Tietoturva Kehityksen este vai varmistaja? Valtion IT-johtaja Yrjö Benson 11.2.2010
Tietoturvan rakenne VAHTI Ulkokerros Hallinnollinen tietoturva Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Sisempi kerros Ohjelmistoturvallisuus Tietoaineistoturvallisuus Käyttöturvallisuus Laitteistoturvallisuus YLEINEN TIETOTURVALLISUUS 1. Saatavuus tai käytettävyys (availability) Tieto on saatavilla, kun sitä tarvitaan 2. Luottamuksellisuus (confidentiality) Tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus 3. Eheys (integrity) Tieto ei saa muuttua tahatta tai hyökkäyksessä, tai muutos pitää ainakin havaita; toisinaan eheys määritellään myös tietojen loogisuudeksi (ns. sisäinen eheys) ja paikkansapitävyydeksi (ns. ulkoinen eheys) Kiistämättömyys Henkilö ei voi menestyksellisesti kiistää tekoa, jonka hän on tehnyt. Kiistämättömyys riippuu viime kädessä siitä, mitä oikeudessa hyväksytään näytöksi. Tunnistus Henkilö (tietojärjestelmän käyttäjä) voidaan tarvittaessa liittää käyttäjätunnukseen (joka voi olla anonyymi) Todennus Henkilö (tietojärjestelmän käyttäjä) voidaan luottavasti tunnistaa luonnolliseksi tai oikeushenkilöksi 2
Tietoturvan perusprosessi 1. Riskianalyysi 2. Tietoturvatasot 3. Ohjeet ja määräykset 4. Seuranta ja raportointi 5. Toimenpiteet 6. Palaute seuraavalle kierrokselle 3
Tietoturvan mitoitus Tietoturva on Liian lepsu Oikein mitoitettu Liian kireä Taloudellinen vaikutus Tietoturvavahinkojen paikkailu voi maksaa todella paljon Oikea ja turvallinen tieto on tärkeä tuotannontekijä Järjestelmistä tulee liian kalliita Toiminnallinen vaikutus Laillisuus, turvallisuus, tuotekehitys ja/tai imago kärsivät Tietoa jaetaan ja tieto kulkee oikein ja turvallisesti Kankeat prosessit Johtaminen ja operatiivinen toiminta kärsivät 4
VAHTI Suomen kattavin julkinen tietoturvaohjeisto 1. Hallinnollinen tietoturvallisuus 2. Henkilöstöturvallisuus Yleisohje, 3/2007 ja 5/2009 ICT-toiminnan varautuminen 2/2009 Kansainvälinen yhteistyö, 1/2007 Tietoturvakoulutus, 11/2006 ja 6/2008 Henkilöstön tietoturvaohje, 10/2006, 4/2009 Tietoturvallisuuden mittaus 6/2006 Tietoturva-arvioinnit, 8/2006 Jaetut tietoturvaresurssit, 3/2006 Kehittämisohjelma, 1/2004 Tulosohjaus, 2/2004, 4/2004, 1/2005 Tietoriskien arviointi, 7/2003 Hallintajärjestelmän arviointi, 3/2003 Tietoturvasanasto, 8/2008 RISKIENHALLINTA JATKUVUUS 4-6. Tietoliikenne-, laitteisto-, ohjelmistoturvallisuus Kohdistetut hyökkäykset 6/2009 Älypuhelimet 2/2007 Roskapostien vastaiset toimet, 2006 Mobiliteetin tietoturvariskit, 2006 Haittaohjelmilta suojautuminen, 3/2004 Etäkäyttö turvattomista verkoista, 2/2003 Internet-tietoturvallisuusohje, 1/2003 Etätyön tietoturvaohje, 3/2002 Tietotekniikkahankinnat, 6/2001 Lähiverkot, 2/2001 Tietojärjestelmäkehitys, 3/2000 Hankkeen tietoturvaohje 9/2008 Henkilöstöturvallisuus, 2/2008 3. Fyysinen turvallisuus Laitetilat, 1/2002 TIETOTURVAKULTTUURI LAATU 9. Ulkoistaminen ja sopimukset Muutos ja tietoturvallisuus, 7/2006 IT hankintojen tarkistuslista, 6/2001 8. Käyttöturvallisuus Lokiohje 3/2009 Tunnistaminen, 12/2006 Käyttövaltuudet, 9/2006 Ympärivuorokautinen tietoturva 4/2006 Tietoturvapoikkeamien hallinta, 3/2005 Keskeisten tietojärjestelmät, 5/2004 7. Tietoaineistoturvallisuus Salauskäytännöt, 3/2008 Asianhallinta, 5/2006 Sähköpostien käsittely, 2/2005, 2/2006 Arkaluonteiset kansainväliset aineistot, 4/2002 Sähköisten palveluiden ja asioinnin tietoturva, 4/2001 Turvaluokitteluohje, 19.1.2000 Tietoaineistojen käsittelyohje, 2/2000 Lokien käsittelyohje, 3/2009 5
Tietoturvaongelmien yleisyys valtionhallinnossa P rosenttia valtion organisaatioista 45 40 35 30 25 20 15 10 5 0 2002 2003 2004 2005 2006 2007 2008 2009 VM/VAHTI/MK Haittaohjelmat estäneet järjestelmien käyttöä Havaittu erityistoimia vaativia hyökkäyksiä Havaittu kohdistettuja hyökkäyksiä 6
Valtioneuvoston periaatepäätös Ohjataan valtionhallintoa kehittämään tietoturvallisuutta tärkeänä osana johtamista, osaamista, riskienhallintaa sekä hallinnon kehittämistä ja toimintaa. Hyväksytty 26.11.09. Tuli voimaan 1.12.2009 Kehittämisen painopisteet johtaminen kokonaisvaltaisuus ja läpäisy ennaltaehkäisy ja varautuminen tiedon ja sen arvon suojaaminen Valmistellaan valtionhallinnon tietoturvallisuuden kehittämisohjelma vuosille 2010-2015. 7
Tietoturvavelvoitteita sisältävää lainsäädäntöä perustuslaki (731/1999) henkilötietolaki (523/1999) laki viranomaistoiminnan julkisuudesta (621/1999) laki sähköisestä asioinnista hallinnossa (13/2003) laki sähköisistä allekirjoituksista (14/2003) laki yksityisyyden suojasta työelämässä (759/2004) valtioneuvoston ohjesääntö (huhtikuu 2003) arkistolaki (831/1994) asetus valtion talousarviosta (1243/1992) väestötietolain muutos (527/1999) viestintämarkkinalaki (393/2003) valtion virkamieslaki (750/1994) rikoslaki ja laki rikoslain muuttamisesta (769/1990, 578/1995, 951/1999) valmiuslaki (1080/1991) laki turvallisuusselvityksistä (177/2002) Sähköisen viestinnän tietosuojalaki (516/2004) Laki kansainvälisistä tietoturvavelvoitteista (588/2004) 8
ICT tavoitteet Kustannukset alenevat ja kansalaisille näkyvä palvelu paranee Yhtenäinen perustietokanta Yksi tieto on yhdessä paikassa yhden kerran, josta kaikki sitä tarvitsevat järjestelmät käyvät tiedon lukemassa sitä tarvitessaan. Tietoturvallisuus on varmistettu. Tiedon saanti on helppoa kansalaisille, organisaatioille ja virkamiehille. Yhteiset peruspalvelut Samanlaisena tai lähes samanlaisena tarvittavat peruspalvelut ja perusjärjestelmät tuotetaan kustannustehokkaasti keskitetysti. Kriteerit: Edullisuus, helppokäyttöisyys ja korkea integraatioaste. Virkamiehille kattava virkamiehen työkalupakki, kansalaisille kansalaisen kotisivu Kansainvälinen yhteistoiminta Parhaita käytäntöjä muista maista haetaan aktiivisesti ja käytetään viisaasti. Osallistutaan kansainvälisiin Suomea hyödyttäviin hankkeisiin EU:ssa ja YK:ssa. Mitataan Suomen JulkIT:n tehokkuutta kansainvälisissä vertailuissa ja päästään parhaaseen desiiliin. Elinkaarimalli otetaan käyttöön hankkeissa ja palveluhallinnassa Elinkaarisuunnitelmassa erityisen suuri paino on käyttöönottosuunnitelmalla ja koko elinkaaren mittaisella kustannus-hyötylaskelmalla. 9
Julkishallinnon ICT menestystarinoita Veroehdotus Veroilmoitusta ei sähköistetty, vaan koko prosessi poistettiin Hallinnon kuorman vähennys kansalaisille Paljon pienempi työ verotoimistoissa Virkatodistuksettomuus Virkatodistusta ei sähköistetty, vaan koko lomake poistettiin Viranomaiset saavat ja jakavat perustiedot keskenään taustalla Meritilannekuva Useat eri viranomaiset useasta eri maasta tuottavat ja jakavat reaaliaikaista meritilannekuvaa Suomenlahdella ja Itämerellä Ainutlaatuinen kansainvälinen menestystarina Poliisit social mediassa 3 täyspäiväistä IRC-galleria poliisimiestä: fobba, mane ja jutta yli 35 000 fania Facebookissa 10
Kiitos! www.valtit.fi http://www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_tietoturvallisuu s/02_tietoturvaohjeet_ja_maaraykset/index.jsp 11