KIRJALLINEN KYSYMYS 1108/2001 vp Valtionhallinnon tietoturvallisuus Eduskunnan puhemiehelle Kansainvälinen terrorismi ja muu rikollinen toiminta antavat aiheen saattaa valtionhallinnon tietoturvallisuuden ajan tasalle. Tällä tarkoitetaan tietojen, järjestelmien, palveluiden ja tietoliikenteen asianmukaista suojaamista sekä normaaliettä poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä. Sähköisten tietojärjestelmien haavoittuvuus tulee jatkuvasti esille muun muassa erilaisten sovelluksissa leviävien tietokonevirusten muodossa. Vielä paljon vakavampi kysymys on mahdollisuus manipuloida erilaisia tiedostoja sekä esimerkiksi sähköisiä viestejä. Lisääntyvä riippuvuus sähköisestä tiedonsiirrosta on osaltaan kasvattanut riskejä. Eri valtionhallinnon aloilla, kuten ministeriöillä, on erilaisia tietojärjestelmiä, ja vaikuttaa siltä, että myöskään yhteisiä tietoturvallisuusnormistoja ei ole olemassa. Tietoliikenteen häiriöttömyys, tietotekniikan toimivuus sekä tietoturvaloukkausten havaitseminen ja ratkaiseminen ovat oleellisia kysymyksiä myös normaalioloissa. Talouspoliittinen ministerivaliokunta on käsitellyt 12.6.2001 tietoturvakysymyksiä. Edellä olevan perusteella ja eduskunnan työjärjestyksen 27 :ään viitaten esitän kunnioittavasti valtioneuvoston asianomaisen jäsenen vastattavaksi seuraavan kysymyksen: Onko hallitus tehostamassa tietoturvallisuutta valtionhallinnossa viimeaikaisten kansainvälisten tapahtumien johdosta ja mihin konkreettisiin toimiin se ryhtyy tietoliikenne- ja tietotekniikan turvallisuuden parantamiseksi sekä tietoturvaloukkausten ja -ongelmien havaitsemiseksi ja ratkaisemiseksi? Helsingissä 11 päivänä lokakuuta 2001 Antti Rantakangas /kesk Versio 2.0
Ministerin vastaus Eduskunnan puhemiehelle Eduskunnan työjärjestyksen 27 :ssä mainitussa tarkoituksessa Te, Rouva puhemies, olette toimittanut valtioneuvoston asianomaisen jäsenen vastattavaksi kansanedustaja Antti Rantakankaan /kesk näin kuuluvan kirjallisen kysymyksen KK 1108/2001 vp: Onko hallitus tehostamassa tietoturvallisuutta valtionhallinnossa viimeaikaisten kansainvälisten tapahtumien johdosta ja mihin konkreettisiin toimiin se ryhtyy tietoliikenne- ja tietotekniikan turvallisuuden parantamiseksi sekä tietoturvaloukkausten ja -ongelmien havaitsemiseksi ja ratkaisemiseksi? Vastauksena kysymykseen esitän kunnioittavasti seuraavaa: Valtionhallinnossa jatkuvaan tietoturvallisuustyöhön ja sen yhteisiin linjauksiin on panostettu voimakkaasti jo pitkän aikaa. Valtionvarainministeriö (VM) on antanut ministeriöille sekä valtion virastoille ja laitoksille ohjeita tietoturvallisuudesta noin 20 vuoden ajan. Valtionhallinnon tietoturvallisuustyötä on viime vuosina entisestään tehostettu, koska tietoturvallisuuden merkitys on kasvanut toisaalta uhkien, kuten tietoturvahyökkäysten, virusten jne. lisääntymisen ja toisaalta sähköisen asioinnin, kansainvälistymisen sekä toimintojen ja palveluiden verkottumisen takia. Viime vuosina valtioneuvosto on valmistellut keskeistä tietoturvallisuuteen liittyvää lainsäädäntöä (esimerkiksi julkisuuslaki ja sitä täydentävä asetus, henkilötietolaki, laki sähköisestä asioinnista hallinnossa, rikoslain muutokset), ja VM on antanut useita uusia tietoturvallisuusohjeita valtionhallinnolle. Valtioneuvosto on myös tehnyt periaatepäätöksiä, jotka linjaavat valtionhallinnon tietoturvallisuustyötä: periaatepäätökset sähköisten asiointipalvelujen kehittämisestä (5.2.1998), valtion tietoturvallisuudesta (11.11.1999) ja valtion tietohallinnon kehittämisestä (2.3.2000). Myös osa ns. tulevaisuuspaketin (VN periaatepäätös 26.5.2000) varoista on ohjattu tietoturvallisuuden kehittämiseen. Valtionhallinnossa jokainen organisaatio vastaa omasta tietoturvallisuudestaan säädösten tietoturvallisuusvelvoitteiden mukaisesti. Valtiovarainministeriön asettama valtion tietoturvallisuuden johtoryhmä (VAHTI) kehittää, koordinoi ja ylläpitää valtion tietoturvallisuuden tavoitteita, toiminta- ja organisointilinjauksia sekä suosituksia, ohjeita ja määräyksiä. Tämän työn tuloksena valtionhallinnossa on kattava, yhteinen tietoturvallisuusohjeisto, jonka avulla tuetaan valtion organisaatioita tietoturvallisuuden varmistamisessa ja jatkuvassa kehittämisessä (katso: taulukko). Ohjeet ovat sovellettavissa myös kunnallishallinnossa ja elinkeinoelämässä. Pääosa valtion yhteisistä tietoturvallisuusohjeista löytyy VAH- TIn Internet-sivuilta: www.vn.fi/vm/kehittaminen/tietoturvallisuus/vahti/vahti2.htm. 2
Ministerin vastaus KK 1108/2001 vp Antti Rantakangas /kesk Taulukko: Keskeisiä VM:n viime vuosina antamia valtion tietoturvallisuusohjeita Valtionhallinnon sähköpostien ja lokitietojen käsittelyohje VAHTI 5/2001 Sähköisten palveluiden ja asioinnin tietoturvallisuuden yleisohje VAHTI 4/2001 Salauskäytäntöjä koskeva valtionhallinnon tietoturvallisuussuositus VAHTI 3/2001 Valtionhallinnon lähiverkkojen tietoturvallisuussuositus VAHTI 2/2001 Valtion viranomaisen tietoturvallisuustyön yleisohje VAHTI 1/2001 Tietokoneviruksilta ja muilta haittaohjelmistoilta suojautumisen yleisohje VAHTI 4/2000 Tietojärjestelmäkehityksen tietoturvallisuussuositus VAHTI 3/2000 Valtion tietoaineistojen käsittelyn tietoturvaohje VAHTI 2/2000 Tarpeettomien tietoaineistojen hävittämisohje VM 19.4.2000 Valtionhallinnon tietoturvallisuuskäsitteistö VAHTI 1/2000 Tietojärjestelmäselosteen laadintasuositus VM 17.2.2000 Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu- ja merkintäohje VM 19.1.2000 Tietohallintotoimintojen ulkoistamisen tietoturvallisuussuositus VAHTI 2/1999 Valtion etätyön tietoturvallisuussuositus VAHTI 1/1999 Internetin käyttö- ja tietoturvallisuussuositus VAHTI 1/1998 Suositus toimitilaturvallisuuden huomioonottamisesta valtionhallinnossa VM 30.12.1998 Tietoturvallisuuden tulosohjaus ja kehittämisvälineet VAHTI 3/1997 Tietojenkäsittelyn turvaaminen tietoyhteiskunnassa 1996 (VM ja PTS) Normaaliolojen ohjeisto ja tietoturvallisuustyö ovat myös perusta erityistilanteiden ja poikkeusolojen toimintojen jatkuvuuden ja tietojärjestelmien toimivuuden varmistamiselle. Tietoturvallisuustyössä tehdään paljon yhteistoimintaa eri viranomaisten kesken ja tarvittavilta osin myös elinkeinoelämän kanssa. Puolustustaloudellisen suunnittelukunnan (PTS) tietojärjestelmäjaosto ja sen alaiset tietojenkäsittely- ja tiedonsiirtotoimikunta ovat keskeisiä poikkeusoloihin varautumisen tietoturvallisuuden yhteistyöelimiä. Erityistilanteisiin ja poikkeusoloihin liittyvät tietoturvallisuusharjoitukset ovat osa vakiintunutta valtionhallinnon tietoturvallisuustyötä. Valtioon, sen organisaatioihin ja tietojärjestelmiin kohdistuvien tietoturvaloukkausten ennaltaehkäisy ja torjunta on välttämätöntä. Valtion tietoturvallisuusohjeisto tukee ennakoivaa tietoturvallisuustyötä. Suomen valtion organisaatioita on myös aktiivisesti mukana tietoturvallisuuden kansainvälisessä kehitystyössä ja tietojenvaihdossa. Operatiivisella tasolla CSC Tieteellinen laskenta on jo useiden vuosien ajan tarjonnut tietoturvallisuusloukkausten käsittelyyn liittyvää palvelua (ns. Cert-palvelut), jonka käyttäjänä on merkittävä osa valtionhallinnon organisaatioita. Viestintävirasto (entinen Telehallintokeskus) aloittaa Cert-palvelunsa vuoden 2002 alussa. Viime aikojen tapahtumat osoittavat osaltaan jatkuvan tietoturvallisuuden kehittämisen ja valtion ajantasaisten tietoturvallisuusohjeiden toimeenpanon tarpeellisuuden. VAHTIssa, PTS:ssä ja valtion organisaatioissa on jatkuvasti käynnissä useita tietoturvallisuuden toimeenpanoa ja parhaiden käytäntöjen toteutusta tehostavia hankkeita. Valtion keskeisillä organisaatioilla on myös käytettävissään valtion atk-varakeskuspalvelut. Yksittäisten organisaatioiden tietoturvallisuusjärjestelyt ovat suurelta osin julkisuuslain 24 :n 1 momentin mukaisesti salassa pidettäviä tietoja, joten niissä tehtyjä kehitystoimia ei tässä kuvata. 3
Ministerin vastaus Helsingissä 2 päivänä marraskuuta 2001 Ministeri Suvi-Anne Siimes 4
Ministerns svar KK 1108/2001 vp Antti Rantakangas /kesk Till riksdagens talman I det syfte 27 riksdagens arbetsordning anger har Ni, Fru talman, till behöriga medlem av statsrådet översänt följande av riksdagsledamot Antti Rantakangas /cent undertecknade skriftliga spörsmål SS 1108/2001 rd: Kommer regeringen att effektivera datasäkerheten inom statsförvaltningen på grund av den senaste tidens internationella händelser och vilka konkreta åtgärder vidtar man för att förbättra säkerheten inom datakommunikationen och datatekniken samt för att upptäcka och åtgärda kränkningar och problem gällande datasäkerheten? Som svar på detta spörsmål får jag vördsamt anföra följande: Inom statsförvaltningen har man satsat hårt på kontinuerligt datasäkerhetsarbete och gemensamma riktlinjer för detta arbete. Finansministeriet (FM) har gett ministerierna och statliga ämbetsverk och inrättningar anvisningar om datasäkerhet i ca 20 års tid. Datasäkerhetsarbetet inom statsförvaltningen har under de senaste åren ytterligare intensifierats, eftersom betydelsen av datasäkerhet har ökat dels på grund av de ökade hoten, t.ex. attacker mot dataskyddet, virus osv., och dels på grund av den elektroniska kommunikationen, internationaliseringen och upprättandet av nätverk när det gäller olika funktioner och tjänster. Under de senaste åren har statsrådet berett central lagstiftning gällande datasäkerhet (t.ex. offentlighetslagen och den förordning som kompletterar lagen, personuppgiftslagen, lagen om elektronisk kommunikation i förvaltningsärenden, ändringarna av strafflagen) och FM har gett statsförvaltningen flera nya datasäkerhetsanvisningar. Statsrådet har också fattat principbeslut där riktlinjerna för statsförvaltningens datasäkerhetsarbete dras upp: principbeslutet om möjligheterna att uträtta ärenden elektroniskt, utveckla tjänster och minska insamlandet av data (5.2.1998), principbeslutet om informationssäkerheten inom statsförvaltningen (11.11.1999) och principbeslutet om utvecklande av statsförvaltningens informationsförvaltning (2.3.2000). Också en del av medlen för det s.k. framtidspaketet (SR principbeslut 26.5.2000) har anvisats för utvecklande av datasäkerheten. Inom statsförvaltningen svarar varje organisation för sin egen datasäkerhet i enlighet med de förpliktelser som ingår i författningarna. Den av FM tillsatta ledningsgruppen för datasäkerheten inom statsförvaltningen (VAHTI) utvecklar, koordinerar och upprätthåller målen för statens datasäkerhet, riktlinjerna för verksamheten och organisationen samt rekommendationer, anvisningar och föreskrifter. Resultatet av detta arbete i statsförvaltningen är en omfattande, enhetlig uppsättning anvisningar med hjälp av vilka man stöder statens organisation när det gäller tryggandet och det kontinuerliga utvecklandet av datasäkerheten (se tabellen). Anvisningarna kan tillämpas också inom den kommunala förvaltningen och näringslivet. Huvuddelen av statens gemensamma datasäkerhetsanvisningar finns på VAH- TIs webbsidor på adressen www.vn.fi/vm/kehittaminen/tietoturvallisuus/vahti/vahti2.htm. 5
Ministerns svar Tabell: FM:s viktigaste datasäkerhetsanvisningar under de senaste åren Valtionhallinnon sähköpostien ja lokitietojen käsittelyohje VAHTI 5/2001 (Anvisning om behandling av elektronisk post och logguppgifter inom statsförvaltningen) Allmän anvisning om datasäkerheten i samband med elektroniska tjänster och VAHTI 4/2001 elektronisk kommunikation Salauskäytäntöjä koskeva valtionhallinnon tietoturvallisuussuositus VAHTI 3/2001 (Datasäkerhetsrekommendation för statsförvaltningen i fråga om krypteringsförfaranden) Valtionhallinnon lähiverkkojen tietoturvallisuussuositus VAHTI 2/2001 (Rekommendation om datasäkerheten i samband med lokalnäten inom statsförvaltningen) Allmän anvisning om datasäkerhetsarbetet vid statliga myndigheter VAHTI 1/2001 Tietokoneviruksilta ja muilta haittaohjelmistoilta suojautumisen yleisohje VAHTI 4/2000 (Allmän anvisning om skydd mot datorvirus och andra skadliga program) Tietojärjestelmäkehityksen tietoturvallisuussuositus VAHTI 3/2000 (Rekommendation om datasäkerheten i samband med datasystemutvecklingen) Valtionhallinnon tietoaineistojen käsittelyn tietoturvaohje VAHTI 2/2000 (Anvisning om datasäkerheten i samband med behandlingen av informationsmaterial inom statsförvaltningen) Utgallring av obehövligt datamaterial FM 19.4.2000 Valtionhallinnon tietoturvallisuuskäsitteistö VAHTI 1/2000 (Datasäkerhetsbegrepp inom statsförvaltningen) Rekommendation för uppgörande av datasystembeskrivningar FM 17.2.2000 Anvisningar för skyddsklassificering av och anteckningar på uppgifter och handlingar som skall beläggas med sekretess FM 19.1.2000 Tietohallintotoimintojen ulkoistamisen tietoturvallisuussuositus VAHTI 2/1999 (Rekommendation om externalisering av statens dataadministrationsfunktioner) Valtion etätyön tietoturvallisuussuositus VAHTI 1/1999 (Rekommendation om datasäkerheten i samband med statligt distansarbete) Internetin käyttö- ja tietoturvallisuussuositus VAHTI 1/1998 (Rekommendation om användningen av Internet inom staten och om datasäkerheten på Internet) Suositus toimitilaturvallisuuden huomioonottamisesta valtionhallinnossa VM 30.12.1998 (FM:s rekommendation om beaktande av lokalitetssäkerheten inom statsförvaltningen) Tietoturvallisuuden tulosohjaus ja kehittämisvälineet VAHTI 3/1997 (Resultatstyrning av och utvecklingsverktyg för datasäkerheten) Tietojenkäsittelyn turvaaminen tietoyhteiskunnassa (Tryggande av databehandlingen i informationssamhället, FM och Försvarsekonomiska planeringskommissionen FPK) 1996 (VM ja PTS) 6
Ministerns svar KK 1108/2001 vp Antti Rantakangas /kesk Anvisningarna och datasäkerhetsarbetet under normalförhållanden är också en grund för säkerställandet av att funktionerna och datasystemen fungerar i exceptionella situationer och under undantagsförhållanden. I datasäkerhetsarbetet pågår mycket samarbete mellan olika myndigheter och i behövliga delar även med näringslivet. Försvarsekonomiska planeringskommissionens (FPK) informationstekniksektion och dess datahandlings- och dataöverföringskommitté är avgörande samarbetsorgan när det gäller datasäkerhetsberedskapen för undantagsförhållanden. Datasäkerhetsövningar i samband med exceptionella situationer och undantagsförhållanden är en del av det etablerade datasäkerhetsarbetet inom statsförvaltningen. Förebyggande och förhindrande av kränkningar av dataskyddet inom staten, dess organisationer och datasystem är nödvändigt. Statens anvisningar om datasäkerhet stöder ett förutseende datasäkerhetsarbete. Finska statliga organisationer deltar också aktivt i det internationella utvecklingsarbetet och informationsutbytet på datasäkerhetens område. På operativ nivå har CSC Tieteellinen Laskenta redan i flera år erbjudit service i anslutning till behandlingen av kränkningar av datasäkerheten (s.k. Cert-service) som anlitats av en stor del av organisationerna inom statsförvaltningen. Kommunikationsverket (tidigare Teleförvaltningscentralen) inleder sin Cert-service vid ingången av 2002. Händelserna under den senaste tiden visar för sin del behovet av kontinuerlig utveckling av datasäkerheten och verkställande av aktuella datasäkerhetsanvisningar inom statsförvaltningen. I VAHTI, försvarsekonomiska planeringskommissionen och statliga organisationer pågår hela tiden flera projekt för effektivering av verkställandet av datasäkerhet och genomförandet av de bästa tillvägagångssätten. Statens viktigaste organisationer har också till sitt förfogande de tjänster som statens reservdatacentral erbjuder. Datasäkerhetsarrangemangen i enskilda organisationer är enligt 24 1 mom. offentlighetslagen till stor del sekretessbelagda uppgifter, och därför beskrivs utvecklingsåtgärderna i fråga om dem inte här. Helsingfors den 2 november 2001 Minister Suvi-Anne Siimes 7