Valtionhallinnon tieto- ja kyberturvallisuus on kehittynyt myönteisesti ja kehittämistä jatketaan
Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) julkaiseman vuosittaisen tietoturvakyselyn tulosten perusteella valtionhallinnon tietoturvallisuus on kehittynyt myönteisesti. Myös kehittämiskohteita löytyy. Kysely julkaistiin osana VAHTIn toimintakertomusta vuodelta 2014.
Aktiivisesti VAHTIn toimintaan ja hankkeisiin osallistuneissa organisaatioissa turvallisuus on kehittynyt selvästi paremmin kuin niissä organisaatioissa, jotka ovat osallistuneet toimintaan vähän tai eivät lainkaan.
Valtion tieto- ja kyberturvallisuuden tilanne parani vuonna 2014 lähes kaikilla osa-alueilla. Edistymistä tapahtui noin 90 prosentissa mittareista. Mitattavien osa-alueiden kokonaiskeskiarvo parani 7,8 prosenttiyksikköä.
Vuoteen 2013 verrattuna suurimmat parannukset koskivat muun muassa seuraavia toimintoja:
- johdon hyväksymä riskienhallintapolitiikka toteutuu 72 prosentilla vastaajista (2013: 49 %)
- tietoaineistojen luokituspäätökset 58 prosenttia (2013: 37 %)
- johdon sisäisen valvonnan ja riskienhallinnan arviointi- ja vahvistuslausumassa käsitellään tietoturvariskejä 70 prosenttia (2013: 54 %)
Vuoteen 2013 verrattuna tulokset heikentyivät eniten johdon vahvistamien tietoturvasuunnitelmien osalta. Tämä selittyy käynnissä olevilla organisaatiouudistuksilla ja sillä, että osa organisaatioista toteuttaa vastaavia asioita muulla tapaa.
Selvästi heikoin tulos saatiin edelleenkin jatkuvuussuunnitelmien harjoittelussa, vaikka tulos oli edellistä vuotta parempi.
Pitkällä aikavälillä havaittavissa merkittävää kehittymistä
Useissa asioissa on kehitytty vuodesta 2010. Vuonna 2014 tietoturvallisuuden yhteistyöryhmä toimi 92 prosentissa organisaatioista (2013: 40 %). Organisaatiot ovat myös yhä enemmän tunnistaneet sidosryhmiä, joihin niillä kohdistuu tietoturvavastuita.
Vuonna 2014 organisaatioista 80 prosenttia oli vienyt tietoturvatavoitteet osaksi tulosohjausta (2010: 40 %), 92 prosenttia oli arvioinut tietoturvallisuutta VAHTI-ohjeisiin tai standardeihin peilaten (2010: 59 %) ja 72 prosentilla oli johdon hyväksymä riskienhallintapolitiikka (2013: 39 %).
Erityistoimia vaativat hyökkäyshavainnot ovat hieman nousussa
Järjestelmiä tai niiden osia on ollut haittaohjelmien takia pois käytöstä noin 10 prosentilla organisaatioista vuonna 2014. Haittaohjelmien aiheuttamien haittojen määrä on kasvanut edelliseen vuoteen verrattuna.
Erityistoimia aiheuttaneita ulkopuolisia hyökkäyksiä on havainnut noin 22 prosenttia organisaatioista ja noin 12 prosenttia on havainnut joutuneensa kohdistetun hyökkäyksen kohteeksi vuonna 2014. Erityistoimia vaatineiden hyökkäyshavaintoja tehneiden organisaatioiden prosenttiosuus on hieman kasvanut samaan aikaan kun kohdistettujen hyökkäysten havainnointimäärä on laskenut.
Hyökkäysten havainnointikeinojen määrä on hiukan lisääntynyt.
Kehitettävää on sekä hallinnollisessa että teknisessä tietoturvallisuudessa
Huolimatta pääsääntöisesti hyvästä kehityksestä, kehitettävää on edelleen paljon. Kyselyn tulokset osoittavat, että hallinnollisen tietoturvallisuuden puolella, ennen kaikkea jatkuvuudenhallinnassa ja varautumisessa, on parantamisen varaa. VAHTI tulee edistämään näitä osa-alueita VAHTI-ohjeilla ja niiden täytäntöönpanoa tukevilla hankkeilla, jotka ovat osa VAHTIn toimintasuunnitelmaa 2015–2016.
Erilaisten selvitysten mukaan piiloon jäävien hyökkäysten osuuden arvioidaan olevan kasvussa. Käytännössä tämä tarkoittaa sitä, että organisaatioiden tulee entisestään panostaa tietoturvallisuuden havainnointi-, analysointi- ja reagointikyvyn sekä raportoinnin parantamiseen, mikä mahdollistaa myös paremman tilannekuvan tuottamisen organisaatiolle sekä sidosryhmille.
VAHTI mukana myös kuntien tieto- ja kyberturvallisuuden kehittämisessä
VAHTI tulee osallistumaan aktiivisesti myös kuntien tieto- ja kyberturvallisuuden kehittämiseen. VAHTI on asettanut alaisuutensa kuntien tietoturvajaoston, jonka keskeisenä tavoitteena on kehittää kuntien tieto- ja kyberturvallisuutta ja siihen liittyvää yhteistyötä sekä osaltaan parantaa kuntien toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Kunnille tehdään oma kysely niiden tieto- ja kyberturvallisuuden tilasta. Kyselyn tulokset julkaistaan loppuvuodesta 2015.
VAHTIn toimintasuunnitelma 2015-2016
Lisätietoja
VAHTI-pääsihteeri Kimmo Rousku puh. 02955 30140, [email protected]