5 TÄRKEIMMÄT KEHITYSKOHTEET

Kehityshankkeet on jaettu kuuteen hankealueeseen eli kehityskoriin. Koreista kolme on toimenpiteiden kohderyhmän mukaan nimettyjä, kaksi kaikkia kohderyhmiä tukevia ja yksi koko valtionhallinnon tietoturvatyötä tukeva.

Hankkeiden jako korien välillä voisi olla toinenkin kuin tässä esitetty, sillä useat hankkeet edistävät tietoturvallisuutta monilla eri tavoilla.

5.1 Tietoturvakulttuurin luominen

Tietoturvakulttuurin luominen ei tapahdu hetkessä, vaan edellyttää pitkäjänteistä ja määrätietoista työtä, johon valtiovarainministeriö ja VAHTI ovat omalta osaltaan osallistuneet. Tietoturvallisuuden kehitysohjelman yhteydessä tehdyssä tutkimuksessa virastojen ja laitosten tietoturvallisuudesta kävi selkeästi ilmi, että usein tietoturvakulttuuri joko puuttuu tai on vasta muodostumassa. Kulttuurin muodostuminen on paljon pidempi ja mutkikkaampi prosessi kuin yksittäisen tietoturvaongelman ratkaisu.

Jotta virastoissa kyettäisiin muodostamaan tietoturvallisuudesta samanlainen turvallisia toimintatapoja suosiva asenne kuin työturvallisuudessa vallitsee, on asiaan pyrittävä vaikuttamaan seuraavin keinoin, joita on käsitelty muualla tässä dokumentissa:

• Henkilöstön kouluttaminen.
• Johdon tietojen ja valmiuksien parantaminen.
• Avainhenkilöiden kouluttaminen ja koulutuksen suosiminen.
• Tietoturvallisuuden ottaminen mukaan tulosohjaukseen.

5.1.1 Tietoturvallisuuden tulosohjaus ja mittaaminen

Tietoturvallisuus tulee nähdä osana normaalia palvelujen ja toiminnan kehittämistä ja sen on näin ollen oltava mukana tulosohjausprosessissa. Varhaisin VAHTI-ohjeistus aihepiiristä on laadittu jo vuonna 1997. Tietojenkäsittelyn merkitys tuotannontekijänä on jatkuvasti kasvanut ja virastojen johtamisjärjestelmien kehittyminen on ollut nopeaa, joten aiheeseen liittyvän ohjeistuksen uudistaminen on ajankohtaista. VAHTI onkin valmistelemassa vuonna 2004 julkaistavaa uutta suositusta tietoturvallisuuden tulosohjauksesta.

Valtiovarainministeriön työryhmäraportin Tulosohjauksen terävöittäminen (9/2003;http://www.vm.fi/tiedostot/pdf/fi/36817.pdf) mukaan organisaation kokonaistuloksellisuus koostuu neljästä osasta: yhteiskunnallinen vaikuttavuus, toiminnan tehokkuus, laadunhallinta ja henkisten voimavarojen hallinta. Näistä tietoturvallisuudella voidaan vaikuttaa varsinkin laadunhallintaan, mutta merkittävästi myös toiminnan tehokkuuteen.

Kaiken seurannan on oltava johdettavissa yksikön toiminnallisista tavoitteista, ja tämä yhteys on oltava ymmärrettävä sekä yksikön johdolle että koko organisaatiolle. Mikäli yksikön tietoturvasuunnitelmat on laadittu toimintastrategian pohjalta, voidaan tietoturvamittarien valinnassa lähteä tietoturvasuunnitelmista. Tulee kuitenkin huomata, että suorat mittarit ovat luonteeltaan kvantitatiivisia, kun taas tietoturvallisuuden parantamisessa pyritään pääsääntöisesti laadulliseen lopputulokseen, mikä edellyttää useiden suorien mittareiden yhdistelyä.

Tietoturvallisuuden mittaamista voidaan edistää osana organisaation johtamista. Tietoturvallisuuden
tasoa kuvaavat mittarit on sisällytettävä yksikön tulosten seurantaan. Tällöin tietoturvallisuus nähdään toimintaa tukevana asiana, joten se nivoutuu luontevaksi osaksi organisaation tavoitteiden seurantaa, esimerkiksi Balanced Scorecard -tyyppistä mittaristoa. Tällöin seurannan kohteena voi olla esimerkiksi sähköisen palvelun käytettävyysaste tai vasteaika.

Tietoturvallisuutta voidaan mitata suorilla ja epäsuorilla mittareilla. Suoria toiminnallisia mittareita voivat olla esimerkiksi virustorjunta ja palomuuri asennettuna ja ajan tasalla (% työasemista) ja etätyöntekijöillä VPN-yhteys (%). 

Tietoturvallisuuden luonteen vuoksi epäsuorien mittarien merkitys korostuu. Epäsuorista mainittakoon:

• Tietoturvakoulutusta saaneiden henkilöiden määrä ja koulutustuntien määrä.
• Tietoturvasuunnitelmien, -ohjeiden ja muun dokumentaation kattavuus, ajantasaisuus (esim. päivitetty vuoden sisällä) ja saatavuus.

Tietoturvallisuuden mittaamista on käsitelty mm. NIST:n julkaisussa SP 800-55 Security Metrics Guide for Information Technology Systems, July 2003 (http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf).

Toimenpiteet:
• Tietoturvallisuuden sitominen tulossopimuksissa viraston toiminnallisiin tavoitteisiin.
• Valtionhallinnon tietoturvamittariston ja mittaamisperiaatteiden valmistelu ja ohjeistaminen.

5.1.2 Tietoturvallisuuden sitominen virastojen palveluihin ja prosesseihin

Tietoturvakulttuurin muodostuminen edellyttää paitsi virkamiesten ja johdon asenteiden muutosta, myös tietoturvasta vastaavien ihmisten uudenlaista asennoitumista tietoturvallisuuden ja toiminnan suhteeseen. Tietoturvallisuuden kehittäminen on muun tietohallinnon tavoin saatava aiempaa luontevammin osaksi toiminnan muuta kehittämistä ja tietoturvallisen toimintatavan tarjoamien etujen aktiivista esilletuomista. Esimerkiksi käyttäjiä vaivaavaan salasanojen runsauteen korttipohjainen tunnistaminen ja käyttäjäoikeuksien tehostunut hallinta tarjoavat mielenkiintoisia mahdollisuuksia.

Virastojen ja laitosten palvelujen ja prosessien kannalta tietoturvallisuus on liian usein erillinen kokonaisuus, jota käsittelevät tietotekniset ihmiset. Tietoturvamittarien sitominen toiminnan mittareihin on eräs varteenotettava vaihtoehto liian tekniikkakeskeisyyden välttämiseksi. Palvelun käytettävyys (availability) ja kehittyneitä, interaktiivisia palveluita käyttävien asiakkaiden määrä ovat mittareita, jotka ovat ensisijaisesti toiminnallisia, mutta joiden hyvän tason saavuttaminen ei ole mahdollista ilman toimivia tietoturvaratkaisuja. Parhaillaan on käynnissä VM:n johdolla tehtävä verkkopalvelun laatukriteeristö, joka sisältää myös tietoturvanäkökohtia.

Toimenpiteet:
• Kaikissa tietojärjestelmähankkeissa tulee määrittelyvaiheessa ottaa huomioon tietoturvavaatimukset.
• Palvelujen kehittämishankkeissa tullaan aktiivisesti ottamaan huomioon tietoturvallisuutta edistävien, hyväksi havaittujen ratkaisujen tarjoamat mahdollisuudet. Virkakorttihankkeista saaduista tuloksista tullaan tiedottamaan aktiivisesti.
• Hyviä, erityisesti käytettävyyttä edistävien tietoturvaratkaisujen saamaa julkisuutta tullaan edistämään tarjoamalla niitä aiheiksi ammattilehtiin.
• Tietoturvariskien hallintaa kehitetään osana toimintojen jatkuvuuden varmistamista.
• Tietoturva-asiat otetaan entistä paremmin huomioon hankintoja ja sopimuksia tehtäessä. Soveltuvin osin noudatetaan VAHTIn Valtion tietotekniikkahankintojen tarkistuslistaa (VAHTI 6/2001).

5.1.3 Tietoturva-asioiden kouluttaminen

Kansalaisten tietoturvatiedot ja taidot vaikuttavat valtionhallinnon tietoturvallisuuteen. Kansalaisten tietoturvaosaamisen parantamisen lisäksi on panostettava erityisesti korkeakoulujen tietoturvakoulutukseen, jotta tulevien verkkopalvelujen kehittäjien osaaminen vastaa valtionhallinnon tietoturvavaatimuksia.

Osana valtionhallinnon tietoturvallisuuden edistämistä tietoturvakoulutusta pyritään lisäämään kaikilla koulutuksen tasoilla. Nopein vaikutus on organisaatiokohtaisella koulutuksella sekä tietoturvahenkilöiden ammatillisella koulutuksella. Tietoturvahenkilöiden tietoturvatutkintojen suorittamista edistetään ottamalla asia esiin tulos- ja kehityskeskusteluissa. Ammatillinen tietoturvakoulutus voi olla myös hankinta- tai muun yhteistyön kohde.

Korkeakoulutasoisessa opetuksessa edistetään tietoturvallisuuden opetusta ja tutkimusta.
Tietoturvallisuuteen liittyviä koulutuksen ainevalintoja tulee lisätä tietoteknisen koulutuksen ohessa myös kaupallisessa ja teknisessä korkeakouluopetuksessa. Tässä korostuu opetusministeriön rooli. Tietoturvallisuus pyritään saamaan osaksi peruskoulujen opetusohjelmaa sekä keskiasteen koulutusta.

Opetuksen edistäminen tukee selkeästi kansallista tietoturvastrategiaa ja kansalaisten yleisiä tietoyhteiskuntavalmiuksia.

Virastoja kannustetaan antamaan koko henkilöstölleen tietoturvakoulutusta. Toteutuksessa voidaan käyttää myös sopimuksia kaupallisten koulutusyritysten kanssa.

Toimenpiteet:
• Vaikutetaan tietoturvallisuusasioiden neuvottelukunnassa koulutusasioiden edistämiseksi.
• Tiivistetään yhteyksiä tietoyhteiskuntaohjelman vaikuttajiin.
• Tiivistetään viranomaisten koulutusyhteistyötä esim. valtionhallinnon yhteishankkeiden ja VM:n ohjeiden avulla.

5.1.4 Tietoturvaverkostot, -seminaarit ja hyvät toimintatavat

Tietoturvaseminaarit

Valtionhallinnossa järjestetyistä seminaareista on saatu positiivista palautetta ja niiden voidaan arvioida edistäneen verkottumista ja tietoturvakulttuurin luomista.

Seminaaritarjontaa halutaan lisätä ja laajentaa. Aiempien yleisseminaarien rinnalle halutaan kohdennettuja seminaareja. Kohdentaminen voi olla aiheen mukainen (kuten varmenteet, virkakortti tai olemassa olevien ohjeiden hyödyntäminen), henkilöstöryhmän mukainen (kuten johto tai henkilöstöhallinto) tai hallinnonalakohtainen. Tietoturva-aiheisia luentoja annetaan myös osana muita julkishallinnon seminaareja, ja tätä pyritään lisäämään.

Seminaarit tukevat useiden tässä kehitysohjelmassa esitettyjen tavoitteiden toteuttamista, sillä ne:
• Nostavat tietoturvallisuuden arvostusta virastojen johdossa työskentelevien keskuudessa.
• Tukevat verkottumista.
• Tukevat tietoturvakulttuurin muodostumista.

Toimenpiteet:

• Järjestetään seminaareja.
• Vaikutetaan kaupallisiin toimijoihin, jotta ne järjestäisivät valtionhallinnon tarpeisiin soveltuvia seminaareja.

Tietoturvaverkostot

Tehokas tietoturvatyö edellyttää ihmisten verkottumista. Valtionhallinnon tietoturvatyötä tekevien ytimellä on tiivis verkosto, jonka sisällä kommunikointi toimii hyvin. Verkoston laajentamiselle on olemassa selkeä tarve.

Verkostojen syntymistä edistetään myös hallinnonalan sisäisillä tai tietyn toiminnon poikkihallinnollisilla yhteistyöhankkeilla, joita edistetään julkishallinnon yhteishankkeiden rinnalla. Verkostoja pyritään laajentamaan myös yksityiselle sektorille.

Toimenpiteet:

• Valtionhallinnon tietoturvallisuuden yhteishankkeisiin osallistuvien verkottumista edistetään seminaareissa.
• Perustetaan tietoturva-aiheinen keskustelufoorumi, joka toimii verkossa.
• Teemakohtaiset verkostot, joiden muodostumista edistetään mm. keskustelufoorumilla ja seminaareilla. Teemoja voisi olla esimerkiksi tunnistaminen, biometriset menetelmät, SSO (kertakirjaus eli Single Sign-On) ja IDS (tietomurtohälytin eli Intrusion Detection System).[11]

Parhaat käytännöt

Hallituksen tietoyhteiskuntaohjelman tavoitteisiin kuuluu hyvistä toimintatavoista (best practices) kertovan Internet-sivuston perustaminen. Vastaavalle tietoturvaan keskittyvälle sivustolle ei ole tarvetta, mutta VM pyrkii siihen, että perustettavalla tietoyhteiskuntasivustolla esitellään myös:

• Parhaita sähköisiin palveluihin liittyviä tietoturvakäytäntöjä.
• Parhaita sähköisiä palveluita, joissa tietoturvallisuus on ollut tärkeässä mahdollistavassa roolissa.

Parhaisiin käytäntöihin liittyvässä pääministerin jakaman palkinnon arvioinnissa pyritään vaikuttamaan siten, että tietoturvallisuuden erinomaisesti toteuttavat palvelut sijoittuisivat mahdollisimman hyvin.

Parhaiden käytäntöjen syntymisessä ja tiedon leviämisessä tietoturvaihmisten verkottuminen on tärkeä osatekijä. Palkinnoilla ja muilla julkisuutta saavilla asioilla voidaan lisäksi vaikuttaa koko tietoturvallisuuden tärkeyteen.

Toimenpiteet:

• Tietoyhteiskuntaohjelman best practices -sivujen käyttäminen tietoturvaasioiden esittelemiseen.
• Laadittavissa ohjeissa tuodaan esiin parhaita käytäntöjä.

5.1.5 Keskustelufoorumi tietoturva-asioista

Kyselyn vastauksissa tuotiin esiin toive tietoturva-asiantuntijoiden keskustelupalstasta, joka tukisi verkottumista ja mahdollistaisi nopean vastauksen saamisen akuuttiin tietoturvaongelmaan. Internetin kaikille avoimet keskustelupalstat ovat suosittuja, mutta niillä ei voida käsitellä arkaluontoisia asioita.

Valtionhallinnon tietoturvallisuudesta vastaaville suunnattu keskustelufoorumi, johon pääsy edellyttää vahvaa tunnistamista sekä ennakkorekisteröintiä, tarjoaisi mielenkiintoisia mahdollisuuksia. Käyttäjiksi pääsisi vain ennakkorekisteröinnin perusteella valikoitu tietoturvavaikuttajien ryhmä, jotka tunnistettaisiin laatuvarmenteella (esim. virka- tai HST-kortilla) ennen keskustelupalstalle tuloa.

Onnistuessaan palsta lisää vahvan tunnistamisen suosiota ja siitä voidaan tulevaisuudessa kehittää yhteistyön tukemiseen tarkoitettua välinettä (kollaboraatio).

Toimenpiteet:

• Perustetaan keskustelupalsta ja tiedotetaan siitä valtionhallinnon tietoturvavastuullisille.
• Keskustelupalsta voidaan toteuttaa aloittaa erillisenä hankkeena, tai VAHTIn sivustolla.

5.1.6 Kansainvälisen tietoturvayhteistyön kehittäminen

Tietoturvauhat ovat kansainvälisiä eivätkä tunne kieli-, kulttuuri- tai muita muureja edes siinä määrin kuin muut turvallisuusuhat. Myös vastatoimet ovat luonteeltaan samankaltaisia tai täysin samanlaisia eri maissa. Eräät tietoturvallisuutta edistävät toimenpiteet eivät edes ole mahdollisia kansallisella tasolla, vaan edellyttävät kansainvälistä, hyvin koordinoitua ja organisoitua toimintaa. Verkottuvassa maailmassa kansainväliset vaatimukset yhteisistä toimista yhteisiä uhkia vastaan lisääntyvät koko ajan.

Kansainvälistä tietoturvayhteistyötä tapahtuu monella tasolla. Tietoliikenteen, Internetin hallinnan ja ohjelmistojen tietoturva -standardointi koskee kansallisesti eri toimijoita kuin yleisten  tietoturvaperiaatteiden laadinta.

Jotta valtionhallinnon tietoturvallisuutta voitaisiin kehittää, tulee kansainvälisen yhteistyön edellytyksiä parantaa ja työn tulosten soveltamista edistää.

Toimenpiteet:

• Valtionhallinnon toimijoiden sektori- ja hallinnonalakohtaista osallistumista kansainväliseen tietoturvayhteistyöhön edistetään sekä parannetaan osallistuvien tahojen välistä koordinointia.
• Kansainvälisen yhteistyön tuloksista tiedottamista tehdään yhteistyöverkostojen toiminnalla, kääntämällä tärkeimpiä yhteistyön tuloksena syntyneitä raportteja suomeksi, informoimalla valmistelussa olevista asioista valtionhallinnon asianosaisille tahoille sekä aktiivisesti tiedottamalla kansallisista tietoturvatoimista, joista muille maille saattaa olla hyötyä.
• Kansainvälisen tietoturvatyön kannalta keskeisimpiä aineistoja käännetään tarpeen mukaan englannin- ja ruotsinkielelle.

5.2 Valtionhallinnon tietoturvatyön yleinen tukeminen

5.2.1 VAHTIn toiminnan vahvistaminen

Vuonna 2003 tehty selvitys ja työryhmän tekemä kysely osoittavat VAHTIn toiminnan olleen menetyksellistä. VAHTIn tietoturvaohjeet ovat tunnettuja ja arvostettuja ja itse VAHTIa pidetään vakiintuneena osana valtionhallinnon tietoturvatyötä ja siihen liittyvää yhteistyötä.

Positiivisten tulosten, tietoturvatyön lisääntyvän kysynnän ja VAHTIn myötä syntynyt tietoturva-asiantuntijoiden verkottuminen ovat lisäsyitä VAHTIn toiminnan vahvistamiselle. Valtionhallinnon tietoturvallisuuden ammattitaidon ja verkottumisen lisäksi VAHTIn toiminnan sivutuotteena Suomessa on useita valtionhallinnon tietoturvallisuuden erityiskysymyksiin perehtyneitä asiantuntijoita VAHTIa avustaneissa, VAHTIn ohjeita soveltaneissa sekä valtionhallinnon kanssa toimineissa yrityksissä.

VAHTIn pääasiallisena toimintamuotona ovat olleet ohjeiden ja suositusten julkaisu sekä yhteishankkeet. Tässä kehitysohjelmassa esitetään ideoita ja aloitteita, jotka täydentävät ja tukevat näitä.

Toimenpiteet:

• Julkishallinnon sisäistä yhteistyötä tiivistetään VAHTIssa tapahtuvan kehittämisen osalta.
• Tiedottamisella, resurssien varmistamisella ja yhteistyön tiivistämisellä pyritään varmistamaan, että kaikki VAHTIn tehtäviin ja toimialaan kuuluvat tietoturvallisuuden kannalta tärkeät asiat käsitellään ryhmässä.
• Mahdollinen VM:n toimivaltuuksien laajentaminen sitovien tietoturvanormien ja määräysten antamisen osalta edellyttäisi myös VAHTIn toiminnan edelleen vahvistamista.
• VAHTIn sihteeristön toimintaa vahvistetaan.
• Valtiovarainministeriön ja VAHTIn tietoturvatyön vaatimat resurssit turvataan. VM, VAHTI, ja VAHTIssa mukana olevat tuovat aktiivisesti esiin työn tuloksia ja työstään saamaansa positiivista palautetta.
• Valmisteilla olevien VAHTI-ohjeiden laadinnassa otetaan tarpeiden ja mahdollisuuksien mukaan yksityisen sektorin edustajia nykyistä enemmän mukaan.
• VAHTIn profiilin nostoa harkitaan. VAHTI-toiminnan esittely tietoturvamessuilla ja aktiivinen haastattelujen antaminen ovat harkittavia keinoja.

5.2.2 Tietoturvaohjeistuksen kehittäminen

Valtiovarainministeriön VAHTI-tietoturvaohjeet ovat tunnettuja ja arvostettuja. Ohjeet on yleensä laadittu hallinnollisen tietoturvan näkökulmasta ja sellaisiksi, etteivät niissä esitetyt asiat vanhene nopeasti. Näin perusohjeiden rinnalle on tullut käytännönläheisempiä, usein teknisluontoisempia ohjeita ja suosituksia. Työryhmän tekemän kyselyn mukaan vastaajat olivat tyytyväisiä ohjeistuksen määrään ja laatuun.

Nopeasti muuttuvassa ja kehittyvässä tietoturvaympäristössä tarve uusien tietoturvaohjeiden
laadintaan ja olemassa olevien päivittämiseen tulee lisääntymään.

Tietoturvatiedon kysynnän jatkuva kasvu ja uhkien nopea muuttuminen edellyttää myös jatkossa useiden VAHTI-ohjeiden julkaisua vuosittain. Valtionhallinnon tietoturvallisuuden kannalta on ensiarvoisen tärkeää, että ohjeiden korkea taso ja ajanmukaisuus kyetään ylläpitämään, ja ohjeisiin liittyvät kehitysehdotukset voidaan toteuttaa.

Perinteisten ohjeiden julkaisun ohella kehitetään virastoissa tapahtuvan ohjeiden laadinnan tukemista ja julkaistujen VAHTI-ohjeiden muodostaman kokonaisuuden käytettävyyttä. 

Roskapostin hallintaan, arviointeihin, käyttöoikeuksien hallintaan, sähköinen valvontaan ja yksityisyyden suojaan, käyttäjien tunnistukseen, tietoturvallisuuden hallintajärjestelmään ja riskien hallintaan toivottiin työryhmän tekemissä haastatteluissa VAHTI-ohjetta. VM on tiedostanut kyseisten ohjeiden tarpeen, ja tietoturvallisuuden hallintajärjestelmää (VAHTI 3/2003) ja riskien hallintaa (7/2003) käsittelevät ohjeet on julkaistu haastattelujen tekemisen jälkeen.

Toimenpiteet:
• Jatketaan ohjeiden laatimista. Julkaistavien ohjeiden nimistä ja sisällöstä päätetään erikseen.
• Ohjeissa hyödynnetään Internetin suomia mahdollisuuksia.
• Nykyistä ohjeistokokonaisuuden käytettävyyttä parannetaan lisäämällä sähköinen hakemisto, joka kertoo, missä VAHTI-ohjeissa asioita on käsitelty.
• VAHTI tukee osaltaan valtionhallinnon XML-strategian toteuttamista ja selvittää mahdollisuuden hyödyntää XML:ää VAHTI-ohjeissa ja muussa VAHTIn työssä.

5.2.3 Perusinfrastruktuurin tietoturvallisuus

Yhteiskunnan perusinfrastruktuurin toimivuuden varmistaminen kuuluu kansallisen tietoturvastrategian ja yleisen varautumisvelvoitteen piiriin. Tähän perusinfrastruktuuriin kuuluvat mm. sähköverkko, valtakunnalliset tietoliikenneverkot, pankkitoiminta ja liikenneinfrastruktuuri, jotka kaikki hyödyntävät tietotekniikkaa. Näiden kehittäminen ei kuulu tämän kehittämisohjelman piiriin.

Tässä yhteydessä perusinfrastruktuurilla tarkoitetaan organisaatioiden omia tietoverkkoja, tärkeimpiä tietojärjestelmiä laitteineen sekä yhteiskunnan toiminnan kannalta tärkeimpiä  perusrekistereitä.

Perusinfrastruktuurin käytettävyyteen voidaan vaikuttaa varmistamalla valtionhallinnon tietoverkkojen kehittäminen ja ylläpito sekä osallistumalla aktiivisesti Internetin hallinnoinnin kehittämiseen kansainvälisissä organisaatioissa.

Yhteistyön lisääminen yksityisen sektorin kanssa tukee tätä kehityskohdetta, sillä yksityisen sektorin merkitys infrastruktuurin ylläpidossa on suuri.

Perusrekisterien tietoturvallisuus kuuluu perusinfrastruktuurin turvallisuuteen, vaikka niiden tietoturvaongelmat ovat jossain määrin erilaisia. Kaikkia tietoturvallisuuden osia kehitetään, ja eheyden varmistaminen perusrekistereissä on erittäin korkealla prioriteetilla.

Valtionhallinnon kriittisten järjestelmien turvaamiseksi käynnistetty hanke muodostaa erinomaisen pohjan perusinfrastruktuurin turvaamisesi. Hankkeen resurssien turvaaminen ja toiminnan mahdollinen laajentaminen ovat keskeisiä vaatimuksia.

Toimenpiteet:
• Turvataan valtionhallinnon viranomaisverkkojen toiminta.
• Kehitetään perusrekisterien eheyttä tukevia toimia.
• Jatketaan kehitystyötä VAHTIn käynnistämän keskeisten tietojärjestelmien turvaamishankkeen pohjalta.

5.2.4 Sitovien julkishallinnon tietoturvaa koskevien normien anto

Valtiovarainministeriö ohjaa ja koordinoi valtionhallinnon tietoturvatyötä. Ministeriö on panostanut tietoturvallisuuden kehittämiseen, mikä näkyy ohjeina ja suosituksina sekä valtionhallinnon yhteishankkeina. Ohjeiden määrä on lisääntynyt tasaisesti, niiden laatua ja ajankohtaisuutta on kehitetty entisestään, ja yhteisten seminaarien, hankintojen ja muiden hankkeiden avulla on tuettu valtionhallinnossa tapahtuvaa kehitystyötä uusilla toimintatavoilla. Palaute on ollut positiivista ja ulkopuoliset arvioijat ovat päätyneet samankaltaiseen arvioon: valtionhallinnon sisällä tapahtuvasta tietohallintoyhteistyöstä tietoturvayhteistyö on eräs kaikkein tuloksekkaimmista.

Valtionhallinnon tietoturvatyön tulokset on nähtävä laajempina kuin vain julkiseen sektoriin rajoittuvina. Ohjeita ja suosituksia hyödynnetään yksityisellä sektorilla joko sellaisenaan tai sovellettuna, ja valtionhallinnossa omaksutut käytännöt vaikuttavat yritysten tietoturvaratkaisuihin. Valtionhallinnon tietoturvatyön yhteiskunnallinen vaikuttavuus on siis suuri, mikä asettaa vaatimuksia sen korkean tason säilyttämiselle.

Tietoturvalain tarve on kartoitettu aiemmin[12]. Lisäksi Valtiovarainministeriö on selvittänyt hallinnon tilannetta ja kartoittanut muutostarpeita vuonna 2001.

Tilanne on muuttunut etenkin viimeisten vuosien aikana. Tietoturvallisuus vaatii entistä nopeampaa reagointia, tietoturvatyö on kansainvälistynyt ja toimijoiden keskinäinen riippuvuus on toista luokkaa kuin muutamia vuosia sitten.

Ilman yleistä tietoturvalakia on selvitty, eivätkä lain puuttumisesta aiheutuneet ongelmat ole sinällään estäneet menestyksellistä tietoturvatyötä. Valtionhallinnossa on useita tietoturvatoimijoita, joiden toimivaltuudet perustuvat eri säädöksiin. Tietoliikenteestä, henkilötiedoista ja tietoaineistojen käsittelystä on lakeja, mutta säädösten muodostama kokonaisuus alkaa olla melko mutkikas. Erillislakien määrän mahdollinen kasvu vaikeuttaisi tietoturvatyötä tai ainakin sen yhteensovittamista.

Virastojen välinen yhteistyö helpottuisi, mikäli ne voisivat luottaa kaikkien noudattavan yhteistä tietoturvallisuuden minimitasoa ja mikäli toimivaltuudet tietoturva-asioissa olisi selkeästä säädelty.

Siirtyminen sitoviin normeihin ja määräyksiin (jäljempänä ”sitovat tietoturvanormit”) ei olisi niin suuri muutos kuin miltä se saattaa aluksi vaikuttaa. Tietoturvatyötä on valtionhallinnossa tehty laajasti, sillä tietoturvastrategia on yleisempi kuin tietohallintostrategia[13]. Merkittävä osa työstä perustuu VAHTI-ohjeisiin, jotka eräissä organisaatioissa on nostettu sisäisen, sitovan ohjeistuksen tasalle.

Sitovien tietoturvanormien tarve on esitetty useissa VAHTI-työryhmissä, ja myös tämän työn haastatteluissa asia on otettu vahvasti esiin.

Sitovien tietoturvanormien anto voi perustua joko tulevaisuudessa säädettävään tietoturvalakiin tai voimassa olevien säädösten muuttamiseen. Vaihtoehtojen selvittäminen ja arvioiminen on tehtävä pikaisesti, jotta mahdollinen lainvalmistelutyö voidaan aloittaa.

Käytännössä sitovien tietoturvanormien anto tarkoittaisi kahta asiaa. Ensinnäkin valtionhallinnon
keskeisten tietoturvatoimijoiden keskinäiset vastuut tulisi määritellä selkeästi. Toiseksi, osa nykyisissä ohjeissa olevista asioista siirtyisi asteittain sitovaan normistoon normien annosta säätelevässä laissa säädetyllä menettelytavalla. Tämä puolestaan edellyttäisi monta valmistelevaa asiaa: vaikutusten arviointi, siirtymäajasta päättäminen ja resurssien vahvistaminen sitovien määräysten valmistelutyössä. Myös sitovien normien toteuttaminen virastoissa edellyttää tarvittavien taloudellisten ja henkilöresurssien lisäämistä sekä asiaan liittyvien ohjeiden antamista.

Toimenpiteet:
• Selvitetään tarpeet ja keinot valtionhallintoa koskevan sitovan tietoturvaohjauksen tiivistämiseen. Osana selvitystä käsitellään valtionhallinnon yleisen tietoturvalain säätämisen tarve.

5.2.5 Yhteistyö tietoyhteiskuntaohjelman kanssa

Yhteistyö hallituksen tietoyhteiskuntaohjelman kanssa mahdollistaa hallinnon sisäisen tietoturvatyön ohjaamisen tietoyhteiskuntakehityksen strategisten tavoitteiden mukaisesti. Vastavuoroisesti valtiovarainministeriö ja VAHTI pystyvät edistämään tietoturvallisuutta eräänä kaikkein keskeisimpänä luottamusta edistävänä tekijänä.

Eräs hallituksen tietoyhteiskuntaohjelman kohdista on kansallisen tietoturvastrategian toimeenpano. Kansallinen tietoturvastrategia on keskeinen suomalaisen tietoyhteiskunnan turvallisuuteen vaikuttava dokumentti. Tietoturvastrategiassa tehdyn rajauksen mukaan se ei käsittele hallinnon sisäistä tietoturvallisuutta, missä taas valtiovarainministeriön rooli on merkittävä. Tietoturvastrategiassa on kuvattu ylätason tavoitteita tietoyhteiskunnan turvallisuudesta, mutta konkreettisia toimenpide-ehdotuksia on vähän, mikä nostaa toteutusta lähempänä olevan VAHTIn ja tietoturvastrategiasta vastaavien tahojen yhteistyön merkitystä. VAHTIssa ja  tietoturvallisuusasioiden neuvottelukunnassa on edustettuna useita samoja organisaatioita, joten yhteistyö ja tiedon välittyminen näiden elinten välillä on helppoa.

Toimenpiteet:

• Vaikuttaminen tietoyhteiskuntaneuvostossa oleviin ja tietoyhteiskuntaohjelman hankkeissa mukana oleviin henkilöihin.
• Tietoyhteiskuntaohjelman ja VAHTIn riittävä yhteistyö.

5.2.6 Yhteistyö virastojen valmiustoiminnan kanssa

Monissa virastoissa valmiussuunnittelu on eri henkilön vastuulla kuin tietoturva-asiat, eikä näiden välinen yhteistoiminta välttämättä ole kovin tiivistä. Viraston kannalta tietohallinnon ja tietoturvallisuuden varautumistoiminnan ei tulisi jakautua selkeästi normaaliajan häiriöihin ja poikkeusoloihin, vaan siirtymän tulisi olla jatkumo. Siten poikkeusolojen järjestelyjen tulisi olla liitetty osaksi normaaliolojen ratkaisuja.

Varautuminen poikkeusoloihin on monesti merkinnyt investointia laitteisiin ja tiloihin, joita ei normaaliolojen häiriötilanteissa käytetä. Tämä on lisännyt kustannuksia sekä aiheuttanut päällekkäisyyksiä. Lisäksi nopeasti vanhenevien tietoteknisten laitteiden varastointiaika on lyhyt.

Esimerkiksi Huoltovarmuuskeskuksen ATK-varakeskuksella on valmius toimia helposti käyttöönotettavana varapaikkana ja tätä mahdollisuutta jotkut virastot ovat hyödyntäneet.
Kehittämisessä tärkeintä on saada virastojen sisällä valmius- ja tietohallinto- ja tietoturvaihmiset yhteistoimintaan.

Toimenpiteet:

• Ohjeistuksissa otetaan esiin varautumistoiminnan liittäminen normaaliolojen tietohallintoon ja tietoturvatyöhön, mikä edistää virastojen sisäistä yhteistyötä.

5.2.7 Tietoturva-arvioinnit

Arviointeja hyödynnetään erilaisissa tilanteissa, joissa halutaan varmistaa keskeisen laatu-, kirjanpito-, ympäristö- tai muun järjestelmän toimivuus. Tietoturvallisuus on nousemassa näiden veroiseksi järjestelmäksi virastojen toiminnan kannalta.

Tietoturva-arviointeja voi tapahtua usealla tasolla. Laajimmat, koko tietoturvallisuuden hallintajärjestelmän kattavat arvioinnit saattavat tähdätä tietoturvasertifikaatin saamiseen, mutta pienimmät arvioinnit vain verkkolaitteiden asetusten todentamiseen.

Arviointeja voi tehdä ulkopuolinen tarkastaja (joka puolestaan voi olla yksityinen yritys tai virasto), yksikön omat tietoturvavastaavat tai yksiköt voivat ristiinarvioida toisiaan. Oikea metodi riippuu tavoitteista.

Valtionhallinnon hankintayhteistyö (kuten puitesopimukset ja yhteishankinnat) on keino, jolla tietoturva-arviointeja voidaan edistää: pienten yksikköjen mahdollisuudet paranevat ja kynnys arvioinnin tekemiseen madaltuu. Tulosohjaus ja VAHTI-ohjeet ovat myös keinovalikoimassa ja yksiköiden toinen toisilleen tekemiä ristiinarviointeja voidaan edistää tietoturvakulttuurin  muodostumisella.

Toimenpiteet:

• Täydennetään arvioinneista julkaistua VAHTI-ohjetta muilla ohjeilla tai tarkistuslistoilla.
• Perustetaan valtionhallinnon arviointipooli tietoturva-arvioinnin yhteistyön edistämiseksi.

5.2.8 Yhteistoiminta ja jaetut resurssit

Niukkojen resurssien vuoksi virastojen välistä yhteistoimintaa tietoturva-asioissa tulee edistää. Tätä voidaan edistää henkilöiden verkostoitumisella, yhteisillä foorumeilla ja ohjeilla. Yksi mahdollisuus resurssien säästöön on usean viraston yhteiset tietoturvahenkilöt; ratkaisu, jollaisia on jo toteutettu. Etenkin pienissä virastoissa ei välttämättä ole tarvetta täysipäiväiselle tietoturvahenkilölle, jolloin sama henkilö voi palvella useampaa virastoa samalla hallinnonalalla tai alue-/paikallishallinnossa. Samalla virastojen tietoturvaratkaisut tullevat varsin yhdenmukaisiksi.

Toimenpiteet:

• Tuetaan tietoturvaverkostojen muodostumista.
• Selvitetään mahdollisuus hyödyntää tulosohjausta jaettujen resurssien käytön edistämisessä ja resurssien yhteiskäytössä.

5.3 Tietoturvallinen viestintä ja asianhallinta

5.3.1 Roskaposti eli späm

Sähköpostin merkitys niin operatiivisena järjestelmänä kuin asiakaspalvelukanavana on lisääntynyt merkittävästi. Monessa virastossa sähköposti on tärkeimpiä järjestelmiä ja sen käyttökatkokset aiheuttavat nopeasti ongelmia, joten roskapostin tukkima sähköpostipalvelin on saatava nopeasti takaisin käyttöön.

Spämillä (engl. spam) tarkoitetaan roskapostia eli sähköpostia, jota postin vastaanottaja ei ole tilannut, ei halua ja jonka lähettämistä käyttäjä ei yleensä pysty estämään. Aiemmin roskapostista aiheutui käyttäjille pelkästään ylimääräistä vaivaa, kun he joutuivat poistamaan kyseisiä viestejä postilaatikostaan. Viime aikoina tilanne on pahentunut: roskapostitulva, haittaohjelmia sisältävien postien yleistyminen ja spämmillä toteutetut palvelunestohyökkäykset (Denial of Service Attack eli DoS) ovat tulleet niin yleisiksi, että jopa suurten palveluntarjoajien sähköpostipalvelut ovat tukkeutuneet. Eräiden arvioiden mukaan jopa 30-50% kaikesta sähköpostiliikenteestä liittyy spämmiin, ja että späm aiheutti lokakuussa 2003 enemmän taloudellista vahinkoa kuin virukset ja hakkerit yhteensä[14].

Roskapostinvastaisia toimia on valmisteilla useita. Suomessa ja useissa muissa maissa ollaan säätämässä lakeja, joilla pyritään parantamaan vastaanottajien mahdollisuuksia rajoittaa heille tulevaa postia ja lisäämään palveluntarjoajien mahdollisuuksia puuttua akuuttiin roskapostiongelmaan. Roskaposti on kansainvälinen ongelma: saman ongelman parissa painivat useat maat, eikä roskaposti tunne maa eikäkielirajoja.

Ongelma koskettaa yhtä lailla yksityisiä henkilöitä, yrityksiä kuin julkista hallintoa, joskin vaikutukset viimeksi mainitussa ovat sikäli suuremmat, että tukkeutunut sähköposti vaikeuttaa sähköistä asiointia (jossa usein on määräaikoja) ja täten heikentää luottamusta viranomaisiin ja tietoyhteiskuntaan.

Toisin kuin virukset, laajamittainen roskaposti on melko uusi ilmiö, eikä vastatoimiin ole samanlaista rutiinia.

Toimenpiteet:

• Roskapostin hallinnan yleisohjeen laatiminen.
• Kansallisen meneillään olevan lainsäädäntötyön tukeminen, ja työn päätyttyä lakien implementoinnin varmistaminen.
• Osallistuminen kansainväliseen roskapostia rajoittavaan sopimus-, standardointi-, organisointi- ja muuhun työhön.
• Roskapostin torjuntaohjelmistojen puitesopimusten teko.
• Viestintäviraston yhteistyö operaattoreiden kanssa.

5.3.2 Varmenteiden käytön edistäminen sähköpostissa

Palvelukanavana sähköposti on nopea ja joustava, mutta sellaisenaan tietoturvallisuudeltaan heikko. Koska tietoturvallisuuden heikkoudet eivät ole asiakkaiden tiedossa, välitetään salaamattomassa sähköpostissa arkaluontoisia tietoja. Julkishallinnon asiakkaat lähettävät usein sähköpostiviesteissä tietoja, joiden tulisi olla vahvasti suojattuja ja vain vastaanottajan luettavissa. Monet sähköpostin käyttäjät eivät tiedosta tähän liittyviä vaaroja tai ottavat tietoisen riskin, sillä sähköpostiviestin salaamista pidetään joko hankalana tai käytännössä mahdottomana.

Varmenteiden avulla pystytään myös allekirjoittamaan sähköpostiviestit, jolloin voidaan varmistua lähettäjän henkilöllisyydestä. Nykyisin sähköpostin lähettäjän väärentäminen on jokseenkin helppoa, mitä käytetään hyväksi roskapostin ja virusten lähettämisessä. Allekirjoitus lisää käyttäjien luottamusta sähköpostiin, ja allekirjoitusten käytön lisäännyttyä riittävästi sitä voitaisiin hyödyntää myös roskapostin suodattamisessa.

Ongelmaa pyritään ratkaisemaan rakentamalla turvallisen sähköpostiasioinnin vaatimia perusratkaisuja ja tiedottamalla niin asiakkaille kuin viranomaisille tästä mahdollisuudesta sekä opastamalla heitä sen käyttämisessä.

Turvallisessa sähköpostiasioinnissa julkinen sektori voi toimia suunnan näyttäjänä, ja toisaalta sen tulee toimia näin, sillä asiakkaan yksityisyyden suoja saattaa merkittävästi vaarantua suojaamattomassa sähköpostiliikenteessä. Uhkana ei ole ainoastaan väärään osoitteeseen menneet sähköpostit tai sähköpostiliikenteen salakuuntelu vaan myös mahdollinen virushyökkäys (toiset virukset lähettävät saastuneessa koneessa olevia vanhoja sähköposteja uusiin osoitteisiin) ja monet täysin tavalliset järjestelmähallintoon liittyvät toimenpiteet, kuten varmuuskopiointi ja järjestelmän pääkäyttäjätoimet.

Toimenpiteet:

• Toimikortinlukijoiden ja tarvittavien ohjelmistojen yhteishankinta.
• Varmenteiden ja toimikorttien hankinnan yhteinen puitesopimus.
• Varmenteiden käyttöönoton toteuttaminen yhteishankkeena.
• Loppukäyttäjien ja julkishallinnon asiakkaiden opastaminen varmenteiden käyttöön. 

5.3.3 Tunnistaminen ja oikeuksien hallinta

Pääsääntönä tunnistamisessa on, että käyttäjä tunnistetaan ainoastaan, kun siihen on erityinen tarve. Tällöinkin on harkittava mahdollisuutta tunnistukseen, jossa palvelun asiakkaan tunnistaa kolmas osapuoli ja palvelun tarjoajalle asiakas esiintyy anonyyminä.

Tunnistaminen ei liity vain ulkoisten asiakkaiden tunnistamiseen vaan myös sisäisten käyttäjien tunnistamiseen. Monet käyttäjät kokevat, että heillä on liikaa salasanoja; varsinkin kun niitä pitää vaihtaa.

Interaktiivisten kehittyneiden verkkopalvelujen kehittäminen tuo esiin tarpeen tunnistaa asiakas. Aloite tunnistuspalveluiden käyttöön tulee usein palvelujen kehittäjiltä, jotka haluavat tarjota personointia, luotettavaa tunnistamista edellyttäviä palveluita tai parantaa palvelun  tietoturvallisuutta. Käytettävissä olevien vaihtoehtojen määrä tunnistamisessa on lisääntynyt: perinteisten salasanojen ja HST-kortin rinnalle on tullut uusia tapoja, joista suosituin on pankkien tarjoama tunnistuspalvelu.

Luotettava tunnistaminen on tärkeää identiteettivarkauksien estämisessä ja muussa digitaalisen identiteetin suojaamisessa[15]. Luotettavan tunnistamisen lisäksi tunnistamistietojen asianmukainen käsittely ja suojaaminen ovat tärkeitä. Tämä korostuu vahvan tunnistamisen yleistyessä.

Biometrisen tunnistamisen kehitystä seurataan aktiivisesti muutamissa virastoissa, mutta toistaiseksi asian yleinen prioriteetti ei ole niin korkea, että se edellyttäisi välittömiä toimia tässä kehittämisohjelmassa. Asiaa seurataan ja aihetta käsitteleviä tutkimuksia analysoidaan, jotta kehitysjakson puolivälissä voidaan arvioida, tarvitaanko biometrisen tunnistamisen hanke.

Tunnistamiseen liittyy kiinteästi käyttöoikeuksien hallinta, jossa järjestelmä myöntää tunnistetulle käyttäjälle oikeuden joihinkin palveluihin. Käyttöoikeuksien hallinta on eräs tietohallintohenkilöiden kokemista ongelmista, jonka voidaan arvioida muuttuvan entistä akuutimmaksi palvelujen  kehittymisen, yleistymisen ja käyttäjämäärien kasvun myötä.

Valtionhallinnon vahvan tunnistamisen kehittämisen kannalta erittäin tärkeä hanke on virkakorttipilotit, joista saatavien kokemusten myötä PKI-pohjainen vahva tunnistaminen voidaan ottaa käyttöön laajassa mittakaavassa.

Toimenpiteet:

• Hyödynnetään tunnistuksessa ja oikeuksien hallinnassa samoja varmenteita ja laitteita kuin sähköpostin salauksen ja allekirjoituksen yhteydessä.
• JULHA-hakemiston käyttöä lisätään ja sen tarjoamia palveluita monipuolistetaan.
• Laaditaan ohje modulaarisen käyttöoikeuksien hallinnan rakentamiseksi järjestelmiin.
• Yhteisen tunnistuspalvelun rakentaminen virkakorttihankkeiden kokemusten pohjalta.

5.3.4 Tietoliikenneverkkojen ja päätelaitteiden tietoturvallisuus

Langattomat lähiverkot ovat yleistyneet yrityksissä ja kotitalouksissa, vaikka valtionhallinnossa niiden käyttö on toistaiseksi vähäistä. Mobiililaitteet ovat puolestaan yleisiä kaikkialla ja niiden tietoturvallisuus on saanut osakseen huomiota. Laitteiden yhä lisääntyvä kapasiteetti ja koon pienentyminen tekee niiden hukkaamisen entistä vahingollisemmaksi ja entistä helpommaksi.  Mobiililaitteiden, ja joissain tapauksissa myös langattomien verkkojen, tietoturvallisuuteen törmätään yleensä etätyön ongelmia ratkottaessa, mutta virastojen langattomat lähiverkot ovat yleensä jääneet yksittäisiksi kokeiluiksi. Asiakkaille suunnatut mobiilipalvelut ovat vielä vähäisiä, mutta niiden määrä lisääntyy.

Päätelaitteiden ja tietoliikenneverkkojen tietoturvavaatimukset kasvavat koko ajan: kovalevyjen salaus, VPN ja hajautettu palomuuri alkavat olla kannettavien laitteiden tietoturvavaatimuksia, mutta uusia tulee. Palomuurien hallinta edellyttää ammattitaitoa ja nopeaa reagointia, joita tuetaan koulutuksella, yhteistyön tiivistämisellä sekä tietoturvaohjelmiston integroinnilla.

Työryhmä arvioi, että niin mobiililaitteiden kuin langattomien lähiverkkojen tietoturvallisuuden
merkitys kasvaa muutaman vuoden kuluessa. Valtionhallinnon tietoturvallisuuden kehittämisessä tärkeä ennakointi on täten mahdollista. Ohje vaikuttaa luonnollisimmalta muodolta toteuttaa tämä, mutta muitakaan vaihtoehtoja ei tässä vaiheessa suljeta pois.

Toimenpiteet:

• Laaditaan ohje langattomien lähiverkkojen tietoturvallisesta toteuttamisesta.
• Laaditaan ohje mobiililaitteiden tietoturvallisuudesta.
• Seurataan langattomien lähiverkkojen ja mobiililaitteiden tietoturvallisuuden kehittymistä ja tiedotetaan asiasta.
• Edistetään kaikkien laitteiden ja tietoliikenneverkkojen turvallisuutta tietoturvallisuuden tulosohjauksen keinoin, hankintayhteistyöllä ja koulutuksella.
• Valmistellaan sähköpostia ja tietoliikenneyhteyksien suojaamista koskevat linjaukset.

5.3.5 Asianhallinnan tietoturvallisuus

Asianhallintajärjestelmät, dokumentinhallinta- ja työryhmäohjelmistot ovat jo nyt yleisesti käytössä, ja niiden uskotaan yleistyvän edelleen. Sähköpostia käytetään yleisesti asianhallintajärjestelmänä tai tällaisen tukena, vaikka kyseessä on kommunikointiin tarkoitettu sovellus.

Toimenpiteet:

• Varsinaisten asian- ja dokumenttien hallintajärjestelmien käyttöä edistetään. Näiden valinnassa arvostetaan hyviä tietoturvaominaisuuksia.
• Kehitysjakson loppupuolella dokumenttienhallinnan ja työryhmäohjelmistojen tietoturvallisuudesta valmistellaan ohje, mikäli aihe on riittävän akuutti.
• Julkaistavissa ohjeissa tuodaan esiin, ettei sähköpostia ole tarkoitettu asianhallintaan virusvaaran, arkistointiongelmien ja muiden seikkojen johdosta.

5.4 Tietoturva- ja tietojärjestelmävastaavien työn tukeminen

Tietoturvallisuuden toteuttaminen edellyttää riittävästi osaavia tietoturvatyöhön suunnattuja resursseja. Resurssit ovat usein niukkoja, sillä ne on kohdennettu muuhun kuin tietoturvallisuuden kehittämiseen.

Työryhmän tekemissä haastatteluissa ilmeni selkeästi, että resurssien niukkuus koetaan tietoturvallisuuden kehittämistä rajoittavaksi, usein jopa estäväksi tekijäksi. Nimenomaan pätevien ihmisten ajasta on puutetta, mutta myös raha on usein rajoittava tekijä.

Rahan riittävyys ei takaa henkilöresurssien määrää, sillä henkilöstöpolitiikka voi rajoittaa uusien osaajien rekrytointia. Tietyt osat tietoturvallisuudesta ovat lisäksi sellaisia, että niiden  ulkoistaminen on käytännössä vaikeaa, ja konsulttipalveluiden ostaminen ja työn ohjaaminen edellyttävät organisaation omaa työpanosta.

Pula resursseista näkyy kipeämmin tietoturvallisuuden kehittämisessä kuin jatkuvassa tietoturvatyössä. Useat tietoturvallisuuden hallintajärjestelmänsä sertifioinnista kiinnostuneet virastot sanoivat, ettei asia ole ajankohtainen niin kauan kuin tietoturvahenkilöiden kuormitus on nykyisellä erittäin korkealla tasolla.

Tietoturvavastaavien ja tietojärjestelmästä vastuullisten merkitys kokonaisuuden kannalta on kriittinen ja heidän työnsä tukemiseen tulee kiinnittää aiempaa enemmän huomiota.

Toimenpiteet tietoturvallisuuteen allokoitujen resurssien lisäämiseksi:

• Kansliapäälliköihin ja virastojen yleisjohtoon vaikuttaminen.
• Tietoturvatiedottamisen lisääminen.
• Tietoturvallisuuden tulosohjauksen edistäminen.
• Ammatillisen tietoturvakoulutuksen lisääminen.

5.4.1 Valtionhallinnon yhteishankkeet ja hankintayhteistyö

Tehdyssä kyselyssä tuotiin usein esiin tietoturvallisuuden yhteishankkeiden merkitys. Ne koetaan tehokkaana tapana edistää yhteisesti tärkeitä, ajankohtaisia asioita.Yhteishankkeet tukevat myös tietoturvaihmisten verkottumista, parhaiden käytäntöjen leviämistä ja edistävät hyvän  tietoturvallisuuden saamaa positiivista julkisuutta.

Yhteishankkeiden sisältö voi koskea mitä tahansa tietoturva-asiaa, mutta erityisesti ajankohtaisten, useita virastoja koskevien asioiden käsittelylle on kysyntää. Sähköisten palvelujen tietoturvallisuus, vahva tunnistaminen, sähköpostin turvaaminen, riskienhallinta ja tietoturvasuunnittelu ovat tällaisia asioita. Tähän mennessä on toteutettu yhteishankkeita tietoturvallisuus- ja valmiussuunnittelun tehostamiseksi sekä virastotasoisten ohjeiden laatimiseksi.

Suurten, koko julkista sektoria koskevien hankkeiden rinnalla on selkeä tarve yhden hallinnonalan, toiminnon tai muun yhdistävän asian tietoturvahankkeille.

Tietoturvatuotteiden yhteishankintoihin kohdistuu positiivisia odotuksia, vaikka esimerkiksi salaustuotteiden yhteishankintahanke ei ole vielä valmis.

Toimenpiteet:

• Toteutetaan yhteishankkeita ja hankintayhteistyötä virastojen tarpeiden ja osallistumismahdollisuuksien mukaan.
• Hankintayhteistyötä tiivistetään yhteistoiminnassa Hanselin kanssa.
• Laajennetaan tietoturvaohjelmien puitesopimuksen hyödyntämistä.

5.4.2 Ohjelmien versiopäivitysten hallinta ja jakelu

Sähköiset palvelut koostuvat useasta yhteen liitetystä tietojärjestelmästä. Yhden järjestelmän tietoturvallisuuden pettäminen saattaa vaarantaa koko palvelun tai pahimmassa tapauksessa koko viraston tietoturvallisuuden. Ohjelmien tietoturva-aukkoja paljastuu tiheästi, ja vaikka useimpiin on saatavilla korjaus (patch, fix) ei kaikkia ohjelmien tietoturva-aukkoja ole paikattu.

Päivitysten jakelu saattaa olla erittäin vaikeaa, mikäli järjestelmäympäristössä on laitteita, joiden fyysinen hallinta on viraston ulkopuolella. Lisääntyvä etä- ja matkatyö on tyyppiesimerkki tästä tilanteesta.

Tietoturva- ja tietotekniikkavastaavat kokevat päivitysten jakelun ja hallinnan suurena ongelmana, joka vaatii paljon resursseja ja sisältää lukuisia riskitekijöitä. Tilannetta voidaan helpottaa ohjelmilla, toimintamalleilla, selkeillä vastuilla ja mahdollisesti arvioinneilla.

Tietojärjestelmien ja etenkin niiden käyttöjärjestelmien korjauspäivitysten nopea asentaminen vaikuttaa merkittävästi tietoturvallisuuteen. Entuudestaan tunnettuja käyttöjärjestelmä- ja sovellushaavoittuvuuksia hyödynsi lähes kaksi kolmasosaa tietojärjestelmään suuntautuneista hyökkäyksistä, entuudestaan tuntemattomia noin joka neljäs[16].

Toimenpiteet:

• Laaditaan ohje päivitysten testaamisesta ja suorittamisesta.
• Edistetään laitteiden ja ohjelmien hallintaan tarkoitettujen ohjelmistojen käyttöä hankintayhteistyössä.

5.4.3 Tietoturvaratkaisujen integrointi

Koko tietoturvaympäristö on muuttunut entistä heterogeenisemmaksi. Päätelaitteita ja verkkoratkaisuja on monenlaisia, tietojärjestelmiä ja toimipisteitä entistä enemmän. Samassa tahdissa on tietoturvaohjelmien määrä ja niiden hallinta muuttunut mutkikkaaksi.

Tietoturvaratkaisuja tultaneen integroimaan entistä enemmän niiden hallinnan helpottamiseksi.
Tämä tarjoaa yhtä aikaa niin haasteita kuin mahdollisuuksia. Mahdollisuuksia tarjoaa päivitysten nopea jakelu ja tietoturvaihmisten kuormituksen pienentäminen, haasteista mainittakoon integroidun ohjelmiston omien tietoturvaongelmien aiheuttamat vahingot sekä uuden ohjelman käyttöönotosta tulevat kustannukset.

Toimenpiteet:

• VAHTI seuraa suurimpien tietoturvaohjelmistovalmistajien suuntausta valmistaa palomuurin, virustorjunnan ja muiden tietoturvaohjelmistojen yhdistäviä kokonaisuuksia. Näiden hyöty tullaan arvioimaan. 

5.4.4 Virustorjunnan ylläpito

Virustorjunta on tietoturvallisuuden tyypillisimpiä rutiineja, jonka merkitys on yleisesti ymmärretty. Virustorjunta pitäisi saada asennetuksi ja jatkuvasti ylläpidetyksi kaikkien virastojen kaikkiin tietokoneisiin, ja tästä olisi hyvä saada aikaan sitova normi. Virustorjunnan suurimpina haasteina on sen ylläpito kannettavissa tietokoneissa sekä etätyöasemissa.

Asia on aina ajankohtainen, joten VAHTI on käynnistänyt virustorjunnasta annetun ohjeen päivittämisen.

Toimenpiteet:

• Huolehditaan, että virustorjunnasta on aina saatavilla ajan tasalla oleva ja mahdollisimman kattava VAHTI-ohje.
• Tuotetaan ohje ostopalveluiden sopimuksista.
• Virustorjunnan ottaminen mukaan tulosohjauksen kriteereihin (esimerkiksi monessako prosentissa laitteista on virustorjunta, joka on päivitetty viimeisen 24 tunnin kuluessa).
• Kehitetään valtionhallinnon yleistä reagointikykyä virusuhan torjumiseksi.

5.4.5 Valtionhallinnon ympärivuorokautinen tietoturvapalvelu

Tietoverkkojen tietoturvaloukkaukset eivät tapahdu vain virka-aikana, joten on olemassa tarve jatkuvaan tietoturvapalveluun. Tämän alueen toimijoita on olemassa useita, ainakin puolustusvoimilla, poliisin tietohallintokeskuksella sekä kaupallisilla toimijoilla. Yhtenä riskinä on pidettävä eri toimijoiden välisen tiedonvaihdon ongelmia laajamittaisen tietoturvahyökkäyksen torjumisessa.

Hallinnon toimijat tarjoavat palvelujaan kuitenkin vain yhdelle tai muutamalle virastolle. Useat virastot ostavat tietoverkkojensa hallinnoinnin kaupallisilta toimijoilta, joiden tulisi huolehtia akuuteista tietoturvatoimistakin. Ostopalveluiden yhteydessä kuitenkin operaattoreiden tietoturva-ammattitaito ei välttämättä ole riittävä vakavien ongelmien ilmetessä, eikä vastuista ja toimista ole sovittu.

Viestintäviraston CERT-FI toiminta on parantanut suomalaisen yhteiskunnan kykyä vastata nopeasti realisoituviin tietoturvauhkiin. CERT-FI on ollut auki vain virka-aikaan, mikä on koettu puutteeksi.

Valtionhallinnon tietoturvatyön kehittämisessä ei perusteta yksityisen palvelutarjonnan kanssa kilpailevaa toimintaa, vaan yksityissektorin palveluja hyödynnetään, milloin tämä on tarkoituksenmukaista.

Toimenpiteet:

• Selvitetään tarve ympärivuorokautiselle hallinnon tietoturvapalvelulle.
• Kehitetään yksiköiden kykyä nopeaan reagointiin ja tietoturvatietolähteiden hyödyntämiseen.
• Kehitetään tiedonvälitystä nopeaa reagointia vaativissa tietoturva-asioissa.

5.5 Toiminnan ja palvelujen kehittäjien työn tukeminen

Sähköiset palvelut eli verkkopalvelut muodostavat laajan kokonaisuuden, jonka tietoturvallisuuden
kehittäminen vaatii useita toinen toisiaan täydentäviä hankkeita. Palveluiden kehitystä tapahtuu kolmella tasolla: palveluiden kehittyneisyysaste kasvaa, tarjotaan uusia verkkopalveluita ja uudet yksiköt rakentavat palveluita.

Kehittyneitä palveluita tarjoavat törmäävät teknisiin ongelmiin sekä ongelmiin, joita kukaan ei ole aiemmin kohdannut. Ensimmäistä kertaa peruspalvelujaan verkkoon vievä virasto taas löytää tukea ongelmiinsa jo olemassa olevista tietoturvaohjeista ja hankkeista, mutta ei välttämättä tiedä, mitä tehdä.

Toiminnan kehittäjien osalta tilanteen voidaan olettaa olevan hyvin samankaltainen kuin palvelun kehittäjien.

5.5.1 Asiakasnäkökulman korostaminen

Sähköisten palvelujen tietoturvallisuus ei ole riippuvainen vain palveluja tarjoavan viraston toimenpiteistä, vaan tietoturvallisuudessa on otettava huomioon asiakasnäkökulma. Käytännössä tämä tarkoittaa laajasti ymmärretyn käytettävyyden ja tietosuojan huomioon ottamista palvelujen suunnittelussa ja toteutuksessa.

Asiakasnäkökulman huomioon ottamisen edistämistä ei ole helppo kiinnittää mihinkään yksittäiseen hankkeeseen, vaan käyttäjän näkökulma on oltava mukana kaikessa tietojärjestelmäkehityksessä.

Toimenpiteet:

• Käytettävyyssuunnittelua ja käytettävyyden testaamista tullaan edistämään tekemällä tunnetuksi ohjeita ja suosituksia.
• Tulevissa VAHTI- ja muissa tietoturvaohjeissa tullaan aiempaa useammin kirjoittamaan luku, jossa arvioidaan tietoturvaohjeiden vaikutuksia käyttäjän kannalta.

5.5.2 Sähköinen valvonta ja yksityisyyden suoja

Työnantajan oikeus valvoa työntekijöiden sähköpostia on puhuttanut jo useamman vuoden ajan, ja on esimerkki uusista ongelmista, joihin vanhojen periaatteiden soveltaminen sellaisenaan ei tuo tyydyttävää ratkaisua. Ongelma on laajempi kuin pelkkää sähköpostia koskeva: uudet tietoturvallisuutta yhdeltä osa-alueelta parantavat ratkaisut saattavat heikentää toisia. Vähitellen yleistymässä olevat IDS-järjestelmät (tietomurtohälytin eli Intrusion Detection Systems), verkonvalvonta sekä muut apuvälineet saattavat epäsuorasti mahdollistaa sähköisen valvonnan. Asia ei vielä ole akuutti, mutta sen merkitys on nousussa. Lisäksi kyseessä on tilanne, jossa uudet tekniset mahdollisuudet sekä nopeasti muuttuva lainsäädäntö hankaloittavat juuri
pienten virastojen asemaa.

Elektronisen valvonnan ongelmat tulevat esiin myös biometristen tunnistusten yhteydessä. Toistaiseksi biometristen tunnisteiden käyttö on vähäistä, vaikkakin kansainvälisistä seikoista johtuen lisääntymässä. Käytön yleistymistä estää moni seikka, joista eräs on epäselvyydet biometristen tunnisteiden käytön säätelystä. Eräissä tunnistusmenetelmissä on periaatteessa mahdollisuus valvoa henkilön terveydentilaan liittyviä tekijöitä. Ongelma ei ole akuutti, mutta kehitysohjelman loppupuolella asia saattaa olla tärkeä.

Toimenpiteet:

• Liikenne- ja viestintäministeriön valmistelema ja muu kansallinen ja kansainvälinen biometrisia tunnistusmenetelmiä käsittelevä aineisto analysoidaan, ja tämän pohjalta päätetään tarpeellisista toimenpiteistä.

5.5.3 Yksityisyyden suojan yleinen kehittäminen

Yksityisyyden suojaan liittyvät kysymykset koetaan usein ongelmallisiksi ennen palvelun aloittamista, mutta ei yleensä sen jälkeen kun palvelu on toiminnassa. Yksityisyyden suojaan liittyviä asioita pidetään siis yleensä vaikeampina ratkaista kuin mitä ne todellisuudessa ovat. Vastaava ilmiö esiintyy tietoturvallisuudessa yleisemmin, mutta lienee tietosuojan kohdalla korostunut.

Yksityisyyden suojan kehittäminen toteutuu kolmella toisiaan tukevalla toimenpiteellä: VM:n, VAHTIn ja muiden tietoturvatoimijoiden sekä tietosuojavaltuutetun yhteistyön ylläpitämisellä, yksityisyyden suojaan liittyvien asioiden huomioinnilla VAHTIohjeissa ja muissa valtionhallinnon tietoturvahankkeissa sekä erillisissä yksityisyyden suojaa käsittelevissä hankkeissa.

Yhteistyön kehittämisessä pyritään jatkamaan nykyistä linjaa, jossa tietosuojavaltuutetun toimiston edustaja osallistuu kaikkiin yksityisyyden suojan kannalta keskeisten tietoturvahankkeiden valmisteluun. Tietosuojavaltuutetun toimisto avustaa VAHTI-työryhmiä tapauskohtaisesti sovittavilla menettelytavoilla.

Myös niissä VAHTI-hankkeissa, joissa tietosuojavaltuutetun toimiston edustaja ei ole tukemassa työryhmän työtä, tulee yksityisyyden suojaan liittyvät asiat ottaa huomioon.

Uusissa tietoturvallisuuden kehittämishankkeissa tulee seurata erityisesti yksityisyyden suojan turvaamiseen tarkoitettujen ohjelmien ja tekniikoiden kehitystä (ennakointi), sekä valtionhallinnossa esiin tulevia yksityisyyden suojaa koskevia ongelmia (reagointi).

Toimenpiteet:

• Tietosuojavaltuutetun toimiston yhteistyö toiminnan kehittäjien ja tietoturvaihmisten kanssa.
• Tietosuojavaltuutetun osallistuminen tietoturvan kehitysfoorumeihin.

5.5.4 PET-teknologiat

Esimerkkinä ennakoivista hankkeista mainittakoon yksityisyyden suojaamiseen tarkoitetut PET-teknologiat (Privacy Enhancement Technology), jotka ovat melko uusi teknisten ratkaisujen joukko, joka tarjoaa mahdollisuuden nykyistä parempaan yksityisyyden suojaan. Digitaalinen raha, nollatietotodistukset ja muut PET:iin kuuluvat ratkaisut[17] ovat tietoturva-asioita, joiden merkityksen arvioidaan nousevan seuraavien viiden vuoden kuluessa.

PET-teknologioiden tunnetuksi tekeminen tarjoaa VM:lle ja VAHTIlle mahdollisuuden ennakoivaan ja palveluja mahdollistavaan tietoturvatyöhön. Tieto mahdollisuuksista lisää halua käyttää niitä sähköisten palvelujen suunnittelussa. Tämä puolestaan vaikuttaa siihen, että kansalaiset alkavat kuluttajina vaatia PET-teknologioiden käyttöä kaupallisissa palveluissa.

Toimenpiteet:

• VAHTIn avustuksella VM tulee aktiivisesti seuraamaan PET-teknologioiden kehitystä yhdessä Tietosuojavaltuutetun toimiston kanssa
• VAHTI julkaisee PET-teknologioita käsittelevän ohjeen (tai muun julkaisun), kun niiden kypsyysasteen arvioidaan olevan riittävä.

5.6 Peruskäyttäjän tietoturvatyön tukeminen

Monet edellä kuvatuista valtionhallinnon tietoturvallisuuden kehityskohdista vaikuttavat peruskäyttäjän tietoturvallisuutta parantavasti, eikä niitä tulla tässä kohtaa käsittelemään yksityiskohtaisesti. Roskapostin (eli spämmin) vastaiset toimet, asianhallinnan tietoturvallisuus, tietoturvakulttuurin luominen ovat esimerkkejä asioista, jotka olisi voitu sijoittaa peruskäyttäjän tietoturvatyön tukeminen -koriin. Mikäli näin olisi tehty, olisi tämä kori paisunut suureksi. Koska työryhmä ei halunnut jakaa kehityskohdetta useaan koriin, eikä toisaalta toistaa samoja asioita päädyttiin ratkaisuun, jossa viitataan edellä käsiteltyihin asioihin ja käsittelemään vain aidosti uudet asiat.

Peruskäyttäjien tietoturvallisuuden kehittäminen vaatii pitkäjänteistä työtä ja ominaisuuksia, joita tietoturvatyötä tekeviltä ei ensimmäiseksi odoteta. Koulutuksen ja motivoinnin taidot, asioiden yksinkertaistaminen ja selkeä, käytännönläheinen esitystapa vievät tietoturvallisuutta eteenpäin. Loppukäyttäjät ovat heterogeeninen, laaja joukko, jonka tietoturvallisuuden edistäminen on erittäin vaativa tehtävä.

VAHTI on jo julkaissut ja tulee julkaisemaan lisää loppukäyttäjille suunnattuja aineistoja sekä tukemaan tietoturvan parissa työskentelevien heille antaman koulutuksen järjestelyjä ja koulutusmateriaalin julkaisua.

Virastojen ja laitosten tietoturvavastaavien ja henkilöstöhallinnon mahdollisuuksia tietoturvakoulutukseen lisätään. Juuri julkaistu VAHTIn koulutusopas ja siihen liittyvä piakkoin valmistuva materiaali tullaan pitämään ajan tasalla ja ohjeesta tullaan aktiivisesti hakemaan palautetta, jota hyödynnetään jatkokehityksessä. Mainittu ohje lisää myös tietoturvavastaavien mahdollisuuksia antaa tietoturvakoulutusta.

Loppukäyttäjien tietoturvakoulutuksessa tullaan hyödyntämään verkkoteknologioiden suomia mahdollisuuksia, kuten verkossa tarjottavaa koulutuspakettia ja multimediamateriaalia. Yhteistyötä Suomen Virtuaaliyliopiston tai virtuaalikursseja tarjoavan korkeakoulun kanssa tullaan harkitsemaan tarkastelujakson loppupuolella.

Loppukäyttäjille suunnatun materiaalin ulkomuotoon ja pedagogisiin asioihin tullaan kiinnittämään erityistä huomiota.

Seminaaritoiminnan lisäämisen myötä harkitaan loppukäyttäjän tietoturvallisuuden edistämiseen suunnatun tilaisuuden järjestämistä.

Varmenteiden käytön lisääminen tarjoaa mahdollisuuksia loppukäyttäjien tietoturvallisuuden parantamiseen. Toimiva virkakortti tekee mahdolliseksi kertakirjauksen (SSO eli Single Sign-On) ja tätä kautta mahdollistaa salasanojen määrän vähentämisen.

Käyttäjien kokemaa salasanojen runsautta ja niiden hallinnan vaikeutta helpotetaan virkamieskortin suomien mahdollisuuksien tiedottamisella sekä asiaan liittyvillä yhteishankkeilla.  Mobiilivarmenteiden käyttömahdollisuuksia tullaan tutkimaan ja toimikortin lukijalaitteiden sekä muiden tietoturvaohjelmistojen valinnassa tullaan painottamaan käytettävyyttä.

Tietoturvakoulutusta osana muuta tietotekniikkakoulutusta tullaan lisäämään, jolloin tietoturvallisuuden sitominen osaksi normaalia päivittäistä toimintaa helpottuu.

Tietoturvakoulutuksen lisääminen peruskouluissa, keskiasteen koulutuksessa ja korkeakouluissa parantaa peruskäyttäjien tietoturvaosaamista ja valmiuksia käyttää tietoturvaratkaisuja.

Johdon esimerkin merkitystä ei voida korostaa liikaa. Käytännössä johdon osallistuminen (tai pois jäänti) tietoturvakoulutukseen viestii henkilöstölle asian todellisesta merkityksestä. Johdon asenteiden merkityksestä tullaan kertomaan kansliapäällikkökokouksessa ja valtionhallinnon tietoturvaseminaareissa.

Toimenpiteet:

• Tietoturvakoulutusta ja koulutuksen edellytyksiä lisätään.
• Virkakortin, kertakirjauksen ja muiden peruskäyttäjän tietoturvallisuutta edistävien ratkaisujen yleistymistä tuetaan.
• Vaikutetaan virastojen johtoon, jotta tietoturvallisuudesta tulee luonteva osa päivittäistä toimintaa.

 

11 Tietoturvaan liittyvistä termeistä ks. Valtionhallinnon tietoturvakäsitteistä (VAHTI 4/2003).

12 Saarenpää et al: Tietoturvallisuus ja laki, näkökohtia tietoturvallisuuden oikeudellisesta sääntelystä, Valtiovarainministeriö ja Lapin yliopisto, 1997

13 Tietoja valtion tietohallinnosta 2002. Tietohallintostrategia oli 68% virastoista ja laitoksista, tietoturvasuunnitelma 73%:lla.

14 www.mi2G.com ja The Washington Post 10.10.2003

15 Australian oikeusministerin mukaan identiteettivarkauksien (kaikissa muodoissaan) arvioidaan aiheuttavan Australiassa noin 700 miljoonan euron vuotuiset kustannukset. USA:ssa kustannusten arvioidaan olevan noin 45 miljardia euroa ja Iso-Britanniassa lähes 2 miljardia.

16 Information Week 2003 U.S. Information Security. Hyökkäykset ovat voineet hyödyntää molempia haavoittuvuuksia. Ks http://www.internetweek.com/breakingNews/showArticle.jhtml?articleID=16100232.

17 Nollatietotodistuksessa henkilö kykenee vakuuttamaan toiselle, että hän tietää salaisuuden paljastamatta itse salaisuutta (esim. että hänellä on validi tarkistusnumero). Päinvastoin kuin luottokorttirahassa, ja kuten paperirahassa, digitaalisen rahan maksajaa ei liitetä maksuvälineeseen.

Vahti- ylläpito08.10.2009 / 14:00:17
Tulosta