Miltä kyberturvallisuuden ja tietosuojan tilanne näyttää julkisessa hallinnossa VM:n mittareiden ja kyselyiden valossa? Kolme kehittämistoimenpidettä Julkisen hallinnon #digiturvallisuus teemaviikko Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus kimmo.rousku@vrk.fi
Julkisen hallinnon digitaalisen turvallisuuden kokonaiskuva
VAHTI-organisaatiokysely Keskeiset tulokset ja havainnot löytyvät toimintakertomuksestamme
VAHTI-organisaatiokysely julkiseen hallintoon Vuosittainen kysely, vakiintunut sarja vuodesta 2011 saakka, kuntien osalta v 2016 alkaen Julkaisemme keskeiset havainnot ja tulokset toimintakertomuksessa vuoden 2017 osalta http://julkaisut.valtioneuvosto.fi/handle/10024/160872
VAHTI-organisaatiokysely kyberturvallisuus - 8 osa-aluetta Toimintayksiköiden ja organisaation tietohallinnon välinen yhteistyö häiriötilanteessa Tietoresurssien kriittisyys ja korvattavuus ICT-varautuminen Kyber- ja tietoturvariskien hallintaprosessi (tunnistus, arviointi, toimenpiteet) Yhteistoiminta kyber- ja tietoturvariskien hallinnassa Yhteistoiminta Tiedottaminen tietoturvaloukkauksista: sidosryhmät (muut kuin viranomaiset) Ilmoittaminen tietoturvaloukkauksista: muut viranomaiset Keskiarvo valtio v 2014 2,22 2,28 2,55 2,83 2,71 2,41 2,48 2,51 2,50 1. vuosi valtio v 2015 2,08 2,05 2,74 2,75 2,76 2,27 2,34 2,42 2,43 valtio v 2016 2,32 2,32 2,72 2,87 2,82 2,38 2,51 2,42 2,55 kunnat v 2016 2,05 1,90 2,33 2,26 2,48 2,18 2,0 2,07 2,16 1. vuosi valtio v 2017 2,34 2,26 2,57 2,63 2,8 2,49 2,3 2,29 2,46 kunnat v 2017 1,95 2,00 2,51 2,14 2,47 2,26 2,16 2,26 2,22
Mitä edellinen tarkoittaa? Valtionhallinto Valtionhallinnossa kysytty 2014-2017 yhteensä neljä vuotta Valtionhallinnon keskiarvo vuosittain 2,50 2,43 2,55 2,46 Valtionhallinnossa 2015-2016 parantunut eniten Yhteistoiminta 0,11 Laskenut eniten Kyber- ja tietoturvariskien hallintaprosessi (tunnistus, arviointi, toimenpiteet) 0,24 Tiedottaminen tietoturvaloukkauksista: sidosryhmät (muut kuin viranomaiset) 0,21 Arvio: Neljän vuoden aikana vaihteluväli erittäin pieni, kehitystä ei ole kuitenkaan juuri tapahtunut suurin nousu toteutui 2010-2014 tietoturvallisuusasetuksen toimesta
Mitä edellinen tarkoittaa? Kunnat Kunnilta kysytty 2016-2017 yhteensä kahtena vuotena Kuntien keskiarvo vuosittain 2,16 2,22 Kunnissa parantunut ICT-varautuminen 0,18 sekä Ilmoitusvelvollisuus sidosryhmät / viranomaiset 0,16 / 0,18 Laskenut Kyber- ja tietoturvariskien hallintaprosessi (tunnistus, arviointi, toimenpiteet) 0,12 Arvio: Tulokset parantuneet Kuntaliiton ja HVK:n yhdessä toteuttaman KUJAhankkeen johdosta koskien jatkuvuuden hallintaa sekä osin tietosuojaasetuksen toimeenpanon hankkeet koskien ilmoitusvelvollisuutta liittyen tietosuoja-asetukseen
Poikkeamat ja kyvykkyys vuonna 2017 1.3.1 Onko organisaation itse tuottamissa palveluissa ollut tietoturva- tai kyberturvallisuuspoikkeamia? Kaikki: Ei 69,2% Valtio: 66,7% Kunnat: 71,1% Kyllä 30,8% 33,3% 28,9% 1.3.1.0 Onko organisaation käyttämissä palveluissa ollut tietoturva- tai kyberturvallisuuspoikkeamia? Kaikki Ei 49,6% Valtio: 40,4% Kunnat: 56,6% Kyllä 50,4% 59,6% 43,4% 1.3.1.1 Onko organisaatiolla mielestänne riittävä havainnointikyky tunnistaa näitä uhkia? Kaikki: Ei 39,4% Valtio: 34,2% Kunnat: 42,9% Kyllä 60,6% 65,8% 57,1% Arvio: Tieto- ja kyberturvallisuuspoikkeamat koskevat noin 50% vastaajaorganisaatioista, tosin niistä jotka eivät ole niitä kohdanneet, 40% toteaa ettei heillä ole tähän kykyä
Informaatiovaikuttaminen Onko havaittu keinoja vaikuttaa organisaation henkilöstöön tai toimintaan kielteisillä keinoilla ( informaatiovaikuttaminen ), esimerkiksi painostavan tai muuten epämiellyttävän mielipidevaikuttamisen avulla? Vuonna 2017 Kaikki: Ei 78,1% Valtio: 80,0% Kunnat: 76,7% Kyllä 21,9% 20,0% 23,3% Vuonna 2016 Kaikki: Ei 81,8% Kyllä 18,2% Arvio: Informaatiovaikuttaminen ja muu painostaminen on kasvanut 3,7% vuodessa
Informaatiovaikuttaminen Mitä kautta mielipidevaikuttamista on tapahtunut? v 2017 v 2016 Sosiaalinen media 29,5% 34,0% Sähköposti 26,9% 25,5% Puhelin 19,2% 21,3% Suora yhteydenotto 16,7% 12,8% Muu keino 7,7% 6,4% Arvio: Informaatiovaikuttaminen ja muu painostaminen on kasvanut 3,7% vuodessa. Suorien yhteydenottojen määrä kasvanut vuoden 3,9%, sosiaalinen media laskenut 4,5%.
Henkilöstön ja johdon tietoturvabarometri Vuoden 2017 tulokset julkaistu omana raporttina
Turvallisuudentunne Hyvin turvalliseksi osuus laskenut 16,4% - vuodessa - kuitenkin vähintään turvallinen edelleen 91,9% vs 96,4% vuonna 2016
1(1) 5.2 Miten koet, että tietoturvallisuus on toteutettu organisaatiossasi? Tietoturvallisuus toteutuu mielestäni: Kaikki % Valtio % Kunta % Sairaanhoitopiirit % Totetuminen Erittäin hyvin 1528 18,80 % 789 22,00 % 520 15,1 % 185 23,4 % Hyvin 5852 72,0 % 2529 70,60 % 2541 74,0 % 544 68,8 % Huonosti 698 8,6 % 241 6,70 % 353 10,3 % 60 7,6 % 1(1) Erittäin huonosti 45 0,6 % 22 0,60 % 20 0,6 % 2 0,3 % Yhteensä 8123 100,0 % 3581 100 % 3434 100,0 % 791 100,0 % Toteutuminen Kaikki % Valtio % Kunnat % Erittäin hyvä 4889 35,1 % 2247 33,8 % 2641 36,4 % Hyvä 8505 61,1 % 4141 62,2 % 4364 60,1 % Huono 444 3,2 % 232 3,5 % 212 2,9 % Erittäin huono 74 0,5 % 33 0,5 % 41 0,6 % Yhteensä 13912 100,0 % 6653 100,0 % 7258 100,0 % Erittäin hyvin -osuus laskenut 16,3 prosenttiyksikköä siis 46% - vuodessa - kuitenkin vähintään hyvin edelleen 90,8% vs 96,2% vuonna 2016
Johtaminen v. 2016 v. 2017 Kaikki osa-alueet näyttäytyvät parantuneen vähän, tätä tulee tarkastella pitemmällä aikajaksolla esimerkiksi keskeisten kehittämishankkeidemme vaikutusten näkökulmasta
Mikä on keskeisin kehittämiskohde Useissa tutkimuksissa (mm. EU) todettu ihmisen (tiedostamaton, tiedostettu) toiminta merkittäväksi tieto- ja kyberturvallisuutta sekä tietosuojaa vaarantavaksi tekijäksi (jopa ~ 90% poikkeamista) Henkilöstön koulutus useissa raporttimme osa-alueissa on noin kolmasosa henkilöitä, jotka eivät ole saaneet lainkaan koulutusta Merkittävä niin tietoturvallisuuteen liittyvä kuin taloudellistuotannollinen merkitys Edellisten johdosta olemme kehittäneet MMKT-toimintamallin turvalliseen työskentelyyn ja palaamme tähän helpot digiturvavideot osuudessamme Mitä tietoja käsittelet luokittele tiedot Missä ja millä palveluilla käsittelet Kenelle tietoja luovutetaan Tarkista edelliset kohdat!
Yhteenveto Valtaosa mittareista ja tuloksista osoittaa sen, että erilaiset toimintaympäristön muutokset sekä digitoimintaympäristön toteutuneet uhkat tulevat aiheuttamaan jatkossa yhä enemmän meille häiriöitä niin ICTpalvelutuotannon kuin tieto- ja kyberturvallisuuspoikkeamien kautta. Näissä kyselyissä ei ole varsinaisesti mitattu erikseen tietosuoja-asetuksen (GDPR) vaikutusta, mutta se otetaan huomioon paremmin seuraavissa kyselyissä. Henkilöstön ohjeistus ja koulutus (osaamisen ja tietoisuuden kasvattaminen, asenteen ja kulttuurin parantaminen) tulevat osin auttamaan, mutta sillä ei voida parantaa johtamiseen tai tekniseen turvallisuuteen liittyviä tekijöitä (esimerkiksi havainnointikyky, tietoturvavalvomo ja muu seurantatoiminta)
Kehittäminen Kokonaiskuva osoittaa sen, että meidän tulee kehittää erityisesti seuraavia osa-alueita: Johtaminen Henkilöstön ohjeistus ja ennen kaikkea koulutus tämä digiturvateemakuukausi on tästä esimerkki Teknisellä puolella havainnointi- ja reagointikykyä, sitä kautta myös häiriötilanteiden hallintaa Palveluiden ICT-varautumisen ja toiminnan jatkuvuuden kehittäminen, jotta ICT-palvelutuotannossa esiintyvien häiriöiden määrää ja niiden vaikutusta toimintaan saadaan pienennettyä
Toimenpiteet 1) VAHTI-asiantuntijaryhmät käyvät läpi organisaatio- ja henkilöstön ja johdon kyselyn osalta tulokset ja havainnot sekä esittävät keinoja osa-alueiden kehittämiseksi Lokakuun julkisen hallinnon digitaalisen turvallisuuden teemaviikko toimii yhtenä aktiviteettina siis tämä viikko ja kuukausi 2) Valtiovarainministeriön tulevassa Julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelmassa määritetään edellä tunnistettujen osa-alueiden kehittämistehtäviä ja niiden toteuttamista varten luodaan toimenpideohjelma vuosille 2018-2021. 3) Kokonaiskuvan laajentamiseksi pyydetään kyberturvallisuuskeskuksilta tätä täydentävää tilannekuvaa seuraavaan raportointijaksoon sekä pyytämään organisaatioita raportoimaan tilanteestaan osin tähän liittyen kuulette tänään lisää Keskusrikospoliisin asiantuntijan esityksestä
Miksi #digiturvallisuus pitää kehittää mitä vanhoista tulevaisuuden ennustuksista voi oppia?
Miksi meidän pitäisi mitään kehittää? Suomessa on maailman puhtaimmat verkot Kyllä, tunnetuista haittaohjelmista Samoin, ei käyttäjän huijaaminen, social engineering edellytä haittaohjelmaa Ei meille ole koskaan mitään tapahtunut Peräpeiliin katsomisen sijaan tulisi katsoa ympärille, mitä muualla tapahtuu ja sen perusteella tulisi arvioida tulevaisuutta Ei meillä ole mitään salaista tietoa Jokaisessa organisaatiossa liikkuu $$$rahaa tai sellaiseksi muutettavaa tietoa Valitettavasti erittäin moni ja tuleva kampanja ei toimi niin, että jätämme nämä ei-niinkiinnostavat-suomalaiset-toimijat tästä pois ja hyökkäämme jonnekin muualle Digitaalisaation yleistyminen luo lisää kyberhyökkäyspinta-alaa yhdistettynä siihen, että tietoverkkorikolliset laajentavat toimintaansa => rapatessa varmasti roiskuu ja osuu Emme me kiinnosta ketään Vain jos teillä ei ole lainkaan mitään digitaalista toimintaa ja toimitte esimerkiksi pelkästään analogis-manuaalisessa maailmassa (niin, silloin et edes näe tätä esitystäni)
Katsaus menneisyyteen ja nykyhetkeen Nostan tähän neljä keskeisintä meidän kaikkien huomioitavaa asiaa
1. Kohdistetut hyökkäykset arkipäiväistyvät - ole entistä tarkkaavaisempi ja epäluuloisempi Oletko huomannut, kuinka paljon paremmiksi erilaiset huijausviestit ovat kehittyneet? Mistä voi olla varma, että työkaverilta, esimieheltä tai hyvältä kaverilta tullut viesti ei olekaan jokin kalasteluviesti?
Kaksivaiheinen tunnistus palataan tähän tänään myöhemmin tänään helpot tietoturvavideot - osiossamme
2. Kyberrikollisuus tunkee joka paikkaan etenkin mobiililaitteisiin ja jatkossa kodinkoneisiin Kannattaa huomata, että etenkin mobiililaitteissa meillä ei ole välttämättä käytössä niin hyviä suojausmekanismeja kuin pöytäkoneissa tai kannettavissa tietokoneissa, joita työpaikalla suojelee lisäksi muut turvallisuustoimenpiteet Ja jatkossa myös kotona olevat laitteet kytkeytyvät yhä useammin verkkoon ja aiheuttavat sitä kautta meille enemmän ongelmia
3. Pankkeihin, muihin rahaa sisältäviin kohteisiin kehitetään ennen tuntemattomia hyökkäyskeinoja Virtuaalirahasta, esimerkiksi Bitcoin on tullut monimuotoinen käyttökohde kyberrikolliset ovat ottaneet sen käyttöön esimerkiksi lunnashaittaohjelmien maksuvälineenä
Hyvä esimerkki ns. toimitusjohtajahuijaukset globaalisti miljardien eurojen edestä tehtailtu huijauksia
4. Kotilaitteisiin ja muihin organisaatioiden suojausten ulkopuolella oleviin laitteisiin kohdistuu merkittävä uhka Viestintäviraston Kyberturvallisuuskeskus tuottaa koko ajan ajankohtaisia tiedotteita, joita voidaan ja kannattaa hyödyntää myös kotona ja vapaa-aikana - https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt.html
Yhteenveto 1. Kyberrikollisuus kehittyy nopeammin kuin me ehdimme kehittää omaa toimiamme niiltä suojautumiseksi tämän takia sinun, meidän jokaisen rooli taistelussa näitä rikollisia vastaan on äärimmäisen tärkeä 2. Erityisesti ole epäluuloinen kaikkeen uuteen, jolla yritetään jollakin tavalla vaikuttaa sinuun tai pyytää sinua luovuttamaan tietoa riippumatta siitä, kuka tällaisen tietopyynnön esittää 3. Kysy! Ei ole tyhmiä [ digiturva ] kysymyksiä tyhmyyttä on olla kysymättä!
Digiturvallista lokakuuta Kimmo Rousku VAHTI-pääsihteeri www.vrk.fi/digiturva kimmo.rousku@vrk.fi