VAHTI - Kuntien tietoturvajaoston kuntien kyberturvallisuuden alueseminaari Helsinki 9.10

Transkriptio

1 VAHTI - Kuntien tietoturvajaoston kuntien kyberturvallisuuden alueseminaari Helsinki Kimmo Rousku VAHTI Ohjelma 9.00 Avaus Tietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunki VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö Kuinka tietoturva koetaan? VAHTIn mittarit - organisaatiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksia VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö 9.40 VAHTI, Kuntien tietoturvajaoston toiminta Tietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki Tietoturvallisuuden johtaminen ja vastuut Tietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunki Keskustelua ja verkostoitumistauko Tietoisku: miksi tieto- ja kyberturvallisuus on tärkeää Havainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus VAHTI-kuntien alueseminaarit - syksy

2 Ohjelma Tulevat lainsäädännön muutokset: EU:n tietosuoja-asetus Tietosuojavaltuutettu Reijo Aarnio Tuleva tietoturvasäädöstö Asiantuntija Saana Seppänen, Kyber- ja infrastruktuuriyksikkö, Valtiovarainministeriö Lounas (omakustanteinen) Viestintäviraston tietoturvapalvelut ja toiminta häiriötilanteissa Havainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus Tieto- ja kyberturvallisuus toiminnan digitaalisaation mahdollistajana - mistä lisäapua? VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö VAHTI-kuntien alueseminaarit - syksy Ohjelma Kahvitauko Paneeli ja keskustelu Puheenjohtaja tietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki Digitalisaatio ja kyberturvallisuuden organisointi ja vastuutus kustannustehokkaimmat mallit ja ratkaisut? Miten digitailsaatioita ja kyberturvallisuutta voidaan paikallisesti käytännössä edistää - mitkä ovat tulevaisuuden näkymät? Kunnan kyber- ja tietoturvallisuuden jatkuvuuden hallinta muutostilanteessa Seminaaripäivän yhteenveto VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö Seminaaripäivä päättyy VAHTI-kuntien alueseminaarit - syksy

3 VAHTI? VAHTI Valtiovarainministeriön tehtävänä on julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin säädöksiin. Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011) ja valmiuslaki (1552/2011), valtioneuvoston ohjesääntö (262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). Lisäksi valtiovarainministeriön vastuulla on laissa valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä tarkoitettujen yhteisten palvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjaus (1226/2013). VAHTI-kuntien alueseminaarit - syksy

4 VAHTI Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä. VAHTI-kuntien alueseminaarit - syksy Kyberturvallisuus? 4

5 VAHTI-kuntien alueseminaarit - syksy Muutamaa vuotta myöhemmin Alessandro Volta kuitenkin osoitti, että kahden metallin koskettaessa toisiaan esiintyy samantapainen ilmiö ilman sammakonjalkaakin. Havainto johti Voltan parin ja samalla sähkövirran keksimiseen. [1] VAHTI-kuntien alueseminaarit - syksy

6 Mietitään vielä Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa ICT-toimintaympäristöön voidaan luottaa ja jossa niiden toiminta turvataan, sisältää myös kyvyn sietää kyberuhkia Myrsky tai reitittimen hajoaminen Sähkökatko tai muuten tietoliikenne poikki Tietoturva- vai Kyberturvallisuusongelma? VAHTI-kuntien alueseminaarit - syksy VAHTI-kuntien alueseminaarit - syksy

7 Tieto vs kyberturvallisuus L E S VAHTI-kuntien alueseminaarit - syksy Tieto vs kyberturvallisuus Yksilö Organisaatio Yhteiskunta Kyberturvallisuus VAHTI-kuntien alueseminaarit - syksy

8 Entäs kyberturvallisuus Tietoturvallisuus Kyberturvallisuus Tietoturvallisuus - (ICT) kybertoimintaympäristö - kybertoimintaympäristö Analoginen tieto Muuta kuin tietoa (toiminta) Muuta kuin tietoa VAIKUTTAMINEN (toiminta) Digitaalinen tieto (ICTn avulla) Digitaalinen tieto Vaikuttaminen ICT:n avulla kohteeseen VAHTI-kuntien alueseminaarit - syksy VAHTI-kuntien alueseminaarit - syksy

9 Tärkeintä on, että harjoitellaan! Harjoitellaanko riittävästi? Sekä VAHTIn valtionhallinnon ( ) että kuntakyselyn (2015) ja uusimman VAHTI henkilöstön ja johdon tietoturvabarometrin mukaan: VAHTI-baro johdon kysymys 5.3 Häiriötilanteiden hallintaa harjoitellaan riittävästi tärkeys vaikeus toteutuminen: 4 erittäin tärkeää erittäin vaikeaa erittäin hyvin 3 tärkeää melko vaikeaa melko hyvin 2 ei kovin tärkeää melko helppoa melko huonosti 1 ei lainkaan tärkeää erittäin helppoa erittäin huonosti Tärkeys: 3,30 Vaikeus: 2,70 Toteutuminen:2,07 VAHTI-kuntien alueseminaarit - syksy

10 Kuinka tietoturva koetaan? VAHTIn mittarit - organisaatiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksia Eri kyselyiden suhde VAHTIn organisaatiokohtainen kysely Toteutetaan samassa yhteydessä alla olevan kanssa Nyt toteutettava uusi kysely suositus joka 2 tai 3. vuosi? Organisaatio / vuosittainen Johto Henkilöstö VAHTI-kuntien alueseminaarit - syksy

11 Lisätietoa näistä tuloksista VAHTI-toimintakertomus VAHTI-kuntien alueseminaarit - syksy VAHTI-kuntien alueseminaarit - syksy

12 Toimintakertomus vuodelta 2015 VAHTI-kuntien alueseminaarit - syksy VAHTI-kuntien alueseminaarit - syksy

13 Toimintakertomus vuodelta 2015 VAHTI-kuntien alueseminaarit - syksy Uudistamme organisaatiokyselyä pyrimme luomaan samalla paremmin myös kuntien toimintaa tukevan kyselyn ja mittariston 13

14 Entä VAHTI-henkilöstön ja johdon tietoturvabarometri? VÄITE Henkilöstö on tietoturvallisuuden heikoin lenkki Totean KYLLÄ, jos henkilöstöä Ei ole koulutettu, ohjeistettu, motivoitu, annettu käyttöön oikeanlaisia työkaluja Organisaation johto ei toimi mallina ja esimerkkinä Tietoturvallisuudesta ei ole tullut asennetta, se ei ole osa toimintakulttuuria Turvallisuus by default VAHTI-kuntien alueseminaarit - syksy

15 Miksi VAHTI-henkilöstön ja johdon barometri? Jotta saamme yksittäisen, organisaatiokohtaisen tilannekuvan sijaan laajemman kokonaiskuvan henkilöstön ja johdon näkökulmasta, miten tietoturvallisuus koetaan Ennakolta uskon, että tulemme löytämään useita sellaisia asioita, jotka ovat voimavara (positiivinen havainto), jonka olemassaoloa pitää edelleen tukea ja vahvistaa, löydämme paljon sellaista, joka on niin kuin pitää ja lisäksi löytyy jokunen yllätys, jotka tulee tunnistaa kehittämiskohteina Alustava silmäily on jo näitä kaikkia nostanut esille VAHTI-kuntien alueseminaarit - syksy Organisaatio johto päättää osallistumisesta kyselyyn kirjaamoissa VM:n saatekirje 2. Ilmoittautuminen sähköpostilla vahti@vm.fi VM saa tästä samalla yhteyshenkilön, jolle organisaatiokohtainen vastauslinkki ja tarkemmat suomen- ja ruotsinkieliset vastausohjeet toimitetaan 3. VM toimittaa yhteyshenkilöllle vastauslinkin ja vastausohjeet turvapostilla 4. Organisaatio laittaa intranetiin ( ja tai sähköpostitse) uutisen ja kehottaa henkilöstöä vastaamaan kyselyyn 5. Kahden viikon päästä laitetaan vielä muistutusviesti, että vastausaika alkaa loppumaan 6. Kolmen viikon päästä kysely suljetaan eli uutinen ja vastauslinkki poistetaan 7. Tämän jälkeen kysely suljetaan. Tämän jälkeen VAHTI tuottaa kyselystä vastaajaorganisaatiokohtaiset tulokset, tiedot luokitellaan ST IV ja toimitetaan turvapostilla organisaation yhteyshenkilölle (loka-marraskuussa). 8. VAHTI julkaisee tuloksista julkisen raportin, arviolta marraskuussa 9. Kysely aktivoidaan uudelleen vuoden 2017 elokuussa jne sama prosessi VAHTI-kuntien alueseminaarit - syksy

16 Tilastotietoa Sunnuntaihin mennessä sulkeutuessa vastausta ~100 organisaatiota 98 osallistunutta organisaatiota 68 valtionhallinnon organisaatiota 29 kuntaa 1 sairaanhoitopiiri Vastausprosentin saamme laskettua myöhemmin, mutta uskomme sen vaihtelevan 5 15% välillä organisaatioittain Potentiaalinen vastaajamäärä tarkentuu, mutta uskomme sen olevan ~ mahdollista vastaajaa VAHTI-kuntien alueseminaarit - syksy Raportti, organisaatiopalaute Tuotamme julkisen raportin ja organisaatiokohtaisen raportin Organisaation tiedot verrattuna verrokkitietoihin Kaikki vastaajat valtionhallinto julkishallinto Jonkinlainen visualisointi tiivistelmänä Organisaation tehtävänä on suorittaa tarkempi analyysi omista tuloksista ja sen perusteella miettiä, miten tulokset tulisi omassa tietoturvallisuuden kehittämisessä ottaa huomioon VAHTI-kuntien alueseminaarit - syksy

17 Muutama havainto alustavat tiedot n=13915 VAHTI-kuntien alueseminaarit - syksy Muutama havainto alustavat tiedot n=13915 VAHTI-kuntien alueseminaarit - syksy

18 Muutama havainto alustavat tiedot n= Mihin seuraavista olet saanut ohjeita ja koulutusta? mobiililaitteiden käyttö VAHTI-kuntien alueseminaarit - syksy Muutama havainto alustavat tiedot n= Mihin seuraavista olet saanut ohjeita ja koulutusta? tietoturvapoikkeamissa toimiminen, esimerkiksi haittaohjelmaepäily VAHTI-kuntien alueseminaarit - syksy

19 Muutama havainto alustavat tiedot n= Kuinka käytät salasanoja työtehtävissäsi? VAHTI-kuntien alueseminaarit - syksy Muutama havainto alustavat tiedot n= Millaisena koet tietoturvallisuuden merkityksen? Tietoturvallisuus mahdollistaa laadukkaan toiminnan ja antaa organisaatiostani luotettavan kuvan. Tietoturvallisuutta tarvitaan, jotta voin käsitellä työssä tarvitsemiani tietoja. Ymmärrän, miksi tietoturvallisuutta tarvitaan, mutta se aiheuttaa ylimääräistä työtä. Tietoturvallisuus on jatkuva riesa, en ymmärrä mihin sitä tarvitaan. VAHTI-kuntien alueseminaarit - syksy

20 Muutama havainto alustavat tiedot n= Miten koet, että tietoturvallisuus on toteutettu organisaatiossasi? erittäin hyvin - työnteko ja palveluiden käyttö on sujuvaa ja vaivatonta hyvin, mutta se saattaa satunnaisesti vaikeuttaa työntekoani huonosti, koska se haittaa ja vaikeuttaa työntekoani usein erittäin huonosti, koska se haittaa ja vaikeuttaa työntekoani jatkuvasti VAHTI-kuntien alueseminaarit - syksy Suosituksia Henkilöstön oikeaoppinen ohjeistaminen ja kouluttaminen jäänyt osittain kesken Erityisesti mobiilikäytön lisääntyessä siitä tarvitaan koko ajan uutta, ajantasaista ohjeistusta Salasanojen osalta suosittelemme muistuttamaan järkevistä käyttömahdollisuuksista Ohjeistaminen häiriötilanteissa! Mitä tehdään erilaisissa tilanteissa, jos jokin palvelu ei toimi, päätelaite varastetaan, työaseman haittaohjelmien torjuntaohjelma antaa hälytyksen? Tietoaineistojen luokittelu jokaisella on vähintään julkinen vs salassa pidettävät tiedot (vs henkilötiedot) VAHTI-kuntien alueseminaarit - syksy

21 Kysymyksiä kyselyistämme? Tieto- ja kyberturvallisuus toiminnan digitaalisaation mahdollistajana - mistä lisäapua? 21

22 Esitykseni - viisi asiaa ja näkökulmaa 1) Teknologiset mahdollisuutemme 2) UHKAT - erilaisia häiriöitä ja niiden aiheuttajia 3) Mitä me tarvitaan? 4) Näkökulmia kyber vs tietoturvallisuus 5) Mistä apua VAHTI auttaa?! VAHTI-kuntien alueseminaarit - syksy Teknologiset mahdollisuutemme Teknologiset mahdollisuutemme Nykyinen kyvykkyytemme teknologian hyödyntämiseen ICT??? Robotisaatio Toiminnan digitalisaatio ATK - automaattinen MTK manuaalinen tietojenkäsittely VAHTI-kuntien alueseminaarit - syksy

23 Teknologiset mahdollisuutemme Teknologiset mahdollisuutemme IBM PC ICT-digi-aikakausi Nano-kvantti-aikakausi Henkilökohtaisuus Yhteisöllisyys ja jakaminen Virtuaali- ja lisätty todellisuus - paikkasidonnaisuus - 24/7/365/360 - keinoäly by default - olematon suorituskyky - rajaton suorituskyky - kvanttilaskenta - ei palveluita - kohti alustataloutta - kaikenlaiset robotit - ei oikeastaan mitään ;-) - keinoälyn osin käytössä - kyborgit - ihmistyö VAHTI-kuntien alueseminaarit - syksy VAHTI-kuntien alueseminaarit - syksy

24 Muistatko VHS vs beta-kasetti? Entäs AI? Vuosikymmenien varrella on ollut erilaisia ekosysteemikilpailuita markkinaherruuksista, seuraava merkittävä käydään keinoälystä Meidän keinoäly on parempi kuin teidän keinoäly! Haluaisitko sinä markkinoiden 2. tai 3. parhaan keinoälyn organisaatiosi johtoryhmään tai vastaamaan jostain liiketoimintaprosessin kehittämisestä tai toteuttamisesta? En minäkään. Samoin tähän liittyy meidän kannalta kriittinen puheentunnistus miten varmistamme sen, että jatkossa me voimme samalla tavalla ohjata robottejamme muita laitteita suomenkielellä vs muut kielet? VAHTI-kuntien alueseminaarit - syksy Tästä eli tulevaisuudesta lisätietoa? klo Risto Linturi Cristina Andersson Sari Stenfors Timur Kärki Kimmo Rousku Ilmoittaudu nettilähetykseen VAHTI-kuntien alueseminaarit - syksy

25 VAHTI-kuntien alueseminaarit - syksy Tiivistys miten me tähän varaudutaan? *-muutos* VAHTI-kuntien alueseminaarit - syksy

26 ICT-toiminnan häiriöt vs tieto- ja kyberturvallisuushäiriöt ja poikkeamat Mikä häiriö? Tavallinen poikkeama häiriö toiminnassa AIKA VAHTI-kuntien alueseminaarit - syksy

27 Mieti 10 viimeisintä kohtaamaasi ongelmaa! Kuinka monta kertaa ongelma on ollut aidosti tieto- tai kyberturvallisuuteen liittyvä? Häiriötilanteiden hallinta => Entistä tärkeämpi osa-alue, jonka tulee toimia riippumatta siitä, mikä ongelmien aiheuttaja on. Häiriö on useimmiten ihan perinteinen palvelutuotantoon liittyvä tekninen ongelma onneksi harvemmin tieto- tai kyberturvallisuuteen liittyvä VAHTI-kuntien alueseminaarit - syksy ICT-palvelut ja normaalit häiriötilanteet Entä jos aamu alkaisi tällaisella uutisella mediassa? Mikä teillä on se tieto, jonka vuotaminen nostaisi hien pintaan? Potilas asiakas valitse! Kuvitteellinen uutinen, joka on kuitenkin täysin mahdollinen Mikä on tällaisen ongelman, mahdollisen tietovuodon ero verrattuna edellä kuvattuihin tavallisiin, ICT-järjestelmien toiminnassa törmättyihin pääasiassa teknisiin ongelmiin? VAHTI-kuntien alueseminaarit - syksy

28 Tiedot jäävät ikuisiksi ajoiksi nettiin? Tietoturva - poikkeama toiminnassa AIKA VAHTI-kuntien alueseminaarit - syksy Hyvä esimerkki toissa viikon perjantailta VAHTI-kuntien alueseminaarit - syksy

29 Otetaan vielä toisenlainen näkymä tilanteeseen Tieto- ja kyberturvallisuusongelmien aiheuttajat ovat usein ihmisten aiheuttamia, mutta tässä yhteydessä mainittakoon myös yhteiskunnan toimivuuden varmistaminen erilaisissa häiriötilanteissa hyvin keskeinen osa kyberturvallisuutta Myrskyjen aiheuttamat häiriötilanteet ovat uhka myös tieto- ja kyberturvallisuudelle! Sähköriippuvuus modernissa yhteiskunnassa Turvallisuuskomitea Päivitys julkaisusta "Pitkä sähkökatko ja yhteiskunnan elintärkeiden toimintojen turvaaminen". VAHTI-kuntien alueseminaarit - syksy (Tieto)turvallisuus on toiminnan mahdollistaja! 29

30 Mitä tarvitaan? Tietoturvan rinnalle tietosuojan mukaantulo Tietosuoja Saatavuus Eheys Luottamuksellisuus Kimmo Rousku EU-tietosuoja-asetuksen muutokset tuovat velvoitteita myös tietoturvallisuuden kehittämiseen Tietosuoja osalta vaatimustenmukaisuus toteutetaan olemassa olevia prosesseja päivittämällä ja tarvittavat muut velvoitteet täyttämällä ei kannata tehdä tästä liian hankalaa! VAHTI-kuntien alueseminaarit - syksy UHKAT - erilaisia häiriöitä ja niiden aiheuttajia Poikkeamien ja häiriöiden vaikutus ja merkitys ~entä jatkossa yleisyys? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt VAHTI-kuntien alueseminaarit - syksy

31 Iso kuva mitä tästä puuttuu? Mitä tarvitaan? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvuussuhteet vuorovaikutus Riskienhallinta-prosessi ja BIA-vaikutusanalyysi Varautumissuunnittelu- ja suunnitelmat Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunnitelmat Toipumissuunnitelmat tietojärjestelmä(t) Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt 61 Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt VAHTI-kuntien alueseminaarit - syksy Johtaminen Ennakointi Suojattava kohde Reagointi Riskienhallinta Rautaa rajalle Turvallisuuden Toiminnan Prosessien mukainen toiminta seuranta ja arviointi jatkuvuuden Henkilöstön ohjeistus, tietoisuuden kasvattaminen, koulutus varmistaminen VAHTI-kuntien alueseminaarit - syksy

32 Tuuletin Oliko poikkeaman aiheuttama tunnettu uhka ~ei siis vielä riskiksi tunnistettu tai hallinnassa oleva riski, joka kuitenkin laukesi? Todennäköisyys kasvoi tai sovitut toimenpiteet eivät purreet? Tietoturvapoikkeama ~kyberturvallisuushäirö entäs muut häiriöt ( ict, muu toiminta, luonto) Henki Omaisuus Tieto Raha Maine Lakisääteisyys Varautumissuunnittelu- ja suunnitelmat Jatkuvuus- ja valmiussuunnittelu Kyvykkyys reagoida! Toipumissuunnitelmat tietojärjestelmä(t) VAHTI-kuntien alueseminaarit - syksy Luottamus siitähän tästä kaikessa on kysymys? Miten me muodostamme luottamusverkoston eri osapuolien ja f2f kesken? 32

33 Kustannustehokkain tapa on kouluttaa henkilöstöä, synnyttää oikeanlaista kulttuuria ja luoda oikeanlaista asennetta johdon toimiessa esimerkkinä TIIVISTYS mitä organisaatioissa tarvitaan? Kriittinen toiminta ja riippuvuudet on tunnistettava ja priorisoitava Kaikki ei ole kriittistä Infrastruktuurin rooli kasvanut Voiko kokonaisuutta hallita? Riskienhallinnan käyttöä on laajennettava ja tehostettava RAHIlyysi & mutustelu vrt aidosti tunnistetut uhat ja hallintaan otetut riskit => aito kustannustehokkuus Toiminnan jatkuvuus tulee varmistaa ennakolta erityisesti kriittisten toimintojen osalta Huolehdittava tarvittavasta varautumiskyvystä KUN jotain tapahtuu Kaikki (tieto)turvallisuuden eteen tehtävä työ on myös kyberturvallisuudesta huolehtimista motivoimaton, kouluttamaton ja ohjeistamaton henkilöstö kuuluisa heikoin lenkki? VAHTI-kuntien alueseminaarit - syksy

34 Mistä APUA VAHTI auttaa! Uusi VAHTI-johtoryhmä asetetaan v Nykyinen toimikausi päättyy Sopivasti osana 20. VAHTIn juhlavuotta asetamme uuden julkishallinnon tieto- ja kyberturvallisuuden johtoryhmän Keskeiset muutokset: Itse johtoryhmän toiminnan vahvistaminen, ministeriöt ja keskeiset muut turvaelimet mukaan toimintaan VAHTI-sihteeristön toiminnan vahvistaminen ja laajentaminen Nykyiset ohje, tekninen ja kuntien tietoturvajaosto korvautuvat viidellä asiantuntijajaoksen alaisuudessa toimivalla työryhmällä VIRT-häiriötilannehallinnan kehittäminen osaksi VAHTI-toimintaa VAHTI-kuntien alueseminaarit - syksy

35 Julkishallinnon kyberturvallisuuden johtaminen Sihteeristö VAHTI-johtoryhmä Turvallisuuskomitea JUHTA TIETOKEKO Valmiuspäällikkökokous NSA-yhteistyöryhmä TSV Asiantuntijajaos Johtaminen ja riskienhallinta Turvallisuus kehittämisessä Turvallisuuden ylläpito Toiminnan jatkuvuuden hallinta VIRT-toiminta operatiivinen Seuranta ja arviointi Valtioneuvoston ja hallinnonalojen tietoturvaryhmät Operatiiviset toimijat (mm. ICT-palvelu- ja kyberturvallisuuskeskukset) VAHTI-kuntien alueseminaarit - syksy Ajankohtaista VAHTI-toiminnassa Uusi VAHTI-portaali Julkaisemme joulukuussa Meidän oman toiminnan digitalisaatio linkitykset myös verkkokoulutuksiin Mahdollisesti tulevan asetuksen lain keskeinen täytäntöönpanon tukipalvelu Uudet (tieto)turvavaatimukset Päivitämme tietoturvavaatimuksia pilottityyppisesti pilotoimme sopivia uuden tietoturvallisuuden perus(minimi)tason yhtenäisempiä vaatimuksia Vaatimukset: organisaatio (hallinnollinen) palvelut (tekninen) hankinta <= auditointivaatimukset Samoin käynnissä on selvitys nykyisen tietoturvasäädöstön toimivuudesta mikä on toimivaa ja hyvää miten tätä tulisi mahdollisesti uudistaa tai päivittää? VAHTI-kuntien alueseminaarit - syksy

36 Ajankohtaista VAHTI-toiminnassa Uusia VAHTI-materiaaleja saatavilla Tulossa vielä v 2016: VAHTI 3/2016 Tietoturvapoikkeamien hallinta VAHTI 4/2016 Sähköisen asioinnin tietoturvaohje VAHTI-raportti 2/2016 VAHTI-tietoturvabarometri VAHTI-kuntien alueseminaarit - syksy Digitaaliseen turvallisuuteen kohdistuvien riskien hallinta taloudellisen ja yhteiskunnallisen hyvinvoinnin edistämiseksi Suosittelen tutustumaan ylätason näkemys kokonaisuuteen hyödynnämme tätä VAHTI-riskienhallintaohjeen uudistamistyössä VAHTI-kuntien alueseminaarit - syksy

37 VAHTIn kuntajaoston kiertue Kuntakiertueen paikkakunnat, aikataulu ja ilmoittautuminen: Jyväskylä, Minnansali, Vapaudenkatu Oulu, Valtuustosali, Kirkkokatu 2a Vaasa, Vaasan yliopisto, Wolffintie Kuopio, Valtuustotalo, Suokatu Helsinki, Kuntatalo, Toinen linja 14 VAHTI-kuntien alueseminaarit - syksy Riskienhallinta - kaksi merkittävää hanketta meneillään VAHTI-ryhmä päivittää riskienhallinnan ohjetta, prosessia ja työkalua Riskienhallinnan ohella myös mahdollisuuksien tunnistaminen Tietoriskit kyberturvallisuus toiminnan digitalisaatio tietosuoja -esimerkkeinä Sisäisen valvonnan ja riskienhallinnan neuvottelukunta on sisäisen valvonnan ja riskienhallinnan tilaa ja kehittämistä seuratessaan tunnistanut tarpeen kehittää erityisesti riskienhallintapolitiikkaa Laaditun selvityksen tulosten perusteella neuvottelukunta päätti valmistella riskienhallintapolitiikan mallin, jota valtionhallinnon virastot voivat hyödyntää omassa riskienhallinnassaan sekä sen kehittämisessä Teemme tiivistä yhteistyötä alustavana tavoitteena saada nämä molemmat samaan lausuntokokonaisuuteen alkuvuosi 2017 VAHTI-kuntien alueseminaarit - syksy

38 VAHTI-riskienhallinta x/2017 Uudistamme kokonaan 7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa Lopputulos: Päivitetty ohje Riskienhallintaprosessi, sitä tukeva ohje ja Excel-työkalu Perinteinen tietoriski tietoturvallisuus kyberriskit tietosuoja sekä digitalisaation riskit ja mahdollisuudet case-esimerkit Selvitämme 2017, miten RaaS saadaan toteutettua Hyödynnämme ISO pohjaisuutta esimerkiksi terminologian, prosessin osalta rusinat pullasta ja kerma päältä pullamössöten - mallilla VAHTI-kuntien alueseminaarit - syksy Varaa aika kalenterista! VAHTI-kuntien alueseminaarit - syksy

39 Yhteenvetoa - Helsinki Päivän tiivistys 7 kalvoon Tietoturvallisuus on a) saatavuus b) eheys ja c) jos salassa pidettävää, luottamuksellisuus jos henkilötietoja, myös tietosuojavaatimukset Jos organisaatiosi ei osallistunut VAHTI-baroon, varmista osallistuminen ensi vuonna Panosta henkilöiden koulutukseen ja ohjeistamiseen, ei kertaluonteisesti 100 m 400 m juoksu vaan jatkuvasti Tietosuojan osalta pitää käynnistää työ ASAP ellei ole jo liikkeellä => tietovirrat, sopimukset Rikosten tutkiminen kuuluu poliisille - Rikosilmoitus kannattaa tehdä aina! muista myös ilmoittaa Viestintävirastoon VAHTI-kuntien alueseminaarit - syksy

40 Mikään teknologia ei korvaa IHMISEN tietoturvakäyttäytymistä VAHTI-kuntien alueseminaarit - syksy VAHTI-kuntien alueseminaarit - syksy

41 VAHTI-kuntien alueseminaarit - syksy Paneeli VAHTI-kuntien alueseminaarit - syksy

42 Äänestys VAHTI-kuntien alueseminaarit - syksy Pari konkreettista tehtävää: Tutustu Hyödynnä materiaali => nopein tieto Viestintäviraston palveluihin Jos organisaatiollanne ei ole tietoturva@kunta.fi niin perustakaa tällainen jakelulista, laittakaa siitä tieto vahti@vm.fi Tulemme ensi vuonna osana uutta VAHTI-toimintaa käynnistämään säännöllisen tiedottamisen toiminnasta, käytämme tätä muuhun tiedottamiseen kuten myös Vivi Kyberturvallisuuskeskus saa myös nämä tiedot VAHTI-kuntien alueseminaarit - syksy

43 Kimmo Rousku VAHTI-pääsihteeri Puh Kutsuthan minut verkostoosi? 43