2 Johdanto

2.1 Tausta

Valtiovarainministeriö (VM) ohjaa ja yhteensovittaa valtionhallinnon tietoturvallisuutta ja sen kehittämistä. Ohjeistusta kehittää valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI), joka on VM:n asettama ja johtama, tietoturvallisuuden asiantuntemusta laajapohjaisesti edustava ryhmä.

VM on antanut tietoturvaohjeita noin 20 vuotta, ja ohjeistamista on vahvistettu vuodesta 1999 vastaamaan lisääntynyttä kysyntää ja tarvetta. Ohjeet ovat tunnettuja tietoturvatiedon lähteitä valtionhallinnossa ja niitä käytetään myös kunnallishallinnossa sekä yksityisellä sektorilla. Käytetyimpiä ohjeita ovat uusimmat, laajalle joukolle suunnatut ja erityisen ajankohtaisia tietoturva-asioita käsittelevät julkaisut. Tällaisia ovat mm. Sähköpostien ja lokitiedostojen käsittely, Lähiverkkojen tietoturvasuositus, Viranomaisen tietoturvatyön yleisohje ja Etätyön tietoturvaohje[6].

Ohjeet ovat osoittautuneet hyväksi tavaksi edistää tietoturvallisuutta valtionhallinnossa. Tiiviit ja aihe huomioon ottaen helppolukuiset ohjeet helpottavat tietoturvatyössä hyväksi havaittujen ratkaisujen, menettelytapojen ja muiden asioiden soveltamista valtionhallinnossa. Ohjeiden lisäksi tarvitaan useita muitakin toimenpiteitä ja ohjausmuotoja tietoturvallisuuden kehittämiseksi.

2.1.1 Tietoturvallisuutta koskevat normit

Suomessa ei ole yhtenäistä tietoturvalainsäädäntöä, vaan tietoturvaan liittyviä säädöksiä on kymmenissä eri laeissa. Yksittäisen viraston kannalta keskeisiä ovat perustuslaki, julkisuuslaki, henkilötietolaki, arkistolaki ja rikoslaki.

Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuudesta on annettu 11.11.1999. Periaatepäätöksen tarkoituksena on parantaa organisaatioiden toimintojen ja tiedonkäsittelyn tietoturvallisuuden sekä henkilötietojen tietosuojan tasoa. Lisäksi päätös täsmentää tietoturvallisuuden työnjakoa ja vastuita sekä yksilöi keskeisiä viranomaisten tehtäviä.  Tietoturvallisuuden parantaminen tapahtuu kehittämällä valtionhallinnon tietoturvaperiaatteita ja antamalla tietoturvallisuuden hallintaa ja kehittämistoimenpiteitä koskevia suosituksia.

Valtioneuvoston periaatepäätös kansallisesta tietoturvastrategiasta on tehty 4.9.2003. Strategiaan on koottu linjauksia ja toimia, joilla tietoturvallisuutta ja yksityisyyden suojaa voidaan parantaa.

2.1.2 Kansainvälinen kehitys

Tietoturvallisuuden kehitys on suuressa määrin riippuvainen kansainvälisestä kehityksestä. Uhat ovat kansainvälisiä, mutta myös vastatoimia suunnitellaan monikansallisena yhteistyönä. Tämän merkitys on noussut voimakkaasti viime vuosien aikana, jolloin EU, OECD[7] ja muut kansainväliset toimijat ovat tuoneet tietoturvallisuutta esiin niin itsenäisenä asiana kuin osana muuta toimintaa, etenkin tietoyhteiskuntakehitystä.

VM:n ja VAHTIn rooli kansainvälisen tietoturvatyön tulosten tuomisessa Suomen julkishallintoon korostuu. Tulokset on välitettävä nopeasti, niistä on tiedotettava ja niiden vaikutukset on arvioitava. Tämä korostaa tietoturvatiedon nopean jakamisen ja sitä kautta jakelukanavien merkitystä.

Suomi on monessa suhteessa tietoturvatyössä kansainvälisessä kärjessä, joten tiedon välittäminen suomalaisesta tietoturvatyöstä kansainvälisiin järjestöihin on jo ajankohtaista.

EU:n  tietoturvaviraston perustaminen ja muu Eurooppa-tasoinen tietoyhteiskuntakehitys on merkittävä vaikuttaja suomalaisessa tietoturvakehityksessä.

Kansainvälisen standardointitoiminnan profiili on noussut, ja toiminta on laajentunut teknisestä standardoinnista toiminnallisten asioiden standardointiin. Puhtaiden tietoturvastandardien lisäksi on laaja joukko tietoturvallisuuteen merkittävästi vaikuttavia standardeja.

Hyvä esimerkki kansainvälisestä ja voimakkaasti verkostoituneesta tietoturvatoiminnasta on CERT-toiminta, johon Suomessa toimiva CERT-FI aktiivisesti osallistuu.

 

2.2 Työryhmä ja -menetelmät

Jotta valtionhallinnon tietoturvatyö pystyisi vastaamaan nykyisiin ja tuleviin haasteisiin, VAHTI perusti elokuussa 2003 työryhmän suunnittelemaan tietoturvatyön kehittämistä.

Työryhmän muodostivat seuraavat henkilöt:

Mikael Kiviniemi        Neuvotteleva virkamies       valtiovarainministeriö (pj)
Reijo Aarnio              Tietosuojavaltuutettu          Tietosuojavaltuutetun toimisto
Ari Uusikartano         Neuvotteleva virkamies       kauppa- ja teollisuusministeriö
Antero Taimiaho        Tietohallintopäällikkö         sosiaali- ja terveysministeriö
Seppo Sundberg       Tietoturvapäällikkö             Valtiokonttori
Kaarlo Korvola          Tietohallintopäällikkö          sisäasiainministeriö
Risto Yrjönen           Neuvotteleva virkamies        maa- ja metsätalousministeriö
Kalevi Hyytiä            Tietoturvallisuuspäällikkö    Pääesikunta
Irma Nieminen          Tietohallintopäällikkö          opetusministeriö
Pekka Sinkkilä         Tietohallintopäällikkö          liikenne- ja viestintäministeriö

Työryhmää ovat avustaneet HM&V Research Oy:n konsultit:

Tapani Seppänen
Tuomo Muhonen
Olli-Pekka Soini       työryhmän sihteeri

Työryhmän työn ensisijaisena tavoitteena oli valtionhallinnon ministeriöiden, virastojen ja laitosten tietoturvallisuuden parantaminen, mutta tämän tavoitteen rinnalla pohdittiin keinoja, joilla virastot ja laitokset voivat parantaa myös koko suomalaisen yhteiskunnan tietoturvallisuuden tasoa.

Työn lopputulokseksi haluttiin laaja kehitysohjelma, joka sisältää myös uusia toimintatapoja ja -muotoja. Kehitysohjelma nivoutuu muuhun julkishallinnon kehittämiseen.

Verkkopalveluilla, tietojärjestelmillä ja sähköisellä kommunikoinnilla on entistä suurempi rooli julkishallinnon toiminnassa. Yhä useampi palvelu on saatavilla sähköisesti ja yhä useammin tietojen ensisijainen formaatti on sähköinen. Tästä huolimatta työryhmä käsitteli myös perinteisen toiminnan ja paperimuotoisten dokumenttien tietoturvallisuuden kehittämistarpeita.

Työryhmäkokousten lisäksi haastateltiin tietoturvatoimijoita, -asiantuntijoita sekä valtionhallinnon
tietoturvatyön asiakkaita: virastoja, laitoksia ja muita julkishallinnon yksiköitä. Osa haastatteluista tehtiin henkilöhaastatteluna, osa sähköpostilla. Työryhmä halusi saada mahdollisimman laajan ja syvän ymmärryksen tietoturvallisuuden kehittämisen tilanteesta valtionhallinnossa, joten haastattelun kohderyhmää laajennettiin kattamaan niin tietoturvavastaavat, palvelujen  kehittämisestä vastuulliset, yksiköiden johdon edustajat kuin peruskäyttäjät.

Työryhmäkokouksia, kirjallista ja sähköistä materiaalia ja haastatteluja täydennettiin aivoriihellä (brainstorm), jossa ideoitiin kehityskohteita, ruodittiin ehdotuksia ja arvioitiin tietoturvan kehitystä.

Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) käsitteli kehitysohjelman luonnosta joulukuussa 2003 ja evästi työryhmää työn loppuunsaattamisesta. Valtionhallinnon tietoturvallisuuden kehitysohjelma esiteltiin Valtioneuvoston tietohallinnon johtoryhmälle (VATI) tammikuussa 2004, jolloin VATIn jäsenillä oli mahdollisuus kommentoida työryhmän työn tuloksia. VAHTI päätti kehitysohjelman julkaisusta helmikuussa 2004.

2.3 Ohjelman tarkoitus, kohderyhmä ja rajaus

Kehitysohjelma pyrkii omalta osaltaan konkretisoimaan tietoyhteiskuntaohjelmia ja kansallista tietoturvastrategiaa ehdottamalla yksinkertaisia, toteuttamiskelpoisia ja käytännönläheisiä hankkeita, joista useat voidaan käynnistää nopeasti. Osa toimenpide-ehdotuksista on aloitteita, joiden toteuttaminen tullee mahdolliseksi lähitulevaisuudessa.

Ohjelman ulkopuolelle on rajattu julkishallinnon yksikköjen sisällä tapahtuva tietoturvatyö, paitsi siltä osin kuin sitä voidaan tukea ohjeilla, valtionhallinnon hankkeilla tai muilla toimenpiteillä.

Tietoturvatyössä oikean, nopean ja sisällöltään korkeatasoisen tiedotuksen merkitys on suuri. Jokaisen valtionhallinnon toimijan on huolehdittava tietoturvallisuuden toteuttamisesta omalla vastuualueellaan, mutta otettava huomioon myös julkishallinnon yhteistyö ja eri osapuolten tietoturvallisuus. Toimijoiden selkeä ja tarkoituksenmukainen vastuunjako ja roolit vaikuttavat suotuisasti myös tietoturvatyöhön.

Nopeasti muuttuvassa ympäristössä on erittäin vaikeaa, jopa mahdotonta, ennustaa tulevaisuutta. Tietoturvallisuuden kehitysohjelman laatinut työryhmä totesi, että kehitysohjelman arviointi sen puolivälissä lisää joustavuutta ja mahdollistaa painopisteiden muuttamisen ohjelman kuluessa, mikäli tähän ilmenee tarvetta.

2.4 Tämän dokumentin rakenne ja käyttö

Tämän raportin luvussa 3 kuvataan lyhyesti valtionhallinnon nykyistä tietoturvatyötä, yleistä tietoturvakehityksen ohjaamista sekä muita tähän liittyviä asioita.

Raportin laadintaan liittyneen kyselytutkimuksen tärkeimmät tulokset on analysoitu luvussa 4.

Luvussa 5 esitetään keskeiset hankealueet eli ”korit” kuten niitä työn aikana nimitettiin. Ne (6 kpl) koostuvat yleisestä, asiaa ja tavoitteita kuvaavasta johdannosta, sekä tarkemmista, yksityiskohtaisemmista kehityskohteista, joita on pyritty konkretisoimaan.

Koreissa esitetyt kehityskohteet eivät ole ainoat, joita tarkastelukaudella toivotaan toteutettavan, vaan työryhmä uskoo, että raportissa esitettyjen kehityskohteiden lisäksi toteutetaan myös muita. Tietoturvan kehittäminen edellyttää myös nopeita toimenpiteitä, joita ei kehittämisohjelmassa voi ennakkoon yksilöidä.

Kehityskohteiden toteutukseen liittyvän asiat ovat luvun 6 aihe. Vastuutus ja priorisointi on käsitelty sillä tarkkuudella, kuin se kehitysohjelman tässä vaiheessa oli mahdollista. Luvussa käsitellään myös työryhmän esitys kehitysohjelman seurannasta.

 

6 http://www.vm.fi/ Tietoja valtion tietohallinnosta ja tietotekniikasta 2002.

7 Valtiovarainministeriö ja muut valtionhallinnon tietoturvatoimijat osallistuvat OECD:n tietoturvatyöhön (http://www.oecd.org/). VM on kääntänyt OECD:n linjauksia suomeksi (http://www.vm.fi/).

Vahti- ylläpito08.10.2009 / 14:00:17
Tulosta