KIRJALLINEN KYSYMYS 1349/2001 vp Tietoverkkojen toiminnan turvaaminen Eduskunnan puhemiehelle Erityisesti varsin laajalle levinneen Microsoft Windows -käyttöjärjestelmän ja Microsoft Outlook sähköpostiohjelman käyttäjien ongelmana ovat olleet tietokonevirukset. Virukset pyrkivät tuhoamaan jo virusten torjuntaohjelmiakin. Kamppailu virusten kanssa hidastaa työskentelyä, koska aikaa kuluu virusten poistamiseen ja torjuntaohjelmien päivittämiseen varsinaisen työn ohessa. Asiantuntijat ovat suositelleet Microsoft Windows-käyttöjärjestelmän vaihtamista. Windowskäyttöjärjestelmän läpäisseitä viruksia on löydetty jo lähes 60 000. Sen sijaan esimerkiksi Linuxtai Mac OS X -käyttöjärjestelmien osalta viruksia on vain muutamia satoja, jolloin riski törmätä viruksiin on luonnollisesti monta kertaa vähäisempi. Käyttöjärjestelmien vaihto ei poista ongelmaa, koska eri järjestelmien yleistyessä kiinnostus tehdä niille viruksia kasvaa. On kuitenkin syytä miettiä, tulisiko esim. valtionhallinnon osalta hajauttaa riskiä siirtymällä käyttämään muitakin käyttöjärjestelmiä ja kehittämällä työtapoja, jotka ehkäisevät virusten leviämistä. Käyttäjien osalta olisi myös keskeistä mahdollisen viruksen yllättäessä pystyä asentamaan käyttöjärjestelmä ohjelmineen nopeasti uudelleen, mikäli halutaan varmistaa viruksen poistaminen 100 %:sti esimerkiksi kiintolevyn alustamisen kautta. Käytännössä silloin myös sovellusohjelmien saatavuus ja hintataso vaikuttavat kykyyn varmistaa työskentelyn nopea jatkuminen työpaikalla tai kotona etätyössä. Eräitä tapoja hajauttaa virusten aiheuttamaa mahdollista uhkaa on siis käyttää vaihtoehtoisia käyttöjärjestelmiä, jotka ovat yhteensopivia tiedostojen lukemisen kanssa. Toisena keinona on lisätä pdf-muotoisten (Portable Document Format) tiedostojen käyttöä, jolloin mm. tekstien, kuvien ja taulukoiden asettelu säilyy käyttöjärjestelmistä riippumatta ja ne saadaan auki riippumatta vastaanottajan tai lähettäjän tekstinkäsittelyohjelmien eroista. Kolmanneksi voitaisiin lisätä esimerkiksi Internetistä riippumattomien lähiverkkojen käyttöä virusaikoina, jolloin vaikkapa toimistossa ryhmätyö ja viestien lähettäminen esimerkiksi langattomien verkkojen välityksellä onnistuisi ilman tietoverkkoja. Neljänneksi on pyrittävä välttämään tarpeetonta liitetiedostojen lähettämistä, mikä samalla vähentää tietoverkkojen postilaatikoiden kuormitusta laittamalla tiedostot vastaanottajan noudettaviksi mm. kiintolevyn www-jaon kautta, mikäli lähettäjä käyttää kiinteää ympärivuorokautista verkkoyhteyttä. Erilaisia tapoja vähentää epävarmuutta ja virusten tuomaa työskentelyn hidastumista on jo nyt ja uusia tapoja lisätä tietoverkkojen turvallisuutta on syytä miettiä edelleen. Asiantuntijalausunnot käyttöjärjestelmien vaihtamisesta ovat kuitenkin ongelmallisia hyvin Windows -keskeisen ATK-koulutuksen vuoksi. Siirtyminen helppokäyttöisempiinkin käyttöjärjestelmiin vaatii oman totuttelunsa ja toisaalta esimerkiksi useiden tietotekniikkakoulutuksessa olevien henkilöiden koulutus perustuu pitkälle Windows-keskeiseen opetukseen. Juuri koulutuksensa päättänyt voisikin joutua lähtemään jatkokoulutukseen, mikäli koulutuk- Versio 2.0
seen ei ole kuulunut tutustumista muihin käyttöjärjestelmiin. Edellä olevan perusteella ja eduskunnan työjärjestyksen 27 :ään viitaten esitän kunnioittavasti valtioneuvoston asianomaisen jäsenen vastattavaksi seuraavan kysymyksen: Miten hallitus suhtautuu mm. virusten vuoksi lisääntyneeseen tietotekniikan epävarmuuteen ja aiheuttavatko virusasiantuntijoiden kehotukset siirtymisestä Windows-käyttöjärjestelmästä johonkin toiseen käyttöjärjestelmään toimenpiteitä esimerkiksi valtionhallinnossa? Helsingissä 10 päivänä joulukuuta 2001 Pertti Turtiainen /vas 2
Ministerin vastaus KK 1349/2001 vp Pertti Turtiainen /vas Eduskunnan puhemiehelle Eduskunnan työjärjestyksen 27 :ssä mainitussa tarkoituksessa Te, Rouva puhemies, olette toimittanut valtioneuvoston asianomaisen jäsenen vastattavaksi kansanedustaja Pertti Turtiaisen /vas näin kuuluvan kirjallisen kysymyksen KK 1349/2001 vp: Miten hallitus suhtautuu mm. virusten vuoksi lisääntyneeseen tietotekniikan epävarmuuteen ja aiheuttavatko virusasiantuntijoiden kehotukset siirtymisestä Windows-käyttöjärjestelmästä johonkin toiseen käyttöjärjestelmään toimenpiteitä esimerkiksi valtionhallinnossa? Vastauksena kysymykseen esitän kunnioittavasti seuraavaa: Hallitus pitää toimintojen jatkuvuuden varmistamista ja kehittämistä sekä tähän liittyen tietojenkäsittelyn riskienhallintaa ja tietoturvallisuutta hyvin tärkeänä koko yhteiskunnan kannalta. Valtiovarainministeriö on antanut ministeriöille sekä valtion virastoille ja laitoksille ohjeita tietoturvallisuudesta noin 20 vuoden ajan. Yhtenä keskeisenä osa-alueena tässä ohjeistuksessa ja jatkuvassa tietoturvallisuustyössä on virustorjunta, johon on 1990-luvun alusta alkaen annettu useita ohjeita. Suomessa jokainen organisaatio vastaa omasta tietoturvallisuudestaan säädösten tietoturvallisuusvelvoitteiden mukaisesti. Valtiovarainministeriön asettama valtion tietoturvallisuuden johtoryhmä (VAHTI) kehittää ja ylläpitää valtion tietoturvallisuuden tavoitteita, toimintaja organisointilinjauksia sekä suosituksia, ohjeita ja määräyksiä. Tämän työn tuloksena valtionhallinnolla on laaja, Internetistä löytyvä tietoturvallisuusohjeisto, jolla tuetaan valtion organisaatioita jatkuvassa tietoturvallisuustyössä: www.vn.fi/vm/kehittaminen/tietoturvallisuus/vahti/vahti2.htm. Hallitus on lisännyt toimenpiteitä tietoturvallisuutta koskevan tietoisuuden ja tietoturvahyökkäyksiin varautumisen parantamiseksi kaikilla sektoreilla. Viestintävirastoon on perustettu yksikkö, joka kehittää eri toimijoiden yhteistyötä myös virustilanteesta tiedottamisessa. Tätä työtä tukemaan on perustettu valtion ja yksityisten tahojen edustajista koostuvat COMSEC- ja CERTtyöryhmät. Kysyjä toteaa virusongelmien liittyvän Microsoft Windows -käyttöjärjestelmiin ja Microsoft Outlook -sähköpostiin. Microsoft-tuotteiden suosio virusten levittäjien keskuudessa johtuu osittain tuotteiden laajasta käytöstä, mikä auttaa virusten nopeaa leviämistä. Windowsin eri versioiden osuus valtionhallinnon työasemien käyttöjärjestelmistä on noin 90 %. Sen sijaan palvelintietokoneissa muiden käyttöjärjestelmien merkitys on huomattava. Virastojen sähköpostipalvelimista Microsoftin osuus oli vuoden 2001 alussa 23 % ja Microsoft Outlookin osuus työasemien sähköpostiohjelmistoista 31 %. Valtionhallinnossa viruksia torjutaan monella tasolla. Tietoverkkojen ulkoisissa liittymäpinnoissa, kuten palomuureissa, sähköpostipalvelimissa ja kaikissa työasemissa, on oltava käytössä virustorjuntaohjelmiston uusin versio. Henkilökunnalle on oltava ohjeet virusuhan varalle. Virustorjunnan yleiset linjaukset ovat valtiovarainministeriön ohjeessa "Tietokoneviruksilta ja muilta haittaohjelmilta suojautumisen yleisohje" (VAHTI 4/2000). Ohjeeseen sisältyy myös pe- 3
Ministerin vastaus ruskäyttäjän pikaohje ennakoivaksi toimintatavaksi sekä toimenpiteiksi virustartuntaa epäiltäessä. Vaikka ohje on tehty eritoten Windows-ympäristöjen näkökulmasta, sitä on suositeltu käytettäväksi myös muissa käyttöjärjestelmäympäristöissä. Muiden kuin Windows-käyttöjärjestelmän yleistyminen työasemakäytössä lisää virusten ohjelmoijien kiinnostusta niitä kohtaan. Käyttöjärjestelmän, sähköpostin ja selaimen haavoittuvuuksia korjaavat tietoturvallisuuspäivitykset sekä virustorjuntaohjelmistojen päivitykset ovat valtionhallinnossa osa jatkuvaa tietoturvallisuuden varmistamista ja kehittämistä. Käyttöjärjestelmien ja ohjelmistojen vaihtopäätökset edellyttävät monien muidenkin näkökulmien kuin virusuhkan huomioon ottamista. Näitä ovat esimerkiksi tehtyjen investointien turvaaminen, osaamisen ja tuen saatavuus sekä yhteentoimivuus. Valtion tietohallinnon ohjauksessa korostetaan erilaisissa teknisissä ympäristöissä toimivien tietojärjestelmien yhteentoimivuuden ja avoimien rajapintojen merkitystä. Pyrkimyksenä on välttää sitoutumista toimittajakohtaisiin ratkaisuihin. Valtiovarainministeriö julkaisi kesäkuussa 2001 suosituksia valtionhallinnon tietotekniikassa käytettävistä rajapinnoista. Tässä yhteydessä tarkasteltiin myös avoimen lähdekoodin ratkaisuja osana valtionhallinnon järjestelmäkokonaisuutta. Syksyllä 2001 käynnistettiin valtiovarainministeriön toimesta hanke, jossa noin 20 virastoa tutkii avoimen lähdekoodin ohjelmistojen hyödyntämistä. Yksi osaprojekti koskee työasemia, joiden ohjelmistoissa kilpailu on vähäisempää kuin palvelimissa. Helsingissä 8 päivänä tammikuuta 2002 Ministeri Suvi-Anne Siimes 4
Ministerns svar KK 1349/2001 vp Pertti Turtiainen /vas Till riksdagens talman I det syfte 27 riksdagens arbetsordning anger har Ni, Fru talman, till behöriga medlem av statsrådet översänt följande av riksdagsledamot Pertti Turtiainen /vänst undertecknade skriftliga spörsmål SS 1349/2001 rd: Hur förhåller sig regeringen till den ökade osäkerheten inom datatekniken, som bl.a. har förorsakats av virus och föranleder virusexperternas uppmaningar att övergå till något annat operativsystem än Windows några åtgärder inom t.ex. statsförvaltningen? Som svar på detta spörsmål får jag vördsamt anföra följande: Regeringen anser ett kontinuerligt säkrande och utvecklande av funktionerna, riskhanteringen av databehandlingen samt datasäkerheten vara av yttersta vikt för hela samhällets del. Finansministeriet har utfärdat anvisningar om datasäkerhet till ministerierna och statens ämbetsverk och inrättningar under ungefär 20 års tid. En central del av anvisningarna och det fortsatta datasäkerhetsarbetet utgörs av virusbekämpningen och om detta ämne har ett flertal anvisningar utfärdats sedan början av 1990-talet. I Finland ansvarar varje organisation för sin egen datasäkerhet i enlighet med bestämmelserna om datasäkerhet. Den av finansministeriet tillsatta ledningsgruppen för datasäkerheten inom statsförvaltningen (VAHTI) utvecklar och upprätthåller målen för statens datasäkerhet, riktlinjerna för verksamheten och organiseringen samt rekommendationer, anvisningar och föreskrifter. Resultatet av detta arbete i statsförvaltningen är en omfattande uppsättning anvisningar med hjälp av vilka man stöder den statliga organisationen i det kontinuerliga datasäkerhetsarbetet. Dessa finns på Internet på adressen www.vn.fi/vm/kehittaminen/tietoturvallisuus/vahti/vahti2.htm på finska och en del av anvisningarna finns på svenska på adressen www.vn.fi/vm/svenska/forvaltningen/it.htm. Regeringen har inom alla sektorer utökat åtgärderna för att öka kunskapen om datasäkerhet samt för att förbättra beredskapen inför angrepp på datasäkerheten. Inom Kommunikationsverket har en enhet inrättats, som skall utveckla samarbetet mellan olika aktörer också när det gäller att informera om virusläget. För att stöda detta arbete har COMSEC- och CERT-arbetsgrupperna grundats, där statliga och enskilda instanser finns representerade. Spörsmålsställaren konstaterar att virusproblemen hänför sig till operativsystemet Microsoft Windows samt e-postprogrammet Microsoft Outlook. Microsoftprodukternas popularitet bland dem som sprider virus beror delvis på att produkterna är så allmänt spridda och detta bidrar till att varje virus sprids snabbt. De olika Windowsversionernas andel av operativsystemen i statsförvaltningens arbetsstationer är ungefär 90 %. Bland servicedatorerna utgör dock de andra operativsystemen en betydande andel. När det gäller ämbetsverkens e-postservrar var Microsofts andel i början av 2001 23 % och Microsoft Outlooks andel av e-postprogrammen i arbetsstationerna uppgick till 31 %. Virusbekämpning utförs på många plan inom statsförvaltningen. I datanätverkens yttre anslutningspunkter såsom brandmurar, i e-postservrar och alla datorer skall den nyaste versionen av virusbekämpningsprogrammet finnas. Personalen skall ges anvisningar om virusrisken. De allmänna riktlinjerna för virusbekämpningen finns i finansministeriets anvisningar om skydd mot datavirus och skadliga program ("Tietokoneviruksil- 5
Ministerns svar ta ja muilta haittaohjelmilta suojautumisen yleisohje", VAHTI 4/2000). I anvisningen ingår också en snabb introduktion för den vanliga användaren om vikten av att vara förutseende samt om vilka åtgärder som skall vidtas om man misstänker att datorn har drabbats av ett virus. Även om anvisningen har utarbetats just med tanke på Windows, kan den också rekommenderas för andra operativsystem. Att utöka användningen av andra operationssystem än Windows gör att virusskaparnas intresse i stället riktas mot dem. Uppdatering av datasäkerheten för att åtgärda operativsystemets, e-postens och webbläsarens sårbarhet och uppdatering av anti-virusprogram utgör en del av det kontinuerliga tryggandet och utvecklandet av datasäkerheten inom statsförvaltningen. Beslut om att byta ut operativsystem och dataprogram förutsätter att också andra synpunkter än risken för virus tas i beaktande. Sådana synpunkter är till exempel tryggande av de investeringar som gjorts, tillgången på kunskaper och stöd samt kompatibilitet. Vid styrningen av statens dataadministration betonas betydelsen av datasystemens kompatibilitet i olika tekniska omgivningar samt av öppna gränssnitt. Man strävar efter att undvika att förbinda sig till leverantörsspecifika lösningar. Finansministeriet publicerade i juni 2001 rekommendationer om vilka gränssnitt som skall användas inom statsförvaltningens datateknik. I samband med detta granskades också lösningarna för den öppna källkoden som en del av helhetssystemet inom statsförvaltningen. Hösten 2001 inleddes på finansministeriets initiativ ett projekt där ungefär 20 verk undersöker nyttan av programmen med öppen källkod. Ett delprojekt gäller datorerna, där konkurrensen mellan programmen är mindre än när det gäller servrarna. Helsingfors den 8 januari 2002 Minister Suvi-Anne Siimes 6