Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus

Samankaltaiset tiedostot
TAISTO18-harjoitus - palauteseminaari

VAHTI-päivä #21. Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

JUHTA-asiantuntijaryhmä tietoturva, tietosuoja, varautuminen Toteuma v. 2017, suunnitelma v. 2018

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

TAISTO19-harjoitus. Skype-info

VAHTIn kesäseminaari Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus VAHTI

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE. TAISTO19-harjoitus VÄESTÖREKISTERIKESKUS

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE VÄESTÖREKISTERIKESKUS

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen Valtiovarainministeriö

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE VÄESTÖREKISTERIKESKUS

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko tiistai Sähköisen asioinnin tietoturvaseminaari

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 2

TAISTO18-harjoitus. JUHTA/VAHTI-yhteishanke työpaja # Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

VÄESTÖREKISTERIKESKUKSEN DIGITURVAPALVELUT. Kirsi Janhunen, johtava asiantuntija, VRK

TAISTO18 Helsingin harjoituskäsikirja Tietoturva- ja tietosuojaloukkausten hallinnan harjoitus

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Luonnos: Projektisuunnitelma EU-tietosuoja-asetuksen toimeenpanon tukemiseksi

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko maanantai Aku Hilve ja Kimmo Rousku

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

Miltä kyberturvallisuuden ja tietosuojan tilanne näyttää julkisessa hallinnossa VM:n mittareiden ja kyselyiden valossa? Kolme kehittämistoimenpidettä

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

13.45 Ajankohtaiskatsaus Rikosylikomisario/kyberrikostorjuntakeskuksen päällikkö Timo Piiroinen Keskusrikospoliisi

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

Miten uudistettu VAHTI voi auttaa organisaatiotasi turvallisuuden kehittämisessä? Kimmo Rousku

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

Haminan tietosuojapolitiikka

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko torstai ylimmän johdon seminaari Kimmo Rousku

VRK yhteisenä tiedonhallintaa ja digitalisaatiota edistävänä toimijana. Juhta, Sami Kivivasara

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Janne Viskari, Väestörekisterikeskus

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

VAHTI-toiminta ja kuntien tietoturvajaosto Kimmo Rousku, VAHTI-pääsihteeri JUHTA

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Vihdin kunnan tietoturvapolitiikka

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

TIETOTURVAPOLITIIKKA

Val-DIAS. Kimmo Rousku, Hanna Heikkinen, Juha Kirves Väestörekisterikeskus

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

GDPR-pikaopas. Demand more. Puh

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN JOHTORYHMÄN SIHTEERISTÖN (VAHTI-sihteeristö) JA ASIANTUNTIJAJAOSTON ASETTAMINEN

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASIANTUNTIJAJAOSTON ASETTAMINEN

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

Digital by Default varautumisessa huomioitavaa

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

VAHTI. 19. VAHTI-päivä 2016

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Ohje salauskäytännöistä

Luottamusta lisäämässä

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Kimmo Rousku

Eläketurvakeskuksen tietosuojapolitiikka

Tietoturva- ja tietosuojapolitiikka

VAHTI-barometrin tulokset

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

VAHTI-seminaari: Toiminnan jatkuvuus & tietoturvapoikkeamien hallinta

Väestörekisterikeskuksen (VRK) toimialariippumattomien ict-tehtävien toimintosiirtoprojektin loppuraportti 1.0

Tietoturvapolitiikka

AJANKOHTAISTA TIETOSUOJASTA

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

Kansallinen kyberturvallisuusharjoitus miten harjoitus tekee mestarin?

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

GDPR. aka. Euroopan tietosuoja-asetus

Tietoturvapolitiikka. Hattulan kunta

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Heikki Talkkari / VM

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Transkriptio:

Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus 29.11.2018 Valkoinen sali Johtava asiantuntija Kimmo Rousku sekä VRK:n digiturvapalvelut, Väestörekisterikeskus

Ohjelma 9.00 Tervetuloa! Mira Holmroos-Kolari, ICT-johtaja, Väestörekisterikeskus TAISTO18-harjoituspäivä 10 minuutissa millainen kriisi Suomea kohtasi? Mitä TAISTO18- harjoituksesta voidaan ottaa opiksi? Kimmo Rousku, johtava erityisasiantuntija, Väestörekisterikeskus Miten voimme tukea yhteiskunnan digitaalista turvallisuutta? Aku Hilve, Tietohallintoneuvos, yksikön päällikkö, valtiovarainministeriö 9.40 Miten osallistujat kokivat harjoituksen: Keravan ja Tuusulan yhteisharjoituksen havainnot ja opit, Tiina Hakkarainen, tietosuojavastaava, Keravan kaupunki Valtioneuvoston kanslian havainnot ja opit, Petri Puhakainen, neuvotteleva virkamies, valtioneuvoston kanslia 9.50 Miksi kyberturvallisuuden harjoittelu on tärkeää? Jari Kielenniva, yleissihteeri, Turvallisuuskomitea

Tervetuloa! Mira Holmroos-Kolari, ICT-johtaja, Väestörekisterikeskus

TAISTO18-harjoituspäivä

Taustalla valtiovarainministeriön Juhta/VAHTI-yhteishankkeet Valtiovarainministeriön asettamat Juhta julkisen hallinnon tietohallinnon neuvottelukunta VAHTI julkisen hallinnon digitaalisen turvallisuuden johtoryhmä Yhteishankkeet 1) Arjentietosuoja-videokoulutukset 2) Tietosuojan, tietototurvan ja toiminnan jatkuvuutta kehittävät työpajat 3) TAISTO18-harjoitus Hankkeissa yhteistyössä mukana: tietosuojavaltuutetun toimisto, oikeusministeriö, Viestintäviraston Kyberturvallisuuskeskus, Kuntaliitto, Poliisihallitus, Valtori

Taustalla valtiovarainministeriön Juhta/VAHTI-yhteishankkeet Yhteishankkeissa tuotettiin tietosuojakoulutusvideoita, nettitestejä ja järjestettiin työpajatilaisuuksia. Työpajoissa käsitellään tietosuojaasetukseen eri osa-alueita, riskienhallintaa ja tietoturvallisuutta julkishallinnon näkökulmasta. Yhteishankkeessa toteutettiin TAISTO18- harjoitus. Suunnittelu 11/2016-, toteutus 3/2017 12/2018

1) Arjentietosuoja-videokoulutukset Arjen tietosuojaa - tietosuojaa meille kaikille Tekstitys myös suomi, ruotsi ja englanti Yhteensä 240 800 katselukertaa Johdon ja esimiesten koulutusvideo Tekstitys ruotsi Yhteensä 17 500 katselukertaa Tietosuojaa henkilötietoja käsitteleville video Tekstitys ruotsi Yhteensä 28 000 katselukertaa Yhteensä 286 300 katselukertaa

Arjen tietosuojaa - tietosuojaa meille kaikille

Johdon ja esimiesten koulutusvideo

Tietosuojaa henkilötietoja käsitteleville video M-M-K-T!!!

Inhimilliset virheet - #MMKT-toimintamalli auttaa Keskeisin tietosuojan ja tietoturvan heikentäjä on meidän oma, inhimillinen toiminta teemme inhimillisiä erehdyksiä - etenkin kiireessä

2) Tietosuojan, tietototurvan ja toiminnan jatkuvuutta kehittävät työpajat Järjestetty yhteensä 17 työpajaa 6/2017 11/2018 sekä vielä työpaja nuorille (30.11.) ja hankkeen päätösseminaari 4.12 Mukana lähes 300 julkisen hallinnon organisaatiota, lisäksi satoja muita organisaatioita on seurannut työpajojen nettilähetyksiä sekä tallenteita Tilaisuuksissa ollut paikan päällä yli 1000 asiantuntijaa (vain julkinen hallinto) ja >10 000 verkkolähetyksiä seuraamalla Mukana työpajoissa niitä toteuttamassa on ollut yli 50 alan asiantuntijaa, lisäksi julkaistu suuri määrä tukityökaluja sekä muita hyviä käytäntöjä

2) Tietosuojan, tietototurvan ja toiminnan jatkuvuutta kehittävät työpajat

3) TAISTO18-harjoitus Mitä enemmän digitalisoimme ja siirrämme toimintaa digitaaliseen toimintaympäristöön, sitä enemmän meillä on uudenlaisia tähän liittyviä uhkia Tekniset, ICT-toimintaan liittyvät häiriöt Tietoverkko- ja kyberrikollisuus sekä muut toimijat Uhkien ohella pitää ennen kaikkea miettiä mahdollisuuksia, joita uudenlaiset teknologiaratkaisut ja niiden varaan rakennettavat uudet digipalvelut mahdollistavat, tunnistaen kuitenkin niihin liittyvät em. uhat Käytännössä tämä tapahtuu aktiivisella riskienhallinnalla, vaatimustenmukaisuuden toteuttamisella sekä toimivilla prosesseilla Erityisesti uudet prosessit ja ohjeet edellyttävät harjoittelua => siksi TAISTO18- harjoitus

3) TAISTO18-harjoitus Harjoituksen taustalla yhteishanke ja 25.5.2018 sovellettavaksi tullut EU:n yleinen tietosuoja-asetus Asetus toi uusia vaatimuksia henkilötietojen käsittelyyn rekisterinpitäjille ja henkilötietojen käsittelijöille, mutta samalla heille ja rekisteröidyille (asiakkaat, kansalaiset) myös uusia mahdollisuuksia. Valtaosa näistä myös julkista hallintoa koskevista vaatimuksista koskevat tietosuojan toteuttamista, mutta osin myös tietoturvallisuutta. Eräs keskeisimmistä muutoksista liittyy henkilötietojen tietoturvaloukkauksiin ja niistä tehtäviin ilmoituksiin ja sekä loukkausten hallinnassa edellytettäviin prosesseihin. Esimerkiksi jokaisen organisaation loukkaustilanteessa arvioida, millainen uhka tilanteessa syntyy rekisteröidylle ja toteuttaa riskiarvioinnin perusteella tarvittavat toimenpiteet, esimerkiksi ilmoittaa tarvittaessa viranomaisille ja rekisteröidyille tapahtuneesta.

3) TAISTO18-harjoitus Harjoituksessa oli kaksi päätavoitetta: Kehittää organisaation tietoturvallisuuden hallintaa tietoturvaloukkauksissa, erityisesti tietoturvapäivitysten hallinnan osalta Kehittää organisaation henkilötietojen tietoturvaloukkauksissa tarvittavia prosesseja, muun muassa kyky arvioida syntynyttä riskiä ja tehdä sen perusteella tarvittavat viranomaisilmoitukset sekä kriisiviestintä

3) TAISTO18-harjoitus Ilmoittautuminen käynnistyi kesäkuussa, mukana noin 235 julkisen hallinnon organisaatiota Elokuussa julkaistu ja lokakuussa päivitetty TAISTO18-harjoituskäsikirja valmistautuminen harjoitukseen sekä harjoituksen eteneminen

TAISTO18-harjoituspäivä 10 minuutissa millainen kriisi Suomea kohtasi?

Mitä TAISTO18-harjoituksesta voidaan ottaa opiksi?

Tärkeimmät havainnot Harjoitus on ollut menestys, harjoitusorganisaatiot kokevat itse harjoituksen erittäin hyödylliseksi (keskiarvo ~4,2) ja edellä kuvattu tapa toteuttaa harjoitus on saanut erittäin hyvää palautetta (ka ~4,3) Yleisimmät kehityskohteet vastuiden ja roolien selkiyttäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään Organisaation sisällä sekä palvelutoimittajien osalta henkilöstön jatkuva koulutus ja harjoittelu Useat henkilöt kävivät prosessit läpi nyt 1. kertaa ohjeiden läpikäynti ja päivittäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään

Tärkeimmät havainnot Yleisimmin hyvin toimivat asiat organisaation sisäinen yhteistyön sujuvuus organisaatioiden johdon ja asiantuntijoiden sitoutuminen vastuulliseen toimintaan kriisitilanteessa organisaation harjoituksessa käyttämät omat palvelut toimivat pääosin hyvin Toisaalta, tässä kuvitellussa tilanteessa häiriö ei koskenut esimerkiksi organisaation perus-ict-teknologiaan liittyviä palveluita kuten sähköposti tai pikaviestintäohjelmat, joita harjoituksessa on paljon hyödynnetty

Ketkä osallistuivat erillinen listaus Osallistuneet organisaatiot Kuntia 119 Valtionhallinnon organisaatioita 73 Sairaanhoitopiiri tai muu sote-toimija 12 Yliopisto tai muu korkeakoulu, AMK 15 Muut, oy, kuntayhtymät 15 Kaikki yhteensä 234 Saimme vajaat 250 ilmoittautumista, mutta kaikki organisaatiot eivät pystyneet osallistumaan toivomallaan tavalla. Harjoituksiin on osallistunut ~234 organisaatiota, viimeisen harjoituspäivän osalta saamme lopulliset tiedot perjantaina.

Harjoitukseen käytetyt resurssit n=82 organisaatiota Alustavat tiedot 82 organisaation palaute Harjoitukseen valmistautuminen ennakolta 566 htp Harjoituspäivän osalta 703 htp Osallistuneiden eri henkilöiden määrä 683 henkilöä Koko harjoitus arvio nyt toteutuneen perusteella Koko harjoituksen osalta yhteensä ~4000 htp ja >2100 eri henkilöä Lisäksi ulkopuolisia asiantuntijoita (ostopalvelu) on käytetty noin 43 htp verran (koko harjoituksen arvio 130 htp) edestä, ennen kaikkea tarkkailijoina Kustannukset täten organisaatioiden osalta koostuvat pääosin omasta työstä VRK:n kustannukset vielä tarkentumatta, mutta jäävät alle budjetin (30 000 ) täten harjoituksen toteuttaminen on maksanut alle 100 / harjoitusorganisaatio.

Kannattaa kuitenkin huomata Harjoitustoiminnalla on keskeinen merkitys siihen, mikä on organisaation kyvykkyys toimia häiriötilanteessa mutta tulisi panostaa myös siihen, että näin ei pääse tapahtumaan Kuinka organisaatiot voivat ennaltaehkäistä erilaisia sen toimintaan kohdistuvia uhkia Hallinnolliset prosessit Uhkien tunnistaminen, riskienhallinta Erityisesti henkilöstön osaamisen ja tietoisuuden kasvattaminen Tekniset ratkaisut ICT-palveluiden, toimitilojen turvallisuudesta huolehtiminen Havainnointi- ja reagointi sekä analysointikyky - kyvykkyys tunnistaa tietoturvaloukkauksia mitä aikaisemmin tällainen havaitaan, sitä tehokkaammin voidaan yrittää vaikuttaa siitä syntyvään uhkaan ja vaikutuksiin Tämä on ehdottomasti meidän keskeisin kehitettävä osa-alue

Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? Hyvin vaihtelevasti Ne organisaatiot, jotka ovat nyt osallistuneet harjoitteluun, tietävät omat vahvuudet ja heikkoudet kyvykkyys parempi Ne jotka eivät ole osallistuneet harjoitukseen, tarjoamme siihen mahdollisuuden ensi vuonna nyt loppuvuoden aikana julkaistavan harjoituspaketin avulla Yksittäisten tapahtumien osalta tilanne parempi, mutta erityisesti laajavaikutteisten häiriötilanteiden hallinta on haastavaa, johtuen sekä organisaatioiden omista tarvittavista resursseista sekä tällöin esimerkiksi ICT-palvelutoimittajiin ja viranomaisiin kohdistuvasta kuormituksesta Esimerkiksi TAISTO18-harjoituksen kaltainen tilanne saataisiin hallintaan, mutta vaatisi priorisointia ja selvitys- ja korjaustyö saattaisi kestää kuukausia

Miten voimme tukea yhteiskunnan digitaalista turvallisuutta? Aku Hilve, Tietohallintoneuvos, yksikön päällikkö, valtiovarainministeriö

9.40 Miten osallistujat kokivat harjoituksen

Keravan ja Tuusulan yhteisharjoituksen havainnot ja opit, Tiina Hakkarainen, tietosuojavastaava, Keravan kaupunki Harjoitukseen valmistautuminen Harjoituspäivän toteutuminen Harjoituksen opit Mitä kehitettävää? Mikä toimi hyvin? Muita havaintoja?

Valtioneuvoston kanslian havainnot ja opit, Petri Puhakainen, neuvotteleva virkamies, valtioneuvoston kanslia Harjoitukseen valmistautuminen Harjoituspäivän toteutuminen Harjoituksen opit Mitä kehitettävää? Mikä toimi hyvin? Muita havaintoja?

9.50 Miksi kyberturvallisuuden harjoittelu on tärkeää? Jari Kielenniva, yleissihteeri, Turvallisuuskomitea

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute