Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen 23.5.2018 Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus
Esitykseni sisältö Valtiovarainministeriön rooli Mistä tässä kokonaisuudessa on kyse? Miten uusi VAHTI toimii ja edistää kyberturvallisuutta? Miten organisaatiosi voi kehittää digitaalista turvallisuutta mitä apuja VAHTI tarjoaa? Kutsu ja mahdollisuus yhteistyöhön 2
@kimmo Kimmo Rousku VAHTI-pääsihteeri kimmo.rousku@vrk.fi Puh. 029553 5120 @kimmorousku Kutsuthan minut verkostoosi? ATK-ICT-alalla v 1985 saakka ~nörtti Valtionhallinnossa v 1994-, 1.1.2018 alkaen Väestörekisterikeskus Tietohallintotausta, joka muuttunut viimeisen ~10 v aikana tietoturvakyberturvallisuus riskienhallinnaksi Olen kirjoittanut v. 1993-2017 noin ~20 teosta TiVi-Turvasatama-blogi v 2012 alkaen 3
Valtiovarainministeriön rooli Valtiovarainministeriön tehtävänä on (1) julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja (2) valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin säädöksiin. Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011), valmiuslaki (1552/2011), valtioneuvoston ohjesääntö (262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). 4
Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä - VAHTI Valtiovarainministeriö on asettanut VAHTIn toimimaan julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. VAHTIn asema on kirjattu voimassa oleviin valtioneuvoston periaatepäätöksiin Suomen kyberturvallisuusstrategiasta 2013 ja valtionhallinnon tietoturvallisuuden kehittämisestä 2009. Lisäksi VAHTIlla on keskeinen rooli kyberturvallisuusstrategian toimeenpano-ohjelman v. 2017 2020 toteuttamisessa. 5
Mistä tässä kokonaisuudessa on kyse?
Huomioitava aina! Tietoturvallisuus Tietoturvallisuus = tiedon saatavuus + eheys + luottamuksellisuus ja mikäli mukana henkilötietoja, huomioitava tietosuoja Tietoturvallisuus on tietosuojan mahdollistaja Tietosuoja Luottamuksellisuus Kimmo Rousku 28081999-1234 Saatavuus Eheys 7
Kyberturvallisuus Tietoturvallisuus näyttäytyy hyvin vahvasti tietojen, osin tietojärjestelmien näkökulmasta Kyberturvallisuus tarkoittaa laaja-alaisesti digitaalisen toimintaympäristön (virtuaalinen bitti / ICT-maailma mutta myös fyysinen maailma) toiminnan turvaamista, johon kuuluu myös datan ja informaation käsittelyyn liittyvät fyysiset rakenteet (konesalit, sähkönjakelu, henkilöstö jne). Kyberturvallisuutta on myös kyky sietää näitä uhkia (resilienssi). Kyberturvallisuuteen voidaan vaikuttaa useilla erilaisilla keinoilla, tietoturvauhan lisäksi myös hybridivaikuttamisen keinoin 8
- informaatiovaikuttaminen (muista myös ptrollaus ) Ja muita keinoja ovat esimerkiksi psykologiset, poliittiset, taloudelliset, tekniset, humanitaariset ja sotilaalliset keinot 9
Digitaalinen turvallisuus Organisaation toimintaympäristö Julkinen hallinto Tietoturvallisuus Kyberturvallisuus ja varautuminen hybridiuhkiin Digitaalisten palveluiden ekosysteemit alustat Palveluiden tuottajat Digitaalinen toimintaympäristö Toiminnan jatkuvuus ja varautuminen Tietosuoja Toiminnan johtaminen ja riskienhallinta 10
Toimintaan kohdistuvat tieto- ja kyberturvauhat Toiminnan johtaminen Riskienhallinta Varautuminen häiriötilanteisiin Tekninen turvallisuus Tietoturvallisuus Kaiken toiminnan ja tiedon saatavuuden ja eheyden turvaaminen Henkilötiedot tietosuoja Salassa pidettävä tieto luottamuksellisuus Hallinnollinen turvallisuus Henkilöstö Suojattava tieto kohde toiminta Toiminnan mittaaminen ja vaatimusten hallinta sekä arviointi Toimintaan turvallisuuden kohdistuvat kehittämiseen? vaatimukset 11
Ja päätavoite Tuottamamme palvelut ovat turvallisia ja niihin voidaan luottaa. #luottamus #menestys Kehitämme turvallisuutta hyödyntäen tarkoituksenmukaisesti uutta teknologiaa Johtaminen ja riskienhallinta henkilöstön koulutus teknisen turvallisuuden kehittäminen, esimerkiksi havainnointikyky ja reagointi 12
Missä tieto- ja kyberturvallisuudessa Suomessa mennään?
Kyberturvallisuusstrategia - KyberTPO Turvallisuuskomitea julkaisi 20.4.2017 Suomen kyberturvallisuusstrategian toimeenpano-ohjelman uuden version, joka kokoaa yhteen julkisen hallinnon merkittävät kyberturvallisuutta parantavat hankkeet ja toimenpiteet vuosille 2017 2020. Ohjelma on jaettu kolmeen kokonaisuuteen, joista ensimmäisessä ovat johtamiseen, säädöksiin sekä muihin toimintoihin liittyvät ei-teknisluontoiset toimenpiteet. Toisessa kokonaisuudessa ovat digitaalisiin palveluihin liittyvät parannustoimet ja kolmannessa kokonaisuudessa jatkuvaluontoiset toimenpiteet, kuten koulutukseen, tutkimukseen ja harjoituksiin liittyvät asiat. 14
Job well done! "Finland is a leading expert in cybersecurity. In fact, we should be calling you pretty soon. You do do a fantastic job with cybersecurity, and I congratulate you. And I think in a very short period of time, we're going to be right there with you, believe me. The United States is a very proud partner of Finland's European Center of Excellence to counter modern threats, including cyberattacks." 15
Ja parempi todistusaineisto Suomi sijoittuu toiseksi (tai jaettu toinen) Viron NCSIindeksissä - kaikkiaan 97 maasta koostuvalla listalla Menetelmä edellyttää, että kysymyksiin pitää pystyä osoittamaan toteutuminen lainsäädännöstä tai muista julkisista, virallisista asiakirjoista rasti ruutuun ok ei riitä! 16
Miten uusi VAHTI toimii ja edistää digitaalista turvallisuuta
Kyber- ja tietoturvallisuuden kehittäminen, ohjaus ja yhteistyö Julkisen hallinnon digitaalisen turvallisuuden johtaminen Turvallisuuskomitea Juhta TIETOKEKO Valmiuspäällikkökokous NSA-yhteistyöryhmä Valtioneuvoston ja hallinnonalojen tietoturvaryhmät Operatiiviset toimijat (mm. ICT-palvelu- ja kyberturvallisuuskeskukset) 18
Yhteistyön laajentaminen VAHTIn uudet peruspilarit 1. Johtaminen ja riskienhallinta JORI Tietoturvallisuuden hallintajärjestelmä sekä riskienhallinta 2. Toiminnan jatkuvuuden hallinta TOJA Ennakoiva suunnittelu ja varautuminen normaaliolojen häiriöihin ja poikkeusoloihin, tarvittava harjoittelu ja testaaminen 3. Turvallisuus kehittämisessä TUKE Uusien asioiden toteuttamisessa (hankkeet, projektit, muu toiminta) edellytettävät vaatimukset 4. Turvallisuuden ylläpito TUTO Operatiivisen toiminnan ylläpito 5. Seuranta ja arviointi SETI Vaatimustenmukaisuus, tavoitteiden asettaminen ja saavuttamisen arviointi, mittaaminen 19
VAHTIn toiminta Mukana toiminnassa >50 organisaatiota, noin 130 johtajaa, esimiestä ja asiantuntijaa johtoryhmä, sihteeristö ja viidessä asiantuntijaryhmissä Valtionhallinnon organisaatiot Kuntien edustajat Sairaanhoitopiirien edustajat Yliopistojen edustajat VAHTI järjestää vuosittain useampia seminaari- /koulutustilaisuuksia, lokakuussa järjestetään 2. julkisen hallinnon digitaalisen turvallisuuden teemakuukausi 20
Mitä teemme vuosina 2018-2019 21
Mitä saimme aikaiseksi vuonna 2017? 22
Miten organisaatiosi voi kehittää digitaalista turvallisuutta mitä apuja VAHTI tarjoaa?
Vaatimustenmukaisuus vuonna 2018 Tietoturvallisuusasetus 681/2010 - https://www.finlex.fi/fi/laki/alkup/2010/20100681 Tietoturvallisuuden perustaso 5 ja siellä olevat 10 kohtaa VAHTI-ohje 2/2010 ja sen liite 5 antavat ohjeet perus- ja korotetun tietoturvatason osalta Vastaavasti toiminnan jatkuvuutta voidaan kehittää sekä ICTvarautumisen ohjeistuksen (2/2012) sekä Toiminnan jatkuvuuden hallinnan (2/2016) avulla Kaikessa toiminnassa tarvitaan riskienhallintaa uusi ohje ja prosessi sekä työkalu saatavilla VM 22/2017 Ohje riskienhallintaan 24
Vaatimustenmukaisuus vuonna 2019 Tiedonhallintalain myötä korvautuu tietoturvallisuusasetus ja ennen kaikkea kansallisen salassa pidettävän tietoaineiston luokittelu Suojaustasot poistuvat, mutta turvallisuusluokitellun tiedon osalta jäävät (esimerkiksi kansallinen turvallisuus) Samoin tietoturvatasot poistuvat ja tilalle tulee tietoturvallisuuden vähimmäistaso, joka edellyttää jatkossa paremmin myös saatavuuden ja eheyden varmistamista kaiken toiminnan osalta ja luottamuksellisuuden varmistamista kun kyse on salassa pidettävistä tiedoista Toteutamme ja rakennamme tätä varten kokonaan uudet työnimellä VAHTI 100-kulkevan vaatimuskehikon organisaatio tietojärjestelmä hankinta vaatimukset sekä näiden auditoinnin & tarkastuksen mahdollistavat auditointikriteerit mallia mahdollista pilotoida loppuvuoden aikana 25
Mukaan autiosaarelle aloita näistä? 26
Bonuksena Tämä ohje on laadittu tukemaan asiointipalveluiden suunnittelua, hankintaa, toteuttamista ja kehittämistä. Ohje kuvaa yleisellä tasolla, kuinka turvallisuuden eri osa-alueet tulee ottaa huomioon sähköisiä asiointipalveluita suunniteltaessa ja niitä toteutettaessa. Ohjeessa kerrotaan yhteenveto sähköisen asioinnin tietoturvallisuutta säätelevistä laeista ja viitekehyksistä. Ohjeen avulla halutaan auttaa muodostamaan kokonaisnäkemys sähköisen asioinnin keskeisistä tietoturvauhista. Ohje tarjoaa käytännön neuvoja sähköisen asiointipalvelun tietoturvallisista rakenneratkaisuista ja toimintamalleista, ja havainnollistaa niitä sähköisen asioinnin viitearkkitehtuurin ja julkishallinnon konkreettisten case-esimerkkien kautta. Ohje tarjoaa perustiedot julkisen hallinnon sähköisen asioinnin tukipalveluista ja niiden tarjoamista hyödyistä tietoturvallisuuden varmistamisessa. Ohje kokoaa sähköisiä asiointipalveluita tarjoaville tahoille velvoittavat vaatimukset sekä tarjoaa suositusluonteisia ohjeita ja hyviä käytäntöjä. 27
VAHTI-henkilöstön ja johdon tietoturvabarometri Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toteutti syksyllä 2016 julkisen hallinnon organisaatioille ja henkilöstölle suunnatun VAHTI-tietoturvabarometrin. Tähän vapaaehtoiseen kyselyyn osallistui 97 organisaatiota: 66 valtionhallinnon ministeriötä, virastoa tai laitosta, 30 kuntaa sekä yksi sairaanhoitopiiri. Mahdollisia vastaajia kyselyyn oli yli 168 000 ja vastauksia saatiin 13 915, jolloin vastausprosentiksi muodostui 8,3 %. Organisaatioiden johdolle esitettiin erikseen 15 lisäkysymystä koskien tietoturvallisuuden tärkeyttä, sen toteuttamisen vaikeutta sekä toteuttamisen onnistumista organisaatiossa. Näihin kysymyksiin saatiin 742 vastausta. 28
Kyselyssä tuli esiin useita myönteisiä havaintoja, mutta myös kehitettävää. Kyselyn positiivisimpia havaintoja oli se, että vastaajat pitävät tietoturvallisuutta keskeisenä työnteon mahdollistajana (93,1 %). Lisäksi lähes kaikki vastaajat (96,4 %) kokivat olonsa joko hyvin turvalliseksi tai melko turvalliseksi päätelaitteilla työskennellessään. Valtaosa vastaajista (96,2 % ) piti myös tietoturvallisuuden toteuttamista organisaatioissa vähintään hyvänä. Johto näki tietoturvallisuuden hyvin tärkeäksi (3,60 asteikolla 1 4 ), sen toteuttamisen keskivaikeaksi (2,52) ja toteutumisen kohtalaisen hyväksi omassa organisaatiossa (2,82). 29
Kehittämiskohteeksi nousevat henkilöstön säännöllinen tietoturvallisuuden eri osa-alueet kattava koulutus ja tiedottaminen ajankohtaisista tietoturvallisuuden uhkakuvista. Erityisesti mobiililaitteiden käyttö, häiriötilanteessa toimiminen sekä salasanojen hallinta edellyttävät lisäkoulutusta. Vastaavasti tyytyväisimpiä koulutuksen ja ohjeistuksen määrään oltiin toimitilaturvallisuuden (44,4 %), sähköpostin käytön (43,7 %) ja henkilötietojen käsittelyn (43,5 %) suhteen. Myös teknistä tietoturvallisuutta tulee kehittää edelleen, esimerkiksi ottamalla käyttöön salasanojen hallintaohjelmia sekä tunnistamalla ja estämällä uusia huijauskeinoja. 30
Muita menetelmiä ja keinoja
1. tietosuojavideomme julkaistiin 22.6 32
Yhteishankkeet 12 pidetty, ~5 jäljellä 33
JHDTTV 2-6.10.2017 34
Kaikki VAHTI-tilaisuuksien materiaalit hyödynnettävissä 35
www.vahtiohje.fi 36
Ajankohtaista Julkaisimme alkuvuosi 2017 www.vahtiohje.fi Ohje riskienhallintaan (ISO 31000-standardi taustalla) Sähköisen asioinnin tietoturvallisuusohje VAHTIn toimintasuunnitelma v. 2017-2019 VAHTIn toimintakertomus vuodelle 2017 Huomaattehan Henkilöstön ja johdon tietoturvabarometri Tietoturvapoikkematilanteiden hallinta VM 8/2017 Pilkahduksia tulevaisuuteen raportti VM 10/2017 Luku 8 käsittelee digitaalista turvallisuutta 37
Yhteistyö VAHTIssa toimii asiantuntijajaoston alaisuudessa viisi asiantuntijaryhmää, joihin toivomme laaja-alaista osallistumista julkisesta hallinnosta Samoin mahdollistamme osallistumisen VAHTI-kuukausiinfoon, joka on katsaus VAHTI-toimintaan Skype/Lynckokouksena Ilmoittautuminen: vahti@vrk.fi 38
Kimmo Rousku VAHTI-pääsihteeri Puh. 029553 5120 Lisätietoja: etunimi.sukunimi@vrk.fi vahti@vm.fi www.vahtiohje.fi www.arjentietosuoja.fi