Informationssäkerheten inom statsförvaltningen: Nivån etablerad, skadeprogrammens verkningar ökar
Den positiva informations- och cybersäkerhetsutvecklingen inom statsförvaltningen utjämnades i fjol. Läget förbättrades kontinuerligt 2010-2014 tack vare informationssäkerhetsförordningen som trädde i kraft 2010. Skadeprogram som påverkat verksamheten förekom däremot oftare än tidigare, framgår av statsförvaltningens årliga informationssäkerhetsenkät. Enkäten beställdes av ledningsgruppen för informations- och cybersäkerheten inom statsförvaltningen (VAHTI).
Följande delområden inom informationssäkerheten sköttes med hundraprocentig täckning inom statsförvaltningen under 2015: organisationen har en deltids- eller heltidssysselsatt informationssäkerhetsansvarig, allvarliga informationssäkerhetsavvikelser rapporteras åt ledningen, användningen av svaga lösenord förhindras (98 % tidigare) och behandlingen av informationssäkerhetsavvikelser har organiserats eller ansvarsfördelats (97 % tidigare).
Delområden som utvecklats mest: |
2015 |
2014 |
|---|---|---|
Återhämtningsplan |
71 % |
57 % |
Informationssäkerhetsrisker behandlas i utlåtandet om utvärdering och bekräftelse om ledningens interna tillsyn och riskhantering |
81 % |
70 % |
Informationssäkerhetutvärdering av de viktigaste informationssystemen |
86 % |
77 % |
Utvärdering och dokumentering av riskerna inom kärnfunktionerna |
76 % |
67 % |
Beredskapsplan |
78 % |
72 % |
Delområdena som har en koppling till beredskap inför störningar i verksamheten utvecklades synnerligen väl, vilket illustreras av det ökade antalet återhämtnings- och beredskapsplaner.
De delområden som försvagats mest: |
2015 |
2014 |
|---|---|---|
Registerbeskrivningar på webbplatsen |
54 % |
65 % |
Informationssäkerheten har utvärderats med hänsyn till VAHTI-anvisningar/standarder |
82 % |
92 % |
IDS i bruk |
59 % |
69 % |
Det klart svagaste enskilda resultatet gällde övningen av kontinuitetsplaner, även om resultatet även där förbättrades från året innan. År 2015 övades kontinuitetsplaner i 22 procent av organisationerna och året innan i 18 procent.
Betydande utveckling på längre sikt
Informationssäkerheten inom statsförvaltningen har utvecklats i betydande mån på längre sikt, vilket bl.a. beror på verkställandet av informationssäkerhetsförordningen. Medeltalet av resultaten har enligt mätarna som använts i enkäten höjts med 11 procent från 2010 (2010: 70 %, 2015 81 %). I fjol uppskattades informationssäkerheten ha försämrats något som helhet, vilket delvis berodde på strukturella förändringar inom produceringen av statsförvaltningens IKT-tjänster.
Skadeprogrammens inverkan har ökat markant
Skadeprogram förekom betydligt oftare inom statsförvaltningen år 2015 än år 2014. System eller delar av dem var ur användning på grund av skadeprogram hos 36 procent av besvararna (2014: 10 %).
Antalet observerade angrepp var något mindre än året innan. 19 procent av besvararna observerade externa angrepp som orsakade särskilda åtgärder (2014: 22 %). Ca 10 procent (2014: 12 %) av organisationerna inom statsförvaltningen rapporterade om riktade angrepp. Observeringen av och reageringen på angrepp har förbättrats något, men förbättrandet av förmågan hör till de viktigaste uppgifterna under de kommande åren.
Den administrativa och tekniska informationssäkerheten bör utvecklas
Majoriteten av organisationerna har uppnått den grundnivå för den administrativa informationssäkerheten som förutsätts i informationssäkerhetsförordningen. För att nuläget ska kunna bevaras och de delområden som kräver utveckling förbättras behövs kontinuerlig utveckling med vars hjälp man bland annat ser till att kraven uppfylls.
I fjol förhindrade skadeprogrammen användning av systemen i större omfattning än någonsin under mätperioden som inleddes 2002. Denna omständighet förutsätter riskbedömning som krävs av den förändrade hotsituationen samt kontinuerlig utveckling av den tekniska informationssäkerheten. Dessutom krävs regelbunden förbättring av personalens medvetenhet om de kontinuerligt uppkommande nya hoten.
Kommunernas informationssäkerhet utvecklas också
Informations- och cybersäkerhetsenkäten skickades även till kommunerna hösten 2015. Inom statsförvaltningen har 100 % av besvararna utsett en informationssäkerhetsansvarig antingen på hel- eller på deltid, hos kommunerna var motsvarande siffra 59 %. Inom statsförvaltningen hade 42 % av svararna en heltidssysselsatt informationssäkerhetsansvarig, och hos kommunerna var motsvarande siffra 18 %. Den största utmaningen för kommunerna består i deras oenhetlighet, bl.a. när det gäller personal- och andra resurser som finns tillgängliga för informations- och cybersäkerhetsverksamheten.
Följande delområden har förverkligats bäst i kommunerna: |
|
|---|---|
Organisationen har kommit överens om principerna för hantering av användarrättigheter |
90 % |
Organisationens ledning informeras omedelbart om allvarliga informationssäkerhetsavvikelser |
89 % |
Organisationen har identifierat och separerat de delar i datanätet som kräver olika skyddsnivåer, och trafiken mellan nätverk på olika skyddsnivåer begränsas och filtreras |
89 % |
Separata verksamhetsomgivningar för informationsbehandling och de tillhörande systemen och funktionerna har identifierats |
86 % |
Beviljandet, ändrandet och borttagningen av koder och rättigheter har organiserats och ansvarsfördelats i enlighet med principerna för hanteringen. |
86 % |
Följande delområden kräver mest utveckling i kommunerna: |
|
|---|---|
Organisationen tillämpar ett säkerhetsutredningsförfarande |
19 % |
Organisationens IKT-kontinuitetsplan har övats |
19 % |
Alla mobilterminaler har en skyddslösning |
23 % |
Organisationens ledning får regelbundna rapporter om informations- och cybersäkerheten |
28 % |
Kommunernas informations- och cybersäkerhet stöds i år genom att kommunerna rekommenderas till att ta i bruk de lärdomar, handlingsmodeller och goda praxis som insamlats inom statsförvaltningen.
Enkätresultaten publiceras i sin helhet senare under våren i samband med VAHTIs verksamhetsberättelse.
Ytterligare information:
Aku Hilve, ordförande för VAHTI, tfn 02955 30088, fornamn.efternamn(at)vm.fi
Kimmo Rousku, VAHTI-generalsekretare, tfn 02955 30140, fornamn.efternamn(at)vm.fi
Ledningsgruppen för cybersäkerheten inom statsförvaltningens VAHTI är ett organ för styrningen, samarbetet och utvecklingen av informations- och cybersäkerheten inom den offentliga förvaltningen.