JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE VÄESTÖREKISTERIKESKUS HANNA HEIKKINEN KIRSI JANHUNEN ERJA KINNUNEN JUHA KIRVES LAURA PENTTILÄ KIMMO ROUSKU
JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE Työpaja #4 17.6.2019 Tietosuoja Ari Andreasson Helena Eronen Annina Hautala Noora Kallio Juho Nurmi Tuula Seppo
Menti-kysely 1 Mitkä päivän aiheista ennakolta kiinnostavat sinua eniten? Voit valita kolme etukäteen eniten sinua kiinnostavaa aihetta 1) Tietosuoja ja järjestelmähankinnat erityisesti tietojen siirto EU:n ulkopuolelle 2) Millainen ohjelmistokehityssopimus kannattaa tehdä? 3) TAISTO19-harjoitus kutsu harjoitukseen sekä kuinka siihen tulee valmistautua? 4) Parhaat käytännöt: Tietosuoja ja lapsi 5) Tietosuoja UKK usein kysytyt kysymykset sekä keskustelua kysymyksistä 6) Ajankohtaista tietosuojavaltuutetun toimistosta 7) Case VRK - Oletusarvoinen ja sisäänrakennettu tietosuoja 8) Raila Brummer - Tietosuojavastaavan elämää
Palautetta 20.5. työpajasta Keskiarvo 4,33
Mikä tilaisuudessa oli parasta? Käytännön esimerkit Käytännön esimerkit ja UKK. Sopivan mittaiset puheenvuorot Kiinnostavat esiintyjät ja aiheet. Kokonaisuus oli hyvä Asiantuntevat informatiiviset puheenvuorot + kaksi mainintaa Ari A:n esityksistä
Miten kehittäisit tilaisuutta? Kuvan zoomaus niin, että puhuja näkyy kokonaan. Ääni pätki ja varsinkin keskusteluosuukissa joidenkin puheesta ei saanut selvää. Olisi hyvä olla erillinen mikrofoni kullekin puhujalle ja opastus, miten siihen täytyy puhua, että ääni kuuluu. Aluepisteisiin voisi miettiä omia ryhmätöitä. JUDO-hankkeelta toivoisin paljon konkretiaa. Tietosuojavastaavat julkishallinnossa usein tuntevat jo lainsäädännön ja sen, mitä pitäisi tehdä. Vastaukset Miten?-kysymykseen kiinnostavat kentällä. Tarvittaisiin esiintymään tahoja, jotka uskaltavat sanoa esim. miten kannattaa toimia eri tilanteissa tai minkälainen dokumentaatio kannattaisi laatia. VRK:n osio oli ihan erinomainen konkretiassaan. Sellaista lisää ja työkirjat jakoon. Lisäksi tietotilinpäätöksen malli on ihan loistava. Käydään nyt läpi tämä hivakka aina vuoteen 2021-2022. katsotaan sen jälkeen.
Tilannekatsaus 13.6.2019 - Kyberverstas KIRSI JANHUNEN
JUDO-kehittämisohjelma JUDO-kehittämisohjelma JUDO-hanke JUDO-hankkeen tiivis esittely: https://dreambroker.com/channel/meu5eflf/6xp7flzh Digiturvan yhteishanke Yhteishankkeen tavoitteet Organisaatiot Digiturvallisuuden osa-alueiden kehittyminen Asiantuntijat Asiantuntijoiden osaamisen parantuminen ja laajentuminen Mahdollisuus suorittaa erillinen Digiturvatesti syksyllä 2020 ja osoittaa ammatillinen pätevyys *asiantuntijana*
Kimmo Rousku Kirsi Janhunen Juha Kirves PROJEKTI 1 Digitaalisen turvallisuuden johtamisen ja riskienhallinnan kehittäminen PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen PROJEKTI 3 Digitaalisen turvallisuuden koulutusjärjestelmä ja digiturvasovellus PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Erja Kinnunen Hanna Heikkinen
Digiturvan yhteishanke, käsikirja, opastus ja TAISTO-harjoitukset Rakenne tietoturvanormien käytännön soveltamisohjeille, julkaisuympäristö ja sisältöjä Koulutusympäristö ja digiturvasovellus, koulutussisältöjä PROJEKTI 1 Digitaalisen turvallisuuden johtamisen ja riskienhallinnan kehittäminen PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen PROJEKTI 3 Digitaalisen turvallisuuden koulutusjärjestelmä ja digiturvasovellus PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Digitaalisen turvallisuuden kokonaiskuvan raportointijärjestelmä Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut
Digitaalisen turvallisuuden käsikirja, opastus ja harjoitus Projekti 1 Digiturvaopas ja Projektiopas julkaistu 12.6 www.vrk.fi/judo kohta Työpajat Työpajat pidetty 6.5, 20.5 sekä 12.6 Seuraavat työpajat TÄNÄÄN 17.6 (tietosuoja), 21.8 ja 2.9 (tietosuoja) Hankkeessa 156 organisaatiota Uusi tavoite v 2019 on 300 organisaatiota TAISTO19 ilmoittautuminen käynnistyy tällä viikolla PROJEKTI 1 Digitaalisen turvallisuuden johtamisen ja riskienhallinnan kehittäminen Riskienhallinta toiminnan jatkuvuus ja varautuminen, henkilötietojen tietoturvaloukkaus (tieto- ja kyberturva) lisää myöhemmin omassa esityksessäni liittyen TAISTO19
Esimerkki 12.6.2019 materiaalit
Kirsi Janhunen Projekti 2 PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen Tiedonhallintalain 4 luku avattu suosituskorteiksi, julkaistaan kommenteille kun VM katselmoinut Projektissa kehitettyä suositus- ja arviointikehikkoa hyödynnetään tietoturvaa laajemmin (mm. digipalvelulain 2 luvun avaamiseen) Arviointikehikon kysymyksiä kehitetään projektissa 4
Koulutusympäristö ja digiturvasovellus, koulutussisältöjä Projekti 3 1. Digiturvallinen työelämä verkkokoulutus testauksessa julkaisu elokuussa mistä digiturvassa on kyse ja kuinka sinun tulee toimia? Tietosuojan ABC pilottia jatketaan syksylle (Kuopion kaupunki, Suomen Kuntaliitto, Turun Yliopisto..) Digiturvallinen elämä pelin kilpailutus käynnissä PROJEKTI 3 Digitaalisen turvallisuuden koulutusjärjestelmä ja digiturvasovellus
https://www.hankintailmoitukset.fi/fi/notice/view/2019-012864
PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen Projekti 4 Ratkaisujen ja hyvien käytänteiden tutkiminen (yhteenveto) käynnissä Vaatimusmäärittely käynnissä Arviointikehikon kysymysten laatiminen siirtynyt projekti 4:lle Työpaja 12.8 tervetuloa kertomaan asiakasvaatimuksista! Digitaalisen turvallisuuden kokonaiskuvan raportointijärjestelmä
PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Projekti 5 Harjoitustoiminnan malli organisaatioille työn alla Harjoitustoiminnan kysely liikkeellä Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut Projektipäällikkö toimii tarkkailijana kahdessa vuoden 2019 KYHA-harjoituksessa. Havaintoja käytetään harjoitustoiminnan kehittämiseen
Kyberhyökkäyksen aiheuttaja oli haittaohjelma, joka ehti saastuttaa koneita ja kuormitti verkkoa. Haittaohjelma siirtyi ensin yhteen koneeseen, josta se levisi noin tuhanteen kaupungin koneeseen.
Digiturvaopas PÄIVITTYVÄ OPAS, JOSSA KERROTAAN, MISTÄ DIGITURVASSA ON KYSE JULKAISTU TYÖPAJAN MATERIAALEISSA 12.6.2019
Digiturvallisuus projektiopas PÄIVITTYVÄ, KÄYTÄNNÖNLÄHEINEN OPAS DIGITURVAN ERI OSA-ALUEISIIN JULKAISTU TYÖPAJAN MATERIAALEISSA 12.6.2019
9.15 Tietosuoja ja järjestelmähankinnat erityisesti tietojen siirto EU:n ulkopuolelle ASIANAJAJA, MANAGING ASSOCIATE ERKKO KORHONEN, HANNES SNELLMAN ASIANAJOTOIMISTO OY
Millainen ohjelmistokehityssopimus kannattaa tehdä? ASIANAJAJA, COUNSEL OUTI JOUSI, HANNES SNELLMAN ASIANAJOTOIMISTO OY
TAUKO
TAISTO19-harjoitus kutsu harjoitukseen sekä kuinka siihen tulee valmistautua? VAHTI-PÄÄSIHTEERI KIMMO ROUSKU, VÄESTÖREKISTERIKESKUS
Kertaus - TAISTO18-harjoitus Mitä enemmän digitalisoimme ja siirrämme toimintaa digitaaliseen toimintaympäristöön, sitä enemmän meillä on uudenlaisia tähän liittyviä uhkia Tekniset, ICT-toimintaan liittyvät häiriöt Tietoverkko- ja kyberrikollisuus sekä muut toimijat Uhkien ohella pitää ennen kaikkea miettiä mahdollisuuksia, joita uudenlaiset teknologiaratkaisut ja niiden varaan rakennettavat uudet digipalvelut mahdollistavat, tunnistaen kuitenkin niihin liittyvät em. uhat Käytännössä tämä tapahtuu aktiivisella riskienhallinnalla, vaatimustenmukaisuuden toteuttamisella sekä toimivilla prosesseilla Erityisesti uudet prosessit ja ohjeet edellyttävät harjoittelua => siksi TAISTO18- harjoitus toteutettiin
TAISTO18-harjoitus Harjoituksen taustalla Juhta/VAHTI-yhteishanke v 2017-2018 ja 25.5.2018 sovellettavaksi tullut EU:n yleinen tietosuoja-asetus Asetus toi uusia vaatimuksia henkilötietojen käsittelyyn rekisterinpitäjille ja henkilötietojen käsittelijöille, mutta samalla heille ja rekisteröidyille (asiakkaat, kansalaiset) myös uusia mahdollisuuksia. Valtaosa näistä myös julkista hallintoa koskevista vaatimuksista koskevat tietosuojan toteuttamista, mutta osin myös tietoturvallisuutta. Eräs keskeisimmistä muutoksista liittyy henkilötietojen tietoturvaloukkauksiin ja niistä tehtäviin ilmoituksiin ja sekä loukkausten hallinnassa edellytettäviin prosesseihin. Esimerkiksi jokaisen organisaation loukkaustilanteessa arvioida, millainen uhka tilanteessa syntyy rekisteröidylle ja toteuttaa riskiarvioinnin perusteella tarvittavat toimenpiteet, esimerkiksi ilmoittaa tarvittaessa viranomaisille ja rekisteröidyille tapahtuneesta.
TAISTO18-harjoitus Harjoituksessa oli kaksi päätavoitetta: Kehittää organisaation tietoturvallisuuden hallintaa tietoturvaloukkauksissa, erityisesti tietoturvapäivitysten hallinnan osalta Kehittää organisaation henkilötietojen tietoturvaloukkauksissa tarvittavia prosesseja, muun muassa kyky arvioida syntynyttä riskiä ja tehdä sen perusteella tarvittavat viranomaisilmoitukset sekä kriisiviestintä
TAISTO18-harjoitus Ilmoittautuminen käynnistyi kesäkuussa, mukaan ilmoittautui noin 250 julkisen hallinnon organisaatiota 234 organisaatiota raportoi toiminnastaan Elokuussa julkaistu ja lokakuussa päivitetty TAISTO18-harjoituskäsikirja valmistautuminen harjoitukseen sekä harjoituksen eteneminen
TAISTO18-harjoituspäivä 10 syötteen anatomia millainen kriisi Suomea kohtasi?
Mitä TAISTO18-harjoituksesta voidaan ottaa opiksi? TAISTO18-harjoitusraportti kertoo tarkemmin
Keskeiset opit ja kehitettävät asiat Harjoitusraportti https://vrk.fi/documents/2252790/9592142/ta ISTO18-harjoitusraportti.pdf/defadfa4-aeea- 29c0-afe8-b9d200b56e67/TAISTO18- harjoitusraportti.pdf.pdf
Kehitettävää itse harjoitus viranomaisten tarjoamien ilmoituskanavien käyttö pitää olla helpompaa harjoituksen skenaarioita olisi voinut muuttaa enemmän aamu- ja iltapäivän välillä raportointipisteiden vastaamista tulisi parantaa, nyt käytetty malli koettiin työläänä harjoituksessa käytettävä järjestelmä kannattaisi määrittää paremmin etukäteen, harjoituksen sovittaminen valittuun järjestelmään oli osalle organisaatioista haastavampaa kuin toisille osa sähköposteista päätyi roskapostiin, onneksi www-sivusto auttoi lopussa voisi olla tilanteen palauttaminen normaaliksi ja siihen liittyvä viestintä raportointilomakkeita käytäntöjä kannattaisi helpottaa aamupäivä / iltapäiväpainotus aamulla kiire, iltapäivällä aikaa miettiä ja kehittää, jonka olisi voinut hyödyntää paremmin myös harjoituksessa
Vinkkejä organisaatiolle Parempi tilannehuone, välineet ja ympäristö kunnossa. Haastatteluun valmistautumista voisi parantaa. Emme välttämättä tekisi mitään toisin, harjoituspäivä meni mielestämme melko hyvin. Toisaalta harjoitus nosti esiin joitakin kehittämiskohteita. perehtyisimme entistäkin paremmin materiaaleihin Viestinnän henkilö tulisi olla mukana paikalla koska hän nyt oli etäyhteyden takana (puhelin/sähköposti) Varahenkilöt olisivat voineet oikeasti olla mukana. Avainhenkilöriskien realisoitumiseen varautuminen Alussa enemmän pohdintaa riskeistä, etenemisestä. Jakautuminen ryhmiin. Nyt kokoonnuttiin yhteisiin tiloihin, pohdittava onko järkevää olla kaikki yhdessä tilassa. Miten muodostaa tilannekuva tehokkaasti.
Vinkkejä organisaatiolle Johtajien osallistuminen olisi ollut tärkeää olla pakollista. Kokemusten jakaminen harjoituksesta eteenpäin on tärkeää, jos ei pysty osallistumaan. Tilanteen pitkittyessä työnjako on tärkeää miettiä ketkä vapautetaan, miten viestintä hoidetaan ja milloin kokoonnutaan. tässä erityisesti tämä viimeinen palaute on keskeinen kuinka organisaatio pystyy toimimaan, kun häiriötilanne tai poikkeamatilanne alkaa kestää useita vuorokausia, puhumattakaan viikkoja?
Mitkä eivät toteutuneet kuvitellusti? Tietosuojavaltuutetun sivuilla täytettävä ilmoituslomake oli työläs täytettävä kriisin keskellä. Voisiko olla yksinkertaisempi lomake, jos täydennetään jo aiemmin annettua ilmoitusta. viestinnän mukana olo ei onnistunut oikein hyvin Johdon osallistuminen aamupäivällä oli puutteellinen. Iltapäivällä tilanne oli toinen kun saatiin johdon edustus paikalle. Sovittiin työnjako, mutta työnajakoa voisi vielä tarkemmin/jämäkämmin kohdentaa ja sopia etukäteen tai tilanteen selvitessä. Löydettiin kehitettäviä kohtia omassa toiminnassa esim. viestinnässä ja viestinnän resurssoinnin/valmiuden varmistamisessa ja tilannekuvan ylläpitämisessä/välittämisessä. Vastuut epäselviä.
Mitkä eivät toteutuneet kuvitellusti? Keskinäinen viestintä olisi toiminut paremmin tilannehuoneessa, kun olimme eri tiloissa tuli viivettä. Tämän harjoituksen ajallinen toteuttaminen oli nopeaa, kaikkeen ei ehditä tällä aikataululla reagoimaan. Huomasimme, että on syytä analysoida kaapattujen tietojen sisältö tarkemmin. Ei päästy tekemään konkreettisia asioita eli emme tehneet teknisiä toimenpiteitä tai forensiikkaa. Päivä oli työteliäämpi kuin aluksi ajattelimme vs Tempo oli hitaampi kuin luulimme. Järjestelmätoimittajiin oli vaikea saada yhteyttä nopeasti. Skypen joukkomykistystä olisi ajoittain tarvittu, muuten toimi hyvin - ei ollut kovinkaan helppoa päätellä, milloin on oikeasti tapahtunut tietoturvaloukkaus tai henkilötietojen tietoturvaloukkaus; asiasta keskusteltiin
Mitkä eivät toteutuneet kuvitellusti? sopimustietoja muisteltiin, mutta ei pystytty tarkistamaan Tapahtuman laajuus ja alkuvaiheen tilanteen epäselvyys. Yhteydenotot viranomaisiin, emme olleet varmoja, milloin ottaa yhteyttä mihinkin Viestinnässä havaittiin, että tarvitsemme tiedon jakamiseen soveltuvan pikaviestintäratkaisun Harjoitusta vaikeutti hieman tieto harjoituksesta. Mietimme ehkä hieman liikaa harjoituksen rakennetta tai sitä, miten se oli suunniteltu, sen sijaan että olisimme toimineet täysin, kuten oikeassa tilanteessa olisimme toimineet.
TAISTO19 MITÄ ON ODOTETTAVISSA JA MITEN TÄHÄN VALMISTAUDUTAAN?
TAISTO19 mistä koostuu? 1) Toimintaympäristön varmistaminen sekä toiminnan kriittisyyden arviointi Onhan organisaatio tunnistanut sen toiminnalle kriittiset palvelut ja toiminnot? 2) Riskienhallinta Kykeneehän organisaatio arvioimaan sen toimintaan kohdistuvia uhkia? 3) Tietosuojan toteuttaminen ja varautuminen henkilötietojen tietoturvaloukkauksiin Onhan TAISTO18 opit ja havainnot sekä kehittämistoimenpiteet toteutettu 4) Toiminnan jatkuvuuden ja varautumisen harjoittelu Voi olla, että TAISTO19 seurauksena jotain pääsee tapahtumaan jossa pitää olla kyky palautua häiriötä edeltäneeseen tilanteeseen
Milloin? Kolme harjoituspäivää klo 8.45 16.00 7.11 Torstai - harjoitus alkaa kuitenkin jo kuukautta aikaisemmin 10.10.2019 19.11 Tiistai alkaa 22.10 26.11 Tiistai alkaa 29.10 Harjoitus käynnistyy kuukautta ennen harjoituspäivää ensimmäisellä syötteellä tähän tulee varata aikaa muutama tunti sekä sen perään viikon päästä syöte #2 sama juttu, tälle tulee varata aikaa muutama tunti Edellyttää myös johon herättelyä Ei tarvitse edistää tai hoitaa samana päivänä kuin syötteet tulevat, kunhan toteutetaan ennen harjoituspäivää
Ketä tarvitaan? Harjoituksen sujuva toteuttaminen edellyttää: Digiturvan eri osa-alueiden asiantuntijaroolit ICT:n vastuuhenkilö Johdon edustaja(t) Viestinnän edustaja Tarkkailija kirjaamaan harjoituspäivän tapahtumia Harjoitusta edeltävissä kahdessa syötteessä ei välttämättä tarvita kaikkia rooleja
Miten voimme ilmoittautua? Toimitamme tällä viikolla ilmoittautumiskirjeen kaikkiin julkisen hallinnon organisaatioihin sekä avaamme ilmoittautumisen ilmoittautuminen on auki marraskuulle saakka mutta toivomme ilmoittautumisia 31.8 mennessä (jotta teille jää aikaa valmistautua harjoitukseen) Ja lisäksi laitamme suoraan yhteishankkeeseen osallistuneiden organisaatioiden yhteyshenkilöille + meidän Digiturvan jakelulistalla oleville henkilöille Käsittelemme TAISTO19-harjoitusta syksyn kaikissa työpajoissa Saatte elokuussa avuksenne harjoituskäsikirjan, etenkin jos organisaatio EI OLE osallistunut TAISTO18-harjoitukseen, kannattaa varmistaa että edellisen TAISTO18- harjoituksen opit ja vaadittavat asiat ovat kunnossa (mm. henkilötietojen tietoturvaloukkaus)
Muuta Olemme kehittäneet päivän raportointia Excel, joka toimii samalla lokina organisaatiollenne harjoituksen osalta Harjoituspäivän päätteeksi toimitatte Excel-tiedostonne meille turvapostilla Arvioimme kaikkien organisaatioiden tiedot ja palautamme teille vertailu-exceltiedoston, jolla voitte verrata, sparrata ja kehittää omaa toimintaanne Voitte itse käyttää Exceliä harjoituksen jälkeen harjoituksessa tehtyjen havaintojen ja kehittämistoimenpiteiden sopimisessa ja toteuttamisessa Tuotamme materiaalit ennakolta myös keskeisten asioiden osalta ruotsiksi
~ 11.45 ~ Lounastauko
12.45 Parhaat käytännöt: Tietosuoja ja lapsi Lapsi verkossa Näkökulmia lasten oikeuksiin ja tietosuojaan digitaalisessa ympäristössä ASIANTUNTIJA IRENE LEINO, SUOMEN UNICEF
13.15 Tietosuoja UKK usein kysytyt kysymykset sekä keskustelua kysymyksistä TARKASTAJA MARI-ILONA KORHONEN, TIETOSUOJAVALTUUTETUN TOIMISTO
14.15 Kahvitauko
14.30 Ajankohtaista tietosuojavaltuutetun toimistosta APULAISTIETOSUOJAVALTUUTETTU JARI RÅMAN, TIETOSUOJAVALTUUTETUN TOIMISTO
15.00 Tietosuoja työkirja Case VRK osa 2 Oletusarvoinen ja sisäänrakennettu tietosuoja JOHTAVA ASIANTUNTIJA NOORA KALLIO, VÄESTÖREKISTERIKESKUS
15.30 Tietosuojavastaavan elämää TIETOSUOJAVASTAAVA RAILA BRUMMER, KELA
Kotitehtävät sekä muuta muistettavaa
Menti-kyselyt Kysytään parit Mentit vielä työpajan päätteeksi
Mitä asioita toivomme teidän nyt seuraavaksi tekevän? 1. Kerta digiturvan keskeiset osa-alueet: Tutustu Digiturvaoppaaseen sekä Digiturvan projektioppaaseen Tarkista, että organisaatiossasi on riskienhallintapolitiikka ja että se on ajan tasalla miten siinä on huomioitu tietosuoja? 2. Varmista organisaation johdolta, että osallistutte TAISTO19- harjoitukseen. Ilmoittaudu organisaatioon kirjaamoon tulevan ohjeen mukaisesti ilmoittautumiskirje ja lomake julkaistaan www.vrk.fi/taisto19 (avataan nyt viikolla) sekä JUDO-hankkeen työpaja -materiaalisivustolla
Täytä 4. työpajan palautekysely Palautekysely julkaistaan: https://vrk.fi/judo/tyopajat Mistä asioista haluat kuulla maanantain 2.9.2019 työpajassa? Esitä kysymyksiä! https://response.questback.com/isa/qbv.dll/showquest?questid=5354441&sid=gr4aq 3XajP
Kiitos! Tapaamme 21.8 työpaja 26.8 VAHTI-seminaari tai 2.9-työpajassa
Kesäloma! Ladataan akut!