Upload
valtiokonttori-statskontoret-state-treasury-of-finland
View
1.400
Download
0
Embed Size (px)
DESCRIPTION
Kimmo Rouskuapulaisjohtaja, ValtiokonttoriValtio Expo 15.5.2012
Citation preview
MULLEKIN iPHONE!
KULUTTAJISTUMINEN JA VALTIONHALLINTO
– mahdollisuudet ja riskit
Kimmo Rousku
apulaisjohtaja, Valtiokonttori
Mullekin iPhone!
15.5.2012 ValtioExpo, Kimmo Rousku
Historia ja nykytilaa
• ICT:n osalta on nyt meneillään suurin muutos tähän
saakka koskien palveluita, päätelaitteita ja koko
käyttäjäkokemusta
ekosysteemi-ajattelumalli
• Palveluiden tuotantomallin muutokset
- Itse tuotetuista palveluista palvelutoimittajien
tuottamien palveluiden kautta
itsepalvelupilvipalveluihin
• Vuoteen 1980 saakka tuotettu MTK ja 1980-90 -luvun
rajattu ATK on räjähtänyt kaikkeen mahdolliseen,
viimeisen viiden vuoden aikana palvelut ovat tunkeneet
kotiin ja vapaa-aikaan. ”Kaikilla” on kotona jokin tietokone
tai päätelaite - älypuhelimien ja tablettien kysyntä kasvaa
kohisten
15.5.2012 ValtioExpo, Kimmo Rousku
Netti on täynnä uusia palveluita ja lisää tulee koko ajan
15.5.2012 ValtioExpo, Kimmo Rousku
Teksti kuva video reaaliaikaisuus & paikkatietoisuus
15.5.2012 ValtioExpo, Kimmo Rousku
Siirrymme perinteisistä
käyttöliittymistä ja käyttötavoista
reaaliaikaisempiin, kansallisiin ja
kansainvälisiin palveluihin
Uusi palvelu on käytettävissä
globaalisti erittäin pienillä
perustamiskustannuksilla
Mitä kuluttajistuminen tarkoittaa?
• Internetistä on tullut aivan uusi rajapinta
- vihdoin ja viimein mobiiliaikakausi on koettanut
• Uuden innovaation läpilyöntiaika lyhentyy koko ajan
- useiden vuosien suunnittelu-kehitys-pilotointi-käyttöönotto
-mallista ollaan siirrytty jopa vain muutamien viikkojen tai
kuukausien tuotteistamisaikaan
• Näiden kaikkien vaikutukset käyttäjäkokemukseen ja
päätelaitteisiin ovat osa kuluttajistuminen-termillä
(consumerization) kulkevaa kokonaisuutta
15.5.2012 ValtioExpo, Kimmo Rousku
Mitä kuluttajistuminen tarkoittaa? BYOD?
• Kuluttajistumiseen liittyy BYOD-malli (Bring Your
Own Device) – tai BYOX (x = mikä tahansa laite)
voidaan käyttää omaa kannettavaa tietokonetta,
älypuhelinta tai tablettia työtehtävien hoitamiseen
• Mitä etuja tällä saavutetaan?
- Jokainen voi itse päättää, millä työvälineillä hän
haluaa tehtäviä hoitaa – ei tarvita välttämättä
2*puhelin, 2*läppäri
- Jos oma työorganisaatio ei pysty tarjoamaan sellaisia
laitteita ja palveluita mihin henkilö on tottunut
esimerkiksi aikaisemmassa työelämässä tai vapaa-
ajalla, BYOD-malli tuo myös tähän uusia
mahdollisuuksia
15.5.2012 ValtioExpo, Kimmo Rousku
Kuluttajistumisen haasteet – yleisesti
• Jos työajan ja vapaa-ajan erottaminen on tähän saakka ollut
mahdollista, ei se ole enää (”sammutan työkännykän”)
• Mikäli henkilöstö käyttää omia laitteita, syntyy tästä myös
niihin liittyviä kustannuksia esim. tietoliikenteen osalta,
hyvitetäänkö käyttäjälle omien laitteiden käytöstä?
• Jos henkilöstöllä on neljän eri valmistajan yhteensä 12 eri
älypuhelinmallia käytössä, kuka vastaa ongelmien
selvittelystä?
- Yhteensopivuus ja toimivuus?
- Organisaation omalla ICT:llä ei ole tähän tarvittavaa
osaamista & velvoitetta
- Vertaistuki tuntuu olevan eräs toimintamalli eli henkilöstö
auttaa ja tukee toinen toisiaan
• Ja ainahan on kuitenkin olemassa Google …
15.5.2012 ValtioExpo, Kimmo Rousku
Kuluttajistumisen haasteet – valtionhallinto
• Valtionhallinnon näkökulmasta kuluttajistuminen & BYOD-malli
tuo useita lisähaasteita, joista osa liittyy laitteilla käsiteltävään
tietoaineiston tietoturvallisuuteen
• 1.10.2010 voimaan astunut tietoturvallisuusasetus sekä sen
täytäntöönpanon VAHTI-ohje 2/2010 sisältävät vaatimukset
perustietoturvatason saavuttamiseksi 30.9.2013 mennessä … ja
osassa palveluita sen jälkeen korotetun/korkean tason osalta
- TTT ei ota kantaa yksityiskohtaisesti käytettävään teknologiaan,
mutta edellytettävien hallinnollisten ja teknisten vaatimusten ja
prosessien toteuttaminen ilman, että työantaja omistaa ja hallinnoi
laitteita on haasteellinen tehtävä
- Riskienarvioinnin avulla voidaan mahdollisuuksia selvittää
15.5.2012 ValtioExpo, Kimmo Rousku
Kuluttajistumisen haasteet – valtionhallinto
• Kun viranomainen käsittelee salassa pidettävää tietoaineistoa,
täytyy käsittely-ympäristön kokonaisuudessaan täyttää
tietoturvavaatimukset
Henkilöstön itse omistama, ylläpitämä päätelaite ei näitä kaikissa
tilanteissa täytä
15.5.2012 ValtioExpo, Kimmo Rousku
Salassa pidettävä, viranomaisharkinta, käyttötarkoitus-
sidonnainen tietoaineisto
TiTuA 681/2010, 9 §
JulkL 621/1999 24.1 § 3-6, 11-32 K
HetiL 523/1999 11 §
Muu lainsäädäntö
Suojaustasomerkintä
ST IV, ST III, ST II tai ST I
TiTuA 681/2010, 11 §
JulkL 621/1999 24.1 § 2, 7-10 k
KansVälTiTuL 588/2004, 8 §
Turvallisuusluokitusmerkintä KÄYTTÖ RAJOITETTU, LUOTTAMUKSELLINEN, SALAINEN tai ERITTÄIN
SALAINEN
Ratkaisu – perinteinen malli
Luottamuksellisuus
Eheys Saata-vuus
15.5.2012 ValtioExpo, Kimmo Rousku
Ratkaisu – tavoiteltava malli
Luottamuk-sellisuus
Eheys Saatavuus
15.5.2012 ValtioExpo, Kimmo Rousku
Ratkaisu
• Kuluttajistumisen sijaan & rinnalle haluan nostaa ennemmin esille
käyttäjä- ja palvelukokemuksen parantamisen
nykyaikaisemmilla, helppokäyttöisemmillä palveluilla ja päätelaitteilla
• Sen sijaan että käytetään henkilöstön omia päätelaitteita,
viranomainen voi tuotteistaa tai ostaa palveluna samoja laitteita ja
tarjota niitä henkilöstön käyttöön valtionhallinnon
tietoturvavelvoitteet täyttäen
- Valtion IT-palvelukeskus kehittää parhaillaan näitä ratkaisuja esim.
älypuhelimien ja tablettien osalta
• Haluan korostaa sitä, että valtaosa nykyisistä ydintoimintaan
tarkoitetuista palveluista ei ole suunniteltu esim. kosketusnäytöllä
käytettäväksi
- Tämän hetkiset kosketusnäyttölaitteet ovat parhaita ”read only”
tyyppisessä käytössä eli asiakirjojen lukemisessa
15.5.2012 ValtioExpo, Kimmo Rousku
Pelottava varjo-IT uhkaa?
• Mikäli kuluttajistumisen tuomia mahdollisuuksia ei osata
huomioida tai ne kielletään (strutsipuolustus), vaarana on
varjo-IT:n (Dark IT) nousu
- Tai jos tietoturvallisuuden osalta ei onnistuta säilyttämään
helppokäyttöisyyttä
- Kuinka moni on esimerkiksi löytänyt sopivan keinon ajaa
omalta usb-muistiltaan sellaisia ohjelmia, jotka eivät vaadi
järjestelmänvalvoja- / asennusoikeutta?
- Tai oppinut konfiguroimaan kotikoneelle / tablettiin /
älypuhelimeen työpaikan nettisähköpostin?
Mitä teillä sanotaan tietoturvaohjeissa
näistä asioista?
15.5.2012 ValtioExpo, Kimmo Rousku
Pelottava varjo-IT uhkaa?
• Näissä omissa ”näppärissä” pikku ratkaisuissa on yksilön
kannalta yleensä hyviä puolia, mutta suosittelemme
ennemmin avoimesti tuomaan ongelmia esille, jotta
saadaan kerralla laajempi kokonaisratkaisu kaikille
– yleensä vielä tietoturvallisesti toteutettuna…
15.5.2012 ValtioExpo, Kimmo Rousku
Varjo-IT ja pari sanaa pilvipalveluista
• Itse tuotettaessa tai ulkoistettaessa palveluita viranomaisen toimeksiannosta,
viranomaisella on aina vastuu voimassa olevan lainsäädännön noudattamisesta
• Valtionhallinnossa tietoaineistojen käsittely on määrätty ja ohjeistettu
merkittävästi yksityistä sektoria tiukemmaksi – sen takia kaikki samat
toimintamallit, mitä yrityksissä otetaan käyttöön, eivät välttämättä onnistu
semmoisenaan valtionhallinnossa – tämän takia ”Miksi noi saa, mutta me ei
saada” ei ole aina mahdollista. 15.5.2012 ValtioExpo, Kimmo Rousku
Miten me autamme asiakkaitamme tietoturvallisuuden kehittämisessä? Valtion IT-palvelukeskuksen (VIP)
valtion yhteiset tietoturvapalvelut
15.5.2012 ValtioExpo, Kimmo Rousku
VIP: Valtion yhteiset tietoturvapalvelut
• Asiantuntijapalvelut – toimeksiantojenne perusteella
- Auditointi- ja konsultointipalveluilla kolmas kasvun vuosi
- Tavoitteena >80 toimeksiantoa ja >6 htv:n edestä palvelua
• Tietoturvapäällikköpalvelu – virkamies apuun organisaatioosi!
- 4 henkilöä tuottaa palvelua 7 eri asiakkaalle, kahden uuden henkilön
rekrytointi käynnissä
• Työkalupakki
- Saatavilla viisi eri verkkokoulutusta, käytössä >25 asiakkaalla, kaksi
uutta verkkokoulutusta työn alla
- Työkalupakin keskeiset materiaalit julkaistu valtiokonttori.fi-sivuilla
avoimen datan periaatteella sisältää >40 ohjetta/mallia/materiaalia
• VM/VAHTI-hankkeet
- Kaksi eri hanketta meneillään (TTT-täytäntöönpano, haavoittuvuus-
skannaus), mukana osallistujia yhteensä >60 eri virastosta
15.5.2012 ValtioExpo, Kimmo Rousku
VIP: Valtion yhteiset tietoturvapalvelut
15.5.2012 ValtioExpo, Kimmo Rousku
http://www.valtiokonttori.fi/Public/default.aspx?nodeid=24095
VIP: Valtion yhteiset tietoturvapalvelut
Meidän kaikkien noudatettavaksi!
15.5.2012 ValtioExpo, Kimmo Rousku