Digiturvakiertue - Tervetuloa
#Trust Luottamus is the base of kyberturvallisen a cyber secure yhteiskunnan society perustana
#JUDOhanke #Digiturvakiertue #ECSM
Vuorovaikutus 418 078
9.05 9.30 Mitä digiturvallisuus tarkoittaa? Miksi digiturvallisuus on 2020-luvulla entistä tärkeämpää ja mitä se mahdollistaa organisaatiolleni ja minulle? Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus @kimmorousku + liittykää LinkedInverkostooni
Mikä meidän tilanne on? Suomi valtiona. Hämmästyitkö yhtä paljon kuin itse?
DESI 2019 tulokset
Alueellinen DESI 1) Uusimaa 76 2) Varsinais-Suomi ja Ahvenanmaa 61 3) Kanta-Häme ja Päijät-Häme 59 4) Pirkanmaa ja Satakunta 67 5) Kymenlaakso, Etelä-Karjala ja Etelä-Savo 51 6) Pohjois-Savo ja Pohjois- Karjala 54 7) Keski-Suomi 60 8) Etelä-Pohjanmaa, Pohjanmaa ja Keski-Pohjanmaa 50 9) Pohjois-Pohjanmaa, Kainuu ja Lappi 61 Statistics Finland 2019
Me emme ole hyviä, vaan *erittäin* hyviä
MTK ATK ICT => digitaalinen disruptio 2030-luku nano ja kvantti aikakausi? #luottamus
Digitaalinen turvallisuus mahdollistaa #luottamus 1. Riskien hallinta 2. Toiminnan jatkuvuus ja varautuminen 3. Tietoturvallisuus (L-E-S-malli) 4. Kyberturvallisuus 5. Tietosuoja (GDPR)
Laaja-alaisuus siksi #digiturva
Miksi #Digiturva on tärkeää? Organisaatio? Kansalaisten, asiakkaiden, henkilöstön ja sidosryhmien luottamuksen säilyttäminen Strategisten tavoitteiden saavuttamisen ja normaalin toiminnan mahdollistaminen Jatkossa tiedon saaminen uusi teknologia esmes #AI edellyttää tietoa Sinulle Työtehtäviä hoitaessasi toimit varmasti turvallisesti ja sinun kauttasi #luottamus ei heikenny Vapaa-ajalla Me kaikki käytämme kasvavassa määrin kotona ja vapaa-ajalla digipalveluita, kukaan ei varmaan halua vaarantaa omia tietoja, omaisuutta tai muuta itseensä, perheeseen, sukulaisiin liittyviä asioita ainakaan tietoisesti?
Nyt pitää herätä!
Globaali ilmiö
Olemme tätä jo ennustaneet Onnistuneiden hyökkäysten, loukkausten ja ICT-häiriöiden määrä kasvaa: Globaali verkkorikollisuus kasvaa, koska se on helppoa ja kehittyvät markkinat houkuttelevat > ei meille erikseen niinkään hyökätä, paitsi APT Otamme käyttöön digitalisaatiota entistä laajemmin > kyberhyökkäyspinta-ala kasvaa (Uusi) ICT-teknologia ei välttämättä toimi, siten kuten luulemme > aikanaan 20- luvulla uusin teknologia AI, robotit tuo vielä ihan uudenlaisia haasteita Me kaikki teemme inhimillisiä erehdyksiä ja virheitä Millainen tilanne on ensi kesänä? Henkilökohtaisesti veikkaan, että siihen mennessä Suomesta on löytynyt >20 tämän kesän kaltaista tapausta julkisessa hallinnossa, jotka ylittävät uutiskynnyksen
Digiturva mahdollistaa Laaja-alaisen digitalisaatioon liittyvien osa-alueiden turvallisuuden kehittämisen ja hallinnan Ja sen joustavan, elastisen kehittämisen tarvittavan painoalueen mukaan Luottamuksen säilyttämisen Ei pelkästään kansallisesti, vaan myös *kansainvälisesti* Uuden teknologian turvallisen käyttöönottamisen vaikka vauhti on kova, turvallisuudesta ei saa tinkiä Olemassa olevien palveluiden, organisaation toiminnan jatkuvuuden Organisaation tulee huolehtia myös jo olemassa olevan toiminnan turvaamisesta
9.30 10.00 JUDO-hankkeen esittely Kimmo Rousku Erja Kinnunen Juha Kirves Hanna Heikkinen sekä Laura Penttilä
Mikä JUDO? Valtiovarainministeriö julkaisi 2018 Julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelman (JUDO) VRK käynnisti tammikuussa 2019 julkisen hallinnon organisaatioita digiturvallisuuden kehittämiseksi JUDOhankkeen vuosille 2019-2021 Digitaalinen turvallisuus käsittää viisi osa-aluetta: 1. riskienhallinta 2. toiminnan jatkuvuus ja varautuminen 3. tietoturvallisuus 4. kyberturvallisuus 5. tietosuoja
JUDO-hanke sisältää viisi projektia: Kimmo Rousku Erja Kinnunen (oto) Juha Kirves PROJEKTI 1 Digitaalisen turvallisuuden johtamisen ja riskienhallinnan kehittäminen PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen PROJEKTI 3 Digitaalisen turvallisuuden koulutusjärjestelmä ja digiturvasovellus PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Erja Kinnunen Hanna Heikkinen
Projekti 1 Digitaalisen turvallisuuden käsikirja, opastus ja harjoitus 7 työpajaa toteutettu, erityisesti 21.8 järjestetyssä työpajassa pidetty Case Lahti on saanut paljon positiivista palautetta sekä 2.9 työpajassa pidetty kriisiviestintää ja tiedottamista koskeva esitys 2 työpajaa loppuvuoden aikana: 13.11, 19.11 TAISTO19-harjoitus on käynnistymässä! PROJEKTI 1 Digitaalisen turvallisuuden johtamisen ja riskienhallinnan kehittäminen
Seitsemän työpajaa pidetty Jokaisesta löytyy: Tallenne Esitysmateriaalit Tehtävät Painopiste ollut: Riskienhallinta Toiminnan jatkuvuus ja varautuminen Tietosuoja valittuja erityisaiheita 13.11 Tietoturvallisuus tiedonhallintalain toimeenpanon tukea 20.11 Tietosuoja-työpaja
JUDO-yhteishanke vuonna 2020 Tulemme uudistamaan työpajatoimintaa vuoden 2020 osalta Jatkossa pidämme erikseen noin 2,5 h JUDO-studiotilaisuuksia, pääpaino on tiedonhallintalain tietoturvallisuuden toimeenpano Kerromme parhaita käytäntöjä siihen, miten organisaatiot kehittävät toimintaa ja täyttävät uudet vaatimukset Näitä täydentävät työpajat, joissa kädet savessa kehitetään toimintaa *yhdessä* Tulemme kiertämään eri puolilla Suomea fasilitoimassa työpajoja, jotka toteutetaan A) paikkakunnan yhteisenä työpajatilaisuutena (striimaamme työpajan) B) organisaation omana, sisäisenä työpajana Oleellista, että saamme työpajoissa konkreettisesti edistettyä kyseistä osa-aluetta
TAISTO19-harjoitus - marraskuu Harjoituksessa keskitytään erilaisten häiriö- ja poikkeamatilanteiden aiheuttamien ongelmien ratkaisemiseen Organisaatiolla tulisi olla ohjeet ja prosessit harjoiteltuna, kuinka tällöin toimitaan Miten tilannetta johdetaan Kenen tulee osallistua Konkreettiset toimenpiteet Mistä saadaan tarvittaessa apua Miten ja kenelle viestitään Lähes poikkeuksetta näissä tilanteissa syntyy myös henkilötietojen tietoturvaloukkaus, toimintamallit pitää olla kuvattuna Harjoitukseen on mallinnettu ja hyödynnetty keskeisiä Suomessa julkiseen hallintoon v. 2018-2019 kohdistuneita, toteutuneita hyökkäyksiä
TAISTO19-harjoitus - marraskuu Harjoitukseen on ilmoittautunut jo >220 organisaatiota, mukana myös huoltovarmuuskriittisiä toimijoita, kuntia tulee olemaan enemmän kuin vuonna 2018 Ilmoittautukaa lokakuun loppuun mennessä, 1. syöte tulee 10.10.2019, mutta harjoitus on marraskuussa ilmoittautuminen https://vrk.fi/taisto19
TAISTO19-harjoitus - marraskuu 10.10.2019 Ensimmäinen syöte 17.10.2019 Toinen syöte *** rauhoitusaika valmistautua *** 7.11.2019 Ensimmäinen harjoitusryhmä itse harjoituspäivä 19.11.2019 Toinen harjoitusryhmä itse harjoituspäivä 26.11.2019 Kolmas harjoitusryhmä itse harjoituspäivä 15.1.2020 TAISTO19-harjoituksen palauteseminaari
SAVE THE DATE 10.12.2019 Järjestämme 22. VAHTI-päivän Ohjelma ja ilmoittautuminen käynnistyy lokakuun puolivälin jälkeen.
Projekti 2 Rakenne ja mallit tietoturvanormien käytännön soveltamisohjeille Tukee Tiedonhallintalain tietoturvallisuuden toimeenpanoa Tiedonhallintalain luvun 4 säännöksistä on laadittu 18 soveltamiskorttiluonnosta. VM:n tiedonhallintalain toimeenpanon tietoturvallisuuden alaryhmä katselmoi kortit. Sisältöä kehitetään vielä. Osa korteista tulossa julkiselle lausuntokierrokselle syksyn aikana. Tiedonhallintalautakunta hyväksyy sisällön ja julkaisee kortit. PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen Aikataulu avoin, kaikki kortit eivät ole valmiita vuoden vaihteessa.
12 Luotettavuuden varmistaminen 13 1 mom Elinkaaren huomioiminen tietojärjestelmissä 13 1 mom Elinkaaren huomioiminen tietojen käsittelyssä 13 2 mom Riskienhallinta 13 2 mom Vikasietoisuus ja toiminnallinen käytettävyys 13 3 mom Tietorakenteet 13 4 mom Tietoturvallisuus hankinnoissa 14 1 mom Tietojen siirtäminen tietoverkoissa 14 2 mom Vastaanottajan tunnistaminen 15 1 mom 1 kohta Muuttumattomuus 15 1 mom 2 kohta Vahingoilta suojaaminen 15 1 mom 3 kohta Alkuperäisyyden, ajantasaisuuden ja virheettömyyden varmistaminen 15 1 mom 4 kohta Saatavuuden ja käyttökelpoisuuden varmistaminen 15 1 mom 6 kohta Arkistointi 15 2 mom Toimitilaturvallisuus 16 Käyttöoikeuksien hallinta 17 Lokitietojen kerääminen 18 Turvallisuusluokiteltavat asiakirjat Rakenne ja mallit tietoturvanormien käytännön soveltamisohjeille PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen
Soveltamiskortin perusrakenne Säännösteksti Perusteluteksti Viittaus muihin aiheeseen välittömästi liittyviin normeihin Suositusosa Kuvaa hyvää käytännettä säännöksen toimeenpanemiseksi. Tukimateriaalit
Rakenne ja mallit tietoturvanormien käytännön soveltamisohjeille Lisäksi Valtionhallintoa koskevan Turvallisuusluokitusasetuksen lausuntojen käsittely on käynnissä Asetuksen korttityö on käynnistämässä. Kortteja laatimaan on kutsuttu pääosin turvallisuusviranomaisista koostuva valmisteluryhmä. Korttien lukumäärä ja sisältö varmistuu kun asetusteksti tarkentuu. Suositusmallia kokeillaan laajemmin muidenkin normien toimeenpanosuosituksiin (mm. Digipalvelulaki 2 luku) PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen
Digiturvatietoisuuden parantaminen Projekti 3 Organisaatioille työkaluja digiturvaasenteen ja -kulttuurin luomiseen Työkaluja julkisen hallinnon organisaatioille lainsäädännön koulutusvaatimusten täyttämiseen PROJEKTI 3 Digiturvallinen elämä - oppimisympäristö ja peli Digiturvallinen elämä(2020-2021) Digiturvallinen työelämä (2019-2020) Lapset Nuoret Johto, asiantuntijat ja henkilöstö Ikääntyvät Omaiset Digituen saajat
Digiturvallinen työelämä (2019-2020) Henkilöstö Asiantuntijat (Projekti 2) Johto (Projekti 1) Työpaikalla Etätyössä Työmatkalla Vapaa-ajalla
Projekti 3 Koulutusympäristö ja digiturvasovellus, koulutussisältöjä Oppimisympäristö: Ensimmäinen Digiturvallinen työelämä koulutus henkilöstölle on avoinna eoppiva-palvelussa - https://www.eoppiva.fi/koulutukset/digiturvallinen-tyoelama Luodaan oppimisalusta HAUS:n kanssa, joka mahdollistaa koulutuksen avaamisen koko julkiseen hallintoon, liike-elämälle ja kansalaisille! Uusien koulutusten tuotanto on käynnistetty, seuraavana tulossa syventävä koulutus henkilöstölle; miten toimit työpaikalla, etätöissä, matkustaessa, SOMEssa jne. PROJEKTI 3 Digitaalisen turvallisuuden koulutusjärjestelmä ja digiturvasovellus
Projekti 3 Koulutusympäristö ja digiturvasovellus, koulutussisältöjä Peli Digiturvallinen elämä pelin kilpailutus on päättynyt, kovatasoisia kilpailutöitä saapui 13. Voittaja valittiin tuomariston äänestyksen perusteella 20.9.2019. ja julkistetaan lähipäivinä! Peli julkaistaan vuoden 2020 kevään aikana. PROJEKTI 3 Digitaalisen turvallisuuden koulutusjärjestelmä ja digiturvasovellus
Tietosuojan ABC https://www.eoppiva.fi/koulutukset/tietosuojan-abc-julkishallinnon-henkilostolle/ Yli 10 000 suoritusta! Digiturvallinen elämä on nyt eilisestä 8.10 alkaen ja Tietosuojan ABC -koulutus tulossa koko julkishallinnon ja kansalaisten käyttöön veloituksetta!
Projekti 4 PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen Digitaalisen turvallisuuden kokonaiskuva Ennen kaikkea hallinnollista tilannetietoa, mm. VAHTIn tekemien kyselyiden sähköistäminen Ei teknisiä haavoittuvuuksia tai poikkeamia Ei päällekkäistä tietoa muiden organisaatioiden kanssa Kokonaisuudet Vaatimustenmukaisuus (esim. Tiedonhallintalaki) Hallinnollisen digiturvallisuuden taso Osaaminen ja koulutus Resurssitilanne Digitaalisen turvallisuuden kokonaiskuvan raportointijärjestelmä
Mitä hyötyä? PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen Organisaatio voi seurata oman tilanteensa kehittymistä Organisaatio saa vertailutietoa Koko julkishallinto Oma viiteryhmä; kunnat ja kuntayhtymät, valtio, sairaanhoitopiirit, yliopistot Järjestelmästä voidaan tuottaa monenlaisia raportteja Organisaatio voi käyttää tietoa johtamisen ja päätöksenteon tukena Digitaalisen turvallisuuden kokonaiskuvan raportointijärjestelmä
Pilotti PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen Pilotointi käynnistyy marraskuussa Vain osa kyselyistä Vain osa organisaatioista Raportointia varten tuotetaan malliraportit ja testataan räätälöintimahdollisuutta Helppokäyttöisyys ja käyttäjäystävällisyys tavoitteena Pilotin sisällön määrittely käynnissä Pilottiorganisaatioita etsitään parhaillaan, tavoitteena saada osallistujia kaikista käyttäjäryhmistä Ilmoittautukaa digiturva@vrk.fi Digitaalisen turvallisuuden kokonaiskuvan raportointijärjestelmä
Aikataulu PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen Vaatimusmäärittely valmistuu lähiaikoina Sitä päivitetään pilotin kokemusten perusteella Kilpailutus keväällä 2020 Tuotantokäyttö vuoden 2020 loppupuolella Jatkokehitys 2020 2021 Lisää kyselyitä ja käyttäjiä Lisää ominaisuuksia käyttäjille, esim. itse räätälöitävät raportit Digitaalisen turvallisuuden kokonaiskuvan raportointijärjestelmä
Arviointikehikko PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen Projekti 2 laatimiin suosituskortteja varten laaditaan arviointityökalu Sisältää kysymyksiä ja tarkistuslistoja Ensisijaisesti organisaation suorittamaa itsearviointia varten Tulee osaksi kokonaiskuvapalvelua ja pilottia Työ käynnistynyt, valmis syksyn 2019 aikana Digitaalisen turvallisuuden kokonaiskuvan raportointijärjestelmä
Projekti 5 PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Opas harjoitustoiminnan suunnitteluun Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut Toimintasuunnitelma ja harjoituskalenteri Tukipalvelut
Projekti 5 Opas digitaalisen turvallisuuden harjoitusohjelman ja toiminnan suunnitteluun Opas on tarkoitettu organisaation harjoitustoiminnan suunnitteluun PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut Harjoitustoiminnan strategiset suuntaviivat Harjoitustoiminnan liittäminen organisaation tavoitteisiin Suunnitteluun tarvittavat perustiedot Vuosikello
Projekti 5 Lukijan polku PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut
Projekti 5 Harjoitustoiminnan kysely Selvitetään digitaalisen turvallisuuden ylläpitämiseen ja kehittämiseen tähtäävän harjoitustoiminnan nykytilaa ja kehitystarpeita julkisen hallinnon organisaatioissa. PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut Vastauksia 111kpl
Projekti 5 Mistä vastattu? PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut
Projekti 5 Kuka on vastannut? PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut Johto Asiantuntija Muut
Projekti 5 Velvoittaako (ohjaako) joku lainsäädäntö organisaatiotanne harjoitustoiminnan toteuttamisessa? PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut
Projekti 5 Onko organisaatioonne nimetty asiantuntija, joka vastaa harjoitustoiminnan kehittämisestä ja toteuttamisesta? PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut
Projekti 5 PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen TULOSSA Lausuntopyyntö oppaasta (lokakuu) Oppaan julkaisu 11/2019 Toimintasuunnitelma (2019-2020) Harjoituskalenteri Tavoitteet / suuntaviivat / toimialat / Harjoitustoiminta julkishallinnossa Rahoitusmalli / palveluiden tuottajat / kumppanit Koulutukset ja tilaisuudet Kyselyn analysointi tulokset julkaistaan Harjoitustoiminnan tukipalveluiden kartoitus 2020 Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut
Lopuksi Lisää JUDO-hankkeesta www.vrk.fi/judo Hankkeen syyskuun uutiskirje Ilmoittaudu digiturvapalveluiden postituslistalle Vielä ehtii ilmoittautua TAISTO19-harjoitukseen sekä meidän Digiturvakiertue
10.00 Digiturvallisuuden kokonaiskuva? Miltä digiturvallisuuden kokonaiskuva julkisessa hallinnossa näyttää? Miten organisaation tulisi kehittää omaa digiturvallisuutta? Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus
Digiturvallisuuden kokonaiskuva Globaalit indeksit ITU ja NCSI läpikäyty aikaisemmin ICT-häiriöt / tieto- ja kyberturva / tietosuoja-poikkeamat kriittisissä palveluissa - palvelutuotanto Henkilöstön ja johdon barometri osana JUDOa Digiturvakysely organisaatio
Käytettävät menetelmät
ja mitä tämä kaikki tarkoittaa? Mikä on valtion kyvykkyys lainsäädännön, viranomaisyhteistyön ja muiden kyselyssä kuvattujen hallinnollisten toimenpiteiden osalta? Millaiset puitteet se tarjoaa niin julkiselle hallinnolle kuin yrityksille? Korkea sijoittuminen ei estä yhtään kyberhyökkäystä tapahtumasta Sen sijaan sellainen vaikuttaa siihen, kuinka hyvin yhteiskunta voi selviytyä ja palautua erilaisista (ICT)-häiriöistä ja kyberhyökkäysyrityksiltä yhteistyössä muiden viranomaisten ja elinkeinoelämän kanssa Ne, valtiot, jotka eivät menesty näissä vertailuissa, ovat tietoverkkorikollisille otollisempi hyökkäyskohde Valtiollisen tason ohella tarvitaan kansallista, organisaatiokohtaista mittausta palaan tähän toisessa esityksessäni myöhemmin
riskienhallinta Digiturvakysely vuodelle 2018 1) Johtaminen ja 2) Toiminnan jatkuvuus ja varautuminen 3) Tietoturvallisuus Nro Kunnat ja KY Nro Yliopistot Valtionhallinto Yliopistot Kaikki SHP 17 Riskienarvioinnin tuloksia hyödynnetään johtamisessa ja päätöksenteossa, jäännösriskien käsittely on toimivaa 0,55 0,60 0,53 0,69 0,38 5 Organisaation käytössä ovat digiturvallisuuden eri osa-alueiden toteuttamisessa tarvittavat henkilöstöja talousresurssi 0,57 0,68 0,52 0,69 0,38 4 Organisaation johdolla on digiturvallisuuden eri osa-alueiden osalta riittävä tuntemus (digiturvallisuusmääritys löytyy täyttöohje-sivulta) 0,60 0,65 0,55 0,69 0,50 18 Organisaation ydintoimintojen/prosessien riskit on arvioitu ja käsitelty viimeisen kahden vuoden aikana 0,61 0,70 0,60 0,88 0,25 25 Organisaation koko henkilöstö saa vuosittain koulutusta tieto- ja kyberturvallisuudesta 0,61 0,77 0,62 0,69 0,38 16 Organisaatiossa toteutetaan riskienhallintapolitiikkaan perustuvaa riskienarviointia ja siihen liittyvää raportointia johdolle 0,61 0,67 0,60 0,81 0,38 15 Organisaatiolla on käytössä organisaatiotason riskienhallintapolitiikka (asiakirja jossa on kuvattu riskienhallintaan liittyvät periaatteet), esimerkiksi VM julkaisu 22/2017 tai vastaava http://julkaisut.valtioneuvosto.fi/handle/10024/80013 0,64 0,80 0,60 0,94 0,25 13 Organisaation tietoturvatavoitteet on määritelty ja viety osaksi toiminnan ja tavoitteiden suunnittelua 0,65 0,74 0,60 0,75 0,50 26 Organisaatiossa on tieto- ja kyberturvallisuutta sekä tietosuojaa sisältävä ohjeistus (katselmoidaan vuosittain), joka sisältää ohjeet vähintään toimitilaturvallisuuteen, tietoaineistojen luokitteluun, internetin ja sähköpostin käyttöön, käyttäjätunnusten ja salasanojen hallintaan, käytössä olevien päätelaitteiden turvalliseen käyttöön, ilmoitusten tekemiseen häiriö- ja poikkeamatilanteissa tai tunnistettaessa mahdollisia uhkia tai riskejä, etätyöhön sekä työmatkoja varten 0,65 0,74 0,72 0,75 0,38 9 Digikyberturvallisuudesta raportoidaan organisaation johdolle vähintään kaksi kertaa vuodessa tai vakava poikkeaman sattuessa välittömästi 0,66 0,74 0,63 0,75 0,50 20 Organisaation projekteissa ja hankkeissa tunnistetaan ja hallitaan riskejä koko projektin / hankkeen ajan sovitulla mallilla 0,66 0,67 0,47 0,75 0,75 7 Tiedonkulku organisaation sisällä toimii ja organisaation ylin johto saa digiturvallisuuden osa-alueiden tilasta tarpeeksi tietoa 0,68 0,75 0,64 0,81 0,50 19 Organisaatiossa tehdään vuosittain tieto- ja kyberturvallisuuden riskien arviointia 0,68 0,75 0,49 0,88 0,63 11 Henkilöstö noudattaa tietoturvallisuutta koskevia ohjeita ja mahdollisiin väärinkäytöksiin puututaan 0,69 0,80 0,66 0,69 0,63 8 Organisaatio huomioi tietoturvallisuuden osana arkkitehtuurityötä 0,74 0,75 0,52 0,81 0,88 3 Johto tietää, mistä toimintaa koskevat tietoturvavaatimukset tulevat 0,75 0,81 0,71 0,75 0,75 27 Organisaation sopimuksissa on huomioitu tietoturvallisuus, esimerkiksi siltä edellytettävien vaatimusten osalta? 0,76 0,83 0,63 0,94 0,63 10 Organisaatiossa on tunnistettu sen toimintaan liittyvät suojattavat kohteet 0,77 0,85 0,75 0,75 0,75 6 Organisaation digiturvallisuuden tehtävät on organisoitu ja vastuut on määritelty 0,81 0,81 0,70 1,00 0,75 12 Organisaatiolla on johdon hyväksymä ja vähintään joka toinen vuosi katselmoitu tietoturvapolitiikka tai muu vastaavanlainen asiakirja 0,83 0,77 0,79 1,00 0,75 22 Vakavista tietoturvapoikkeamista ilmoitetaan TrafiComin Kyberturvallisuuskeskukselle välittömästi sellaisen tapahtuessa 0,84 0,95 0,86 0,94 0,63 1 Johto on sitoutunut digiturvallisuuden toteuttamiseen 0,84 0,91 0,78 0,94 0,75 2 Johto on sitoutunut tietosuojan toteuttamiseen 0,86 0,92 0,85 0,94 0,75 24 Tieto- ja kyberturvallisuuspoikkeamista sekä henkilötietojen tietoturvaloukkauksista pidetään kirjaa 0,89 0,86 0,82 0,88 1,00 21 Tieto- ja kyberturvallisuuspoikkeaminen käsittely on organisoitu ja vastuutettu 0,91 0,94 0,81 0,88 1,00 23 Organisaatiolla on kyky arvioida, millaisista tilanteista ilmoitetaan poliisille sellaisen tapahduttua (rikosilmoitus) sekä myös ilmoitus tällöin tehdään 0,92 0,97 0,90 0,94 0,88 14 Organisaatioon on nimetty pää- tai sivutoiminen tietoturvavastaava, jonka työnkuvassa on mainittu tietoturvavastuut 0,93 0,94 0,79 1,00 1,00 Keskiarvo 0,73 0,79 0,67 0,83 0,63 Nro Valtion- Kunnat hallin- ja KY Yli- Kaikki to SHP opistot 0,37 0,58 0,22 0,56 0,13 Valtion- Kunnat hallin- ja KY Kaikki to SHP 9 Organisaation toiminnalle kriittisisten järjestelmien toipumissuunnitelmia on harjoiteltu kahden viime vuoden aikana 0,29 0,21 0,25 0,69 0,00 5 Organisaation jatkuvuussuunnitelm(i)aa on harjoiteltu harjoiteltu kahden viime vuoden aikana 0,35 0,36 0,42 0,63 0,00 9 Organisaation käytössä olevien kriittisten tai muuten tärkeiden tietojärjestelmien tietoturvallisuus on 23 Yhteiskunnan turvallisuusstrategian (2017) uhkamallien mukaisten häiriöiden vaikutus kriittisiin / arvioitu (tehty ulkopuolinen arviointi tai auditointi) viimeisen kahden vuoden aikana tärkeimpiin palveluihin ja tietojen käsittelyyn on tunnistettu ja arvioitu 0,40 0,59 0,44 0,44 0,13 22 Organisaation johto käsittelee vuosittain toiminnan jatkuvuuteen ja varautumiseen liittyviä linjauksia ja 17 Organisaationne sopimuksissa on sovittu turvallisuusselvitysten tekemisestä palveluntoimittajien periaatteita sekä toteutumista ja koordinaatiota 0,43 0,54 0,48 0,69 0,00 henkilöstöstä 20 Jatkuvuuden hallinnan ja varautumisen toteutumista ja tarkoituksenmukaisuutta seurataan ja arvioidaan vähintään joka toinen vuosi 0,43 0,51 0,44 0,63 0,13 16 Organisaatiossa on käytössä sen oman henkilöstön turvallisuusselvitysmenettely (sellaisiin tehtäviin, 7 Organisaation valmiussuunnitelmaa on harjoiteltu kahden viime vuoden aikana 0,48 0,40 0,63 0,75 0,13 joissa käsitellään salassa pidettäviä tietoja) 11 Häiriötilanteiden hallintaa harjoitellaan vähintään joka toinen vuosi (organisaatio tai keskeisten prosessien, palveluiden tasolla) 0,54 0,54 0,50 0,88 0,25 21 Palveluiden / prosessien toiminnan jatkuvuuteen ja varautumiseen liittyvät vastuut on määritetty 11 Organisaatiolla on käytössä vakiomuotoinen turvallisuussopimusmalli, joka otetaan osaksi sitä esimerkiksi palveluiden / prosessien omistajille 0,55 0,64 0,54 0,63 0,38 edellyttäviä sopimuksia 4 Organisaatiolla on yksi tai useampi jatkuvuussuunnitelma, joka on laadittu, päivitetty tai katselmoitu 8 Organisaatiolla on lokipolitiikka tai vastaava asiakirja, jossa määritellään lokien kerääminen, viimeisen kahden vuoden aikana 0,55 0,55 0,57 0,69 0,38 tallentaminen, käsittely ja analysointi 15 Häiriötilanteiden hallinnan ja poikkeusolojen menettelyt on tunnistettu, sen mukaisesti dokumentoitu, 0,39 0,87 0,30 0,00 0,38 25 Organisaatiossa on tietoturvaohjeistus ja -käytännöt ulkomaan matkatyön osalta (esim. ICT-laitteiden suo 0,41 0,75 0,44 0,19 0,25 0,46 0,84 0,40 0,25 0,38 22 Organisaation mobiililaitteiden (älypuhelimet, tabletit) tietoturvapäivitykset toteutetaan sovitun prosessin 0,56 0,73 0,52 0,63 0,38 0,57 0,69 0,28 0,69 0,63 0,59 0,57 0,42 0,88 0,50 24 Ulkopuolisten henkilöiden (esimerkiksi vierailijat) pääsy organisaation tiloihin on rajattu ja ohjeistettu 0,63 0,98 0,55 0,63 0,38 koulutettu ja harjoiteltu 0,56 0,55 0,56 0,75 0,38 5 12 Organisaation sopimuksissa toiminnan jatkuvuus ja varautuminen on huomioitu esimerkiksi palvelutasoja Organisaatiossa on huolehdittu esimerkiksi sopimusten avulla siitä, että se saa tietoonsa sen toimintaan 0,64 0,65 0,59 0,81 0,50 tai muita vaatimuksia asettamalla 0,61 0,65 0,56 0,75 0,50 tai sille tuotettaviin palveluihin liittyvistä uhkista ja riskeistä sekä niissä toteutuneista poikkeamista tai 16 Toiminnan jatkuvuuden ja varautumisen avainroolit ja -henkilöt on tunnistettu ja varajärjestelyt loukkauksista? suunniteltu 0,64 0,75 0,70 0,75 0,38 21 Organisaation mobiililaitteet (älypuhelimet, tabletit) ovat keskitetyn järjestelmänhallinnan piirissä 0,65 0,77 0,64 0,69 0,50 18 2 Organisaation tietoturvaohjeistoa on koulutettu vuoden 2018 aikana sekä uudet työntekijät saavat 0,69 0,83 0,68 0,88 0,38 Kriittisten toimintojen palvelutuotanto on varmistettu ja ydintoiminnoilla on varamenettelyt 0,66 0,70 0,56 0,88 0,50 siihen liittyvän perehdytyksen 6 7 Organisaatiossa on eriytetty esimerkiksi kulkuoikeuksin sellaiset tilat, joissa voidaan käsitellä salassa 0,69 0,90 0,68 0,81 0,38 Organisaatiolla on valmiussuunnitelma, joka voi olla myös osa jatkuvuussuunnittelua ja suunnitelmaa ja pidettävää tietoa se on laadittu, päivitetty tai katselmoitu viimeisen kahden vuoden aikana 0,67 0,69 0,67 0,94 0,38 1 Organisaatiossa on ohjeistus tietoaineistojen luokittelusta (esimerkiksi julkinen / salainen) 0,76 0,85 0,71 0,75 0,75 2 Organisaatio on tunnistanut riippuvuudet sen toiminnan kannalta muihin kriittisiin palveluihin tai toimintoihin 0,67 0,72 0,60 0,75 0,63 14 Toiminnan jatkuvuus ja varautuminen on organisoitu ja vastuutettu osaksi normaalia johtamista, 6 Organisaatiossa on tiedossa, ketkä toimivat sen toimittajina ja yhteistyökumppaneina sekä sovittu 0,77 0,86 0,78 0,81 0,63 toimintaa sekä kumppanuusverkoston hallintaa 0,69 0,70 0,67 0,88 0,50 23 Organisaatiossa on käytössä kuvallinen henkilökortti tai muu vastaava tapa, jolla sen henkilöstö voidaan tu 0,77 0,84 0,51 1,00 0,75 25 17 Poikkeusolojen varalle on tehty ja ylläpidetty henkilövaraukset (VAP) 0,71 0,62 0,76 0,94 0,50 12 Organisaatiolla on voimassa oleva ohjeistus etätyöhön ja etäkäyttöön, joka sisältää myös ohjeet tietoturvalliseen toimintaan 0,77 0,94 0,79 0,88 0,50 Organisaation toiminnalle välttämättömät kumppanit, alihankkijat ja resurssit on tunnistettu 0,71 0,90 0,67 0,75 0,50 3 Organisaatiossa toimii tietoturvallisuuden yhteistyöryhmä 0,78 0,88 0,82 0,94 0,50 19 Kriittisten toimintojen tarvitsemat tiedot on turvattu häiriötilanteissa 0,71 0,71 0,62 0,88 0,63 13 10 Tietoturvavaatimuksia arvioidaan tietojärjestelmän vaatimusmäärittelyssä ja ennen niiden 0,79 0,89 0,70 0,81 0,75 Organisaatiolla on tiedossaan sen toimintaan ja palveluihin liittyvä varautumista ohjaava lainsäädäntö, käyttöönottoa määräykset ja ohjeet ja ne otetaan huomioon organisaation varautumisen linjauksissa ja toiminnassa 0,74 0,84 0,75 0,88 0,50 14 Organisaatiolla on henkilöstön tiedossa oleva, johdon hyväksymä käyttöpolitiikka tai muu velvoittava 0,79 0,80 0,79 0,94 0,63 1 Organisaatio on tunnistanut sen omalle tai sidosryhmien toiminnalle kriittiset palvelut sen toiminnalle ohje, jossa linjataan internet-käytön pelisäännöt asetettujen vaatimusten perusteella 0,75 0,80 0,63 0,81 0,75 4 Organisaatiossa on tunnistettu kontaktipisteineen (yhteyshenkilöineen) ne sidosryhmät, joille 0,81 0,89 0,83 1,00 0,50 10 Organisaatiossa on häiriötilanteiden hallintamalli, joka sisältää muun muassa siihen liittyvän organisaatio on vastuussa tietoturvallisuudesta ja velvoitettu esimerkiksi ilmoittamaan 26 häiriötilanneviestinnän ja kriisiviestinnän ohjeistuksen 0,75 0,77 0,67 0,94 0,63 tietoturvapoikkeamista Organisaatio tietää, missä maassa sen omistamia tietoja käsitellään sekä mistä maasta tähän liittyviä 13 Organisaatiolla on henkilöstön tiedossa oleva, johdon hyväksymä käyttöpolitiikka tai muu velvoittava 0,86 0,87 0,82 0,88 0,88 palveluita ja tietoja hallitaan 0,79 0,87 0,71 0,94 0,63 24 Organisaatio kykenee priorisoimaan kriittiset palvelut häiriötilanteissa muiden palveluiden edelle niiden ohje, jossa linjataan sähköpostin käytön pelisäännöt toiminnan varmistamiseksi 0,82 0,86 0,79 0,88 0,75 15 Työntekijöiden tekninen valvonta on käsitelty YT-menettelyn mukaisesti (Laki yksityisyyden suojassa 0,87 0,90 0,58 1,00 1,00 3 Organisaatio on tunnistanut sen roolin osana koko yhteiskunnalle tarjottavia kriittisiä palveluita ja työelämässä 759/2014) prosesseja 0,89 0,87 0,75 0,94 1,00 19 Organisaation tietokoneet (pöytäkoneet, kannettavat tietokoneet, palvelimet) ovat keskitetyn järjestelmä 0,92 0,97 0,90 0,94 0,88 8 20 Organisaation tietokoneiden (pöytäkoneet, kannettavat tietokoneet, palvelimet) tietoturvapäivitykset tote 0,93 0,99 0,93 0,94 0,88 Organisaation toiminnalle kriittisistä järjestelmistä on (palvelun toimittajalla) toipumissuunnitelmat, jotka 18 Organisaatiossa on käytössä ns. turvapostipalvelu salatun sähköpostin lähettämiseksi esimerkiksi ulkoisille 0,95 1,00 0,93 0,88 1,00 on laadittu, päivitetty tai katselmoitu viimeisen kahden vuoden aikana ei pisteytetä ei pisteytetä ei pisteytetä ei pisteytetä Keskiarvo 0,61 0,65 0,60 0,79 0,42 Pisteet 0,70 0,83 0,63 0,75 0,58
5) Tietosuoja Nro Valtion- Kunnat hallin- to SHP opistot ja KY Yli- Kaikki 16 Sen, miten edellä olevat kohdat muuttuvat toiminnaksi, kulttuuriksi ja asenteeksi organisaatiossasi 0,48 0,54 0,55 0,31 0,50 8 Tarvittaessa organisaation suorittamat vaikutustenarvioinnit & ennakkokuulemiset 0,50 0,44 0,33 0,63 0,63 7.5 - sisäisistä tarkastuksista ja auditointien toteuttamisesta 0,55 0,42 0,45 0,56 0,75 7.1 - riskiarviointien tekeminen 0,56 0,53 0,44 0,75 0,50 3 Sen miten tietosuojaperiaatteet (5 art.) toteutuvat organisaatiosi toiminnassa 0,62 0,66 0,64 0,69 0,50 12 Yhteisrekisterinpitäjyyttä koskevat vastuualueet 0,62 0,53 0,53 0,69 0,75 11 Että organisaation sopimushallinta on kunnossa 0,64 0,59 0,58 0,63 0,75 14.1 - toimitilojen tietoturvallisuutta koskevat ohjeet (esimerkiksi henkilöstön ja vieraiden liikkuminen toimitilo 0,65 0,87 0,55 0,81 0,38 7.4 - henkilöstölle ja muille henkilötietojen käsittelijöille 0,66 0,68 0,72 0,75 0,50 2 Että seloste käsittelytoimista (30 art.) on laadittu 0,67 0,70 0,67 0,81 0,50 7 Tarvittavat sisäiset ja ulkoiset ohjeet 0,67 0,61 0,70 0,71 0,68 7.2 - tekniset ja organisatoriset suojaustoimet 0,68 0,63 0,65 0,69 0,75 14.2 - tietoaineistojen käsittelyohjeet sisältäen esimerkiksi ohjeet henkilötietojen ja salassa pidettävien tietojen 0,72 0,70 0,69 0,75 0,75 5 Noudattamasi informointikäytännöt 0,74 0,66 0,74 0,81 0,75 9 Henkilötietojen tietoturvaloukkausten hallintaprosessi (DBN) 0,75 0,70 0,74 0,81 0,75 13 Mahdollinen henkilötietojen 3. maihin tapahtuvat siirrot 0,75 0,70 0,80 0,63 0,88 14 Tarvittavat sisäiset ja ulkoiset ohjeet koskien tietoturvallisuutta, esimerkiksi 0,76 0,79 0,78 0,83 0,63 4 Missä tietojärjestelmissä käsittelette henkilötietoja ja mitä henkilötietoja organisaatiollasi on 0,77 0,76 0,83 0,75 0,75 15 Että olet kouluttanut itsesi ja henkilöstösi tietosuojan ja tietoturvallisuuden osalta 0,78 0,75 0,75 0,88 0,75 1 Milloin organisaatiosi toimii rekisterinpitäjänä ja milloin se toimii henkilötietojen käsittelijänä 0,81 0,85 0,84 0,69 0,88 6 Henkilötietojen käsittelyn oikeusperusteet 0,81 0,84 0,86 0,81 0,75 14.3 - ohjeet tietoturva- tai henkilötietojen käsittelyyn liittyvän poikkeaman ja loukkausten ilmoittamiseksi 0,82 0,79 0,79 0,94 0,75 7.3 - rekisteröityjen oikeuksien toteuttaminen 0,82 0,78 0,83 0,81 0,88 10 Tietosuojavastaavaa koskevat asiat (esimerkiksi nimeäminen, tehtäväkuvaus, vastuut jne) 0,93 0,86 0,93 0,94 1,00 Keskiarvo 0,70 0,68 0,68 0,74 0,69 6) Havainnointi Nro Valtion- Kunnat hallin- to SHP opistot ja KY Yli- Kaikki 3 Käyttämissämme palveluissa on ollut teknisiä (ei tieto- tai kyberturvallisuuteen liittyviä) häiriöitä, jotka ovat jonkin verran haitanneet palveluiden toimintaa ja sitä kautta vaikuttaneet organisaatiomme toimintaan 2,99 2,60 3,37 2,75 3,25 16 Organisaation nimissä on lähetetty huijausviestejä, jossa yritetään urkkia asiakkaiden tietoja, esimerkiksi käyttäjätunnuksia, salasanoja, pankki- tai muihin palveluihin liittyviä tietoja? 3,48 4,33 4,35 3,50 1,75 4 Käyttämissämme palveluissa on ollut teknisiä (ei tieto- tai kyberturvallisuuteen liittyviä) häiriöitä, jotka ovat merkittävästi haitanneet palveluiden toimintaa ja sitä kautta vaikuttaneet organisaatiomme toimintaan 3,81 3,69 4,19 3,38 4,00 2 Kuinka paljon keskimäärin organisaation sen omaan käyttöön muualta hankkimissa palveluissa on ollut tietoturva- tai kyberturvallisuuspoikkeamia / palvelu? 3,88 4,07 4,33 3,38 3,75 1 Kuinka paljon keskimäärin organisaation itse tuottamissa palveluissa on ollut tietoturva- tai kyberturvallisu 3,94 4,39 4,24 3,13 4,00 10 Tietovuoto, jossa organisaation salassa pidettäviä tietoja (mahdollisesti myös henkilötietoja) on esimerkiksi vahingossa päätynyt ulkopuolisille tahoille 4,33 4,73 4,70 3,63 4,25 14 Organisaation työntekijä on luvattomasti (esim. ilman lupaa, liiallisessa laajuudessa tai ilman työperustetta) käsitellyt salassa pidettäviä tietoja tai henkilötietoja sisältävää rekisteriä 4,38 4,77 4,62 3,38 4,75 11 Varkaus, jossa henkilöstön jokin päätelaite (älypuhelin, kannettava tietokone, tabletti, pöytätietokone) on varastettu 4,50 4,69 4,44 4,63 4,25 7 Palvelunestohyökkäys organisaation käytössä olleeseen palveluun, joka on jonkin verran haitannut organisaation toimintaa 4,56 4,40 4,59 4,75 4,50 20 Onko organisaation havaittu olleen sitä varten räätälöidyn kohdistetun tietoturva- tai kyberhyökkäyksen kohteena? 4,56 4,86 4,76 4,88 3,75 17 Toimittaja, alihankkija tai kumppani on toiminut vastoin sovittuja tietoturva- tai tietosuojakäytäntöjä 4,56 4,59 4,67 4,25 4,75 12 Salassa pidettäviä tietoja tai henkilötietoja on käsitelty ohjeiden vastaisesti luvattomilla laitteilla (esim. työntekijän henkilökohtainen päätelaite) tai luvattomissa palveluissa (esim. ns. pilvipalvelu ) 4,63 4,74 4,52 4,75 4,50 13 Julkiseen verkkoon näkyvässä tietojärjestelmässä tai verkossa on ollut kriittinen ja helposti hyödynnettävä tietoturvahaavoittuvuus pitkän aikaa (useasta kuukaudesta vuosiin) ennen sen huomaamista ja korjaamista 4,68 4,81 4,79 4,38 4,75 5 Päätelaitteeseen on päässyt lunnashaittaohjelma, joka on lukinnut päätelaitteen salaamalla tai muuten estämällä sen käytön 4,72 4,93 4,81 4,38 4,75 19 Onko havaittu keinoja vaikuttaa organisaation henkilöstöön tai toimintaan kielteisillä keinoilla ( informaatiovaikuttaminen ), esimerkiksi painostavan tai muuten epämiellyttävän mielipidevaikuttamisen avulla? 4,83 4,70 4,75 4,88 5,00 9 Tietomurto, jossa organisaation salassa pidettäviä tietoja on vuotanut ulkopuolisille taholle 4,83 4,91 4,92 4,50 5,00 18 Organisaation web- tai sosiaalisen median kanavissa on havaittu aktiivisia tai passiivisia botteja, trollitilejä tai vastaavia tai viraston viestintään, medianäkyvyyteen on koetettu muuten vaikuttaa kielteisesti ulkopuolisten tahojen toimesta? 4,86 4,64 4,79 5,00 5,00 8 Palvelunestohyökkäys organisaation käytössä olleeseen palveluun, joka on merkittävästi haitannut organisaation toimintaa 4,88 4,76 4,87 4,88 5,00 6 Palvelimelle on päässyt lunnashaittaohjelma, joka on lukinnut palvelimella olevia tiedostoja 4,89 4,89 4,90 4,75 5,00 15 Organisaation kriittisiä tietoja tai tietoja, jotka olisi tullut lakisääteisesti säilyttää, on korruptoitunut tai tuhoutunut lopullisesti (tietoja ei ole saatu palautettua varmistuksilta) 4,93 4,93 4,92 4,88 5,00 Keskiarvo 4,41 4,52 4,58 4,20 4,35
1) Johtaminen ja riskienhallinta 17 Riskienarvioinnin tuloksia hyödynnetään johtamisessa ja päätöksenteossa, jäännösriskien käsittely on toimivaa 0,55 0,60 0,53 0,69 0,38 5 Organisaation käytössä ovat digiturvallisuuden eri osa-alueiden toteuttamisessa tarvittavat henkilöstöja talousresurssi 0,57 0,68 0,52 0,69 0,38 4 Organisaation johdolla on digiturvallisuuden eri osa-alueiden osalta riittävä tuntemus (digiturvallisuusmääritys löytyy täyttöohje-sivulta) 0,60 0,65 0,55 0,69 0,50 18 Organisaation ydintoimintojen/prosessien riskit on arvioitu ja käsitelty viimeisen kahden vuoden aikana 0,61 0,70 0,60 0,88 0,25 25 Organisaation koko henkilöstö saa vuosittain koulutusta tieto- ja kyberturvallisuudesta 0,61 0,77 0,62 0,69 0,38 16 Organisaatiossa toteutetaan riskienhallintapolitiikkaan perustuvaa riskienarviointia ja siihen liittyvää raportointia johdolle 0,61 0,67 0,60 0,81 0,38 15 Organisaatiolla on käytössä organisaatiotason riskienhallintapolitiikka (asiakirja jossa on kuvattu riskienhallintaan liittyvät periaatteet), esimerkiksi VM julkaisu 22/2017 tai vastaava http://julkaisut.valtioneuvosto.fi/handle/10024/80013 0,64 0,80 0,60 0,94 0,25 13 Organisaation tietoturvatavoitteet on määritelty ja viety osaksi toiminnan ja tavoitteiden suunnittelua 0,65 0,74 0,60 0,75 0,50 26 Organisaatiossa on tieto- ja kyberturvallisuutta sekä tietosuojaa sisältävä ohjeistus (katselmoidaan vuosittain), joka sisältää ohjeet vähintään toimitilaturvallisuuteen, tietoaineistojen luokitteluun, internetin ja sähköpostin käyttöön, käyttäjätunnusten ja salasanojen hallintaan, käytössä olevien päätelaitteiden turvalliseen käyttöön, ilmoitusten tekemiseen häiriö- ja poikkeamatilanteissa tai tunnistettaessa mahdollisia uhkia tai riskejä, etätyöhön sekä työmatkoja varten 0,65 0,74 0,72 0,75 0,38 9 Digikyberturvallisuudesta raportoidaan organisaation johdolle vähintään kaksi kertaa vuodessa tai vakava poikkeaman sattuessa välittömästi 0,66 0,74 0,63 0,75 0,50 20 Organisaation projekteissa ja hankkeissa tunnistetaan ja hallitaan riskejä koko projektin / hankkeen ajan sovitulla mallilla 0,66 0,67 0,47 0,75 0,75 7 Tiedonkulku organisaation sisällä toimii ja organisaation ylin johto saa digiturvallisuuden osa-alueiden tilasta tarpeeksi tietoa 0,68 0,75 0,64 0,81 0,50 19 Organisaatiossa tehdään vuosittain tieto- ja kyberturvallisuuden riskien arviointia 0,68 0,75 0,49 0,88 0,63 11 Henkilöstö noudattaa tietoturvallisuutta koskevia ohjeita ja mahdollisiin väärinkäytöksiin puututaan 0,69 0,80 0,66 0,69 0,63 8 Organisaatio huomioi tietoturvallisuuden osana arkkitehtuurityötä 0,74 0,75 0,52 0,81 0,88
2) Toiminnan jatkuvuus ja varautuminen Nro Kunnat ja KY Kaikki SHP 9 Organisaation toiminnalle kriittisisten järjestelmien toipumissuunnitelmia on harjoiteltu kahden viime vuoden aikana 0,29 0,21 0,25 0,69 0,00 5 Organisaation jatkuvuussuunnitelm(i)aa on harjoiteltu harjoiteltu kahden viime vuoden aikana 0,35 0,36 0,42 0,63 0,00 23 Yhteiskunnan turvallisuusstrategian (2017) uhkamallien mukaisten häiriöiden vaikutus kriittisiin / tärkeimpiin palveluihin ja tietojen käsittelyyn on tunnistettu ja arvioitu 0,40 0,59 0,44 0,44 0,13 22 Organisaation johto käsittelee vuosittain toiminnan jatkuvuuteen ja varautumiseen liittyviä linjauksia ja periaatteita sekä toteutumista ja koordinaatiota 0,43 0,54 0,48 0,69 0,00 20 Jatkuvuuden hallinnan ja varautumisen toteutumista ja tarkoituksenmukaisuutta seurataan ja arvioidaan vähintään joka toinen vuosi 0,43 0,51 0,44 0,63 0,13 7 Organisaation valmiussuunnitelmaa on harjoiteltu kahden viime vuoden aikana 0,48 0,40 0,63 0,75 0,13 11 Häiriötilanteiden hallintaa harjoitellaan vähintään joka toinen vuosi (organisaatio tai keskeisten prosessien, palveluiden tasolla) 0,54 0,54 0,50 0,88 0,25 21 Palveluiden / prosessien toiminnan jatkuvuuteen ja varautumiseen liittyvät vastuut on määritetty esimerkiksi palveluiden / prosessien omistajille 0,55 0,64 0,54 0,63 0,38 4 Organisaatiolla on yksi tai useampi jatkuvuussuunnitelma, joka on laadittu, päivitetty tai katselmoitu viimeisen kahden vuoden aikana 0,55 0,55 0,57 0,69 0,38 15 Häiriötilanteiden hallinnan ja poikkeusolojen menettelyt on tunnistettu, sen mukaisesti dokumentoitu, koulutettu ja harjoiteltu 0,56 0,55 0,56 0,75 0,38 12 Organisaation sopimuksissa toiminnan jatkuvuus ja varautuminen on huomioitu esimerkiksi palvelutasoja tai muita vaatimuksia asettamalla 0,61 0,65 0,56 0,75 0,50 16 Toiminnan jatkuvuuden ja varautumisen avainroolit ja -henkilöt on tunnistettu ja varajärjestelyt suunniteltu 0,64 0,75 0,70 0,75 0,38 18 Kriittisten toimintojen palvelutuotanto on varmistettu ja ydintoiminnoilla on varamenettelyt 0,66 0,70 0,56 0,88 0,50 Valtionhallinto Yliopistot
3) Tietoturva Organisaation käytössä olevien kriittisten tai muuten tärkeiden tietojärjestelmien tietoturvallisuus on arvioitu (tehty ulkopuolinen arviointi tai auditointi) viimeisen kahden vuoden aikana Valtion- Kunnat hallin- to SHP opistot ja KY Yli- Kaikki 0,37 0,58 0,22 0,56 0,13 Organisaationne sopimuksissa on sovittu turvallisuusselvitysten tekemisestä palveluntoimittajien 0,39 0,87 0,30 0,00 0,38 henkilöstöstä Organisaatiossa on tietoturvaohjeistus ja -käytännöt ulkomaan matkatyön osalta (esim. ICT-laitteiden suo 0,41 0,75 0,44 0,19 0,25 Organisaatiossa on käytössä sen oman henkilöstön turvallisuusselvitysmenettely (sellaisiin tehtäviin, 0,46 0,84 0,40 0,25 0,38 joissa käsitellään salassa pidettäviä tietoja) Organisaation mobiililaitteiden (älypuhelimet, tabletit) tietoturvapäivitykset toteutetaan sovitun prosessin 0,56 0,73 0,52 0,63 0,38 Organisaatiolla on käytössä vakiomuotoinen turvallisuussopimusmalli, joka otetaan osaksi sitä 0,57 0,69 0,28 0,69 0,63 edellyttäviä sopimuksia Organisaatiolla on lokipolitiikka tai vastaava asiakirja, jossa määritellään lokien kerääminen, 0,59 0,57 0,42 0,88 0,50 tallentaminen, käsittely ja analysointi Ulkopuolisten henkilöiden (esimerkiksi vierailijat) pääsy organisaation tiloihin on rajattu ja ohjeistettu 0,63 0,98 0,55 0,63 0,38 Organisaatiossa on huolehdittu esimerkiksi sopimusten avulla siitä, että se saa tietoonsa sen toimintaan 0,64 0,65 0,59 0,81 0,50 tai sille tuotettaviin palveluihin liittyvistä uhkista ja riskeistä sekä niissä toteutuneista poikkeamista tai loukkauksista? Organisaation mobiililaitteet (älypuhelimet, tabletit) ovat keskitetyn järjestelmänhallinnan piirissä 0,65 0,77 0,64 0,69 0,50 Organisaation tietoturvaohjeistoa on koulutettu vuoden 2018 aikana sekä uudet työntekijät saavat 0,69 0,83 0,68 0,88 0,38 siihen liittyvän perehdytyksen Organisaatiossa on eriytetty esimerkiksi kulkuoikeuksin sellaiset tilat, joissa voidaan käsitellä salassa pidettävää tietoa 0,69 0,90 0,68 0,81 0,38
4) Kyberturvallisuus Kaikki Valtio Kunnat jshp Yliopisto 2,93 3,23 2,71 3,35 2,41 Kaikki Valtio Kunnat ja KY SHP Yliopistot 4) Kyberturvallisuus 0,59 0,65 0,54 0,67 0,48 Kuvaan ennen kaikkea toiminnan jatkuvuuteen ja häiriötilanteisiin, viranomaisraportointiin liittyviä prosesseja
5) Tietosuoja Nro Valtion- Kunnat hallin- ja KY Yli- Kaikki to SHP opistot 16 Sen, miten edellä olevat kohdat muuttuvat toiminnaksi, kulttuuriksi ja asenteeksi organisaatiossasi 0,48 0,54 0,55 0,31 0,50 8 Tarvittaessa organisaation suorittamat vaikutustenarvioinnit & ennakkokuulemiset 0,50 0,44 0,33 0,63 0,63 7.5 - sisäisistä tarkastuksista ja auditointien toteuttamisesta 0,55 0,42 0,45 0,56 0,75 7.1 - riskiarviointien tekeminen 0,56 0,53 0,44 0,75 0,50 3 Sen miten tietosuojaperiaatteet (5 art.) toteutuvat organisaatiosi toiminnassa 0,62 0,66 0,64 0,69 0,50 12 Yhteisrekisterinpitäjyyttä koskevat vastuualueet 0,62 0,53 0,53 0,69 0,75 11 Että organisaation sopimushallinta on kunnossa 0,64 0,59 0,58 0,63 0,75 14.1 - toimitilojen tietoturvallisuutta koskevat ohjeet (esimerkiksi henkilöstön ja vieraiden liikkuminen toimitilo 0,65 0,87 0,55 0,81 0,38 7.4 - henkilöstölle ja muille henkilötietojen käsittelijöille 0,66 0,68 0,72 0,75 0,50 2 Että seloste käsittelytoimista (30 art.) on laadittu 0,67 0,70 0,67 0,81 0,50 7 Tarvittavat sisäiset ja ulkoiset ohjeet 0,67 0,61 0,70 0,71 0,68 7.2 - tekniset ja organisatoriset suojaustoimet 0,68 0,63 0,65 0,69 0,75
Yhteenveto Asteikko: 1,0 kaikki kunnossa 0,0 viimeinen sammuttaa valot Kaikki Valtio Kunnat ja KY SHP Yliopistot 1) Johtaminen ja riskienhallinta 0,73 0,79 0,67 0,83 0,63 2) Toiminnan jatkuvuus ja varautuminen 0,61 0,65 0,60 0,79 0,42 3) Tietoturvallisuus 0,70 0,83 0,63 0,75 0,58 4) Kyberturvallisuus 0,59 0,65 0,54 0,67 0,48 5) Tietosuoja 0,70 0,68 0,68 0,74 0,69 6) Havainnointi 0,88 0,90 0,92 0,84 0,87 Kohta 4 eli kyberturvallisuus on nyt viideltä vuodelta laskettu skaalattuna arvoon viisi ja vertailun vuoksi myös se on skaalattu samalla tavalla kuin muut johdat. Kohtaa 6 havainnointi ei voi tulkita samalla tavalla, koska organisaatio ei voi itse vaikuttaa kaikkiin kyseissä kohdassa kyseltyihin asioihin, esimerkiksi kohdistuviin uhkiin.
Kehityskohteet tiivistys TOP 5 1) Riskienhallinnan laaja-alainen kehittäminen Toimenpiteet: JUDO-hanke projektit 1-2-3 2) Toiminnan jatkuvuuden ja varautumisen laaja-alainen kehittäminen Toimenpiteet: JUDO-hanke projektit 1-3, osin 5 3) Tietosuojassa kuuden eniten kohennusta kaipaavan osa-alueen parantaminen Toimenpiteet: JUDO-hanke projekti 1 - tietosuoja 4) Teknisen tietoturvallisuuden puolella mobiililaitteiden tietoturvallisuuden kehittäminen Toimenpiteet: välillisesti JUDO-hanke projekti 1 Organisaatioiden oma ICT-perustietotekniikan kehittäminen erityisesti mobiililaitteiden tietoturva 5) Tietoturvallisuuden arvioinnin kehittäminen Muun muassa JUDO hanke projekti 4 kokonaiskuva parannamme mittausta ja arviointia Osa tiedonhallintalain toimeenpanoa
Ei meidän pidä olla huolissaan digiturvasta, vaan myös #toimimaton_ict Asteikko: 5,0 kaikki kunnossa 0,0 viimeinen sammuttaa valot ICT-häiriöitä pieniä 2,93 ICT-häiriöitä - laajoja 3,87 Tieto- ja kyberturvaloukkauksia / hyökkäyksiä 4,09 Palvelunestohyökkäyksiä - pieniä 4,48 Palvelunestohyökkäyksiä suuria 4,78 Mitään ei ole tapahtunut 5,00 N=150 julkisen hallinnon organisaatioita
Seuraavaksi: 10.45 Tiedonhallintalaki ja tietoturvallisuus
10.45 Tiedonhallintalaki Erja Kinnunen, Johtava asiantuntija, Väestörekisterikeskus
Tiedonhallintalaki Laki julkisen hallinnon tiedonhallinnasta 906/2019 tulee voimaan 1.1.2020 Korvaa Julkisuuslain 18 Hyvä tiedonhallintatapa Tietohallintolaki 634/2011 Tietoturvallisuusasetus 681/2010 Turvallisuusluokitteluasetus, lausuntojen käsittely käynnissä Lisätietoja toimeenpanosta: https://vm.fi/tiedonhallintalain-taytantoonpano
Organisatorinen soveltamisala Tiedonhallintalain 2 : määritelmät Viranomaisilla tarkoitetaan julkisuuslain (621/1999) 4 :n 1 momenttia vastaavasti: 1. valtion hallintoviranomaisia sekä muita valtion virastoja ja laitoksia; 2. tuomioistuimia ja muita lainkäyttöelimiä; 3. valtion liikelaitoksia; 4. kunnallisia viranomaisia;
Organisatorinen soveltamisala 5. Suomen Pankkia mukaan lukien Rahoitustarkastus, Kansaneläkelaitosta sekä muita itsenäisiä julkisoikeudellisia laitoksia; Eläketurvakeskuksen ja Maatalousyrittäjien eläkelaitoksen asiakirjoihin lakia kuitenkin sovelletaan 2 momentissa säädetyllä tavalla; 6. eduskunnan virastoja ja laitoksia; 7. Ahvenanmaan maakunnan viranomaisia niiden huolehtiessa valtakunnan viranomaisille kuuluvista tehtävistä maakunnassa; -> rajattu soveltamisalan ulkopuolelle 8. lain tai asetuksen taikka 1, 2 tai 7 kohdassa tarkoitetun viranomaisen päätöksen perusteella tiettyä tehtävää itsenäisesti hoitamaan asetettuja lautakuntia, neuvottelukuntia, komiteoita, toimikuntia, työryhmiä, toimitusmiehiä ja kunnan ja kuntayhtymän tilintarkastajia sekä muita niihin verrattavia toimielimiä.
Organisatorinen soveltamisala Mitä viranomaisesta säädetään, koskee myös lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitavia yhteisöjä, laitoksia, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa. Evankelisluterilaisen kirkon asiakirjojen julkisuudesta säädetään erikseen (kirkkolaki 1054/1993) Sovelletaan myös yliopistolaissa (588/2009) tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa (932/2014) tarkoitettuihin ammattikorkeakouluihin Ahvenanmaan maakunnassa toimivat maakunnan, valtion ja kunnalliset viranomaiset rajattu soveltamisalan ulkopuolelle
Sisällöllinen soveltamisala Tiedonhallintalain 3 Tiedonhallintalaki on yleislaki ( jollei muualla laissa toisin säädetä ) Jos muussa laissa on säädetty tiedonhallintalaista poikkeavalla tavalla (esim. erityiset toimialat kuten sosiaali- ja terveydenhuolto), sovelletaan tiedonhallintalain sijaan siltä osin kuin sääntely poikkeaa tiedonhallintalain säännöksistä Tiedonhallintalakia sovelletaan tiedonhallintaan ja tietojärjestelmien käyttöön, kun viranomaiset käsittelevät tietoaineistoja Tiedonhallintalaki kohdistuu tietoaineistoihin, jotka koostuvat asiakirjoista tai tiedoista, joista voidaan muodostaa asiakirjoja. Siten sääntely koskee niitä tietoaineistoja ja asiakirjoja, joihin sovelletaan julkisuuslakia. 1) asiankäsittelyssä ja palvelujen tuottamisessa noudatettavista menettelyistä, 2) salassapidosta ja 3) tiedonsaantioikeudesta viranomaisten asiakirjoihin sekä 4) asiakirjojen arkistoinnista säädetään erikseen
Lain soveltamisalan rajoitukset Kunnat ja kuntayhtymät Tiedonhallintalain 3 : Pääosin yleislaki soveltuu sellaisenaan 3 lukua (julkisen hallinnon tiedonhallinnan yleinen ohjaus) sovelletaan kuntiin ja kuntayhtymiin niiden hoitaessa laissa säädettyjä tehtäviä: 6 Tietovarantojen yhteentoimivuuden yleinen ohjaus: tiedonhallintakartta, julkisen hallinnon tiedonhallinnan kehittämisen yleiset linjaukset 7 Julkisen hallinnon tiedonhallinnan sekä tieto- ja viestintäteknisten palvelujen tuottamisen yhteistyö: valtion virastoissa ja laitoksissa toimivien viranomaisten sekä kuntien viranomaisten yhteistyötavat ja -menettelyt 10 Julkisen hallinnon tiedonhallintalautakunta ja 11 Tiedonhallintalautakunnan arviointitehtävä: lautakunta arvioi tiedonhallintalain säännösten toteuttamista ja noudattamista
Lain soveltamisalan rajoitukset Yliopistot ja ammattikorkeakoulut Tiedonhallintalain 3 : Mitä tiedonhallintalaissa säädetään viranomaisesta, sovelletaan myös yliopistolaissa (588/2009) tarkoitettuihin yliopistoihin ja ammattikorkeakoululaissa (932/2014) tarkoitettuihin ammattikorkeakouluihin Ei sovelleta ao. säädöksiä: 3 luku Julkisen hallinnon tiedonhallinnan yleinen ohjaus Kokonaisuudessaan, sisältää 6-11
Tiedonhallinnan järjestäminen 1.Tiedonhallintalaissa ja muussa laissa säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuiden määrittely 2.Ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä,tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuusjärjestelyistä sekä poikkeusoloihin varautumisesta 3.Koulutuksen tarjoaminen henkilöstölle ja tiedonhallintayksikön lukuun toimiville voimassa olevista tiedonhallintaa, tietojenkäsittelyä sekä asiakirjojen julkisuutta ja salassapitoa koskevista säädöksistä, määräyksistä sekä tiedonhallintayksikön ohjeista 4.Asianmukaiset työvälineet tiedonhallintaa koskevien velvollisuuksien toteuttamiseksi 5.Riittävän valvonnan järjestäminen tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta. Tiedonhallintayksikön johdon vastuulla on huolehtia siitä, että tiedonhallinta järjestettäisiin tiedonhallintayksikössä yllä tarkoitetulla tavalla asianmukaisesti
Täytäntöönpanon valmistelussa tunnistettuja kohteita Tiedonhallintamalli (5 ) Kuvaus asiakirjajulkisuuden toteuttamiseksi (28 ) Tiedonhallintaan kohdistuvien muutosten vaikutusten arvioinnin malli (5 ) Sähköinen tiedonantotapa (tekniset rajapinnat 22 ) Tietoturvallisuus (4 luku) Tiedonhallinnan suunnittelun ja tähän liittyvien kuvausten osalta keskeistä on, miten informaatio muodostetaan olemassa olevista kuvauksista ja miten kokonaisuutta tiedonhallintayksiköissä hallitaan toiminnan muutoksissa valmistelua johtaa VM, toimijoita osallistetaan työhön erikseen sovittavalla tavalla suositukset antaa perustettava Tiedonhallintalautakunta vuoden 2020 alussa
Toimeenpanon valmistelu VM asettanut työryhmiä 1. julkisen hallinnon tietovarantojen yleinen ohjaus, 2. investointien ohjausmallin ja tiedonhallintalain mukaisen lausuntomenettelyn jatkovalmisteluryhmä sekä 3. julkisen hallinnon tietohallinnon yhteistyön ja informaatioohjausprosessin valmisteluryhmä 4. Tiedonhallintalautakuntaan ja sen suosituksiin keskittyvä valmisteluryhmä Tietoturvallisuus-alatyöryhmä
Tietoturvallisuus Tiedonhallintalaissa Koska Tietoturvallisuusasetus poistuu, niin myös Tietoturvatasot poistuvat Tietoturvallisuus Luku 4 12 Luotettavuutta edellyttävien tehtävien tunnistaminen ja luotettavuudesta varmistuminen 13 Tietoaineistojen ja tietojärjestelmien tietoturvallisuus 14 Tietojen siirtäminen tietoverkossa 15 Tietoaineistojen turvallisuuden varmistaminen 16 Tietojärjestelmien käyttöoikeuksien hallinta 17 Lokitietojen kerääminen 18 Turvallisuusluokiteltavat asiakirjat valtionhallinnossa
Tietoturvallisuus, muutoksia Suojaustasoista luovutaan, jatkossa luokitus Salassa pidettävä, käsittely Julkisuuslain 25 mukaan TL IV, Käyttö rajoitettu TL III, Luottamuksellinen TL II, Salainen TL I, Erittäin salainen Turvallisuusluokittelu on pakollinen Lokitiedot on kerättävä, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista Olennaiset riskit on selvitettävä
Tiedonhallintalain toimeenpano, Tietoturvallisuus JUDO Projekti 2 Luvun 4 säännöksistä on laadittu 18 soveltamiskorttiluonnosta Tiedonhallintalautakunta hyväksyy sisällön ja julkaisee kortit Osa korteista tulossa ensi vuoden alussa Myös Turvallisuusluokitusasetuksen kortteja valmistellaan JUDO Projekti 4 Suosituskortteihin laaditaan arviointityökalu itsearviointia varten Tulee osaksi JUDO-hankkeen tuottamaa kokonaiskuvapalvelua JUDO Projekti 1 Jaetaan parhaita käytäntöjä, ohjeita ja työkaluja vuoden 2020 aikana
Yhteenveto Laki astuu voimaan vuoden vaihteessa Tietoturvallisuuden soveltamiskortit menevät lausuntokierroksen jälkeen Tiedonhallintalautakunnan hyväksyttäviksi, alkuvuosi 2020 Laajempien suositusten laatiminen käynnistynee vasta sen jälkeen, korvaavia suosituksia laaditaan pikkuhiljaa Osa VAHTI-ohjeista vanhentuu, mutta niitä kannattaa käyttää soveltaen
11.05 Tietosuoja julkishallinnossa Tuula Seppo, Erityisasiantuntija, Kuntaliitto
Tietosuoja julkishallinnossa Miltä julkisen hallinnon tietosuojan toteutuminen näyttää ja kuinka sen kehittämistä tulee jatkaa? E rity is a s ia ntu n tija, K T M, Y T M T uula S@ etuu pp ola _ s e p p o D ig iturv a k ie rtu e
11:40 Seuraavat askeleet Johdon tarkistuslista digiturvan kehittämiseen #Kybersää by kyberlogi Jarna Hartikainen, Kyberturvallisuuskeskus
Johdon tarkistuslista digiturvan kehittämiseen 1) Oletteko mukana JUDO-hankkeen yhteishanke työpajat Tätä kautta tuki tiedonhallintalain tietoturva-asioiden toimeenpanoon https://vrk.fi/judo 2) TAISTO19-harjoitus Vielä ehtii ilmoittautua ja valmistautua https://vrk.fi/taisto19 3)Ota käyttöön Digiturvallinen (työ)elämä verkkokoulutukset https://www.eoppiva.fi/koulutukset/digiturvallinen-tyoelama/
Videoesitys #Kybersää Jarna Hartikainen, Päällikkö, Liikenne- ja viestintävirasto, Kyberturvallisuuskeskus @JarnaHnen
#JUDOhanke #Digiturvakiertue #ECSM
13.00 13.30 Tulevaisuus & digiturvallisuus 2020-luku Millainen digitaalinen maailma meitä odottaa 2020-luvulla? Mitä digiturvallisuus tarkoittaa tunnista uhat hallitse riskit! Miksi digiturva on entistä tärkeämpää elämässämme? Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus @kimmorousku
Tulevaisuus & digiturvallisuus 2020-luvulla
Mikä on tämän kaiken kehityksen mahdollistanut? Esitykseni tänään 9.10.2019 Tampere Mitkä ovat 2020-luvun loistavat mahdollisuudet? Mikä ja kuka tätä kaikkea uhkaa ja miksi? Kuinka jokaisen organisaation ja henkilön pitäisi varautua?
Mikä on tämän kaiken kehityksen mahdollistanut? Digitalisaatio ihmiskunnan menestys uhka vai tuho? Graalin malja Pandoran lipas vai Pyhä Arkki?
Neljä näkökulmaa Kaikki mikä voidaan digitalisoida, tullaan digitalisoimaan Kaikki mikä voidaan robotisoida, tullaan tekemään Kaikki, missä tekoälyä (AI) voidaan käyttää, tullaan sitä hyödyntämään Kaikki, mihin tulee sähkö, tullaan liittämään internet-verkkoon ja
Uusin hypetyksemme AI, tekoäly, keinoäly algoritmit Siis jonkun toinen äly jossakin pilvessä? Mutta miten siihen voidaan luottaa? Oma etu vs myös jonkun toisen etu vai etua ei kenellekään? Win-win vai loose all?
Tekoälyllä myydään kaikkea!
Unipanta Tarvitsemme(ko) koko ajan tarkempia ja tehokkaampia tapoja mitata itseämme itse odotan, missä vaiheessa tulee aluksi nieltäviä, myöhemmin ihon alaisia antureita
Riskienhallinta Loistavat mahdollisuudet Kasvavat uhat
Mitkä ovat olleet 2010-luvun ilmiöt? ICT, digitalisaatio, some, etätyö, mobiililaitteet, tietosuoja (n pettäminen)? AI-hype, kyberturvallisuus Teknologian kehitys on luonut meille uskomattoman hyvän tilanteen, vaikka emme välttämättä sitä itse huomaa arvostaa!
Entä tulevaisuus 2020 luku Wikipediasta - https://en.wikipedia.org/wiki/history_of_technology In the early 21st century research is ongoing into quantum computers, gene therapy (introduced 1990), 3D printing (introduced 1981), nanotechnology (introduced 1985), bioengineering/biotechnology, nuclear technology, advanced materials (e.g., graphene), the scramjet and drones (along with railguns and high-energy laser beams for military uses), superconductivity, the memristor, and green technologies such as alternative fuels (e.g., fuel cells, self-driving electric and plug-in hybrid cars), augmented reality devices and wearable electronics, artificial intelligence, and more efficient and powerful LEDs, solar cells, integrated circuits, wireless power devices, engines, and batteries.
everything
Vinkkejä 2020-luvulle
Nano ja kvantti
128 Gt - 64x 128 000 2000 2 Gt - v 1992 12 000000 12 Tt - 6000x - 230
Tulevaisuus? Entä kun edelliset asiat skaalautuvat seuraavan 10 v aikana suhteessa vielä enemmän?
Aivan loistava 334 sivuinen PDF-tiedosto, josta löytyy kaikki keskeiset ICT, teknologia, markkina ja muut ennusteet Tämä on vuosittainen dokumentti, jonka lukemiseen varaan aina oman erityisen ajan ja paikan jos jotain kannattaa lukea ja seurata niin tämä dokumentti https://www.bondcap. com/report
Mikä ja kuka tätä kaikkea uhkaa ja miksi?
Mitä nelikentästä puuttuu? Teknologia alkaa aiheuttaa uudenlaisia, outoja ongelmia
Kaikki mikä on kytketty verkkoon, yritetään murtaa
Kuinka jokaisen organisaation ja henkilön pitäisi varautua?
Inhimillinen erehdys Kiire
Digiturvavideo paranna omaa digiturvaa vapaa-aika ja työssä Kohta 5. Kuuluisa sähköpostin katumusviive
Riskienhallinta - Titanic-malli
Oman elämän riskienhallinta
Kuinka tunnistat riskikäyttäytyjän?
Organisaatiolle - kehitä digiturvaa ja harjoittele - sinulle opiskele ja opeta! Digiturvallisuuden kehittäminen JUDO-hanke https://vrk.fi/judo - netin kautta seurattavia työpajatilaisuuksia materiaaleja TAISTO19-harjoitus myös yrityksille varaudu kyberhyökkäyksiin marraskuu ilmoittautua voi hyvin vielä syyskuun loppuun saakka https://vrk.fi/taisto19 Digiturvavinkit miten toimit turvallisemmin? https://vrk.fi/digiturvavinkki Digikommellus opi omista mokista, mutta ennen kaikkea jaa ne muille! https://vrk.fi/digikommellus Digiturvallinen elämä verkkokoulutukset ja peli https://www.eoppiva.fi/ Juha kertoo lisää
13.30 13.50 JUDO-hankkeen esittely Kimmo Rousku Erja Kinnunen Juha Kirves Hanna Heikkinen sekä Laura Penttilä
Mikä JUDO? Valtiovarainministeriö julkaisi 2018 Julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelman (JUDO) VRK käynnisti tammikuussa 2019 julkisen hallinnon organisaatioita digiturvallisuuden kehittämiseksi JUDOhankkeen vuosille 2019-2021 Digitaalinen turvallisuus käsittää viisi osa-aluetta: 1. riskienhallinta 2. toiminnan jatkuvuus ja varautuminen 3. tietoturvallisuus 4. kyberturvallisuus 5. tietosuoja
JUDO-hanke sisältää viisi projektia: Kimmo Rousku Erja Kinnunen (oto) Juha Kirves PROJEKTI 1 Digitaalisen turvallisuuden johtamisen ja riskienhallinnan kehittäminen PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen PROJEKTI 3 Digitaalisen turvallisuuden koulutusjärjestelmä ja digiturvasovellus PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Erja Kinnunen Hanna Heikkinen
Projekti 1 Digitaalisen turvallisuuden käsikirja, opastus ja harjoitus 7 työpajaa toteutettu, 2 työpajaa vielä loppuvuoden aikana: 13.11, 19.11 www.vrk.fi/judo TAISTO19-harjoitus käynnistymässä PROJEKTI 1 Digitaalisen turvallisuuden johtamisen ja riskienhallinnan kehittäminen
Seitsemän työpajaa pidetty Jokaisesta löytyy: Tallenne Esitysmateriaalit Tehtävät Painopiste ollut: Riskienhallinta Toiminnan jatkuvuus ja varautuminen Tietosuoja valittuja erityisaiheita 13.11 Tietoturvallisuus tiedonhallintalain toimeenpanon tukea 20.11 Tietosuoja-työpaja
TAISTO19-harjoitus - marraskuu Harjoituksessa keskitytään erilaisten häiriö- ja poikkeamatilanteiden aiheuttamien ongelmien ratkaisemiseen Organisaatiolla tulisi olla ohjeet ja prosessit harjoiteltuna, kuinka tällöin toimitaan Miten tilannetta johdetaan Kenen tulee osallistua Konkreettiset toimenpiteet Mistä saadaan tarvittaessa apua Miten ja kenelle viestitään Lähes poikkeuksetta näissä tilanteissa syntyy myös henkilötietojen tietoturvaloukkaus, toimintamallit pitää olla kuvattuna Harjoitukseen on mallinnettu ja hyödynnetty keskeisiä Suomessa julkiseen hallintoon v. 2018-2019 kohdistuneita, toteutuneita hyökkäyksiä
Projekti 2 Rakenne ja mallit tietoturvanormien käytännön soveltamisohjeille Tukee Tiedonhallintalain tietoturvallisuuden toimeenpanoa Projektissa laaditaan soveltamiskortteja tiedonhallintalain lukuun 4 Soveltamiskortit ja ohjeet hyväksytään VM:n tiedonhallintalautakunnassa, jonka työ käynnistyy vuoden 2020 alussa Korttien lisäksi voidaan antaa erillisiä suosituksia, jotka korvaavat vanhat VAHTI-ohjeet. Organisaatiot voivat hyödyntää suosituksia oman ohjeistuksen laadinnassa PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen
Tiedonhallintalaki Rakenne ja mallit tietoturvanormien käytännön soveltamisohjeille Tiedon luokitus muuttuu Suojaustasoista luovutaan, jatkossa luokitus Salassa pidettävä, käsittely Julkisuuslain 25 mukaan TL IV, Käyttö rajoitettu TL III, Luottamuksellinen TL II, Salainen TL I, Erittäin salainen PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen Salassa pidettävän tiedon suojaamisessa riskienarvioinnin merkitys korostuu
Rakenne ja mallit tietoturvanormien käytännön soveltamisohjeille Muita suosituksia Valtionhallintoa koskevan Turvallisuusluokitusasetuksen lausuntojen käsittely on käynnissä Asetuksen vaatimien suositusten laadinta on käynnistämässä. Kortteja laatimaan on kutsuttu pääosin turvallisuusviranomaisista koostuva valmisteluryhmä. Suositusmallia kokeillaan laajemmin muidenkin normien toimeenpanosuosituksiin (mm. Digipalvelulaki 2 luku) PROJEKTI 2 Digitaalisen turvallisuuden soveltamis- ja arviointikehikon toteuttaminen
Projekti 4 PROJEKTI 4 Digitaalisen turvallisuuden kokonaiskuvan ja raportoinnin kehittäminen Digitaalisen turvallisuuden kokonaiskuva Kerätään ennen kaikkea hallinnollista tilannetietoa Mahdollistaa organisaatiolle oman tilanteen kehittymisen seuraannan ja vertailun muihin organisaatioihin Järjestelmästä voidaan tuottaa monenlaisia raportteja, joita voidaan käyttää tietoa johtamisen ja päätöksenteon tukena Arviointikehikko Mahdollistaa Tiedonhallintalain tietoturvasuositusten toteutumisen itsearvioinnin Digitaalisen turvallisuuden kokonaiskuvan raportointijärjestelmä
Projekti 5 PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen Opas harjoitustoiminnan suunnitteluun Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut Toimintasuunnitelma ja harjoituskalenteri Tukipalvelut
Projekti 5 PROJEKTI 5 Digitaalisen turvallisuuden harjoitustoiminnan kehittäminen TULOSSA Lausuntopyyntö oppaasta (lokakuu) Oppaan julkaisu 11/2019 Toimintasuunnitelma (2019-2020) Harjoituskalenteri Tavoitteet / suuntaviivat / toimialat / Harjoitustoiminta julkishallinnossa Rahoitusmalli / palveluiden tuottajat / kumppanit Koulutukset ja tilaisuudet Kyselyn analysointi tulokset julkaistaan Harjoitustoiminnan tukipalveluiden kartoitus 2020 Harjoitustoiminnan suunnitelmallinen kehittäminen ja tukipalvelut
13.50 14.15 Digiturvallinen työelämä verkkokoulutus ja peli Asiantuntija Juha Kirves, Väestörekisterikeskus
Digiturvatietoisuuden parantaminen Projekti 3 Organisaatioille työkaluja digiturvaasenteen ja -kulttuurin luomiseen Työkaluja julkisen hallinnon organisaatioille lainsäädännön koulutusvaatimusten täyttämiseen PROJEKTI 3 Digiturvallinen elämä - oppimisympäristö ja peli Digiturvallinen elämä(2020-2021) Digiturvallinen työelämä (2019-2020) Lapset Nuoret Johto, asiantuntijat ja henkilöstö Ikääntyvät Omaiset Digituen saajat
Digiturvallinen työelämä (2019-2020) Henkilöstö Asiantuntijat (Projekti 2) Johto (Projekti 1) Työpaikalla Etätyössä Työmatkalla Vapaa-ajalla
Projekti 3 Koulutusympäristö ja digiturvasovellus, koulutussisältöjä Oppimisympäristö: Ensimmäinen Digiturvallinen työelämä koulutus henkilöstölle on avoinna eoppiva-palvelussa - https://www.eoppiva.fi/koulutukset/digiturvallinen-tyoelama Luodaan oppimisalusta HAUS:n kanssa, joka mahdollistaa koulutuksen avaamisen koko julkiseen hallintoon, liike-elämälle ja kansalaisille! Uusien koulutusten tuotanto on käynnistetty, seuraavana tulossa syventävä koulutus henkilöstölle; miten toimit työpaikalla, etätöissä, matkustaessa, SOMEssa jne. PROJEKTI 3 Digitaalisen turvallisuuden koulutusjärjestelmä ja digiturvasovellus
Tietosuojan ABC https://www.eoppiva.fi/koulutukset/tietosuojan-abc-julkishallinnon-henkilostolle/ >10 000 suoritusta! Digiturvallinen elämä ja Tietosuojan ABC -koulutukset tulevat koko julkishallinnon ja kansalaisten käyttöön veloituksetta!
Mitä muuta? Meidän pitää Lisätä avoimuutta Oppia omista ja ennen kaikkea Oppia muiden virheistä
Digiturvavinkki Vinkatkaa meille, mistä vinkkejä tarvitaan digiturva@vrk.fi www.vrk.fi/digiturvavinkki
Linkki videoon: https://vimeo.com/251654152/2cde17177d
1. Mitkä seuraavista ovat hyviä salasanoja? Iisakki (lemmikin nimi) kissa AhGJ/& % VHyTg/788hjjb hakk r1 Mi M htä55älaulel0npäivinöin
2. Mitkä seuraavista pitävät paikkansa huijaussähköpostien suhteen? Viesteissä vedotaan kiireeseen Viesteissä vedotaan siihen, että vain viestin vastaanottaja voi tässä asiassa auttaa. Viestit saapuvat usein loma-aikaan Viestejä saattaa seurata painostava puhelinsoitto Viestin lähettäjä saattaa kerätä uhrista tietoa pitkän aikaa.
3. Käytettäessä mobiililaitteita käyttäjän on tärkeää Lukea sovellusten käyttöehdot Päivittää puhelimen puhelimen ohjelmistoversio Tarkistaa sovellusten oikeudet Päivittää sovellukset uusimpaan versioon
Seuraava: 14.30 Tietosuoja päivittäisessä työskentelyssä
14.30 15.00 Tietosuoja #GDPR päivittäisessä työskentelyssä Erityisasiantuntija Tuula Seppo, Kuntaliitto
Tietosuoja päivittäisessä työskentelyssä Mitä sinun tulee tietää ja osata käsitellessäsi omia tai muiden henkilötietoja? T uula S e ppo, e rity is a s ia n tu n tija, K T M, Y@ Ttuu M la _ s e p p o D ig iturv a k ie rtu e,
15.00 Aluepaneeli Digitalisaatio? Digiturva? Uhat ja mahdollisuudet? Millaista tukea tarvitaan?
Kysymykset ja keskusteluaiheet Miten luonnehtisit organisaatiossasi tapahtunutta muutosta koskien uusien palveluiden tuottamista viimeisen 2-3 vuoden aikana? Miten organisaatio / itse näet tässä yhteydessä digiturvallisuuden merkityksen? Millaisia toimenpiteitä nyt kesän aikana julkisuuteen tulleet Lahti Kokemäki Porin kaupunkien onnistuneet kyberhyökkäykset ovat aiheuttaneet? Miten organisaatiosi aikoo kehittää omaa turvallisuuttaan seuraavien vuosien aikana?
Kysymykset ja keskusteluaiheet Millainen muutos on seurannut #GDPR:n toimeenpanolla toukokuusta 2018 alkaen? Miltä tuleva tiedonhallintalaki vaikuttaa ja mitä liikehdintää se on aiheuttanut kun aikaa sen voimaan astumiseen on alle 100 vrk? Miten mielestäsi teitä voisi parhaiten tukea näissä edellä olevissa osaalueissa valtionhallinnon toimesta?
#Kybersää Jarna Hartikainen, Päällikkö, Liikenne- ja viestintävirasto, Kyberturvallisuuskeskus @JarnaHnen Videoesitys
Kiitos - digiturvallista syksyä