VAHTI - Kuntien tietoturvajaoston kuntien kyberturvallisuuden alueseminaari Helsinki 9.10

Samankaltaiset tiedostot
Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Kansallinen kyberturvallisuusharjoitus miten harjoitus tekee mestarin?

ICT & digitaalinen maailma ja turvallisuus v Kimmo Rousku

VAHTI-seminaari: Toiminnan jatkuvuus & tietoturvapoikkeamien hallinta

Miten uudistettu VAHTI voi auttaa organisaatiotasi turvallisuuden kehittämisessä? Kimmo Rousku

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

MISSÄ VIIPYY TURVALLISUUDEN DIGITALISAATIO? Kimmo Rousku - Palopäällystöpäivät, Helsinki

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko tiistai Sähköisen asioinnin tietoturvaseminaari

VAHTI-barometrin tulokset

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

VAHTI. 19. VAHTI-päivä 2016

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko maanantai Aku Hilve ja Kimmo Rousku

Tulevaisuuden kevätpolku

Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Tietosuoja seuraava uusi musta? Kimmo Rousku, VAHTI-pääsihteeri, Tuula Seppo Kuntaliitto

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen Valtiovarainministeriö

Digitalisaatio, keinoäly ja robotisaatio digitaalisen toimintaympäristön uhkia ja mahdollisuuksia

Miltä kyberturvallisuuden ja tietosuojan tilanne näyttää julkisessa hallinnossa VM:n mittareiden ja kyselyiden valossa? Kolme kehittämistoimenpidettä

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

VÄESTÖREKISTERIKESKUKSEN DIGITURVAPALVELUT. Kirsi Janhunen, johtava asiantuntija, VRK

Kimmo Rousku

VAHTI-toiminta ja kuntien tietoturvajaosto Kimmo Rousku, VAHTI-pääsihteeri JUHTA

VAHTIn toiminta

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

TAISTO18-harjoitus - palauteseminaari

Pilkahduksia tulevaisuuteen vol II v 2019

Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

VAHTIn kesäseminaari Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus VAHTI

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

Valtioneuvoston asetus

Laatua ja tehoa toimintaan

Tietoturvapolitiikka

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

TAISTO19-harjoitus. Skype-info

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko torstai ylimmän johdon seminaari Kimmo Rousku

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Kyberturvallisuudessa on kyse luottamuksesta digitalisaation hyötyihin

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Digital by Default varautumisessa huomioitavaa

13.45 Ajankohtaiskatsaus Rikosylikomisario/kyberrikostorjuntakeskuksen päällikkö Timo Piiroinen Keskusrikospoliisi

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE. TAISTO19-harjoitus VÄESTÖREKISTERIKESKUS

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Valmius ja jatkuvuudenhallinta soterakenteissa Sari Vuorinen. Projektipäällikkö Kuntaliitto

Espoon kaupunki Tietoturvapolitiikka

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE VÄESTÖREKISTERIKESKUS

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Luonnos LIITE 1

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Takaisin tulevaisuuteen katse tulevaan

Pysyvä toimintatapamuutos keskushallinnon uudistuksella - seminaari Riikka Pellikka

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

TIETOTURVAPOLITIIKKA

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

JUHTA Riikka Pellikka

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Tietoturvapolitiikka Porvoon Kaupunki

VAHTI-raportti 1/2016 EU-tietosuojan kokonaisuudistus

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASIANTUNTIJAJAOSTON ASETTAMINEN

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta

OPETUS- JA KULTTUURIMINISTERIÖN TOIMIALAN TIETOHALLINNON YHTEISTYÖKOKOUS

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

VAHTIn kesäseminaari Kimmo Rousku VAHTI

Tietoturva- ja tietosuojapolitiikka

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

VIRTU ja tietoturvatasot

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2013

VAHTI kuntien tietoturvajaoston toimintakatsaus

Kybersairauden tiedostaminen! Sairaanhoitopiirien kyberseminaari Kari Wirman

Lausunto Ohjausvaikutusten parantamiseksi julkisen hallinnon yhteisten arkkitehtuurilinjausten laatukriteerejä ovat mm:

Sovelto Oyj JULKINEN

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Varmaa ja vaivatonta viestintää

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

50 vuotta JUHTAA ja VAHTIA -juhlaseminaari

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Transkriptio:

VAHTI - Kuntien tietoturvajaoston kuntien kyberturvallisuuden alueseminaari Helsinki 9.10 9.11.2016 Kimmo Rousku VAHTI Ohjelma 9.00 Avaus Tietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunki VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö Kuinka tietoturva koetaan? VAHTIn mittarit - organisaatiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksia VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö 9.40 VAHTI, Kuntien tietoturvajaoston toiminta Tietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki Tietoturvallisuuden johtaminen ja vastuut Tietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunki 10.30 Keskustelua ja verkostoitumistauko 10.50 Tietoisku: miksi tieto- ja kyberturvallisuus on tärkeää Havainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus VAHTI-kuntien alueseminaarit - syksy 2016 2 1

Ohjelma 11.00 Tulevat lainsäädännön muutokset: EU:n tietosuoja-asetus Tietosuojavaltuutettu Reijo Aarnio Tuleva tietoturvasäädöstö Asiantuntija Saana Seppänen, Kyber- ja infrastruktuuriyksikkö, Valtiovarainministeriö 11.45 Lounas (omakustanteinen) 12.30 Viestintäviraston tietoturvapalvelut ja toiminta häiriötilanteissa Havainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus 13.15 Tieto- ja kyberturvallisuus toiminnan digitaalisaation mahdollistajana - mistä lisäapua? VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö VAHTI-kuntien alueseminaarit - syksy 2016 3 Ohjelma 14.00 Kahvitauko 14.30 Paneeli ja keskustelu Puheenjohtaja tietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki Digitalisaatio ja kyberturvallisuuden organisointi ja vastuutus kustannustehokkaimmat mallit ja ratkaisut? Miten digitailsaatioita ja kyberturvallisuutta voidaan paikallisesti käytännössä edistää - mitkä ovat tulevaisuuden näkymät? Kunnan kyber- ja tietoturvallisuuden jatkuvuuden hallinta muutostilanteessa 15.30 Seminaaripäivän yhteenveto VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö 15.45 Seminaaripäivä päättyy VAHTI-kuntien alueseminaarit - syksy 2016 4 2

VAHTI? VAHTI Valtiovarainministeriön tehtävänä on julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin säädöksiin. Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011) ja valmiuslaki (1552/2011), valtioneuvoston ohjesääntö (262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). Lisäksi valtiovarainministeriön vastuulla on laissa valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä tarkoitettujen yhteisten palvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjaus (1226/2013). VAHTI-kuntien alueseminaarit - syksy 2016 6 3

VAHTI Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä. VAHTI-kuntien alueseminaarit - syksy 2016 7 Kyberturvallisuus? 4

VAHTI-kuntien alueseminaarit - syksy 2016 9 Muutamaa vuotta myöhemmin Alessandro Volta kuitenkin osoitti, että kahden metallin koskettaessa toisiaan esiintyy samantapainen ilmiö ilman sammakonjalkaakin. Havainto johti Voltan parin ja samalla sähkövirran keksimiseen. [1] VAHTI-kuntien alueseminaarit - syksy 2016 10 5

Mietitään vielä Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa ICT-toimintaympäristöön voidaan luottaa ja jossa niiden toiminta turvataan, sisältää myös kyvyn sietää kyberuhkia Myrsky tai reitittimen hajoaminen Sähkökatko tai muuten tietoliikenne poikki Tietoturva- vai Kyberturvallisuusongelma? VAHTI-kuntien alueseminaarit - syksy 2016 11 VAHTI-kuntien alueseminaarit - syksy 2016 12 6

Tieto vs kyberturvallisuus L E S VAHTI-kuntien alueseminaarit - syksy 2016 13 Tieto vs kyberturvallisuus Yksilö Organisaatio Yhteiskunta Kyberturvallisuus VAHTI-kuntien alueseminaarit - syksy 2016 14 7

Entäs kyberturvallisuus Tietoturvallisuus Kyberturvallisuus Tietoturvallisuus - (ICT) kybertoimintaympäristö - kybertoimintaympäristö Analoginen tieto Muuta kuin tietoa (toiminta) Muuta kuin tietoa VAIKUTTAMINEN (toiminta) Digitaalinen tieto (ICTn avulla) Digitaalinen tieto Vaikuttaminen ICT:n avulla kohteeseen VAHTI-kuntien alueseminaarit - syksy 2016 15 VAHTI-kuntien alueseminaarit - syksy 2016 16 8

Tärkeintä on, että harjoitellaan! Harjoitellaanko riittävästi? Sekä VAHTIn valtionhallinnon (2009-2015) että kuntakyselyn (2015) ja uusimman VAHTI henkilöstön ja johdon tietoturvabarometrin mukaan: VAHTI-baro johdon kysymys 5.3 Häiriötilanteiden hallintaa harjoitellaan riittävästi tärkeys vaikeus toteutuminen: 4 erittäin tärkeää erittäin vaikeaa erittäin hyvin 3 tärkeää melko vaikeaa melko hyvin 2 ei kovin tärkeää melko helppoa melko huonosti 1 ei lainkaan tärkeää erittäin helppoa erittäin huonosti Tärkeys: 3,30 Vaikeus: 2,70 Toteutuminen:2,07 VAHTI-kuntien alueseminaarit - syksy 2016 18 9

Kuinka tietoturva koetaan? VAHTIn mittarit - organisaatiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksia Eri kyselyiden suhde VAHTIn organisaatiokohtainen kysely Toteutetaan samassa yhteydessä alla olevan kanssa Nyt toteutettava uusi kysely suositus joka 2 tai 3. vuosi? Organisaatio / vuosittainen Johto Henkilöstö VAHTI-kuntien alueseminaarit - syksy 2016 20 10

Lisätietoa näistä tuloksista VAHTI-toimintakertomus VAHTI-kuntien alueseminaarit - syksy 2016 21 VAHTI-kuntien alueseminaarit - syksy 2016 22 11

Toimintakertomus vuodelta 2015 VAHTI-kuntien alueseminaarit - syksy 2016 23 VAHTI-kuntien alueseminaarit - syksy 2016 24 12

Toimintakertomus vuodelta 2015 VAHTI-kuntien alueseminaarit - syksy 2016 25 Uudistamme organisaatiokyselyä pyrimme luomaan samalla paremmin myös kuntien toimintaa tukevan kyselyn ja mittariston 13

Entä VAHTI-henkilöstön ja johdon tietoturvabarometri? VÄITE Henkilöstö on tietoturvallisuuden heikoin lenkki Totean KYLLÄ, jos henkilöstöä Ei ole koulutettu, ohjeistettu, motivoitu, annettu käyttöön oikeanlaisia työkaluja Organisaation johto ei toimi mallina ja esimerkkinä Tietoturvallisuudesta ei ole tullut asennetta, se ei ole osa toimintakulttuuria Turvallisuus by default VAHTI-kuntien alueseminaarit - syksy 2016 28 14

Miksi VAHTI-henkilöstön ja johdon barometri? Jotta saamme yksittäisen, organisaatiokohtaisen tilannekuvan sijaan laajemman kokonaiskuvan henkilöstön ja johdon näkökulmasta, miten tietoturvallisuus koetaan Ennakolta uskon, että tulemme löytämään useita sellaisia asioita, jotka ovat voimavara (positiivinen havainto), jonka olemassaoloa pitää edelleen tukea ja vahvistaa, löydämme paljon sellaista, joka on niin kuin pitää ja lisäksi löytyy jokunen yllätys, jotka tulee tunnistaa kehittämiskohteina Alustava silmäily on jo näitä kaikkia nostanut esille VAHTI-kuntien alueseminaarit - syksy 2016 29 1. Organisaatio johto päättää osallistumisesta kyselyyn kirjaamoissa VM:n saatekirje 2. Ilmoittautuminen sähköpostilla vahti@vm.fi VM saa tästä samalla yhteyshenkilön, jolle organisaatiokohtainen vastauslinkki ja tarkemmat suomen- ja ruotsinkieliset vastausohjeet toimitetaan 3. VM toimittaa yhteyshenkilöllle vastauslinkin ja vastausohjeet turvapostilla 4. Organisaatio laittaa intranetiin ( ja tai sähköpostitse) uutisen ja kehottaa henkilöstöä vastaamaan kyselyyn 5. Kahden viikon päästä laitetaan vielä muistutusviesti, että vastausaika alkaa loppumaan 6. Kolmen viikon päästä kysely suljetaan eli uutinen ja vastauslinkki poistetaan 7. Tämän jälkeen 14.10 kysely suljetaan. Tämän jälkeen VAHTI tuottaa kyselystä vastaajaorganisaatiokohtaiset tulokset, tiedot luokitellaan ST IV ja toimitetaan turvapostilla organisaation yhteyshenkilölle (loka-marraskuussa). 8. VAHTI julkaisee tuloksista julkisen raportin, arviolta marraskuussa 9. Kysely aktivoidaan uudelleen vuoden 2017 elokuussa jne sama prosessi VAHTI-kuntien alueseminaarit - syksy 2016 30 15

Tilastotietoa Sunnuntaihin 10.11 mennessä 16.11 sulkeutuessa 10710 vastausta 13 915 ~100 organisaatiota 98 osallistunutta organisaatiota 68 valtionhallinnon organisaatiota 29 kuntaa 1 sairaanhoitopiiri Vastausprosentin saamme laskettua myöhemmin, mutta uskomme sen vaihtelevan 5 15% välillä organisaatioittain Potentiaalinen vastaajamäärä tarkentuu, mutta uskomme sen olevan ~170 000 mahdollista vastaajaa VAHTI-kuntien alueseminaarit - syksy 2016 31 Raportti, organisaatiopalaute Tuotamme julkisen raportin ja organisaatiokohtaisen raportin Organisaation tiedot verrattuna verrokkitietoihin Kaikki vastaajat valtionhallinto julkishallinto Jonkinlainen visualisointi tiivistelmänä Organisaation tehtävänä on suorittaa tarkempi analyysi omista tuloksista ja sen perusteella miettiä, miten tulokset tulisi omassa tietoturvallisuuden kehittämisessä ottaa huomioon VAHTI-kuntien alueseminaarit - syksy 2016 32 16

Muutama havainto alustavat tiedot n=13915 VAHTI-kuntien alueseminaarit - syksy 2016 33 Muutama havainto alustavat tiedot n=13915 VAHTI-kuntien alueseminaarit - syksy 2016 34 17

Muutama havainto alustavat tiedot n=13915 2.3 Mihin seuraavista olet saanut ohjeita ja koulutusta? mobiililaitteiden käyttö VAHTI-kuntien alueseminaarit - syksy 2016 35 Muutama havainto alustavat tiedot n=13915 2.3 Mihin seuraavista olet saanut ohjeita ja koulutusta? tietoturvapoikkeamissa toimiminen, esimerkiksi haittaohjelmaepäily VAHTI-kuntien alueseminaarit - syksy 2016 36 18

Muutama havainto alustavat tiedot n=13915 2.4.3 Kuinka käytät salasanoja työtehtävissäsi? VAHTI-kuntien alueseminaarit - syksy 2016 37 Muutama havainto alustavat tiedot n=13915 5.1 Millaisena koet tietoturvallisuuden merkityksen? Tietoturvallisuus mahdollistaa laadukkaan toiminnan ja antaa organisaatiostani luotettavan kuvan. Tietoturvallisuutta tarvitaan, jotta voin käsitellä työssä tarvitsemiani tietoja. Ymmärrän, miksi tietoturvallisuutta tarvitaan, mutta se aiheuttaa ylimääräistä työtä. Tietoturvallisuus on jatkuva riesa, en ymmärrä mihin sitä tarvitaan. VAHTI-kuntien alueseminaarit - syksy 2016 38 19

Muutama havainto alustavat tiedot n=13915 5.2 Miten koet, että tietoturvallisuus on toteutettu organisaatiossasi? erittäin hyvin - työnteko ja palveluiden käyttö on sujuvaa ja vaivatonta hyvin, mutta se saattaa satunnaisesti vaikeuttaa työntekoani huonosti, koska se haittaa ja vaikeuttaa työntekoani usein erittäin huonosti, koska se haittaa ja vaikeuttaa työntekoani jatkuvasti VAHTI-kuntien alueseminaarit - syksy 2016 39 Suosituksia Henkilöstön oikeaoppinen ohjeistaminen ja kouluttaminen jäänyt osittain kesken Erityisesti mobiilikäytön lisääntyessä siitä tarvitaan koko ajan uutta, ajantasaista ohjeistusta Salasanojen osalta suosittelemme muistuttamaan järkevistä käyttömahdollisuuksista Ohjeistaminen häiriötilanteissa! Mitä tehdään erilaisissa tilanteissa, jos jokin palvelu ei toimi, päätelaite varastetaan, työaseman haittaohjelmien torjuntaohjelma antaa hälytyksen? Tietoaineistojen luokittelu jokaisella on vähintään julkinen vs salassa pidettävät tiedot (vs henkilötiedot) VAHTI-kuntien alueseminaarit - syksy 2016 40 20

Kysymyksiä kyselyistämme? Tieto- ja kyberturvallisuus toiminnan digitaalisaation mahdollistajana - mistä lisäapua? 21

Esitykseni - viisi asiaa ja näkökulmaa 1) Teknologiset mahdollisuutemme 2) UHKAT - erilaisia häiriöitä ja niiden aiheuttajia 3) Mitä me tarvitaan? 4) Näkökulmia kyber vs tietoturvallisuus 5) Mistä apua VAHTI auttaa?! VAHTI-kuntien alueseminaarit - syksy 2016 43 1980 1990 2000 2010 2020 2030 Teknologiset mahdollisuutemme Teknologiset mahdollisuutemme Nykyinen kyvykkyytemme teknologian hyödyntämiseen ICT??? Robotisaatio Toiminnan digitalisaatio ATK - automaattinen MTK manuaalinen tietojenkäsittely VAHTI-kuntien alueseminaarit - syksy 2016 44 22

Teknologiset mahdollisuutemme Teknologiset mahdollisuutemme 1982 2016 2050 IBM PC ICT-digi-aikakausi Nano-kvantti-aikakausi Henkilökohtaisuus Yhteisöllisyys ja jakaminen Virtuaali- ja lisätty todellisuus - paikkasidonnaisuus - 24/7/365/360 - keinoäly by default - olematon suorituskyky - rajaton suorituskyky - kvanttilaskenta - ei palveluita - kohti alustataloutta - kaikenlaiset robotit - ei oikeastaan mitään ;-) - keinoälyn osin käytössä - kyborgit - ihmistyö VAHTI-kuntien alueseminaarit - syksy 2016 45 2050 VAHTI-kuntien alueseminaarit - syksy 2016 46 23

Muistatko VHS vs beta-kasetti? Entäs AI? Vuosikymmenien varrella on ollut erilaisia ekosysteemikilpailuita markkinaherruuksista, seuraava merkittävä käydään keinoälystä Meidän keinoäly on parempi kuin teidän keinoäly! Haluaisitko sinä markkinoiden 2. tai 3. parhaan keinoälyn organisaatiosi johtoryhmään tai vastaamaan jostain liiketoimintaprosessin kehittämisestä tai toteuttamisesta? En minäkään. Samoin tähän liittyy meidän kannalta kriittinen puheentunnistus miten varmistamme sen, että jatkossa me voimme samalla tavalla ohjata robottejamme muita laitteita suomenkielellä vs muut kielet? VAHTI-kuntien alueseminaarit - syksy 2016 47 Tästä eli tulevaisuudesta lisätietoa? 22.11.2016 klo 9.00 11.45 Risto Linturi Cristina Andersson Sari Stenfors Timur Kärki Kimmo Rousku Ilmoittaudu nettilähetykseen VAHTI-kuntien alueseminaarit - syksy 2016 48 24

VAHTI-kuntien alueseminaarit - syksy 2016 49 Tiivistys miten me tähän varaudutaan? *-muutos* VAHTI-kuntien alueseminaarit - syksy 2016 50 25

ICT-toiminnan häiriöt vs tieto- ja kyberturvallisuushäiriöt ja poikkeamat Mikä häiriö? Tavallinen poikkeama häiriö toiminnassa AIKA VAHTI-kuntien alueseminaarit - syksy 2016 52 26

Mieti 10 viimeisintä kohtaamaasi ongelmaa! Kuinka monta kertaa ongelma on ollut aidosti tieto- tai kyberturvallisuuteen liittyvä? Häiriötilanteiden hallinta => Entistä tärkeämpi osa-alue, jonka tulee toimia riippumatta siitä, mikä ongelmien aiheuttaja on. Häiriö on useimmiten ihan perinteinen palvelutuotantoon liittyvä tekninen ongelma onneksi harvemmin tieto- tai kyberturvallisuuteen liittyvä VAHTI-kuntien alueseminaarit - syksy 2016 53 ICT-palvelut ja normaalit häiriötilanteet Entä jos aamu alkaisi tällaisella uutisella mediassa? Mikä teillä on se tieto, jonka vuotaminen nostaisi hien pintaan? Potilas asiakas valitse! Kuvitteellinen uutinen, joka on kuitenkin täysin mahdollinen Mikä on tällaisen ongelman, mahdollisen tietovuodon ero verrattuna edellä kuvattuihin tavallisiin, ICT-järjestelmien toiminnassa törmättyihin pääasiassa teknisiin ongelmiin? VAHTI-kuntien alueseminaarit - syksy 2016 54 27

Tiedot jäävät ikuisiksi ajoiksi nettiin? Tietoturva - poikkeama toiminnassa AIKA VAHTI-kuntien alueseminaarit - syksy 2016 55 Hyvä esimerkki toissa viikon perjantailta 21.10.2016 VAHTI-kuntien alueseminaarit - syksy 2016 56 28

Otetaan vielä toisenlainen näkymä tilanteeseen Tieto- ja kyberturvallisuusongelmien aiheuttajat ovat usein ihmisten aiheuttamia, mutta tässä yhteydessä mainittakoon myös yhteiskunnan toimivuuden varmistaminen erilaisissa häiriötilanteissa hyvin keskeinen osa kyberturvallisuutta Myrskyjen aiheuttamat häiriötilanteet ovat uhka myös tieto- ja kyberturvallisuudelle! Sähköriippuvuus modernissa yhteiskunnassa 10.02.2015 Turvallisuuskomitea 2015. Päivitys julkaisusta "Pitkä sähkökatko ja yhteiskunnan elintärkeiden toimintojen turvaaminen". http://www.huoltovarmuus.fi/static/pdf/817.pdf VAHTI-kuntien alueseminaarit - syksy 2016 57 (Tieto)turvallisuus on toiminnan mahdollistaja! 29

Mitä tarvitaan? Tietoturvan rinnalle tietosuojan mukaantulo Tietosuoja Saatavuus Eheys Luottamuksellisuus Kimmo Rousku 28081999-1234 EU-tietosuoja-asetuksen muutokset tuovat velvoitteita myös tietoturvallisuuden kehittämiseen Tietosuoja osalta vaatimustenmukaisuus toteutetaan olemassa olevia prosesseja päivittämällä ja tarvittavat muut velvoitteet täyttämällä ei kannata tehdä tästä liian hankalaa! VAHTI-kuntien alueseminaarit - syksy 2016 59 UHKAT - erilaisia häiriöitä ja niiden aiheuttajia Poikkeamien ja häiriöiden vaikutus ja merkitys ~entä jatkossa yleisyys? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt VAHTI-kuntien alueseminaarit - syksy 2016 60 30

Iso kuva mitä tästä puuttuu? Mitä tarvitaan? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvuussuhteet vuorovaikutus Riskienhallinta-prosessi ja BIA-vaikutusanalyysi Varautumissuunnittelu- ja suunnitelmat Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunnitelmat Toipumissuunnitelmat tietojärjestelmä(t) Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt 61 Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt VAHTI-kuntien alueseminaarit - syksy 2016 61 Johtaminen Ennakointi Suojattava kohde Reagointi Riskienhallinta Rautaa rajalle Turvallisuuden Toiminnan Prosessien mukainen toiminta seuranta ja arviointi jatkuvuuden Henkilöstön ohjeistus, tietoisuuden kasvattaminen, koulutus varmistaminen VAHTI-kuntien alueseminaarit - syksy 2016 62 31

Tuuletin Oliko poikkeaman aiheuttama tunnettu uhka ~ei siis vielä riskiksi tunnistettu tai hallinnassa oleva riski, joka kuitenkin laukesi? Todennäköisyys kasvoi tai sovitut toimenpiteet eivät purreet? Tietoturvapoikkeama ~kyberturvallisuushäirö entäs muut häiriöt ( ict, muu toiminta, luonto) Henki Omaisuus Tieto Raha Maine Lakisääteisyys Varautumissuunnittelu- ja suunnitelmat Jatkuvuus- ja valmiussuunnittelu Kyvykkyys reagoida! Toipumissuunnitelmat tietojärjestelmä(t) VAHTI-kuntien alueseminaarit - syksy 2016 63 Luottamus siitähän tästä kaikessa on kysymys? Miten me muodostamme luottamusverkoston eri osapuolien ja f2f kesken? 32

Kustannustehokkain tapa on kouluttaa henkilöstöä, synnyttää oikeanlaista kulttuuria ja luoda oikeanlaista asennetta johdon toimiessa esimerkkinä TIIVISTYS mitä organisaatioissa tarvitaan? Kriittinen toiminta ja riippuvuudet on tunnistettava ja priorisoitava Kaikki ei ole kriittistä Infrastruktuurin rooli kasvanut Voiko kokonaisuutta hallita? Riskienhallinnan käyttöä on laajennettava ja tehostettava RAHIlyysi & mutustelu vrt aidosti tunnistetut uhat ja hallintaan otetut riskit => aito kustannustehokkuus Toiminnan jatkuvuus tulee varmistaa ennakolta erityisesti kriittisten toimintojen osalta Huolehdittava tarvittavasta varautumiskyvystä KUN jotain tapahtuu Kaikki (tieto)turvallisuuden eteen tehtävä työ on myös kyberturvallisuudesta huolehtimista motivoimaton, kouluttamaton ja ohjeistamaton henkilöstö kuuluisa heikoin lenkki? VAHTI-kuntien alueseminaarit - syksy 2016 66 33

Mistä APUA VAHTI auttaa! Uusi VAHTI-johtoryhmä asetetaan v 2017-2019 Nykyinen toimikausi päättyy 31.12.2016. Sopivasti osana 20. VAHTIn juhlavuotta asetamme uuden julkishallinnon tieto- ja kyberturvallisuuden johtoryhmän Keskeiset muutokset: Itse johtoryhmän toiminnan vahvistaminen, ministeriöt ja keskeiset muut turvaelimet mukaan toimintaan VAHTI-sihteeristön toiminnan vahvistaminen ja laajentaminen Nykyiset ohje, tekninen ja kuntien tietoturvajaosto korvautuvat viidellä asiantuntijajaoksen alaisuudessa toimivalla työryhmällä VIRT-häiriötilannehallinnan kehittäminen osaksi VAHTI-toimintaa VAHTI-kuntien alueseminaarit - syksy 2016 68 34

Julkishallinnon kyberturvallisuuden johtaminen Sihteeristö VAHTI-johtoryhmä Turvallisuuskomitea JUHTA TIETOKEKO Valmiuspäällikkökokous NSA-yhteistyöryhmä TSV Asiantuntijajaos Johtaminen ja riskienhallinta Turvallisuus kehittämisessä Turvallisuuden ylläpito Toiminnan jatkuvuuden hallinta VIRT-toiminta operatiivinen Seuranta ja arviointi Valtioneuvoston ja hallinnonalojen tietoturvaryhmät Operatiiviset toimijat (mm. ICT-palvelu- ja kyberturvallisuuskeskukset) VAHTI-kuntien alueseminaarit - syksy 2016 69 Ajankohtaista VAHTI-toiminnassa Uusi VAHTI-portaali Julkaisemme joulukuussa Meidän oman toiminnan digitalisaatio linkitykset myös verkkokoulutuksiin Mahdollisesti tulevan asetuksen lain keskeinen täytäntöönpanon tukipalvelu Uudet (tieto)turvavaatimukset Päivitämme tietoturvavaatimuksia pilottityyppisesti pilotoimme sopivia uuden tietoturvallisuuden perus(minimi)tason yhtenäisempiä vaatimuksia Vaatimukset: organisaatio (hallinnollinen) palvelut (tekninen) hankinta <= auditointivaatimukset Samoin käynnissä on selvitys nykyisen tietoturvasäädöstön toimivuudesta mikä on toimivaa ja hyvää miten tätä tulisi mahdollisesti uudistaa tai päivittää? VAHTI-kuntien alueseminaarit - syksy 2016 70 35

Ajankohtaista VAHTI-toiminnassa Uusia VAHTI-materiaaleja saatavilla Tulossa vielä v 2016: VAHTI 3/2016 Tietoturvapoikkeamien hallinta VAHTI 4/2016 Sähköisen asioinnin tietoturvaohje VAHTI-raportti 2/2016 VAHTI-tietoturvabarometri VAHTI-kuntien alueseminaarit - syksy 2016 71 Digitaaliseen turvallisuuteen kohdistuvien riskien hallinta taloudellisen ja yhteiskunnallisen hyvinvoinnin edistämiseksi Suosittelen tutustumaan ylätason näkemys kokonaisuuteen hyödynnämme tätä VAHTI-riskienhallintaohjeen uudistamistyössä www.vahtiohje.fi VAHTI-kuntien alueseminaarit - syksy 2016 72 36

VAHTIn kuntajaoston kiertue Kuntakiertueen paikkakunnat, aikataulu ja ilmoittautuminen: 13.10. Jyväskylä, Minnansali, Vapaudenkatu 39-41 20.10. Oulu, Valtuustosali, Kirkkokatu 2a 27.10. Vaasa, Vaasan yliopisto, Wolffintie 34 8.11. Kuopio, Valtuustotalo, Suokatu 42 9.11. Helsinki, Kuntatalo, Toinen linja 14 VAHTI-kuntien alueseminaarit - syksy 2016 73 Riskienhallinta - kaksi merkittävää hanketta meneillään VAHTI-ryhmä päivittää riskienhallinnan ohjetta, prosessia ja työkalua Riskienhallinnan ohella myös mahdollisuuksien tunnistaminen Tietoriskit kyberturvallisuus toiminnan digitalisaatio tietosuoja -esimerkkeinä Sisäisen valvonnan ja riskienhallinnan neuvottelukunta on sisäisen valvonnan ja riskienhallinnan tilaa ja kehittämistä seuratessaan tunnistanut tarpeen kehittää erityisesti riskienhallintapolitiikkaa Laaditun selvityksen tulosten perusteella neuvottelukunta päätti valmistella riskienhallintapolitiikan mallin, jota valtionhallinnon virastot voivat hyödyntää omassa riskienhallinnassaan sekä sen kehittämisessä Teemme tiivistä yhteistyötä alustavana tavoitteena saada nämä molemmat samaan lausuntokokonaisuuteen alkuvuosi 2017 VAHTI-kuntien alueseminaarit - syksy 2016 74 37

VAHTI-riskienhallinta x/2017 Uudistamme kokonaan 7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa Lopputulos: Päivitetty ohje Riskienhallintaprosessi, sitä tukeva ohje ja Excel-työkalu Perinteinen tietoriski tietoturvallisuus kyberriskit tietosuoja sekä digitalisaation riskit ja mahdollisuudet case-esimerkit Selvitämme 2017, miten RaaS saadaan toteutettua Hyödynnämme ISO 31000-pohjaisuutta esimerkiksi terminologian, prosessin osalta rusinat pullasta ja kerma päältä pullamössöten - mallilla VAHTI-kuntien alueseminaarit - syksy 2016 75 Varaa aika kalenterista! VAHTI-kuntien alueseminaarit - syksy 2016 76 38

Yhteenvetoa - Helsinki Päivän tiivistys 7 kalvoon Tietoturvallisuus on a) saatavuus b) eheys ja c) jos salassa pidettävää, luottamuksellisuus jos henkilötietoja, myös tietosuojavaatimukset Jos organisaatiosi ei osallistunut VAHTI-baroon, varmista osallistuminen ensi vuonna Panosta henkilöiden koulutukseen ja ohjeistamiseen, ei kertaluonteisesti 100 m 400 m juoksu vaan jatkuvasti Tietosuojan osalta pitää käynnistää työ ASAP ellei ole jo liikkeellä => tietovirrat, sopimukset Rikosten tutkiminen kuuluu poliisille - Rikosilmoitus kannattaa tehdä aina! muista myös ilmoittaa Viestintävirastoon VAHTI-kuntien alueseminaarit - syksy 2016 78 39

Mikään teknologia ei korvaa IHMISEN tietoturvakäyttäytymistä VAHTI-kuntien alueseminaarit - syksy 2016 79 VAHTI-kuntien alueseminaarit - syksy 2016 80 40

www.vahtiohje.fi VAHTI-kuntien alueseminaarit - syksy 2016 81 Paneeli VAHTI-kuntien alueseminaarit - syksy 2016 82 41

Äänestys VAHTI-kuntien alueseminaarit - syksy 2016 83 Pari konkreettista tehtävää: Tutustu www.vahtiohje.fi Hyödynnä materiaali www.cert.fi => nopein tieto Viestintäviraston palveluihin Jos organisaatiollanne ei ole tietoturva@kunta.fi niin perustakaa tällainen jakelulista, laittakaa siitä tieto vahti@vm.fi Tulemme ensi vuonna osana uutta VAHTI-toimintaa käynnistämään säännöllisen tiedottamisen toiminnasta, käytämme tätä muuhun tiedottamiseen kuten myös Vivi Kyberturvallisuuskeskus saa myös nämä tiedot VAHTI-kuntien alueseminaarit - syksy 2016 84 42

Kimmo Rousku VAHTI-pääsihteeri kimmo.rousku@vm.fi Puh. 02955 30140 @kimmorousku Kutsuthan minut verkostoosi? http://www.vahtiohje.fi 43

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute