Turvallisuuden kehittäminen Verohallinnossa. Turvallisuusjohtaja Samuli Bergström

Samankaltaiset tiedostot
näyttäytyy verohallinnon johtoon

Verohallinto ennakoi muutoksia

Muutokset haastavat verottajaa ja

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Miten Verohallinto ennakoi muutoksia. Miika Halonen Ohjelmistotalopäivä

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Verotus globalisaation sekä liiketoiminnan ja yhteiskunnan muutoksen kourissa. Verofoorumi Oulu Markku Heikura Verohallinto

Tietoturvallisuuden ja tietoturvaammattilaisen

Digitaalinen valmistaminen ja palvelut tulevaisuuden Suomessa

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Kyberturvallisuus kiinteistöautomaatiossa

Digitalisaatio ja kyberpuolustus

Tekniikan alan asiantuntijoiden osaamisen kehittämisen edelläkävijä. Karri Inkinen

Rolling up the Sleeves: Let s Make Growth with Digital Services. Tunnistautuminen saḧkoïseen asiointiin

VALVO JA VARAUDU PAHIMPAAN

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

TEEMME KYBERTURVASTA TOTTA

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Vihdin kunnan tietoturvapolitiikka

TEEMME KYBERTURVASTA TOTTA

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Varautuva, turvallinen opiskelu- ja työpaikka -reaktiivisesta kohti proaktiivista koulua

Yritysturvallisuuden johtamisen arviointi

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Yritysturvallisuuden johtamisen arviointi

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Henkilöstön osaamistarpeet digitaloudessa

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

TEEMME KYBERTURVASTA TOTTA

Tietoturvapolitiikka

Henkilöstön osaamistarpeet digitaloudessa. EK:n yrityskyselyn tulokset 2017

YRITYSASIAKKAAN VEROASIAT 2022: VEROASIAT AUTOMATISOIDUN TALOUSHALLINNON OSANA

Toimitusjohtajan katsaus

Sonera perustaa Helsinkiin Suomen suurimman avoimen datakeskuksen. #SoneraB2D

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Yritysturvallisuuden perusteet

Vesihuolto päivät #vesihuolto2018

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Kyberturvallisuus edellyttää johtajuutta Salo CyberTalks,

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Tietoturvallisuuden johtaminen

Tietoturvapolitiikka

VAHTIn kesäseminaari Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus VAHTI

Tekoäly ja tietoturva Professori, laitosjohtaja Sasu Tarkoma Tietojenkäsittelytieteen laitos Helsingin yliopisto

Digitaalinen transformaatio muuttaa asiakkaidemme liiketoimintaa

DIGIKYVYKKYYSKYSELYN TULOKSET POHJOIS-KARJALA

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

MIKÄ TEKEE KAUPUNGISTA TURVALLISEN

Robotit osaksi palveluryhmää - Palkeet työn ja tuottavuuden muutoksen kynnyksellä

Digitaalisen nuorisotyön strateginen kehittäminen

Kohti digitaalista nuorisotyötä

Global Fintech Survey 2017 Suomen tulosten yhteenveto

Juha Viinikka, Senior Manager, Corporate Security, Kesko

YHTIÖKOKOUS Finlandia-talo, Helsinki. Teleste Proprietary. All rights reserved.

Käyttöönottotyöryhmä

Tampereen Digiohjelma Kaupunki kehittyy kokeillen

ICT kehitysnäkymät. Pelastustoimen ajankohtaispäivät Ylitarkastaja Teemu Luukko

Tietoturvapolitiikka Porvoon Kaupunki

Tampereen Digiohjelma

Näistä puhutaan globaalit megatrendit

Kehityshankkeet 2030-luvulla. Jukka Santala ja Kristian Meissner SYKE YMPÄRISTÖTIETO EILEN, TÄNÄÄN, HUOMENNA Helsinki

Keskitetyn integraatiotoiminnon hyödyt

Tieliikenteen automaatio. Päivi Antikainen Yksikön johtaja

Tutkimus web-palveluista (1996)

Digitalisaation vaikutukset ja mahdollisuudet energia-alan palveluille. Juho Seppälä Digia Oyj

Ammatillisen koulutuksen turvallisuuskysymyksiä. Miten turvallisuustietoisuus näkyy työelämälähtöisissä oppimisympäristöissä? Arto Pekkala 4.12.

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Miljardiluokan tuottavuusloikka. reaaliaikaisen talouden (RTE) keinoin

Big-data analytiikka-alusta osana markkinoinnin kokonaisratkaisua

Kyberturvallisuudessa on kyse luottamuksesta digitalisaation hyötyihin

Digitaalisuus murtaa perinteisiä toimialoja ja toimintamalleja nyt eikä vasta tulevaisuudessa Jarmo Matilainen, toimitusjohtaja, Finnet-liitto ry,

Digitaalisten ekosysteemien rakentaja

Muutokset valtuuksissa ja asiointikanavissa. Ohjelmistotalopäivä

Toimitusjohtajan katsaus

TRAFI sidosryhmätapaaminen

Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

Liiketoimintajärjestelmien integrointi

Standardit tietoturvan arviointimenetelmät

Infra-alan kehityskohteita 2011

Pääesikunta, logistiikkaosasto

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Verottaja alustataloudessa Jukka Kyhäräinen

Tredun strateginen ohjelma. Tilaisuus yhteistyökumppaneille Tervetuloa!

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Jatkuvuuden varmistaminen

MAAN MUOKKAUS KYLVÖKUNTOON VIMANA OY

TILINPÄÄTÖS 2014 JA NÄKYMÄT

YHTEISÖASIAKKAAN VEROASIAT 2022: VEROASIAT AUTOMATISOIDUN TALOUSHALLINNON OSANA

SUUNNITTELUN MUUTTUVA TOIMINTAYMPÄRISTÖ. Markku Moilanen, hallituksen puheenjohtaja, SKOL SKOL konsulttipäivä,

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Yritysturvallisuuden johtamisen viitekehys Kiwa Rima

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Transkriptio:

Turvallisuuden kehittäminen Verohallinnossa Turvallisuusjohtaja Samuli Bergström

Verohallinnolla on monta näkökulmaa digitaalisuuteen Digitaalinen Verohallinto Digitaalinen julkishallinto Digitaalinen taloushallinto Digitaalisuus ja verotuksen edellytykset Digitaalisuus ja asiakkaiden liiketoiminta 2 4.10.2017 Digitalisaatio ja Verohallinto

Digitaaliset maksuvälineet - määrä on mittava 3 4.10.2017 Digitalisaatio ja Verohallinto

Miten Vero varmistaa tiedonsaannin ja automaatioasteen? Verotukseen tarvittava tieto on jo lähitulevaisuudessa kansainvälisten alustatoimijoiden (USA, Kiina) pilvipalveluissa. KV-tunnistaminen Digitalouden osaaminen Sovellus-rajapinnat Kansainvälinen tiedonvaihto Ketterät tietovirrat Analytiikan datan keruun ja käsittelyn tukeminen Rahavirrat 4 4.10.2017 Digitalisaatio ja Verohallinto

Verohallinnon toiminnan digitaaliset peruskivet Analytiikka Big Data Selvitystietojärjestelmä Sidosryhmät Työntekijät Esineet Asiakkaat Ecosystems Platform Information Systems Platform Internet of Things Platform Customer Experience Platform Rajapinta-ratkaisut (API) Gentax Robotiikka Kassapäätteet OmaVero & Vero.fi Sosiaalinen media Kansainväliset tietovirrat Tekoäly Tulorekisteri 5 4.10.2017 Digitalisaatio ja Verohallinto

Turvallisuuden uudet haasteet Verolla

Turvallisuustoiminnan kehittäminen Verohallinnossa Turvallisuuden kehittämislinjaukset 2015-2017 päätettiin Verohallinnon johtoryhmässä lokakuussa 2015 turvallisuusasioihin liittyvän luottamuksen kehittäminen turvallisuusasioiden keskittämisellä saatava tehokkuus ja ammattitaito turvallisuuspalvelut liiketoiminnalle ja tukitoiminnoille yhden luukun periaatteella turvallisuustoiminto tuottaa palvelua ja ratkaisuja, ei vaatimuksia tai kieltoja turvallisuustoimien riskilähtöisyyden ja kustannustehokkuuden lisääminen johdon päätöksentekokyvyn ja tilannekuvan kehittäminen Turvallisuusyksikkö perustettiin vuoden 2016 alussa, tehtävinä turvallisuus, tietoturva ja varautuminen kokonaisvaltaisesti Turvallisuuden palveluiden kehittyessä on tunnistettu myös lisätarpeita digitalisaation mahdollistaminen vaatii merkittäviä panostuksia myös turvallisuudelta uusia palveluita tai vastuita siirtynyt tai siirtyy osaksi turvallisuusyksikköä kyberturvallisuuteen liittyvä regulaatio kehittyy voimakkaasti

Turvallisuuden kehittämistoimet 2015-2017 TIETOTURVALLISUUS TURVALLISUUSJOHTAMINEN TILATURVALLISUUS HENKILÖSTÖ- TURVALLISUUS Organisointi ja toimintakyky Vastuiden selkiyttäminen Johdon raportointi Tietojärjestelmäturvallisuus Hallinnollinen tietoturvallisuus Turvallisuus yhteistyössä Tilaturvallisuussuunnittelu Tilaturvallisuuden valvonta Suojelutoiminta Turvallisuustietoisuus Turvallisuusselvitykset Henkilöstön suojaaminen Jatkuvuudenhallinnan ja valmiussuunnittelun kehittämisprojekti TURVALLISUUDEN SEURANTA JA TILANNEKUVA JATKUVUUDEN HALLINTA JA VALMIUSSUUNNITTELU TURVALLISUUSHÄIRIÖIDEN HALLINTA Verohallinnon kokonaisturvallisuuden hallintaperiaatteet (Dnro A1/090700/2012) Verohallinnon kokonaisturvallisuuden TURVALLISUUSRISKIEN hallintaperiaatteet (Dnro HALLINTA A1/090700/2012) Tietojärjestelmien valvonnan kehittämisprojekti Tietoturvan hallinnan ja riskienhallinnan kehittämisprojekti Strategisen tason kehittämistyö Erillinen projekti jolla toimintaa kehitetään Ei projektia, kehittäminen linjatyönä 8 4.10.2017

Mutta mitä seuraavaksi?

Digitalisaatio vaatii panostuksia myös tietoturvallisuuteen Tietojärjestelmäympäristön turvallisuusrakenteita on kehitettävä vastaamaan muuttuvan liiketoiminnan tarpeita mm. analytiikka, verkottuneisuus, mobiilit käyttäjät ja laajenevat integraatiot eri järjestelmien välillä aiheuttavat ristiriitoja teknisen ympäristön muutos tapahtuu hitaasti ja vaatii mittavia kehittämistoimenpiteitä Digitalisaatioon liittyvien uusien teknologioiden (esim. pilvipalvelut, rajapintaratkaisut) hallittu käyttöönotto vaativat uuden tyyppisten tietoturvaratkaisuiden kehittämistä Ratkaisu- ja riskilähtöinen tietoturvan käsittely vaatii huomattavasti enemmän panostuksia turvallisuudelta Uudenlaiset palvelumallit ja ketterät ohjelmistokehitysprosessit vaativat nykyistä aktiivisempaa, nopeampaa ja osaavampaa reagointia turvallisuudelta

Kyberuhkat kehittyvät osana digitalisaatiotrendiä Digitalisaatio ja teknologian monimutkaistuminen on aiheuttanut, että tietoturvan täydellinen kontrollointi ei ole enää resurssimielessä kannattava tavoite tai mahdollista jatkuvat kyberhyökkäykset ovat arkipäivää, koskee myös Verohallintoa 89% yrityksistä tietoturvahyökkäyksen kohteena viime vuoden aikana (IBM 2016) hyökkäyksen keskimääräinen havainnointiaika 146 päivää - niiden osalta jotka edes havaitsivat itse (Mandiant 2016) organisaatioiden yleinen havainnointikyky heikkoa, yli puolet hyökkäyksistä havaitaan ulkopuolisen toimesta Uhkien ammattimaistuminen aiheuttaa, että hyökkäysten ja väärinkäytösten torjunta vaatii merkittävää panostusta myös organisaatioilta keskimäärin murtautujalta kestää 3 päivää tunkeutua ja toteuttaa kaikki hyökkäykseen liittyvät tavoitteensa (Mandiant 2016) Em. syistä panostus tilannekuvan kehittämiseen on todettu hyödylliseksi 2020 turvallisuusbudjetista 60% kuluu havainnointi- ja reagointikykyyn (2014 oli 10%) (Gartner)

Turvallisuuden tavoitteellinen ohjausmalli VISIO o Rakennetaan luottamusta digitalisaatioon o Keskitytään suojaamaan liiketoiminnan kannalta kriittisimpiä toimintoja o Varaudutaan toipumaan häiriöistä mahdollisimman ketterästi TAVOITTEET o Tietoturvan perinteinen kolmikulma laajenee koskemaan myös digitalisaation uusia tuomia riskejä PERIAATTEET o Turvallisuustoimien riskilähtöisyys ja kustannustehokkuus o Järjestelmien suojaamisesta liiketoiminnan kehittämiseen o Turvallisuustoiminto tuottaa palvelua ja ratkaisuja, ei kieltoja o Turvallisuusosaamisen ja turvallisuuskulttuurin kehittäminen o Tiedon kontrolloinnista tietovirtojen hallintaan o Havainnointi- ja reagointikyvyn kehittäminen Gartner 2016 HALLINTA- JA KEHITTÄMISMALLI o Tietoturvan hallintaa kehitetään tilannekuvaan perustuen o Malli perustuu ketteryyteen ja liiketoiminnan sekä ympäristön huomioiviin jatkuviin riskianalyyseihin

Tilannekuvaan perustuva turvallisuuden hallinta- ja kehittämismalli 4 Analyysikyky 1 Perinteinen tietoturva Havainnointikyky Reagointikyky 3 2 Gartner 2016: Adaptive Security Architecture

Verohallinnon turvallisuuden tilannekuvan tavoitetila VERO HENKILÖSTÖ PALVELUNTARJOAJAT Varallaolo 24/7 SIEM analyysityö ja tilannekuvan kehittäminen Verkon ja tietojärjestelmien tietoturvallisuus Tietojärjestelmien käytön valvonta Ulkoisen uhkatiedon seuranta Tilannekuva SIEM HAVAINNOINTIKYKY SIEM ylläpito ja kehittäminen Analyysituki Tietoturvavalvomo SOC 24/7 Muut viranomaiset (KTK, poliisi jne) Turvallisuusyksikön päivystys REAGOINTIKYKY Turvallisuusvalvomo Henkilöstö ja sidosryhmät Valtori SOC ja muut toimittajat

Verohallinnon turvallisuustoiminnan pääkehityssuunnat Rakennetaan luottamusta digitalisaatioon Keskitytään suojaamaan liiketoiminnan kannalta kriittisimpiä toimintoja Varaudutaan toipumaan häiriöistä mahdollisimman ketterästi Havainnointi- ja reagointikyvyn kehittäminen Digitalisaatio ja liiketoiminnan teknologiatarpeiden mahdollistaminen Turvallisuuden hallinta ja henkilöstön sitouttaminen Toiminnan jatkuvuuden turvaaminen 24/7 toimintakyky, SOC Turvallisuusvalvomo Havainnointi- ja reagointikyky Kehittynyt käytönvalvonta Analyysikyky Turvalliset pilvipalvelut Datan minimointi ja suojaaminen Automatisoitu tietoturvatestaaminen Ketterät turvallisuusratkaisut Toimiva tietoturvan ja riskien hallinta Osaava ja turvallisuustietoinen henkilöstö Johdon raportointi ja mittaaminen Moderni jatkuvuus- ja valmiussuunnittelu Turvalliset alihankintaketjut Aktiivinen testaus ja harjoitustoiminta

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute