifioidussa versiossa ja ainoastaan sen tietyssä konfiguraa-

10 tiossa. Common Criterian kohdalla on kuitenkin mahdollista sertifioida myös tietoturvavirheiden korjausmenettely (Flaw Remediation Assurance). Työryhmän näkemyksen mukaan edellä mainittu käsitys sertifioinnin korkeista kustannuksista johtuu kuitenkin ainakin osittain siitä, että erilainen valmisteleva työ ja sertifioinnin vaatimukset täyttävän tietoturvan toteuttaminen voi tilanteesta riippuen maksaa hyvinkin paljon, ja nämä kustannukset helposti lasketaan ajatuksellisesti mukaan sertifioinnin kustannuksiin. Työryhmän näkemyksen mukaan varsinainen sertifiointi sen sijaan ei välttämättä ole kallista, ja edellä mainittu käsitys sertifioinnin korkeista kustannuksista tai pitkästä kestosta ei siten pidä kaikissa tilanteissa paikkaansa. Työryhmän näkemyksen mukaan myöskin pienemmät toimijat voisivat näin ollen hyvin hyödyntää tietoturvaan liittyviä tuote- ja järjestelmäsertifikaatteja nykyistä laajamittaisemmin. Tuote- tai järjestelmäsertifikaatin haltijana olevan organisaation ulkopuolisiin tahoihin nähden tarvittavan luottamuksen rakentajana tuote- ja järjestelmäsertifikaateilla voisi olla luottamusta rakentava rooli, jota on vaikeaa saavuttaa muilla keinoilla. Suurin hyöty tuote- ja järjestelmäsertifikaateista todennäköisesti saadaan tilanteessa, jossa asiakkaana on toinen yritys tai organisaatio. Työryhmä katsoo, että tuote- ja järjestelmäsertifikaattien mahdollisimman laaja käyttö olisi selkeästi hyvä asia. Kuitenkin tietoturva on niin monen tekijän summa, ettei sitä voida ratkaista yksinomaan sertifioitujen tuotteiden käytöllä. Sertifikaattien hyödyntämismahdollisuudet ovat rajallisia esimerkiksi kuluttajan kohdalla, koska loppukäyttäjän osaaminen on tietoturvan toteutumisen kannalta ratkaisevaa. Tässä suhteessa mm. kuluttajat tarvitsevat enemmän yleistä tietoturvaa koskevaa tietoisuuden ja osaamisen lisäämistä. Työryhmän näkemyksen mukaan olennaista olisi lisätä yritysten, julkishallinnon ja muiden organisaatioiden tietoisuutta tuote- ja järjestelmäsertifikaateista. Tämä vaatisi kaikkien niiden tahojen aktiivista panostamista tiedottamiseen, jotka työskentelevät sertifikaatteihin liittyvissä tehtävissä. Tietoisuutta tulisi lisätä erityisesti koskien sertifikaateista saatavissa olevia hyötyjä, jotta toimijoilla olisi itse omien tuotteidensa ja järjes-

11 telmiensä osalta mahdollisuus arvioida, missä määrin niiden kannattaisi hyödyntää omassa toiminnassaan tuote- tai järjestelmäsertifikaatteja. Työryhmän näkemyksen mukaan tietoturvan alueella saattaisi olla tulevaisuudessa tarvetta myös jonkinlaiselle nykyistä tuotevastuuta muilla turvallisuuden alueilla koskevalle järjestelmälle, jossa asetettaisiin minimivaatimukset tuotteiden tietoturvan osalta ja lisäksi valvottaisiin näiden vaatimusten noudattamista. Valtion tietotekniikkahankintojen tarkistuslistassa (VAHTI 6/2001) on otettu kaikkia valtionhallinnon hankintoja koskevana kysymyksenä huomioon kysymys siitä, mitä sertifiointeja ja standardeja voidaan käyttää hankittavan tuotteen tai palvelun ominaisuuksien ja vaatimusten esittämiseen. Lisäksi tarkistuslistassa on nostettu esille mm. ohjelmistotuotteiden tietoturvasertifikaatit ja käyttö-, hallinta- ja tietojenkäsittelypalvelujen henkilökunnan tietoturvatutkinnot ja -sertifioinnit. Lisäksi valtionhallinnon lähiverkkojen tietoturvallisuussuosituksessa (VAHTI 2/2001) on todettu, että lähiverkkoon kytkettäviä tuotteita hankittaessa on yhtenä valintaperusteena käytettävä tuotteen tietoturvasertifiointia. Julkaisussa Valtionhallinnon keskeisten tietojärjestelmien turvaaminen (VAHTI 5/2004) on todettu ohjelmistoturvallisuuden osalta, että tietoturvaohjelmistolle hankittua tietoturvasertifiointia pidetään etuna. Myöskin työryhmän näkemyksen mukaan julkishallinnon olisi hyvä ottaa hankinnoissaan huomioon tietoturvaan liittyvät sertifikaatit yhtenä olennaisena käytännössä sovellettavana valintakriteerinä. Sertifikaatteja ei ole syytä asettaa pakolliseksi, mutta sertifioitujen tuotteiden tai palvelujen sekä sellaisten toimittajien, joiden järjestelmät on sertifioitu suosiminen voisi olla selkeä viesti yksityiselle sektorille sertifikaattien hyödyntämisen merkityksestä. 4 Henkilösertifikaatit Työryhmän käsityksen mukaan henkilösertifikaattien käyttöä haittaa selkeästi henkilösertifikaattien erittäin suuri kokonaismäärä ja niiden laadun kirjavuus. Parhaita sertifikaatteja ei välttämättä pystytä tunnistamaan ja vähemmän tunnettuihin sertifikaatteihin

12 ei uskalleta panostaa. Lisäksi tietämys henkilösertifikaateista on yleisesti ottaen melko vähäistä. Henkilösertifikaatteja on mahdollista hyödyntää tietoturvaa koskevan osaamisen kartuttamiseksi sekä organisaatioiden että yksittäisten työntekijöiden intressissä. Lisäksi monille muun muassa asiakasrajapinnassa työskenteleville henkilöille on tärkeää, että he pystyvät osoittamaan organisaationsa ulkopuolisille osaamisensa puolueettoman tahon arvioimana tietoturvan osalta. Tietoturvakoulutuksen lisääntyminen yliopistotasolla saattaa tosin pidemmällä aikavälillä jatkossa lisätä merkitystään tietoturvaosaamisen lisääjänä. Tuoteriippuvaisten henkilösertifikaattien hyödyllisyys ja tunnettuus riippuu paljolti siitä, minkä käyttäjien piiriin kyseiset sertifikaatit on tarkoitettu. Myös tuoteriippuvaisten sertifikaattien käyttö ja hyödyntäminen voisi työryhmän näkemyksen mukaan olla nykyistä laajamittaisempaa. Työryhmän näkemyksen mukaan henkilösertifikaattien osalta on selkeästi tarpeen lisätä tietoisuutta sekä tuoteriippumattomien että tuoteriippuvaisten sertifikaattien osalta. Tämä vaatisi kaikkien niiden tahojen aktiivista panostamista tiedottamiseen, jotka työskentelevät sertifikaatteihin liittyvissä tehtävissä. Tietoisuuden lisääminen tulisi työryhmän näkemyksen mukaan kohdistaa sekä yrityksiin että julkishallintoon. Työryhmä esittää, että sertifikaattien hyödyntäminen otettaisiin huomioon tietoturvastrategian tietoisuuden lisäämistä koskevissa hankkeissa sekä jatkossa myöskin kansallisen tietoturvapäivän yhteydessä. Julkaisussa Valtionhallinnon keskeisten tietojärjestelmien turvaaminen (VAHTI 5/2004) on todettu henkilöstöturvallisuuden osalta, että ammattisertifikaatteja suositaan. Myöskin työryhmän näkemyksen mukaan julkishallinnon olisi hyvä ottaa rekrytoinnissaan huomioon tietoturvaan liittyvät henkilösertifikaatit yhtenä valintakriteerinä. Tällä voitaisiin antaa selkeä viesti yksityiselle sektorille näiden sertifikaattien hyödyntämisen merkityksestä.