3 Valtionhallinnon tietoturvahankkeet

3.1 Tietoturvahankkeiden merkitys

Julkisten palvelujen siirtyessä enenemässä määrin tietoverkkoihin korostuu tietoturvallisuuden merkitys jokaiselle asiakkaalle ja virkamiehelle, kansalaiselle ja yritykselle. Tietoturvaongelmat ovat saaneet huomiota tiedotusvälineissä. Suomalainen valtionhallinto nauttii kansainvälisissä vertailuissa korkeaa arvostusta omien asiakkaittensa – kansalaisten – keskuudessa.  Luottamuksen säilyttäminen nopeasti muuttuvassa ympäristössä on suuri haaste. Haastavuutta lisää, että tietoturvallisuuteen vaikuttavat asiat ovat usein nopeimmin muuttuvien joukossa.

3.2 Kansallinen tietoturvastrategia

Keskeinen kansallinen tietoturvallisuuden kehittämistä ohjaava toimintasuunnitelma on kansallinen tietoturvastrategia, jota on arvosteltu konkreettisten tietoturvallisuutta edistävien hankkeiden puutteesta. Valtionhallinnon tietoturvallisuuden kehitysohjelma pyrkii omalta osaltaan edistämään strategian toteutumista jalkauttamalla ylätason tavoitteita.

Kansallista tietoturvastrategiaa laati tietoturvallisuusasioiden neuvottelukunta. Neuvottelukunnan
työn pohjalta Valtioneuvosto teki periaatepäätöksen kansallisesta tietoturvastrategiasta syksyllä 2003. Strategiassa esitetään viisi keskeistä toimintaperiaatetta, joihin kuhunkin liittyy 2–4 toiminnallista tavoitetta:

1. Kansainvälinen ja kansallinen yhteistyö.
2. Yhteiskunnan kehityksen ja kansallisen kilpailukyvyn tukeminen tietoturvaa edistämällä.
3. Tietoturvariskien hallinnan kehittäminen.
4. Yksilön ja muiden toimijoiden perusoikeuksien turvaaminen.
5. Tietoturvatietoisuuden ja osaamisen kehittäminen.

Kansallisessa tietoturvastrategiassa ei käsitelty julkishallinnon sisäiseen tietoturvallisuuteen liittyviä kysymyksiä, mutta valtionhallinnon tietoturvallisuuden kehitysohjelmassa on kansallisen strategian tavoitteet pyritty ottamaan huomioon.

Kansalliseen tietoturvastrategian toteuttamisen seurantaan liikenne- ja viestintäministeriö on asettanut uuden tietoturvallisuusasioiden neuvottelukunnan, jonka toimikausi on  17.10.2003–31.5.2007.

3.3 VAHTI-ohjeet

VAHTIa pidetään valtion tietohallinnon koordinointiryhmistä kaikkein onnistuneimpana[8]. VAHTIn tietoturvatyön tärkeimmät muodot ovat olleet yhteishankkeet sekä VAHTI-ohjeiden julkaisu, joita on yhteensä 25 (tilanne joulukuussa 2003). Sähköisessä muodossa ohjeet on saatavilla  Valtiovarainministeriön verkkosivuilla (http://www.vm.fi/vahti, http://www.vm.fi/tietoturvallisuus ja http://www.vm.fi/vahti-ohjeet).

Työryhmän tekemässä selvitystyössä ilmeni, että VAHTI-ohjeeet arvioitiin sisällöltään korkeatasoiseksi ja kattavaksi kokonaisuudeksi. Ohjeet ovat tarkoituksenmukainen tapa levittää tietoturvatietoutta: ne ovat tiiviitä esityksiä ja ne on sovellettu valtionhallinnon erityiskysymyksiin. Useimmat ohjeet ovat tietoturvaohjeeksi pitkäikäisiä, sillä niiden tarkastelukulma ei yleensä ole rajoittunut tekniikkaan. Ohjeita hyödynnetään laadittaessa virastokohtaisia toimintaohjeita kuten tietoturvapolitiikkoja ja -ohjeita.

Useille valtionhallinnon loppukäyttäjille VAHTIn tietoturvaohjeet eivät sellaisenaan ole tuttuja, vaikka heidän käyttämänsä ohjeet on usein laadittu vastaavien VAHTIohjeiden pohjalta. Tämä organisaatiokohtainen soveltaminen on oleellinen osa VAHTI-ohjeissa esitettyjen asioiden ja toimintatapojen soveltamista käytäntöön, sillä valtionhallinnon yksikköjen väliset erot ovat suuret.

Valtionhallinnon tietoturvallisuuden kehitysohjelman laatinut työryhmä ei rajoittunut tarkastelemaan vain uusien ohjeiden tarvetta, vaan ohjeet nähtiin yhtenä, joskin keskeisenä keinona tietoturvatyön tavoitteiden saavuttamiseksi. Tämä näkyy luvussa 5, jossa on käsitelty työryhmän tärkeimpinä pitämiä tietoturvallisuuden kehityskohteita:

osassa lopputuloksena on ohje, mutta merkittävässä osassa jotain muuta. Tämä on luonnollinen jatko VAHTIn työn monipuolistumiselle ja laajenemiselle.

Ohjeiden määrän lisääntymisestä ja tietoturvaympäristön nopeasta muuttumista seuraa tarve päivittää nykyistä tietoturvaohjeistusta entistä tiiviimmin.

3.4 Muu tietoturvatyö

Valtiovarainministeriön vetämissä valtionhallinnon tietoturvallisuuden yhteishankkeissa useat virastot ja laitokset toimivat yhdessä tietoturvallisuuden kehittämiseksi. Useita yhteishankkeita on järjestetty vuodesta 2001 lähtien, ja yhteishanke tullaan järjestämään myös vuonna 2004. Työryhmän tekemien haastattelujen perusteella yhteishankkeita pidetään erittäin onnistuneena tietoturvatyön muotona ja niitä halutaan lisää. Yhteishankkeita toivottiin myös koko valtionhallintoa suppeampina: alakohtaisesta yhteistyöstä oli haastatelluilla hyviä kokemuksia.

Myös yhteishankintoja ja puitesopimuksia toivottiin lisää. Näillä on merkitystä etenkin pienille virastoille, joiden resurssit ovat rajalliset.

Internet on erittäin tärkeä tietoturvatiedon jakelukanava, joten useat työryhmän haastattelemista
mainitsivat sen tärkeimpien tietoturvatiedon lähteiden joukossa. VAHTIn sivujen kehittäminen tukee paitsi ohjeiden myös muun tietoturvatiedon jakelua ja nostaa VAHTIn profiilia julkishallinnon tietoturvatyön keskeisenä vaikuttajana.

3.5 Valtionhallinnon verkkopalvelujen kehittäminen

Sähköiset palvelut ovat nopeassa kasvuvaiheessa. Suurin osa valtion virastoista ja laitoksista tarjoaa sähköisiä palveluita, joista pääosa on yksinkertaisia peruspalveluita, mutta kehittyneiden, interaktiivisten palveluiden yleistyminen on voimakasta. Asiakkaalle suunnattujen palveluiden rinnalla kehittyvät hallinnon sähköiset prosessit ja näiden liittäminen sähköisiin palveluihin. Tämä on edennyt hitaammin kuin asiakkaiden palvelujen sähköistäminen, mutta vauhti kiihtynee.

Palveluiden ja prosessien sähköistäminen luo tietoturvahaasteita. Prosessien ja palveluiden uhat ovat sähköisessä maailmassa toisenlaisia kuin perinteisessä. Uhkien realisoituminen saattaa johtaa nopeasti suuriin vahinkoihin, mikä ei perinteisissä palveluissa ole yhtä todennäköistä.

3.6 Meneillään olevat hankkeet

Valtionhallinnon tietoturvallisuuden kehittämisen pääpaino on ministeriöissä, virastoissa ja laitoksissa tapahtuva tietoturvatyö. Ammattitaitoisesti tehty ja oikea-aikainen ohjeiden laadinta, uhkiin vastaaminen ja muu kehitystyö on ratkaisevassa asemassa, joten sitä pyritään tukemaan hallinnon yhteisillä toimenpiteillä.

VAHTIn ohjeita ja suosituksia on julkaistu tarpeen mukaan ja tähän pyritään jatkossakin. Valtionhallinnon salausohjelmistojen yhteishankinta etenee ja VM:n yhteishankkeissa on käsitelty tietoturva- ja valmiussuunnittelua, riskien hallintaa ja tietoturvapolitiikkaa sekä muita ajankohtaisia aiheita. Turvatun sähköpostin käyttöä on testattu ja kokeiltu käytännössä.

Viestintäviraston CERT-FI-yksikkö kehittää tietoliikenteen turvallisuutta yhteistyössä operaattorien ja muiden toimijoiden kanssa. Myös CERT-FI:n toiminnassa on oleellisen tärkeää yhteistyö niin julkishallinnon sisällä kuin yksityissektorin toimijoiden kanssa.

3.7 Tietoturvatoimijat

Tietoturvallisuuden kehittäminen on kunkin hallinnonalan ja viime kädessä jokaisen viraston ja laitoksen vastuulla, mutta tietoturvallisuuden edistämisessä korostuu neljän ministeriön rooli.

Valtiovarainministeriö on vastuussa valtionhallinnon yleisestä tietoturvallisuuden ohjaamisesta ja kehittämisestä. Ministeriön sisällä vastuullinen yksikkö on hallinnon kehittämisosasto. Valtiovarainministeriön asettama valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI laatii ohjeita ja suosituksia. Toinen tärkeä toimintamuoto on yhteishankkeet ja -hankintapuitteet, joista vuoden 2004 kattava tietoturvallisuuden yhteishanke on valmisteluvaiheessa ja salaustuotteiden  yhteishankinta on edennyt loppusuoralle. Näiden lisäksi ministeriö on järjestänyt tietoturvaseminaareja sekä osallistuu tietoturvatyöhön kansainvälisissä järjestöissä. Lisäksi valtiovarainministeriössä toimii valtioneuvoston tietohallintopalveluja varten Valtioneuvoston tietohallintoyksikkö (VNTHY), jossa on käynnissä mm. virkakortin käyttöönottohanke.

Liikenne- ja viestintäministeriö (LVM) vastaa sähköisen viestinnän ja teletoiminnan säätelystä. LVM:n alaisella Viestintävirastolla on vuoden 2002 alusta lähtien ollut vastuu  tietoliikenneturvallisuudesta ja tietoturvaloukkausten käsittelystä. Osa tietoturvaloukkauksista johtaa rikosilmoitukseen, jolloin asiaa selvittää poliisi. Ministeriön nimittämä  tietoturvallisuusasioiden neuvottelukunta edistää kansallisen tietoturvastrategian toimeenpanoa.

Oikeusministeriö valmistelee hallintoon liittyvät monet yleislait. Monet näistä sivuavat tietoturvallisuutta ja yksityisyyden suojaa.

Sisäasiainministeriön hallinnonalalla on monta valtionhallinnon tietoturvallisuuden kannalta  keskeistä toimijaa. Väestörekisterikeskuksen ja Keskusrikospoliisin tietoturvarikosyksikön palveluita voidaan hyödyntää kaikkialla julkishallinnossa. Suurta kiinnostusta on herättänyt hallinnonalan virkakorttikokeilu, jonka tuloksia odotetaan.

Tietoturvallisuuden merkityksen lisääntymisen myötä yhä useammalla toimijalla on ollut rooli yhteisissä tietoturvatehtävissä. Toimijoiden roolia on kuvattu mm. valtioneuvoston periaatepäätöksessä valtion tietoturvallisuudesta 11.11.1999.

3.8 Kehittämisohjelma osana tietoyhteiskunnan kehitystä

Julkishallinnon palveluiden tarjoamisesta Internetissä ja sisäisten prosessien sähköistymisestä käytetään nimitystä eHallinto. Muutos perinteisesti suljetuista hallinnon järjestelmistä eHallintoon on ollut nopea, mikä puolestaan on altistanut viranomaisten tietojärjestelmät avoimien  tietoverkkojen uhille.

Hyvin hoidettu tietoturvallisuus ja sen jatkuva kehittäminen ovat keskeiset edellytykset, jotta kansalaiset luottavat sähköisiin palveluihin ja niitä tarjoaviin viranomaisiin.

Sähköisessä ympäristössä osa tietoturvauhista on nopeatempoisia ja edellyttää välitöntä reagointia, osa puolestaan on altistavia uhkia, jotka suurentavat varsinaisten tietoturvauhkien todennäköisyyttä ja uhkien toteutuessa niistä syntyviä vahinkoja.

 

8 Valtion tietohallinnon kehittämisen arviointi - loppuraportti, Cap Gemini Ernst & Young, 2003 sekä Valtion tietohallinnon kehittämisen arviointi -selvitys, 5/2003.

Vahti- ylläpito08.10.2009 / 14:00:17
Tulosta