FI SV

Utvecklingen av den digitala säkerheten

I finansministeriets uppgifter ingår de allmänna grunderna för den offentliga förvaltningens informationspolitik, informationshantering och elektroniska tjänster. I samband med det bereder finansministeriet allmänna grunder och krav för den offentliga förvaltningens IKT-infrastruktur, digitala tjänster och digital informationssäkerhet samt riktlinjer, författningar och utvecklingsprogram för den offentliga förvaltningens digitala säkerhet och styr genomförandet av dem samt tillsätter behövliga ledningsgrupper och samarbetsnätverk.

Finansministeriet har tillsatt en strategisk ledningsgrupp för den digitala säkerheten inom den offentliga förvaltningen för att främja digitaliseringen och den digitala säkerheten på ett balanserat sätt.

I statsrådets principbeslut Digital säkerhet inom den offentliga förvaltningen av den 8 april 2020 (FM 2020:24) fastställs principerna för utvecklingsarbetet och de centrala tjänsterna med syftet att främja säkerhet i en digital miljö. Målet är att inom referensramen för den övergripande säkerheten skydda medborgarna, sammanslutningarna och samhället mot de risker och hot som information, tjänster och samhällsverksamhet i en digital miljö kan utsättas för.

Medborgare, företag och sammanslutningar ska kunna lita på att den offentliga förvaltningens tjänster är etiskt hållbara och säkra och att de stöder öppenhet och transparens. Finland är känt som föregångare både när det gäller förutsättningarna för digitaliseringen i samhället och som tillhandahållare av digitala tjänster för medborgare och sammanslutningar. Vi måste följaktligen på ett balanserat sätt satsa på digitaliseringen och på att trygga den digitala verksamheten och tjänsterna.

I genomförandeplanen för digital säkerhet inom den offentliga förvaltningen 2020-2023 (Haukka) (FM 2020:46) beskrivs hur principbeslutet ska verkställas. För genomförandeplanen har man valt ut 19 uppgifter med vilka man ska utveckla de centrala tjänsterna för digital säkerhet inom den offentliga förvaltningen. Genomförandeplanen stöder också den beredning och det genomförande av utvecklingsprogrammet inom cybersäkerhetsstrategin 2019 som har inletts samt bidrar till verkställandet av statsrådets beslut om målen med försörjningsberedskapen (1048/2018).

Genomförandeplanen bereddes i en förvaltningsövergripande samordningsgrupp tillsatt av finansministeriet. Verkställandet styrs av finansministeriet. Kostnaderna för genomförandet uppgår vid finansministeriet till 600 000 euro, vid Myndigheten för digitalisering och befolkningsdata till 2 280 000 euro och vid Transport- och kommunikationsverket till 780 000 euro, dvs. sammanlagt till 3 660 000 euro.

Tyngdpunkten i det internationella samarbetet kring den digitala säkerheten ligger i samarbetet med OECD och EU och i växelverkan med det internationella forskningssamfundet. Verksamheten inom OECD baserar sig på rekommendationen Digital Security Risk Management från 2015 och den kompletterande rekommendationen Digital Security of Critical Activities från 2019.

Rapporter och andra publikationer

Internationell jämförelse av den digitala säkerheten

Finansministeriet lät göra en internationell jämförelse som grund för utvecklingen av den digitala säkerheten inom den offentliga förvaltningen. I jämförelsen utvärderades digital säkerhet i fråga om styrning, uppgifter, strukturer, risker och resurser i Nederländerna, Australien, Storbritannien, Israel, Sverige, Tyskland, Ryssland och Estland jämfört med Finland.

Jämförelseuppgifterna samlades in ur offentliga dokument i jämförelsestaterna på basis av frågor som utarbetats av finansministeriet i samarbete med författarna till jämförelsen. I jämförelsen användes internationella bedömningar av främjande av digitalisering, cybersäkerhet och förändringsberedskap. Jämförelsen har använts som underlag för beredningen av principerna för utvecklingen av den digitala säkerheten inom den offentliga förvaltningen och i framtiden används den för planering och genomförande av utvecklingsuppgifter. Jämförelsen publicerades i februari 2020.

Kostnadseffektiviteten för den digitala säkerheten

Finansministeriet har utrett kostnadseffektiviteten för den digitala säkerheten. I utredningen föreslås det att utvärderingen av kostnadseffektiviteten för den digitala säkerheten ska grunda sig på årliga riskbedömningar som myndigheterna svarar för och på funktionella indikatorer. Riskbedömningarna ska inkludera bedömningar av varje betydande risk också med tanke på den digitala säkerheten genom att beskriva riskens sannolikhet och inverkan, de potentiella förluster som uppstår om risken realiseras samt skyddsåtgärder och deras inverkan på risken.

Syftet är att utifrån riskanalysen fördela investeringarna i digital säkerhet så att de kan avvärja betydande risker. De funktionella indikatorerna ska mäta de mål som skapar sådan nytta som inte går att mäta i eurobelopp.

Resultaten av riskenkäten om digital säkerhet i kommunerna

Finansministeriet genomförde hösten 2020 en riskenkät om kommunernas digitala säkerhet. Enkäten besvarades av 73 kommuner. Enligt svaren hänför sig kommunernas största risker inom den digitala säkerheten till hanteringen av omfattande kränkningar av informationssäkerheten och det eventuella läckaget av särskilda personuppgifter till följd av dem, samt till att den ledning som ansvarar för branschen försummar de riskhanteringsåtgärder som identifierats genom riskhanteringen. Med tanke på konsekvenserna bedömdes de största riskerna ha anknytning till de säkerhetsrisker som hänför sig till återlämnande av uppgifter efter störningssituationer, brist på övningar för störningssituationer samt behandling och överföring av uppgifter i kritiska datalager. I utredningen presenteras åtgärder för att minska riskerna.

Utredning över nuläget med och utvecklingsbehoven i fråga om digital säkerhet

Vid finansministeriet har man i samband med Haukka-projektet utrett nuläget för och utvecklingsförslag i fråga om bedömningen av den digitala säkerheten. I utredningen beskrivs de utmaningar som identifierats vid utvärderingen av den offentliga förvaltningens digitala säkerhet och där presenteras även korrigerande utvecklingsåtgärder. Säkerheten hos den offentliga förvaltningens digitala tjänster förutsätter ett mer omfattande säkerhetstänkande än för närvarande. Tyngdpunkten i lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1046/2011) är bedömningen av informationssäkerheten i informationssystem. Fastställandet av en tillräcklig säkerhetsnivå förutsätter dock att man fastställer minimikrav för samtliga delområden inom den digitala säkerheten och utifrån dem kriterier med hjälp av vilka det kan konstateras att minimikraven uppfylls eller att övriga krav uppfylls på ett tillförlitligt sätt.

Förstudien Kriterierna för den offentliga förvaltningens digitala säkerhet

Finansministeriets Haukka-projekt har utrett grunderna för bedömningen av den digitala säkerheten inom den offentliga förvaltningen. De bedömningskriterier som används vid bedömningen av säkerheten hos informationssystem och tjänster inom den offentliga förvaltningen borde innehålla minimikriterier för alla områden inom digital säkerhet så att tjänsterna ska kunna bedömas med hjälp av dem. Bedömningskriterierna borde dessutom ange i vilka situationer, för vilka risker, på vilka grunder och inom vilka områden för digital säkerhet man behöver kriterier som överskrider miniminivån. Man borde också beskriva vilka dessa situationer, risker, grunder och kriterier är. Bedömningskriterierna bör lämpa sig både för bedömningar som görs under utvecklandet av tjänsterna, för verifiering av krav som ställts på tjänsten i anskaffningsskedet och för bedömningar under användningstiden. Emedan användningen av system som lär sig och system som utvecklas självständigt ökar, behövs det bedömningskriterier även för dessa system.

Förstudie: Samarbetsmodell för digital säkerhet mellan kommuner och staten

Finansministeriets Haukka-projekt har utrett samarbetsmodellen för den digitala säkerheten mellan kommunerna och staten. Som ett resultat av förstudien konstateras det att samarbetet mellan staten och kommunerna i fråga om digital säkerhet i nuläget byggs upp på flera olika sätt och att en tydlig samarbetsmodell saknas. Nästa uppdrag är därför att inom ramen för Haukka-projektet utarbeta en samarbets- och förvaltningsmodell för den digitala säkerheten mellan kommunerna och staten. I anslutning till detta utreds också möjligheterna att utvidga statliga myndigheters och regionförvaltningsmyndigheters stöd till kommunerna när det gäller störningssituationer och utvecklingen av den digitala säkerheten. När de bestämmelser som gäller välfärdsområdena har trätt i kraft utreds också samarbetsmodellen för digital säkerhet mellan staten, välfärdsområdena och kommunerna samt stödet för välfärdsområdena i genomförandet av verksamhetsmodellerna för digital säkerhet.  

Arkitekturen för digital säkerhet inom den offentliga förvaltningen

Finansministeriets Haukka-projekt har utvärderat nuläget för arkitekturen för digital säkerhet inom den offentliga förvaltningen och berett förslag till utveckling av arkitekturen. Enligt utredningen är såväl bedömningen av den digitala säkerhetens mognad som själva begreppet och genomförandet av arkitekturen för den digitala säkerheten utmanande. Den snabba utvecklingen av digitaliseringen, mångfalden av definitioner av digital säkerhet och arkitekturer för digital säkerhet samt bristen på sakkunniga påverkar den övergripande uppfattningen av den digitala säkerheten. Det föreslås att begreppen digital säkerhet och arkitektur för digital säkerhet förtydligas. Som stöd för planeringen av innehållet i arkitekturen för digital säkerhet föreslås en allmänt känd referensram, NIST Cybersecurity Framework, som syftar till att förbättra cybersäkerheten i kritisk infrastruktur. Det föreslås att man i fortsättningen gör en regelbunden bedömning av mognaden hos den digitala säkerheten inom den offentliga förvaltningen. Ett centralt mål är att trygga kontinuitetshanteringen samt att hantera identifieringen av risker och hot. Alla kommuner borde uppnå minst mognadsgrad tre inom den digitala säkerheten vid slutet av 2023. 

Ytterligare information:

Tuija Kuusisto, informationsförvaltningsråd, 02955 30121, tuija.kuusisto(at)vm.fi
Den offentliga förvaltningens informations- och kommunikationstekniska avdelning / OffICT, Enheten för styrning av tjänster och säkerhet

Mer information:

Tuija Kuusisto, tietohallintoneuvos 
finansministeriet, Julkisen hallinnon tieto- ja viestintätekninen osasto / Julk ICT, Palveluiden ja turvallisuuden ohjausyksikkö Telefon:0295530065   E-postadress: