Digiturvallisuus klo tila A 3.6 Tietoturva tiedonhallintalaissa, johtava asiantuntija Kirsi Janhunen, väestörekisterikeskus

Samankaltaiset tiedostot
Kyberturvallisuus vuosi 2018, 2019 & #kybersää? VAHTI-päivä Tilannekuvapalveluiden ja yhteistyöverkostojen päällikkö Jarna Hartikainen

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

#kybersää 09/2018 #kybersää

Aku Hilve, Tuija Kuusisto, Eeva Lantto, Kirsi Janhunen

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

#kybersää 08/2018 #kybersää

#kybersää 05/2018 #kybersää

Webinaarin sisällöt

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

#kybersää maaliskuu 2018

Viestintäviraston Kyberturvallisuuskeskuksen palvelut tietoturvaloukkaustilanteissa. Kauto Huopio

Kybersää. Heinäkuu

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

#kybersää helmikuu 2018

VÄESTÖREKISTERIKESKUKSEN DIGITURVAPALVELUT. Kirsi Janhunen, johtava asiantuntija, VRK

#kybersää 04/2018 #kybersää

VAHTIn kesäseminaari Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus VAHTI

#kybersää 10/2018 #kybersää

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

Digital by Default varautumisessa huomioitavaa

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Kyberturvallisuus yritysten arkipäivää

Webinaarin sisällöt

#kybersää 06/2018 #kybersää

Fennian tietoturvavakuutus

TAISTO18-harjoitus - palauteseminaari

VRK yhteisenä tiedonhallintaa ja digitalisaatiota edistävänä toimijana. Juhta, Sami Kivivasara

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE VÄESTÖREKISTERIKESKUS

#kybersää marraskuu 2017

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

#kybersää 07/2018 #kybersää

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Tieto ja turvallisuus SOTE:n ytimessä. 3T-tapahtuma, Jyväskylä, Perttu Halonen

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

#kybersää tammikuu 2018

Tiedonhallintalaki HE-luonnos Julkisen hallinnon tiedonhallinnan ohjaus ja yhteistyö , Juhta Sami Kivivasara

Auditoinnit ja sertifioinnit

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko tiistai Sähköisen asioinnin tietoturvaseminaari

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Varmaa ja vaivatonta viestintää kaikille Suomessa

#kybersää 11/2018. rauhallinen huolestuttava vakava

Miten varmistat taloteknisten järjestelmien tietoturvallisuuden?

Maaliskuu 2019 #KYBERSÄÄ

Varmaa ja vaivatonta viestintää kaikille Suomessa Viestintätoimialan muutostekijät 2010-luvulla

Tietoturvaa verkkotunnusvälittäjille

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

Varmaa ja vaivatonta viestintää kaikille Suomessa

Luottamusta lisäämässä

Huhtikuu 2019 #KYBERSÄÄ

Tietopolitiikka Yhteentoimivuus ja lainsäädäntö , Sami Kivivasara ICT-toimittajien tilaisuus

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Verkostoautomaatiojärjestelmien tietoturva

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

Viestintävirasto TAE Liv

Yhteentoimivuus ja tiedonhallintalaki

Miltä kyberturvallisuuden ja tietosuojan tilanne näyttää julkisessa hallinnossa VM:n mittareiden ja kyselyiden valossa? Kolme kehittämistoimenpidettä

Viestintävirasto Varmaa ja vaivatonta viestintää kaikille Suomessa

TAISTO19-harjoitus. Skype-info

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

Sähköisen viestinnän tietosuojalain muutos

Tietoturva hallinnossa Jukka Kuoksa, Johtava vesitalousasiantuntija

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Laki digitaalisten palvelujen tarjoamisesta

Suomi.fi-palvelutietovaranto

Julkisen ja yksityisen sektorin yhteistyö kyberturvallisuudessa. Johtaja Kirsi Karlamaa

Tietoturvapolitiikka Porvoon Kaupunki

Tammikuu 2019 #KYBERSÄÄ

Tietoturvavinkkejä pilvitallennuspalveluiden

Varmaa ja vaivatonta viestintää

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

Kybersää. Syyskuu

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE. TAISTO19-harjoitus VÄESTÖREKISTERIKESKUS

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

TIETOTURVAKATSAUS 1/

Digituki-pilotti Oulussa Alakko nää digiä keskustelu digitalisoituvasta Oulusta,

Luottamusta lisäämässä. Toimintasuunnitelma

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Mobiililaitteiden tietoturva

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Kansallinen CIP-seminaari. Jani Arnell Vanhempi tietoturva-asiantuntija CERT-FI

Kyberturvallisuus kiinteistöautomaatiossa

Janne Viskari, Väestörekisterikeskus

Tietoturvapolitiikka

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen Valtiovarainministeriö

Ohje tietoturvaloukkaustilanteisiin varautumisesta

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Transkriptio:

Digiturvallisuus 12.9.2019 klo 12-12.45 tila A 3.6 Tietoturva tiedonhallintalaissa, johtava asiantuntija Kirsi Janhunen, väestörekisterikeskus Tietoturvaloukkaukset ja niistä ilmoittaminen, tilannekuva- ja yhteistyöverkostot -ryhmän päällikkö Jarna Hartikainen, Kyberturvallisuuskeskus

Tietoturva tiedonhallintalaissa Kirsi Janhunen, VRK Kuntamarkkinat 12.9.2019

Sisältö Tiedonhallintalaki pähkinänkuoressa Täytäntöönpanon tuki Mitä ovat tietoturvasäännösten toimeenpanon suositukset? Muutamia käytännön vinkkejä toteuttajille

Tiedonhallintalaki pähkinänkuoressa Laki julkisen hallinnon tiedonhallinnasta (906/2019) https://www.finlex.fi/fi/laki/alkup/2019/20190906 Laissa säädetään julkisuusperiaatteen ja hyvän hallinnon vaatimusten toteuttamisesta viranomaisten tiedonhallinnassa. Laissa säädetään myös tietojärjestelmien yhteentoimivuuden toteuttamisesta. Laki sisältää koko julkista hallintoa koskevat säännökset tiedonhallinnan järjestämisestä ja kuvaamisesta, tietovarantojen yhteentoimivuudesta, teknisten rajapintojen ja katseluyhteyksien toteuttamisesta sekä tietoturvallisuuden toteuttamisesta. Lakia tarkennetaan asetuksilla, jotka koskevat turvallisuusluokiteltavia asiakirjoja, tiedonhallintalautakunnan toimintaa sekä valtion viranomaisia koskevaa tiedonhallinnan muutosten lausuntomenettelyä. Laki astuu voimaan 1.1.2020

5 Lähde: VM

Täytäntöönpanon tuki Tiedonhallintalain täytäntöönpanoa johtaa valtiovarainministeriö. Vuodenvaihteen jälkeen tiedonhallintalautakunnalla tulee olemaan keskeinen rooli täytäntöönpanon varmistamisessa. Yksittäisen kunnan kannalta täytäntöönpanoa tukeva informaatio on keskeistä Erilaisten verkostojen merkitys kasvaa. Kunnan oma aktiivisuus on tärkeää. Tietoturvan osalta kannattaa seurata VRK:n JUDO-hanketta ja VM:n tiedonhallintalain tietoturvallisuuden alatyöryhmää

Tietoa ja tukea toimeenpanoon JUDO-hanke toimeenpanee valtiovarainministeriö digitaalisen turvallisuuden kehittämisohjelmaa 2018-2021 www.vrk.fi/judo JUDO-työpajojen tilaisuudet on katsottavissa tallenteilta http://www.mediaserver.fi/live/judo Digiturvapalveluiden postituslista https://response.questback.com/vestrekisterikeskus/digiturva Twitterissä #digiturva digiturva@vrk.fi Tiedonhallintalain täytäntöönpanosta viestitään VM:n verkkosivuilla: http://vm.fi/tiedonhallintalain-taytantoonpano Twitterissä #tiedonhallintalaki

1 Tietoturvasäännösten toimeenpanon suositukset Tiedonhallintalain tietoturvasäännökset kuvaavat keskeiset vaatimukset tietoturvallisuudelle. Laissa toimenpiteet on kuvattu sellaiselle tasolle, että tiedonhallintayksikkö voi suunnitella varsinaisen toteutuksen tarkoituksenmukaisesti. Organisaatiot tarvitsevat kuitenkin tukea toimeenpanoon. Suositusten valmistelu on käynnistetty etupainotteisesti osana valtiovarainministeriön digitaalisen turvallisuuden kehittämisohjelmaa. (JUDO-hanke)

9 Suositusten valmistelu Tiedonhallintalain 4 luvun säännöksiä avaavia soveltamiskortteja on valmisteltu julkisen hallinnon digitaalisen turvallisuuden toimeenpanohankkeen (JUDO) koordinoimana. Työhön on osallistunut erityisesti VAHTI:n asiantuntijajaokset. Myös tiedonhallintalain nojalla annettavan turvallisuusluokitusta käsittelevän asetuksen tueksi laaditaan soveltamiskortteja. Työhön osallistuvat erityisesti turvallisuusviranomaiset.

10 Suositusten käsittely Suositukset luovutetaan valmistumisjärjestyksessä VM:n Tietoturvallisuus -alatyöryhmälle jatkokäsittelyyn. Suositustyön organisointi tarkentuu osana tiedonhallintalautakunnan tehtävien toteuttamista viimeistään tiedonhallintalautakunnan aloitettua toimintansa. Luonnosten valmisteluun voi osallistua kommentoimalla soveltamiskortteja. Lisätietoja digiturva@vrk.fi

11 Syksyn 2019 aikana valmistuvat suositukset ja 13.2 riskienhallinta liitemateriaalit 17 lokitietojen kerääminen, 15.1, 2 kohta: vahingoilta suojaaminen 13.1 elinkaaren huomioiminen tietojärjestelmissä, tietojenkäsittelyssä 13.4 tietoturvallisuus hankinnoissa Turvallisuusluokitteluasetus Tarkentuu kun työryhmä käynnistää toiminnan

13.9.2019 12 Miten ottaa tiedonhallintalain tietoturvaa haltuun? Yhdessä opittua

1. Tutustu tiedonhallintalakiin Lue laki läpi. Tutustu tarvittaessa lain perustelumuistioon. https://www.finlex.fi/fi/laki/alkup/2019/20190906 Tutustu koulutusmateriaaleihin ja aiemmin kerrottuihin lähteisiin Verkostoidu muiden kanssa Osallistu aihetta käsitteleviin seminaareihin ym.

2. Paloittele lain vaatimukset 13.1 Elinkaari 13.2 Riskienhallinta

13.9.2019 15 3. Listaa laissa olevat vaatimukset ja tee karkea soveltamissuunnitelma Vaatimus Vaatimuksen tila Toteutustapa Vastuu 13.1 Elinkaari 13.2 Riskienhallint a 13.3 13.4

13.9.2019 16 4. Listaa laissa olevat vaatimukset ja tee karkea soveltamissuunnitelma Vaatimus 13.1 Elinkaari 13.2 Riskienhallint a 13.3 13.4 Vaatimuksen tila Toteutustapa Vastuu Arvioi työmäärä. Mitä luontevammin tehtävät sisältyvät organisaation toimintaan, sen parempi. Projektoi tarvittaessa. Projektointi voi auttaa laajempien kehityskohteiden resursoinnissa ja budjetoinnissa. Huomioi työssä, että dokumentit usein vanhentuvat pian. Panosta ennemmin toimiviin ratkaisuihin kuin dokumentaation tuottamiseen. Huolehdi siitä, että organisaation johto saa tarvittavasti tietoa. Sitouta, motivoi, innosta.

13.9.2019 17 5. Dokumentoi järkevästi Panosta ennemmin laatuun kuin määrään Huolehdi siitä, että dokumentaatiota on mahdollista pitää kohtuullisella työllä ajan tasalla Monet tietoturvapäälliköt tukeutuvat tietoturvakäsikirjaan. Käsikirjassa kuvataan keskeisimmät tietoturvakäytänteet. Käsikirjan pohjalta voidaan tehdä vaatimustenmukaisuutta kuvaavia listauksia. (Seuraa vinkkejä JUDO-hankkeessa)

Lopuksi Hyödynnä organisaatiossa tehtyä työtä Tee yhteistyötä muiden kanssa Hyödynnä hyviä käytänteitä Kannusta hyvään turvallisuuskulttuuriin

Kiitos mielenkiinnosta! Lisätietoja: digiturva@vrk.fi

Ilmoita tietoturvaloukkausesta! Kuntapäivät 12.9.2019 Jarna Hartikainen @JarnaHnen Tilannekuva-yksikön päällikkö [Esityksen nimi] 13.9.2019 20

Osaava edelläkävijä maailman toimivin ja turvallisin yhteiskunta Kestävä ympäristö Kestävä ympäristö Vaikuttava Vaikuttava asiakasasiakaskokemus kokemus Parhaat yhteydet Parhaat yhteydet Huolehdimme elintärkeästä ympäristöstämme, annamme mahdollisuuden innovatiivisille palveluille sekä varmistamme toimivat ja turvalliset yhteydet. Toimintamme perustuu luottamukseen ja vuorovaikutukseen. Olemme arvostettuja asiantuntijoita ja pidämme huolta hyvinvoinnista.

Kyberturvallisuuskeskus Kansallinen tietoturvaviranomainen, jonka tehtävinä mm. Kerätä tietoa tietoturvaloukkauksista ja niiden uhkista Tiedottaa tietoturva-asioista sekä viestintäverkkojen ja viestintäpalvelujen toimivuudesta; Selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia. Teleyritysten tietoturvallisuuden ja varautumisen valvonta ja ohjaus Järjestelmien ja verkkojen tarkastus ja hyväksyntä Sähköisen viestinnän yksityisyydensuojaan liittyvien velvoitteiden valvominen

Koordinointi ja avunanto tietoturvaloukkauksissa Tarjoamme tarvittaessa luottamuksellista apua tietoturvaloukkauksen selvittämiseksi sekä koordinoimme tarvittavia toimenpiteitä. Toimenpiteet voivat pitää sisällään muun muassa: Tiedon jakamista Yhteistyökumppanien ja -verkostojen kontaktointia Teknistä analyysiä Lainopillista neuvontaa Kyberturvallisuuskeskuksen yleisesittely 13.9.2019 23

Kybersää 14.8.2019 24

Kybersää 2018 Havaintopiikki: Tilausansoja tekstiviestein Meltdown- ja Spectre- hyökkäykset nousivat esiin Tykkylumi häiritsi verkkojen toimintaa Kainuussa Tapaus Cambridge Analytica Office 365 -sähköpostitilejä varastetaan Runsaasti kotireitittimien haittaohjelmatartuntoja VPNFilter-haittaohjelma levisi pienyritysreitittimiin ja verkkotallennuslaitteisiin maailmalla Hide and seek -haittaohjelma leviää IoT-laitteisiin VPNFilter- yhdistetty bottiverkko APT28-ryhmään Office 365 -tunnuksia kalastellaan aktiivisesti Pornokiristyskampanja: Tiedän salasanasi! ukellovalmisjärjestelmistä uotoja Urheil tajie tietov Office 365 -tunnuksia kalastellaan aktiivisesti, nyt myös väärennetyillä turvaposti-ilmoituksilla OmaVeron nimissä kalastellaan maksukorttitietoja suomi.fi taas hyökkäyksen kohteena Vuoden 2018 suurin palvelunestohyökkäys Suomessa, volyymi 90 Gbit/s Noin 50 miljoonan käyttäjätiedon vuoto Facebookista Office 365 -tunnuksia kalastellaan aktiivisesti Marriot-tietomurto Yandex-sovellus vuotaa tietoja viranomaisten kotireitittimien stö Saksan (BSI) tietotur vallisuuskriteeri Magecart-hyökkäys Neweggverkkokauppaan Satori- epäilty bottiverkon tekijäksi pidätettiin Memcached, historian voimakkain hyökkäys (1,7 Tbit/s) Poikkeuksellisen paljon palvelunestohyökkäyksiä Suomessa WannaMine tarttui useiden organisaatioiden palvelimiin Päijät-Hämeessä iä olympialaisten elmiin Hyökkäyks tietojärjest = Kansainvälinen uutisnosto Suomalaisten selväkielisiä salasanoja paljastunut liiketoimintasuunnitelma.com - sivustolta Kaapattuja O365-sähköpostitilejä käytetään aktiivisesti huijauksiin inen poliisisulki webstresser. orgpalvelun verkosta Kansainväl operaatio Office 365 -tunnuksia kalastellaan aktiivisesti IoT-laitteisiin tarttuvien louhintahaittaohjelmien esiinmarssi Magecart-hyökkäys Ticketmasterverkkokauppaan Office 365 -tunnuksia kalastellaan ja kaapattuja tilejä käytetään edelleen huijauksiin Suomi.fi-verkkopalveluun palvelunestohyökkäys Magecart-hyökkäys British Airwaysin verkkokauppaan Haavoittuvuuksia faksien laiteohjelmistoissa, myös 3Dtulostimia suojaamattomina verkossa Ruotsin parlamenttiyritetään kyber- SÄPO: vaaleihin vaikuttaa Office 365 -tunnuksia kalastellaan aktiivisesti Pornokirityshuijauksesta suomenkielinen versio Kovter- ja Emotethaittaohjelmahavainnot lisääntyvät Port Smash -haavoittuvuus julki Löydetty haavoittuvuuksia SSD-kiintoleivyistä Office 365 -tunnuksia kalastellaan aktiivisesti ntää vakoiltu en ajan enkalastelua svaltain syyttäjä: 0-ryhmän vakoilu ui myös Suomeen Eu:n diplomaattiviesti vuosi tietoj Yhdy APT1 ulott

Kybersää heinäkuu 2019 Verkkojen toimivuus Kolme merkittävää toimivuushäiriötä, mikä on keskimääräistä vähemmän Paikannusjärjestelmä Galileo ei toiminut viikkoon Palvelunestohyökkäyksien vaikutukset onnistutaan torjumaan aiempaa paremmin. Vakoilu Pohjois-Korean väitetään anastaneen yhteensä 2 miljardia US dollaria kyberhyökkäyksin ydinaseohjelman rahoittamiseksi Kiinalaisryhmittymä Winnti on vakoillut vuosien ajan useita saksalaisia korkean teknologian yrityksiä Haittaohjelmat ja haavoittuvuudet Applen imessage-sovelluksessa useita vakavia haavoituvuuksia. VxWorks-käyttöjärjestelmästä löydetty useita vakavia haavoittuvuuksia, jotka vaikuttavat kriittisiin sovelluksiin BlueKeep-haavoittuvuus voi johtaa haittaohjelmaepidemiaan. Tietomurrot ja -vuodot Kokemäen kaupungin järjestelmiin kohdistui tietomurto ja kiristyshaittaohjelma. Tietomurto Capital One pankkiin. Tietomurtojen kohteeksi joutuneet organisaatiot määrättiin maksamaan satoja miljoonia euroja uhreille. Huijaukset ja kalastelut Lomakausi sijaisuuksineen on näkynyt jälleen lisääntyneinä toimitusjohtajahuijauksina. O365-aiheinen kalastelu jatkuu edelleen runsaana ja johtaa onnistuneisiin tietomurtoihin. IoT ja automaatio Sääntelyyn herätty Euroopan tasolla IoT-laitteiden hyväksikäyttö kohdentuu organisaatioihin, hyödyntäen organisaatioiden kasvaa varjo-it:tä. 14.8.2019 26

Tietomurrot osana rikollisten rahantekoa Pori Lahti Koke mäki Kohteiden löytäminen Kohteen murtaminen Verkon valtaaminen Pääsyn varmistaminen Rahastus 13.9.2019 27

Kyberhyökkäys vaarantaa kuntapalvelut Lahti - kaupungin koko tietoverkko - vaikutukset Terveyden- ja sosiaalihuollon pääsy potilas- ja ajanvaraustietoon Laajat vaikutukset kriittisiin palveluihin onnistuttiin estämään Korjauskustannukset elokuussa 690 000 Kokemäki - kaupungin hallinnon tietoverkko - vaikutukset Tietoverkon käyttökelvottomuus esti kunnan päätöksenteon <10 Sosiaalihuollon käyttämät sähköiset palvelut pois käytöstä Kaupungin maksuliikenne pois käytöstä Kokemäki ~500 ~1000 Pori Pori - koulujen tietoverkko - vaikutukset Käyttäjätilien kautta pääsy oppilaiden tietoihin ja tiedostoihin Laajentumisen riski kriittisempiin verkkopalveluihin, identiteettivarkaudet Lahti Lahti 6/2019 -> Kokemäki 7/2019 Kesäkuu Heinäkuu Pori 8/2019 Elokuu 28

Yhteenvetoa ja analyysiä Kokonaiskuva Kuntien kyberturvallisuuden tilanteesta ei ole kokonaiskuvaa, koska ilmoitusvelvollisuutta poikkeamista ei ole. Ympäristö - Porin etuna, että kohteena pieni ja erillinen ympäristö, jolloin mahdollisuus tehdä torjuntatoimet rauhassa oikein. Valvonta - Lahdessa ja Porissa tietoturvan tekninen valvonta onnistui. Eriytys - Kokemäellä ja Porissa eri verkot oli eristetty hyvin toisistaan. Se rajoitti automaattisesti vahinkojen suuruutta ja helpotti palautumista. 13.9.2019 29

Pintaraapaisu Manner-Suomen kuntien tilanteeseen 10/10 isoimman kunnan julkisesta palvelupintaalasta sisältää ongelmia 9/10 pienimmän kunnan julkisesta palvelupintaalasta sisältää ongelmia Esimerkkejä aukoista: Palomuurin hallinta Tietokanta Intranet Vanhentuneet käyttöjärjestelmät ja ohjelmistot Vanhentuneet palvelimet jne. 13.9.2019 30

Tärkeimmät opit Tiedä mitä omistat ja mistä olet vastuussa. Olet vastuussa myös ulkoistamiesi palveluiden toiminnasta. Ymmärrä vastuittesi ja järjestelmien väliset riippuvuudet Laadi jatkuvuus- ja palautussuunnitelmat kunnan eri tehtäville ja harjoittele niitä käytännössä. Investoi aktiiviseen tietoturvatyöhön. Ilmoita tietoturvaloukkauksista Kyberturvallisuuskeskukselle. 13.9.2019 31

Palvelumme Tietoturvapalvelumme ovat pääsääntöisesti maksuttomia ja kuuluvat kaikille. Lisätietoa palveluistamme osoitteesta ja tietoturvaloukkausilmoituksen tekeminen: www.kyberturvallisuuskeskus.fi sähköpostitse cert@traficom.fi Kyberturvallisuuskeskuksen palvelut 13.9.2019 32

Kiitos! jarna.hartikainen@traficom.fi @JarnaHnen

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute