Utvecklingen av den digitala säkerheten och cybersäkerheten inom den offntliga förvaltningen
Till finansministeriets uppgifter hör att allmänt utveckla informationssäkerheten inom den offentliga förvaltningen. I denna roll deltar finansministeriet bland annat i utvecklandet av den nationella cybersäkerhetsstrategin och av lagstiftningen om informations- och cybersäkerhet. (bland annat beredskapslagstiftningen, lagstiftningen om utvärde-ring av informationssystem, det nationella genomförandet av EU:s cybersäkerhetsdirektiv (NIS2)).
Under de senaste åren har det bland annat satsats på att förbättra stör-ningshanteringen och beredskapen i fråga om gemensamma informat-ions- och kommunikationstekniska tjänster samt på att förbättra informationssäkerheten och datasäkerheten inom kritiska samhällssektorer (Titukri).
Finansministeriet utvecklar vid sidan av andra myndigheter sammanställandet av en lägesbild av cybersäkerheten inom den offentliga förvaltningen och stöder utvecklandet och användningen av digitala säkerhetstjänster och informationstjänster vid myndigheten för digitalisering och befolkningsdata, såsom
- Tjänster för en samlad lägesbild av den digitala säkerheten
- Riskkontroll för den digitala säkerheten
- Barometern för den digitala säkerheten
Strategin för cybersäkerhet 2024–2035 kopplar cybersäkerheten starkare till modellen för övergripande säkerhet. De strategiska målen och utvecklingsförslagen för cybersäkerheten omfattar de centrala riktlinjerna och utvecklingsbehoven för digitaliserings- och cybersäkerheten inom den offentliga förvaltningen. Avsikten är att i planen för genomförande av strategin ta in betydande åtgärder och mål som behövs för att främja cybersäkerheten inom den offentliga förvaltningen. Arbetet med att främja den digitala säkerheten och cybersäkerheten inom den offentliga förvalt-ningen sker i enlighet åtgärderna i planen för genomförande av Finlands digitala kompass och dess mål för att tillhandahålla offentliga tjänster med övergripande säkerhet.
Åren 2020–2023 främjades den digitala säkerheten inom den offentliga förvaltningen genom Haukka-projektet, som beskrivs i genomförandeplanen för principbeslutet om digital säkerhet 2020–2023. Projektet har ökat kompetensen och medvetenheten i fråga om digital säkerhet genom övningar, utbildningar och evenemang om digital säkerhet, stärkt strategiarbetet för digital säkerhet och hanteringen av strategiska digitala risker, tagit fram konkreta verktyg för utveckling av den digitala säkerheten samt genomfört pilotprojekt som förbättrar den digitala säkerheten och cybersäkerheten, särskilt i kommunerna.
I Haukka-projektets slutrapport (pdf) och i den bilagda rapporten Utvär-dering av Haukka-projektets genomslag (pdf) beskrivs resultaten av projektet och deras effekter närmare.
Tyngdpunkten i det internationella samarbetet kring den digitala säkerheten och cybersäkerheten ligger på samarbetet med EU, Nato och OECD och på växelverkan med det internationella forskningssamfundet.
Rapporter och andra publikationer
Internationell jämförelse av den digitala säkerheten
Finansministeriet lät göra en internationell jämförelse som grund för utvecklingen av den digitala säkerheten inom den offentliga förvaltningen. I jämförelsen utvärderades digital säkerhet i fråga om styrning, uppgifter, strukturer, risker och resurser i Nederländerna, Australien, Storbritannien, Israel, Sverige, Tyskland, Ryssland och Estland jämfört med Finland.
Jämförelseuppgifterna samlades in ur offentliga dokument i jämförelsestaterna på basis av frågor som utarbetats av finansministeriet i samarbete med författarna till jämförelsen. I jämförelsen användes internationella bedömningar av främjande av digitalisering, cybersäkerhet och förändringsberedskap. Jämförelsen har använts som underlag för beredningen av principerna för utvecklingen av den digitala säkerheten inom den offentliga förvaltningen och i framtiden används den för planering och genomförande av utvecklingsuppgifter. Jämförelsen publicerades i februari 2020.
Kostnadseffektiviteten för den digitala säkerheten
Finansministeriet har utrett kostnadseffektiviteten för den digitala säkerheten. I utredningen föreslås det att utvärderingen av kostnadseffektiviteten för den digitala säkerheten ska grunda sig på årliga riskbedömningar som myndigheterna svarar för och på funktionella indikatorer. Riskbedömningarna ska inkludera bedömningar av varje betydande risk också med tanke på den digitala säkerheten genom att beskriva riskens sannolikhet och inverkan, de potentiella förluster som uppstår om risken realiseras samt skyddsåtgärder och deras inverkan på risken.
Syftet är att utifrån riskanalysen fördela investeringarna i digital säkerhet så att de kan avvärja betydande risker. De funktionella indikatorerna ska mäta de mål som skapar sådan nytta som inte går att mäta i eurobelopp.
Resultaten av riskenkäten om digital säkerhet i kommunerna
Finansministeriet genomförde hösten 2020 en riskenkät om kommunernas digitala säkerhet. Enkäten besvarades av 73 kommuner. Enligt svaren hänför sig kommunernas största risker inom den digitala säkerheten till hanteringen av omfattande kränkningar av informationssäkerheten och det eventuella läckaget av särskilda personuppgifter till följd av dem, samt till att den ledning som ansvarar för branschen försummar de riskhanteringsåtgärder som identifierats genom riskhanteringen. Med tanke på konsekvenserna bedömdes de största riskerna ha anknytning till de säkerhetsrisker som hänför sig till återlämnande av uppgifter efter störningssituationer, brist på övningar för störningssituationer samt behandling och överföring av uppgifter i kritiska datalager. I utredningen presenteras åtgärder för att minska riskerna.
Utredning över nuläget med och utvecklingsbehoven i fråga om digital säkerhet
Vid finansministeriet har man i samband med Haukka-projektet utrett nuläget för och utvecklingsförslag i fråga om bedömningen av den digitala säkerheten. I utredningen beskrivs de utmaningar som identifierats vid utvärderingen av den offentliga förvaltningens digitala säkerhet och där presenteras även korrigerande utvecklingsåtgärder. Säkerheten hos den offentliga förvaltningens digitala tjänster förutsätter ett mer omfattande säkerhetstänkande än för närvarande. Tyngdpunkten i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1046/2011) är bedömningen av informationssäkerheten i informationssystem. Fastställandet av en tillräcklig säkerhetsnivå förutsätter dock att man fastställer minimikrav för samtliga delområden inom den digitala säkerheten och utifrån dem kriterier med hjälp av vilka det kan konstateras att minimikraven uppfylls eller att övriga krav uppfylls på ett tillförlitligt sätt.
Förstudien Kriterierna för den offentliga förvaltningens digitala säkerhet
Finansministeriets Haukka-projekt har utrett grunderna för bedömningen av den digitala säkerheten inom den offentliga förvaltningen. De bedömningskriterier som används vid bedömningen av säkerheten hos informationssystem och tjänster inom den offentliga förvaltningen borde innehålla minimikriterier för alla områden inom digital säkerhet så att tjänsterna ska kunna bedömas med hjälp av dem. Bedömningskriterierna borde dessutom ange i vilka situationer, för vilka risker, på vilka grunder och inom vilka områden för digital säkerhet man behöver kriterier som överskrider miniminivån. Man borde också beskriva vilka dessa situationer, risker, grunder och kriterier är. Bedömningskriterierna bör lämpa sig både för bedömningar som görs under utvecklandet av tjänsterna, för verifiering av krav som ställts på tjänsten i anskaffningsskedet och för bedömningar under användningstiden. Emedan användningen av system som lär sig och system som utvecklas självständigt ökar, behövs det bedömningskriterier även för dessa system.
Förstudie: Samarbetsmodell för digital säkerhet mellan kommuner och staten
Finansministeriets Haukka-projekt har utrett samarbetsmodellen för den digitala säkerheten mellan kommunerna och staten. Som ett resultat av förstudien konstateras det att samarbetet mellan staten och kommunerna i fråga om digital säkerhet i nuläget byggs upp på flera olika sätt och att en tydlig samarbetsmodell saknas. Nästa uppdrag är därför att inom ramen för Haukka-projektet utarbeta en samarbets- och förvaltningsmodell för den digitala säkerheten mellan kommunerna och staten. I anslutning till detta utreds också möjligheterna att utvidga statliga myndigheters och regionförvaltningsmyndigheters stöd till kommunerna när det gäller störningssituationer och utvecklingen av den digitala säkerheten. När de bestämmelser som gäller välfärdsområdena har trätt i kraft utreds också samarbetsmodellen för digital säkerhet mellan staten, välfärdsområdena och kommunerna samt stödet för välfärdsområdena i genomförandet av verksamhetsmodellerna för digital säkerhet.
Arkitekturen för digital säkerhet inom den offentliga förvaltningen
Finansministeriets Haukka-projekt har utvärderat nuläget för arkitekturen för digital säkerhet inom den offentliga förvaltningen och berett förslag till utveckling av arkitekturen. Enligt utredningen är såväl bedömningen av den digitala säkerhetens mognad som själva begreppet och genomförandet av arkitekturen för den digitala säkerheten utmanande. Den snabba utvecklingen av digitaliseringen, mångfalden av definitioner av digital säkerhet och arkitekturer för digital säkerhet samt bristen på sakkunniga påverkar den övergripande uppfattningen av den digitala säkerheten. Det föreslås att begreppen digital säkerhet och arkitektur för digital säkerhet förtydligas. Som stöd för planeringen av innehållet i arkitekturen för digital säkerhet föreslås en allmänt känd referensram, NIST Cybersecurity Framework, som syftar till att förbättra cybersäkerheten i kritisk infrastruktur. Det föreslås att man i fortsättningen gör en regelbunden bedömning av mognaden hos den digitala säkerheten inom den offentliga förvaltningen. Ett centralt mål är att trygga kontinuitetshanteringen samt att hantera identifieringen av risker och hot. Alla kommuner borde uppnå minst mognadsgrad tre inom den digitala säkerheten vid slutet av 2023.
Mer information:
Tuija Kuusisto, tietohallintoneuvos
finansministeriet, Den offentliga förvaltningens informations- och kommunikationstekniska avdelning, Enheten för styrning av tjänster och säkerhet Telefon:0295530065 E-postadress: [email protected]