Valtionhallinnon tietoturva: Taso vakiintunut, haittaohjelmien vaikutukset kasvussa
Valtionhallinnon organisaatioiden tieto- ja kyberturvallisuuden hyvä kehitys tasaantui viime vuonna. Vuosina 2010–2014 tilanne parantui jatkuvasti, mikä johtui vuonna 2010 voimaan tulleesta tietoturva-asetuksesta. Toimintaan vaikuttaneita haittaohjelmia sen sijaan esiintyi merkittävästi enemmän kuin aikaisemmin, ilmenee valtionhallinnon vuosittaisesta tietoturvakyselystä. Kyselyn teetti valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI).
Vuonna 2015 valtionhallinnossa hoidettiin sataprosenttisen kattavasti seuraavat tietoturvan osa-alueet: organisaatiossa on osa- tai kokopäiväinen tietoturvavastaava, vakavista tietoturvapoikkeamista raportoidaan johdolle, huonotasoisten salasanojen käyttö estetään (aiemmin 98 %) ja tietoturvapoikkeamien käsittely on organisoitu tai vastuutettu (aiemmin 97 %).
Parhaiten kehittyneitä osa-alueita olivat: | 2015 | 2014 |
---|---|---|
Toipumissuunnitelma | 71 % | 57 % |
Johdon sisäisen valvonnan ja riskienhallinnan arviointi- ja vahvistuslausumassa käsitellään tietoturvariskejä | 81 % | 70 % |
Keskeisten tietojärjestelmien tietoturva-arviointi | 86 % | 77 % |
Ydintoimintojen riskien arviointi ja dokumentointi | 76 % | 67 % |
Valmiussuunnitelma | 78 % | 72 % |
Erityisen hyvin kehittyivät toiminnan häiriöiden varautumiseen liittyvät osa-alueet, mikä näkyy toipumis- ja valmiussuunnitelmien määrän kasvuna.
Eniten heikentyneitä osa-alueita olivat: |
2015 |
2014 |
---|---|---|
Rekisteriselosteet verkkosivuilla |
54 % |
65 % |
Tietoturvallisuus arvioitu VAHTI-ohjeisiin / standardeihin peilaten |
82 % |
92 % |
IDS käytössä |
59 % |
69 % |
Selvästi heikoin yksittäinen tulos saatiin jatkuvuussuunnitelmien harjoittelussa, vaikka tulos paranikin edellisestä vuodesta. Vuonna 2015 jatkuvuussuunnitelmia harjoiteltiin 22 prosentissa organisaatioista ja edellisvuonna 18 prosentissa.
Pitkällä aikavälillä merkittävää kehittymistä
Pitkällä aikavälillä valtionhallinnon tietoturvassa on saavutettu merkittävää kehittymistä, mikä johtuu muun muassa tietoturva-asetuksen toimeenpanosta. Kyselyssä käytetyn mittariston mukaan tulosten keskiarvo on noussut 11 prosenttia vuodesta 2010 (2010: 70 %, 2015: 81 %). Viime vuonna tietoturvan kokonaisuuden arvioitiin hieman laskeneen, minkä arvioidaan johtuvan osittain valtionhallinnon ICT-palveluiden tuottamisessa tapahtuneista rakenteellisista muutoksista.
Haittaohjelmien vaikutus kasvanut merkittävästi
Vuonna 2015 haittaohjelmia esiintyi valtionhallinnossa merkittävästi enemmän kuin vuonna 2014. Järjestelmät tai niiden osat olivat haittaohjelmien takia pois käytöstä 36 prosentilla vastaajista (2014: 10 %).
Hyökkäyksiä havaittiin edellisvuotta hieman vähemmän. Erityistoimia aiheuttaneita ulkopuolisia hyökkäyksiä havaitsi 19 prosenttia vastaajista (2014: 22 %). Noin 10 prosenttia (2014: 12 %) valtionhallinnon organisaatioista raportoi joutuneensa kohdistetun hyökkäyksen kohteeksi. Hyökkäysten havainnointikeinojen määrä ja reagointikyky ovat hiukan parantuneet, mutta kyvykkyyden parantaminen on eräs keskeisimpiä tehtäviä tulevina vuosina.
Hallinnollinen ja tekninen tietoturvallisuus vaativat kehittämistä
Valtaosa organisaatioista on saavuttanut tietoturvallisuusasetuksen edellyttämän hallinnollisen tietoturvallisuuden perustason. Nykytilan säilyttäminen ja kehittämistä vaativien osa-alueiden parantaminen vaativat kuitenkin jatkuvaa kehittämistä, jonka avulla huolehditaan muun muassa vaatimustenmukaisuudesta.
Viime vuoden aikana haittaohjelmat estivät järjestelmien käyttöä enemmän kuin koskaan aiemmin vuodesta 2002 alkaneen mittausjakson aikana. Tämä edellyttää uhkatilanteen muuttumisen vaatimaa riskien arviointia sekä sen perusteella tapahtuvaa jatkuvaa teknisen tietoturvallisuuden kehittämistä. Lisäksi se edellyttää säännöllistä henkilöstön tietoisuuden parantamista koko ajan kehittyvistä uusista uhkista.
Kuntien tietoturvallisuutta kehitetään myös
Tieto- ja kyberturvallisuuskysely toteutettiin myös kunnille syksyllä 2015. Valtionhallinnossa 100 % vastaajista on nimennyt osa- tai päätoimisen tietoturvavastaavan, ja kunnissa 59 % kyselyyn vastanneista. Valtionhallinnossa 42 % vastaajista on päätoiminen tietoturvavastaava, ja vastaava luku kunnissa on 18 %. Keskeisenä haasteena kunnissa on niiden epäyhtenäisyys, muun muassa tieto- ja kyberturvallisuuden toteuttamiseen käytettävissä olevissa henkilö- ja muissa resursseissa.
Kunnissa on toteutettu parhaiten seuraavat osa-alueet: | |
---|---|
Organisaatiossa on sovittu käyttövaltuuksien hallintaperiaatteet | 90 % |
Vakavista tietoturvapoikkeamista kerrotaan organisaation johdolle viivytyksettä | 89 % |
Organisaatiossa on tunnistettu ja eriytetty tietoverkon eri suojaustasoa vaativat osat ja eri suojaustason verkkojen välistä liikennettä rajoitetaan ja suodatetaan | 89 % |
Erilliset tietojenkäsittelyn toimintaympäristöt ja niihin kuuluvat järjestelmät ja toiminnot on tunnistettu | 86 % |
Tunnusten ja valtuuksien myöntö, muuttaminen ja poisto on organisoitu ja vastuutettu käyttövaltuuksien hallintaperiaatteiden mukaisesti | 86 % |
Eniten kehittämistä vaativia osa-alueita kunnissa ovat: | |
---|---|
Organisaatiossa on käytössä turvallisuusselvitysmenettely | 19 % |
Organisaation ICT-jatkuvuussuunnitelmaa on harjoiteltu | 19 % |
Kaikissa mobiilipäätelaitteissa on suojausratkaisu | 23 % |
Tieto- ja kyberturvallisuudesta raportoidaan organisaation johdolle säännöllisesti | 28 % |
Kuntien tieto- ja kyberturvatyötä pyritään tänä vuonna tukemaan siten, että valtiohallinnossa kerättyjä oppeja, toimintamalleja ja hyviä käytäntöjä suositellaan otettavaksi myös kunnissa käyttöön.
Kyselyn tulokset julkaistaan kokonaisuudessaan myöhemmin keväällä VAHTIn toimintakertomuksen yhteydessä.
Lisätietoja:
VAHTIn puheenjohtaja Aku Hilve, puh. 02955 30088, etunimi.sukunimi [at] vm.fi
VAHTI-pääsihteeri Kimmo Rousku, puh. 02955 30140, etunimi.sukunimi [at] vm.fi
Valtiohallinnon tieto- ja kyberturvallisuuden johtoryhmä VAHTI toimii julkisen hallinnon tieto- ja kyberturvallisuuden ohjauksen, yhteistyön ja kehittämisen toimielimenä.