Katsaus tieto- ja kyberturvallisuuden tilanteeseen Aku Hilve 5.2.2014 JUHTA
Tieto- ja kyberturvallisuuden ohjaus valtionhallinnossa Ohjaus JulkICT Yhteiset palvelut Palveluntarjoajat (VIP/Valtori, ViVi, HVK) Yhteistyö Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) Asiakkuus Ministeriöt, virastot Osasto JulkICT 3.5.2012 pp.kk.vvvv 3
Valtioneuvoston periaatepäätös 2009 Tietoturvallisuuden kehittämisen painopisteet Johtaminen Tietoturvallisuuden sisällyttäminen tulosohjaukseen Tietoturvallisuuden johtaminen, raportointi ja tarkastustoiminta Resursointi: tietoturvallisuuteen ja varautumiseen Tietoturvamittarien kehittäminen ja käyttö johtamisessa Kokonaisvaltaisuus ja läpäisy Ennaltaehkäisy ja varautuminen Tiedon ja sen arvon suojaaminen Osasto JulkICT 3.5.2012 pp.kk.vvvv 4
Yhteiskunnan turvallisuusstrategia...valtiovarainministeriö vastaa valtiohallinnossa näiden järjestelmien ja tietoverkkojen yleisestä ohjauksesta ja kehittämisestä. Valtiovarainministeriöllä on myös vastuu julkisen hallinnon tietoturvan ja ICTvarautumisen yleisestä ohjauksesta ja johtamisesta. Osasto JulkICT 3.5.2012 pp.kk.vvvv 5
Tietoturvallisuuden perustason yhteishankkeet VM edellyttää perustason auditointia 3 kk kuluessa hankkeen päättymisestä Hanke Päättymisajank ohta Virastojen lkm päättymis hetkellä Auditointi tilattu 2. ja 3. hankkeessa joitakin poikkeuslupia Auditointi tehty MMM hallinnonalalla jotkut virastot tilaavat auditoinnin suoraan, ei VIPin kautta Itsearviointi Perustaso saavutettu Yhteishanke 1 joulukuu 2012 14 14 14 6 Yhteishanke 2 maaliskuu 2013 18 14 14 1 11 Yhteishanke 3 toukokuu 2013 18 10 8 4 Yhteishanke 4 joulukuu 2013 13 3 2 1 Osasto JulkICT 3.5.2012 pp.kk.vvvv
Viestintäviraston arviointitoiminta 1.6.2012-1406/2011-5 Selvitykset valtiovarainministeriön toimeksiannosta Valtiovarainministeriö voi pyytää valtionhallinnon tietoturvallisuudesta annettujen säännösten täytäntöönpanon seuraamiseksi sekä niiden kehittämiseksi Viestintävirastoa laatimaan selvityksen valtionhallinnon viranomaisten tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta. Osasto JulkICT 3.5.2012 pp.kk.vvvv 11
VAHTI Valtiovarainministeriö on asettanut Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tieto- ja kyberturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietoturvatoimenpiteitä. Osasto JulkICT 3.5.2012 pp.kk.vvvv 12
VAHTIn toiminnasta VAHTI jory ja sihteeristö n. 35 htp/kk + hankkeet Kehittämis- ja yhteishankkeet Tt-asetuksen täytäntöönpano, haavoittuvuusskannaus, ohjeiden käännösryhmät, päätelaitteet, tietoturvakriteeristöt, arviointi, henkilöstö, tekninen jaos Valtionhallinnon tietoturvapäivä joulukuussa, seminaarit kesä- ja lokakuussa Julkaisut: VAHTI 1/2013 sovelluskehitys, VAHTI 2/2013 toimitilojen tietoturva, VAHTI 3/2013 Toimintakertomus, VAHTI 4/2013 Henkilöstön tietoturvaohje, VAHTI 5/2013 Päätelaitteiden tietoturvaohje Tietoturvallisuuden parantaminen mitatusti VAHTI-yhteistyön osallistumisaktiivisuuden korrelointi turvatasoon Osasto JulkICT 3.5.2012 pp.kk.vvvv 13
Mittarien muutos keskimäärin +5,2% TIETOTURVALLISUUDEN HALLINTA JA 2012 2011 2010 JOHTAMINEN prosentteja organisaatioista Varmuuskopioiden suunnitelmallinen hallinta 100 96 90 Vakavista tietoturvapoikkeamista johdolle 100 96 87 raportointi Sovittu käyttövaltuuksien hallintaperiaatteet 97 92 95 Huonotasoisten salasanojen käytön esto 97 92 82 Tunnukset/ valtuudet 95 91 91 käyttövaltuushallintaperiaatteiden mukaisesti Tietoturvavastaava (osa/ kokopäiväinen) 93 90 85 Tietoturvapoikkeamien käsittely organisoitu/ 92 87 80 vastuutettu Keskeiset osa-alueet kattava tietoturvaohjeisto 92 85 84 Erilliset tietojenkäsittelyn toimintaympäristöt 92 82 79 Eriytetty tietoverkon eri suojaustasoa vaativat 90 86 72 osat (+ rajoitus) Tietoturvapolitiikka JulkICT 90 82 3.5.2012 73 pp.kk.vvvv Tietoturvallisuus Osasto arvioitu VAHTI-ohjeisiin/ 90 76 59 pp. 14
TIETOTURVALLISUUDEN HALLINTA JA JOHTAMINEN 2012 2011 2010 prosentteja organisaatioista jatkuu Tietoturvavastuut kuvattu tehtäväkuvauksissa 65 68 58 Tietoturvatavoitteet tulosohjauksessa 65 53 44 IDS (=havainnointiohjelmisto) käytössä 63 48 44 Rekisteriselosteet verkkosivuilla 60 63 54 Järjestelmämääritysten tietoturvavaatimusten 58 54 43 auditointi Ydintoimintojen riskien arviointi ja 53 53 39 dokumentointi Riskienhallintapolitiikka 50 46 39 Ydinprosesseissa tietoturvatavoitteet 45 55 46 Toipumissuunnitelma 42 46 41 Jatkuvuussuunnitelma 40 40 37 Kokopäivätoiminen tietoturvavastaava 35 35 21 Jatkuvuussuunnitelma harjoiteltu 23 15 13 Osasto JulkICT 3.5.2012 pp.kk.vvvv 15
Johtajuus 100 90 80 70 60 50 40 30 20 10 0 2010 2011 2012 Osasto JulkICT 3.5.2012 pp.kk.vvvv 16
Prosenttia vastaajista Tietoturvaongelmien yleisyys valtionhallinnossa 45 40 35 30 25 20 15 Haittaohjelmat estäneet järjestelmien käyttöä Erityistoimia vaatineet hyökkäykset Kohdistetut hyökkäykset 10 5 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 Vuosi Osasto JulkICT 3.5.2012 pp.kk.vvvv 17
Havainnointikeinoja Lokiseuranta 22 % 25 % Valvontaohjelmistot (verkon, applikaatioiden) IDS/IPS-järjestelmät 10 % 10 % 16 % 17 % Yhteistyöverkostot (mm. CERT, FUNET, VNK) Palvelutoimittajien ilmoitukset ja raportointi Muut Osasto JulkICT 3.5.2012 pp.kk.vvvv 18
Tietoturvallisuusasetuksen 5 :n vaatimusten toteutus 0 % 13 % 54 % 33 % Kaikki osat Suurin osa Ei täyty Ei tietoa Osasto JulkICT 3.5.2012 pp.kk.vvvv 19
Onko tehty luokituspäätöstä? Päätös 2012 68 % 15 % 15 % 2 % Päätös tehty 2010-2011 Ei luokitella Ei vielä päätöstä Onko organisaatiossa tehty päätös tietoaineistojen luokituksesta? 66 % 13 % 19 % Päätös vuonna 2011 Päätös tehty vuonna Ei luokitella Ei vielä päätöstä 2 % Osasto JulkICT 3.5.2012 pp.kk.vvvv 20
SecICT-hanke Valtion johto (valtioneuvosto, ministeriöt) Valtiovarainministeriön ICT-varautumisen, tietoturvallisuuden ja kyberturvallisuuden ohjaus Vntike Vntiken tilannekuva ----- Muut viranomaiset, koordinoijat ja tukiorganisaatiot Muut tilannekuvat 1. Valtion ympärivuorokautinen tietoturvatoiminto (VM:n alainen toiminto) Tilannekuvajärjestelmä Valvonta- ja raportointitoiminto (vakavien tietoturvapoikkeamien ennaltaehkäisy ja valvonta, valtion tilannekuvan kokoaminen ja jakaminen) GovSOC-toiminto (vakavien tietoturvatapahtumien koordinointi) 2. Tilanneportaali GovHUOVI ViVi Viestintäviraston tilannekuva Valtion ICT-palvelukeskuksen asiakkaat Valtion ICT-palvelukeskus (palvelukeskuksen SOC-palvelut) 3. Muut julkisen hallinnon ICT-palvelukeskusten asiakkaat ja keskeiset toimijat Muiden julkisen hallinnon palvelukeskusten tietoturvatoimijat Viestintäviraston GovCERT- ja GovHAVARO-palvelut Muut valtion tietoturvapalvelut Kirsi Janhunen, JulkICT 18.10.2013 Osasto JulkICT 3.5.2012 pp.kk.vvvv
SecICT-hankkeen lähtökohdat Valtioneuvoston periaatepäätöksessä valtionhallinnon tietoturvallisuuden kehittämisestä todetaan, että Suomen valtionhallinnon tulee saada aikaiseksi ja riittävän vahvasti resursoiduksi ympärivuorokautinen tietoturvallisuuden valvonta- ja reagointikyky tarkemmin määriteltävässä laajuudessa. VAHTIssa tehty pohjatyö on dokumentoitu VAHTIn julkaisuihin 4/2006 ja 5/2008. (VNpp, VAHTI 7/2009) Valtion sähköistä tietojenkäsittely-ympäristöä ja siihen liittyviä ICT-palveluita ylläpidetään usein monen toimijan yhteistyöllä. Tällaisesta keskinäisriippuvaisesta ympäristöstä tulee pyrkiä muodostamaan valtion keskeisten toimintojen osalta ajantasaista tilannekuvaa. Kriittisten riippuvuuksien tunnistaminen, ongelmien vaikutusten laajuuden arviointi sekä valmiudet tilanteiden hallintaan tulee järjestää etukäteen. Osasto JulkICT 3.5.2012 pp.kk.vvvv 22
Hankkeen tavoitteet 1. Valtion keskeisiin toimintoihin kohdistuvien vakavien sekä laajavaikutteisten tietoturvapoikkeamien ennaltaehkäisyn ja hallinnan kehittäminen. 2. Valtion toiminnan kannalta keskeisen tietoturvallisuuden tilannekuvan hallinnan kehittäminen. 3. Valtionhallinnolle tuotettavien ICT-palveluiden tietoturvallisuuden valvonnan ja ohjauksen kehittäminen. Osasto JulkICT 3.5.2012 pp.kk.vvvv 23
Keskeiset hankkeessa kehitettävät toiminnot ja palvelut GovCERT-toiminnalla tarkoitetaan tietoturvaloukkausten ennaltaehkäisyyn, havainnointiin ja ratkaisuun tähtääviä toimia sekä tietoturvauhkista tiedottamista. GovHAVARO on Viestintäviraston CERT-FI:n tuottama teknisten tietoturvaloukkausten havainnointi- ja varoituspalvelu. GovHUOVI on HVK:n tuottama tilannekuvaportaalipalvelu GovSOC tietoturvallisuuden operointikeskuspalvelu, joka sijaitsee Valtion IT-palvelukeskuksessa (myöh. TORI) Huom! Tähän on tehty ohjausryhmä jälkeen täsmennys. Valtion ympärivuorokautinen tietoturvatoiminto on VM:n alainen valvonta- ja hallintatoiminto, jonka tehtävänä on Keskeisiin valtion toimintoihin kohdistuvien vakavien tietoturvapoikkeamien ennaltaehkäisy ja valvonta. Vakavien, laajojen ja poikkihallinnollista yhteistyötä vaativien tietoturvatapahtumien koordinointi. (GovSOC-toiminta) Valtion toiminnan kannalta keskeisen tietoturvallisuuden tilannekuvan kokoaminen ja jakaminen. Osasto JulkICT 3.5.2012 pp.kk.vvvv 24
SecICT-hanke, painopisteet (kuva päivitetty) Valtion johto (valtioneuvosto, ministeriöt) Valtiovarainministeriön ICT-varautumisen, tietoturvallisuuden ja kyberturvallisuuden ohjaus Vntike ----- Vntiken tilannekuva 1. Valtion ympärivuorokautinen tietoturvatoiminto (VM:n alainen toiminto) Valvonta- ja raportointitoiminto (vakavien tietoturvapoikkeamien ennaltaehkäisy ja valvonta, valtion tilannekuvan kokoaminen ja jakaminen) GovSOC-toiminto (vakavien tietoturvatapahtumien koordinointi) Muut viranomaiset, koordinoijat ja tukiorganisaatiot Tilannekuvajärjestelmä 2. Tilanneportaali GovHUOVI Muut tilannekuvat ViVi Valtion ICT-palvelukeskuksen asiakkaat 3. Muut julkisen hallinnon ICT-palvelukeskusten asiakkaat ja keskeiset toimijat Viestintäviraston tilannekuva Valtion ICT-palvelukeskus (palvelukeskuksen SOC-palvelut) Muiden julkisen hallinnon palvelukeskusten tietoturvatoimijat Viestintäviraston GovCERT- ja GovHAVARO-palvelut Muut valtion tietoturvapalvelut Kirsi Janhunen, JulkICT 18.10.2013 Osasto JulkICT 3.5.2012 pp.kk.vvvv
Osasto JulkICT 3.5.2012 pp.kk.vvvv 27
L O K A Yhteistyökokoukset Kansallisen TPO:n eteneminen Esitykset sihteeristölle ->9.10 11.10 Koonnoksen tarkastelu 18.10 Lisäehdotukset TK-sihteeristötarkastelu 25.10. 28.10. M A R R A S TK:lle kokousmateriaali 4.11 TK: luonnoskäsittely 11.11 Muokkaus: Priorisointi ja budjetointi, oma kierto Marraskuu vkot 46-48 Viestintä ministeriöiden kanssa valinnoista Marraskuu vkot 47-48 J O U L U T A M M I TK:lle kokousmateriaali 2.12 TK: luonno s 9.12 Luonnos lausunnoille 10.12 VN viestintäjohtajat: suunnitelma 13.12 Kybertehtävätlausuntojen määräaika 16.01 TPO-lausuntojen määräaika 31.01 H E L M I - M A A L I S TK:lle kokousmateriaali 3.3 TK: päätös kybertehtävistä 10.3 TK:lle kokousmateriaali 3.3 TK: oma päätös TPO:sta 10.3 Käsittely TP- UTVA/muut 28.3 Kansallinen TPO 28 Osasto JulkICT 3.5.2012 pp.kk.vvvv 28