Valtuusto 08.06.2015 Sivu 1 / 1 1909/07.01.00/2015 Kaupunginhallitus 189 25.5.2015 96 Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta Valmistelijat / lisätiedot: Juha Kalander, puh. 046 877 3155 Jani Savolainen, puh. 040 500 3125 Jukka Pitkänen, puh. 09 816 84808 etunimi.sukunimi@espoo.fi Päätösehdotus Kaupunginhallitus Valtuusto merkitsee tiedoksi selostuksen vastauksena Kurt Bymanin ja 18 muun valtuutetun 13.4.2015 esittämään valtuustokysymyksen kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta ja toteaa kysymyksen loppuunkäsitellyksi. Päätös Oheismateriaali Selostus Valtuusto: Kaupunginhallituksen ehdotus hyväksyttiin yksimielisesti. - Valtuustokysymys 13.4.2015 Valtuustokysymys Valtuutettu Kurt Byman ja 18 muuta allekirjoittajaa ovat jättäneet 13.4.2015 seuraavan kysymyksen: Internet ja digitalisoitumisen vallankumous leviää kaikille elämän alueille ja yhä useampi järjestelmä ja laite on yhteydessä verkkoon. Kaupungin hallinnon, arkiston, teknisen-, sivistys-, sosiaali- ja terveystoimen järjestelmät ja laitteet ovat kiinteässä yhteydessä internettiin vuorokauden ympäri. Internet-rikollisuus on yhteiskunnan nopeimmin kasvavista ongelmista. Kyseessä voi olla vakava haitanteko, vaaraan aiheuttaminen, terveysuhka, tietojen urkinta tai petos. Valtuuston työjärjestyksen mukaan kysymyksenä tiedustelemme, onko kaupunginhallitus tietoinen kaikista riskeistä, mitä ylläkerrottuun liittyy? Miten kaupungin kyberturvallisuus on järjestetty ja miten uhkiin on varauduttu? Taustaa Sanastokeskuksen Kokonaisturvallisuuden sanaston (2014) mukaan kyberturvallisuus on tila, jossa kybertoimintaympäristössä yhteiskunnan
Valtuusto 08.06.2015 Sivu 2 / 2 elintärkeille toiminnoille ja muille kyberympäristöstä riippuvaisille toiminnoille koituvat uhkat ja riskit ovat hallinnassa. Kybertoimintaympäristö on toimintaympäristö, joka muodostuu yhdestä tai useammasta sähköisessä muodossa olevan datan tai informaation käsittelyyn tarkoitetusta tietojärjestelmästä. Espoon kaupunkikonsernissa riskeillä tarkoitetaan epävarmuustekijöitä, tapahtumia tai tapahtumaketjuja joiden toteutuessa Espoo-konserni tai sen yksikkö ei saavuta sille asetettuja tavoitteita ja/tai kokee huomattavia menetyksiä. Kansallisessa kyberturvallisuusstrategiassa (valtioneuvoston periaatepäätös 24.1.2013) todetaan, että kyberturvallisuus perustuu koko yhteiskunnan tietoturvallisuuden järjestelyihin. Espoon kaupungissa tietoturvallisuuden järjestelyt kuvataan kaupunkikonsernin tietoturvapolitiikassa, jossa korostetaan johtamista ja riskienhallintaa. Vastauksessa kyberturvallisuus rajataan Espoon kaupungin tietoturvan hallintaan ja toteuttamiseen. Vastaus valtuustokysymykseen Espoon kaupunki on tietoinen tietotekniikan käyttöön ja sen käyttöympäristöön (kyberympäristöön) kohdistuvista uhkista ja riskeistä. Koska kaikkia riskejä ei voi ennakolta tietää, niin kaupungissa on seuraavia periaatteita riskeihin varautumisessa ja palvelujen toimintakyvyn takaamiseksi: Kyberturvallisuuden järjestäminen ja varautuminen uhkiin on johtamista ja riskienhallintaa. Keskeiset osa-alueet ovat: hyvä riskienhallinta, hyvä kokonaisarkkitehtuuri, hyvä toimittajien hallinta ja hyvä henkilöstön osaaminen. Valtuusto on päättänyt Espoon kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteista, jotka astuivat voimaan 1.1.2014. Näiden perusteiden toimeenpanoa ohjaa riskienhallintapolitiikka (kaupunginhallitus 29.9.2014), joka kuvaa riskienhallinnan tavoitteet, periaatteet ja käytännön toteuttamisen. Tietoturvariskien hallinta on osa riskienhallintaa ja tietoturvapolitiikassa kuvataan vastuut ja tietoturvariskien hallintaprosessi. Kaupungin valmiussuunnitteluohjeessa (10.10.2014) edellytetään toimialoja ottamaan huomioon palveluiden riippuvuus tietotekniikasta ja sen toimivuudesta. Yllämainittujen toteuttaminen on osa johtamista. Kokonaisarkkitehtuuri tarkoittaa toiminnan, tiedon, järjestelmien ja teknologian muodostaman kokonaisuuden hallintaa. Kokonaisarkkitehtuuri on keskeinen johtamisen työkalut kun toimintaa ja palveluja tai (ja tietojärjestelmiä) kehitetään. Kokonaisarkkitehtuurin avulla voidaan mm. välttää toimittajaloukkujen syntymistä ja varmistaa kyberturvallisuutta. Kokonaisarkkitehtuuriperiaatteet sisältävät vaatimuksen tietoturvan toteuttamisesta, jota vaatimusta ratkaisukehityksessä toteutetaan. Tietoturvateknologiaan liittyvissä valinnoissa huomioidaan teknologian kypsyys, elinkaari, käytön laajuus sekä tuen ja asiantuntemuksen löytyminen.
Valtuusto 08.06.2015 Sivu 3 / 3 Päätöshistoria Kaupunginhallitus 25.5.2015 189 Toimittajien ja sopimusten asianmukainen hallinta on tieto- ja kyberturvallisuuden ehdoton edellytys, koska tietojärjestelmät ovat toimittajien laitetiloissa ja operoinnissa. Kilpailutuksissa ja sopimuksissa Espoo vaatii kaikilta toimittajilta kaupungin tietoturvapolitiikan hyväksymistä ja noudattamista. Sopimuksiin sisällytetään myös toimittajan velvollisuudet tietoturvan varmistamiseksi ja tietoturvauhkiin reagoimiseksi. Kaupungin IT-infrastruktuuri perustuu omaan verkkoon, josta on suorat yhteydet toimittajien konesaleihin. Kaikki tietoliikenne valvotaan ja kontrolloidaan nykyaikaisin palomuurein. Infrastruktuurin ja palvelujen tuotannossa ja kehittämisessä Espoo käyttää suuria, globaaleja palveluntarjoajia, joiden palvelut ovat käytössä laajalti sekä yksityisellä että julkisella sektorilla. Näillä on hyvin vakiintuneet ja tehokkaat tavat kyberturvallisuudesta huolehtimiseen. Keskeisimpiä Espoon palvelutarjoajia ovat: - Fujitsu Finland Oy, joka toimittaa palvelin-, konesali- ja pilvipalvelut, - CGI Suomi Oy, joka toimittaa loppukäyttäjäpalvelut, joita ovat HelpDesk- ja laitteiden elinkaaripalvelut, - DNA Oy, joka vastaa Espoon tietoliikenneverkon ylläpidosta, - Tieto Oy, joka toimittaa keskeiset terveydenhuollon järjestelmät. Kaikki uudet järjestelmät käyvät läpi tietoturva-auditoinnin ennen tuotantoon siirtoa. Auditointi tehdään kolmannen, tietoturvaan erikoistuneen osapuolen toimesta. Järjestelmille tehdään myös säännöllisiä tietoturvatarkistuksia, joiden tiheys riippuu järjestelmän kriittisyydestä. Henkilöstö on keskeisessä asemassa kyberturvallisuuden toteuttamisessa ja uhkiin varautumisessa. Digitalisoitumisen myötä toimintaympäristö muuttuu merkittävästi. Enää ei ole selkeää rajaa organisaation verkon ja internetin välillä, töitä tehdään ajasta ja paikasta riippumatta ja työvälineet ovat omia tai työnantajan. Tämä edellyttää organisaatiolta merkittävää koulutukseen panostamista käyttäjien tietoturvaosaamisen ja -ymmärryksen lisäämiseksi. Espoon kaupungissa on tässä paljon kehitettävää. Johtamista tuetaan yhteistyöverkostoilla. Keskeisiä verkostoja kyber- ja tietoturvallisuuden hallinnassa ovat: riskienhallinnan ohjausryhmä, tietoturvaryhmä, kokonaisarkkitehtuuriryhmä, IT-kehittämisjohtoryhmä ja valmiussuunnittelun ohjausryhmä. Päätösehdotus Kaupunginjohtaja Jukka Mäkelä Kaupunginhallitus ehdottaa, että valtuusto merkitsee tiedoksi selostuksen vastauksena Kurt Bymanin ja 18 muun valtuutetun 13.4.2015 esittämään
Valtuusto 08.06.2015 Sivu 4 / 4 valtuustokysymyksen kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta ja toteaa kysymyksen loppuunkäsitellyksi. Päätös Kaupunginhallitus: Esittelijän ehdotus hyväksyttiin yksimielisesti. Tiedoksi
Valtuusto 08.06.2015 Sivu 5 / 5