FI SV EN

Digitaalisen ja kyberturvallisuuden kehittäminen julkisessa hallinnossa

Valtiovarainministeriön tehtäviin kuuluu julkisen hallinnon tietoturvallisuuden yleinen kehittäminen. Tässä roolissa valtiovarainministeriö osallistuu mm. kansallisen kyberturvallisuusstrategian kehittämiseen sekä tieto- ja kyberturvallisuuden lainsäädännön kehittämiseen (mm. valmiuslainsäädäntö, tietojärjestelmien arviointilainsäädäntö, EU:n kyberturvallisuusdirektiivin (NIS2) kansallinen toimeenpano). 

Viime vuosina kehittämisen painopisteinä on ollut mm. yhteisten tieto- ja viestintäteknisten palveluiden häiriöhallinnan ja varautumisen kehittäminen sekä tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla (Titukri).

Valtiovarainministeriö kehittää julkisen hallinnon kyberturvallisuuden tilannekuvan muodostamista muiden viranomaisten ohella ja on tuke-massa Digi- ja väestötietoviraston digiturvapalvelujen ja -tietopalvelujen kehittämistä ja käyttöä kuten:
-    Digiturvan kokonaiskuvapalvelu
-    Digiturvan riskienhallintatieto
-    Digiturvabarometri

Suomen Kyberturvallisuusstrategia 2024-2035 vie kyberturvallisuuden vahvemmin osaksi kokonaisturvallisuuden mallia. Siinä kuvatut kyberturvallisuuden strategiset tavoitteet ja kehittämisehdotukset kattavat julkisen hallinnon digi- ja kyberturvallisuuden keskeiset päämärät ja kehittämistarpeet. Strategian toimeenpanosuunnitelmaan on tarkoitus sisällyttää merkittäviä julkisen hallinnon kyberturvallisuuden edistämiseksi tarvittavia toimenpiteitä ja tavoitteita. Julkisten palveluiden digi- ja kyberturvallisuuden edistämistä toteutetaan Suomen Digitaalisen kompassin toimeenpanosuunnitelman 2024 Kokonaisturvalliset julkiset palvelut -tavoitteen toimenpiteiden mukaisesti.

Vuosina 2020-2023 Julkisen hallinnon digitaalista turvallisuutta edistettiin digitaalisen turvallisuuden periaatepäätöksen toimeenpanosuunnitelmassa 2020-2023 kuvatussa Haukka-hankkeessa.  Hanke on paran-tanut digiturvaosaamista ja -tietoisuutta harjoitusten, koulutusten ja digiturvatilaisuuksien avulla, vahvistanut digiturvan strategiatyötä ja strategisten digiriskien hallintaa, tuottanut digiturvan kehittämiseksi konkreettisia apuvälineitä sekä toteuttanut digi- ja kyberturvallisuutta paran-tavia pilottihankkeita erityisesti kunnissa.

Haukka-hankkeen loppuraportissa ja sen liitteenä olevassa Haukka-hankkeen vaikuttavuuden arviointiraportissa kuvataan hankkeen tuotoksia ja niiden vaikuttavuutta tarkemmin. 

Julkisen hallinnon kyber- ja digitaalisen turvallisuuden kansainvälisessä yhteistyössä painopisteenä ovat yhteistyö EU:n, Naton ja OECD:n kanssa sekä vuorovaikutus kansainvälisen tutkimusyhteisön kanssa. 

Raportteja ja muita julkaisuja

Digitaalisen turvallisuuden kansainvälinen vertailu

Valtiovarainministeriö hankki julkisen hallinnon digitaalisen turvallisuuden kehittämistä varten kansainvälisen vertailuselvityksen. Selvityksessä arvioitiin Suomeen verrattuna digitaalisen turvallisuuden ohjausta, tehtäviä, rakenteita, riskejä ja resursseja Alankomaissa, Australiassa, Iso-Britanniassa, Israelissa, Ruotsissa, Saksassa, Venäjällä ja Virossa.

Vertailutieto kerättiin verrokkivaltioiden julkisista dokumenteista perustuen valtiovarainministeriön ja selvityksen tekijän yhdessä laatimiin kysymyksiin. Vertailussa hyödynnettiin kansainvälisiä digitalisoitumisen edistymisen, kyberturvallisuuden ja muutosvalmiuden arviointeja. Vertailua on käytetty yhtenä lähtöaineistona julkisen hallinnon digitaalisen turvallisuuden kehittämisen periaatteiden valmistelussa ja jatkossa sitä käytetään kehittämistehtävien suunnittelussa ja toteutuksessa.

Digitaalisen turvallisuuden kustannusvaikuttavuusraportti

Valtiovarainministeriössä selvitettiin digitaalisen turvallisuuden kustannus-vaikuttavuutta. Selvityksessä ehdotetaan, että digitaalisen turvallisuuden kustannusvaikuttavuuden arviointi perustuisi virastojen vuosittain ylläpitämiin riskiarviointeihin sekä toiminnallisiin indikaattoreihin. Riskiarviointeihin sisällytettäisiin jokaisen merkittävän riskin arviointi myös digitaalisen turvallisuuden näkökulmasta kuvaamalla riskin todennäköisyys ja vaikutus ja riskien realisoitumisen aiheuttamat potentiaaliset menetykset sekä suojaustoimet ja niiden vaikutuksia riskiin.

Tavoitteena on riskianalyysin perusteella kohdistaa digitaalisen turvallisuuden investoinnit olennaisten riskien torjumiseksi. Toiminnallisten indikaattoreiden avulla mitattaisiin tavoitteita, joiden synnyttämiä hyötyjä ei voida arvioida euromääräisesti. 

Kuntien digitaalisen turvallisuuden riskikyselyn tulokset

Valtiovarainministeriö toteutti syksyllä 2020 riskikyselyn kuntien digitaalisesta turvallisuudesta. Kyselyyn vastasi 73 kuntaa. Vastausten perusteella kuntien merkittävimmät digitaalisen turvallisuuden riskit liittyvät laajojen tietoturvaloukkausten hallintaan ja niiden johdosta mahdollisesti toteutuvaan erityisten henkilötietojen vuotamiseen, sekä siihen että toimialasta vastaava johto ei toteuteta riskienhallinnan kautta tunnistettuja riskienhallintatoimenpiteitä. Vaikutuksiltaan suurimmiksi riskeiksi arvioitiin häiriötilanteiden jälkeiseen tietojen palauttamiseen, häiriötilanteiden harjoittelemattomuuteen, sekä kriittisten tietovarantojen tietojen käsittelyyn ja siirtoon liittyvät turvallisuusriskit. Selvityksessä on esitetty toimenpiteitä riskien pienentämiseksi.

Selvitys digitaalisen turvallisuuden arviointitoiminnan nykytilasta ja kehitystarpeista

Valtiovarainministeriössä on Haukka-hankkeessa selvitetty digitaalisen turvallisuuden arvioinnin nykytilaa ja kehitysehdotuksia. Selvityksessä kuvataan julkisen hallinnon digitaalisen turvallisuuden arvioinnin tunnistettuja haasteita ja esitetään näitä korjaavia kehitystoimenpiteitä. Julkisen hallinnon digitaalisten palvelujen turvallisuus edellyttää nykyistä kattavampaa turvallisuusajattelua. Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1046/2011) painopisteenä on teknisen tietoturvallisuuden arviointi. Turvallisuuden riittävän tason määrittely kuitenkin edellyttää, että kaikille digitaalisen turvallisuuden osa-alueille säädetään vähimmäisvaatimukset ja niiden perusteella määritetään kriteeristö, jonka avulla vähimmäisvaatimusten toteutuminen tai muu vaatimustenmukaisuus voidaan todeta luotettavasti.

Esiselvitys Julkisen hallinnon digitaalisen turvallisuuden kriteeristö

Valtiovarainministeriön Haukka-hankkeessa on selvitetty julkisen hallinnon digitaalisen turvallisuuden arviointikriteeristön perusteita. Julkisen hallinnon tietojärjestelmien ja palvelujen turvallisuuden arvioinnissa käytettävässä arviointikriteeristössä tulisi määritellä kaikkien digitaalisen turvallisuuden alueiden osalta vähimmäiskriteerit, joiden avulla palveluja arvioidaan. Lisäksi arviointikriteeristössä kuvattaisiin missä tilanteissa, mihin riskeihin vastaten, millä perusteilla ja millä digitaalisen turvallisuuden alueilla tarvittaisiin vähimmäistason ylittäviä kriteerejä. Tulisi myös kuvata mitä nämä tilanteet, riskit, perusteet ja kriteerit ovat. Arviointikriteeristön tulisi soveltua sekä palvelujen kehittämisen aikana tehtäviin arviointeihin, hankintavaiheessa palvelulle asetettujen vaatimusten todentamiseen, että käytön aikaisiin arviointeihin. Oppivien ja itsenäisesti kehittyvien järjestelmien laajenevan käytön myötä tarvitaan myös näitä järjestelmiä koskevia arviointikriteerejä.

Esiselvitys Digitaalisen turvallisuuden kunta-valtio yhteistoimintamalli

Valtiovarainministeriön Haukka-hankkeessa on selvitetty digitaalisen turvallisuuden kunta-valtio yhteistoimintamallia. Esiselvityksen tuloksena todetaan, että nykytilassa digitaalisen turvallisuuden yhteistoiminta valtion ja kuntien välillä rakentuu usealla eri tavalla, ja selkeä yhteistoiminnan malli puuttuu. Jatkotehtävänä onkin Haukka-hankkeessa laatia digitaalisen turvallisuuden kunta-valtio yhteistoiminta- ja hallintamalli. Tähän liittyen myös selvitetään valtion viranomaisten ja aluehallintoviranomaisten tuen järjestämistä kunnille digitaalisen turvallisuuden kehittämisessä ja häiriötilanteissa. Hyvinvointialueisiin liittyvien säädösten tultua voimaan myös selvitetään digitaalisen turvallisuuden valtio-hyvinvointialue-kunta yhteistoimintamallia sekä tukea hyvinvointialueille digitaalisen turvallisuuden toimintamallien toteuttamisessa.  

Julkisen hallinnon digitaalisen turvallisuuden arkkitehtuuri

Valtiovarainministeriön Haukka-hankkeessa on arvioitu julkisen hallinnon digitaalisen turvallisuuden arkkitehtuurin nykytilaa ja valmisteltu  ehdotuksia sen kehittämiseksi. Selvityksen perusteella sekä digitaalisen turvallisuuden kypsyyden arviointi, että digitaalisen turvallisuuden arkkitehtuurin käsite ja toteuttaminen ovat haasteellisia. Digitalisaation nopea kehittyminen, digitaalisen turvallisuuden ja digitaalisen turvallisuuden arkkitehtuurin määritelmien kirjo sekä asiantuntijoiden niukkuus vaikuttavat digitaalisen turvallisuuden tilasta muodostuvaan kokonaiskuvaan. Digitaalisen turvallisuuden ja digitaalisen turvallisuuden arkkitehtuurin käsitteitä ehdotetaan selkiytettäviksi. Digitaalisen turvallisuuden arkkitehtuurin sisällön suunnittelun tueksi ehdotetaan käytettäväksi laajasti tunnettua kriittisen infrastruktuurin kyberturvallisuuden parantamiseen tähtäävää NIST Cybersecurity Framework –viitekehystä. Julkisen hallinnon digitaalisen turvallisuuden kypsyyden arviointia esitetään jatkossa säännöllisesti toteutettavaksi. Keskeisenä tavoitteena on jatkuvuuden hallinnan turvaaminen sekä riskien ja uhkien tunnistamisen hallinta. Kaikkien kuntien tulisi saavuttaa vähintään digitaalisen turvallisuuden kypsyystaso kolme vuoden 2023 lopussa. 

Julkisen digiturvakompassin yhteenvetoraportti

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on laadittu yhteenveto vuosien 2020-2021 #digiturvakompassi-podcastien numero 1-21 keskeisestä sisällöstä. Podcast-vierailta kysyttiin mm. heidän näkemyksestään luottamuksesta ja kuinka sitä voitaisiin ylläpitää ja kehittää digitaalisen turvallisuuden osalta. Keskeiseksi nousi instituutioihin ja organisaatioihin kohdistettu yhteiskunnallinen luottamus, jota viranomaisten tulee rakentaa ja vaalia. Podcast-vierailla oli myös lukuisia vinkkejä varmistaa digitaalinen turvallisuus omassa elämässä. Podcast-vieraat painottivat erityisesti oikeanlaista asennoitumista toimimiseen digimaailmassa ja siellä kohdattaviin haasteisiin sekä ymmärryksen lisäämiseen käytännön tasolla. 

Selvitys digitaalisen turvallisuuden kansainvälisestä arviointilainsäädännöstä

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on selvitetty kansainvälisen digitaalisen turvallisuuden arviointilainsäädäntöä, tarkastusjärjestelyjä ja toiminnassa käytettäviä standardeja. Verrokkivaltioina olivat Tanska, Ruotsi, Viro, Saksa, Alankomaat ja Singapore. Selvityksen perusteella näillä valtioilla, mukaan lukien Suomi, ei ole EU-säädösten lisäksi yhtenäistä lainsäädäntöä tällä alueella, vaan käytännöt vaihtelevat. Selvityksessä ehdotetaan, että tulevaisuudessa tietojärjestelmiä ja palveluita arvioitaisiin säännöllisesti niiden elinkaaren aikana ja pidettäisiin huolta, että arvioinnissa käytettävät kriteerit olisivat linjassa kansainvälisten standardien kanssa. Ehdotetaan myös, että arviointilaitosten lisäksi myös arviointitoiminnassa mukana olevat henkilöt sertifioitaisiin, huomioiden kuitenkin että tällainen sertifikaatti ei korvaa kokemusta tarkastamistoiminnasta ja esimerkiksi teknisestä tietoturvasta.

Digitaalisen turvallisuuden palvelujen tiekarttasuunnitelma kunnille

Yhtenä Haukka-hankkeen tehtävänä on ylläpitää kuntien digitaalisen turvallisuuden kehittämisen tiekarttaa ja seurata sen toteutumista.  Tiekartan tuottamisesta vastaa Digi- ja väestötietovirasto ja valtiovarainministeriö on perustanut työn tukemiseksi kunnille tarkoitettujen digitaalista turvallisuutta edistävien palvelujen koordinaatioryhmän.  Ryhmässä on jäseninä palvelujen järjestämisestä, kehittämisestä ja tuottamisesta vastaavia ministeriöitä, virastoja, kuntia ja yhteisöjä. Tiekartasta on julkaistu 1.2.2022 ensimmäinen suunnitelma.

Selvitys organisaation tietoturvatehtävistä ja niiden organisoimisesta

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on selvitetty organisaatioiden digitaalisen turvallisuuden tehtäviä ja niiden organisoimista. Selvitys on tarkoitettu erityisesti hyvinvointialueille ja kunnille tukemaan niiden turvallisuusvelvoitteiden toteuttamista. Selvityksen perusteella on keväällä 2021 käynnistynyt kunta-valtio jalostamossa selvityksen kohteena olleiden tehtävien tarkempi kuvaaminen osana julkisen hallinnon strategian toteuttamista.   

Digitaalisen turvallisuuden yhteistoiminta- ja hallintamallien kansainvälinen vertailu

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on valmisteltu digitaalisen turvallisuuden yhteistoiminta- ja hallintamallien kansainvälinen vertailu. Siinä on arvioitu Suomeen verrattuna digitaalisen turvallisuuden organisoitumista ja keskitettyjä tehtäviä Alankomaissa, Australiassa, Iso-Britanniassa, Israelissa, Ruotsissa, Saksassa, Venäjällä ja Virossa. Jokaisessa verrokkivaltiossa on muodostettu keskitetty kyberturvallisuustoimija, johon on koottu koko yhteiskuntaa palvelevia digitaalisen turvallisuuden ja kyberturvallisuuden tehtäviä. Alankomaissa, Australiassa ja Isossa-Britanniassa kyberturvallisuustoimija kuuluu osaksi keskitettyä turvallisuusvirastoa. Israelissa keskitetty toimija on suoraan pääministerin, Saksassa sisäministeriön ja Virossa talous- ja viestintäministeriön alaisuudessa toimiva.  Keskitetyn toimijan tehtäviin kuuluvat mm. kyberturvallisuushäiriöiden hallinta (CERT- ja CIRT-toiminta), tietoverkkojen valvonta, ympärivuorokautisen tilannekeskuksen operointi sekä kyberturvallisuuden uhka-arvion muodostaminen ja sen jakaminen. Ne myös antavat neuvontaa ja tuottavat digitaalisen toimintaympäristön turvallisuutta koskevia ohjeita hallinnolle, yrityksille ja yksityishenkilöille, sekä tukevat muita viranomaisia kyberhäiriötilanteiden selvittämisessä ja tutkinnassa.

Digiturvan ohjeiden/suositusten vaikuttavuuden arvioinnin pilotointi

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on pilotoitu digitaalisen turvallisuuden ohjeiden ja suositusten vaikuttavuuden arviointia. Pilotointia varten laadittiin ohjeiden/suositusten vaikuttavuuden arviointikehikko. Sen todettiin soveltuvan hyvin ohjeiden/suositusten vaikuttavuuden arviointiin. Pilotoinnissa arvioitujen neljän suosituksen/ohjeen todettiin vaikuttaneen julkisen hallinnon digitaaliseen turvallisuuteen.  

Haastatteluraportti kunnille suunnatuista digitaalisen turvallisuuden palveluista

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeen yhtenä tavoitteena on kehittää kunnille suunnattuja digitaalisen turvallisuuden palveluita. Palveluiden kehittämiseksi on haastateltu valtiovarainministeriön asettaman kunnille yhteisten digitaalisen turvallisuuden palveluiden koordinaatioryhmän kuntaedustajia ja lisäksi eräitä kuntaomisteisia ICT-yrityksiä. Haastatteluissa kartoitettiin digitaalisen turvallisuuden palveluiden tarpeita, niiden hankintaan ja käyttöönottoon liittyviä tarpeita sekä eri toimijoiden rooleja palvelujen tuottamisessa. Haastattelusta on laadittu oheinen raportti.

Esiselvitys digitaalisen toimintaympäristön tietovarannosta

Valtiovarainministeriön Haukka-hankkeessa on selvitetty digitaaliseen toimintaympäristöön liittyvän kuvailutiedon hallintaa. Tiedonhallintalain mukaan tiedonhallintayksiköiden on ylläpidettävä tiedonhallintamallia, joka kuvaa tiedonhallintayksikössä toimivien viranomaisten tehtävien hoidossa tarvittavaa tiedonhallintaa. Tiedonhallintamalli muodostaa osan siitä informaatiopohjasta, jolla toimintaa kuvataan. Toiminnassa käytetään ja kehitetään tietojärjestelmiä, tietoverkkoja, ohjelmistoja ja näiden välisiä kytkentöjä. Nämä muodostavat digitaalisen omaisuuden kokonaisuuden, jonka kuvaaminen mahdollistaa tuottavan toiminnan ja esimerkiksi auttaa selviämään häiriötilanteista tehokkaasti. Tästä kokonaisuudessa käytetään tässä esiselvityksessä termiä digitaalisen toimintaympäristön tietovaranto.

Julkisen hallinnon digitaalisen turvallisuuden yhteistoiminta- ja hallintamalliselvitys

Valtiovarainministeriön Haukka-hankkeessa on selvitetty julkisen hallinnon digitaalisen turvallisuuden yhteistoiminnan nykytila, tavoitetila sekä keskeisiä ehdotuksia ja kehittämistarpeita. Nykytilassa yhteistoimintaa rajoittavat yhteistoimintakulttuuri, rajalliset resurssit ja osaaminen, turvallisten palvelujen saatavuus, käyttöönotettavuus ja käytettävyys sekä tietojen luokitteluun, jakamiseen ja käyttöön liittyvät lainsäädännölliset ja tekniset rajoitukset. Digitaalisen turvallisuuden yhteistoiminta edellyttää jatkossa yhä vahvempaa osaamista ja yhtenäisempiä toimintatapoja, sekä vahvempaa strategia-, normi-, resurssi- ja informaatio-ohjausta. Digitaalisen turvallisuuden keskeisten vastuiden ja yhteisten toimintamallien tulee olla velvoittavia. Digitaalisen turvallisuuden palvelujen määrittely ja kehittäminen on toteuttava yhdessä. Julkaisun pysyvä URL-osoite on http://urn.fi/URN:ISBN:978-952-367-201-7.

Koneoppiminen digitaalisen turvallisuuden teknisessä valvonnassa

Valtiovarainministeriön Haukka-hankkeessa on laadittu raportti koneoppimisen käytöstä digitaalisen turvallisuuden teknisessä valvonnassa. Raportti kertoo yleistajuisesti mistä koneoppimisessa on kyse ja kuinka tällaista teknologiaa voidaan käyttää digitaalisen turvallisuuden tekniseen valvontaan. Raportissa kerrotaan myös koneoppimisen hyödyntämiseen vaikuttavasta lainsäädännöstä, tekniikan mahdollisuuksista ja riskeistä, mihin suuntaan koneoppiva valvonta on menossa sekä mitä asioita erityisesti koneoppivan järjestelmän hankinnassa tulisi ottaa huomioon.

Yhteystiedot

Tuija Kuusisto, tietohallintoneuvos 
valtiovarainministeriö, Julkisen hallinnon tieto- ja viestintätekninen osasto / Julk ICT, Palveluiden ja turvallisuuden ohjausyksikkö Puhelin:0295530065   Sähköpostiosoite:


Niko Mäkilä, neuvotteleva virkamies 
valtiovarainministeriö, Julkisen hallinnon tieto- ja viestintätekninen osasto / Julk ICT, Palveluiden ja turvallisuuden ohjausyksikkö Puhelin:0295530188   Sähköpostiosoite: