VAHTI -Kuntien tietoturvajaoston kuntien …...VAHTI-kuntien alueseminaarit - syksy 2016 2 11/9/2016 2 Ohjelma 11.00 Tulevat lainsäädännön muutokset: EU:n tietosuoja-asetus Tietosuojavaltuutettu

11/9/2016

1

VAHTI - Kuntien tietoturvajaoston

kuntien kyberturvallisuuden

alueseminaari – Helsinki 9.10

VAHTI

9.11.2016 Kimmo Rousku

Ohjelma9.00 AvausTietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunkiVAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö

Kuinka tietoturva koetaan? VAHTIn mittarit - organisa atiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksiaVAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö

9.40 VAHTI, Kuntien tietoturvajaoston toimintaTietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki

Tietoturvallisuuden johtaminen ja vastuutTietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunki

10.30 Keskustelua ja verkostoitumistauko

10.50 Tietoisku: miksi tietoja kyberturvallisuus o n tärkeääHavainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus

VAHTI-kuntien alueseminaarit - syksy 2016 2

11/9/2016

2

Ohjelma

11.00 Tulevat lainsäädännön muutokset: EU:n tietosu oja-asetusTietosuojavaltuutettu Reijo Aarnio

Tuleva tietoturvasäädöstöAsiantuntija Saana Seppänen, Kyber- ja infrastruktuuriyksikkö, Valtiovarainministeriö

11.45 Lounas (omakustanteinen)

12.30 Viestintäviraston tietoturvapalvelut ja toimi nta häiriötilanteissaHavainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus

13.15 Tieto- ja kyberturvallisuus toiminnan digitaal isaation mahdollistajana - mistä lisäapua?VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö


Ohjelma

14.00 Kahvitauko

14.30 Paneeli ja keskusteluPuheenjohtaja tietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki

• Digitalisaatio ja kyberturvallisuuden organisointi ja vastuutus – kustannustehokkaimmat mallit ja ratkaisut?• Miten digitailsaatioita ja kyberturvallisuutta voidaan paikallisesti käytännössä edistää -mitkä ovat tulevaisuuden näkymät?• Kunnan kyber- ja tietoturvallisuuden jatkuvuuden hallinta muutostilanteessa

15.30 Seminaaripäivän yhteenvetoVAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö

15.45 Seminaaripäivä päättyy


11/9/2016

3

VAHTI?

VAHTI

‒ Valtiovarainministeriön tehtävänä on julkisen halli nnon tietoturvallisuuden yleinen kehittäminen ja valtion hallinnon tietoturvallisuuden ohjaus . Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin säädöksiin. ‒ Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki

viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011) ja valmiuslaki (1552/2011), valtioneuvoston ohjesääntö (262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). Lisäksi valtiovarainministeriön vastuulla on laissa valtion yhteisten tietoja viestintäteknisten palvelujen järjestämisestä tarkoitettujen yhteisten palvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tietoja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjaus (1226/2013).


11/9/2016

4

VAHTI

Valtiovarainministeriön asettama Valtionhallinnon tietoja kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä.

‒ VAHTIn tavoitteena on tietoja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tietoja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä.


Kyberturvallisuus?

11/9/2016

5


‒ Muutamaa vuotta myöhemmin Alessandro Volta kuitenkin osoitti, että kahden metallin koskettaessa toisiaan esiintyy samantapainen ilmiö ilman sammakonjalkaakin. Havainto johti Voltan parin ja samalla sähkövirrankeksimiseen.[1]


11/9/2016

6

Mietitään vielä

Myrsky taireitittimen hajoaminen

Tietoturva- vai

Sähkökatko tai muuten

tietoliikenne poikki

Kyberturvallisuus-ongelma?


Kyberturvallisuudella tarkoitetaan tavoitetilaa, jo ssa ICT-toimintaympäristöön voidaan luottaa ja jossa ni identoiminta turvataan, sisältää myös kyvyn sietää kybe ruhkia


11/9/2016

7

Tieto vs kyberturvallisuus


LES ◦

Kyberturvallisuus

Yhteiskunta

Organisaatio

Tieto vs kyberturvallisuus


Yksilö

11/9/2016

8

Tietoturvallisuus

Entäs kyberturvallisuus


Digitaalinen tieto (ICTn

avulla)

Analoginentieto

Kyberturvallisuus- kybertoimintaympäristö

Digitaalinentieto

Muuta kuin tietoa

(toiminta)

VAIKUTTAMINEN

VaikuttaminenICT:n avulla kohteeseen

Tietoturvallisuus Kyberturvallisuus- (ICT) kybertoimintaympäristö

Digitaalinen tieto (ICTn

avulla)

Analoginentieto

Muuta kuin tietoa (toiminta)


11/9/2016

9

Tärkeintä on, ettäharjoitellaan!

Harjoitellaanko riittävästi?

‒ Sekä VAHTIn valtionhallinnon (2009-2015) että kuntakyselyn (2015) ja uusimman VAHTI henkilöstön ja johdon tietoturvabarometrin mukaan:


Tärkeys: 3,30Vaikeus: 2,70Toteutuminen:2,07

VAHTI-baro johdon kysymys 5.3 Häiriötilanteiden hall intaa harjoitellaan riittävästi – tärkeys – vaikeus – toteut uminen:4 erittäin tärkeää | erittäin vaikeaa | erittäin hyvin3 tärkeää | melko vaikeaa | melko hyvin2 ei kovin tärkeää | melko helppoa | melko huonosti1 ei lainkaan tärkeää | erittäin helppoa | erittäin huonosti

11/9/2016

10

Kuinka tietoturva koetaan? VAHTInmittarit - organisaatiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksia

Eri kyselyiden suhde

Organisaatio / vuosittainen

Johto

Henkilöstö

20

VAHTIn organisaatio-kohtainen kysely

Nyt toteutettava uusikysely – suositus joka 2 tai 3. vuosi?

Toteutetaan samassayhteydessä alla olevankanssa

VAHTI-kuntien alueseminaarit - syksy 2016

11/9/2016

11

Lisätietoa näistä tuloksista – VAHTI-toimintakertomus



11/9/2016

12

Toimintakertomus vuodelta 2015



11/9/2016

13

Toimintakertomus vuodelta 2015


Uudistamme organisaatiokyselyä – pyrimme luomaan samalla paremmin myös kuntien toimintaa tukevan kyselyn ja mittariston

11/9/2016

14

Entä VAHTI-henkilöstön ja johdon tietoturvabarometri?

VÄITE

‒ Henkilöstö on tietoturvallisuuden heikoin lenkki

‒ Totean – KYLLÄ , jos henkilöstöä

‒ Ei ole koulutettu, ohjeistettu, motivoitu, annettu käyttöön oikeanlaisia työkaluja

‒ Organisaation johto ei toimi mallina ja esimerkkinä

‒ Tietoturvallisuudesta ei ole tullut asennetta, se ei ole osa toimintakulttuuria

‒ Turvallisuus by default


11/9/2016

15

Miksi VAHTI-henkilöstön ja johdon barometri?

‒ Jotta saamme yksittäisen, organisaatiokohtaisen tilannekuvan sijaan laajemman kokonaiskuvan henkilöstön ja johdon näkökulmasta, miten tietoturvallisuus koetaan

‒ Ennakolta uskon, että tulemme löytämään useita sellaisia asioita, jotka ovat voimavara (positiivinen havainto ), jonka olemassaoloa pitää edelleen tukea ja vahvistaa, löydämme paljon sellaista, joka on niin kuin pitää ja lisäksi löytyy jokunen yllätys , jotka tulee tunnistaa kehittämiskohteina‒ Alustava silmäily on jo näitä kaikkia nostanut esille ☺


1. Organisaatio johto päättää osallistumisesta kyselyyn – kirjaamoissa VM:n saatekirje

2. Ilmoittautuminen sähköpostilla [email protected] – VM saa tästä samalla yhteyshenkilön, jolle organisaatiokohtainen vastauslinkki ja tarkemmat suomen- ja ruotsinkieliset vastausohjeet toimitetaan

3. VM toimittaa yhteyshenkilöllle vastauslinkin ja vastausohjeet turvapostilla

4. Organisaatio laittaa intranetiin ( ja tai sähköpostitse) uutisen ja kehottaa henkilöstöä vastaamaan kyselyyn

5. Kahden viikon päästä laitetaan vielä muistutusviesti, että vastausaika alkaa loppumaan

6. Kolmen viikon päästä kysely suljetaan eli uutinen ja vastauslinkki poistetaan

7. Tämän jälkeen 14.10 kysely suljetaan. Tämän jälkeen VAHTI tuottaa kyselystä vastaajaorganisaatiokohtaiset tulokset, tiedot luokitellaan ST IV ja toimitetaan turvapostilla organisaation yhteyshenkilölle (loka-marraskuussa).

8. VAHTI julkaisee tuloksista julkisen raportin, arviolta marraskuussa

9. Kysely aktivoidaan uudelleen vuoden 2017 elokuussa jne sama prosessiVAHTI-kuntien alueseminaarit - syksy 2016 30

11/9/2016

16

Tilastotietoa

‒ Sunnuntaihin 10.11 mennessä | 16.11 sulkeutuessa‒ 10710 vastausta 13 915

‒ ~100 organisaatiota 98 osallistunutta organisaatiota

‒ 68 valtionhallinnon organisaatiota

‒ 29 kuntaa

‒ 1 sairaanhoitopiiri

‒ Vastausprosentin saamme laskettua myöhemmin, mutta uskomme sen vaihtelevan 5 – 15% välillä organisaatioittain

‒ Potentiaalinen vastaajamäärä tarkentuu, mutta uskomme sen olevan ~170 000 mahdollista vastaajaa


Raportti, organisaatiopalaute

‒ Tuotamme julkisen raportin ja organisaatiokohtaisen raportin‒ Organisaation tiedot verrattuna verrokkitietoihin

‒ Kaikki vastaajat | valtionhallinto | julkishallinto

‒ Jonkinlainen visualisointi tiivistelmänä

‒Organisaation tehtävänä on suorittaa tarkempi analyysi omista tuloksista ja sen perusteella miettiä, miten tulokset tulisi omassa tietoturvallisuuden kehittämisessä ottaa huomioon


11/9/2016

17

Muutama havainto – alustavat tiedot – n=13915




11/9/2016

18


‒ 2.3 Mihin seuraavista olet saanut ohjeita ja koulut usta?

‒ mobiililaitteiden käyttö



‒ 2.3 Mihin seuraavista olet saanut ohjeita ja koulut usta?

‒ tietoturvapoikkeamissa toimiminen, esimerkiksi haittaohjelmaepäily


11/9/2016

19


‒ 2.4.3 Kuinka käytät salasanoja työtehtävissäsi?


Muutama havainto – alustavat tiedot – n=13915‒ 5.1 Millaisena koet tietoturvallisuuden merkityksen ? ‒ Tietoturvallisuus mahdollistaa laadukkaan toiminnan ja antaa organisaatiostani

luotettavan kuvan.

‒ Tietoturvallisuutta tarvitaan, jotta voin käsitellä työssä tarvitsemiani tietoja.

‒ Ymmärrän, miksi tietoturvallisuutta tarvitaan, mutta se aiheuttaa ylimääräistä työtä.

‒ Tietoturvallisuus on jatkuva riesa, en ymmärrä mihin sitä tarvitaan.


11/9/2016

20


‒ 5.2 Miten koet, että tietoturvallisuus on toteutett u organisaatiossasi?‒ erittäin hyvin - työnteko ja palveluiden käyttö on sujuvaa ja vaivatonta

‒ hyvin, mutta se saattaa satunnaisesti vaikeuttaa työntekoani

‒ huonosti, koska se haittaa ja vaikeuttaa työntekoani usein

‒ erittäin huonosti, koska se haittaa ja vaikeuttaa työntekoani jatkuvasti


Suosituksia

‒ Henkilöstön oikeaoppinen ohjeistaminen ja kouluttaminen jäänyt osittain kesken‒ Erityisesti mobiilikäytön lisääntyessä siitä tarvitaan koko ajan uutta,

ajantasaista ohjeistusta

‒ Salasanojen osalta suosittelemme muistuttamaan järkevistä käyttömahdollisuuksista

‒ Ohjeistaminen häiriötilanteissa!

‒ Mitä tehdään erilaisissa tilanteissa, jos jokin palvelu ei toimi, päätelaite varastetaan, työaseman haittaohjelmien torjuntaohjelma antaa hälytyksen?

‒ Tietoaineistojen luokittelu – jokaisella on vähintään julkinen vs salassa pidettävät tiedot (vs henkilötiedot)


11/9/2016

21

Kysymyksiä kyselyistämme?

Tieto- ja kyberturvallisuus toiminnan

digitaalisaation mahdollistajana - mistä

lisäapua?

11/9/2016

22

Esitykseni - viisi asiaa ja näkökulmaa

1) Teknologiset mahdollisuutemme

2) UHKAT - erilaisia häiriöitä ja niiden aiheuttajia

3) Mitä me tarvitaan?

4) Näkökulmia – kyber vs tietoturvallisuus

5) Mistä apua – VAHTI auttaa ?!


???


Toiminnan digitalisaatio

Robotisaatio

ICT

ATK - automaattinen

MTK – manuaalinen tietojenkäsittely

Teknologiset mahdollisuutemme

Nykyinen kyvykkyytemme teknologian

hyödyntämiseen

1980

1

990

20

00

201

0

2020

20

30


11/9/2016

23



1982 2016 2050IBM PC ICT-digi-aikakausi Nano-kvantti-aikakausiHenkilökohtaisuus Yhteisöllisyys ja jakaminen Virtuaali- ja lisätty todellisuus- paikkasidonnaisuus - 24/7/365/360◦ - keinoäly by default- olematon suorituskyky - ”rajaton” suorituskyky - kvanttilaskenta - ei palveluita - kohti alustataloutta - kaikenlaiset robotit- ei oikeastaan mitään ;-) - keinoälyn osin käytössä - kyborgit

- ihmistyö


2050


11/9/2016

24

Muistatko VHS vs beta-kasetti? Entäs AI?

‒ Vuosikymmenien varrella on ollut erilaisia ekosysteemikilpailuita markkinaherruuksista, seuraava merkittävä käydään – keinoälystä

‒ Meidän keinoäly on parempi kuin teidän keinoäly!

‒ Haluaisitko sinä markkinoiden 2. tai 3. parhaan keinoälyn organisaatiosi johtoryhmään tai vastaamaan jostain liiketoimintaprosessin kehittämisestä tai toteuttamisesta? En minäkään.

‒ Samoin tähän liittyy meidän kannalta kriittinen puheentunnistus –miten varmistamme sen, että jatkossa me voimme samalla tavalla ohjata robottejamme | muita laitteita suomenkielellä vs muut kielet?


Tästä eli tulevaisuudesta lisätietoa?

22.11.2016 klo 9.00 – 11.45

Risto Linturi | Cristina Andersson | Sari Stenfors | Timur Kärki | Kimmo Rousku

Ilmoittaudu nettilähetykseenVAHTI-kuntien alueseminaarit - syksy 2016 48

11/9/2016

25


Tiivistys – miten me tähän varaudutaan?


*-muutos*

11/9/2016

26

ICT-toiminnan häiriöt vs tietoja kyberturvallisuushäiriöt ja poikkeamat

”Tavallinen” poikkeama | häiriö

toiminnassa

AIKA

Mikä häiriö?


11/9/2016

27

Mieti 10 viimeisintä kohtaamaasi ongelmaa!Kuinka monta kertaa ongelma on ollut aidosti tieto- tai kyberturvallisuuteen liittyvä?

Häiriötilanteiden hallinta=> Entistä tärkeämpi osa-alue, jonka tulee toimia riippumatta siitä, mikä ongelmien aiheuttaja on. Häiriö on useimmiten ihan perinteinen palvelutuotantoon liittyvä tekninen ongelma … onneksi harvemmin tieto- tai kyberturvallisuuteen liittyvä


ICT-palvelut ja normaalit häiriötilanteet

‒ Entä jos aamu alkaisi tällaisella uutisella – mediassa? Mikä teillä on se tieto, jonka vuotaminen nostaisi hien pintaan? Potilas | asiakas | valitse!

‒ Kuvitteellinen uutinen, joka on kuitenkin täysin mahdollinen

‒ Mikä on tällaisen ongelman, mahdollisen tietovuodon ero verrattuna edellä kuvattuihin tavallisiin, ICT-järjestelmien toiminnassa törmättyihin pääasiassa teknisiin ongelmiin?


11/9/2016

28

Tietoturva -poikkeama toiminnassa

AIKA

Tiedot jäävät ikuisiksi

ajoiksi nettiin ?


Hyvä esimerkki toissa viikon perjantailta 21.10.2016


11/9/2016

29

Otetaan vielä toisenlainen näkymä tilanteeseen

‒ Tieto- ja kyberturvallisuusongelmien aiheuttajat ovat usein ihmisten aiheuttamia, mutta tässä yhteydessä mainittakoon myös yhteiskunnan toimivuuden varmistaminen erilaisissa häiriötilanteissa – hyvin keskeinen osa kyberturvallisuutta

‒ Myrskyjen aiheuttamat häiriötilanteet ovat uhka myös tietoja kyberturvallisuudelle!


Sähköriippuvuus modernissa yhteiskunnassa10.02.2015 Turvallisuuskomitea 2015. Päivitys julkaisusta "Pitkä sähkökatko ja yhteiskunnan elintärkeiden toimintojen turvaaminen".http://www.huoltovarmuus.fi/static/pdf/817.pdf

(Tieto)turvallisuus on toiminnan mahdollistaja!

11/9/2016

30

Mitä tarvitaan? Tietoturvan rinnalle tietosuojan

mukaantulo


Saatavuus

Eheys

Luottamuksellisuus

Kimmo Rousku28081999-1234

Tietosuoja EU-tietosuoja-asetuksen muutoksettuovat velvoitteita myöstietoturvallisuuden kehittämiseen

Tietosuoja osalta vaatimusten-mukaisuus toteutetaan olemassaolevia prosesseja päivittämällä ja tarvittavat muut velvoitteet täyttämällä – ei kannata tehdä tästäliian hankalaa!

UHKAT - erilaisia häiriöitä ja niiden aiheuttajia


Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista

ICT-toiminnan häiriöt

Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot

Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt

Poikkeamien ja häiriöiden vaikutus ja merkitys ~entä jatkossa yleisyys?

11/9/2016

31

Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvu ussuhteet | vuorovaikutusRiskienhallinta-prosessi ja BIA-vaikutusanalyysi

Iso kuva – mitä tästä puuttuu? Mitä tarvitaan?


Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista

Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot

Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt

ICT-toiminnan häiriöt 61

Varautumissuunnittelu- ja suunnitelmat

Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunn itelmat

Toipumissuunnitelmat – tietojärjestelmä(t)

Ennakointi Suojattava kohde Reagointi


Rautaa rajalleProsessien mukainen toimintaHenkilöstön ohjeistus, tietoisuuden kasvattaminen, koulutus

Turvallisuuden seuranta ja arviointi

Toiminnan jatkuvuuden varmistaminen

Riskienhallinta

Johtaminen

11/9/2016

32

Tuuletin


Tietoturvapoikkeama~kyberturvallisuus-häirö – entäs muut häiriöt (…ict, muu toiminta, luonto)

HenkiOmaisuus

TietoRahaMaine

Lakisääteisyys

Kyvykkyysreagoida!

Varautumissuunnittelu- ja suunnitelmat

Toipumissuunnitelmat – tietojärjestelmä(t)

Jatkuvuus- ja valmiussuunnittelu

Oliko poikkeaman aiheuttama tunnettu uhka ~ei siis vielä riskiksi tunnistettu tai hallinnassa oleva riski, joka kuitenkin laukesi?Todennäköisyys kasvoi tai sovitut toimenpiteet eivät purreet?

Luottamus – siitähän tästä kaikessa on kysymys? Miten me muodostamme luottamusverkoston eri osapuolien ja f2f kesken?

11/9/2016

33

Kustannustehokkain tapa on kouluttaa henkilöstöä, synnyttää oikeanlaista kulttuuria ja luoda oikeanlaista asennetta –johdon toimiessa esimerkkinä

TIIVISTYS – mitä organisaatioissa tarvitaan?

Kriittinen toiminta ja riippuvuudet on tunnistettava ja priorisoitava

• Kaikki ei ole kriittistä

• Infrastruktuurin rooli kasvanut

• Voiko kokonaisuutta hallita?

Riskienhallinnan käyttöä on laajennettava ja tehostettava

• RAHIlyysi & mutustelu vrtaidosti tunnistetut uhat ja hallintaan otetut riskit => aito kustannustehokkuus

Toiminnan jatkuvuus tulee varmistaa ennakolta erityisesti kriittisten toimintojen osalta

• Huolehdittava tarvittavasta varautumiskyvystä KUN jotain tapahtuu

Kaikki (tieto)turvallisuuden eteen tehtävä työ on myös kyber-turvallisuudesta huolehtimista

• motivoimaton, kouluttamaton ja ohjeistamaton henkilöstö –kuuluisa heikoin lenkki?


11/9/2016

34

Mistä APUA – VAHTI auttaa !

Uusi VAHTI-johtoryhmä asetetaan v 2017-2019

‒ Nykyinen toimikausi päättyy 31.12.2016.

‒ Sopivasti osana 20. VAHTIn juhlavuotta asetamme uuden julkishallinnon tietoja kyberturvallisuuden johtoryhmän

‒ Keskeiset muutokset:‒ Itse johtoryhmän toiminnan vahvistaminen, ministeriöt ja keskeiset muut

turvaelimet mukaan toimintaan

‒ VAHTI-sihteeristön toiminnan vahvistaminen ja laajentaminen

‒ Nykyiset ohje, tekninen ja kuntien tietoturvajaosto korvautuvat viidellä asiantuntijajaoksen alaisuudessa toimivalla työryhmällä

‒ VIRT-häiriötilannehallinnan kehittäminen osaksi VAHTI-toimintaa


11/9/2016

35


Asi

antu

ntija

jaos

VIRT-operatiivinen

VAHTI-johtoryhmä

Sihteeristö

Johtaminen ja riskienhallinta

Toiminnan jatkuvuuden

hallinta

Turvallisuus kehittämisessä VIRT-toiminta

Turvallisuuden ylläpito

Seuranta ja arviointi

Valtioneuvoston ja hallinnonalojen tietoturvaryhmät

Operatiiviset toimijat (mm. ICT-palvelu- ja kyberturvallisuuskeskukset)

Julkishallinnon kyberturvallisuuden johtaminen

TurvallisuuskomiteaJUHTATIETOKEKOValmiuspäällikkökokousNSA-yhteistyöryhmäTSV

Ajankohtaista VAHTI-toiminnassa

‒ Uusi VAHTI-portaali‒ Julkaisemme joulukuussa

‒ Meidän oman toiminnan digitalisaatio – linkitykset myös verkkokoulutuksiin

‒ Mahdollisesti tulevan asetuksen | lain keskeinen täytäntöönpanon tukipalvelu

‒ Uudet (tieto)turvavaatimukset‒ Päivitämme tietoturvavaatimuksia pilottityyppisesti – pilotoimme sopivia uuden

tietoturvallisuuden perus(minimi)tason yhtenäisempiä vaatimuksia

‒ Vaatimukset: organisaatio (hallinnollinen) – palvelut (tekninen) – hankinta <= auditointivaatimukset

‒ Samoin käynnissä on selvitys nykyisen tietoturvasäädöstön toimivuudesta | mikä on toimivaa ja hyvää | miten tätä tulisi mahdollisesti uudistaa tai päivittää?


11/9/2016

36

Ajankohtaista VAHTI-toiminnassa

‒ Uusia VAHTI-materiaaleja saatavilla


Tulossa vielä v 2016:VAHTI 3/2016 Tietoturvapoikkeamien hallintaVAHTI 4/2016 Sähköisen asioinnin tietoturvaohjeVAHTI-raportti 2/2016 VAHTI-tietoturvabarometri

Digitaaliseen turvallisuuteen kohdistuvien riskien hallinta taloudellisen

ja yhteiskunnallisen hyvinvoinnin edistämiseksi


Suosittelen tutustumaan – ylätason näkemys kokonaisuuteen – hyödynnämme tätä VAHTI-riskienhallintaohjeen uudistamistyössä

www.vahtiohje.fi

11/9/2016

37

VAHTIn kuntajaoston kiertue

‒ Kuntakiertueen paikkakunnat, aikataulu ja ilmoittautuminen:

13.10. Jyväskylä, Minnansali, Vapaudenkatu 39-41

20.10. Oulu, Valtuustosali, Kirkkokatu 2a

27.10. Vaasa, Vaasan yliopisto, Wolffintie 34

8.11. Kuopio, Valtuustotalo, Suokatu 42

9.11. Helsinki, Kuntatalo, Toinen linja 14


√

√

√

√

Riskienhallinta - kaksi merkittävää hanketta meneillään

‒ VAHTI-ryhmä päivittää riskienhallinnan ohjetta, prosessia ja työkalua‒ Riskienhallinnan ohella myös mahdollisuuksien tunnistaminen

‒ Tietoriskit | kyberturvallisuus | toiminnan digitalisaatio | tietosuoja -esimerkkeinä

‒ Sisäisen valvonnan ja riskienhallinnan neuvottelukunta on sisäisen valvonnan ja riskienhallinnan tilaa ja kehittämistä seuratessaan tunnistanut tarpeen kehittää erityisesti riskienhallintapolitiikkaa ‒ Laaditun selvityksen tulosten perusteella neuvottelukunta päätti valmistella

riskienhallintapolitiikan mallin, jota valtionhallinnon virastot voivat hyödyntää omassa riskienhallinnassaan sekä sen kehittämisessä

‒ Teemme tiivistä yhteistyötä – alustavana tavoitteena saada nämä molemmat samaan lausuntokokonaisuuteen alkuvuosi 20 17


11/9/2016

38

VAHTI-riskienhallinta x/2017

‒ Uudistamme kokonaan 7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnoss a

‒ Lopputulos:‒ Päivitetty ohje

‒ Riskienhallintaprosessi, sitä tukeva ohje ja Excel-työkalu

‒ Perinteinen tietoriski – tietoturvallisuus | kyberriskit | tietosuoja sekä digitalisaation riskit ja mahdollisuudet –case-esimerkit

‒ Selvitämme 2017, miten RaaS saadaan toteutettua

‒ Hyödynnämme ISO 31000-pohjaisuutta esimerkiksi terminologian, prosessin osalta – ”rusinat pullasta ja kerma päältä pullamössöten” -mallilla


Varaa aika kalenterista!


11/9/2016

39

Yhteenvetoa - Helsinki

Päivän tiivistys 7 kalvoon

‒ Tietoturvallisuus on a) saatavuus b) eheys ja c) jos salassa pidettävää, luottamuksellisuus – jos henkilötietoja, myös tietosuojavaatimukset

‒ Jos organisaatiosi ei osallistunut VAHTI-baroon, varmista osallistuminen ensi vuonna

‒ Panosta henkilöiden koulutukseen ja ohjeistamiseen, ei kertaluonteisesti 100 m – 400 m juoksu vaan jatkuvasti

‒ Tietosuojan osalta pitää käynnistää työ ASAP ellei ole jo liikkeellä => tietovirrat, sopimukset

‒ Rikosten tutkiminen kuuluu poliisille - Rikosilmoitus kannattaa tehdä aina! – muista myös ilmoittaa Viestintävirasto on


11/9/2016

40

Mikään teknologia ei korvaa IHMISEN

tietoturvakäyttäytymistä



11/9/2016

41

www.vahtiohje.fi


Paneeli


11/9/2016

42

Äänestys


Pari konkreettista tehtävää:

‒ Tutustu www.vahtiohje.fi‒ Hyödynnä materiaali

‒ www.cert.fi => nopein tieto Viestintäviraston palveluihin

‒ Jos organisaatiollanne ei ole [email protected] niin perustakaa tällainen jakelulista, laittakaa siitä tieto [email protected]‒ Tulemme ensi vuonna osana uutta VAHTI-toimintaa käynnistämään

säännöllisen tiedottamisen toiminnasta, käytämme tätä muuhun tiedottamiseen kuten myös Vivi | Kyberturvallisuuskeskus saa myös nämä tiedot


11/9/2016

43

Kimmo RouskuVAHTI-pääsihteeri

[email protected]. 02955 30140@kimmorouskuKutsuthan minut verkostoosi?

http://www.vahtiohje.fi

Documents

VAHTI -Kuntien tietoturvajaoston kuntien …...VAHTI-kuntien alueseminaarit - syksy 2016 2 11/9/2016 2 Ohjelma 11.00 Tulevat lainsäädännön muutokset: EU:n tietosuoja-asetus Tietosuojavaltuutettu