FI SV

Digitaalisen turvallisuuden kehittäminen

Valtiovarainminis­teriön tehtäviin kuuluvat julkisen hallinnon tietopolitiikan, tiedonhallinnan ja sähköisen asioinnin yleiset perusteet. Tähän liittyen valtiovarainministeriö valmistelee julkisen hal­linnon ICT-infrastruktuurin, digitaalisten palveluiden ja tietojen digitaalisen turvallisuuden yleisiä perusteita ja vaatimuksia, sekä julkisen hallinnon digitaalisen turvallisuuden linjauk­sia, säädöksiä ja kehittämisohjelmia ja ohjaa näiden toimeenpanoa, sekä asettaa tarvitta­vat johtoryhmät ja yhteistyöverkostot.

Valtiovarainministeriö on asettanut julkisen hallin­non digitaalisen turvallisuuden strategisen johtoryhmän digitalisoitumisen ja digitaalisen turvallisuuden tasapainoista edistämistä varten.

Valtioneuvoston periaatepäätöksessä 8.4.2020 Julkisen hallinnon digitaalisesta turvallisuudesta määritetään kehittämisen periaatteet ja keskeiset palvelut turvallisuuden edistämiseksi digitaalisessa toimintaympäristössä. Tavoitteena on kokonaisturvallisuuden viitekehyksessä suojata kansalaisia, yhteisöjä ja yhteiskuntaa niiltä riskeiltä ja uhkilta, jotka voivat kohdistua tietoihin, palveluihin ja yhteiskunnantoimintaan digitaalisessa toimintaympäristössä.

Kansalaisten, yritysten ja yhteisöjen tulee voida luottaa eettisesti kestäviin, avointa ja läpinäkyvää toimintaa tukeviin ja turvallisiin julkisenhallinnon palveluihin. Suomi tunnetaan edelläkävijänä sekä yhteiskunnan digitalisoitumisen edellytysten osalta, että kansalaisten ja yhteisöjen digitaalisten palveluiden tarjoajana. Digitalisoitumiseen sekä digitaalisen toiminnan ja palveluiden turvaamiseen on siten panostettava tasapainoisesti.

Julkisen hallinnon digitaalisen turvallisuuden toimeenpanosuunnitelmassa 2020-2023 (Haukka) kuvataan periaatepäätöksen toteuttaminen. Haukka-toimeenpanosuunnitelmaan on valittu 19 tehtävää, joiden avulla kehitetään keskeisiä julkisen hallinnon digitaalisen turvallisuuden palveluita.

Toimeenpanosuunnitelmalla tuetaan myös käynnistymässä olevaa kyberturvallisuusstrategian 2019 kehittämisohjelman valmistelua ja toteuttamista, sekä osaltaan pannaan täytäntöön valtioneuvoston päätöstä huoltovarmuuden tavoitteista (1048/2018). Toimeenpanosuunnitelma valmisteltiin valtiovarainministeriön asettamassa poikkihallinnollisessa koordinaatioryhmässä. Sen toteuttamista ohjaa valtiovarainministeriö. Toteuttamisen kustannukset ovat valtiovarainministeriössä 600 000 euroa, Digi- ja väestötietovirastossa 2 280 000 euroa, sekä Liikenne- ja viestintävirastossa 780 000 euroa, yhteensä 3 660 000 euroa.

Digitaalisen turvallisuuden kansainvälisessä yhteistyössä painopisteenä ovat yhteistyö OECD:n ja EU:n kanssa sekä vuorovaikutus kansainvälisen tutkimusyhteisön kanssa. OECD:ssa toiminta perustuu vuonna 2015 julkaistuun suositukseen Digital Security Risk Management ja siihen vuonna 2019 täydennettyyn suositukseen Digital Security of Critical Activities.

Raportteja ja muita julkaisuja

Digitaalisen turvallisuuden kansainvälinen vertailu

Valtiovarainministeriö hankki julkisen hallinnon digitaalisen turvallisuuden kehittämistä varten kansainvälisen vertailuselvityksen. Selvityksessä arvioitiin Suomeen verrattuna digitaalisen turvallisuuden ohjausta, tehtäviä, rakenteita, riskejä ja resursseja Alankomaissa, Australiassa, Iso-Britanniassa, Israelissa, Ruotsissa, Saksassa, Venäjällä ja Virossa.

Vertailutieto kerättiin verrokkivaltioiden julkisista dokumenteista perustuen valtiovarainministeriön ja selvityksen tekijän yhdessä laatimiin kysymyksiin. Vertailussa hyödynnettiin kansainvälisiä digitalisoitumisen edistymisen, kyberturvallisuuden ja muutosvalmiuden arviointeja. Vertailua on käytetty yhtenä lähtöaineistona julkisen hallinnon digitaalisen turvallisuuden kehittämisen periaatteiden valmistelussa ja jatkossa sitä käytetään kehittämistehtävien suunnittelussa ja toteutuksessa.

Digitaalisen turvallisuuden kustannusvaikuttavuusraportti

Valtiovarainministeriössä selvitettiin digitaalisen turvallisuuden kustannus-vaikuttavuutta. Selvityksessä ehdotetaan, että digitaalisen turvallisuuden kustannusvaikuttavuuden arviointi perustuisi virastojen vuosittain ylläpitämiin riskiarviointeihin sekä toiminnallisiin indikaattoreihin. Riskiarviointeihin sisällytettäisiin jokaisen merkittävän riskin arviointi myös digitaalisen turvallisuuden näkökulmasta kuvaamalla riskin todennäköisyys ja vaikutus ja riskien realisoitumisen aiheuttamat potentiaaliset menetykset sekä suojaustoimet ja niiden vaikutuksia riskiin.

Tavoitteena on riskianalyysin perusteella kohdistaa digitaalisen turvallisuuden investoinnit olennaisten riskien torjumiseksi. Toiminnallisten indikaattoreiden avulla mitattaisiin tavoitteita, joiden synnyttämiä hyötyjä ei voida arvioida euromääräisesti. 

Kuntien digitaalisen turvallisuuden riskikyselyn tulokset

Valtiovarainministeriö toteutti syksyllä 2020 riskikyselyn kuntien digitaalisesta turvallisuudesta. Kyselyyn vastasi 73 kuntaa. Vastausten perusteella kuntien merkittävimmät digitaalisen turvallisuuden riskit liittyvät laajojen tietoturvaloukkausten hallintaan ja niiden johdosta mahdollisesti toteutuvaan erityisten henkilötietojen vuotamiseen, sekä siihen että toimialasta vastaava johto ei toteuteta riskienhallinnan kautta tunnistettuja riskienhallintatoimenpiteitä. Vaikutuksiltaan suurimmiksi riskeiksi arvioitiin häiriötilanteiden jälkeiseen tietojen palauttamiseen, häiriötilanteiden harjoittelemattomuuteen, sekä kriittisten tietovarantojen tietojen käsittelyyn ja siirtoon liittyvät turvallisuusriskit. Selvityksessä on esitetty toimenpiteitä riskien pienentämiseksi.

Selvitys digitaalisen turvallisuuden arviointitoiminnan nykytilasta ja kehitystarpeista

Valtiovarainministeriössä on Haukka-hankkeessa selvitetty digitaalisen turvallisuuden arvioinnin nykytilaa ja kehitysehdotuksia. Selvityksessä kuvataan julkisen hallinnon digitaalisen turvallisuuden arvioinnin tunnistettuja haasteita ja esitetään näitä korjaavia kehitystoimenpiteitä. Julkisen hallinnon digitaalisten palvelujen turvallisuus edellyttää nykyistä kattavampaa turvallisuusajattelua. Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1046/2011) painopisteenä on teknisen tietoturvallisuuden arviointi. Turvallisuuden riittävän tason määrittely kuitenkin edellyttää, että kaikille digitaalisen turvallisuuden osa-alueille säädetään vähimmäisvaatimukset ja niiden perusteella määritetään kriteeristö, jonka avulla vähimmäisvaatimusten toteutuminen tai muu vaatimustenmukaisuus voidaan todeta luotettavasti.

Esiselvitys Julkisen hallinnon digitaalisen turvallisuuden kriteeristö

Valtiovarainministeriön Haukka-hankkeessa on selvitetty julkisen hallinnon digitaalisen turvallisuuden arviointikriteeristön perusteita. Julkisen hallinnon tietojärjestelmien ja palvelujen turvallisuuden arvioinnissa käytettävässä arviointikriteeristössä tulisi määritellä kaikkien digitaalisen turvallisuuden alueiden osalta vähimmäiskriteerit, joiden avulla palveluja arvioidaan. Lisäksi arviointikriteeristössä kuvattaisiin missä tilanteissa, mihin riskeihin vastaten, millä perusteilla ja millä digitaalisen turvallisuuden alueilla tarvittaisiin vähimmäistason ylittäviä kriteerejä. Tulisi myös kuvata mitä nämä tilanteet, riskit, perusteet ja kriteerit ovat. Arviointikriteeristön tulisi soveltua sekä palvelujen kehittämisen aikana tehtäviin arviointeihin, hankintavaiheessa palvelulle asetettujen vaatimusten todentamiseen, että käytön aikaisiin arviointeihin. Oppivien ja itsenäisesti kehittyvien järjestelmien laajenevan käytön myötä tarvitaan myös näitä järjestelmiä koskevia arviointikriteerejä.

Esiselvitys Digitaalisen turvallisuuden kunta-valtio yhteistoimintamalli

Valtiovarainministeriön Haukka-hankkeessa on selvitetty digitaalisen turvallisuuden kunta-valtio yhteistoimintamallia. Esiselvityksen tuloksena todetaan, että nykytilassa digitaalisen turvallisuuden yhteistoiminta valtion ja kuntien välillä rakentuu usealla eri tavalla, ja selkeä yhteistoiminnan malli puuttuu. Jatkotehtävänä onkin Haukka-hankkeessa laatia digitaalisen turvallisuuden kunta-valtio yhteistoiminta- ja hallintamalli. Tähän liittyen myös selvitetään valtion viranomaisten ja aluehallintoviranomaisten tuen järjestämistä kunnille digitaalisen turvallisuuden kehittämisessä ja häiriötilanteissa. Hyvinvointialueisiin liittyvien säädösten tultua voimaan myös selvitetään digitaalisen turvallisuuden valtio-hyvinvointialue-kunta yhteistoimintamallia sekä tukea hyvinvointialueille digitaalisen turvallisuuden toimintamallien toteuttamisessa.  

Julkisen hallinnon digitaalisen turvallisuuden arkkitehtuuri

Valtiovarainministeriön Haukka-hankkeessa on arvioitu julkisen hallinnon digitaalisen turvallisuuden arkkitehtuurin nykytilaa ja valmisteltu  ehdotuksia sen kehittämiseksi. Selvityksen perusteella sekä digitaalisen turvallisuuden kypsyyden arviointi, että digitaalisen turvallisuuden arkkitehtuurin käsite ja toteuttaminen ovat haasteellisia. Digitalisaation nopea kehittyminen, digitaalisen turvallisuuden ja digitaalisen turvallisuuden arkkitehtuurin määritelmien kirjo sekä asiantuntijoiden niukkuus vaikuttavat digitaalisen turvallisuuden tilasta muodostuvaan kokonaiskuvaan. Digitaalisen turvallisuuden ja digitaalisen turvallisuuden arkkitehtuurin käsitteitä ehdotetaan selkiytettäviksi. Digitaalisen turvallisuuden arkkitehtuurin sisällön suunnittelun tueksi ehdotetaan käytettäväksi laajasti tunnettua kriittisen infrastruktuurin kyberturvallisuuden parantamiseen tähtäävää NIST Cybersecurity Framework –viitekehystä. Julkisen hallinnon digitaalisen turvallisuuden kypsyyden arviointia esitetään jatkossa säännöllisesti toteutettavaksi. Keskeisenä tavoitteena on jatkuvuuden hallinnan turvaaminen sekä riskien ja uhkien tunnistamisen hallinta. Kaikkien kuntien tulisi saavuttaa vähintään digitaalisen turvallisuuden kypsyystaso kolme vuoden 2023 lopussa. 

Julkisen digiturvakompassin yhteenvetoraportti

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on laadittu yhteenveto vuosien 2020-2021 #digiturvakompassi-podcastien numero 1-21 keskeisestä sisällöstä. Podcast-vierailta kysyttiin mm. heidän näkemyksestään luottamuksesta ja kuinka sitä voitaisiin ylläpitää ja kehittää digitaalisen turvallisuuden osalta. Keskeiseksi nousi instituutioihin ja organisaatioihin kohdistettu yhteiskunnallinen luottamus, jota viranomaisten tulee rakentaa ja vaalia. Podcast-vierailla oli myös lukuisia vinkkejä varmistaa digitaalinen turvallisuus omassa elämässä. Podcast-vieraat painottivat erityisesti oikeanlaista asennoitumista toimimiseen digimaailmassa ja siellä kohdattaviin haasteisiin sekä ymmärryksen lisäämiseen käytännön tasolla. 

Selvitys digitaalisen turvallisuuden kansainvälisestä arviointilainsäädännöstä

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on selvitetty kansainvälisen digitaalisen turvallisuuden arviointilainsäädäntöä, tarkastusjärjestelyjä ja toiminnassa käytettäviä standardeja. Verrokkivaltioina olivat Tanska, Ruotsi, Viro, Saksa, Alankomaat ja Singapore. Selvityksen perusteella näillä valtioilla, mukaan lukien Suomi, ei ole EU-säädösten lisäksi yhtenäistä lainsäädäntöä tällä alueella, vaan käytännöt vaihtelevat. Selvityksessä ehdotetaan, että tulevaisuudessa tietojärjestelmiä ja palveluita arvioitaisiin säännöllisesti niiden elinkaaren aikana ja pidettäisiin huolta, että arvioinnissa käytettävät kriteerit olisivat linjassa kansainvälisten standardien kanssa. Ehdotetaan myös, että arviointilaitosten lisäksi myös arviointitoiminnassa mukana olevat henkilöt sertifioitaisiin, huomioiden kuitenkin että tällainen sertifikaatti ei korvaa kokemusta tarkastamistoiminnasta ja esimerkiksi teknisestä tietoturvasta.

Digitaalisen turvallisuuden palvelujen tiekarttasuunnitelma kunnille

Yhtenä Haukka-hankkeen tehtävänä on ylläpitää kuntien digitaalisen turvallisuuden kehittämisen tiekarttaa ja seurata sen toteutumista.  Tiekartan tuottamisesta vastaa Digi- ja väestötietovirasto ja valtiovarainministeriö on perustanut työn tukemiseksi kunnille tarkoitettujen digitaalista turvallisuutta edistävien palvelujen koordinaatioryhmän.  Ryhmässä on jäseninä palvelujen järjestämisestä, kehittämisestä ja tuottamisesta vastaavia ministeriöitä, virastoja, kuntia ja yhteisöjä. Tiekartasta on julkaistu 1.2.2022 ensimmäinen suunnitelma.

Selvitys organisaation tietoturvatehtävistä ja niiden organisoimisesta

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on selvitetty organisaatioiden digitaalisen turvallisuuden tehtäviä ja niiden organisoimista. Selvitys on tarkoitettu erityisesti hyvinvointialueille ja kunnille tukemaan niiden turvallisuusvelvoitteiden toteuttamista. Selvityksen perusteella on keväällä 2021 käynnistynyt kunta-valtio jalostamossa selvityksen kohteena olleiden tehtävien tarkempi kuvaaminen osana julkisen hallinnon strategian toteuttamista.   

Digitaalisen turvallisuuden yhteistoiminta- ja hallintamallien kansainvälinen vertailu

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on valmisteltu digitaalisen turvallisuuden yhteistoiminta- ja hallintamallien kansainvälinen vertailu. Siinä on arvioitu Suomeen verrattuna digitaalisen turvallisuuden organisoitumista ja keskitettyjä tehtäviä Alankomaissa, Australiassa, Iso-Britanniassa, Israelissa, Ruotsissa, Saksassa, Venäjällä ja Virossa. Jokaisessa verrokkivaltiossa on muodostettu keskitetty kyberturvallisuustoimija, johon on koottu koko yhteiskuntaa palvelevia digitaalisen turvallisuuden ja kyberturvallisuuden tehtäviä. Alankomaissa, Australiassa ja Isossa-Britanniassa kyberturvallisuustoimija kuuluu osaksi keskitettyä turvallisuusvirastoa. Israelissa keskitetty toimija on suoraan pääministerin, Saksassa sisäministeriön ja Virossa talous- ja viestintäministeriön alaisuudessa toimiva.  Keskitetyn toimijan tehtäviin kuuluvat mm. kyberturvallisuushäiriöiden hallinta (CERT- ja CIRT-toiminta), tietoverkkojen valvonta, ympärivuorokautisen tilannekeskuksen operointi sekä kyberturvallisuuden uhka-arvion muodostaminen ja sen jakaminen. Ne myös antavat neuvontaa ja tuottavat digitaalisen toimintaympäristön turvallisuutta koskevia ohjeita hallinnolle, yrityksille ja yksityishenkilöille, sekä tukevat muita viranomaisia kyberhäiriötilanteiden selvittämisessä ja tutkinnassa.

Digiturvan ohjeiden/suositusten vaikuttavuuden arvioinnin pilotointi

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeessa on pilotoitu digitaalisen turvallisuuden ohjeiden ja suositusten vaikuttavuuden arviointia. Pilotointia varten laadittiin ohjeiden/suositusten vaikuttavuuden arviointikehikko. Sen todettiin soveltuvan hyvin ohjeiden/suositusten vaikuttavuuden arviointiin. Pilotoinnissa arvioitujen neljän suosituksen/ohjeen todettiin vaikuttaneen julkisen hallinnon digitaaliseen turvallisuuteen.  

Haastatteluraportti kunnille suunnatuista digitaalisen turvallisuuden palveluista

Julkisen hallinnon digitaalisen turvallisuuden kehittämisen Haukka-hankkeen yhtenä tavoitteena on kehittää kunnille suunnattuja digitaalisen turvallisuuden palveluita. Palveluiden kehittämiseksi on haastateltu valtiovarainministeriön asettaman kunnille yhteisten digitaalisen turvallisuuden palveluiden koordinaatioryhmän kuntaedustajia ja lisäksi eräitä kuntaomisteisia ICT-yrityksiä. Haastatteluissa kartoitettiin digitaalisen turvallisuuden palveluiden tarpeita, niiden hankintaan ja käyttöönottoon liittyviä tarpeita sekä eri toimijoiden rooleja palvelujen tuottamisessa. Haastattelusta on laadittu oheinen raportti.

Esiselvitys digitaalisen toimintaympäristön tietovarannosta

Valtiovarainministeriön Haukka-hankkeessa on selvitetty digitaaliseen toimintaympäristöön liittyvän kuvailutiedon hallintaa. Tiedonhallintalain mukaan tiedonhallintayksiköiden on ylläpidettävä tiedonhallintamallia, joka kuvaa tiedonhallintayksikössä toimivien viranomaisten tehtävien hoidossa tarvittavaa tiedonhallintaa. Tiedonhallintamalli muodostaa osan siitä informaatiopohjasta, jolla toimintaa kuvataan. Toiminnassa käytetään ja kehitetään tietojärjestelmiä, tietoverkkoja, ohjelmistoja ja näiden välisiä kytkentöjä. Nämä muodostavat digitaalisen omaisuuden kokonaisuuden, jonka kuvaaminen mahdollistaa tuottavan toiminnan ja esimerkiksi auttaa selviämään häiriötilanteista tehokkaasti. Tästä kokonaisuudessa käytetään tässä esiselvityksessä termiä digitaalisen toimintaympäristön tietovaranto.

Julkisen hallinnon digitaalisen turvallisuuden yhteistoiminta- ja hallintamalliselvitys

Valtiovarainministeriön Haukka-hankkeessa on selvitetty julkisen hallinnon digitaalisen turvallisuuden yhteistoiminnan nykytila, tavoitetila sekä keskeisiä ehdotuksia ja kehittämistarpeita. Nykytilassa yhteistoimintaa rajoittavat yhteistoimintakulttuuri, rajalliset resurssit ja osaaminen, turvallisten palvelujen saatavuus, käyttöönotettavuus ja käytettävyys sekä tietojen luokitteluun, jakamiseen ja käyttöön liittyvät lainsäädännölliset ja tekniset rajoitukset. Digitaalisen turvallisuuden yhteistoiminta edellyttää jatkossa yhä vahvempaa osaamista ja yhtenäisempiä toimintatapoja, sekä vahvempaa strategia-, normi-, resurssi- ja informaatio-ohjausta. Digitaalisen turvallisuuden keskeisten vastuiden ja yhteisten toimintamallien tulee olla velvoittavia. Digitaalisen turvallisuuden palvelujen määrittely ja kehittäminen on toteuttava yhdessä. 

Yhteystiedot

Tuija Kuusisto, tietohallintoneuvos 
valtiovarainministeriö, Julkisen hallinnon tieto- ja viestintätekninen osasto / Julk ICT, Palveluiden ja turvallisuuden ohjausyksikkö 0295530121  


Niko Mäkilä, neuvotteleva virkamies 
valtiovarainministeriö, Julkisen hallinnon tieto- ja viestintätekninen osasto / Julk ICT, Palveluiden ja turvallisuuden ohjausyksikkö 0295530188