VAHTIn toiminta- kertomus vuodelta 2013

Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä
1/2014
VAHTI
VAHTIn
toimintakertomus
vuodelta
2013
Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä VAHTI
1/2014
VAHTI
VAHTIn toimintakertomus vuodelta 2013
441 729
Painotuote
VALTIOVARAINMINISTERIÖ
PL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTO
Puhelin 0295 16001 (vaihde)
Internet: www.vm.fi
Taitto: Pirkko Ala-Marttila /VM-julkaisutiimi
ISSN 1455-2566 (nid.)
ISBN 978-952-251-590-2 (nid.)
ISSN 1789-0860 (PDF)
ISBN 978-952-251-591-9 (PDF)
Juvenes Print - Suomen Yliopistopaino Oy, 2014
Sisältö
Johdanto.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Inledning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Valtion tietoturvallisuuden kehittämisalueet 2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Johtajuus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Strategiat ja toiminnan tukeminen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Henkilöstö. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Kumppanuudet ja resurssit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Toiminnan prosessit.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Mittaaminen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
VAHTIn tavoitteet ja tehtävät.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
VAHTIn sihteeristön tehtävät. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
VAHTI -toiminnan organisointi ja kokoonpano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Yhteenvetoa VAHTIn toiminnasta 2013. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
VAHTIN tilaisuudet ja seminaarit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
VAHTIn hankkeiden tilanne vuoden lopussa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Tietoturvallisuuden tila valtionhallinnossa 2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Tietoturvallisuuden hallinta ja johtaminen sekä tietotekninen turvallisuus 2013. . . . . 31
Tietoturvaongelmat.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Raportoidut tietoturvallisuuteen käytetyt resurssit ja volyymit.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Tietoturvallisuusasetuksen täytäntöönpanon tilanne. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
VAHTIn tunnettuus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
LIITTEET.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Liite 1 Poimintoja VAHTIn asettamispäätöksestä . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Liite 2 Voimassa olevat VAHTI –julkaisut 31.12.2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Liite 3 Hankkeet ja niiden toiminta vuonna 2013. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Johdanto
Hyvin hoidettu tieto- ja kyberturvallisuus on yhteiskunnan toimivuuden edellytys kaikissa oloissa. Tietoturvallisuus on olennainen osa hallinnon toimintaa ja riskien hallintaa
sekä toiminnanluotettavuuden, laadun, jatkuvuuden ja sujuvuuden varmistamista.
Valtiovarainministeriö (VM) ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriö on asettanut Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden
yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTI käsittelee kaikki merkittävät valtionhallinnon kyber- ja tietoturvallisuuden linjaukset. VAHTIssa ovat edustettuina eri
hallinnonalat ja -tasot.
Valtiovarainministeriössä julkisen hallinnon ICT:n ohjauksesta ja kehittämisestä vastaavana organisaationa on Julkisen hallinnon tieto- ja viestintätekninen toiminto (JulkICTtoiminto), joka toimii ministeriön ylimmän johdon välittömässä alaisuudessa. Laki julkisen
hallinnon tietohallinnon ohjauksesta (634/2011) korostaa valtiovarainministeriön roolia ja
vastuuta koko julkisen hallinnon ICT:n ohjaajana.
Valtioneuvosto teki 26.11.2009 periaatepäätöksen valtionhallinnon tietoturvallisuuden
kehittämisestä. Periaatepäätöksellä ohjataan valtionhallintoa kehittämään tietoturvallisuutta tärkeänä osana johtamista, osaamista, riskienhallintaa sekä hallinnon kehittämistä
ja toimintaa. VAHTIn tuloksellista toimintaa edelleen vahvistetaan hallinnon tietoturvallisuuden ohjauksen, kehittämisen ja yhteistyön elimenä. Nykyinen hallitus on käsitellyt
aikaisemmat valtioneuvoston periaatepäätökset ja tämä periaatepäätös on pidetty voimassa.
VAHTIn toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on
nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on aikaansaatu
kattava yleinen tietoturvaohjeisto (www.vm.fi/vahti ja www.vahtiohje.fi). VM:n ja VAHTIn
johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen yhteisiä, tietoturvallisuutta parantavia hankkeita.
Valtionhallinnon lisäksi VAHTIn toiminnan tuloksia hyödynnetään kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. VAHTI
on tunnettu muun muassa tietoturvajulkaisuistaan ja -hankkeistaan.
VAHTIn toiminnan tuloksia hyödynnetään kansainvälisessä tietoturvatyössä mm.
OECD:ssä ja EU:ssa sekä itäisen kumppanuuden maissa. VAHTIn materiaali on kansainvälisestikin arvioituna korkeatasoista.
VAHTIn roolia ja tehtäviä hallinnon tieto- ja kyberturvallisuuden kehittämisessä,
yhteensovittamisessa, yhteistyössä ja ohjauksessa on edelleen kehitetty ja vahvistettu. VAHTIssa käsitellään kaikki merkittävät valtionhallinnon tieto- ja kyberturvallisuuden ja tietoturvatoimenpiteiden ohjausasiat.
VAHTI on saanut tunnustuspalkintoja toiminnastaan Suomen tietoturvallisuuden
parantamisessa. OECD:n viimeisimmässä maailmanlaajuista tietoturvakulttuurin kehittämistä kuvaavassa raportissa on noin kymmenessä eri kohdassa tuotu esille VAHTIn toiminta ja tulokset.
Tässä julkaisussa kuvataan VAHTIn toimintaa, yhteistyötä ja vaikutusta vuonna 2013.
Inledning
Välskött data- och cybersäkerhet är under alla förhållanden en förutsättning för att samhället ska fungera. Datasäkerheten är en väsentlig del av förvaltningens verksamhet och
riskhantering samt säkerställandet av verksamhetens pålitlighet, kvalitet, kontinuitet och
smidighet.
Finansministeriet (FM) leder och samordnar utvecklandet av den offentliga förvaltningens och speciellt statsförvaltningens informationssäkerhet. Ministeriet har tillsatt Ledningsgruppen för data- och cybersäkerheten inom statsförvaltningen (VAHTI) som ett organ
för samarbete inom samt styrning och utveckling av förvaltningens datasäkerhet. VAHTI
behandlar alla viktiga riktlinjer för data- och cybersäkerheten inom statsförvaltningen.
Olika förvaltningsområden och –nivåer är representerade i VAHTI.
Den offentliga förvaltningens informations- och kommunikationstekniska funktion
(JulkICT), som är direkt underställd ministeriets högsta ledning, är det organ inom finansministeriet som svarar för styrningen och utvecklingen av ICT inom den offentliga förvaltningen. Lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011) framhäver finansministeriets roll och ansvar vid styrningen av hela den
offentliga förvaltningens ICT.
Statsrådet fattade den 26 november 2009 ett principbeslut om utveckling av informationssäkerheten inom statsförvaltningen. Principbeslutet styr statsförvaltningen till att
utveckla informationssäkerheten som en viktig del av ledandet, kompetensen, riskhanteringen samt verksamheten och utvecklandet av förvaltningen. VAHTIs verkningsfulla roll
som samarbetsorgan för styrning och utveckling av informationssäkerheten inom förvaltningen förstärks ytterligare. Den nuvarande regeringen har behandlat tidigare principbeslut och detta principbeslut har hållits i kraft.
VAHTIs verksamhet förbättrar statens datasäkerhet, och arbetets inverkan kan ses förutom inom förvaltningen även i företagen och internationellt. Resultatet utgörs av en täckande, allmän datasäkerhetsanvisning (www.vm.fi/vahti och http://www.vahtiohje.fi). Ministerierna och ämbetsverken har under finansministeriets och VAHTIs ledning genomfört
flera gemensamma projekt som förbättrat datasäkerheten.
Resultaten av VAHTIs verksamhet utnyttjas utöver statsförvaltningen även inom kommunförvaltningen, den privata sektorn, medborgarverksamheten och det internationella
samarbetet. VAHTI är känt bl.a. för sina datasäkerhetspublikationer och sina datasäkerhetsprojekt.
Resultaten av VAHTIs verksamhet utnyttjas inom internationellt datasäkerhetssamarbete bl.a. av OECD och EU, och av länder som ingår i det östra partnerskapet. VAHTIs
material håller hög standard även i internationell jämförelse.
VAHTIs roll och uppgifter har förstärkts och utvecklats ytterligare när det gäller utvecklandet, samordnandet, samarbetet och styrningen av förvaltningens data- och cybersäkerhet. VAHTI behandlar alla viktiga linjedragningar inom statsförvaltningen som gäller dataoch cybersäkerheten, liksom även ärenden som gäller styrning av datasäkerhetsåtgärder.
VAHTI har fått flera hederspriser för sin verksamhet med att förbättra Finlands datasäkerhet. OECD:s senaste rapport om utvecklandet av en världsomfattande datasäkerhetskultur innehåller ungefär tio omnämningar om VAHTIs verksamhet och resultat.
Denna publikation beskriver VAHTIs verksamhet, samarbete och inverkan 2013.
11
Introduction
Society needs information and cyber security to be well managed, as it is integral to public administration and risk management. It ensures the reliability, quality and continuity
of the public services.
The Ministry of Finance directs and coordinates the development of information security across local and, more particularly, central government. The Government Information
and Cyber Security Management Board (VAHTI), appointed by the Ministry, is responsible for Government cooperation, steering and development efforts in this area. VAHTI sets
all the main policy guidelines for information and cyber security in central government.
Different administrative branches and levels of administration are represented in VAHTI.
The Public Sector ICT function (JulkICT) operating directly under the Ministry’s top
leadership is responsible for the guidance and development of public administration ICT.
The act on information management guidance in public administration (Laki julkisen hallinnon tietohallinnon ohjauksesta 634/2011) underscores the role and responsibility of the
Ministry of Finance for steering ICT operations in the whole public sector.
A Government Resolution on the development of information security in central government was issued on 26 November 2009. The Resolution provides guidance to central
government in developing information security as an integral part of leadership, expertise,
risk management and administrative development and functions. VAHTI’s effective cooperation, steering and development of information security in central government will be
reinforced. The present Government has discussed the earlier government resolutions and
made a decision that this resolution is to be kept in force.
VAHTI improves Government information security, and the effectiveness of the
work can be seen not only in the administration but also in business and internationally.
The outcome is a set of general information security instructions (www.vm.fi/vahti and
http://www.vahtiohje.fi). Several joint information security projects launched by the ministries and government agencies have been successfully implemented under the direction
of the Ministry of Finance and VAHTI.
VAHTI guidelines and instructions are also important reference materials for the public
authorities, local government, the private sector and civil society. In addition, the results of
the work are used in such international information security forums as the OECD and the
EU. VAHTI publications are considered to be of high quality in international comparison.
12
The role and tasks of VAHTI in the development, coordination, cooperation and steering
of government information and cyber security have been further developed and strengthened. VAHTI deals with all significant central government information and cyber security
guidance and policy matters.
VAHTI has received several awards for improving information security in Finland. The
latest OECD report on the development of the global information security culture makes
several references to the operations and results of VAHTI.
This publication describes the operation, cooperation and effects of VAHTI in 2013.
13
Valtion tietoturvallisuuden
kehittämisalueet 2013
VAHTI-työssä valmisteltuja ja käyttöönotettuja hyviä käytäntöjä on hyödynnetty valtion
toimintojen ja tietohallinnon kehittämisessä ja johtamisessa. Keskeistä on ollut valtion
tietoturvallisuuden kokonaisuuden sekä hankkeiden ohjaus, koordinointi ja yhteensovittaminen, joihin liittyviä asioita on käsitelty VAHTI-johtoryhmän kokouksissa.
VAHTI on jatkanut kattavaa ja monipuolista tietoturvallisuuden ohjausta, kehittämistä,
seurantaa ja yhteistyötä. Seuraavissa kappaleissa kuvataan lyhyesti hankkeiden painopisteitä hyödyntäen valtionhallinnossa yleisesti käytettävää CAF-laatuarviointimallia, johon
myös tietoturvatasojen vaatimukset kytkeytyvät.
Laatuarvioinnin mallin mukaisille osa-alueille on VAHTI-mittareita, joiden perusteella
voidaan tehdä havaintoja valtionhallinnon tilanteesta.
Hankkeiden tilannetta 31.12.2013 on kuvattu liitteessä 3.
Johtajuus
VAHTI on tukenut tietoturvallisuuden kytkemistä osaksi hallinnon johtamista ja kehittämistä sekä tietoturvallisuuden johtamista käynnistämällä, toimeenpanemalla ja ohjaamalla hanketoimintaa. Hankkeilla tuetaan Valtioneuvoston periaatepäätöstä valtionhallinnon tietoturvallisuuden kehittämisestä sekä tietoturvallisuusasetuksen ja kyberturvallisuustrategian toimeenpanoa. Tietoturvallisuusasetus edellytti tietoturvallisuuden
perustason saavuttamista kaikissa viranomaisissa kolmen vuoden kuluessa asetuksen voimaantulosta eli 30.9.2013 mennessä. VAHTIn ohjauksessa on viety läpi yhteishankkeita
tietoturvallisuusasetuksen sisältämien tietoturvatasovaatimusten toteuttamiseksi.
VAHTIssa valmisteltuja tietoturvamittareita käytetään kansainvälisesti ja kansallisesti.
Esimerkiksi Suomen hallituksen kokonaisseurannassa on käytetty VAHTIn valmistelemia
tietoturvamittareita.
VAHTIn toimintaa ja valtionhallinnon tietoturvallisuuden tilannetta ja toimenpiteitä
on käsitelty poliittisen johdon tasolla muun muassa ministeri Virkkusen johtoryhmässä.
Valtion IT-palvelukeskuksen laajassa asiakastyytyväisyyskyselyssä osoitettiin virastojen
ja laitosten tyytyväisyys palvelukeskuksen tietoturvapalveluihin, joita ohjaavat JulkICTtoiminto ja VAHTI.
14
Oheisessa kaaviossa on esitetty valtionhallinnon tieto- ja kyberturvallisuuden johtamisen ja yhteistyön malli. VAHTIn toiminnassa ovat mukana kaikki osapuolet.
Kuva 1. Tieto- ja kyberturvallisuuden ohjausmalli
Ohjaustoiminta
Valtiovarainministeriö/
JulkICTtoiminto
VAHTIyhteistyö
Asiakkuus:
Ministeriöt,
virastot,
laitokset
Palveluntuottajat:
Valtori,
Viestintävirasto,
Huoltovarmuuskeskus
Kuva 2. Johtajuuden mittareita. Kuvassa esitetään tietoturvallisuuden johtamiseen liittyvien
mittarien mukaiset prosentit organisaatioista, joissa kohteet organisaatioiden oman arvioin mukaan on
toimeenpantu.
100
90
80
70
60
50
40
30
20
10
0
2010
2011
2012
y..
.
at
ta
v
äh
a..
kö
.
Ti
po
et
ot
st
i
ur
en
Ti
va
et
...
ot
po
ur
Ti
l
i
et
tii
va
Sä
ot
kk
su
än
ur
a
un
va
nö
ni
Ti
v
l
t
l
as
et
in
e
l
tu
ot
m
en
ut
a
ur
jo
va
ku
hd
ta
v
ol
a
vo
t
le
tu
itt
ra
...
Jo
ee
po
hd
Ko
tt
r
t
ko
on
ul
o
in
pä
sis oso
ti.
iv
hj
..
äi
ät
se
au
oi
n
ks
m
v
es
in
al
s
vo
en
nn a
tie
a
to
n
tu
ja
...
rv
av
as
ta
av
a
tk
sy
hy
vä
k
on
hd
Jo
m
-a
sa
to
se
ei
sk
Ke
ät
s
lu
ie
m
oi
kk
ea
va
p
oi
to
tu
r
va
p
ur
to
t
st
at
ie
Ti
e
av
i
Va
k
ee
n
kk
kä
ea
sit
m
ist
te
l
a..
.
2013
15
Strategiat ja toiminnan tukeminen
Tietoturvallisuusasetuksen mukaista toimintaa tuetaan kehittämällä edelleen VAHTIohjeistoa. Toimitilojen tietoturvaohje –hanke on tuottanut tilojen tietoturvallisuuden
toteuttamista tukevan ohjeen, joka julkaistiin toukokuussa 2013. Ohje on laadittu tukemaan valtionhallinnon toimijoita toimitilojen tietoturvallisuuteen liittyvissä ratkaisuissa.
Tietoturvallisuusasetuksen mukaan tietoturvallisuuden toteuttamiseksi valtionhallinnon
viranomaisen on huolehdittava muun muassa siitä, että asiakirjojen tietojenkäsittely- ja
säilytystilat ovat riittävästi valvottuja ja suojattuja.
VAHTI on osaltaan aktiivisesti ohjannut, osallistunut ja tukenut Suomen kyberturvallisuusstrategian valmistelua ja toimeenpanoa valtionhallinnon näkökulmasta.
Henkilöstö
VAHTIssa linjattiin, että henkilöstön tietoturva-, kyberturvallisuus- sekä ICT-varautumisen tietoisuutta ja osaamista tulee vahvistaa. VAHTI käynnisti valmistelun valtion henkilöstön yhteisen tietoturvaohjeen uudistamiseksi vuonna 2013. Uusittu henkilöstön tietoturvaohje julkaistiin joulukuussa.
VAHTI-ohjeiston rakenteistaminen tukee henkilöstön tietoturvaosaamista parantamalla ohjeiden käytettävyyttä ja helpottamalla niiden julkaisua. Rakenteistetun VAHTIsivuston kehittämistä jatketaan edelleen.
Valtion IT-palvelukeskus on tukenut tietoturvavastaavien työtä ylläpitämällä sähköistä
työkalupakkia, joka sisältää materiaaleja ja mallipohjia valtionhallinnon tietoturvallisuudesta vastaaville henkilöille. Työkalupakin käyttö on laajentunut kaikkiin virastoihin. Työkalupakki sisältämä sähköinen verkkokoulutus on käytössä noin 20 organisaatiossa. Koulutusaineistoon sisältyy mm. johdon tietoturvaopas sekä tietoaineistojen käsittelykurssi.
Kumppanuudet ja resurssit
Kansainvälistä tietoturvayhteistyötä tuettiin kääntämällä VAHTI-ohjeita englanniksi ja
ruotsiksi. Vuoden 2013 aikana Tietoturvallisuusasetuksen täytäntöönpanon ohje julkaistiin ruotsiksi. Englanninkielelle käännettiin Johdon tietoturvaopas ja ICT-varautumisen
vaatimukset.
Vuoden 2013 aikana VAHTIn toimintaa ja englanniksi julkaistuja VAHTI-ohjeita on
esitelty OECD:n yhteistyössä kokouksissa ja sidosryhmätilaisuuksissa esimerkiksi EteläKoreassa. Lisäksi 2013 VAHTIn toimintamallia sekä ohjeistoa esiteltiin kaikille yhteistyötilaisuuksissa EU:n itäisen kumppanuuden maille.
VAHTIn ja kansallisen turvallisuusviranomaisen välistä tiedonvaihtoa ja yhteistyötä
on vuoden 2013 aikana lisätty.
VAHTI on käsitellyt kokouksissaan myös Turvallisuuskomitean esille tuomia asioita,
kuten kyberturvallisuusstrategiaa ja sen toimeenpanoa.
16
Kuva 3. Kumppanuuksien hallinnan mittarit. Kuvassa esitetään seurattavien kohteiden toimeenpano
(prosenttiosuus kaikista organisaatioista) vuosina 2010 - 2013.
100
90
80
70
60
2010
2011
2012
2013
50
40
30
20
10
0
Toimintaverkostojen ja
alihankkijoiden
hallinta
Palvelutoimittajien
turvallisuusselvitykset
Turvallisuusselvitysmenettely
Tunnistettu
sidosryhmät,
joille
organisaatiolla
on tietoturvavastuita
Toiminnan prosessit
Toiminnan prosesseja tuettiin laatimalla ja julkaisemalla sovelluskehityksen tietoturvaohje sekäpäätelaitteiden tietoturvaohje.
Tietoturvallisuuden arvioinneista erityisesti tietoturvariskien säännöllinen arviointi
on lisääntynyt. Teknisten tietoturva-arviointien keinovalikoima on parantunut tietoturvallisuuden arviointilain (1406/2011) astuttua voimaan. Lain perusteella arviointeja on
mahdollista tehdä VM:n pyynnöstä. Toukokuussa käynnistettiin ensimmäinen toimeksianto 5§ perusteella.
Kuva 4. Toiminnan prosessien mittareita. Kuvassa esitetään toimeenpanon tilanne prosessien
tietoturvallisuudessa vuosina 2010-2013. VAHTIn arvion mukaan keskeisten järjestelmien ja
järjestelmämääritysten arviointeja tulisi edelleen lisätä.
100
90
80
70
60
2010
2011
2012
2013
50
40
30
20
10
0
Prosessien ja Säännöllinen
riippuvuuksien tietoturvatunnistus
riskien
arviointi
Keskeisten Ydinprosesseissa Järjestelmätietojärjestel- tietoturvamääritysten
mien
tavoitteet
tietoturvatietoturvavaatimusten
arviointi
auditointi
17
Mittaaminen
VAHTI on tietoturvallisuuden mittaamisessa kansainvälisen tason edelläkävijä.
VAHTIn vuosittain tekemää valtionhallinnon tietoturvakyselyä laajennettiin siten, että
siinä saatiin paremmin huomioitua tietoturvallisuusasetuksen velvoitteet ja tietoturvatasojen toteuttaminen valtionhallinnossa sekä kyberturvallisuusstrategia. Kyselyyn vastasivat kaikki ministeriöt sekä entistä suurempi osa virastoista.
Valtion tietoliikenneverkkojen turvallisuutta parannettiin haavoittuvuusskannausten
yhteishankkeella, jonka avulla virastojen julkiset verkkopalvelut skannattiin säännöllisesti. Hanke päättyi lokakuussa, jonka jälkeen suuri osa hankkeen osallistujista on jatkanut skannaustoimintaa omalla kustannuksellaan.
Kuva 5. Mittaaminen. Kuvassa esitetään tietoturvallisuuden mittaamisen tilannetta vuosina 2011-2013.
Vakavista tietoturvapoikkeamista pidetään aikaisempaa laajemmin kirjaa.
100
90
80
70
60
2010
2011
2012
2013
50
40
30
20
10
0
Tietoturvallisuus arvioitu
VAHTI-ohjeisiin/
standardeihin
peilaten
Ulkoisen
arvioijan
tietoturvaarviointi
VAHTI-ohjeisiin
nähden
Vakavista
tietoturvapoikkeamista
pidetään
kirjaa
Prosessien ja
riippuvuuksien
tunnistus
18
19
VAHTIn tavoitteet ja tehtävät
Valtiovarainministeriö on asettanut VAHTIn hallinnon tietoturvallisuuden yhteistyön,
ohjauksen ja kehittämisen toimielimeksi.
VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää
tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta. VAHTIlla on keskeinen rooli myös valtion ICT-toimintojen ohjauksessa.
VAHTIn tehtäviä on kuvattu tarkemmin www.vm.fi/vahti -sivuilla sekä VAHTI-johtoryhmän asettamispäätöksessä. Ministeri Virkkunen asetti joulukuussa 2013 uuden valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän, jonka toimikausi ulottuu vuoden 2016 loppuun.
VAHTIn toiminnan yksi keskeinen alue on valtionhallinnon yhteisten tieto- ja kyberturvallisuuslinjausten valmistelun ohjaus, käsittely ja hyväksyntä. VAHTI ohjeisto on yksi
maailman kattavimmista julkisista tietoturvaohjeistuksista. Valtion konserniohjauksen
vahvistaminen merkitsee ohjeiston painoarvon lisääntymistä edelleen sekä tietoturvatyön
tehokkuutta heikentävien hallinnonalakohtaisten tietoturvalinjausten vähenemistä. Pääsääntönä tulee olla valtionhallintotason VAHTI-linjausten mukainen toiminta. Kuvassa
5 esitetään yksinkertaistetusti tietoturvallisuuden normistoa valtionhallinnon kannalta.
Kuva 6. Tietoturvallisuus sekä normit ja ohjaus
Lainsäädäntö
Valtioneuvoston periaatepäätökset
valtionhallinnon tietoturvallisuudesta ja
kansallisesta tietoturvallisuusstrategiasta
Ministeriöiden ja niiden
hallinnonalan omat ohjeet
Yksiköiden omat ohjeet
Muiden organisaatioiden
tietoturvaohjeet ja säädökset
VAHTI-ohjeet
20
21
VAHTIn sihteeristön tehtävät
VAHTIn sihteeristö on nimetty samaksi toimikaudeksi kuin VAHTI-johtoryhmä.
Sihteeristön tehtäviä ovat mm.
• tukea tietoturvallisuuden hankkeiden koordinointia ja ohjausta
•
avustaa uusien hankkeiden perustamisessa ja seurata hankesalkkua
•
etsiä aktiivisesti VAHTIn kehittämiskohteita
•
tarkistaa VAHTI-ohjeiston tilanne vuosittain ja antaa tarvittavia kehitysehdotuksia
•
toimia VAHTIn alaryhmissä
•
valmistella VAHTIn ja hankkeiden toimintaan liittyviä ohjeita, tukimateriaaleja ym.
•
valmistella VAHTIn järjestämiä tapahtumia
•
kehittää VAHTIn tiedotustoimintaa
•
valmistella VAHTI-kokouksia ja toimia sihteerinä
•
ideoida yleisesti VAHTI-toimintaa.
22
23
VAHTI -toiminnan organisointi ja
kokoonpano
VAHTI kokoontui 11 kertaa vuoden 2013 aikana.VAHTI -johtoryhmään ovat vuoden
2013 aikana kuuluneet:
Puheenjohtaja:
Mikael Kiviniemi valtiovarainministeriö
Jäsenet ja heidän henkilökohtaiset varajäsenet samoista organisaatioista:
Reijo Aarnio Jani Arnell Marko Buuri
Catharina Candolin Anssi Kärkkäinen
Juha Pietarinen Kimmo Rousku
Tapio Aaltonen Ralf Sontag Erja Saraste
Anna-Riitta Wallin Pirkko Kilpeläinen
Kimmo Aaltonen
Minna Romppanen Olli Jokinen Pentti Mykkänen Tytti Yli-Viikari
Irma Nieminen Esko Ala-Peijari
Mika Kuronen Janne Kerkelä
Petteri Ohvo
Mäkinen Kari
Tietosuojavaltuutetun toimisto
Viestintävirasto
Pääesikunta
Valtiokonttori
Väestörekisterikeskus
Huoltovarmuuskeskus
oikeusministeriö
Ilmatieteen laitos
Evira
Maanmittauslaitos
Valtiontalouden tarkastusvirasto
opetusministeriö
sisäasiainministeriö
työ- ja elinkeinoministeriö
24
Petri Puhakainen Asta Partti
Simo Tanner Tanja Rantanen
Päivi Happonen Marko Natri
Ari Uusikartano Kari Ikonen
Päivi Viippola Pekka Sinkkilä
Timo Härkönen
Juha Ilkka
Topi Tuukkanen Kai Knape
Tuija Lehtinen
Maarit Puhto Samuli Bergström
Verohallitus
Suomen Kuntaliitto
Arkistolaitos
ulkoasiainministeriö
liikenne- ja viestintäministeriö
valtioneuvoston kanslia
puolustusministeriö
Terveyden ja hyvinvoinnin laitos
sosiaali- ja terveysministeriö
Poliisihallitus
VAHTI -sihteeristö:
Hellevi Huhanantti
Sami Hyytiäinen
Juha Tallinen
Erja Kinnunen
Riitta Gröhn
Minna Romppanen
Aku Hilve
Väestörekisterikeskus
tullihallitus
Pääesikunta
Valtiokonttori/Valtion IT-palvelukeskus
Aalto-yliopisto
MMM/Evira
valtiovarainministeriö
VAHTIn toimintaan (johtoryhmä, sihteeristö ja hankkeet) käytetyn henkilötyömäärän
seuranta on osa VAHTIn toiminnan vaikuttavuutta.
Vuonna 2013 VAHTI-johtoryhmän kuukausittainen työpanos kokousvalmistelussa ja
käsittelyssä on ollut noin 20 htp ja sihteeristön noin 9 htp. Johtoryhmä on kokoontunut
11 kertaa ja sihteeristö 11 kertaa toimintavuoden aikana. Tämän lisäksi sekä johtoryhmän
että sihteeristön jäsenet ovat osallistuneet VAHTI-hankkeiden työhön.
VAHTIn kaikki omat hankkeet on organisoitu siten, että niissä on mukana hankkeen
tehtäväalueen edellyttämä hallinnon paras asiantuntemus sekä kuntien ja elinkeinoelämän
asiantuntemusta tarpeen mukaan.
25
Yhteenvetoa VAHTIn toiminnasta 2013
VAHTI julkaisi viisi uutta VAHTI-julkaisua täydentämään laajaa VAHTI-ohjeistoa
(ks. liite 2).
VM toteutti ministeriöille ja virastoille kohdistetun valtionhallinnon vuoden 2013 tietoturvallisuutta koskevan kyselyn, jolla selvitettiin tietoturvallisuuden tilannetta ja kehitystä hallinnossa. Kyselyyn vastasivat kaikki ministeriöt ja suuri osa virastoista. Tulosten
yhteenveto on kuvattu luvussa 11.
Keskeisimpiä VAHTI-johtoryhmän käsittelemiä asiakokonaisuuksia ja näkökulmia
vuonna 2013 ovat olleet:
• valtionhallintotason tietoturvatyön ja -hankkeiden ohjaus
• valtionhallinnon tietoturvallisuusasetuksen toimeenpano
• valtion tietoturvaohjeiden ja -suositusten kokonaisuuden ja valmistelun ohjaus sekä
käsittely
• tietoturvallisuuden ja tietoturvakulttuurin vahvistaminen osana hallinnon kaikkea
toimintaa
• tietoturvallisuutta koskeva lainsäädännön kehittäminen ja eri normien yhteensovitus
• valtionhallinnon tieto- ja kyberturvallisuuslinjausten käsittely
• tietoturvallisuuden tilanne ja seuranta
• kansainväliset tietoturva-asiat
• valtionhallinnon kyberturvallisuuden linjaukset.
Enemmistö johtoryhmän jäsenistä on osallistunut toimintaan ja kokouksiin aktiivisesti.
Sihteeristö on toiminnallaan auttanut hankkeiden seurantaa ja valmistellut VAHTIjohtoryhmän kokouksissa käsiteltyjä asiakokonaisuuksia.
26
27
VAHTIN tilaisuudet ja seminaarit
VAHTIn toimintaa ja hankkeita on esitelty useissa valtionvarainministeriön JulkICT-toiminnon järjestämissä tiedotustilaisuuksissa sekä ulkopuolisten tahojen järjestämissä tilaisuuksissa Suomessa ja ulkomailla.
Valtionhallinnon tietoturvallisuuden johtoryhmän 10.6.2013 järjestämän seminaarin
aiheena oli ajankohtaisten VAHTI-julkaisujen käytännön soveltaminen organisaatioiden
tieto- ja turvallisuustyössä. Ohjelmassa oli asiantuntijapuheenvuoroja ohjetyöryhmistä
sekä case-esimerkkejä ohjeiden hyödyntämisestä. Osallistujia tapahtumaan oli hieman yli
50 henkilöä.
VAHTI järjesti riskienhallintaseminaarin 7.11.2013. Tilaisuuteen osallistui noin 70 asiantuntijaa pääasiassa valtionhallinnosta. Euroopan tietoturvaviraston, ENISAn puheenvuoron tilaisuudessa piti Evangelos Ouzounis.
Valtionhallinnon tietoturvallisuuden XVII teemapäivä järjestettiin 17.12.2013 valtiovarainministeriössä. –Teemapäivään osallistui yli 120 henkilöä valtionhallinnon eri organisaatioista.
Tilaisuudessa käsiteltiin mm. Tietoturvallisuusasetuksen ja tietoturvatasojen toteuttamista organisaatioissa sekä valtionhallinnon ajankohtaisia tietoverkkohankkeita. Tilaisuuden avauspuheenvuorojen pitäjinä toimivat valtiosihteeri Sari Raassina valtiovarainministeriöstä sekä valtiosihteeri Olli-Pekka Heinonen valtioneuvoston kansliasta ja prikaatikenraali Ilkka Korkiamäki Pääesikunnasta. Tilaisuuden puheenjohtajana toimi VAHTIn
puheenjohtaja Mikael Kiviniemi.
VAHTI-hankeryhmät ovat kokoontuneet tavoitteidensa ja hankesuunnitelmiensa
mukaisesti.
28
29
VAHTIn hankkeiden tilanne vuoden
lopussa
Virallisesti asetetut hankkeet löytyvät valtioneuvoston hankerekisteristä (http://www.
hare.vn.fi/) VAHTIn (VM047:00/2007) alahankkeina. Hankerekisteristä näkyvät hankekohtaisesti mm. hankkeiden tehtävät ja niissä mukana oleva henkilöt.
VAHTI-ohjeet jaetaan laajasti kaikkiin ministeriöihin ja virastoihin sekä tiedoksi kaikkiin kuntiin. Voimassaoleva VAHTI-ohjeisto on esitelty liitteessä 2 ja liitteessä 3 on esitetty
hankkeet, joissa tehtiin työtä toimintavuoden aikana.
Vuoden 2013 aikana julkaistiin seuraavat VAHTIn julkaisut, suluissa on hankkeen
vetäjän nimi.
• VAHTIn toimintasuunnitelma vuodelle 2013 (Mikael Kiviniemi, VM/JulkICT)
• Sovelluskehityksen tietoturvaohje 1/2013 (Pirkko Kilpeläinen, Ilmatieteen laitos)
• VAHTIn toimintakertomus vuodelta 2012, VAHTI 2/2013 (Aku Hilve, VM/JulkICT)
• Toimitilojen tietoturvaohje, VAHTI 3/2013 (Aku Hilve, VM/JulkICT)
• Henkilöstön tietoturvaohje, VAHTI 4/2014 (Iiro Henttinen, VM/JulkICT ja Kimmo
Rousku, Valtion IT-palvelukeskus)
• Päätelaitteiden tietoturvaohje 5/2013 (Kimmo Janhunen, Oikeusrekisterikeskus)
Vuoden 2013 aikana käynnistettiin seuraavat uudet hankkeet
• Tekninen jaosto (Kimmo Rousku, Valtiokonttori/VIP)
• Tietoturvallisuuden arviointien kehittäminen (Aku Hilve, VM/JulkICT)
Vuoden 2013 aikana on lisäksi tehty työtä seuraavissa VAHTI -hankkeissa
• Tietoturvallisuusasetuksen täytäntöönpanon yhteishankkeet (Kimmo Rousku/Erja
Kinnunen/Kirsi Janhunen, Valtiokonttori/VIP)
• ICT-palveluiden jatkuvan haavoittuvuusskannauspalvelun yhteishankkeet (Mervi
Koivuoja, Valtiokonttori/VIP)
• VAHTI ohjeiden ruotsiksi kääntäminen
• VAHTI ohjeiden englanniksi kääntäminen (Tuire Saaripuu, Väestörekisterikeskus)
30
31
Tietoturvallisuuden tila
valtionhallinnossa 2013
VAHTIn vuodesta 2008 lähtien tekemän tietoturvamittarien kehitystyön tuloksena valtion tietoturvallisuuden tilaa voidaan kuvata monipuolisemmin kuin aiemmin. Mittaristo tukee entistä paremmin myös tietoturvallisuuden nivomista hallinnon johtamiseen
ja seurantaan. VAHTI on tietoturvamittaristonsa ja hyödyntämisenkin osalta kansainvälisen ja kansallisen tason edelläkävijä. Vuosittaisessa seurannassa ei ole pidetty mukana
sellaisia tietoturvatoiminnan alueita, joissa käytännössä lähes 100 prosenttia virastoista
on toteuttanut perustavoitteiden mukaisen toiminnan. Tällainen on esimerkiksi haittaohjelmatorjunta ennen sähköpostien jakelua ja työasemissa.
VAHTIn seuranta osoittaa, että kokonaisuutena valtion tietoturvallisuuden tilanne
pysytteli lähes kaikilta osin vuoden 2012 tasolla. Osassa valtion organisaatioista tehdään
kattavasti erinomaista tietoturvatyötä.
Toisaalta seuranta osoittaa, että VAHTIn tietoturvatyössä aktiivisesti mukana olevien organisaatioiden tilanne on selvästi parempi kuin yhteistyössä vähän tai ei ollenkaan mukana olleiden. Useimmat valtionhallinnon organisaatiot ovat 2000-luvulla olleet
mukana VAHTIn toiminnassa ja hankkeissa. Monissa organisaatioissa on otettu käyttöön
VAHTIn tietoturvamittarit ja näiden toimijoiden kyky vastata kattavasti vuosikyselyyn on
erinomainen. Osa toimijoista ei ole tietoturvallisuuden hallinnassaan sillä tasolla, että mittareita käytettäisiin osana johtamista ja tietoturvatoimintojen hoitamista.
VAHTI kiinnittää huomiota siihen, että tulokset ovat ministeriöiden ja virastojen omia
arvioita suhteessa mittareihin.
Tietoturvallisuuden hallinta ja johtaminen sekä tietotekninen
turvallisuus 2013
VAHTIn tietoturva-aineistoja hyödynnetään laajasti valtionhallinnossa. VAHTIn toiminnalla on pystytty laajasti verkottamaan valtion tietoturvatoiminta ja –yhteistyö. Vuonna
2009 julkaistu Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä (VAHTI 7/2009) ja vuonna 2010 julkaistu ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010) ovat auttaneet virastoja
merkittävästi erityisesti hallinnollisen tietoturvallisuuden parantamisessa. Tätä paranta-
32
mista ovat lisäksi tukeneet tietoturvallisuuden yhteishankkeet, joiden käytännön toteutuksen on hoitanut Valtiokonttorin Valtion IT-palvelukeskuksen tietoturvapalvelut.
Erityisen hyvää kehitystä on havaittavissa niissä organisaatioissa, jotka ovat mukana
VAHTIn eri hankkeissa ja yhteistoiminnassa. VAHTI-toiminnassa aktiivisten organisaatioiden tietoturvallisuus on pääsääntöisesti paljon paremmin hoidettu kuin niiden, jotka
eivät ole olleet mukana VAHTIn toiminnassa.
Aiempiin vuosiin verrattuna tilanne on edelleen parantunut useilta osin.
Jatkuvuus- ja toipumissuunnitelmien laatiminen on mittareiden mukaan parantunut
merkittävästi vuonna 2013. Lisäksi tietoturvatavoitteiden liittäminen ydinprosesseihin on
kohentunut merkittävästi.
Toisaalta seuranta osoittaa joitakin kehittämistarpeita. Osassa organisaatioita perusasiat ovat vielä hoitamatta. Jatkuvuussuunnitelmien harjoittelu vuonna 2013 on ollut hyvin
vähäistä.
Kuvan 7 taulukossa esitetään VAHTIn tietoturvamittarien avulla valtion tietoturvallisuuden tilannetta vuonna 2013.
Kuva 7: Tietoturvallisuuden hallinta ja johtaminen valtionhallinnossa 2013
Tietoturvallisuuden hallinta ja johtaminen
2013
2012
2011
2010
prosentteja organisaatioista
Tietoturvavastaava (osa/ kokopäiväinen)
Vakavista tietoturvapoikkeamista johdolle raportointi
Tietoturvapoikkeamien käsittely organisoitu/ vastuutettu
Sovittu käyttövaltuuksien hallintaperiaatteet
Tunnukset/ valtuudet käyttövaltuushallintaperiaatteiden mukaisesti
Keskeiset osa-alueet kattava tietoturvaohjeisto
Huonotasoisten salasanojen käytön esto
Viestinvälityksen ja sähköpostien salaus käytössä
Johdon hyväksymät sähköpostien pelisäännöt
Varmuuskopioiden suunnitelmallinen hallinta
Tekninen valvonta käsitelty YT-menettelyssä
Vakavista tietoturvapoikkeamista pidetään kirjaa
Tietoturvapolitiikka
Salaus tiedostoissa, hakemistoissa ja kovalevyissä
Toimintaverkostojen ja alihankkijoiden hallinta
Säännöllinen johdolle raportointi tietoturvallisuudesta
Erilliset tietojenkäsittelyn toimintaympäristöt
Haittaohjelmatarkistus HTML-sivuille
Tietoturvasuunnitelma
Eri toiminnot kattava tietoturvayhteistyöryhmä
Eriytetty tietoverkon eri suojaustasoa vaativat osat (+ rajoitus)
Tietoturvallisuus arvioitu VAHTI-ohjeisiin/ standardeihin peilaten
Säännöllinen tietoturvariskien arviointi
Tunnistettu sidosryhmät, joille organisaatiolla on tietoturvavastuita
Prosessien ja riippuvuuksien tunnistaminen
100
93
90
100
100
96
85
87
99
92
87
80
95
95
97
92
95
95
91
91
93
92
85
84
93
97
92
82
92
78
78
65
90
73
82
82
89
100
96
90
75
89
87
78
88
85
82
-
87
90
82
73
87
87
82
66
86
87
86
65
83
85
63
65
83
92
82
79
83
82
78
77
81
75
67
69
81
85
76
40
80
90
86
72
78
90
76
59
77
72
57
60
75
75
63
45
73
80
80
63
33
Tietoturvallisuuden hallinta ja johtaminen
2013
2012
2011
2010
prosentteja organisaatioista
Tietojen suojausluokkien mukainen tilojen eriyttäminen
Palvelutoimittajien turvallisuusselvitykset
Tietoturvatavoitteet tulosohjauksessa
Turvallisuusselvitysmenettely käytössä
Valmiussuunnitelma
Tietoturvavastuut kuvattu tehtäväkuvauksissa
Ulkoisen arvioijan tietoturva-arviointi VAHTI-ohjeisiin nähden
Keskeisten tietojärjestelmien tietoturva-arviointi
Rekisteriselosteet verkkosivuilla
Ydinprosesseissa tietoturvatavoitteet
Jatkuvuussuunnitelma
Toipumissuunnitelma
IDS käytössä
Ydintoimintojen riskien arviointi ja dokumentointi
Johdon sisäisen valvonnan ja riskienhallinnan arviointi- ja vahvistuslausumassa käsitellään tietoturvariskejä
Järjestelmämääritysten tietoturvavaatimusten auditointi
Riskienhallintapolitiikka
Kokopäivätoiminen tietoturvavastaava
Jatkuvuussuunnitelma harjoiteltu
73
83
73
74
73
75
75
55
72
65
53
44
70
73
65
60
69
67
69
68
67
65
68
58
65
75
63
40
64
70
57
53
59
60
63
54
58
45
55
46
58
40
40
37
57
42
46
41
55
63
48
44
54
53
53
39
54
67
49
-
53
58
54
43
49
50
46
39
31
35
35
21
11
23
15
13
Haittaohjelmilta ja tietoturvahyökkäyksiltä suojautuminen sekä muu tietotekninen
turvallisuuden kehittäminen on ollut keskeinen osa jatkuvaa useimmissa valtion organisaatiossa toteutettavaa tietoturvatyötä. Tietoteknisen tietoturvallisuuden kehittymisen
esimerkkejä ovat:
• Tietoturvavastaava on nimetty kaikissa vastaajaorganisaatioissa. Kokopäivätoiminen
vastuuhenkilö löytyy sen sijaan 31 prosentista organisaatioita.
• Vakavista tietoturvapoikkeamista raportoidaan johdolle kaikissa organisaatioissa.
Myös tietoturvapoikkeaminen käsittely on organisoitu lähes kaikissa toimijoissa.
• Viestinnän salausratkaisut sekä johdon hyväksymät sähköpostin käytön periaatteet
ovat käytössä yli 90 prosentissa vastaajia.
Kokopäivätoimisia tietoturvavastaavia on edelleen vähän koko valtionhallinnon tasolla
(31 prosenttia vastaajista). Näyttää olevan niin, että teknisen tietoturvallisuuden yksittäisten kohteiden parantaminen onnistuu nopeastikin, mutta toimintaprosesseihin liittyvien
osa-alueiden parantaminen edellyttää pitkäjänteistä kehittämistyötä.
Useimmissa organisaatioissa tulisi edelleen parantaa valmius- ja jatkuvuus suunnitelmien harjoittelua. Vuoden 2013 aikana Turvallisuuskomitean johdolla järjestettiin valmiusharjoitus, joka koski valtionjohtoa ja keskittyi kyberuhkiin.
Toimintojen riskien hallitsemiseksi ja jatkuvuuden varmistamiseksi Suomen valtionhallinnon on jatkossa pystyttävä edelleen parantamaan tietoturvaongelmiin varautumista
34
ja poikkeamatilanteiden hallintaa sekä tietojärjestelmiensä ja - verkkojensa tilanteiden
tuntemista ja hallintaa. Tietoturvallisuutta tukevien teknologioiden hyödyntämistä on
tarpeen edelleen kehittää esimerkiksi salausteknologian ja hyökkäysten havainnointiratkaisujen käytössä.
Seurannassa kerätty tieto osoittaa selvästi, että annettu valtioneuvoston periaatepäätös
valtionhallinnon tietoturvallisuuden kehittämisestä keskittyy juuri niiden asioiden parantamiseen, joissa valtionhallinnossa on merkittävää kehittämistarvetta: johtaminen, kokonaisvaltaisuus ja läpäisy, ennaltaehkäisy ja varautuminen sekä tiedon ja sen arvon suojaaminen.
Tietoturvatavoitteiden nivominen tulosohjaukseen on edistynyt 65 prosentista 72 prosenttiin vastaajista.
Tietoturvaongelmat
Kuvasta 8 näkyy haittaohjelmista aiheutuneen järjestelmien käytön estymisen ja erityistoimia vaatineiden tietoturvahyökkäysten yleisyyden vaihtelu vuosina 2002–2013. Järjestelmät tai niiden osa on ollut haittaohjelmien takia pois käytöstä noin vain noin 5 prosentilla organisaatioista vuonna 2013. Haittaohjelmien aiheuttamat haitat valtionhallinnossa
ovat laskeneet edelliseen vuoteen verrattuna. Vuosikohtainen vaihtelu on kuitenkin ollut
suurta viime aikoina. Järjestelmäkatkoja ei ole tässä luokiteltu niiden keston tai laajuuden
perusteella.
Kuva 8. Tietoturvaongelmien yleisyys valtionhallinnossa
45
Prosenttia vastaajista
40
35
30
25
20
15
10
5
0
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Vuosi
Haittaohjelmat estäneet järjestelmien käyttöä
Erityistoimia vaatineet hyökkäykset
Kohdistetut hyökkäykset
35
Erityistoimia aiheuttaneita ulkopuolisia hyökkäyksiä on havainnut noin 17 prosenttia
valtionhallinnon organisaatioista ja noin 13 prosenttia on havainnut joutuneensa kohdistetun hyökkäyksen kohteeksi vuonna 2013. Erityistoimia vaatineiden hyökkäyshavaintoja
tehneiden organisaatioiden prosenttiosuus on hieman laskenut samaan aikaan kun kohdistettujen hyökkäysten havaittu määrä on kasvanut. Organisaatioiden hyökkäysten havainnointikeinojen valikoima on aikaisemmasta raportoinnista laajentunut. Lisäksi tilanne
havainnointikyvyn osalta on hieman parantunut muun muassa vuoden aikana käynnistetyn SecICT-hankkeen yhteydessä käyttöön otettujen GovHAVARO-palveluiden myötä.
Organisaatioiden käyttämiä keinoja tietoturvahyökkäysten havaitsemiseksi ovat muun
muassa erilaiset teknilliset ratkaisut, kuten haavoittuvuusskannaukset, IDS/IPS-järjestelmät, IRHS- ja HAVARO-palvelu, palomuurin ja palvelinten lokiseuranta sekä haittaohjelmien torjunta. Suurimman kokonaisuuden muodostaa tapahtumien seuranta muun
muassa palomuurien ja tietojärjestelmien lokien avulla. Lokiseuranta voi olla tasoltaan ja
laadultaan vaihtelevaa, joten tehokkaiden seurantamenetelmien ja -työkalujen käyttöönoton lisäämiseen on panostettava. Meneillään oleva SecICT-hanke tuo parannusta valtionhallinnon ympärivuorokautiseen havainnointi- ja reagointikykyyn.
Toiminnallisista ja hallinnollisista keinoista voidaan mainita oman henkilöstön ilmoitukset, palveluntuottajan ilmoitukset ja raportit sekä erilaiset kansalliset ja kansainväliset
yhteistoimintaverkostot. Oheisessa kaaviossa (Kuva 9) on kuvattu ilmoitettujen havainnointikeinojen karkeaa keskinäistä jakaumaa. Organisaatiolla voi olla käytössään useita
keinoja tästä valikoimasta.
Kuva 9. Tietoturvapoikkeamien ilmoitettujen havainnointikeinojen keskinäinen jakautuminen
4%
4 %4 %
2%
23 %
8%
Tapahtumien (loki)seuranta
(mm. palomuuri)
Palvelutuottajien ilmoitukset ja
raportointi
Haittaohjelmien torjunta
IDS/IPS-järjestelmät, HAVARO
IRHS, HTTP-suodatus
Valvontaohjelmistot (verkon, sovellusten)
9%
19 %
11 %
16 %
Yhteistyöverkostot (mm. CERT, FUNET, VNK)
Ei-tekninen seuranta, käyttäjien
ilmoitukset, koulutus
Haavoittuvuusskannaus
Turvallisuuden operointikeskus (SOC)
Havaituista tietoturvapoikkeamatyypeistä olivat vastausten perusteella yleisempiä eritasoiset murtoyritykset. Seuraavaksi laajimman luokan muodostavat huonosta ylläpidosta
johtuneet poikkeamat, kuten konfigurointi- tai operointivirheet sekä haittaohjelmat. Haittaohjelmista ei kuitenkaan ole ilmoitettu aiheutuneen merkittäviä toiminnan keskeytyksiä. Seuraavaksi eniten raportoidun poikkeamatyypin muodostavat tietoturvaohjeiden
vastainen toiminta sekä laitevikojen ja sähkökatkojen aiheuttamat käytettävyysongelmat.
36
Kuva 10. Tietoturvapoikkeamien jakauma tyypeittäin
16 %
25 %
Inhimilliset virheet, huono ylläpito
Haittaohjelmat
Ohjeiden vastainen toiminta
15 %
Käytettävyysongelmat, laiterikko
Ohjelmistohaavoittuvuudet
6%
Kulunvalvonta, tilaturvallisuus
6%
12 %
7%
Kohdennettu hyökkäys
Murtoyrityksiä (sniffauksia, skannauksia)
13 %
Raportoidut tietoturvallisuuteen käytetyt resurssit ja volyymit
Osana VAHTIn seurantaa ja mittaristoa seurattiin jälleen tietoturvallisuuteen käytettyjä
vastanneiden organisaatioiden resursseja ja volyymeja. Osassa toimijoita seurannan kohteena olevia asioita ei mitata. Yhteenvetona VAHTIlle raportoiduista resursseista ja volyymeista voidaan todeta:
• Haavoittuvuuksien korjaamiseen raportoitiin käytetyn yhteensä 1 590 henkilötyöpäivää vuonna 2013 näitä seuranneissa 38 organisaatiossa (2012: 1 635). Haavoittuvuuksien
korjaamisen ostopalveluja seurasi ja raportoi 22 organisaatiota, joilla siihen kului
1,7 miljoonaa euroa (2012: 326 800). Haavoittuvuuksien korjaamisen ostopalvelupanostukset ovat nousseet merkittävästi.
• Tietoturvakoulutukseen käytettyjä henkilötyöpäiviä ilmoitti 60 organisaatiota yhteensä 4 720 (2012: 7 138). Tietoturvakoulutuksen ostopalveluihin tätä mitanneet virastot raportoivat käytetyn yhteensä 687 000 euroa, joka perustuu 34 organisaation yhteenlaskettuihin menoihin (2012: 448 200). Koulutukseen käytettiin varoja tämän perusteella huomattavasti edellisvuotta enemmän mutta henkilötyöpäiviä vastaavasti vähemmän. Käytetty rahallinen panostus vaihtelee rajusti organisaatioittain.
Koulutuskustannusten nousu henkilötyöpäiviin nähden voi selittyä esimerkiksi sillä,
että osa varoista on käytetty avainhenkilöryhmien erikoiskoulutukseen.
• Tietoturva-arviointeihin raportoitiin käytetyn yhteensä 1,55 miljoonaa euroa
57 organisaatiossa (2012: 781 600 euroa 17 organisaatiossa) ja 1 645 oman henkilökunnan henkilötyöpäivää (2012: 5 069). Raportoidut taloudelliset panostukset ovat
kasvaneet merkittävästi edellisestä vuodesta. Osa arviointiresurssien käytön kasvusta selittynee Tietoturvallisuusasetuksen toimeenpanon varmistamisella ja osa
Tietoturvallisuuden arviointilain lisääntyneellä käytöllä.
• Tietoturvaongelmien selvittämiseen on raportoitu käytetyn organisaatioissa 1 084
37
henkilötyöpäivää oman organisaation työtä (2012: 930) ja 884 konsulttipäivää (2011:
211) kattaen 41 organisaatiota (2012: 23). Tietoturvaongelmien välittömiä kustannuksia raportoi VAHTIlle 19 organisaatiota 1,49 miljoonan euron edestä (2012: 7 organisaatiota ja 108 700 euroa). Tässä on merkille pantavaa huomattava lisäys niin raportoivien organisaatioiden, kuin kustannusten osalta ongelmien selvittämisessä. se, että
vakavissa kyberhäiriöissä on kyettävä tarvittaessa irrottamaan kohtuullisen merkittäviä taloudellisia voimavaroja asian kuntoon saattamiseen ja lisävahinkojen ehkäisemiseen.
• Organisaatioiden riskienhallintaraportointiin kirjattiin yhteensä 815 tietoturvapoikkeamaa, jotka muodostuivat 37 organisaation ilmoittamista tietoturvapoikkeamista
(2012: 384 kpl 24 organisaatiossa). Kuvassa 11 näkyy, että poikkeamia raportoineissa organisaatiossa suuret havaintomäärät keskittyvät muutamalle toimijalle. Tämä selittyy niin kyseisten organisaatioiden koolla, raportointikäytännöillä, kuin myös toimialoilla, joilla eniten poikkeamia raportoineet toimivat. Tietoturvapoikkeamien
käsittelykulttuuri näyttää vahvistuvan osassa organisaatioita, mutta monilla tällainen toimintatapa ei ole vielä vakiintunut tai alkanut osana riskienhallintaa.
Tietoturvapoikkeamien tyyppejä ei tarkemmin avata tässä kyselyssä. Verrattuna edelliseen vuoteen, on jakauman kuvaaja pysynyt samantyyppisenä, mutta runsaasti poikkeamia ilmoittaneiden organisaatioiden määrä sekä poikkeamien määrä ovat kasvaneet merkittävästi.
Kuva 11. Organisaatioiden riskienhallinnassa raportoituja tietoturvapoikkeamia. Nollasta
poikkeavat määrät esitettynä organisaatioittain vuosilta 2012 ja 2013
350
Lukumäärä
300
250
200
150
100
50
0
0
5
2012
10
15
20
25
30
35
40
2013
Kyselyssä seurattiin monesta eri näkökulmasta vastaajaorganisaatioiden tietoturvallisuuteen käyttämiä keskimääräisiä resursseja ja volyymeja. Kuvan 12 taulukossa on yhteenvetoa keskimääräisistä tiedoista vastanneissa organisaatioissa. Osassa toimijoita seurannan
kohteena olevia asioita ei mitata, eikä seurata organisaation tasolla.
38
Yhteenvetoa keskimääräisistä resursseista ja volyymeista vuosien 2010–2013 osalta esitetään seuraavassa taulukossa. Tässä otetaan huomioon vain ne toimijat, jotka ovat asiaa
mitanneet ja joiden vastaus poikkeaa nollasta.
Kuva 12. Tietoturvallisuuteen käytettyjä resursseja ja volyymeja
Seurannan kohde
Toteutuneet keskiarvot (nollasta poikkeavat)
2013
Tietoturvaongelmien selvityksen oma työ
htp / organisaatio
Tietoturvaongelmien selvityksen konsulttityö
htp / organisaatio
Tietoturvaongelmien suorat kustannukset
euroa / organisaatio
Raportoitujen tietoturvapoikkeamien lukumäärä
kpl / organisaatio
Tietoturvallisuuden haavoittuvuuksien korjaamisen oma työ
Tietoturvallisuuden haavoittuvuuksien korjaamisen
suorat kustannukset euroa / organisaatio
Tietoturvakoulutukseen osallistumisen oma työaika
htp / organisaatio
Tietoturvakoulutukseen käytetyt ostopalvelut
euroa / organisaatio
Tietoturva-arviointeihin käytetty oma työaika
htp / organisaatio
Tietoturva-arviointeihin käytetyt ostopalvelut
euroa / organisaatio
2012
2011
2010
26
40
15
11
22
21
12,5
11
78 400
15 500
15 900
9 600
74
16
6
25
44
56
51
32
47 900
29 700
15 400
66 700
80
178
33
61
11 700
22 400
26 300
16 500
28
137
24
43
26 700
41 100
27 300
40 500
Tietoturvallisuusasetuksen täytäntöönpanon tilanne
VAHTI selvitti Tietoturvallisuusasetuksen täytäntöönpanon tilanteen ministeriöissä ja
virastoissa syyskuun 2013 lopun tilanteesta. Tällöin päättyi asetukseen kirjattu siirtymäaika, jonka kuluessa kaikkien organisaatioiden tuli täyttää tietoturvallisuuden perustason vaatimukset.
Kuvassa 13 esitetään organisaatioiden omien arvioiden jakautuma sen suhteen, mikä
on organisaation tilanne tietoturvallisuusasetuksen 5 §:n vaatimusten eli tietoturvallisuuden perustason toteuttamisessa. Tämän vuoden kyselyyn kerättiin lisäksi tieto siitä, onko
tietoturvallisuuden perustaso saavutettu auditoidusti. Tietoturvallisuusasetuksen yhteishankkeisiin kuului ulkopuolisen arvioijan tekemä auditointi.
Vastausten perusteella 76 prosenttia (2012: 33%) virastoista täyttää tietoturvallisuuden
perustason vaatimukset auditoidusti tai oman arvionsa perusteella ja lisäksi 21 prosenttia
(2012: 54 %) ilmoitti täyttävänsä suurimmaksi osaksi 5 §:n vaatimukset.
Osa vastaajista ei kuulu asetuksen velvoitteiden piiriin. Näistä toimijoista eräät eivät
täytä perustasoa tai niillä ei ole asiasta tietoa.
39
Kuva 13. Tietoturvallisuusasetuksen 5 §:n vaatimusten toteutus
1%
2%
Kaikki osat auditoidusti
21 %
Kaikki osat, oma arvio
Suurin osa
15 %
61 %
Ei täyty
Ei tietoa
Virastojen omat arviot tilanteestaan VAHTI 2/2010 -ohjeessa linjattujen tietoturvatasojen toimeenpanossa selvitettiin vuoden 2013 lopussa. Selvitys kohdistettiin erityisesti
tietoturvallisuuden hallintaan, johtamiseen ja tietojärjestelmien hallintaan.
Tulokset on kuvattu kuvassa 14, jossa esitetään kultakin osa-alueelta prosenttijakautuma virastoista. Tulosten perusteella voidaan arvioida, että Tietoturvallisuusasetuksen
yhteishankkeet ovat lisänneet organisaatioiden kriittisyyttä sekä kykyä havaita kehittämiskohteita omassa toiminnassaan.
Kuva 14. Virastojen arvioiman tietoturvallisuuden tason jakauma omassa toiminnassaan
(suluissa vuoden 2012 jakauma)
Virastojen arvioima
tietoturvataso
korkea tai korotettu
perustaso
lähes perustaso
perustaso ei täyty
Tietoturvallisuuden
hallinta
Tietoturvallisuuden
johtaminen
Tietojärjestelmien
hallinta
2 (2) %
2 (7) %
0 (2) %
69 (33) %
81 (50) %
80 (35) %
23 (50) %
11 (33) %
14 (53) %
4 (15) %
4 (10) %
4 (12) %
Tämä lisäksi selvitettiin tilanne tietoaineistojen luokituksessa sekä organisaatiossa
käsiteltävissä salassa pidettävissä tietoaineistoissa ja käsittelyn rytmeistä suojaustasoittain.
Asian selvittäminen oli tärkeää Tietoturvallisuusasetuksen toimeenpanon ohjaamisen ja
seuraamisen kannalta sekä kansallisen ja kansainvälisen suojausluokitellun materiaalin
rinnastettavuuden osalta.
40
Kuva 15. Luokituspäätösten tilanne
13 %
Päätös 2013
24 %
51 %
Päätös tehty aikaisemmin
Ei luokitella
Ei vielä päätöstä
12 %
Vastanneista organisaatioista vain 37 prosenttia ilmoitti tehneensä päätöksen tietoaineistojen luokituksesta vuonna 2013 tai aikaisemmin. Niiden organisaatioiden osuus, joilla
ei ole luokituspäätöstä on vähentynyt 68 prosentista 51 prosenttiin. Samalla kuitenkin niiden osuus, jotka ovat päättäneet olla luokittelematta on noussun kahdesta kahteentoista
prosenttiin. Valtiovarainministeriön näkemyksen mukaan luokituspäätösten ja niiden
edellyttämien toimenpiteiden puuttuminen saattaa heikentää viranomaisten välistä luottamusta keskinäisessä tiedonvaihdossa.
Kuvassa 16 kerrotaan virastojen vastauksiin perustuvat jakautumat yhteenvetoina korkeimmista organisaatioissa käsiteltävistä tietoaineistojen suojaustasoista sekä kansallisten
että kansainvälisten tietoaineistojen osalta.
Kuva 16. Korkein suojaustaso tietoaineistoissa
Korkein organisaatiossa käsiteltävien
salassa pidettävien tietoaineistojen
suojaustaso
Suojaustaso I
Suojaustaso II
Suojaustaso III
Suojaustaso IV
ei tiedossa
ei käsitellä lainkaan
Kansalliset tietoaineistot
Kansainväliset tietoaineistot
16 %
2%
33 %
11 %
30 %
15 %
5%
10 %
16 %
12 %
-
50 %
Vastaajista 50 prosenttia ilmoitti, ettei käsittele ollenkaan kansainvälisten tietoturvavelvoitteiden piirissä olevia salassa pidettäviä tietoaineistoja. Näiden lisäksi 12 prosenttia
ilmoitti, ettei korkein kansainvälisten aineistojen suojaustaso ole tiedossa. Verrattaessa
virastojen vastauksien jakautumista edellisvuoteen koskien kansainvälisten aineistojen suojaustasoja I ja II voidaan arvioida, että kansainvälisissä aineistoissa tapahtuva mahdollinen
yliluokittelu olisi edelleen vähentynyt ja käsittely tarkentunut. Viime vuonna suojaustason
I kansainvälistä tietoaineistoa ilmoitettiin käsiteltävän seitsemässä prosentissa vastanneista
organisaatioista. Nyt tämä arvio on pudonnut alle kolmasosaan siitä. Osaltaan muutosta
41
ilmoitetuissa määrissä selittänee kansallisen turvallisuusviranomaisen viimeaikoina tekemät selvitykset kansainvälisten aineistojen käsittelystä. Tällöin viranomaiset ovat joutuneet
tunnistamaan ja entistä tarkemmin käymään läpi käsittelemänsä aineiston.
VAHTIn arvion mukaan olisi tarvetta edelleen konsernitasoisesti ohjata toimijoita
oikeaan luokitukseen, jotta tietoaineistojen yli- tai aliluokittelua saataisiin vähennettyä.
42
43
VAHTIn tunnettuus
VAHTIn julkaisuja ja toiminnan tuloksia hyödynnetään ja on hyödynnetty myös vuonna
2013 laajasti monilla sektoreilla. Julkaisuja ja ohjeita käytetään hyväksi valtionhallinnon
lisäksi kunnissa, yrityksissä, kansalaistoiminnassa ja kansainvälisen tietoturvallisuuden
kehittämisessä.
VAHTIn yhteistoiminta hallinnossa ja sen ulkopuolella on ollut laajaa ja monipuolista.
VAHTIn tietoturvatoimijoiden verkostot kattavat koko valtionhallinnon ja siinä olevan
tietoturvallisuuden kannalta keskeisen asiantuntemukseen. VAHTI on perustanut tarvittavia ryhmiä tietoturvatyön ja yhteistyön kehittämiseksi.
VAHTI on toiminut aktiivisessa yhteistoiminnassa hallinnonalojen, virastojen ja tietoturvatoimijoiden sekä eritoten valtioneuvoston periaatepäätöksessä linjattujen tietoturvallisuuden yhteiskunnallisten toimijoiden kanssa. Yhteiskunnallisia tietoturvatoimijoita ovat
VM, VAHTI, liikenne- ja viestintäministeriö, valtioneuvoston kanslia, puolustusministeriö,
oikeusministeriö, sisäasiainministeriö, ulkoasiainministeriö, Viestintävirasto, Valtiokonttori, Arkistolaitos, Huoltovarmuuskeskus, Puolustusvoimat, Tietosuojavaltuutetun toimisto
sekä sisäasianministeriön ja puolustushallinnon hallinnonalan tietoturvapalveluja tuottavat
organisaatiot. VAHTI on jatkanut vakiintunut yhteistyötään hallinnon ja elinkeinoelämän
keskeisten organisaatioiden, yhteistyöelinten ja toimijoiden kanssa. Yhteistyö on vakiintunutta ja säännöllistä liittyen muun muassa hallinnonalojen, virastojen ja korkeakoulujen
tietoturvakehittämiseen, -seminaareihin ja -koulutukseen sekä kokonaisturvallisuuteen,
kansalliseen ja kansainväliseen yhteistyöhön.
VAHTIn aineistoja ja tuloksia on hyödynnetty monipuolisesti julkishallinnossa, yrityksissä ja kansainvälisesti. VAHTIn linjausten hyödyntämistä ICT-hankkeissa ja hankinnoissa on tehostettu 2009 tehdyn periaatepäätöksen jälkeen. Julkaistut tietoturvatasojen ja
ICT-varautumisen vaatimusten sisällölliset linjaukset perustuvat pääsääntöisesti VAHTIohjeisiin. Kriteeristöhankkeen perusteella tarkentui, että myös kansallisen turvallisuusauditointikriteeristön, KATAKRIn tietoturvaosuuden vaatimukset perustuvat suurelta osin
VAHTI-ohjeiden sisältöön. Työn tuloksia on hyödynnetty poikkihallinnollisesti mm. arjen
tietoyhteiskunnan, kansallisen turvallisuusviranomaisen, sisäisen turvallisuuden ohjelman
kehitystyössä ja valtion konserniohjauksen kehittämisessä.
VAHTI on parantanut tietoturvatietoisuutta muun muassa aktiivisen viestinnän, monipuolisen yhteistyön ja seminaaritoiminnan keinoin. Viestinnän perustana on viestintäsuunnitelma ja aktiviteettien suunnittelu. VAHTIlle on kehitetty ja julkaistu uusi sivustokokonaisuus www.vahtiohje.fi, jonka avulla tiedon haku, linkitys ja päivitys saadaan toimimaan
44
aiempaa joustavammin. Käynnissä olevista hankkeista ja valmisteilla olevista julkaisuista
on aktiivisesti tiedotettu muun muassa VAHTIn verkkosivuilla ja valikoituihin toimijoihin kohdistuvilla suoraviestinnällä.
Useissa koulutusorganisaatioissa VAHTIn tulosten esittely ja hyödyntäminen on integroitu monipuolisesti osaksi erilaisia koulutusohjelmia ja -tilaisuuksia. Erityisesti koulutusyhteistyötä on lisätty HAUS-kehittämiskeskuksen kanssa.
VAHTI oli vuonna 2013 mukana muun muassa Taloudellisen yhteistyön ja kehityksen
järjestön, OECD:n toiminnassa tieto- ja kyberturvallisuuden osa-alueilla.
VAHTI on tehnyt säännöllistä yhteistyötä julkisen hallinnon ICT-hankkeiden kanssa ja
tukenut näin tietohallinnon uudistamista tietoturvallisuuden näkökulmasta. Vuonna 2013
VAHTI jatkoi aktiivista yhteistoimintaa Valtion IT-palvelukeskuksen kanssa. VAHTIssa
on ohjattu palvelukeskuksen tietoturvapalveluiden toimintaa ja sen laajentamista. Palvelukeskus on huolehtinut tietoturvallisuuden yhteishankkeiden käytännön toteutuksista.
Kansainvälisessä yhteistyössä jatkettiin VAHTI-esitysten pitämistä ja VAHTIn käännettyjen aineistojen hyödyntämistä. Esimerkkinä tällaisesta mainittakoon OECD-yhteistyö, EU-yhteistyö ja tietosuojaviranomaisten kansainvälinen yhteistyö sekä Suomen kahdenkeskinen tietoturvayhteistyö muiden maiden kanssa.
VAHTIlla on laadukas ja tietoturvallisuuden eri osa-alueet kattava ohjeisto, jota kehitetään jatkuvasti. Uusia ohjeita tuotetaan ja olemassa olevia päivitetään havaittujen tarpeiden perusteella. Yhteistoiminnan ja viestinnän kannalta ohjeiston rooli on keskeinen. Se
on saatavilla sekä VAHTIn verkkosivuilla että painettuna julkaisusarjana.
VAHTIn toiminnasta on tiedotettu VM:n uutiskirjeissä ja tiedotteissa. Lisäksi VAHTIn seminaarien aineistoja on julkaistu www.vm.fi/vahti -sivuilla. Tiedotusvälineet ovat
käsitelleet vuoden 2012 aikana useita VAHTIn toiminnan piirissä olevia kehityskohteita
sekä ohjeita.
Valtion tietoturvallisuuteen liittyvästä yhteistoiminnasta kerrotaan myös tämän toimintakertomuksen luvussa 5 ja hankkeiden yhteistoiminnasta liiteosassa.
45
LIITTEET
Liite 1Poimintoja VAHTIn asettamispäätöksestä
Toimikausi
1.6.2007 – 31.12.2008, jatkettu nykykokoonpanossa 31.12.2013 asti
Tietoturvallisuuden johtoryhmän tavoitteet
VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja
tulosohjausta.
VAHTI edistää Hallitusohjelman, Yhteiskunnan turvallisuusstrategian (YTS), Valtion
IT strategian ja hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä valtion tietoturvallisuutta ja siihen liittyvää yhteistyötä.
VAHTI kehittää, yhteensovittaa ja ohjaa valtionhallinnon tietoturvallisuutta ja siihen
liittyvää kansallista ja kansainvälistä yhteistoimintaa hallinnon kehittämisen, sähköisen
hallinnon, toimintojen varmistamisen, tietoyhteiskuntakehityksen, tietoturvakehityksen
ja uhkien sekä toimintojen, tietojenkäsittelyn ja tietoliikenteen verkottumisen ja muun
kehityksen edellyttämällä tavalla.
VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.
Tehtävä
Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietoturvatoimenpiteitä.
VAHTIn käsittelyn kohteina ovat kaikki tietoturvallisuuden osa-alueet.
VAHTI toimii hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö, valmistelu ja koordinaatioelimenä
sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä.
Lisäksi VAHTI:
• Kehittää, yhteensovittaa ja ylläpitää valtionhallinnon tietoturvallisuuden tavoitteita,
toiminta-, organisointi- ja resurssilinjauksia sekä normeja, ohjeita ja suosituksia.
46
• Kehittää tietoturvallisuutta osana hallinnon kaikkea toimintaa ja edistää tietoturvallisuuden integrointia osaksi hallinnon prosesseja, tehtäviä, palveluita ja järjestelmiä.
• Valmistelee ja yhteensovittaa valtioneuvoston ja valtiovarainministeriön linjauksia
hallinnon tietoturvallisuudesta sekä seuraa ja edistää niiden toimeenpanoa.
• Edistää hallinnon tietoturvakulttuuria ja henkilöstön tietoturvatietoisuutta.
• Valmistelee ja käsittelee hallinnon organisaatioiden tietoturvallisuuden tavoitetasot ja
edistää niiden toimeenpanoa ja auditointia.
• Seuraa ja arvioi hallinnon tietoturvallisuutta, varautumista, kansallista ja kansainvälistä kehitystä sekä määrittelee tarvittavat linjaukset, normit ja toimenpiteet.
• Käsittelee ja yhteensovittaa hallinnon kansainvälisen tietoturvayhteistyön linjauksia ja
vaikuttamista kansainvälisessä tietoturvatyössä.
• Ohjaa ja käsittelee valtion IT-strategian toimeenpanon tietoturvallisuutta ja varautumista sekä organisoi näiden alueiden kehittämisohjelman ohjauksen.
VAHTI osallistuu tarvittaessa valtionhallinnon näkökulmasta kansallista ja kansainvälistä tietoturvallisuutta kehittävien yhteistyöryhmien toimintaan sekä valmistelee tai valmisteluttaa näiden kanssa mahdollisesti valtionhallinnolle annettavat linjaukset tai muut
yhteistyöelimen tehtävään sisältyvät valtion tietoturvallisuuteen liittyvät asiat. VAHTI
myös tarvittaessa osallistuu, nimeää edustajansa tai antaa asiantuntijatukea hallinnon
laaja-alaisiin kehittämishankkeisiin tietoturvallisuuden varmistamiseksi ja integroimiseksi osaksi kehityshankkeiden toimintaa. VAHTIlla on keskeinen rooli valtion IT-toimintojen ohjauksessa.
47
Liite 2Voimassa olevat VAHTI –julkaisut 31.12.2013
VAHTI 5/2013 Päätelaitteiden tietoturvaohje
VAHTI 4/2013 Henkilöstön tietoturvaohje
VAHTI 3/2013 VAHTIn toimintakertomus vuodelta 2012
VAHTI 2/2013 Toimitilojen tietoturvaohje
VAHTI 1/2013 Sovelluskehityksen tietoturvaohje
VAHTI 3/2012 ICT-teknisen ympäristön tietoturvataso-ohje
VAHTI 2/2012 ICT-varautumisen vaatimukset
VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje
VAHTI 2/2011 Johdon tietoturvaopas
VAHTI 4/2010 Sosiaalisen median tietoturvaohje
VAHTI 3/2010 Sisäverkko-ohje
VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytän
töönpanosta
VAHTI 7/2009 Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden
kehittämisestä
VAHTI 6/2009 Kohdistetut hyökkäykset
VAHTI 3/2009 Lokiohje
VAHTI 9/2008 Hankkeen tietoturvaohje
VAHTI 8/2008 Valtionhallinnon tietoturvasanasto
VAHTI 7/2008 Informationssäkerhetsanvisningar för personalen
VAHTI 3/2008 Valtionhallinnon salauskäytäntöjen tietoturvaohje
VAHTI 2/2008 Tärkein tekijä on ihminen - Henkilöstöturvallisuus osana tietoturvalli
suutta
VAHTI 3/2007 Tietoturvallisuudella tuloksia - Yleisohje tietoturvallisuuden johtamiseen
ja hallintaan
VAHTI 1/2007 Osallistumisesta vaikuttamiseen – valtionhallinnon haasteet kansainvä
lisessä tietoturvatyössä
VAHTI 12/2006 Tunnistaminen julkishallinnon verkkopalveluissa
VAHTI 11/2006 Tietoturvakouluttajan opas
VAHTI 9/2006 Käyttövaltuushallinnon periaatteet ja hyvät käytännöt
VAHTI 8/2006 Tietoturvallisuuden arviointi valtionhallinnossa
VAHTI 7/2006 Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen – hallittu
prosessi
VAHTI 6/2006 Tietoturvatavoitteiden asettaminen ja mittaaminen
VAHTI 5/2006 Asianhallinnan tietoturvallisuutta koskeva ohje
VAHTI 2/2006 Electronic-mail Handling Instruction for State Government
VAHTI 3/2005 Tietoturvapoikkeamatilanteiden hallinta
48
VAHTI 2/2005 VAHTI 1/2005 VAHTI 5/2004 VAHTI 4/2004 VAHTI 3/2004 VAHTI 2/2004 VAHTI 7/2003 VAHTI 3/2003 VAHTI 2/2003 VAHTI 1/2003 VAHTI 3/2002 VAHTI 4/2001 Valtionhallinnon sähköpostien käsittelyohje
Information Security and Management by Results
Valtionhallinnon keskeisten tietojärjestelmien turvaaminen
Datasäkerhet och resultatstyrning
Haittaohjelmilta suojautumisen yleisohje
Tietoturvallisuus ja tulosohjaus
Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa
Tietoturvallisuuden hallintajärjestelmän arviointisuositus
Turvallinen etäkäyttö turvattomista verkoista
Valtion tietohallinnon Internet-tietoturvallisuusohje
Valtionhallinnon etätyön tietoturvaohje
Sähköisten palveluiden ja asioinnin tietoturvallisuuden yleisohje
Ohjeisto löytyy VAHTIn Internet-sivuilta www.vm.fi/vahti sekä www.vahtiohje.fi
49
Liite 3Hankkeet ja niiden toiminta vuonna 2013
Tässä liitteessä kuvataan tiiviisti VAHTI -hankkeiden toimintaa vuonna 2013. Kuvaukseen ei sisälly VAHTIn muun kehitys-, ohjaus ja yhteistyön selostamista eikä JulkICT:n
hankkeita.
Toiminnan organisointi
Vetäjä
Organisaatio
Valtion tietoturvallisuuden johtoryhmä VAHTI
VAHTI sihteeristö
Mikael Kiviniemi
Aku Hilve
VM
VM
Juhani Sillanpää
Tuire Saaripuu
Erja Kinnunen
Mervi Koivuoja
Aku Hilve
Kimmo Rousku
Kimmo Janhunen
Iiro Henttinen
Kimmo Rousku
Aku Hilve
Väestörekisterikeskus
Valtiokonttori
Valtiokonttori
Valtiovarainministeriö
Valtiokonttori
Valtiokonttori
Valtiovarainministeriö
Valtiokonttori
Valtiovarainministeriö
Hankkeet
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
VAHTI ohjeiden ruotsinnokset (M)
VAHTI ohjeiden englanniksi kääntäminen (M)
Tietoturvatasojen yhteishankkeet (V)
Haavoittuvuusskannauksen yhteishanke (V)
Toimitilojen tietoturvaohje (V)
Tietoturvakriteeristötyökalu (M)
Päätelaitteiden tietoturvaohje (V)
Henkilöstön tietoturvaohje (V)
VAHTI tekninen jaosto (M)
Arviointien kehittäminen (M)
Taulukossa on (V) tarkoittaa valmistunutta hanketta ja (M) meneillään olevaa hanketta.
1. VAHTI -ohjeiden ruotsinnosten ohjausryhmä (VM047:03/2007)
Tavoitteet
Hankkeen tavoitteena on ohjata VAHTI-ohjeiden ruotsiksi kääntämistä. Ohjausryhmä
ohjaa ja hyväksyy ohjeiden käännökset. Ohjausryhmä seuraa ohjeiden käännöstyötä ja
tukee kääntäjiä tietoturvallisuuteen liittyvän käsitteistön tulkitsemisessa. Valtiovarainministeriö päättää, mitä VAHTI-ohjeita käännetään, mutta ohjausryhmä voi ottaa kantaa
käännettävien ohjeiden kiireellisyysjärjestykseen.
Toteutus
Hanke toteutettiin ohjausryhmään kuuluvien tekemänä virkatyönä ja ulkopuolisen konsultin sekä kääntäjän yhdistelmänä. Ohjausryhmään kuuluu edustajia useista valtionhallinnon organisaatiosta. Työ toteutettiin pääasiallisesti ryhmäkokouksina.
50
Tulokset 2013
Hankkeen ohjaus uudelleen organisoitiin tuloksellisen toiminnan vahvistamiseksi. Vuoden aikana ohjausryhmä saattoi päätökseen VAHTI 2/2010 ohjeen käännöksen tarkastustyön.
Vaikuttavuus
Hanke edistää tietoturvatyötä sekä erityisesti siihen liittyvää ohjeistamista. Hankkeen
tulosten avulla tehostetaan tietoturvallisuuden johtamista ja sen kytkentää jokapäiväiseen toimintaan. Hankkeen tuloksilla on myös viestinnällistä vaikutusta pohjoismaisella
tasolla.
2. VAHTI -ohjeiden englanniksi kääntämisen ohjausryhmä (VM047:07/2007)
Tavoitteet
Hankkeen tehtävänä ja tavoitteena on ohjata ja hyväksyä VAHTI-ohjeiden englanninkieliset käännökset. Ohjausryhmä ohjaa ja valvoo käännöstyötä, jonka kääntäjä tekee ohjausryhmän sisältöön, käsitteistöön ja käsittelytapaan liittyvien ohjeiden mukaisesti.
Toteutus
Hanke toteutettiin vuoden 2013 aikana työryhmän jäsenten virkatyöhön sekä ostopalveluna toteutettavaan konsulttityöhön perustuen.
Tulokset 2013
Kääntämistyön tavoitteena on saavuttaa alkuperäisen tekstin sisältöä ja merkitystä vastaava, tavoitellulle kohderyhmälle selkeästi ilmaistu käännösteksti. Vuonna 2013 käännettiin ja julkaistiin Johdon tietoturvaopas VAHTI 2/2011. ICT-varautumisen vaatimukset
VAHTI 2/2012 -käännös valmistui vuoden 2013 lopulla.
Vaikuttavuus
Hanke edistää tietoturvallisuutta lisäävien menetelmien käyttöä ja parhaiden käytäntöjen
tiedottamista tavoitelluille kohderyhmille. Hanke toteuttaa Suomessa tehtävää tietoturvatyötä osana kansainvälistä tietoturvallisuuteen liittyvää yhteistyötä. Käännetyt ohjeet
ovat keskeinen väline myös kansainvälisen tietoturvallisuusyhteistyön toteuttamisessa.
Hankkeella on yhtymäkohdat esimerkiksi OECD-maiden ja Euroopan Unionin alueen
tietoturvatyöhön sekä kahdenväliseen tietoturvallisuusyhteistyöhön liittyen. Vuonna 2013
käännetyt ohjeet perustuvat tietoturvallisuuden johtamisen näkökulmaan jokapäiväisessä
toiminnassa sekä varautumisen vaatimuksiin ICT- ympäristössä.
51
3. Tietoturvallisuusasetuksen täytäntöönpanon yhteishankkeet (VM047:15/2007)
Tavoite
Tietoturvallisuusasetuksen velvoittamana jokaisen valtion viranomaisen on toteutettava
tietoturvallisuuden perustaso 30.9.2013 mennessä. Yhteishankkeiden tehtävänä on tehostaa, ohjata, auttaa ja opastaa niihin osallistuvia viranomaisia tämän tavoitteen toteuttamisessa. Tietoturvallisuuden perustason toteutuminen auditoitiin yhteishankkeeseen osallistuvissa viranomaisissa hankkeen päättyessä.
Toteutus
VM käynnisti keväällä 2011 kolme yhteishanketta, joista kukin kesti noin 18 kuukautta.
Joulukuussa 2012 asetettiin vielä neljäs yhteishanke. Ensimmäisen hankkeen työskentely
päättyi joulukuussa 2012 ja neljännen hankkeen joulukuussa 2013. Hankkeet kokoontuivat kuukausittain työpajoihin, joissa käytiin läpi tietoturvatasojen vaatimuksia ja niiden
toteuttamiseksi annettavia ohjeita ja työvälineitä. Työpajojen lisäksi osallistujat tekivät
ryhmätöitä ja kotitehtäviä.
Tulokset 2013
Hankkeisiin osallistuneet organisaatiot ovat toteuttaneet tietoturvallisuuden parannustehtävät joko projektina tai linjatyönä. Yhteishankkeessa on seurattu toimenpiteiden toteutumista kotitehtävien ja osallistujien raportoinnin perusteella. Hankevetäjä on
raportoinut edistymisestä organisaatioiden johtajille sekä VAHTIlle. Valtaosalle hankkeisiin osallistuneista organisaatioista toteutettiin ulkoinen tietoturvatason arviointi vuoden
2013 aikana. Kehittämistoimet ovat edistyneet kaikissa hankkeisiin osallistuvissa virastoissa ja tyytyväisyys hankkeisiin on ollut korkeaa.
Vaikuttavuus
Hankkeilla edesautetaan sitä, että kaikilla valtionhallinnon organisaatioilla on yhdenvertaiset vaatimukset päästä tietoturvallisuuden perustasolle. Hankkeiden päätteeksi tehdyissä auditoinneissa todettiin, että hankkeisiin osallistuneista organisaatioista merkittävästi suurempi osuus toteutti perustason vaatimukset kuin hankkeiden ulkopuolella
olleista organisaatioista.
4. Internet-verkkoon näkyvien ICT-palveluiden jatkuva haavoittuvuusskannaus -yhteishanke
(VM047:16/2007)
Tavoite
Yhteishankkeen tehtävänä oli varmistaa, ylläpitää ja kehittää siihen osallistuvien virastojen internet-verkkoon näkyvien ICT-palveluiden tietoturvallisuutta säännöllisellä tekni-
52
sellä haavoittuvuusskannauksella. Skannauksella pyrittiin löytämään mahdollisia palvelun luottamuksellisuutta, eheyttä tai saatavuutta heikentäviä poikkeamia.
Toteutus
Hanke toteutettiin valtiovarainministeriön ja Valtion IT-palvelukeskuksen kanssa 1.9.2011
– 31.10.2013 yhteistyössä siten, että työn suoritti palvelukeskuksen kilpailuttama haavoittuvuusskannauspalvelua tarjoava Nixu Oy. Hankkeen jatkovaihe toteutettiin 1.1.2013 –
31.10.2013 ja skannauksia jatkettiin keskeytyksettä samoissa virastoissa ja palveluissa kuin
varsinaisessa hankkeessakin.
Osallistujavirastot toimittivat verkkopalveluidensa tiedot ja suostumukset palvelukeskukselle, joka koordinoi yhteisen palvelun ja hankkeen vaatimat toimenpiteet. Kun skannausten luvat oli tarkistettu ja toimitettu Nixulle ja tarvittavat aloituskokoukset ja valmistelut
oli sovittu, suoritettiin ajastettu haavoittuvuusskannaus kuukausittain viraston toivomana
ajankohtana. Skannausten jälkeen Nixu toimitti virastolle raportin havaituista poikkeamista niiden kriittisyysluokitusten mukaan.
Palvelun jatkohankkeeseen osallistuivat kaikki aiemmassa hankkeessa mukana olleet
virastot sekä muutama aiemmin lupaprosessien viivästymisestä kärsinyt virasto. Hankkeessa oli mukana 40 virastoa, kokonaan uusia osallistujia enää otettu mukaan.
Tulokset
Hankkeesta raportoitiin säännöllisin väliajoin anonymisoituja yhteenvetotietoja sekä
asiakastilaisuuksissa että VAHTI-johtoryhmässä. Myös palvelukeskuksen ja Nixun välillä
pidettiin säännöllisesti seurantakokouksia.
Koska virastoja liittyi haavoittuvuusskannaukseen vähitellen, yhteenvetotilastojen tuottamiseksi ei saatu pysyvää ja realistista tilannetta. Jatkovaiheen tarkoituksena oli vakiinnuttaa tilanne ja saada pidempiaikaista ja luotettavampaa tilannetietoa, kun palveluiden
määrä oli pysyvä.
Tuloksista saatiinkin näkyviin tasaista poikkeamien vähenemistä kuukausittain ensimmäisen vuosipuoliskon aikana. Virastot seurasivat tilannetta ja tekivät korjauksia. Kriittisten poikkeamien määrä oli keskimäärin noin 1/palvelu. Virastoissa oman ympäristön
ja palveluiden tuntemus lisääntyi ja IT-toimittajien korjausvastuuta saatiin parannettua.
Virastoissa tehtiin myös pitkäjänteisempää suunnittelua ja prosessien luomista tietoturvapoikkeamien hallinnan järjestämiseksi.
Kesän jälkeen tilanne kääntyi huonompaan suuntaan. Poikkeamien määrä lisääntyi
ja tilastokäyrät kääntyivät kuukausittain ylöspäin. Mitään yksittäistä syytä tähän ei selvityksistä huolimatta löydetty. Kesän aikana julkaistiin monia mm. Apache-palvelimeen
liittyviä haavoittuvuuksia ja näitä palveluita oli runsaasti virastoilla. Epäiltiin myös jonkinlaista väsymistä korjauksiin alkuinnostuksen jälkeen. Tuloksista kuitenkin nähtiin, että
haavoittuvuuksien hallinta ja tilanteen parantaminen edellyttävät säännöllistä ja jatkuvaa
seurantaa sekä korjauksia.
53
Vaikuttavuus
Haavoittuvuusskannauspalvelun avulla virastot ovat täyttäneet tiettyjä perus- ja korotetun tietoturvatason sekä ICT-varautumisen vaatimuksia. Tietoturvahaavoittuvuuksia
tunnistavan ja raportoivan palvelun avulla virastot ovat pystyneet arvioimaan käytössään
olevien palveluiden ja verkkolaitteiden teknisen tietoturvallisuuden tilannetta.
Virasto on voinut varmistua omien palveluidensa tuottamiseen liittyvien prosessien
toimivuudesta tietoturvapäivitysten, asetusten ja sääntöjen osalta. Lisäksi on varmistuttu
IT-sopimustoimittajien sopimuksenmukaisten tietoturvavelvoitteiden täyttämisestä. Virastoja on velvoitettu huolehtimaan kriittisten poikkeamien korjaamisesta, mikä on parantanut valtionhallinnon julkisten verkkopalvelujen tietoturvallisuutta.
5. Toimitilojen tietoturvaohje -hanke (VM047:19/2007)
Tavoitteet
Hankkeen tehtävänä oli koota kansallisten ja kansainvälisiä tietoturvavelvoitteita koskevien tietoturvakriteeristöjen sekä säännösten toimitiloja koskevat tietoturvavaatimukset.
Sekä tuottaa edellisen perusteella ohje, jonka avulla voidaan toteuttaa toimitilojen tietoturvallisuusvaatimukset esimerkiksi toimitilahankkeissa ja tietoturva-asetuksen sekä
kansainvälisten velvoitteiden toimeenpanossa.
Ohje kattaa sekä Tietoteknisten laitetilojen turvallisuussuosituksen (VAHTI 1/2002)
sisältämät asiat että Suositus toimitilaturvallisuuden huomioonottamisesta valtionhallinnossa (VM 1/01/99).
Toteutus
Hanke toteutettiin hankeryhmään kuuluvien tekemänä virkatyönä (työpajat). Ohjeen kirjoitustyössä käytettiin ulkopuolista konsulttia. Työ toteutettiin pääasiallisesti työpajatilaisuuksina, jossa käydään läpi konsultin ja muiden työryhmäläisten tuottamaa materiaalia.
Tulokset vuonna 2013
Hanke julkisti 30.5.2013 VAHTI-ohjeen, joka sisältää kootut toimitilojen tietoturvavaatimukset. Tämän ohjeen sisältämät linjaukset on suositeltavaa ottaa käyttöön hallinnonaloja ja virastoja koskevina soveltamisohjeina sekä suunniteltaessa uusia tietoteknisiä laitetiloja. Tietoteknisten laitetilojen turvallisuutta on aiemmin ohjeistettu erillisellä
VAHTI-ohjeella (1/2002), jonka voimassaolo päättyy nyt julkaistun ohjeen myötä.
Vaikuttavuus
Hanke edesauttaa tietoturvatasojen täytäntöönpanon toteuttamisessa ja salassa pidettävän
tietoaineiston käsittelyssä toimitiloja koskevien vaatimusten tarkentamisessa. Ohjetta on
käytetty laajasti sen ilmestymisestä lähtien.
54
6. Tietoturvakriteeristö-työvälinehanke (VM047:20/2007)
Tavoitteet
Hankkeen tavoitteena on laatia selvitys keskeisten valtionhallintoa koskevien tietoturvavelvoitteiden välisistä eroista. Tämän perusteella tulee tehdä esitys näiden yhteensovittamisesta siten, että saadaan purettua päällekkäisiä vaatimuksia sekä harmonisoitua tähän
vaatimustenhallintakokonaisuuteen liittyvää monimutkaisuutta. Samassa yhteydessä tehdään esitys olemassa olevien, VAHTI 2/2010 tietoturvataso-vaatimusten päivittämisestä
harmonisoinnin mahdollistamiseksi sekä nopeasti muuttuneen ICT- ja palvelutuotannon
muutosten johdosta. Kokonaisuutta täydentää työasematasoinen työväline, jolla näitä
kaikkia keskeisiä vaatimuksia voidaan tarkastella ja hallinnoida.
Toteutus
Hanke toteutettiin vuosina 2012 – 2013 hankeryhmään kuuluvien tekemänä virkatyönä
(työpajat) ja kahden ulkopuolisen tietoturva-asiantuntija-konsultin yhdistelmänä. Työ
toteutettiin pääasiallisesti työpajatilaisuuksina, jossa käytiin läpi konsultin ja muiden ryhmäläisten tuottamaa materiaalia. Työväline teetettiin erillisenä osana hanketta.
Tulokset
Hanke julkaisi KATTITURVA-nimisen vaatimusten hallintaohjelman version 1.0. Tämän
ohella työryhmä on tuottanut ehdotuksen vaatimusten harmonisoimiseksi KATAKRI
v III-versiossa tietoturvatasojen osalta. Edellisten lisäksi hanke on tehnyt ehdotuksen
niistä tietoturvatasojen vaatimuksista, jotka tietoturvatasojen osalta tulee katselmoida
sitä aikanaan päivitettäessä.
Vaikuttavuus
Hanke edesauttaa tietoturvatasojen, ICT-varautumisen ja KATAKRI-turvallisuusauditointikriteeristön sisältöjen yhteensovittamista sekä näiden vaatimusten hallintaa sekä
valtionhallinnossa että sille palveluita tuottavilla alihankkijoilla.
7. Päätelaitteiden tietoturvaohjeistuksen laatimishanke (VM047:22/2007)
Tavoitteet
Hankkeen tavoitteena ja tehtävänä on päivittää Älypuhelimien tietoturvallisuus - hyvät
käytännöt (VAHTI 2/2007) sekä laajentaa päätelaitteiden nykytilakatsaus älypuhelimista
koko nykyaikaiseen päätelaitekenttään. Tavoitteena oli huomioida päätelaitteisiin liittyvät
keskeisimmät tietoturvauhat ja niitä vastaan suojautuminen perinteisten päätelaitteiden
lisäksi uudemmissa päätelaitetyypeissä. Hankkeen tehtävänä oli tuottaa organisaatioiden
tietohallinnon ja loppukäyttäjien tueksi ohjeistusta niistä asioista, joihin tietohallinnon
55
tulee antaa riskien arvioinnin kautta linjaukset.Tämän lisäksi oli tarkoitus ohjeistaa loppukäyttäjiä tietoturvallisuusasetuksen mukaisten tietoturvatasojen toteuttamiseksi päätelaiteympäristössä sekä mitä henkilöstön tulee huomioida nykyaikaisessa päätelaiteympäristössä.
Toteutus
Hanke toteutettiin hankeryhmään kuuluvien tekemänä virkatyönä sekä ulkopuolisen tietoturva-asiantuntija-konsultin työpajatyyppisenä yhteistyönä. Vuonna 2013 hanke jatkoi
työskentelyään valmistellen työpajoissa ohjetta liitteineen. Työpajoissa käytiin läpi konsultin ja muiden ryhmäläisten tuottamia materiaaleja sekä muun muassa erilaisten päätelaitteiden käyttöön liittyviä uhkia ja näihin erilaisia suojauskäytäntöjä. Hankeryhmän
tuotokset esiteltiin VAHTI-johtoryhmälle ohjeluonnoksena sekä siinä täsmennettyinä ja
päivitettyinä tietoturvatasojen päätelaitteille asettamina vaatimuksina, suosituksina ja
hyvinä käytäntöinä.
Tulokset
Hanke julkaisi VAHTI 5/2013-ohjeen, joka täsmentää ja päivittää tietoturvatasojen päätelaitteisiin liittyvät vaatimukset ja suositukset sekä kuvaa keskeiset päätelaitekäyttöön
liittyvät uhkat ja hyvät käytännöt näiden hallitsemiseksi. VAHTI-ohje liitteineen tukee
organisaatioiden tietohallintoja alati päivittyvän päätelaiteympäristön hallitsemiseksi ja
yhdenmukaistaa päätelaitteiden suojauskäytäntöjä tietojen käsittelyssä.
Vaikuttavuus
VAHTI 5/2013-ohje edesauttaa organisaatioiden tietohallintoa tietoturvatasojen täytäntöönpanon toteuttamisessa ja ylläpidossa päätelaitteiden ja niiden hallinnan osalta. Ohje
antaa linjauksia päätelaitteiden ja palveluiden käyttämiseen liittyvien riskien arvioimiselle ja hallinnalle. Ohjetta voidaan käyttää joko sellaisenaan tai organisaation oman
ohjeistuksen tukena, jotta myös loppukäyttäjäohjeistuksissa voidaan huomioida päätelaitekäytöstä annetut linjaukset.
8. Henkilöstön tietoturvaohjeen päivittäminen
Tavoitteet
Henkilöstöllä on merkittävä rooli tietoturvallisuuden toteuttamisessa. Hankkeen tehtävänä oli päivittää Henkilöstön tietoturvaohje (VAHTI 10/2006) siten, että se kattaa
ohjeen laatimisen jälkeen tapahtuneet keskeiset muutokset koskien esimerkiksi sosiaalista mediaa, kohdistettuja hyökkäyksiä, kyberturvallisuutta ja tietoturvallisuusasetuksen
mukanaan tuomia muutoksia.
56
Toteutus
Valtion IT-palvelukeskus vastaa ohjeen sisällöllisestä päivittämisestä, jonka jälkeen ohje
kierrätetään lausuntokierroksella VAHTI-johtoryhmän jäsenten organisaatioissa ennen
ohjeen viimeistelyä.
Tulokset
Hanke julkaisi Henkilöstön tietoturvaohje-ohjeen (4/2013), josta tehtiin myös 4 000 kpl
painettu versio. Ohje on päätetty kääntää lisäksi ruotsiksi ja englanniksi. Ohjeesta on
tehty myös verkkokoulutus, joka on saatavilla maksuttomasti Valtion tieto- ja viestintätekniikkakeskus Valtorin tietoturvapalveluista.
Vaikuttavuus
Uusittu ohje toimii hyvänä kertauksena tietoturvallisuuden eri osa-alueilla sisältäen päivitetyt osiot uusista ICT:n käytön laajentumisen mukanaan tuomista uhkakuvista. Ohjeen
jalkautusta voidaan tukea ja tehostaa suorittamalla erillinen verkkokoulu ja siihen liittyvä
tentti.
9. VAHTIn tekninen jaosto (VM047:18/2007)
Tavoitteet
Jaoston tavoitteena on edesauttaa valtionhallinnossa käytössä olevien tietoturvavaatimusten hyödyntämistä sekä kehittää näiden vaatimusten oikeaoppista käyttöä ja tulkintaa.
Samoin tavoitteena on tietoturvavaatimuksia koskevan osaamisen kasvattaminen valtionhallinnon organisaatioiden kaikilla tasoilla.
Teknisen jaoston tehtävänä on tehdä linjauksia ja ohjeistaa tekniseen tietoturvallisuuteen liittyvissä kysymyksissä. Tehtäviensä hoitamiseksi teknisen jaoston tulee mm.
–– tulkita kansallisia tietoturvavelvoitteita koskevien tietoturvavaatimuksien ja -kriteeristöjen teknisten tietoturvavaatimusten toimeenpanoa
–– tuottaa tulkintojen perusteella teknisen infrastruktuurin, sovellushankkeiden ja
hankintojen tueksi esimerkkiratkaisuja ja mahdollisuuksien mukaan yleisimpiä
tulkintoja. Kattavien yleistulkintojen teko teknisistä tietojenkäsittely-ympäristöistä ei katsota olevan mahdollista, joten malliratkaisujen katsotaan olevan tässä toimiva menettelytapa
–– toimia asiantuntijaryhmänä VAHTIn sekä keskeisten hankkeiden tarpeisiin.
Hankkeissa roolina on tukea tietoturvavaatimusten ja -kriteeristöjen huomioimista
–– toimia valtionhallinnon keskeisten ICT-hankintojen asiantuntijatukiryhmänä
tieto- ja kyberturvallisuuden näkökulmista. Ryhmälle voidaan tuoda keskeisiä
valtionhallinnon yhteisiä tai hallinnonalojen merkittäviä ICT-kilpailutusten vaatimusmäärittelyitä ja linjauksia tiedoksi ja kommenteille käytettävien tietoturvavaatimusten näkökulmasta.
57
Toteutus
Hanke toimii jaostona, jonka toiminnasta vastaavat puheenjohtaja, varapuheenjohtaja
sekä jaoston sihteeri. Jaoksessa on laaja-alainen edustus ja osaaminen keskeisistä valtionhallinnon teknistä tietoturvallisuutta ja hankintoja toteuttavista organisaatioista. Jaosto
kokoontui kaksi kertaa vuonna 2013 ja toiminnan varsinaisesti käynnistyessä vuonna
2014 se kokoontuu seitsemän kertaa.
Tulokset
Tekninen jaos on järjestäytynyt vuonna 2013 ja saanut toiminnan käyntiin sekä laatinut
vuosisuunnitelman vuodelle 2014.
Vaikuttavuus
Tekninen jaos edesauttaa tekniseen tietoturvallisuuteen liittyvien vaatimusten tulkinnassa, tuottaa tarvittavia teknisiä ohjeita ja linjauksia, edesauttaa tietoturvavaatimusten
määrittämisessä esimerkiksi käytettäväksi ICT-hankinnoissa sekä järjestää näitä aihepiirejä käsitteleviä seminaareja ja muita tilaisuuksia.
10. Tietoturvallisuuden arvioinnin kehittäminen -hanke (VM047:21/2007)
Tavoitteet
Hankkeen tarkoituksena on kuvata arviointiin liittyvä normisto, kuvata valtionhallinnossa käytettävät arviointikriteeristöt ja arviointien toimintamallit ulkoisissa ja sisäisissä
arvioinneissa sekä antaa suosituksia arvioinnin kohteista.
Hankkeen tulee kuvata valtionhallinnon tietoturva-arviointien ja auditointien suorittajien roolit sekä laatia ohje, joka korvaa VAHTI-ohjeen 8/2006
Toteutus
Hanke toteutetaan hankeryhmään kuuluvien tekemänä virkatyönä. Hanke toimii valtiovarainministeriön Julkisen hallinnon ICT-toiminnon sekä VAHTIn alaisuudessa ja ohjauksessa.
Hankejohtajana toimi Aku Hilve valtiovarainministeriöstä ja varahenkilönä Erja Kinnunen, Valtion IT-palvelukeskuksesta.
Tulokset
Hanke aloitti työnsä vuonna 2013 laatimalla esityksen ohjeen rakenteeksi sekä työsuunnitelman hankkeen toimikaudelle. Ohjeen tavoiteaikataulu on kesäkuu 2014.
58
Vaikuttavuus
Hankkeessa valmisteltavan ohje auttaa yhdenmukaistaa auditointien ja arviointien suorittamista valtionhallinnossa. Tehokkaammalla arviointitoiminnalla parannetaan valtionhallinnon organisaatioiden ja palveluiden tietoturvallisuutta. Yhdenmukaisilla toimintamalleilla tehostetaan myös tietoturvallisuuden arviointilain (1406/2011) mukaisten Viestintäviraston sekä sen hyväksymien arviointilaiteosten palveluiden käyttöä.
SecICT-hanke
Tavoitteet
SecICT-hanke kehittää valtion tieto- ja kyberturvallisuutta perustamalla valtion ympärivuorokautisen tietoturvatoiminnon, jonka tehtävinä ovat:
• Vakavien ja laajavaikutteisten tieto- ja kyberturvallisuus-tapahtumien ennaltaehkäisy ja valvonta;
• Vakavien ja laajavaikutteisten tieto- ja kyberturvallisuuden poikkeamatilanteiden
koordinointi ja ohjaus;
• Turvallisuus- ja ICT-tilannekuvan kokoaminen sekä jakaminen;
• ICT-palvelujen toimivuuden seuranta.
Toteutus
Hankkeen ensimmäinen osa alkoi 5.4.2013 (1,5 M€) ja hankkeen kestoa jatkettiin vuoden
2014 loppuun (2,9 M€). Vuoden 2013 painopisteenä oli tuotantotoiminnan käynnistämisen valmistelu.
Tulokset
Hankkeessa on saatu aikaiseksi kokonaismalli valtion ympärivuorokautisen tietoturvatoiminnan järjestämiseksi, GovCERT-palvelut Valtorin asiakkaille (palvelua laajennetaan), GovHAVARO-palvelut pilottiorganisaatioille, tunkeutumisen estopalvelun Valtorin asiakkaille, GovHUOVI-portaalin pilottiasiakkaille, kyberturvallisuusharjoitusten
(KYHA2014) Valtorin ja Soneran osuuden rahoitus, yhteistyömenettelyjä eri viranomaisten kanssa (yhteistyö syvenee).
Vaikuttavuus
Hankkeessa parannetaan merkittävästi valtion tietoturvallisuuden havainnointi- ja reagointikykyä perustamalla ympärivuorokautinen tietoturvatoiminto.
VALTIOVARAINMINISTERIÖ
Snellmaninkatu 1 A
PL 28, 00023 VALTIONEUVOSTO
Puhelin 0295 16001
Telefaksi 09 160 33123
www.vm.fi
1/2014
VAHTI
Heinäkuu 2014
ISSN 1455-2566 (nid.)
ISBN 978-952-251-590-2 (nid.)
ISSN 1798-0860 (pdf)
ISBN 978-952-251-591-9 (pdf)