Valtiosihteeri Ikosen avauspuheenvuoro valtionhallinnon tietoturvallisuuden teemapäivässä
Arvoisat valtion tietoturvapäivän osallistujat,
Tietoturvallisuus on olennainen osa hallinnon johtamista, toimintaa, kehittämistä, osaamista, riskienhallintaa ja yhteistyötä sekä edellytys perusoikeuksille. Luottamus hallinnon toimintaan ja palveluihin edellyttää riittävän hyvää tietoturvallisuutta keskeisenä osana toiminnan, palveluiden, sähköisen asioinnin sekä tietojärjestelmien ja verkkojen laatua. Hallitukselle tietoturvallisuus on tärkeä tehtäväalue johtamisen, vaikuttavuuden, toimintojen, ICT:n ja toimintavarmuuden sekä hallitusohjelman, periaatepäätösten ja päätöksenteon kannalta. Jokaisella organisaatiolla on vastuu oman toimintansa tietoturvallisuuden jatkuvasta kehittämisestä.
Valtionhallinnon tietoturvallisuuden kokonaisuutta ohjaavat lainsäädännön lisäksi kansainväliset tietoturvavaatimukset sekä valtioneuvoston periaatepäätökset ja valtiovarainministeriön antamat ohjeet. Valtionhallinnon tietoturvallisuuden johtoryhmän eli VAHTIn tuloksellinen toiminta on merkittävästi parantanut valtion tietoturvallisuutta ja yhteistyötä. Työn vaikuttavuus on nähtävissä hallinnon lisäksi myös yrityksissä ja kansainvälisesti.
Tietoturvauhkista on tullut yhä haasteellisempia. Julkisuuden ajankohtaisten tietoturvaongelmien lisäksi sekä globaalisti että Suomessa kamppaillaan jatkuvasti vielä vakavampien toimintaa haittaavien, jopa estävien ja kustannuksia aiheuttavien tietoturvaongelmien kanssa. Käynnissä on kilpajuoksu tietoturvahyökkääjien sekä toimintojensa jatkuvuudesta ja turvallisuudesta vastaavien organisaatioiden kesken. Toiminnot, prosessit ja palvelut riippuvaisia ICT:stä ja sen tietoturvallisuudesta.
Valtiokonsernin tasolla sekä yksittäisissä hallinnon organisaatioissa ja niiden käyttämissä ICT-yrityksissä on suunnitelmallisesti parannettava tietoturva- ja varautumistyötä, johtamista ja osaamista. Tämä vaatii myös tietoturvaresurssien vahvistamista. Tavoitteena on yhdenmukaistaa ICT-käytäntöjä ja parantaa tietoturvallisuuden tasoa koko valtionhallinnossa.
Hyvät kuulijat,
Valtiovarainministeriö vastaa julkisen hallinnon tietoturvallisuuden ja ICT:n yleisestä ohjauksesta. Tähän ohjauksen sisältyvät myös kansallisten rakenteiden linjaaminen ja ohjauselinten johtaminen sekä aktiivinen vaikuttaminen kansainvälisessä yhteistyössä EU:ssa ja OECD:ssä. Valtion IT-palvelukeskus tarjoaa monipuolisia tietoturvapalveluja valtionhallinnolle, jossa on tarpeen hyödyntää myös Viestintäviraston tietoturvapalveluja nykyistä laajemmin.
Useilla ministeriöillä ja virastoilla on keskeisiä valtiotasoisia tietoturvatehtäviä. Tietoturvallisuuden yhteiskunnalliset toimijat on listattu voimassa oleviin valtioneuvoston periaatepäätöksiin valtionhallinnon tietoturvallisuuden kehittämisestä vuodelta 2009, yhteiskunnan turvallisuusstrategiasta 2010 ja hallinnon turvallisuusverkosta 2011. Tietoturvallisuuden periaatepäätöksessä korostetaan VAHTIn roolia ja tehtäviä hallinnon tietoturvallisuuden ohjauksen, kehittämisen ja yhteistyön elimenä. VAHTI käsittelee valtion tietoturvallisuutta koskevat säädökset, ohjeet, tavoitteet ja muut linjaukset sekä ohjaa valtion tietoturvatoimenpiteitä. VAHTIn aktiivista toimintaa jatketaan ja vahvistetaan edelleen. JulkICT jaVAHTI osallistuvat turvallisuusyhteistyöhön koskien mm. valtion johtamista, valmiustoimintaa, kyberturvallisuutta, sähköistä viestintää, NSA-toimintaa, sisäistä turvallisuutta, huoltovarmuutta, säädösvalmistelua ja kokonaismaanpuolustusta sekä toiminnan ja ICT:n kehittämistä.
Periaatepäätöksen toimeenpanossa valtioneuvoston viime vuonna antama asetus valtionhallinnon tietoturvallisuudesta on hyvin keskeinen. Valtiovarainministeriö on antanut ohjeet ja käynnistänyt tarvittavat yhteishankkeet asetuksen toimeenpanon ohjaamiseksi ja tehostamiseksi. Valtion viranomaisen on saatettava toimintansa vastamaan asetuksen perustason tietoturvavaatimuksia 30.9.2013 mennessä.
Asetuksessa säädetään myös tietoaineistojen suojaamisesta, luokittelusta ja käsittelyvaatimuksista. Viranomaisten luokituspäätökset ovat tärkeä osa viranomaisten välisen luokitellun tiedon suojaamista ja keskinäistä luottamusta sekä sen sähköisen käsittelyn ja siirron edellytyksiä. Yhteinen luokitus ja sen mukaiset käytännöt helpottavat viranomaisten välistä salassa pidettävien tietojen vaihtoa.
Julkisen hallinnon ICT:n ohjauksen edellytyksiä on vahvistettu. Valtiovarainministeriön ylimmän johdon alaisuuteen 1.4.2011 perustettu julkisen hallinnon tieto- ja viestintätekninen toiminto (JulkICT), joka vastaa julkisen hallinnon ICT:n ja tietoturvallisuuden yleisestä ohjauksesta.Syksyllä voimaantullut laki julkisen hallinnon tietohallinnon ohjauksesta parantaa mahdollisuuksia koko julkisen hallinnon ICT:n yhdenmukaistamiseen. Keskeisiä välineitä ovat kokonaisarkkitehtuuri, yhteiset ICT-palvelut ja lausuntomenettely. Myös uusi hyväksytty valmiuslaki vahvistaa valtiovarainministeriön roolia valtion ICT:n ja tietoturvallisuuden sitovana ohjaajana. JulkICT:n johdolla on vuoden 2012 alussa käynnistymässä koko julkisen hallinnon ICT:n ja sen hyödyntämisen strategiatyö ja sen toimeenpano.
Tietoturvallisuuden ohjauksen keinovalikoimaa vahvistaa osaltaan myös Eduskunnan käsittelyssä parhaillaan oleva lakiesitys tietojärjestelmien ja verkkojen turvallisuuden arvioinnista. Esityksen avulla luodaan säädösperusta tietoturvallisuuden arvioinnin viranomaistoiminnalle Viestintävirastossa ja tietoturvaa koskevien selvitysten tekemiselle valtiovarainministeriön aloitteesta.
Sähköisen asioinnin, perustietotekniikan ja tietoliikenteen sekä näiden tietoturvallisuuden kehittäminen on tärkeätä. Vuoden alussa käyttöönotettu Kansalaisen asiointitili edustaa pitkälle kehiteltyä luotettavaa yhteydenpitokanavaa kansalaisen ja viranomaisen välillä, jonka menestys kansalaisten keskuudessa edellyttää luottamusta viranomaisiin ja viranomaisten sähköisiin palveluihin. Palvelu on tietoturva-auditoitu. Kansalaisten asiointitili on viranomaisten sähköisten palvelujen yhteinen komponentti, jonka käytettävyyttä omissa sähköisissä palveluissa jokaisen viranomaisen tulee selvittää.
Valtiolla ollaan siirtymässä turvallisen sisäverkon piiriin ja parantamassa tältä osin perustietotekniikan turvallisuuden tasoa. Valtionhallinnon työasemapalvelu rakennetaan vaiheittain osana toimialariippumattomia ICT-palveluja. Tavoitteena on, että kaikki virastot siirtyvät yhteisen työasemapalvelun käyttäjiksi vuodesta 2013 alkaen. Sekä perustasoa että erityistarpeita varten tuotetaan omat erilliset ratkaisut kattaen korkean varautumisen ja tietoturvallisuuden tasot. Puhelinratkaisuissa VM suosittaa Hanselin ja Elisan väliaikaisen sopimuksen käyttämistä. Korkean varautumistason puhelinliikenne voidaan hoitaa poikkeustilanteissa TUVE-verkon kautta.
Valtioneuvoston asettamassa turvallisuusverkkohankkeessa (TUVE) toteutetaan valtion ylimmälle johdolle ja turvallisuusviranomaiskäyttäjille oma turvallinen, korkean varautumistason suojattu tietoliikenneverkko ja toimintaympäristö. TUVE-infrastuktuuri parantaa tulevaisuudessa mahdollisuuksia suojausluokitellun tiedon siirrossa ja käsittelyssä sekä tilannekuvatoiminnallisuuksien kehittämisessä.
Hyvät kuulijat,
Valtionhallinnon tietoturvallisuuden kehittämisen painopisteitä ovat johtaminen, kokonaisvaltaisuus, ennaltaehkäisy ja varautuminen sekä tiedon ja sen arvon suojaaminen. Tietoturvallisuuden ja varautumisen nivominen johtamiseen on edellytys muiden painopisteiden tehokkaalle kehittämiselle. Hallinto- ja kuntaministeri Henna Virkkunen on vahvistanut uudet johdon tietoturvaoppaan ja hankintojen tietoturvaohjeen käytettäväksi organisaatioiden tietoturvatyön ja kulttuurin vahvistamisessa.
Hallitusohjelmaan on kirjattu useita sellaisia kehittämiskohteita, joilla on oleellista merkitystä valtion tietoturvallisuuden kehittämiseen. Tällaisia ovat uusi vaikuttavuusohjelma sekä hallinnon, viestinnän ja ICT:n kehittämiseen kirjatut kehittämiskohteet. Tärkeätä on varmistaa tietoturvallisuus- ja varautumisnäkökulmien sisällyttäminen keskeisiin toimintojen, organisaatioiden ja ICT:n uudistuskohteisiin. Esimerkkejä muista keskeisistä tietoturvallisuuden lähivuosien kehittämiskohteista ovat riskienhallinnan kehittäminen, tietoturvaosaamisen vahvistaminen, tietoturva-auditointien lisääminen sekä valtionhallinnon ympärivuorokautisen tietoturvatoiminnan ja valvonnan suunnittelu ja toteuttaminen.
Hyvät seminaariin osallistujat,
Tietoturvallisuus edellyttää organisaatioilta riittävää panostusta, osaamistaja resursointia sekä aktiivista osallistumista valtionhallinnon ja tehtäviensä mukaiseen kansainväliseen yhteistyöhön. Suomen vahvuuksia ovat hallinnon laaja-alainen yhteistyö sekä kattava ohjeistus ja korkeatasoinen asiantuntemus. VAHTIn rooli tässä on keskeinen. Tämä jokavuotiseksi perinteeksi muodostunut tilaisuus tukee osaltaan hallinnon hyvää tietoturvayhteistyötä.Toivotan menestyksellistä ja antoisaa VAHTIn teemapäivää kaikille osallistujille!