Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta Kimmo Rousku, VAHTI-pääsihteeri, JulkICT-osasto
Esitykseni - viisi asiaa ja näkökulmaa 1) Teknologiset mahdollisuutemme 4 kalvoa 2) UHKAT - erilaisia häiriöitä ja niiden aiheuttajia 1 kalvo 3) Mitä me tarvitaan? 3 kalvoa 4) Näkökulmia kyber vs tietoturvallisuus 3 kalvoa 5) Riskienhallinnan kehittämisen tilanne 2 kalvoa 2
1980 1990 2000 2010 2020 2030 Teknologiset mahdollisuutemme Teknologiset mahdollisuutemme??? Robotisaatio Nykyinen kyvykkyytemme teknologian hyödyntämiseen - riski Toiminnan digitalisaatio ICT ATK - automaattinen MTK oikeasti?! MTK manuaalinen tietojenkäsittely 3
Teknologiset mahdollisuutemme Teknologiset mahdollisuutemme 1982 2016 2050 IBM PC ICT-Digi-aikakausi Nano-kvantti-aikakausi Henkilökohtaisuus Yhteisöllisyys Virtuaali- ja lisätty todellisuus - paikkasidonnaisuus - aika ja paikkariippumattomuus - keinoäly by - olematon suorituskyky - rajaton suorituskyky default & design - ei palveluita - kohti alustataloutta - kvanttilaskenta - ei oikeastaan mitään ;-) - keinoälyn mahdollisuudet - robotit tunnistettu, osin käytössä 4
Teknologiset mahdollisuutemme Huomioitava pitkäaikainen aikajänne: 5-10 vuotta >10 vuotta Nyt valmistelemme tulevaisuuden mahdollisuuksia valmistelmattomuus on uhka, suunnittelu, varautuminen ja tehokas hyödyntäminen on kansallinen mahdollisuus 5
2050 6
UHKAT - erilaisia häiriöitä ja niiden aiheuttajia Poikkeamien ja häiriöiden vaikutus ja merkitys ~entä jatkossa yleisyys? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt 7
Iso kuva mitä tästä puuttuu? Mitä tarvitaan? Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvuussuhteet vuorovaikutus Riskienhallinta-prosessi ja BIA-vaikutusanalyysi Varautumissuunnittelu- ja suunnitelmat Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunnitelmat Toipumissuunnitelmat tietojärjestelmä(t) Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot ICT-toiminnan häiriöt 8 Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt 8
Mitä tarvitaan? Toiminta Riskien- ja kriittisyyden ja vaikutusten arviointi sekä riippuvuuksien tunnistaminen Vaatimustenmukaisuus - tietoturvallisuus Toiminnan jatkuvuus ja Varautuminen häiriötilanteisiin Salassapidettäviä tietoja? Henkilötietoja? 9
Mitä tarvitaan? Tietoturvan rinnalle tietosuojan mukaantulo Tietosuoja Saatavuus Eheys Luottamuksellisuus Kimmo Rousku 28081999-1234 EU-tietosuoja-asetuksen muutokset tuovat velvoitteita myös tietoturvallisuuden kehittämiseen 10
Entäs kyberturvallisuus Suomen kyberturvallisuusstrategian 2013 mukaisesti: Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan. Kybertoimintaympäristö on sähköisessä muodossa olevan informaation (tiedon) käsittelyyn tarkoitettu, yhdestä tai useammasta tietojärjestelmästä muodostuva toimintaympäristö. Kyberturvallisuus käsittää yhteiskunnan elintärkeisiin toimintoihin ja kriittiseen infrastruktuuriin kohdistuvat toimenpiteet, joiden tavoitteena on saavuttaa kyky ennakoivasti hallita ja tarvittaessa sietää kyberuhkia ja niiden vaikutuksia, jotka voivat aiheuttaa merkittävää haittaa tai vaaraa Suomelle tai sen väestölle. Kybertoimintaympäristöön kohdistuvat uhkat ovat tietoturvauhkia, jotka toteutuessaan vaarantavat tietojärjestelmän oikeanlaisen tai tarkoitetun toiminnan. 11
Entäs kyberturvallisuus Tieto vs Toiminta Kyberturvallisuus: - Myös fyysiset rakenteet - Suojautumisen ja puolustautumisen ohella saattaa olla tarve vaikuttamiseen Mielestäni kybertoimintaympäristössä on jo käynnissä koko ajan sisällissota, jossa harjoitellaan ja testataan myös valtiollisten toimijoiden suorituskykyjä siis kybertoimintaympäristön villiä villimpikin länsi, itä ja muut ilmansuunnat 12
Entäs kyberturvallisuus Tietoturvallisuus Kyberturvallisuus Tietoturvallisuus - kybertoimintaympäristö - kybertoimintaympäristö Analoginen tieto Muuta kuin tietoa (toiminta) Muuta kuin tietoa VAIKUTTAMINEN (toiminta) Digitaalinen tieto (ICTn avulla) Digitaalinen tieto Vaikuttaminen ICT:n avulla kohteeseen 13
Riskienhallinnan kehittämisen tila?
Kaksi merkittävää hanketta meneillään VAHTI-ryhmä päivittää riskienhallinnan ohjetta, prosessia ja työkalua Riskienhallinnan ohella myös mahdollisuuksien tunnistaminen Tietoriskit kyberturvallisuus toiminnan digitalisaatio tietosuoja -esimerkkeinä Sisäisen valvonnan ja riskienhallinnan neuvottelukunta on sisäisen valvonnan ja riskienhallinnan tilaa ja kehittämistä seuratessaan tunnistanut tarpeen kehittää erityisesti riskienhallintapolitiikkaa Laaditun selvityksen tulosten perusteella neuvottelukunta päätti valmistella riskienhallintapolitiikan mallin, jota valtionhallinnon virastot voivat hyödyntää omassa riskienhallinnassaan sekä sen kehittämisessä Teemme tiivistä yhteistyötä alustavana tavoitteena saada nämä molemmat samaan lausuntokokonaisuuteen alkuvuosi 2017 16
TIIVISTYS Kriittinen toiminta ja riippuvuudet on tunnistettava ja priorisoitava Kaikki ei ole kriittistä Infrastruktuurin rooli kasvanut Voiko kokonaisuutta hallita? Riskienhallinnan käyttöä on laajennettava ja tehostettava RAHIlyysi & mutustelu vrt aidosti tunnistetut uhat ja hallintaan otetut riskit => aito kustannustehokkuus Toiminnan jatkuvuus tulee varmistaa ennakolta erityisesti kriittisten toimintojen osalta Huolehdittava tarvittavasta varautumiskyvystä KUN jotain tapahtuu Kaikki (tieto)turvallisuuden eteen tehtävä työ on myös kyberturvallisuudesta huolehtimista motivoimaton, kouluttamaton ja ohjeistamaton henkilöstö kuuluisa heikoin lenkki? 17
Kimmo Rousku VAHTI-pääsihteeri kimmo.rousku@vm.fi Puh. 02955 30140 @kimmorousku Kutsuthan minut verkostoosi? http://www.vahtiohje.fi