1 YHTEENVEDOT

1.1 Johdon yhteenveto

Tietoturvallisuus on olennainen osa tietoyhteiskunnan ja valtionhallinnon toimintaa. Sillä varmistetaan toiminnan luotettavuus ja sujuvuus kaikissa tilanteissa. Siksi tietoturvallisuutta ei tule ajatella erillisenä toimintona, vaan saattaa kiinteäksi osaksi kaikkea toimintaa.

Tietoturvallisuuteen liittyvät uhat saattavat lamauttaa viraston tai laitoksen, pahimmillaan jopa koko yhteiskunnan toiminnan. Uhat ilmaantuvat aiempaa nopeammin ja vaativat niiden torjumiseksi tarkoitetuilta vastatoimilta entistä enemmän. Tämän vuoksi on laadittu valtionhallinnon  tietoturvallisuuden kehitysohjelma, jolla vastataan nykyisiin tietoturvahaasteisiin ja ennakoidaan tulevia.

Virastokohtaisesti tietoturvatyötä tulee ohjata viraston strategialla sekä toiminta- ja taloussuunnitelmilla, joiden laadinnassa tietoturvakysymykset on otettava huomioon. Toimintastrategian pohjalta laadittavalla tietoturvapolitiikalla varmistetaan tietoturvallisuus kehitettäessä ja ylläpidettäessä organisaation prosesseja ja palveluita. Ohjauksessa tulee käyttää myös tulosohjauksen keinoja, josta on valmisteilla VAHTI[2] -ohje.

Tietoturvallisuuden avulla parannetaan sekä henkilöstön että asiakkaiden luottamusta julkishallintoon, mikä osaltaan edistää verkkopalveluiden käyttöä ja siten parantaa viraston palvelutasoa, vaikuttavuutta ja tehokkuutta. Tietoturvallisuuden kehittäminen edellyttää samanaikaista kehittämistä palveluprosesseissa, toimintatavoissa, henkilöstön ja muiden käyttäjien koulutuksessa sekä teknisissä ratkaisuissa.

Tietoturvallisuuden merkitys on korostunut sähköisten palvelujen ja tietoverkkojen laajamittaisen käytön kautta. Valtionhallinnossa on tehty kattavaa tietoturvallisuuden kehittämistyötä, jonka tuloksia hyödynnetään myös kunnallishallinnossa ja yrityksissä. Tietoturvatyölle on ominaista, että se on jatkuvaa muuttuvien uhkien vuoksi. Uudet tekniikat mahdollistavat uusia toimintatapoja, mutta toisaalta järjestelmien monimutkaistuminen vaikeuttaa turvallisten järjestelmien toteuttamista.

Tietoturvallisuuden tilanne Suomessa on kansainvälisesti katsottuna varsin hyvä. Lainsäädännössä on tietoturvallisuus ja tietosuoja otettu huomioon hyvin, vaikkakin useisiin eri lakeihin hajautuneena. Joidenkin tietoturvallisuuden erityisalueiden kehittäminen ja valvonta on annettu nimettyjen  virastojen vastuulle.

Lopullinen vastuu tietoturvallisuuden toteuttamisesta on jokaisella virkamiehellä, virastolla ja laitoksella. Virastoilla on kuitenkin käytettävissä hyvin erilaiset resurssit turvallisuuden hallitsemiseksi. Useimmilla suurilla virastoilla on ammattitaitoa sekä taloudellisia ja  henkilöresursseja toteuttaa asioita tarvittaessa itsenäisesti. Monet pienet virastot sen sijaan tarvitsevat enemmän konkreettisia toimintaohjeita, valmiiksi neuvoteltuja puitesopimuksia sekä ulkopuolisten asiantuntijoiden hyödyntämismahdollisuuksia.

Panostaminen tietoturvallisuuteen on riippunut paljon myös viraston toimialasta ja tietovarantojen luonteesta. Virastojen välisellä yhteistyöllä ja hallinnon yhtenäisillä ratkaisuilla päästään parempaan lopputulokseen ja taloudellisuuteen kuin puhtaasti virastokohtaisilla ratkaisuilla.

Syksyllä 2003 tehdyn kyselyn[3] mukaan ajankohtaisia ongelmia virastojen tietoturvallisuudessa ovat resurssien puute, henkilöstön asenteet sekä virukset ja muut haittaohjelmat. Kaikkein  akuuteimpana ongelmana kyselyssä nousi esiin roskapostin aiheuttamat sähköpostin häiriöt.

Sähköisen tiedon turvallisuuden korostuessa saattavat kuitenkin muut tietoturvan alueet, kuten paperimuotoisten asiakirjojen käsittely, jäädä liian vähälle huomiolle.

 Tässä kehittämisohjelmassa on eri kehittämishankkeet koottu erilaisiin laajempiin loogisiin kokonaisuuksiin. Näitä hankealueita ovat:

1. Tietoturvakulttuurin luominen, joka sisältää tulosohjauksen käyttämisen tietoturvallisuuden
kehittämiskeinona sekä monipuolista eri tahojen tuottamaa tietoturvakoulutusta. Toteutumista tulee seurata arviointien avulla.

2. Valtionhallinnon tietoturvatyön yleinen tukeminen, jota toteutetaan valtiovarainministeriön (VM) tietoturvaohjausta vahvistamalla. Erityisesti menestyksekkään VAHTIn toimintaedellytykset tulee turvata ja virastojen välistä yhteistyötä tulee tukea. Myös sitovien normien antamismahdollisuuksia parannetaan.

3. Tietoturvallinen viestintä ja asianhallinta, jossa painotetaan sähköisen viestinvälityksen sujuvuutta ja turvallisuutta sekä luotettavia tunnistamismenettelyjä.

4. Tietoturva- ja tietojärjestelmävastaavien työn tukeminen on tärkeä asia, sillä suuri osa tietoturvatyöstä tehdään usein joko vähäisin resurssein tai siten, että resurssit on kohdistettu tietoturvallisuuden kehittämisen sijasta muihin tavoitteisiin. Yhteishankkeilla ja hankintayhteistyöllä (kuten puitesopimukset ja yhteishankinnat) sekä sisällöltään konkreettisilla tietoturvaohjeilla pyritään helpottamaan tietoturva- ja tietojärjestelmävastaavien työtä. Resurssien kohdentamisessa
vaikutetaan virastojen johtoon.

5. Toiminnan ja palvelujen kehittäjien työn tukeminen siten, että tietoturvallisuus ja yksityisyyden suoja otetaan huomioon jo palvelujen ja järjestelmien suunnitteluvaiheessa. Näin voidaan varmistaa, että toiminta on laadukasta ja säädösten mukaista.

6. Peruskäyttäjän tietoturvatyön tukeminen, jossa painottuu koulutus ja turvallisen toimintaympäristön tarjoaminen sekä johdon esimerkki ja kannustus tietoturvallisiin toimintatapoihin.

Tietoturvallisuus edellyttää virastoilta riittävää panostusta ja osaamista. Pelkkä laitteiden ja ohjelmistojen hankinta ei riitä, vaan lisäksi tarvitaan koko henkilöstön valmiuksien kehittämistä, tietohallinnon osaamisen kasvattamista sekä tietoturvallisuuden sisällyttämistä palvelusopimuksiin. Hallinnonala- ja virastokohtaisista budjeteista tulee varata riittävästi varoja tietoturvatoimien  toteuttamiseksi.

Tietoturvallisuuden kehitysohjelman vastuullinen ministeriö on valtiovarainministeriö,jonka tukena käytännön koordinoinnista, seurannasta ja yhteensovittamisesta huolehtii VAHTI.

 

1. 2. Ledningens sammandrag

Datasäkerheten är en väsentlig del av informationssamhällets och statsförvaltningens verksamhet. Den garanterar pålitlig och smidig service i alla situationer. Därför skall datasäkerheten inte ses som en separat funktion, utan den skall integreras i all verksamhet.

De hot som anknyter till datasäkerheten kan lamslå en myndighet eller ett verk, och i värsta fall till och med alla samhällsfunktionerna. Hoten uppstår snabbare än förr och kräver allt mera av de motåtgärder som är avsedda att avvärja dem. Därför har man utarbetat ett utvecklingsprogram för datasäkerheten inom statsförvaltningen, med vars hjälp de nuvarande utmaningarna för  datasäkerheten bemöts och de kommande utmaningarna förutspås.

Det myndighetsspecifika datasäkerhetsarbetet skall styras genom myndighetens strategi, samt genom verksamhets- och ekonomiplanerna, som skall utarbetas med beaktande av  datasäkerhetsfrågorna. Då organisationens processer och service utvecklas och underhålls säkerställs datasäkerheten genom en säkerhetspolitik som utarbetas utgående från verksamhetsstrategin. Även resultatstyrningsmedel skall användas vid styrningen. En VAHTI-anvisning[4] om detta bereds som bäst.

Datasäkerheten förbättrar både personalens och kundernas förtroende för den offentliga förvaltningen, vilket för sin del främjar användningen av nättjänster och således förbättrar myndighetens servicenivå, samhällelig inverkan och effektivitet. Utvecklandet av datasäkerheten förutsätter samtidig utveckling av serviceprocesserna, förfaranden, utbildningen av personalen och de övriga användarna, samt av de tekniska lösningarna. Datasäkerheten har blivit allt viktigare på grund av den omfattande användningen av elektroniska tjänster och datanät. Statsförvaltningen har
bedrivit omfattande datasäkerhetsutveckling, och resultaten av arbetet utnyttjas även inom kommunalförvaltningen och i företagen. Datasäkerhetsarbetet är kontinuerligt till sin karaktär på grund av de varierande hotbilderna. Nya tekniker möjliggör nya handlingssätt, men å andra sidan gör de allt mera komplicerade systemen det svårare att förverkliga säkra system.

Datasäkerhetssituationen i Finland är rätt bra i internationell jämförelse. Datasäkerheten och dataskyddet iakttas väl i lagstiftningen, även om de föreligger utspridda i flera olika lagar. Utvecklandet och övervakningen av vissa specialområden inom datasäkerheten har ålagts vissa utsedda myndigheter.

Det slutliga ansvaret för att datasäkerheten förverkligas ligger hos varje tjänsteman, myndighet och verk. Myndigheterna har dock mycket olika resurser när det gäller att administrera om säkerheten. De flesta stora myndigheterna har yrkeskompetens samt ekonomiska resurser och nödvändig personal för att vid behov genomföra saker självständigt. Många mindre myndigheter behöver däremot mera konkreta handlingsanvisningar, färdigt förhandlade ramavtal och möjligheter att utnyttja utomstående experter.

Insatser i datasäkerhet har även i hög grad varit beroende av en myndighets verksamhetsområde
och karaktären av dataresurserna. Samarbete myndigheterna emellan och gemensamma lösningar för hela förvaltningen leder till bättre resultat och större ekonomisk nytta än rent  myndighetsspecifika lösningar.

Enligt en förfrågan[5] som gjordes under hösten 2003 utgör otillräckliga resurser, personalens attityder samt virus och andra skadeprogram de aktuella problemen för myndigheternas datasäkerhet. Störningarna i e-posten, som orsakades av skräppost, visade sig vara det allra mest akuta problemet. Då den elektroniska datasäkerheten framhävs kan dock andra områden inom informationssäkerheten, t.ex. behandlingen av pappersdokument, förbli utan tillräcklig  uppmärksamhet.

I detta utvecklingsprogram har de olika utvecklingsprojekten samlats i olika, mera omfattande logiska helheter. Dessa projektområden utgörs av

1. Skapandet av en datasäkerhetskultur som innefattar utnyttjandet av resultatstyrningen som ett sätt att utveckla datasäkerheten, samt mångsidig datasäkerhetsutbildning med hjälp av olika producenter. Förverkligandet skall följas upp med hjälp av evalueringar.

2. Allmänt stödande av datasäkerhetsarbetet inom statsförvaltningen, vilket förverkligas genom att finansministeriets (FM) datasäkerhetsstyrning stärks. Speciellt den framgångsrika VAHTIs verksamhetsförutsättningar skall säkerställas och samarbetet myndigheterna emellan skall stödas. Även möjligheterna att utfärda bindande normer förbättras.

3. Datasäker information och ärendehantering, där den elektroniska kommunikationens smidighet och säkerhet samt pålitliga identifieringssätt betonas.

4. Stödandet av datasäkerhets- och datasystemansvarigas arbete är viktigt, eftersom en stor del av dataskyddsarbetet ofta sköts antingen med otillräckliga resurser eller så att resurserna har riktats mot andra mål än utvecklandet av datasäkerheten. Datasäkerhets- och datasystemansvarigas arbete underlättas med hjälp av gemensamma projekt och anskaffningssamarbete (såsom ramavtal
och gemensamma anskaffningar) samt datasäkerhetsanvisningar med ett konkret innehåll. När det gäller allokeringen av resurser påverkar man myndigheternas ledning.

5. Stödandet av deras arbete, som utvecklar verksamheten och tjänsterna, på ett sådant sätt att datasäkerheten och integritetsskyddet tas i beaktande redan då tjänsterna och systemen planeras. På så sätt kan det garanteras att verksamheten håller hög klass och uppfyller bestämmelserna.

6. Stödandet av vanliga användares datasäkerhetsarbete, där utbildning och en säker verksamhetsomgivning betonas, samt ledningens exempel och uppmuntran till datasäkra handlingssätt.

Datasäkerheten förutsätter tillräcklig satsning och kompetens av myndigheterna. Det räcker inte endast med att apparater och program skaffas. Hela personalens färdigheter måste dessutom utvecklas, dataadministrationens kompetens bör ökas, och datasäkerheten skall inkluderas i serviceavtalen. Förvaltningsområds- och myndighetsspecifika budgetar skall innehålla tillräckliga anslag för genomförande av datasäkerhetsåtgärder.

Finansministeriet ansvarar för utvecklingsprogrammet för datasäkerheten. VAHTI stöder ministeriet när det gäller praktisk koordinering, uppföljning och harmonisering av programmet.

1.3 Executive Summary

Information security plays an important role in the information society and in government. Everyday operations of public authorities depend on systems and people working in a data secure way. Therefore, information security should not be considered as a separate activity but as an integral part of all processes and services and developed as such.

Information security incidents may have serious effects on a government agency, and in the worst case they may bring activities of the society into a halt. Security threats occur more and more frequently, and counter measures are increasingly difficult to take. In order to deal with all this and to prepare for future threats The Government Information Security Management Board, VAHTI has prepared The Development Plan for Finnish Government’s Information Security.

Development of information security should be based on each government agency’s strategy and it should be linked to agency’s operational and financial planning (toiminta- ja taloussuunnittelu). Otherwise, data security may not be taken into account when processes and services are being developed. Management by results and performance of government agencies (tulosjohtaminen) should be employed when appropriate. A guide on this is being prepared by VAHTI.

Public administration needs to be trusted by its clients and its employees. A high level of information security is an all-important ingredient in building of trust in public services and eGovernment in general. Furthermore, a good level of information security properly implemented will not impede improvement on efficiency and service level. To accomplish this, processes, systems and know-how have to be developed in concert.

Information security has gained in importance as the eGovernment services have proliferated and the number of customers has picked up rapidly. Consequently, government has completed many information security development activities, many of which embrace local government. The results of these are also utilized in private sector as well.

Information security is characterised by rapidly changing threats, which call for prompt, precise and well organised counter-measures. New technologies have a dual effect. On one hand, new more efficient services and ways of working become available. On the other hand, they introduce new data security problems and add to an ever increasing complexity of system management. 

Compared to many other countries, the level of information security in Finland is high. Data security and privacy have been a concern to legislators, but the number of laws governing data security and privacy is high and increasing, and the overall situation in data security legislation can be considered as rather perplexing. Responsibility for certain areas of information security have been given to selected government agencies.

Each civil servant and each government agency should assume the final responsibility for data security. Ability to develop data security varies from one agency to another. Some may be self-sufficient and have the necessary expertise and resources to carry out major development projects on their own. Others, especially small agencies, rely more on external help and services. They need how-to -guides, outside IT and consulting services and government joint procurement schemes more than their big counterparts.

Investment in data security depends on nature of agency’s activities and services, and on the confidentiality of information in its possession.Co-operation between government agencies will yield better results at less cost than every agency working on their own.

As a part of preparations for the development plan a survey on data security in the Finnish government was conducted. The survey revealed that the most acute problem at hand is e-mail spamming. Other topical areas include the lack of resources devoted to information security, negligence toward data security and malicious programs, especially viruses.

Traditional data security, especially that of printed documents, should not be neglected, but it should be developed along with Internet-related security issues.

The six main development areas to guide the overall development of data security are

1. The creation of culture for data security. This includes various initiatives ranging from use of management by results and performance (tulosohjaus) to security training programs. Various metrics should be developed and employed to monitor the development of data security. They should be accompanied by security audits.

2. The general strengthening of government information security development. This is done mainly by assuring that both the Ministry of Finance and the Government Information Security Management Board VAHTI have enough resources to meet the growing demand for data security information. Along with VAHTI other means of co-operation and coordination will be promoted.
The need for and methods of regulation for Government on data security issues will be investigated.

3. Data security in communication and IT-systems will become increasingly important. This development area includes fighting against spam, introducing new secure means of communications, and other ways to assure that the information technology of eGovernment will operate smoothly.

4. IT and data security professionals work in the front line of data security. Their time is scarce and all too often their valuable know-how is sidelined by assigning them with responsibilities which are of secondary importance. This problem will be tackled by providing them with first class and ready-to-use information security guides and by use of cross government procurement and project schemes in data security products and services.

5. Service and process developers work needs to be supported, so that data security and privacy protection are taken into consideration from the initial phases of service development. This minimises the possibility that a new eService would infringe privacy or data security laws.

6. The end user data security. Data security training and efficient and transparent data security environment are important ingredients in end user data security as well as managers’ practice-what-you-preach -attitude.

Good level of information security cannot be attained without adequate investments and expertise. Having computer security programs installed and devices up and running is a must, but information security development should not be stopped once this has been achieved. Employee computer literacy, IT managers cutting edge knowledge and service agreements inclusive data security are a prerequisite for the information security development. Funding for information security and its development programs have to be included in budgeting process.

The Ministry of Finance has the overall responsibility for the Development Program. VAHTI group assists the Ministry in the preparation, coordination, control and alignment of the program.

 

2 Valtion tietoturvallisuuden johtoryhmä VAHTI. (http://www.vm.fi/vahti).

3 Kehitysohjelman laadinnan tueksi tehty selvitys.

4 Ledningsgruppen för datasäkerhet i statsförvaltningen VAHTI (http://www.finansministeriet.fi/datasakerhet)

5 En utredning som gjordes till stöd för utarbetandet av utvecklingsprogrammet.

Vahti- ylläpito08.10.2009 / 14:00:17
Tulosta