Tietoturvan johtaminen ja vastuut

Transkriptio

1 Tietoturvan johtaminen ja vastuut Kari Nykänen, Oulun kaupunki, Aaro Hallikainen, Helsingin kaupunki VAHTI kuntien kyberturvallisuus alueseminaari Julkisen hallinnon ICT, Tieto- ja kyberturvallisuus

2 Kyberturvallisuus syntyy yhteistyöllä

3 Tietoturvakäyttäytyminen? Näin ollen hyväksytään normeja rikkova toiminta ja pidetään sitä oikeutettuna! Tietoturvakäyttäytyminen? Tunne Tieto Teko!

4 Kaupungin toimintaympäristö Kaupunkikonserni on merkittävä toimija nykypäivän tietoyhteiskunnassa - monitoimialakonsernin palvelut heijastuvat laajalle toiminnalliselle alueelle Tietoturva on merkittävä osa kokonaisvaltaista riskienhallintaa Kaupungin palvelutoimintaa tukevaan ICT-infrastruktuuriin ja tietojärjestelmiin kohdistuu erilaisia tietoturvauhkia (mm. kriittiset toimijat) Näitä ovat viime aikoina olleet mm. internet-sivustoihin ja sähköpostiin kohdentuneet tietoturvaloukkaukset, joiden määrän ennustetaan kasvavan tulevaisuudessa merkittävästi! Digitalisaatio ja sähköisen viestinnän tukeminen tuo haasteen tieto- ja kyberturvan sekä tietosuojan hallintaan toimintaympäristössämme! Tiedon kasaantumisvaikutus!

5 Toimintaympäristö Osakeyhti ö 1 Osakeyhti ö 2 Osakeyhtiö 3 Liikelaitos 1 Liikelaitos 2 Liikelaitos 3 SOTE YYP Kaupunkikons erni Kaupunk i Peruskun ta SIKU Varhaiskasvatus Opetus Konsernipalvelu t KOHA Tietohallinto Taloushallinto Henkilöstöhallin to Kokonaisuutta ohjaa mm. erilaiset hallintosäännöt ja lainsäädännöt!

6 Organisaatio 6

7 Kaupungin tietoturvapolitiikka Kaupungin ylimmän johdon hyväksymä strateginen asiakirja Tavoitteena on kehittää ja parantaa kaupungin palvelutoiminnan luotettavuutta, jatkuvuutta ja laatua - kiinteä osa kaupungin johtamista Tietoturvatyön keskeisiä painopisteitä ovat uhkatekijöiden tunnistaminen, ennaltaehkäisy sekä tiedon ja sen arvon suojaaminen Tietoturvapolitiikka ei ratkaise ongelmia - vaan se, miten tietoturvan johtaminen ja käytänteet viedään eteenpäin...

8 Riskienhallinta

9 Tietoturvan vastuunjako

10 Vastuut ja velvollisuudet Tietohallinnon vastuut - strategisten linjausten muodostaminen ja toteuttaminen, ICTpalveluiden järjestäminen ja riskienhallinta sekä tietoturvan ja tietosuojan kehittäminen Palvelualueiden, liikelaitosten ja tytäryhteisöjen vastuu - noudattaa tietoturvapolitiikkaa ja -ohjeita omassa toiminnassa Tietojärjestelmän omistaja - yksilöity omistaja vastaa järjestelmän elinkaaren hallinnasta, tietosuojasta ja tietoturvan toteuttamisesta Tietojärjestelmän pääkäyttäjä - nimetty pääkäyttäjä huolehtii järjestelmän käyttöoikeudet Esimiesten tietoturvavastuu on huolehtia työnantajaa koskevien lakisääteisten tietoturva ja tietosuoja velvoitteiden toteuttamisesta Työntekijän tietoturvavastuut allekirjoittaa tietoturva- ja käyttäjäsitoumus sekä suorittaa hyväksytysti voimassa oleva tietoturva- ja/tai tietosuojakoulutus säännöllisin väliajoin noudattaa hyväksyttyjä tietoturvaohjeita ja huolehtia päivittäisissä työtehtävissä hyvän tiedonhallintatavan käytänteistä huolehtia käsittelemänsä tiedon oikeellisuudesta, saatavuudesta ja luokittelusta työntekijällä on velvollisuus raportoida tietoturvaongelmista tietoturvavastaavalle tai tietoturvapäällikölle

11 Tietoturvatyön painopisteet esimerkiksi Oulussa PSKYBER, PSKYLMÄ, VAHTI, VIRT, JUHTA, ELVAR Henkilöstön tietoturva- ja tietosuojahavainnot Koulutettuja yli 6000 Tietoturvan hallintamalli, toimintaympäristön auditointi

12 Miltä pinnan alla näyttää? Lähde: OTT, Marko Niskala

13 Tietohallintomalli 13

14 Tietoturvan vastuunjako Vastuunjakomatriisi kuka tekee ja mitä häiriötilanteessa reagointikyky! tilanteen havainnointi ja analyysi vs. puuttuvat kontrollit? tietojärjestelmien kriittisyysluokittelu ja tietojenkäsittelysäännöt varautuminen ICT-riskienhallinta, varmistukset, palautukset, toipumissuunnitelmat ja harjoittelu ostopalvelut ja alihankkijat - riittävä asiantuntemus ja ymmärrys palveluiden riippuvuussuhteista ja niiden vaikutuksista (riippuvuuskartta) Tiedottaminen!

15 Tietoturvan vastuunjako Sopimusjuridiikka esim. pilvipalvelut oikeudet tietoon ja materiaaliin - lainsäädäntö, tietosuoja, tiedon maantieteellinen sijainti toimittajaosaaminen - ulkoistamien, ostopalvelu tietoturvallinen toimintaympäristö lokitiedot, todentaminen, varmentaminen, toipuminen kriittiset sopimuskumppanit, toimintaympäristön ylläpito ja häiriötilanteiden hallinta alihankinta

16 16

17 17

18 Sosiaalinen media Huomioi työtehtäviesi mukaiset tietosuojaperiaatteet, kun käsittelet kaupungin, kuntalaisten ja työntekijöiden tietoja erilaisissa Internet-palveluissa Sosiaalisen median käyttö tulee olla asiallista muistaen salassapito- ja lojaliteettivelvoite työnantajaa kohtaan Perustuslain mukaan sananvapaus koskee jokaista henkilöä, mutta huomioi "Mikä on kiellettyä työsuhteessa, on myös kiellettyä verkossa" 18

19 Tietoyhteiskunnan trendit Ovatko työtilat turvalliset? Kuka vastaa tietojen luokittelusta? Otetaanko varmuuskopiot? Toteutuuko tietosuoja? Muodostuuko rekisteri? Tietojen luotettavuus?

20 X salakirjoittaa tiedostosi Kiristys haittaohjelma leviää mm. laskuiksi naamioitujen sähköpostiviestien avulla Epäilyttäviin sähköpostiviesteihin tulee suhtautua varauksella ja niiden sisältämiä liitetiedostoja ei pidä avata Haittaohjelmaa on levitetty esimerkiksi sähköpostin liitteenä olevien Wordtiedostojen välityksellä, mitkä sisältävät MAKROJA X salaa tietokoneelta ja verkkojaoista löytämänsä tiedostot ja vaatii sen jälkeen lunnaita niiden avaamiseksi. Välttämättä ei ole olemassa keinoja purkaa salattuja tiedostoja

21 Oikea sähköposti menee hukkaan suodattamisen mukana! Sähköpostin suodattaminen Viestinnän ja palveluiden jatkuvuuden turvaaminen vaatii organisaation toiminnallisten prosessien uudelleen tarkastelua mm. sähköinen asiointi ja lomakkeet KHO: Viisi sekuntia myöhässä tullut valitus jätettiin tutkimatta Tietoliikenneverkon, palveluiden ja tietojärjestelmien tietoturvalle haittaa aiheuttavien häiriöiden havainnointi, estäminen ja selvittäminen! Sähköpostina toimitettu valituskirjelmä oli saapunut tuomioistuimen tietojärjestelmän ensimmäiselle palvelimelle valitusajan viimeisenä päivänä sekunnilleen kello Valitus jätettiin määräajan jälkeen tehtynä tutkimatta. Hallintolainkäyttölaki 22, 26 1 mom. ja 51 2 mom. Laki sähköisestä asioinnista viranomaistoiminnassa 8 ja 10 Laki säädettyjen määräaikain laskemisesta 6 1 mom. Asetus valtion virastojen aukiolosta (332/1994) 1 KHO /780 Lähde: edilex.fi 21

22 Tietoturvatoimintaa johdetaan Tietoturvan tekemiseen tarvitaan verkosto Jokaisen tulee olla osallinen Pitkäjännitteistä kehitystä jatkuvasti edistäen YKSINKERTAISET, KÄYTÄNTÖÖN SIDOTUT OHJEET ja TOIMINTAMALLIT! 22

23 Jokaisen oman vastuun tietoturvasta oivaltaminen ja osaamisen kasvattaminen yhteistyössä23

24 Keskustelun pohjaksi Tietoturvaohjelmistot eivät havainnoi tietoturvaan liittyviä ongelmia riittävän nopeasti Mikään teknologia ei korvaa IHMISEN tietoturvakäyttäytymistä Tietomurtokohteissa suurin osa organisaatioista ei havainnut tapahtunutta ja reagointikyky tapahtuneeseen oli riittämätön Tietoturvan tulee myös mahdollistaa toimintaa oikeat ja tarpeiden mukaiset käytännöt tietoturvalliset työtavat onko niitä? Tietoturvassa on kyse INHIMILLISISTÄ tekijöistä! Pohdintaa: Kyberturvallisuuskeskuksen rooli? Kansallisen yhteistyöverkoston rakentaminen? Kuka vastaa toiminnasta ja miten tieto saadaan liikkeelle? VAHTI, VIRT, JUHTA, AVI, ELY, ELVAR, kaupungit, kunnat, yhteiskunnan kriittisen infrastruktuurin toimijat, SOTE uudistus.. Käytetty kuvituksena mm. 24

25 Julkisen hallinnon ICT Tieto- ja kyberturvallisuus Valtiovarainministeriön viestintä Mediapalvelunumero (arkisin 8 16)