VAHTI - Kuntien tietoturvajaoston kuntien kyberturvallisuuden alueseminaari Helsinki 9.10 9.11.2016 Kimmo Rousku VAHTI Ohjelma 9.00 Avaus Tietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunki VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö Kuinka tietoturva koetaan? VAHTIn mittarit - organisaatiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksia VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö 9.40 VAHTI, Kuntien tietoturvajaoston toiminta Tietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki Tietoturvallisuuden johtaminen ja vastuut Tietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunki 10.30 Keskustelua ja verkostoitumistauko 10.50 Tietoisku: miksi tieto- ja kyberturvallisuus on tärkeää Havainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus VAHTI-kuntien alueseminaarit - syksy 2016 2 1
Ohjelma 11.00 Tulevat lainsäädännön muutokset: EU:n tietosuoja-asetus Tietosuojavaltuutettu Reijo Aarnio Tuleva tietoturvasäädöstö Asiantuntija Saana Seppänen, Kyber- ja infrastruktuuriyksikkö, Valtiovarainministeriö 11.45 Lounas (omakustanteinen) 12.30 Viestintäviraston tietoturvapalvelut ja toiminta häiriötilanteissa Havainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus 13.15 Tieto- ja kyberturvallisuus toiminnan digitaalisaation mahdollistajana - mistä lisäapua? VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö VAHTI-kuntien alueseminaarit - syksy 2016 3 Ohjelma 14.00 Kahvitauko 14.30 Paneeli ja keskustelu Puheenjohtaja tietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki Digitalisaatio ja kyberturvallisuuden organisointi ja vastuutus kustannustehokkaimmat mallit ja ratkaisut? Miten digitailsaatioita ja kyberturvallisuutta voidaan paikallisesti käytännössä edistää - mitkä ovat tulevaisuuden näkymät? Kunnan kyber- ja tietoturvallisuuden jatkuvuuden hallinta muutostilanteessa 15.30 Seminaaripäivän yhteenveto VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö 15.45 Seminaaripäivä päättyy VAHTI-kuntien alueseminaarit - syksy 2016 4 2
VAHTI? VAHTI Valtiovarainministeriön tehtävänä on julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin säädöksiin. Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011) ja valmiuslaki (1552/2011), valtioneuvoston ohjesääntö (262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). Lisäksi valtiovarainministeriön vastuulla on laissa valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä tarkoitettujen yhteisten palvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjaus (1226/2013). VAHTI-kuntien alueseminaarit - syksy 2016 6 3
VAHTI Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä. VAHTI-kuntien alueseminaarit - syksy 2016 7 Kyberturvallisuus? 4
VAHTI-kuntien alueseminaarit - syksy 2016 9 Muutamaa vuotta myöhemmin Alessandro Volta kuitenkin osoitti, että kahden metallin koskettaessa toisiaan esiintyy samantapainen ilmiö ilman sammakonjalkaakin. Havainto johti Voltan parin ja samalla sähkövirran keksimiseen. [1] VAHTI-kuntien alueseminaarit - syksy 2016 10 5
Mietitään vielä Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa ICT-toimintaympäristöön voidaan luottaa ja jossa niiden toiminta turvataan, sisältää myös kyvyn sietää kyberuhkia Myrsky tai reitittimen hajoaminen Sähkökatko tai muuten tietoliikenne poikki Tietoturva- vai Kyberturvallisuusongelma? VAHTI-kuntien alueseminaarit - syksy 2016 11 VAHTI-kuntien alueseminaarit - syksy 2016 12 6
Tieto vs kyberturvallisuus L E S VAHTI-kuntien alueseminaarit - syksy 2016 13 Tieto vs kyberturvallisuus Yksilö Organisaatio Yhteiskunta Kyberturvallisuus VAHTI-kuntien alueseminaarit - syksy 2016 14 7
Entäs kyberturvallisuus Tietoturvallisuus Kyberturvallisuus Tietoturvallisuus - (ICT) kybertoimintaympäristö - kybertoimintaympäristö Analoginen tieto Muuta kuin tietoa (toiminta) Muuta kuin tietoa VAIKUTTAMINEN (toiminta) Digitaalinen tieto (ICTn avulla) Digitaalinen tieto Vaikuttaminen ICT:n avulla kohteeseen VAHTI-kuntien alueseminaarit - syksy 2016 15 VAHTI-kuntien alueseminaarit - syksy 2016 16 8
Tärkeintä on, että harjoitellaan! Harjoitellaanko riittävästi? Sekä VAHTIn valtionhallinnon (2009-2015) että kuntakyselyn (2015) ja uusimman VAHTI henkilöstön ja johdon tietoturvabarometrin mukaan: VAHTI-baro johdon kysymys 5.3 Häiriötilanteiden hallintaa harjoitellaan riittävästi tärkeys vaikeus toteutuminen: 4 erittäin tärkeää erittäin vaikeaa erittäin hyvin 3 tärkeää melko vaikeaa melko hyvin 2 ei kovin tärkeää melko helppoa melko huonosti 1 ei lainkaan tärkeää erittäin helppoa erittäin huonosti Tärkeys: 3,30 Vaikeus: 2,70 Toteutuminen:2,07 VAHTI-kuntien alueseminaarit - syksy 2016 18 9
Kuinka tietoturva koetaan? VAHTIn mittarit - organisaatiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksia Eri kyselyiden suhde VAHTIn organisaatiokohtainen kysely Toteutetaan samassa yhteydessä alla olevan kanssa Nyt toteutettava uusi kysely suositus joka 2 tai 3. vuosi? Organisaatio / vuosittainen Johto Henkilöstö VAHTI-kuntien alueseminaarit - syksy 2016 20 10
Lisätietoa näistä tuloksista VAHTI-toimintakertomus VAHTI-kuntien alueseminaarit - syksy 2016 21 VAHTI-kuntien alueseminaarit - syksy 2016 22 11
Toimintakertomus vuodelta 2015 VAHTI-kuntien alueseminaarit - syksy 2016 23 VAHTI-kuntien alueseminaarit - syksy 2016 24 12
Toimintakertomus vuodelta 2015 VAHTI-kuntien alueseminaarit - syksy 2016 25 Uudistamme organisaatiokyselyä pyrimme luomaan samalla paremmin myös kuntien toimintaa tukevan kyselyn ja mittariston 13
Entä VAHTI-henkilöstön ja johdon tietoturvabarometri? VÄITE Henkilöstö on tietoturvallisuuden heikoin lenkki Totean KYLLÄ, jos henkilöstöä Ei ole koulutettu, ohjeistettu, motivoitu, annettu käyttöön oikeanlaisia työkaluja Organisaation johto ei toimi mallina ja esimerkkinä Tietoturvallisuudesta ei ole tullut asennetta, se ei ole osa toimintakulttuuria Turvallisuus by default VAHTI-kuntien alueseminaarit - syksy 2016 28 14
Miksi VAHTI-henkilöstön ja johdon barometri? Jotta saamme yksittäisen, organisaatiokohtaisen tilannekuvan sijaan laajemman kokonaiskuvan henkilöstön ja johdon näkökulmasta, miten tietoturvallisuus koetaan Ennakolta uskon, että tulemme löytämään useita sellaisia asioita, jotka ovat voimavara (positiivinen havainto), jonka olemassaoloa pitää edelleen tukea ja vahvistaa, löydämme paljon sellaista, joka on niin kuin pitää ja lisäksi löytyy jokunen yllätys, jotka tulee tunnistaa kehittämiskohteina Alustava silmäily on jo näitä kaikkia nostanut esille VAHTI-kuntien alueseminaarit - syksy 2016 29 1. Organisaatio johto päättää osallistumisesta kyselyyn kirjaamoissa VM:n saatekirje 2. Ilmoittautuminen sähköpostilla vahti@vm.fi VM saa tästä samalla yhteyshenkilön, jolle organisaatiokohtainen vastauslinkki ja tarkemmat suomen- ja ruotsinkieliset vastausohjeet toimitetaan 3. VM toimittaa yhteyshenkilöllle vastauslinkin ja vastausohjeet turvapostilla 4. Organisaatio laittaa intranetiin ( ja tai sähköpostitse) uutisen ja kehottaa henkilöstöä vastaamaan kyselyyn 5. Kahden viikon päästä laitetaan vielä muistutusviesti, että vastausaika alkaa loppumaan 6. Kolmen viikon päästä kysely suljetaan eli uutinen ja vastauslinkki poistetaan 7. Tämän jälkeen 14.10 kysely suljetaan. Tämän jälkeen VAHTI tuottaa kyselystä vastaajaorganisaatiokohtaiset tulokset, tiedot luokitellaan ST IV ja toimitetaan turvapostilla organisaation yhteyshenkilölle (loka-marraskuussa). 8. VAHTI julkaisee tuloksista julkisen raportin, arviolta marraskuussa 9. Kysely aktivoidaan uudelleen vuoden 2017 elokuussa jne sama prosessi VAHTI-kuntien alueseminaarit - syksy 2016 30 15
Tilastotietoa Sunnuntaihin 10.11 mennessä 16.11 sulkeutuessa 10710 vastausta 13 915 ~100 organisaatiota 98 osallistunutta organisaatiota 68 valtionhallinnon organisaatiota 29 kuntaa 1 sairaanhoitopiiri Vastausprosentin saamme laskettua myöhemmin, mutta uskomme sen vaihtelevan 5 15% välillä organisaatioittain Potentiaalinen vastaajamäärä tarkentuu, mutta uskomme sen olevan ~170 000 mahdollista vastaajaa VAHTI-kuntien alueseminaarit - syksy 2016 31 Raportti, organisaatiopalaute Tuotamme julkisen raportin ja organisaatiokohtaisen raportin Organisaation tiedot verrattuna verrokkitietoihin Kaikki vastaajat valtionhallinto julkishallinto Jonkinlainen visualisointi tiivistelmänä Organisaation tehtävänä on suorittaa tarkempi analyysi omista tuloksista ja sen perusteella miettiä, miten tulokset tulisi omassa tietoturvallisuuden kehittämisessä ottaa huomioon VAHTI-kuntien alueseminaarit - syksy 2016 32 16
Muutama havainto alustavat tiedot n=13915 VAHTI-kuntien alueseminaarit - syksy 2016 33 Muutama havainto alustavat tiedot n=13915 VAHTI-kuntien alueseminaarit - syksy 2016 34 17
Muutama havainto alustavat tiedot n=13915 2.3 Mihin seuraavista olet saanut ohjeita ja koulutusta? mobiililaitteiden käyttö VAHTI-kuntien alueseminaarit - syksy 2016 35 Muutama havainto alustavat tiedot n=13915 2.3 Mihin seuraavista olet saanut ohjeita ja koulutusta? tietoturvapoikkeamissa toimiminen, esimerkiksi haittaohjelmaepäily VAHTI-kuntien alueseminaarit - syksy 2016 36 18
Muutama havainto alustavat tiedot n=13915 2.4.3 Kuinka käytät salasanoja työtehtävissäsi? VAHTI-kuntien alueseminaarit - syksy 2016 37 Muutama havainto alustavat tiedot n=13915 5.1 Millaisena koet tietoturvallisuuden merkityksen? Tietoturvallisuus mahdollistaa laadukkaan toiminnan ja antaa organisaatiostani luotettavan kuvan. Tietoturvallisuutta tarvitaan, jotta voin käsitellä työssä tarvitsemiani tietoja. Ymmärrän, miksi tietoturvallisuutta tarvitaan, mutta se aiheuttaa ylimääräistä työtä. Tietoturvallisuus on jatkuva riesa, en ymmärrä mihin sitä tarvitaan. VAHTI-kuntien alueseminaarit - syksy 2016 38 19
Muutama havainto alustavat tiedot n=13915 5.2 Miten koet, että tietoturvallisuus on toteutettu organisaatiossasi? erittäin hyvin - työnteko ja palveluiden käyttö on sujuvaa ja vaivatonta hyvin, mutta se saattaa satunnaisesti vaikeuttaa työntekoani huonosti, koska se haittaa ja vaikeuttaa työntekoani usein erittäin huonosti, koska se haittaa ja vaikeuttaa työntekoani jatkuvasti VAHTI-kuntien alueseminaarit - syksy 2016 39 Suosituksia Henkilöstön oikeaoppinen ohjeistaminen ja kouluttaminen jäänyt osittain kesken Erityisesti mobiilikäytön lisääntyessä siitä tarvitaan koko ajan uutta, ajantasaista ohjeistusta Salasanojen osalta suosittelemme muistuttamaan järkevistä käyttömahdollisuuksista Ohjeistaminen häiriötilanteissa! Mitä tehdään erilaisissa tilanteissa, jos jokin palvelu ei toimi, päätelaite varastetaan, työaseman haittaohjelmien torjuntaohjelma antaa hälytyksen? Tietoaineistojen luokittelu jokaisella on vähintään julkinen vs salassa pidettävät tiedot (vs henkilötiedot) VAHTI-kuntien alueseminaarit - syksy 2016 40 20
Kysymyksiä kyselyistämme? Tieto- ja kyberturvallisuus toiminnan digitaalisaation mahdollistajana - mistä lisäapua? 21
Esitykseni - viisi asiaa ja näkökulmaa 1) Teknologiset mahdollisuutemme 2) UHKAT - erilaisia häiriöitä ja niiden aiheuttajia 3) Mitä me tarvitaan? 4) Näkökulmia kyber vs tietoturvallisuus 5) Mistä apua VAHTI auttaa?! VAHTI-kuntien alueseminaarit - syksy 2016 43 1980 1990 2000 2010 2020 2030 Teknologiset mahdollisuutemme Teknologiset mahdollisuutemme Nykyinen kyvykkyytemme teknologian hyödyntämiseen ICT??? Robotisaatio Toiminnan digitalisaatio ATK - automaattinen MTK manuaalinen tietojenkäsittely VAHTI-kuntien alueseminaarit - syksy 2016 44 22
Teknologiset mahdollisuutemme Teknologiset mahdollisuutemme 1982 2016 2050 IBM PC ICT-digi-aikakausi Nano-kvantti-aikakausi Henkilökohtaisuus Yhteisöllisyys ja jakaminen Virtuaali- ja lisätty todellisuus - paikkasidonnaisuus - 24/7/365/360 - keinoäly by default - olematon suorituskyky - rajaton suorituskyky - kvanttilaskenta - ei palveluita - kohti alustataloutta - kaikenlaiset robotit - ei oikeastaan mitään ;-) - keinoälyn osin käytössä - kyborgit - ihmistyö VAHTI-kuntien alueseminaarit - syksy 2016 45 2050 VAHTI-kuntien alueseminaarit - syksy 2016 46 23
Muistatko VHS vs beta-kasetti? Entäs AI? Vuosikymmenien varrella on ollut erilaisia ekosysteemikilpailuita markkinaherruuksista, seuraava merkittävä käydään keinoälystä Meidän keinoäly on parempi kuin teidän keinoäly! Haluaisitko sinä markkinoiden 2. tai 3. parhaan keinoälyn organisaatiosi johtoryhmään tai vastaamaan jostain liiketoimintaprosessin kehittämisestä tai toteuttamisesta? En minäkään. Samoin tähän liittyy meidän kannalta kriittinen puheentunnistus miten varmistamme sen, että jatkossa me voimme samalla tavalla ohjata robottejamme muita laitteita suomenkielellä vs muut kielet? VAHTI-kuntien alueseminaarit - syksy 2016 47 Tästä eli tulevaisuudesta lisätietoa? 22.11.2016 klo 9.00 11.45 Risto Linturi Cristina Andersson Sari Stenfors Timur Kärki Kimmo Rousku Ilmoittaudu nettilähetykseen VAHTI-kuntien alueseminaarit - syksy 2016 48 24
VAHTI-kuntien alueseminaarit - syksy 2016 49 Tiivistys miten me tähän varaudutaan? *-muutos* VAHTI-kuntien alueseminaarit - syksy 2016 50 25
ICT-toiminnan häiriöt vs tieto- ja kyberturvallisuushäiriöt ja poikkeamat Mikä häiriö? Tavallinen poikkeama häiriö toiminnassa AIKA VAHTI-kuntien alueseminaarit - syksy 2016 52 26
Mieti 10 viimeisintä kohtaamaasi ongelmaa! Kuinka monta kertaa ongelma on ollut aidosti tieto- tai kyberturvallisuuteen liittyvä? Häiriötilanteiden hallinta => Entistä tärkeämpi osa-alue, jonka tulee toimia riippumatta siitä, mikä ongelmien aiheuttaja on. Häiriö on useimmiten ihan perinteinen palvelutuotantoon liittyvä tekninen ongelma onneksi harvemmin tieto- tai kyberturvallisuuteen liittyvä VAHTI-kuntien alueseminaarit - syksy 2016 53 ICT-palvelut ja normaalit häiriötilanteet Entä jos aamu alkaisi tällaisella uutisella mediassa? Mikä teillä on se tieto, jonka vuotaminen nostaisi hien pintaan? Potilas asiakas valitse! Kuvitteellinen uutinen, joka on kuitenkin täysin mahdollinen Mikä on tällaisen ongelman, mahdollisen tietovuodon ero verrattuna edellä kuvattuihin tavallisiin, ICT-järjestelmien toiminnassa törmättyihin pääasiassa teknisiin ongelmiin? VAHTI-kuntien alueseminaarit - syksy 2016 54 27
Tiedot jäävät ikuisiksi ajoiksi nettiin? Tietoturva - poikkeama toiminnassa AIKA VAHTI-kuntien alueseminaarit - syksy 2016 55 Hyvä esimerkki toissa viikon perjantailta 21.10.2016 VAHTI-kuntien alueseminaarit - syksy 2016 56 28
Otetaan vielä toisenlainen näkymä tilanteeseen Tieto- ja kyberturvallisuusongelmien aiheuttajat ovat usein ihmisten aiheuttamia, mutta tässä yhteydessä mainittakoon myös yhteiskunnan toimivuuden varmistaminen erilaisissa häiriötilanteissa hyvin keskeinen osa kyberturvallisuutta Myrskyjen aiheuttamat häiriötilanteet ovat uhka myös tieto- ja kyberturvallisuudelle! Sähköriippuvuus modernissa yhteiskunnassa 10.02.2015 Turvallisuuskomitea 2015. Päivitys julkaisusta "Pitkä sähkökatko ja yhteiskunnan elintärkeiden toimintojen turvaaminen". http://www.huoltovarmuus.fi/static/pdf/817.pdf VAHTI-kuntien alueseminaarit - syksy 2016 57 (Tieto)turvallisuus on toiminnan mahdollistaja! 29
Mitä tarvitaan? Tietoturvan rinnalle tietosuojan mukaantulo Tietosuoja Saatavuus Eheys Luottamuksellisuus Kimmo Rousku 28081999-1234 EU-tietosuoja-asetuksen muutokset tuovat velvoitteita myös tietoturvallisuuden kehittämiseen Tietosuoja osalta vaatimustenmukaisuus toteutetaan olemassa olevia prosesseja päivittämällä ja tarvittavat muut velvoitteet täyttämällä ei kannata tehdä tästä liian hankalaa! VAHTI-kuntien alueseminaarit - syksy 2016 59 UHKAT - erilaisia häiriöitä ja niiden aiheuttajia Poikkeamien ja häiriöiden vaikutus ja merkitys ~entä jatkossa yleisyys? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt VAHTI-kuntien alueseminaarit - syksy 2016 60 30
Iso kuva mitä tästä puuttuu? Mitä tarvitaan? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvuussuhteet vuorovaikutus Riskienhallinta-prosessi ja BIA-vaikutusanalyysi Varautumissuunnittelu- ja suunnitelmat Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunnitelmat Toipumissuunnitelmat tietojärjestelmä(t) Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt 61 Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt VAHTI-kuntien alueseminaarit - syksy 2016 61 Johtaminen Ennakointi Suojattava kohde Reagointi Riskienhallinta Rautaa rajalle Turvallisuuden Toiminnan Prosessien mukainen toiminta seuranta ja arviointi jatkuvuuden Henkilöstön ohjeistus, tietoisuuden kasvattaminen, koulutus varmistaminen VAHTI-kuntien alueseminaarit - syksy 2016 62 31
Tuuletin Oliko poikkeaman aiheuttama tunnettu uhka ~ei siis vielä riskiksi tunnistettu tai hallinnassa oleva riski, joka kuitenkin laukesi? Todennäköisyys kasvoi tai sovitut toimenpiteet eivät purreet? Tietoturvapoikkeama ~kyberturvallisuushäirö entäs muut häiriöt ( ict, muu toiminta, luonto) Henki Omaisuus Tieto Raha Maine Lakisääteisyys Varautumissuunnittelu- ja suunnitelmat Jatkuvuus- ja valmiussuunnittelu Kyvykkyys reagoida! Toipumissuunnitelmat tietojärjestelmä(t) VAHTI-kuntien alueseminaarit - syksy 2016 63 Luottamus siitähän tästä kaikessa on kysymys? Miten me muodostamme luottamusverkoston eri osapuolien ja f2f kesken? 32
Kustannustehokkain tapa on kouluttaa henkilöstöä, synnyttää oikeanlaista kulttuuria ja luoda oikeanlaista asennetta johdon toimiessa esimerkkinä TIIVISTYS mitä organisaatioissa tarvitaan? Kriittinen toiminta ja riippuvuudet on tunnistettava ja priorisoitava Kaikki ei ole kriittistä Infrastruktuurin rooli kasvanut Voiko kokonaisuutta hallita? Riskienhallinnan käyttöä on laajennettava ja tehostettava RAHIlyysi & mutustelu vrt aidosti tunnistetut uhat ja hallintaan otetut riskit => aito kustannustehokkuus Toiminnan jatkuvuus tulee varmistaa ennakolta erityisesti kriittisten toimintojen osalta Huolehdittava tarvittavasta varautumiskyvystä KUN jotain tapahtuu Kaikki (tieto)turvallisuuden eteen tehtävä työ on myös kyberturvallisuudesta huolehtimista motivoimaton, kouluttamaton ja ohjeistamaton henkilöstö kuuluisa heikoin lenkki? VAHTI-kuntien alueseminaarit - syksy 2016 66 33
Mistä APUA VAHTI auttaa! Uusi VAHTI-johtoryhmä asetetaan v 2017-2019 Nykyinen toimikausi päättyy 31.12.2016. Sopivasti osana 20. VAHTIn juhlavuotta asetamme uuden julkishallinnon tieto- ja kyberturvallisuuden johtoryhmän Keskeiset muutokset: Itse johtoryhmän toiminnan vahvistaminen, ministeriöt ja keskeiset muut turvaelimet mukaan toimintaan VAHTI-sihteeristön toiminnan vahvistaminen ja laajentaminen Nykyiset ohje, tekninen ja kuntien tietoturvajaosto korvautuvat viidellä asiantuntijajaoksen alaisuudessa toimivalla työryhmällä VIRT-häiriötilannehallinnan kehittäminen osaksi VAHTI-toimintaa VAHTI-kuntien alueseminaarit - syksy 2016 68 34
Julkishallinnon kyberturvallisuuden johtaminen Sihteeristö VAHTI-johtoryhmä Turvallisuuskomitea JUHTA TIETOKEKO Valmiuspäällikkökokous NSA-yhteistyöryhmä TSV Asiantuntijajaos Johtaminen ja riskienhallinta Turvallisuus kehittämisessä Turvallisuuden ylläpito Toiminnan jatkuvuuden hallinta VIRT-toiminta operatiivinen Seuranta ja arviointi Valtioneuvoston ja hallinnonalojen tietoturvaryhmät Operatiiviset toimijat (mm. ICT-palvelu- ja kyberturvallisuuskeskukset) VAHTI-kuntien alueseminaarit - syksy 2016 69 Ajankohtaista VAHTI-toiminnassa Uusi VAHTI-portaali Julkaisemme joulukuussa Meidän oman toiminnan digitalisaatio linkitykset myös verkkokoulutuksiin Mahdollisesti tulevan asetuksen lain keskeinen täytäntöönpanon tukipalvelu Uudet (tieto)turvavaatimukset Päivitämme tietoturvavaatimuksia pilottityyppisesti pilotoimme sopivia uuden tietoturvallisuuden perus(minimi)tason yhtenäisempiä vaatimuksia Vaatimukset: organisaatio (hallinnollinen) palvelut (tekninen) hankinta <= auditointivaatimukset Samoin käynnissä on selvitys nykyisen tietoturvasäädöstön toimivuudesta mikä on toimivaa ja hyvää miten tätä tulisi mahdollisesti uudistaa tai päivittää? VAHTI-kuntien alueseminaarit - syksy 2016 70 35
Ajankohtaista VAHTI-toiminnassa Uusia VAHTI-materiaaleja saatavilla Tulossa vielä v 2016: VAHTI 3/2016 Tietoturvapoikkeamien hallinta VAHTI 4/2016 Sähköisen asioinnin tietoturvaohje VAHTI-raportti 2/2016 VAHTI-tietoturvabarometri VAHTI-kuntien alueseminaarit - syksy 2016 71 Digitaaliseen turvallisuuteen kohdistuvien riskien hallinta taloudellisen ja yhteiskunnallisen hyvinvoinnin edistämiseksi Suosittelen tutustumaan ylätason näkemys kokonaisuuteen hyödynnämme tätä VAHTI-riskienhallintaohjeen uudistamistyössä www.vahtiohje.fi VAHTI-kuntien alueseminaarit - syksy 2016 72 36
VAHTIn kuntajaoston kiertue Kuntakiertueen paikkakunnat, aikataulu ja ilmoittautuminen: 13.10. Jyväskylä, Minnansali, Vapaudenkatu 39-41 20.10. Oulu, Valtuustosali, Kirkkokatu 2a 27.10. Vaasa, Vaasan yliopisto, Wolffintie 34 8.11. Kuopio, Valtuustotalo, Suokatu 42 9.11. Helsinki, Kuntatalo, Toinen linja 14 VAHTI-kuntien alueseminaarit - syksy 2016 73 Riskienhallinta - kaksi merkittävää hanketta meneillään VAHTI-ryhmä päivittää riskienhallinnan ohjetta, prosessia ja työkalua Riskienhallinnan ohella myös mahdollisuuksien tunnistaminen Tietoriskit kyberturvallisuus toiminnan digitalisaatio tietosuoja -esimerkkeinä Sisäisen valvonnan ja riskienhallinnan neuvottelukunta on sisäisen valvonnan ja riskienhallinnan tilaa ja kehittämistä seuratessaan tunnistanut tarpeen kehittää erityisesti riskienhallintapolitiikkaa Laaditun selvityksen tulosten perusteella neuvottelukunta päätti valmistella riskienhallintapolitiikan mallin, jota valtionhallinnon virastot voivat hyödyntää omassa riskienhallinnassaan sekä sen kehittämisessä Teemme tiivistä yhteistyötä alustavana tavoitteena saada nämä molemmat samaan lausuntokokonaisuuteen alkuvuosi 2017 VAHTI-kuntien alueseminaarit - syksy 2016 74 37
VAHTI-riskienhallinta x/2017 Uudistamme kokonaan 7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa Lopputulos: Päivitetty ohje Riskienhallintaprosessi, sitä tukeva ohje ja Excel-työkalu Perinteinen tietoriski tietoturvallisuus kyberriskit tietosuoja sekä digitalisaation riskit ja mahdollisuudet case-esimerkit Selvitämme 2017, miten RaaS saadaan toteutettua Hyödynnämme ISO 31000-pohjaisuutta esimerkiksi terminologian, prosessin osalta rusinat pullasta ja kerma päältä pullamössöten - mallilla VAHTI-kuntien alueseminaarit - syksy 2016 75 Varaa aika kalenterista! VAHTI-kuntien alueseminaarit - syksy 2016 76 38
Yhteenvetoa - Helsinki Päivän tiivistys 7 kalvoon Tietoturvallisuus on a) saatavuus b) eheys ja c) jos salassa pidettävää, luottamuksellisuus jos henkilötietoja, myös tietosuojavaatimukset Jos organisaatiosi ei osallistunut VAHTI-baroon, varmista osallistuminen ensi vuonna Panosta henkilöiden koulutukseen ja ohjeistamiseen, ei kertaluonteisesti 100 m 400 m juoksu vaan jatkuvasti Tietosuojan osalta pitää käynnistää työ ASAP ellei ole jo liikkeellä => tietovirrat, sopimukset Rikosten tutkiminen kuuluu poliisille - Rikosilmoitus kannattaa tehdä aina! muista myös ilmoittaa Viestintävirastoon VAHTI-kuntien alueseminaarit - syksy 2016 78 39
Mikään teknologia ei korvaa IHMISEN tietoturvakäyttäytymistä VAHTI-kuntien alueseminaarit - syksy 2016 79 VAHTI-kuntien alueseminaarit - syksy 2016 80 40
www.vahtiohje.fi VAHTI-kuntien alueseminaarit - syksy 2016 81 Paneeli VAHTI-kuntien alueseminaarit - syksy 2016 82 41
Äänestys VAHTI-kuntien alueseminaarit - syksy 2016 83 Pari konkreettista tehtävää: Tutustu www.vahtiohje.fi Hyödynnä materiaali www.cert.fi => nopein tieto Viestintäviraston palveluihin Jos organisaatiollanne ei ole tietoturva@kunta.fi niin perustakaa tällainen jakelulista, laittakaa siitä tieto vahti@vm.fi Tulemme ensi vuonna osana uutta VAHTI-toimintaa käynnistämään säännöllisen tiedottamisen toiminnasta, käytämme tätä muuhun tiedottamiseen kuten myös Vivi Kyberturvallisuuskeskus saa myös nämä tiedot VAHTI-kuntien alueseminaarit - syksy 2016 84 42
Kimmo Rousku VAHTI-pääsihteeri kimmo.rousku@vm.fi Puh. 02955 30140 @kimmorousku Kutsuthan minut verkostoosi? http://www.vahtiohje.fi 43