Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
11/9/2016
1
VAHTI - Kuntien tietoturvajaoston
kuntien kyberturvallisuuden
alueseminaari – Helsinki 9.10
VAHTI
9.11.2016 Kimmo Rousku
Ohjelma9.00 AvausTietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunkiVAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö
Kuinka tietoturva koetaan? VAHTIn mittarit - organisa atiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksiaVAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö
9.40 VAHTI, Kuntien tietoturvajaoston toimintaTietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki
Tietoturvallisuuden johtaminen ja vastuutTietoturva-asiantuntija Aaro Hallikainen, Helsingin kaupunki
10.30 Keskustelua ja verkostoitumistauko
10.50 Tietoisku: miksi tieto- ja kyberturvallisuus o n tärkeääHavainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus
VAHTI-kuntien alueseminaarit - syksy 2016 2
11/9/2016
2
Ohjelma
11.00 Tulevat lainsäädännön muutokset: EU:n tietosu oja-asetusTietosuojavaltuutettu Reijo Aarnio
Tuleva tietoturvasäädöstöAsiantuntija Saana Seppänen, Kyber- ja infrastruktuuriyksikkö, Valtiovarainministeriö
11.45 Lounas (omakustanteinen)
12.30 Viestintäviraston tietoturvapalvelut ja toimi nta häiriötilanteissaHavainnointipalvelut-ryhmän päällikkö Mikko Viitaila, Viestintävirasto, Kyberturvallisuuskeskus
13.15 Tieto- ja kyberturvallisuus toiminnan digitaal isaation mahdollistajana - mistä lisäapua?VAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö
VAHTI-kuntien alueseminaarit - syksy 2016 3
Ohjelma
14.00 Kahvitauko
14.30 Paneeli ja keskusteluPuheenjohtaja tietohallintojohtaja Harri Ihalainen, Rovaniemen kaupunki
• Digitalisaatio ja kyberturvallisuuden organisointi ja vastuutus – kustannustehokkaimmat mallit ja ratkaisut?• Miten digitailsaatioita ja kyberturvallisuutta voidaan paikallisesti käytännössä edistää -mitkä ovat tulevaisuuden näkymät?• Kunnan kyber- ja tietoturvallisuuden jatkuvuuden hallinta muutostilanteessa
15.30 Seminaaripäivän yhteenvetoVAHTI-pääsihteeri Kimmo Rousku, valtiovarainministeriö
15.45 Seminaaripäivä päättyy
VAHTI-kuntien alueseminaarit - syksy 2016 4
11/9/2016
3
VAHTI?
VAHTI
‒ Valtiovarainministeriön tehtävänä on julkisen halli nnon tietoturvallisuuden yleinen kehittäminen ja valtion hallinnon tietoturvallisuuden ohjaus . Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin säädöksiin. ‒ Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki
viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011) ja valmiuslaki (1552/2011), valtioneuvoston ohjesääntö (262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). Lisäksi valtiovarainministeriön vastuulla on laissa valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä tarkoitettujen yhteisten palvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjaus (1226/2013).
VAHTI-kuntien alueseminaarit - syksy 2016 6
11/9/2016
4
VAHTI
Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä.
‒ VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä.
VAHTI-kuntien alueseminaarit - syksy 2016 7
Kyberturvallisuus?
11/9/2016
5
VAHTI-kuntien alueseminaarit - syksy 2016 9
‒ Muutamaa vuotta myöhemmin Alessandro Volta kuitenkin osoitti, että kahden metallin koskettaessa toisiaan esiintyy samantapainen ilmiö ilman sammakonjalkaakin. Havainto johti Voltan parin ja samalla sähkövirrankeksimiseen.[1]
VAHTI-kuntien alueseminaarit - syksy 2016 10
11/9/2016
6
Mietitään vielä
Myrsky taireitittimen hajoaminen
Tietoturva- vai
Sähkökatko tai muuten
tietoliikenne poikki
Kyberturvallisuus-ongelma?
VAHTI-kuntien alueseminaarit - syksy 2016 11
Kyberturvallisuudella tarkoitetaan tavoitetilaa, jo ssa ICT-toimintaympäristöön voidaan luottaa ja jossa ni identoiminta turvataan, sisältää myös kyvyn sietää kybe ruhkia
VAHTI-kuntien alueseminaarit - syksy 2016 12
11/9/2016
7
Tieto vs kyberturvallisuus
VAHTI-kuntien alueseminaarit - syksy 2016 13
LES ◦
Kyberturvallisuus
Yhteiskunta
Organisaatio
Tieto vs kyberturvallisuus
VAHTI-kuntien alueseminaarit - syksy 2016 14
Yksilö
11/9/2016
8
Tietoturvallisuus
Entäs kyberturvallisuus
VAHTI-kuntien alueseminaarit - syksy 2016 15
Digitaalinen tieto (ICTn
avulla)
Analoginentieto
Kyberturvallisuus- kybertoimintaympäristö
Digitaalinentieto
Muuta kuin tietoa
(toiminta)
VAIKUTTAMINEN
VaikuttaminenICT:n avulla kohteeseen
Tietoturvallisuus Kyberturvallisuus- (ICT) kybertoimintaympäristö
Digitaalinen tieto (ICTn
avulla)
Analoginentieto
Muuta kuin tietoa (toiminta)
VAHTI-kuntien alueseminaarit - syksy 2016 16
11/9/2016
9
Tärkeintä on, ettäharjoitellaan!
Harjoitellaanko riittävästi?
‒ Sekä VAHTIn valtionhallinnon (2009-2015) että kuntakyselyn (2015) ja uusimman VAHTI henkilöstön ja johdon tietoturvabarometrin mukaan:
VAHTI-kuntien alueseminaarit - syksy 2016 18
Tärkeys: 3,30Vaikeus: 2,70Toteutuminen:2,07
VAHTI-baro johdon kysymys 5.3 Häiriötilanteiden hall intaa harjoitellaan riittävästi – tärkeys – vaikeus – toteut uminen:4 erittäin tärkeää | erittäin vaikeaa | erittäin hyvin3 tärkeää | melko vaikeaa | melko hyvin2 ei kovin tärkeää | melko helppoa | melko huonosti1 ei lainkaan tärkeää | erittäin helppoa | erittäin huonosti
11/9/2016
10
Kuinka tietoturva koetaan? VAHTInmittarit - organisaatiokysely sekä henkilöstön tietoturvabarometrin tulokset - suosituksia
Eri kyselyiden suhde
Organisaatio / vuosittainen
Johto
Henkilöstö
20
VAHTIn organisaatio-kohtainen kysely
Nyt toteutettava uusikysely – suositus joka 2 tai 3. vuosi?
Toteutetaan samassayhteydessä alla olevankanssa
VAHTI-kuntien alueseminaarit - syksy 2016
11/9/2016
11
Lisätietoa näistä tuloksista – VAHTI-toimintakertomus
VAHTI-kuntien alueseminaarit - syksy 2016 21
VAHTI-kuntien alueseminaarit - syksy 2016 22
11/9/2016
12
Toimintakertomus vuodelta 2015
VAHTI-kuntien alueseminaarit - syksy 2016 23
VAHTI-kuntien alueseminaarit - syksy 2016 24
11/9/2016
13
Toimintakertomus vuodelta 2015
VAHTI-kuntien alueseminaarit - syksy 2016 25
Uudistamme organisaatiokyselyä – pyrimme luomaan samalla paremmin myös kuntien toimintaa tukevan kyselyn ja mittariston
11/9/2016
14
Entä VAHTI-henkilöstön ja johdon tietoturvabarometri?
VÄITE
‒ Henkilöstö on tietoturvallisuuden heikoin lenkki
‒ Totean – KYLLÄ , jos henkilöstöä
‒ Ei ole koulutettu, ohjeistettu, motivoitu, annettu käyttöön oikeanlaisia työkaluja
‒ Organisaation johto ei toimi mallina ja esimerkkinä
‒ Tietoturvallisuudesta ei ole tullut asennetta, se ei ole osa toimintakulttuuria
‒ Turvallisuus by default
VAHTI-kuntien alueseminaarit - syksy 2016 28
11/9/2016
15
Miksi VAHTI-henkilöstön ja johdon barometri?
‒ Jotta saamme yksittäisen, organisaatiokohtaisen tilannekuvan sijaan laajemman kokonaiskuvan henkilöstön ja johdon näkökulmasta, miten tietoturvallisuus koetaan
‒ Ennakolta uskon, että tulemme löytämään useita sellaisia asioita, jotka ovat voimavara (positiivinen havainto ), jonka olemassaoloa pitää edelleen tukea ja vahvistaa, löydämme paljon sellaista, joka on niin kuin pitää ja lisäksi löytyy jokunen yllätys , jotka tulee tunnistaa kehittämiskohteina‒ Alustava silmäily on jo näitä kaikkia nostanut esille ☺
VAHTI-kuntien alueseminaarit - syksy 2016 29
1. Organisaatio johto päättää osallistumisesta kyselyyn – kirjaamoissa VM:n saatekirje
2. Ilmoittautuminen sähköpostilla [email protected] – VM saa tästä samalla yhteyshenkilön, jolle organisaatiokohtainen vastauslinkki ja tarkemmat suomen- ja ruotsinkieliset vastausohjeet toimitetaan
3. VM toimittaa yhteyshenkilöllle vastauslinkin ja vastausohjeet turvapostilla
4. Organisaatio laittaa intranetiin ( ja tai sähköpostitse) uutisen ja kehottaa henkilöstöä vastaamaan kyselyyn
5. Kahden viikon päästä laitetaan vielä muistutusviesti, että vastausaika alkaa loppumaan
6. Kolmen viikon päästä kysely suljetaan eli uutinen ja vastauslinkki poistetaan
7. Tämän jälkeen 14.10 kysely suljetaan. Tämän jälkeen VAHTI tuottaa kyselystä vastaajaorganisaatiokohtaiset tulokset, tiedot luokitellaan ST IV ja toimitetaan turvapostilla organisaation yhteyshenkilölle (loka-marraskuussa).
8. VAHTI julkaisee tuloksista julkisen raportin, arviolta marraskuussa
9. Kysely aktivoidaan uudelleen vuoden 2017 elokuussa jne sama prosessiVAHTI-kuntien alueseminaarit - syksy 2016 30
11/9/2016
16
Tilastotietoa
‒ Sunnuntaihin 10.11 mennessä | 16.11 sulkeutuessa‒ 10710 vastausta 13 915
‒ ~100 organisaatiota 98 osallistunutta organisaatiota
‒ 68 valtionhallinnon organisaatiota
‒ 29 kuntaa
‒ 1 sairaanhoitopiiri
‒ Vastausprosentin saamme laskettua myöhemmin, mutta uskomme sen vaihtelevan 5 – 15% välillä organisaatioittain
‒ Potentiaalinen vastaajamäärä tarkentuu, mutta uskomme sen olevan ~170 000 mahdollista vastaajaa
VAHTI-kuntien alueseminaarit - syksy 2016 31
Raportti, organisaatiopalaute
‒ Tuotamme julkisen raportin ja organisaatiokohtaisen raportin‒ Organisaation tiedot verrattuna verrokkitietoihin
‒ Kaikki vastaajat | valtionhallinto | julkishallinto
‒ Jonkinlainen visualisointi tiivistelmänä
‒Organisaation tehtävänä on suorittaa tarkempi analyysi omista tuloksista ja sen perusteella miettiä, miten tulokset tulisi omassa tietoturvallisuuden kehittämisessä ottaa huomioon
VAHTI-kuntien alueseminaarit - syksy 2016 32
11/9/2016
17
Muutama havainto – alustavat tiedot – n=13915
VAHTI-kuntien alueseminaarit - syksy 2016 33
Muutama havainto – alustavat tiedot – n=13915
VAHTI-kuntien alueseminaarit - syksy 2016 34
11/9/2016
18
Muutama havainto – alustavat tiedot – n=13915
‒ 2.3 Mihin seuraavista olet saanut ohjeita ja koulut usta?
‒ mobiililaitteiden käyttö
VAHTI-kuntien alueseminaarit - syksy 2016 35
Muutama havainto – alustavat tiedot – n=13915
‒ 2.3 Mihin seuraavista olet saanut ohjeita ja koulut usta?
‒ tietoturvapoikkeamissa toimiminen, esimerkiksi haittaohjelmaepäily
VAHTI-kuntien alueseminaarit - syksy 2016 36
11/9/2016
19
Muutama havainto – alustavat tiedot – n=13915
‒ 2.4.3 Kuinka käytät salasanoja työtehtävissäsi?
VAHTI-kuntien alueseminaarit - syksy 2016 37
Muutama havainto – alustavat tiedot – n=13915‒ 5.1 Millaisena koet tietoturvallisuuden merkityksen ? ‒ Tietoturvallisuus mahdollistaa laadukkaan toiminnan ja antaa organisaatiostani
luotettavan kuvan.
‒ Tietoturvallisuutta tarvitaan, jotta voin käsitellä työssä tarvitsemiani tietoja.
‒ Ymmärrän, miksi tietoturvallisuutta tarvitaan, mutta se aiheuttaa ylimääräistä työtä.
‒ Tietoturvallisuus on jatkuva riesa, en ymmärrä mihin sitä tarvitaan.
VAHTI-kuntien alueseminaarit - syksy 2016 38
11/9/2016
20
Muutama havainto – alustavat tiedot – n=13915
‒ 5.2 Miten koet, että tietoturvallisuus on toteutett u organisaatiossasi?‒ erittäin hyvin - työnteko ja palveluiden käyttö on sujuvaa ja vaivatonta
‒ hyvin, mutta se saattaa satunnaisesti vaikeuttaa työntekoani
‒ huonosti, koska se haittaa ja vaikeuttaa työntekoani usein
‒ erittäin huonosti, koska se haittaa ja vaikeuttaa työntekoani jatkuvasti
VAHTI-kuntien alueseminaarit - syksy 2016 39
Suosituksia
‒ Henkilöstön oikeaoppinen ohjeistaminen ja kouluttaminen jäänyt osittain kesken‒ Erityisesti mobiilikäytön lisääntyessä siitä tarvitaan koko ajan uutta,
ajantasaista ohjeistusta
‒ Salasanojen osalta suosittelemme muistuttamaan järkevistä käyttömahdollisuuksista
‒ Ohjeistaminen häiriötilanteissa!
‒ Mitä tehdään erilaisissa tilanteissa, jos jokin palvelu ei toimi, päätelaite varastetaan, työaseman haittaohjelmien torjuntaohjelma antaa hälytyksen?
‒ Tietoaineistojen luokittelu – jokaisella on vähintään julkinen vs salassa pidettävät tiedot (vs henkilötiedot)
VAHTI-kuntien alueseminaarit - syksy 2016 40
11/9/2016
21
Kysymyksiä kyselyistämme?
Tieto- ja kyberturvallisuus toiminnan
digitaalisaation mahdollistajana - mistä
lisäapua?
11/9/2016
22
Esitykseni - viisi asiaa ja näkökulmaa
1) Teknologiset mahdollisuutemme
2) UHKAT - erilaisia häiriöitä ja niiden aiheuttajia
3) Mitä me tarvitaan?
4) Näkökulmia – kyber vs tietoturvallisuus
5) Mistä apua – VAHTI auttaa ?!
VAHTI-kuntien alueseminaarit - syksy 2016 43
???
VAHTI-kuntien alueseminaarit - syksy 2016 44
Toiminnan digitalisaatio
Robotisaatio
ICT
ATK - automaattinen
MTK – manuaalinen tietojenkäsittely
Teknologiset mahdollisuutemme
Nykyinen kyvykkyytemme teknologian
hyödyntämiseen
1980
1
990
20
00
201
0
2020
20
30
Teknologiset mahdollisuutemme
11/9/2016
23
Teknologiset mahdollisuutemme
VAHTI-kuntien alueseminaarit - syksy 2016 45
1982 2016 2050IBM PC ICT-digi-aikakausi Nano-kvantti-aikakausiHenkilökohtaisuus Yhteisöllisyys ja jakaminen Virtuaali- ja lisätty todellisuus- paikkasidonnaisuus - 24/7/365/360◦ - keinoäly by default- olematon suorituskyky - ”rajaton” suorituskyky - kvanttilaskenta - ei palveluita - kohti alustataloutta - kaikenlaiset robotit- ei oikeastaan mitään ;-) - keinoälyn osin käytössä - kyborgit
- ihmistyö
Teknologiset mahdollisuutemme
2050
VAHTI-kuntien alueseminaarit - syksy 2016 46
11/9/2016
24
Muistatko VHS vs beta-kasetti? Entäs AI?
‒ Vuosikymmenien varrella on ollut erilaisia ekosysteemikilpailuita markkinaherruuksista, seuraava merkittävä käydään – keinoälystä
‒ Meidän keinoäly on parempi kuin teidän keinoäly!
‒ Haluaisitko sinä markkinoiden 2. tai 3. parhaan keinoälyn organisaatiosi johtoryhmään tai vastaamaan jostain liiketoimintaprosessin kehittämisestä tai toteuttamisesta? En minäkään.
‒ Samoin tähän liittyy meidän kannalta kriittinen puheentunnistus –miten varmistamme sen, että jatkossa me voimme samalla tavalla ohjata robottejamme | muita laitteita suomenkielellä vs muut kielet?
VAHTI-kuntien alueseminaarit - syksy 2016 47
Tästä eli tulevaisuudesta lisätietoa?
22.11.2016 klo 9.00 – 11.45
Risto Linturi | Cristina Andersson | Sari Stenfors | Timur Kärki | Kimmo Rousku
Ilmoittaudu nettilähetykseenVAHTI-kuntien alueseminaarit - syksy 2016 48
11/9/2016
25
VAHTI-kuntien alueseminaarit - syksy 2016 49
Tiivistys – miten me tähän varaudutaan?
VAHTI-kuntien alueseminaarit - syksy 2016 50
*-muutos*
11/9/2016
26
ICT-toiminnan häiriöt vs tieto- ja kyberturvallisuushäiriöt ja poikkeamat
”Tavallinen” poikkeama | häiriö
toiminnassa
AIKA
Mikä häiriö?
VAHTI-kuntien alueseminaarit - syksy 2016 52
11/9/2016
27
Mieti 10 viimeisintä kohtaamaasi ongelmaa!Kuinka monta kertaa ongelma on ollut aidosti tieto- tai kyberturvallisuuteen liittyvä?
Häiriötilanteiden hallinta=> Entistä tärkeämpi osa-alue, jonka tulee toimia riippumatta siitä, mikä ongelmien aiheuttaja on. Häiriö on useimmiten ihan perinteinen palvelutuotantoon liittyvä tekninen ongelma … onneksi harvemmin tieto- tai kyberturvallisuuteen liittyvä
VAHTI-kuntien alueseminaarit - syksy 2016 53
ICT-palvelut ja normaalit häiriötilanteet
‒ Entä jos aamu alkaisi tällaisella uutisella – mediassa? Mikä teillä on se tieto, jonka vuotaminen nostaisi hien pintaan? Potilas | asiakas | valitse!
‒ Kuvitteellinen uutinen, joka on kuitenkin täysin mahdollinen
‒ Mikä on tällaisen ongelman, mahdollisen tietovuodon ero verrattuna edellä kuvattuihin tavallisiin, ICT-järjestelmien toiminnassa törmättyihin pääasiassa teknisiin ongelmiin?
VAHTI-kuntien alueseminaarit - syksy 2016 54
11/9/2016
28
Tietoturva -poikkeama toiminnassa
AIKA
Tiedot jäävät ikuisiksi
ajoiksi nettiin ?
VAHTI-kuntien alueseminaarit - syksy 2016 55
Hyvä esimerkki toissa viikon perjantailta 21.10.2016
VAHTI-kuntien alueseminaarit - syksy 2016 56
11/9/2016
29
Otetaan vielä toisenlainen näkymä tilanteeseen
‒ Tieto- ja kyberturvallisuusongelmien aiheuttajat ovat usein ihmisten aiheuttamia, mutta tässä yhteydessä mainittakoon myös yhteiskunnan toimivuuden varmistaminen erilaisissa häiriötilanteissa – hyvin keskeinen osa kyberturvallisuutta
‒ Myrskyjen aiheuttamat häiriötilanteet ovat uhka myös tieto- ja kyberturvallisuudelle!
VAHTI-kuntien alueseminaarit - syksy 2016 57
Sähköriippuvuus modernissa yhteiskunnassa10.02.2015 Turvallisuuskomitea 2015. Päivitys julkaisusta "Pitkä sähkökatko ja yhteiskunnan elintärkeiden toimintojen turvaaminen".http://www.huoltovarmuus.fi/static/pdf/817.pdf
(Tieto)turvallisuus on toiminnan mahdollistaja!
11/9/2016
30
Mitä tarvitaan? Tietoturvan rinnalle tietosuojan
mukaantulo
VAHTI-kuntien alueseminaarit - syksy 2016 59
Saatavuus
Eheys
Luottamuksellisuus
Kimmo Rousku28081999-1234
Tietosuoja EU-tietosuoja-asetuksen muutoksettuovat velvoitteita myöstietoturvallisuuden kehittämiseen
Tietosuoja osalta vaatimusten-mukaisuus toteutetaan olemassaolevia prosesseja päivittämällä ja tarvittavat muut velvoitteet täyttämällä – ei kannata tehdä tästäliian hankalaa!
UHKAT - erilaisia häiriöitä ja niiden aiheuttajia
VAHTI-kuntien alueseminaarit - syksy 2016 60
Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista
ICT-toiminnan häiriöt
Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot
Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt
Poikkeamien ja häiriöiden vaikutus ja merkitys ~entä jatkossa yleisyys?
11/9/2016
31
Kuinka riippuvaista? Kriittisyys - tärkeys? Riippuvu ussuhteet | vuorovaikutusRiskienhallinta-prosessi ja BIA-vaikutusanalyysi
Iso kuva – mitä tästä puuttuu? Mitä tarvitaan?
VAHTI-kuntien alueseminaarit - syksy 2016 61
Liike- ja ydintoiminta ovat täysin riippuvaisia ICT-palveluista ja rakenteista
Normaalit häiriöt Laajavaikutteiset häiriöt Poikkeusolot
Tieto- ja kyberturvallisuuden poikkeamat ja häiriöt
ICT-toiminnan häiriöt 61
Varautumissuunnittelu- ja suunnitelmat
Jatkuvuussuunnittelu- ja valmiussuunnittelu- ja suunn itelmat
Toipumissuunnitelmat – tietojärjestelmä(t)
Ennakointi Suojattava kohde Reagointi
VAHTI-kuntien alueseminaarit - syksy 2016 62
Rautaa rajalleProsessien mukainen toimintaHenkilöstön ohjeistus, tietoisuuden kasvattaminen, koulutus
Turvallisuuden seuranta ja arviointi
Toiminnan jatkuvuuden varmistaminen
Riskienhallinta
Johtaminen
11/9/2016
32
Tuuletin
VAHTI-kuntien alueseminaarit - syksy 2016 63
Tietoturvapoikkeama~kyberturvallisuus-häirö – entäs muut häiriöt (…ict, muu toiminta, luonto)
HenkiOmaisuus
TietoRahaMaine
Lakisääteisyys
Kyvykkyysreagoida!
Varautumissuunnittelu- ja suunnitelmat
Toipumissuunnitelmat – tietojärjestelmä(t)
Jatkuvuus- ja valmiussuunnittelu
Oliko poikkeaman aiheuttama tunnettu uhka ~ei siis vielä riskiksi tunnistettu tai hallinnassa oleva riski, joka kuitenkin laukesi?Todennäköisyys kasvoi tai sovitut toimenpiteet eivät purreet?
Luottamus – siitähän tästä kaikessa on kysymys? Miten me muodostamme luottamusverkoston eri osapuolien ja f2f kesken?
11/9/2016
33
Kustannustehokkain tapa on kouluttaa henkilöstöä, synnyttää oikeanlaista kulttuuria ja luoda oikeanlaista asennetta –johdon toimiessa esimerkkinä
TIIVISTYS – mitä organisaatioissa tarvitaan?
Kriittinen toiminta ja riippuvuudet on tunnistettava ja priorisoitava
• Kaikki ei ole kriittistä
• Infrastruktuurin rooli kasvanut
• Voiko kokonaisuutta hallita?
Riskienhallinnan käyttöä on laajennettava ja tehostettava
• RAHIlyysi & mutustelu vrtaidosti tunnistetut uhat ja hallintaan otetut riskit => aito kustannustehokkuus
Toiminnan jatkuvuus tulee varmistaa ennakolta erityisesti kriittisten toimintojen osalta
• Huolehdittava tarvittavasta varautumiskyvystä KUN jotain tapahtuu
Kaikki (tieto)turvallisuuden eteen tehtävä työ on myös kyber-turvallisuudesta huolehtimista
• motivoimaton, kouluttamaton ja ohjeistamaton henkilöstö –kuuluisa heikoin lenkki?
VAHTI-kuntien alueseminaarit - syksy 2016 66
11/9/2016
34
Mistä APUA – VAHTI auttaa !
Uusi VAHTI-johtoryhmä asetetaan v 2017-2019
‒ Nykyinen toimikausi päättyy 31.12.2016.
‒ Sopivasti osana 20. VAHTIn juhlavuotta asetamme uuden julkishallinnon tieto- ja kyberturvallisuuden johtoryhmän
‒ Keskeiset muutokset:‒ Itse johtoryhmän toiminnan vahvistaminen, ministeriöt ja keskeiset muut
turvaelimet mukaan toimintaan
‒ VAHTI-sihteeristön toiminnan vahvistaminen ja laajentaminen
‒ Nykyiset ohje, tekninen ja kuntien tietoturvajaosto korvautuvat viidellä asiantuntijajaoksen alaisuudessa toimivalla työryhmällä
‒ VIRT-häiriötilannehallinnan kehittäminen osaksi VAHTI-toimintaa
VAHTI-kuntien alueseminaarit - syksy 2016 68
11/9/2016
35
VAHTI-kuntien alueseminaarit - syksy 2016 69
Asi
antu
ntija
jaos
VIRT-operatiivinen
VAHTI-johtoryhmä
Sihteeristö
Johtaminen ja riskienhallinta
Toiminnan jatkuvuuden
hallinta
Turvallisuus kehittämisessä VIRT-toiminta
Turvallisuuden ylläpito
Seuranta ja arviointi
Valtioneuvoston ja hallinnonalojen tietoturvaryhmät
Operatiiviset toimijat (mm. ICT-palvelu- ja kyberturvallisuuskeskukset)
Julkishallinnon kyberturvallisuuden johtaminen
TurvallisuuskomiteaJUHTATIETOKEKOValmiuspäällikkökokousNSA-yhteistyöryhmäTSV
Ajankohtaista VAHTI-toiminnassa
‒ Uusi VAHTI-portaali‒ Julkaisemme joulukuussa
‒ Meidän oman toiminnan digitalisaatio – linkitykset myös verkkokoulutuksiin
‒ Mahdollisesti tulevan asetuksen | lain keskeinen täytäntöönpanon tukipalvelu
‒ Uudet (tieto)turvavaatimukset‒ Päivitämme tietoturvavaatimuksia pilottityyppisesti – pilotoimme sopivia uuden
tietoturvallisuuden perus(minimi)tason yhtenäisempiä vaatimuksia
‒ Vaatimukset: organisaatio (hallinnollinen) – palvelut (tekninen) – hankinta <= auditointivaatimukset
‒ Samoin käynnissä on selvitys nykyisen tietoturvasäädöstön toimivuudesta | mikä on toimivaa ja hyvää | miten tätä tulisi mahdollisesti uudistaa tai päivittää?
VAHTI-kuntien alueseminaarit - syksy 2016 70
11/9/2016
36
Ajankohtaista VAHTI-toiminnassa
‒ Uusia VAHTI-materiaaleja saatavilla
VAHTI-kuntien alueseminaarit - syksy 2016 71
Tulossa vielä v 2016:VAHTI 3/2016 Tietoturvapoikkeamien hallintaVAHTI 4/2016 Sähköisen asioinnin tietoturvaohjeVAHTI-raportti 2/2016 VAHTI-tietoturvabarometri
Digitaaliseen turvallisuuteen kohdistuvien riskien hallinta taloudellisen
ja yhteiskunnallisen hyvinvoinnin edistämiseksi
VAHTI-kuntien alueseminaarit - syksy 2016 72
Suosittelen tutustumaan – ylätason näkemys kokonaisuuteen – hyödynnämme tätä VAHTI-riskienhallintaohjeen uudistamistyössä
www.vahtiohje.fi
11/9/2016
37
VAHTIn kuntajaoston kiertue
‒ Kuntakiertueen paikkakunnat, aikataulu ja ilmoittautuminen:
13.10. Jyväskylä, Minnansali, Vapaudenkatu 39-41
20.10. Oulu, Valtuustosali, Kirkkokatu 2a
27.10. Vaasa, Vaasan yliopisto, Wolffintie 34
8.11. Kuopio, Valtuustotalo, Suokatu 42
9.11. Helsinki, Kuntatalo, Toinen linja 14
VAHTI-kuntien alueseminaarit - syksy 2016 73
√
√
√
√
Riskienhallinta - kaksi merkittävää hanketta meneillään
‒ VAHTI-ryhmä päivittää riskienhallinnan ohjetta, prosessia ja työkalua‒ Riskienhallinnan ohella myös mahdollisuuksien tunnistaminen
‒ Tietoriskit | kyberturvallisuus | toiminnan digitalisaatio | tietosuoja -esimerkkeinä
‒ Sisäisen valvonnan ja riskienhallinnan neuvottelukunta on sisäisen valvonnan ja riskienhallinnan tilaa ja kehittämistä seuratessaan tunnistanut tarpeen kehittää erityisesti riskienhallintapolitiikkaa ‒ Laaditun selvityksen tulosten perusteella neuvottelukunta päätti valmistella
riskienhallintapolitiikan mallin, jota valtionhallinnon virastot voivat hyödyntää omassa riskienhallinnassaan sekä sen kehittämisessä
‒ Teemme tiivistä yhteistyötä – alustavana tavoitteena saada nämä molemmat samaan lausuntokokonaisuuteen alkuvuosi 20 17
VAHTI-kuntien alueseminaarit - syksy 2016 74
11/9/2016
38
VAHTI-riskienhallinta x/2017
‒ Uudistamme kokonaan 7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnoss a
‒ Lopputulos:‒ Päivitetty ohje
‒ Riskienhallintaprosessi, sitä tukeva ohje ja Excel-työkalu
‒ Perinteinen tietoriski – tietoturvallisuus | kyberriskit | tietosuoja sekä digitalisaation riskit ja mahdollisuudet –case-esimerkit
‒ Selvitämme 2017, miten RaaS saadaan toteutettua
‒ Hyödynnämme ISO 31000-pohjaisuutta esimerkiksi terminologian, prosessin osalta – ”rusinat pullasta ja kerma päältä pullamössöten” -mallilla
VAHTI-kuntien alueseminaarit - syksy 2016 75
Varaa aika kalenterista!
VAHTI-kuntien alueseminaarit - syksy 2016 76
11/9/2016
39
Yhteenvetoa - Helsinki
Päivän tiivistys 7 kalvoon
‒ Tietoturvallisuus on a) saatavuus b) eheys ja c) jos salassa pidettävää, luottamuksellisuus – jos henkilötietoja, myös tietosuojavaatimukset
‒ Jos organisaatiosi ei osallistunut VAHTI-baroon, varmista osallistuminen ensi vuonna
‒ Panosta henkilöiden koulutukseen ja ohjeistamiseen, ei kertaluonteisesti 100 m – 400 m juoksu vaan jatkuvasti
‒ Tietosuojan osalta pitää käynnistää työ ASAP ellei ole jo liikkeellä => tietovirrat, sopimukset
‒ Rikosten tutkiminen kuuluu poliisille - Rikosilmoitus kannattaa tehdä aina! – muista myös ilmoittaa Viestintävirasto on
VAHTI-kuntien alueseminaarit - syksy 2016 78
11/9/2016
40
Mikään teknologia ei korvaa IHMISEN
tietoturvakäyttäytymistä
VAHTI-kuntien alueseminaarit - syksy 2016 79
VAHTI-kuntien alueseminaarit - syksy 2016 80
11/9/2016
41
www.vahtiohje.fi
VAHTI-kuntien alueseminaarit - syksy 2016 81
Paneeli
VAHTI-kuntien alueseminaarit - syksy 2016 82
11/9/2016
42
Äänestys
VAHTI-kuntien alueseminaarit - syksy 2016 83
Pari konkreettista tehtävää:
‒ Tutustu www.vahtiohje.fi‒ Hyödynnä materiaali
‒ www.cert.fi => nopein tieto Viestintäviraston palveluihin
‒ Jos organisaatiollanne ei ole [email protected] niin perustakaa tällainen jakelulista, laittakaa siitä tieto [email protected]‒ Tulemme ensi vuonna osana uutta VAHTI-toimintaa käynnistämään
säännöllisen tiedottamisen toiminnasta, käytämme tätä muuhun tiedottamiseen kuten myös Vivi | Kyberturvallisuuskeskus saa myös nämä tiedot
VAHTI-kuntien alueseminaarit - syksy 2016 84
11/9/2016
43
Kimmo RouskuVAHTI-pääsihteeri
[email protected]. 02955 30140@kimmorouskuKutsuthan minut verkostoosi?
http://www.vahtiohje.fi