FI SV

Digitaalisen turvallisuuden kehittäminen

Valtiovarainminis­teriön tehtäviin kuuluvat julkisen hallinnon tietopolitiikan, tiedonhallinnan ja sähköisen asioinnin yleiset perusteet. Tähän liittyen valtiovarainministeriö valmistelee julkisen hal­linnon ICT-infrastruktuurin, digitaalisten palveluiden ja tietojen digitaalisen turvallisuuden yleisiä perusteita ja vaatimuksia, sekä julkisen hallinnon digitaalisen turvallisuuden linjauk­sia, säädöksiä ja kehittämisohjelmia ja ohjaa näiden toimeenpanoa, sekä asettaa tarvitta­vat johtoryhmät ja yhteistyöverkostot.

Valtiovarainministeriö on asettanut julkisen hallin­non digitaalisen turvallisuuden strategisen johtoryhmän digitalisoitumisen ja digitaalisen turvallisuuden tasapainoista edistämistä varten.

Valtioneuvoston periaatepäätöksessä 8.4.2020 Julkisen hallinnon digitaalisesta turvallisuudesta määritetään kehittämisen periaatteet ja keskeiset palvelut turvallisuuden edistämiseksi digitaalisessa toimintaympäristössä. Tavoitteena on kokonaisturvallisuuden viitekehyksessä suojata kansalaisia, yhteisöjä ja yhteiskuntaa niiltä riskeiltä ja uhkilta, jotka voivat kohdistua tietoihin, palveluihin ja yhteiskunnantoimintaan digitaalisessa toimintaympäristössä.

Kansalaisten, yritysten ja yhteisöjen tulee voida luottaa eettisesti kestäviin, avointa ja läpinäkyvää toimintaa tukeviin ja turvallisiin julkisenhallinnon palveluihin. Suomi tunnetaan edelläkävijänä sekä yhteiskunnan digitalisoitumisen edellytysten osalta, että kansalaisten ja yhteisöjen digitaalisten palveluiden tarjoajana. Digitalisoitumiseen sekä digitaalisen toiminnan ja palveluiden turvaamiseen on siten panostettava tasapainoisesti.

Julkisen hallinnon digitaalisen turvallisuuden toimeenpanosuunnitelmassa 2020-2023 (Haukka) kuvataan periaatepäätöksen toteuttaminen. Haukka-toimeenpanosuunnitelmaan on valittu 19 tehtävää, joiden avulla kehitetään keskeisiä julkisen hallinnon digitaalisen turvallisuuden palveluita.

Toimeenpanosuunnitelmalla tuetaan myös käynnistymässä olevaa kyberturvallisuusstrategian 2019 kehittämisohjelman valmistelua ja toteuttamista, sekä osaltaan pannaan täytäntöön valtioneuvoston päätöstä huoltovarmuuden tavoitteista (1048/2018). Toimeenpanosuunnitelma valmisteltiin valtiovarainministeriön asettamassa poikkihallinnollisessa koordinaatioryhmässä. Sen toteuttamista ohjaa valtiovarainministeriö. Toteuttamisen kustannukset ovat valtiovarainministeriössä 600 000 euroa, Digi- ja väestötietovirastossa 2 280 000 euroa, sekä Liikenne- ja viestintävirastossa 780 000 euroa, yhteensä 3 660 000 euroa.

Digitaalisen turvallisuuden kansainvälisessä yhteistyössä painopisteenä ovat yhteistyö OECD:n ja EU:n kanssa sekä vuorovaikutus kansainvälisen tutkimusyhteisön kanssa. OECD:ssa toiminta perustuu vuonna 2015 julkaistuun suositukseen Digital Security Risk Management ja siihen vuonna 2019 täydennettyyn suositukseen Digital Security of Critical Activities.

Valtiovarainministeriö hankki julkisen hallinnon digitaalisen turvallisuuden kehittämistä varten kansainvälisen vertailuselvityksen. Selvityksessä arvioitiin Suomeen verrattuna digitaalisen turvallisuuden ohjausta, tehtäviä, rakenteita, riskejä ja resursseja Alankomaissa, Australiassa, Iso-Britanniassa, Israelissa, Ruotsissa, Saksassa, Venäjällä ja Virossa.

Vertailutieto kerättiin verrokkivaltioiden julkisista dokumenteista perustuen valtiovarainministeriön ja selvityksen tekijän yhdessä laatimiin kysymyksiin. Vertailussa hyödynnettiin kansainvälisiä digitalisoitumisen edistymisen, kyberturvallisuuden ja muutosvalmiuden arviointeja. Vertailua on käytetty yhtenä lähtöaineistona julkisen hallinnon digitaalisen turvallisuuden kehittämisen periaatteiden valmistelussa ja jatkossa sitä käytetään kehittämistehtävien suunnittelussa ja toteutuksessa.

Digitaalisen turvallisuuden kansainvälinen vertailu

Valtiovarainministeriössä selvitettiin digitaalisen turvallisuuden kustannus-vaikuttavuutta. Selvityksessä ehdotetaan, että digitaalisen turvallisuuden kustannus-vaikuttavuuden arviointi perustuisi virastojen vuosittain ylläpitämiin riskiarviointeihin sekä toiminnallisiin indikaattoreihin. Riskiarviointeihin sisällytettäisiin jokaisen merkittävän riskin arviointi myös digitaalisen turvallisuuden näkökulmasta kuvaamalla riskin todennäköisyys ja vaikutus ja riskien realisoitumisen aiheuttamat potentiaaliset menetykset sekä suojaustoimet ja niiden vaikutuksia riskiin.

Tavoitteena on riskianalyysin perusteella kohdistaa digitaalisen turvallisuuden investoinnit olennaisten riskien torjumiseksi. Toiminnallisten indikaattoreiden avulla mitattaisiin tavoitteita, joiden synnyttämiä hyötyjä ei voida arvioida euromääräisesti. 

Digitaalisen turvallisuuden kustannus-vaikuttavuusraportti

Valtiovarainministeriö toteutti syksyllä 2020 riskikyselyn kuntien digitaalisesta turvallisuudesta. Kyselyyn vastasi 73 kuntaa. Vastausten perusteella kuntien merkittävimmät digitaalisen turvallisuuden riskit liittyvät laajojen tietoturvaloukkausten hallintaan ja niiden johdosta mahdollisesti toteutuvaan erityisten henkilötietojen vuotamiseen, sekä siihen että toimialasta vastaava johto ei toteuteta riskienhallinnan kautta tunnistettuja riskienhallintatoimenpiteitä. Vaikutuksiltaan suurimmiksi riskeiksi arvioitiin häiriötilanteiden jälkeiseen tietojen palauttamiseen, häiriötilanteiden harjoittelemattomuuteen, sekä kriittisten tietovarantojen tietojen käsittelyyn ja siirtoon liittyvät turvallisuusriskit. Selvityksessä on esitetty toimenpiteitä riskien pienentämiseksi.

Kuntien digitaalisen turvallisuuden riskikyselyn tulokset

Valtiovarainministeriössä on Haukka-hankkeessa selvitetty digitaalisen turvallisuuden arvioinnin nykytilaa ja kehitysehdotuksia. Selvityksessä kuvataan julkisen hallinnon digitaalisen turvallisuuden arvioinnin tunnistettuja haasteita ja esitetään näitä korjaavia kehitystoimenpiteitä. Julkisen hallinnon digitaalisten palvelujen turvallisuus edellyttää nykyistä kattavampaa turvallisuusajattelua. Viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1046/2011) painopisteenä on teknisen tietoturvallisuuden arviointi. Turvallisuuden riittävän tason määrittely kuitenkin edellyttää, että kaikille digitaalisen turvallisuuden osa-alueille säädetään vähimmäisvaatimukset ja niiden perusteella määritetään kriteeristö, jonka avulla vähimmäisvaatimusten toteutuminen tai muu vaatimustenmukaisuus voidaan todeta luotettavasti.

Selvitys digitaalisen turvallisuuden arviointitoiminnan nykytilasta ja kehitystarpeista 

Valtiovarainministeriön Haukka-hankkeessa on selvitetty julkisen hallinnon digitaalisen turvallisuuden arviointikriteeristön perusteita. Julkisen hallinnon tietojärjestelmien ja palvelujen turvallisuuden arvioinnissa käytettävässä arviointikriteeristössä tulisi määritellä kaikkien digitaalisen turvallisuuden alueiden osalta vähimmäiskriteerit, joiden avulla palveluja arvioidaan. Lisäksi arviointikriteeristössä kuvattaisiin missä tilanteissa, mihin riskeihin vastaten, millä perusteilla ja millä digitaalisen turvallisuuden alueilla tarvittaisiin vähimmäistason ylittäviä kriteerejä. Tulisi myös kuvata mitä nämä tilanteet, riskit, perusteet ja kriteerit ovat. Arviointikriteeristön tulisi soveltua sekä palvelujen kehittämisen aikana tehtäviin arviointeihin, hankintavaiheessa palvelulle asetettujen vaatimusten todentamiseen, että käytön aikaisiin arviointeihin. Oppivien ja itsenäisesti kehittyvien järjestelmien laajenevan käytön myötä tarvitaan myös näitä järjestelmiä koskevia arviointikriteerejä.

Esiselvitys Julkisen hallinnon digitaalisen turvallisuuden kriteeristö

Valtiovarainministeriön Haukka-hankkeessa on selvitetty digitaalisen turvallisuuden kunta-valtio yhteistoimintamallia. Esiselvityksen tuloksena todetaan, että nykytilassa digitaalisen turvallisuuden yhteistoiminta valtion ja kuntien välillä rakentuu usealla eri tavalla, ja selkeä yhteistoiminnan malli puuttuu. Jatkotehtävänä onkin Haukka-hankkeessa laatia digitaalisen turvallisuuden kunta-valtio yhteistoiminta- ja hallintamalli. Tähän liittyen myös selvitetään valtion viranomaisten ja aluehallintoviranomaisten tuen järjestämistä kunnille digitaalisen turvallisuuden kehittämisessä ja häiriötilanteissa. Hyvinvointialueisiin liittyvien säädösten tultua voimaan myös selvitetään digitaalisen turvallisuuden valtio-hyvinvointialue-kunta yhteistoimintamallia sekä tukea hyvinvointialueille digitaalisen turvallisuuden toimintamallien toteuttamisessa.  

Esiselvitys Digitaalisen turvallisuuden kunta-valtio yhteistoimintamalli

Valtiovarainministeriön Haukka-hankkeessa on arvioitu julkisen hallinnon digitaalisen turvallisuuden arkkitehtuurin nykytilaa ja valmisteltu  ehdotuksia sen kehittämiseksi. Selvityksen perusteella sekä digitaalisen turvallisuuden kypsyyden arviointi, että digitaalisen turvallisuuden arkkitehtuurin käsite ja toteuttaminen ovat haasteellisia. Digitalisaation nopea kehittyminen, digitaalisen turvallisuuden ja digitaalisen turvallisuuden arkkitehtuurin määritelmien kirjo sekä asiantuntijoiden niukkuus vaikuttavat digitaalisen turvallisuuden tilasta muodostuvaan kokonaiskuvaan. Digitaalisen turvallisuuden ja digitaalisen turvallisuuden arkkitehtuurin käsitteitä ehdotetaan selkiytettäviksi. Digitaalisen turvallisuuden arkkitehtuurin sisällön suunnittelun tueksi ehdotetaan käytettäväksi laajasti tunnettua kriittisen infrastruktuurin kyberturvallisuuden parantamiseen tähtäävää NIST Cybersecurity Framework –viitekehystä. Julkisen hallinnon digitaalisen turvallisuuden kypsyyden arviointia esitetään jatkossa säännöllisesti toteutettavaksi. Keskeisenä tavoitteena on jatkuvuuden hallinnan turvaaminen sekä riskien ja uhkien tunnistamisen hallinta. Kaikkien kuntien tulisi saavuttaa vähintään digitaalisen turvallisuuden kypsyystaso kolme vuoden 2023 lopussa. 

Julkisen hallinnon digitaalisen turvallisuuden arkkitehtuuri

Yhteystiedot

Tuija Kuusisto, tietohallintoneuvos 
valtiovarainministeriö, Julkisen hallinnon tieto- ja viestintätekninen osasto / Julk ICT, Palveluiden ja turvallisuuden ohjausyksikkö 0295530121