Informations- och cybersäkerheten inom statsförvaltningen har utvecklats positivt och utvecklandet ska fortsätta

Enligt resultaten av den årliga enkät om informationssäkerhet som Ledningsgruppen för informations- och cybersäkerheten inom statsförvaltningen (VAHTI) publicerat har statsförvaltningens informationssäkerhet utvecklats positivt. Det finns också utvecklingsmål. Enkäten publicerades som en del av VAHTIs verksamhetsberättelse år 2014.

I de organisationer som deltagit aktivt i VAHTIs verksamhet och projekt har säkerheten utvecklats betydligt bättre än i organisationer som deltagit i verksamheten i liten utsträckning eller inte alls.

År 2014 förbättrades läget för informations- och cybersäkerheten inom statsförvaltningen på nästan samtliga delområden. Cirka 90 procent av mätarna visade på framsteg. Det totala medelvärdet för de delområden som mäts förbättrades med 7,8 procentenheter.

De största förbättringarna jämfört med år 2013 gällde bland annat följande funktioner:

• den policy för riskhantering som ledningen godkänt förverkligas för 72 procent för dem som svarade (2013: 49 %)
• beslut om klassificering av informationsmaterial 58 procent (2013: 37 %)
• i ledningens uttalande om utvärdering och bekräftelse gällande den interna kontrollen och riskhanteringen behandlas datasäkerhetsrisker till 70 procent (2013: 54 %)

Jämfört med år 2013 försvagades resultaten mest i fråga om datasäkerhetsplaner som fastställts av ledningen. Detta förklaras med de pågående omorganisationerna och att vissa av organisationerna genomför motsvarande saker på ett annat sätt.

Det klart svagaste resultatet fick man för testningen av kontinuitetsplaner, trots att resultatet var bättre än under föregående år.

Betydande utveckling kan iakttas på lång sikt

I flera avseenden har det skett en utveckling sedan år 2010. År 2014 fanns en samarbetsgrupp för informationssäkerhet i 92 procent av organisationerna (2013: 40 %). Organisationerna har identifierat allt fler intressentgrupper gentemot vilka de har ett säkerhetsansvar. 

År 2014 hade 80 procent av organisationerna integrerat datasäkerhetsmålen som en del av resultatstyrningen (2010: 40 %), 92 procent hade utvärderat datasäkerheten genom att jämföra med VAHTI-anvisningar eller standarder (2010: 59 %) och 72 procent hade en policy för riskhantering som godkänts av ledningen (2013: 39 %).

Antalet observationer av attacker som kräver särskilda åtgärder ökar något

Hos cirka 10 procent av organisationerna har system eller delar av dessa varit ur bruk på grund av sabotageprogram år 2014. Antalet problem som sabotageprogrammen orsakat har vuxit ytterligare jämfört med föregående år.

Cirka 22 procent av organisationerna har observerat externa attacker som krävt särskilda åtgärder och ungefär 12 procent har upptäckt att de blivit utsatta för en riktad attack under år 2014. Procentandelen organisationer som gjort observationer av attacker som krävt särskilda åtgärder har ökat något samtidigt som observationerna av riktade attacker har minskat.

Antalet metoder för att upptäcka attacker har ökat något.

Både den administrativa och den tekniska informationssäkerheten behöver utvecklas

Trots en mestadels god utveckling är det fortsatt mycket som behöver utvecklas. Enkätresultaten visar att det inom den administrativa informationssäkerheten, framför allt när det gäller hanteringen av kontinuitet och beredskap, finns utrymme för förbättringar. VAHTI kommer att främja dessa delområden genom VAHTI-anvisningarna och projekt som stöder deras genomförande, vilka är en del av VAHTIs verksamhetsplan 2015–2016.

Enligt olika utredningar bedöms andelen attacker som inte upptäcks vara stigande. I praktiken innebär detta att organisationer bör satsa ännu mer på att förbättra förmågan att upptäcka, analysera och reagera samt rapportera i fråga om informationssäkerheten. Detta skapar också underlag för att ta fram en bättre lägesbild för organisationerna och intressentgrupperna.

VAHTI deltar också i utvecklandet av informations- och cybersäkerheten i kommunerna

VAHTI kommer också att delta aktivt i utvecklingen av kommunernas informations- och cybersäkerhet. VAHTI har underordnat kommunernas datasäkerhetssektion, som har som centralt mål att utveckla kommunernas informations- och cybersäkerhet och samarbete med anknytning till denna, och för sin del förbättra pålitligheten, kontinuiteten, kvaliteten, riskhanteringen och beredskapen hos kommunernas funktioner. En egen enkät om läget för informations- och cybersäkerheten kommer att skickas till kommunerna. Enkätresultaten publiceras i slutet av 2015.

VAHTIs verksamhetsplan 2015-2016 (på finska)

Ytterligare upplysningar

VAHTI-generalsekreterare Kimmo Rousku, tfn 02955 30140, [email protected]