Osallistumisesta vaikuttamiseen-

Valtionhallinnon haasteet kansainvälisessä tietoturvatyössä

 

Osallistumisesta vaikuttamiseen-

VALTIOVARAINMINISTERIÖ
Snellmaninkatu 1 A
PL 28
00023 VALTIONEUVOSTO

Puhelin
(09) 160 01

Telefaksi
(09) 160 33123

Internet
www.vm.fi

Julkaisun tilaukset
asiakaspalvelu.prima@edita.fi
Puh. (09) 160 33287

ISSN 1455-2566
ISBN 978-951-804-711-0 (nid.)
ISBN 978-951-804-712-7 (pdf)

Edita Prima Oy
HELSINKI 2007

Keskustelualueet

Esipuhe

Valtiovarainministeriö (VM) vastaa valtion tietoturvallisuuden ohjauksesta ja kehittämi­sestä. Ministeriö on asettanut Valtionhallinnon tietoturvallisuudenjohtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTIssa ovat edustettuina eri hallinnonalatja -tasot.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toi­mintojen luotettavuutta ja jatkuvuutta sekä edistää tietoturvallisuuden saattamista kiin­teäksi osaksi valtionhallinnon kaikkea toimintaa. VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat määräykset, ohjeet, suositukset ja tavoitteet sekä muut tie­toturvallisuuden linjaukset ja toimenpiteet. Valtionhallinnon lisäksi VAHTIn toiminnan tuloksia hyödynnetään laajasti myös kunnallishallinnossa, yksityisellä sektorilla, kansa­laistoiminnassaja kansainvälisessä yhteistyössä. VAHTI on tunnettu muun muassa tieto­turvajulkaisuista ja –ohjeista sekä tietoturvahankkeistaan (www.vm.fi/vahti).

Valtion tietoturvallisuuden kehitysohjelma onjulkaistu VAHTI-julkaisusarjassa nimel­lä Valtionhallinnon tietoturvallisuuden kehitysohjelma 2004–2006, VAHTI 1/2004. Ke­hitysohjelmassa on kehitetty tietoturvallisuutta laajasti osana kaikkea toimintaa. Kehitys­ohjelmaan on sisältynyt kaikkiaan 29 laajaa kehittämiskohdetta. Kehitysohjelmaan ovat osallistuneet laajasti kaikki hallinnonalatja lisäksi osassa hankkeita on mukana kuntienja elinkeinoelämän edustajia sekä ulkopuolisia asiantuntijoita. Hankkeissa on ollut mukana valtionhallintotasolla nimettyinä yli 300 osallistujaa. Virallisesti asetetut hankkeet löyty­vät valtioneuvoston hankerekisteristä (http://www.hare.vn.fi/) VAHTIn (VM166:00/2003) alahankkeina. Seuraavassa kuvassa on esitettyinä kehitysohjelman osa-alueet.

Kaavio kehitysohjelmasta ja sen hankealueista

Tämän asiakirjan on laatinut VAHTIn kansainvälisen tietoturvayhteistyön jaosto, jonka työ on ollut osa kehitysohjelman tietoturvakulttuurin luominen- hankealuetta.

Tiivistelmä

Kansainvälisen tietoturvayhteistyön haasteet vastaavat toiminnallisesti muun laajan yhteistyön haasteita. Sisällöllisesti haasteet ovat sidoksissa käsiteltävään aihealueeseen. Tässä raportissa on pyritty antamaan yleiskuva kansainvälisen tietoturvayhteistyön erityispiirteistäja löytämään haasteiden hallintatapoja.

Kansainvälinen yhteistyö ja kahdenväliset sopimukset ovat arkipäiväistyneet osaksi suomalaista hallintoa. Kansainvälinen yhteistyö erityisesti tietoturvallisuuden alalla on tarpeen hallinnon ja yritysten osallistumismahdollisuuksien turvaamiseksi kansainvälisissä hankkeissa; kansainvälisen kokemuksen, opin ja tiedon keräämiseksi; suomalaisten hyvien toimintatapojen levittämiseksi; suomalaisten yritysten erityissuojattavien tietojen asianmukaisen käsittelyn turvaamiseksi myös ulkomailla ja suomalaisyritysten kilpailukyvyn parantamiseksi. Arkipäiväistyessään yhteistyö on tiivistynyt, laajentunutja syventynyt. Tämän suuntainen kehitys tulee edelleenjatkumaan.
Onnistuneimmillaan aktiivisuus kansainvälisessä tietoturvayhteistoiminnassa voi parantaa Suomen mahdollisuuksia EU-tasoisten palvelujen kilpailutukseen osallistumisessa. Suomalainen tietoturva- ja tietotekniikkaosaaminen ovat hyvää kansainvälistä tasoa. Aktiivinen toiminta kansainvälisillä foorumeilla tuo tunnettavuutta suomalaiselle hallintomallille ja lisää luottamusta osaamistamme kohtaan.

Keskeisimmät esiin nousseet haasteet ovat:


Verkottuminen ja tiedon jakaminen. Organisaatio-ja henkilöverkko eivät välttämättä kohtaa. Lisäksi virallisen verkoston rinnalla toimii epävirallinen verkosto. Jos verkostoja tai niihin kuuluvia henkilöitä tai tahoja ei tunneta, vaikeutuu myös tiedon jakaminen ja saaminen. Tiedon jakamisen ongelmaa ei ratkaista tiedottamisen tai tietojärjestelmien määrää lisäämällä.


Kansainvälisen tietoturvatyön merkityksen aliarviointi. Tietoturva-asioiden hoito edellyttää kansainvälistä yhteistyötä. Suurin osa uhista on luonteeltaan kansainvälisiä.

Resurssien määrän, laadun ja kohdentaminen. Merkittävimpinä haasteina ovat toiminnan niukkenevat resurssit ja ajan puute. Tietoturvatyön merkityksen aliarviointi lie- nee merkittävä syy resurssien niukkuuteen. Resurssien laadusta voidaan toisaalta todeta, että suomalaisilla on hyvä substanssiosaaminenja englannin kielitaito, mutta esiintymisvalmiuksissa on parantamisen varaa.


Kansallinen kannanmuodostus. Kansallisen kannanmuodostuksen ongelmat voidaan jakaa kahteen ryhmään: Suomen kansallisten tavoitteiden muodostamisen haasteisiin ja varsinaisen kannanmuodostukseen liittyviin ongelmiin.
 
On luultavaa, että osa haasteista ratkeaa ainakin osittain ajan kuluessa. Merkittävä osa haasteisiin liittyvistä kehittämisehdotuksista toteutetaan osana muuta valtionhallinnon kehittämistyötä. Työryhmä ehdottaa seuraavia valtionhallinnon kehityskohteita, jotka joko projektoidaan tai niiden edistymistä muuten seurataan:

  1. Valtioneuvoston periaatepäätösten merkitystä tietoturvatyön kannalta tulee korostaa. Periaatepäätöksiä uudistettaessa tai uusia laadittaessa tulee aiempaa selkeämmin huo¬mioida tietoturvallisuus - erityisesti kansainvälinen yhteistyö.
  2. Toiminta- ja taloussuunnittelu ja tietoturvatoiminta on kytkettävä toisiinsa tiiviisti. Tietoturvatyö tulee tunnistaa toiminta- ja taloussuunnittelussa yhdeksi suunnittelun osa-alueeksi, joka mahdollistaa muiden tavoitteiden toteuttamisen. Toiminta- ja ta¬loussuunnittelun kautta on mahdollista parantaa myös henkilöresurssien riittävyyttä.
  3. VAHTI-verkostoja tulee vahvistaa kansainväliseen tietoturvayhteistyöhön liittyvän toiminnan osalta. Työryhmä ehdottaa, että kansainvälisen tietoturvateeman käsittelyyn varataan päivä vuoden 2007 seminaarisuunnitelmassa.
  4. Varamiesjärjestelmän luominen. Kukin kansainväliseen tietoturvayhteistyöhön osallistuja arvioi organisaatiossaan, onko toimintaan tarpeen nimetä varamies. Lisäresurssien saaminen helpottaisi varamiesjärjestelmän toteuttamista oleellisesti.
  5. Nykyisin käytettävissä olevien ryhmätyötä tukevien välineiden käyttömahdollisuuksia tiedon jakamiseksi tulee selvittää.
  6. Virkamiesten vaikuttamis- ja esiintymistaitoja tulee kehittää oikein kohdentuvalla koulutuksella. Myös substanssiosaamisesta tulee huolehtia.
     

Raportin lukuohje on alla olevassa taulukossa. Rasti ruudussa tarkoittaa ”suositeltavaa luettavaa”.

 

Organisaation johto

Kansainvälisen tietoturvayhteistyön tuloksia hyödyntävä

Kansainvälisestä tietoturvayhteistyöstä vastaava

Kansainväliseen tietoturvayhteistyöhön osallistuva

Luku 1

x

X

X

x

Luku 2

 

 

X

x

  • 2.1

 

 

X

x

  • 2.2

x

X

X

x

  • 2.3

x

X

X

x

  • 2.4

x

X

X

x

Luku 3

 

 

X

x

  • 3.1

 

 

X

x

  • 3.2

 

 

X

x

  • 3.3

 

 

X

x

  • 3.4

 

 

X

x

  • 3.5

x

X

X

x

  • 3.6

 

X

X

x

  • 3.7

 

X

X

x

Luku 4

x

X

X

x

 

 

Sammanfattning

Det internationella informationssäkerhetssamarbetet ställs i praktiken inför samma utma­ningar som alla andra former av samarbete. Vad beträffar innehåll är utmaningarna natur­ligtvis mer förknippade med det ämnesområde som behandlas. Syftet med denna rapport är att ge en klar och övergripande bild av utmaningarna och att finna metoder för att eli­minera eller minimera de problem som förekommer i samarbetet.

Internationellt samarbete och ömsesidiga avtal är en del av vardagen inom den fin­ländska förvaltningen. Inom informationssäkerheten är det nödvändigt med internatio­nellt samarbete för att bl.a. sprida goda och fungerande finländska förfaringssätt till ut­landet, garantera att de finländska företagens konfidentiella uppgifter behandlas korrekt också utomlands, förbättra konkurrensförmågan hos finländska företag och garantera att förvaltningen och företagen har möjlighet att delta i internationella projekt samt inhämta utländsk erfarenhet och kunskap. Samarbetet har intensifierats, utvidgats och fördjupats och denna utveckling kommer antagligen att fortgå också i framtiden.

Den arbetsgrupp som arbetat med internationellt informationssäkerhetssamarbete är en del av det statliga utvecklingsprogrammet för informationssäkerhet. Gruppens arbe­te är en del av ett projekt som går ut på att man skapar en informationssäkerhetskultur, men det har också en koppling till två andra projekt, varav det ena har som mål att på ett allmänt plan stöda statsförvaltningens informationssäkerhetsarbete och det andra att stö­da de informationssäkerhetsansvarigas arbete. Arbetsgruppens mål är att effektivera och förenhetliga förvaltningens arbete och förmedlingen av information och på så vis förbätt­ra informationssäkerheten inom den finländska offentliga förvaltningen och öka informa­tionssäkerhetens samhälleliga betydelse och synlighet.

Det internationella samarbetet är förknippat med många utmaningar som i sin tur är resultat av de tillvägagångssätt och metoder som tillämpas såväl nationellt som interna­tionellt. Arbetsgruppen gav förslag till hur man skall hantera de olika utmaningarna. Det är troligt att en del av de problem som beskrivs nedan åtminstone delvis löser sig med ti- den. De viktigaste utmaningarna är:

Att skapa nätverk och sprida information. Organisationsstrukturen innefattar inte all­tid alla som är involverade i samarbetet, utan det kan också uppstå ett mer informellt nät­verk. Om man inte känner till nätverken eller de personer som ingår i dem blir det svåra­re att sprida information. Det är viktigt med gemensamma tillfällen, t.ex. seminarier, då det gäller att skapa nätverk. Det är också av mycket stor vikt att nya tjänstemän deltar. Problem med spridning av information kan inte lösas enbart genom att man ökar mängden information. Därför är det viktigt att beskrivningarna av innehållet är tydliga och kla­ra. Man bör också slå fast att informationssäkerheten prioriteras. Spridning av informa­tion är i hög grad en attitydfråga, och för att förbättra den krävs en samtidig förändring av attityderna.

Att underskatta betydelsen av internationellt informationssäkerhetsarbete. De frågor som gäller informationssäkerheten kräver internationellt samarbete och internationella in­itiativ och lösningar eftersom en stor del av hoten mot informationssäkerheten också är av internationell karaktär. Vikten av internationellt informationssäkerhetsarbete bör betonas, vilket sker på följande sätt: Arbetet utförs väl och på lång sikt. Det bör dessutom föras ut på den internationella arenan så att man kan visa att finländarna har mycket att bidra med på området. Det är också viktigt att försöka påverka ministrar och andra personer i ledan­de ställning samt att öka publiciteten kring arbetet med informationssäkerhet.

Den nationella ståndpunkten. De problem som har att göra med valet av ståndpunkt kan delas in i två grupper: utmaningar som gäller utformningen av Finlands nationella mål och utmaningar som har att göra med det egentliga valet av ståndpunkt. I det offici­ella ställningstagandet följer man den tjänsteväg som definieras i lag, men dessutom kan man också använda sig av informella kanaler.

Omfattningen av och kvaliteten på resurserna samt deras inriktning. Den främsta ut­maningen konstaterades vara resurserna. Att betydelsen av informationssäkerhetsarbetet underskattas är antagligen en viktig orsak till att resurserna är så knappa. Angående re­sursernas kvalitet kan konstateras att finländarna har ett bra substanskunnande och goda språkkunskaper men att det finns utrymme att förbättra framställningarna. Då man väljer vilka forum man skall delta i är det viktigt att välja sådana forum vars verksamhet är re­levant för att uppnå organisationens strategiska mål. Deltagandet måste koordineras för att undvika överlappningar. De som deltar i forumen kan vara mer aktiva och t.ex. delta i ledningen för arbetsgrupperna.

En betydande del av de utvecklingsförslag som presenterats förverkligas som en del av den övriga utvecklingen av den statliga förvaltningen. Arbetsgruppen föreslår ändå att man riktar in sig på följande områden som kan utgöra projekt eller på annat sätt föl­jas upp:

  1. Det är viktigt att lyfta fram betydelsen av statsrådets principbeslut för informations­säkerhetsarbetet. Då principbeslut förnyas eller nya beslut fattas är det viktigt att i större utsträckning än tidigare ta hänsyn till informationssäkerheten, särskilt det in­ternationella samarbetet.

  2. Det är viktigt att beakta informationssäkerheten då man planerar verksamheten och gör upp budgeten. Därigenom är det möjligt att försäkra sig om att det finns tillräck­ligt med personal.

  3. VAHTI-nätverken måste i ännu större utsträckning än tidigare delta i det internatio­nella informationssäkerhetssamarbetet. Arbetsgruppen föreslår att det reserveras en seminariedagår 2007 för behandling av temat internationell informationssäkerhet.

  1. Att skapa ett system för reserver eller ersättare. Alla som deltar i det internationella informationssäkerhetsarbetet diskuterar tillsammans med sin förman om det är nöd­vändigt att utse en reserv eller ersättare.

  2. Möjligheterna att använda hjälpmedel som utrustning och program som stöd för grupparbetet måste utredas.

  3. Tjänstemännens förmåga att påverka och framträda måste förbättras genom utbild­ning

Summary

International co-operation is a must in the rapidly changing world of information securi­ty. Finland has actively participated in various forms of international information securi­ty co-operation as well as other international activities. This is very much in line with the constitution, which sets forth that Finland participates in international co-operation for the development of society.

International co-operation is highly beneficial. New ideas, best practices and useful contacts can be attained by active participation in international meetings. These provide an excellent opportunity to demonstrate the Finnish best practices in information security, to learn from other countries’ experiences and to lend help to others.

Some information security incidents can escalate into a global problems that can only be solved by co-operation. In these cases, there is no alternative to working together.

Information security is a priority for the Finnish Government, which has implemented the Finnish Government Information Security Development Program 2004 – 2006. One of the key areas of the development program has been international co-operation in informa­tion security. For this aim, a working group was set to draw up recommendations on devel­opment of international co-operation and its coordination within the Finnish government. This report summarises the main findings and recommendations of the group.

The scope of the group was limited to the public administration and private sector was excluded. Also, any major overhaul of public administration was beyond the scope, and the focus was on ideas, which could easily be implemented.

International co-operation takes place at many different forums, hosted by various international organisations like the EU and OECD. There are forum specific problems, which are not considered in this report. Instead, this report concentrates on problems which affect many forums, which are of domestic origin, which are not of minor importance, and are not overwhelmingly difficult to overcome.

Lack of resources devoted to information security development in the Finnish govern­ment poses the most serious threat to successful international co-operation. As new forms and forums of co-operation emerge, the demand for competent information security civ­il servants increases. This problem will be tackled by influencing ministers, secretaries of state and under secretaries of state to allocate more resources to international co-opera­tion and information security. Training of civil servants, prioritisation of forums attended and system of back-up persons will also be used.

The process of decision making in international issues of national importance is work­ing rather well in Finland. Official process is supported by unofficial network of informa 

tion security civil servants. There is no need to alter the official process, but the unofficial networking will be enhanced by arranging seminars and utilising new ways of working together.

It is important to have legislation, Government resolutions and Government guides on information security up-to-date. Setting targets for international co-operation has to be an integral part of the public management process, not separate from it.

All in all, the international co-operation in information security differs only little from other forms of co-operation, and, therefore, they will benefit from the development initi­atives proposed by the working group.

The group proposes the following initiatives to be taken:

  1. The importance of information security has to be considered more seriously when the Government resolutions and strategies are being prepared. Also, legislation on information security has to be kept at the pace of international development. All this makes it possible to allocate necessary human resources to information security management, and, therefore, to the international co-operation of it.

  2. Information security management has to be interlinked with the existing Govern­ment planning and budgeting process (toiminta- ja taloussuunnittelu). This will sup­port the correct allocation of resources and guarantee funding for international co­operation.

  3. Existing networks support the official decision making procedure. They provide ways to quickly form Finland’s stance on issues that do not call for a high level stra­tegic decision at the cabinet level. Networks exist at various levels of public admin­istration, some official, some unofficial, some quasi-official. Many of them work un­der auspices of The Government Information Security Management Board (VAHTI). The group proposes that all networks will be developed, and VAHTI-networks in particular.

  4. Participation in international co-operation has to be in line with strategic decisions of the participating government agency. In addition, there should be goals set for all forums participated. In order to avoid the situation where Finland’s participation is dependant on one civil servant, the group proposes that a system of back-up persons to be introduced. Furthermore, the group consider that an active participation in the working of international co-operation bodies is to the benefit of Finland as well as other countries. Consequently, the group urges the Finnish representatives in these bodies to take more responsibilities and assume the positions of the chairman, co- chair and secretary.

  5. The number of international forums calling for Finland’s participation will increase. As the amount of resources dedicated to the information security management may not keep up with this, civil servants need to be made more efficient. This can be achieved by training and the use of new ways of working. The latter includes inter­net-based solutions like groupware and the former eLearning.

The expertise of the Finnish participants in security co-operation forums is usually at a high international level. English language is also, in general, well at par with representa­tives of other countries. The same does not, however, apply to communication and nego­tiation skills, where improvements are needed. This can be achieved by active participa­tion in training and exercises.

 

Tulosta