Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä; VAHTIn toimintakertomus vuodelta 2017

Valtiovarainministeriön tehtävänä on julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin lakeihin, säädöksiin ja asetuksiin. Valtiovarainministeriö on asettanut julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) toimimaan julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. Vuoden 2017 alusta kolmen vuoden toimikaudelle asetettu VAHTI jatkaa yli kaksikymmentä vuotta jatkunutta tieto- ja kyberturvallisuuden, laajemmin ymmärrettynä digitaalisen turvallisuuden kehittämistä. Tässä julkaisussa kuvataan VAHTIn toimintaa, yhteistyötä ja vaikutusta vuonna 2017. Vuoden 2017 aikana toteutettiin uusina kehittämistoimenpiteinä julkisen hallinnon digitaalisen turvallisuuden teemaviikko osana EU-alueen laajuista European Cyber Security Month-kokonaisuutta (ECSM). Toinen menestys on ollut vuoden aikana käynnistynyt yhteistyö Julkisen hallinnon tietohallinnon neuvottelukunnan (Juhta) kanssa liittyen tietosuojan ja tietoturvan yhteishankkeisiin. Vuoden aikana julkaistiin viisi julkaisua sekä osallistuttiin Pilkahduksia tulevaisuuteen - digitalisaation ja robotisaation mahdollisuudet –raportin tuottamiseen. Valtiovarainministeriö mittaa digitaalista turvallisuutta julkisessa hallinnossa. Tavoitteena on tunnistaa kehittämisalueita ja kohdistaa niihin toimenpiteitä. Vuoden aikana toteutettiin ensimmäisen kerran sekä VAHTI-organisaatiokysely että henkilöstön ja johdon tietoturvabarometri valtionhallinnon ohella myös kunnille ja sairaanhoitopiireille. Näiden kyselyiden perusteella sekä organisaatiot että valtiovarainministeriö ovat pystyneet muodostamaan digiturvallisuuden kokonaiskuvaa sekä keskittämään resursseja niihin toimenpiteisiin, joilla saavutetaan parhaiten vaikuttavuutta digitaalisen turvallisuuden kehittämisessä

Ohje riskienhallintaan

Digitaalisen turvallisuuden eli muun muassa tieto- ja kyberturvallisuuden sekä tietosuojan taustalla tärkeimpänä prosessina vaikuttaa oikein toteutettu ja toimiva riskienhallinta. Riskienhallinta on entistä tärkeämpää, kun tarve turvallisuuden eri osa-alueiden kehittämiseen on noussut. Tähän ovat vaikuttaneet niin toiminnan digitalisaatio, teknologian tarjoamat uudet mahdollisuudet kuin myös nopeasti kehittyneet uudenlaiset uhkat ja riskit. Ilman toimivaa riskienhallintaa vaarana on, että organisaatio ei tunnista tavoitteidensa saavuttamista uhkaavia tai jokapäiväiseen toimintaan liittyviä merkittäviä uhkia ja ettei se saa niitä hallintaan. Samoin riskienhallinta toimii erinomaisena työvälineenä, kun organisaation tulee kehittää omaa turvallisuuttaan parantavia prosesseja, toimenpiteitä ja palveluita. Riskienhallinnan avulla saavutetaan kustannustehokkuutta, kun kehittäminen voidaan ohjata aidosti sellaisten asioiden toteuttamiseen, joilla on merkittävä vaikutus jonkun tunnistetun uhkan todennäköisyyden tai vaikutuksen pienentämiseen. Riskienhallinnan ohella ohjeessa nostetaan esille myös (positiivisten) mahdollisuuksien tunnistaminen, koska niiden hyödyntämättä jättäminen voi muodostaa uhkan esimerkiksi organisaation toiminnan kehittämiselle tai tavoitteiden saavuttamiselle. Tästä hyvä esimerkki on toiminnan digitalisaatio, joka tulisi nähdä merkittävänä toiminnan kehittäjänä ja mahdollistajana. Toiminnan digitalisaatiossa on kuitenkin myös osattava tunnistaa siihen liittyviä uhkia. Tässä ohjeessa kuvataan riskienhallinnan merkitystä johtamisen ja päätöksenteon välineenä. Ohjeen pääpaino on kuitenkin ISO 31000 riskienhallinta -standardiin pohjautuvan prosessin kuvaamisessa ja toteuttamisessa. Toivomme, että jokainen organisaatio tarkistaa riskienhallintaprosessinsa ja kehittää sitä tarvittaessa tämän ohjeen perusteella. Tämän ohjeen yhteydessä julkaistaan erillinen liiteasiakirja, johon myös ohjeessa viitataan. Liiteasiakirja sisältää lukuisia käytännön esimerkkejä riskienhallinnan kehittämiseksi ja käytäntöön toteuttamiseksi. Tämä ohje korvaa 3/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa -ohjeen

Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä; Toimintasuunnitelma vuosille 2017–2019

Valtiovarainministeriön tehtävänä on julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin lakeihin, säädöksiin ja asetuksiin. Valtiovarainministeriö on asettanut julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) toimimaan julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. Vuoden 2017 alusta kolmen vuoden toimikaudelle asetettu uudistettu VAHTI jatkaa siten jo kaksikymmentä vuotta jatkunutta laaja-alaista tieto- ja kyberturvallisuuden, jatkossa laajemmin ymmärrettynä digitaalisen turvallisuuden kehittämistä. Tässä toimintasuunnitelmassa kuvataan niitä hankkeita, yhteistyön ja kehittämisen muotoja, joiden avulla VAHTI vastaa sille asetettujen tavoitteiden saavuttamisesta. Vuosien 2017–2019 keskeisin kehittämiskohde on vuonna 2010 voimaan astuneen tietoturvallisuusasetuksen uudistaminen osana tietoturvasäädösten uusimista ja toimeenpanoa, joka vastaavasti toteutetaan osana uutta tiedonhallintalakia. Tähän liittyy keskeisesti myös uusien lainsäädäntöön perustuvien vaatimusten toteuttaminen (”VAHTI 100-vaatimukset”) sekä niiden julkaiseminen uudistetussa VAHTI-portaalissa. Toinen keskeinen muutos VAHTI-toiminnassa on uudistettu digitaalisen turvallisuuden hallintamalli, jota toimeenpannaan jatkossa viidessä asiantuntijajaoston alaisuudessa toimivassa asiantuntijaryhmässä. Ryhmät vastaavat muun muassa edellä mainittujen uusien vaatimusten kehittämisestä, ylläpidosta sekä niiden edellyttämien tukimateriaalien toteuttamisesta. Kolmas keskeinen toimenpide koskee tietosuojan kehittämistä julkisessa hallinnossa. Tämä tapahtuu yhteistyössä julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) kanssa toteutettavien tietosuojakoulutusten sekä tietosuoja-asetuksen osoittamisvelvollisuuden yhteishankkeen avulla. Lisäksi VAHTI kehittää toimikauden aikana digitaalisen turvallisuuden kokonaiskuvan raportointia ja mittaamista organisaatio- ja henkilöstötasoll

VAHTIn toimintasuunnitelma vuosille 2018–2019

Valtiovarainministeriön tehtävänä on julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin lakeihin, säädöksiin ja asetuksiin. Valtiovarainministeriö on asettanut julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) toimimaan julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. Vuoden 2017 alusta kolmen vuoden toimikaudelle asetettu VAHTI jatkaa yli kaksikymmentä vuotta jatkunutta tieto- ja kyberturvallisuuden, jatkossa laajemmin ymmärrettynä digitaalisen turvallisuuden kehittämistä. Tässä toimintasuunnitelmassa kuvataan niitä hankkeita, yhteistyön ja kehittämisen muotoja, joiden avulla VAHTI vastaa sille asetettujen tavoitteiden saavuttamisesta. Vuosien 2017-2019 keskeisin kehittämiskohde on vuonna 2010 voimaan astuneen tietoturvallisuusasetuksen uudistaminen osana tietoturvasäädösten uusimista ja toimeenpanoa, joka vastaavati toteutetaan osana uutta tiedonhallintalakia. Tähän liittyy keskeisesti myös uusien lainsäädäntöön perustuvien vaatimusten toteuttaminen (”VAHTI 100-vaatimukset”) sekä niiden julkaiseminen uudistetussa VAHTI-portaalissa. Vuoden 2018 osalta tärkein toimenpide koskee julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelman laatimista sekä siihen liittyvän toimenpideohjelman käynnistämistä. Tämän kehittämisohjelman avulla kehitetään kolmea osa-aluetta, jotka koskevat johtamista ja riskienhallintaa, osaavaa henkilöstöä sekä digitaalisen turvallisuuden kehittämistä hyödyntämällä digitalisaatiota apuna myös turvallisuuden kehittämisessä. Kolmas keskeinen toimenpide koskee tietosuojan kehittämistä julkisessa hallinnossa. Tämä tapahtuu yhteistyössä julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) kanssa toteutettavien tietosuojakoulutusten sekä tietosuoja-asetuksen osoittamisvelvollisuuden yhteishankkeen avulla, joita jatketaan vuoden 2018 loppuun saakka. Lisäksi VAHTI kehittää toimikauden aikana digitaalisen turvallisuuden kokonaiskuvan raportointia ja mittaamista organisaatio- ja henkilöstötasoll

Julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelma

Valtiovarainministeriön tehtävänä on julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja valtionhallinnon tietoturvallisuuden ohjaus. Osana tätä kehittämistä ja ohjaustyötä valtiovarainministeriö kerää julkisen hallinnon organisaatioilta tietoa niin organisaatioiden turvallisuuden toteutumisesta kuin havaituista tai toteutuneista uhkista. Hallinnollisen tiedon ohella kerätään tietoa henkilöstön ja johdon ohjeistuksesta, koulutuksesta, osaamisesta ja asenteista. Tätä kokonaiskuvaa täydennetään organisaatioiden kriittisten palveluiden toimintaa ja turvallisuuden toteutumista mittaavilla tiedoilla. Tällä ohjauksella edistetään julkisen hallinnon tietoturvallisuutta, jonka avulla pyritään mahdollistamaan turvalliset, luotettavat palvelut. Tämän tietopohjan, toimintaympäristössä havaittujen muutosten, ennustettavan uhkatilanteiden muutoksen sekä viimeisten vuosien aikana julkaistujen muiden raporttien ja ohjausasiakirjojen perusteella sekä ennakoiden tulevia lainsäädäntömuutoksia, valtiovarainministeriö on tunnistanut tarpeen julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelmalle. Kehittämisohjelman tavoitteena on varmistaa, että julkishallinnon digitaaliset palvelut toimivat ja että niihin luotetaan. Kehittämisohjelmaan on valittu tavoitteen mahdollistamiseksi kolme painoaluetta, jotka ovat 1) Digiturvallisuuden johtamisen ja riskienhallinnan kehittäminen, 2) Osaava henkilöstö sekä 3) Uuden teknologian hyödyntäminen palveluiden ja turvallisuuden toteuttamisessa. Nämä edellä olevat osa-alueet tulee ottaa huomioon myös tietoturvallisuuteen liittyvää arkkitehtuurityötä kehitettäessä ja sitä hyödynnettäessä. Näiden avulla luodaan ja kehitetään digiturvallista asennetta sekä mahdollistetaan uutta teknologiaa hyödyntäviä palveluita hallinnossa. Kolmen valitun painoalueen kehittämiseksi valtiovarainministeriö toteuttaa julkisen hallinnon digitaalisen turvallisuuden toimenpideohjelman vuosille 2018-2021. Toimenpideohjelma koostuu viidestä toimenpiteestä, joiden avulla varmistetaan painoalueiden kehittyminen ja kehittämisohjelman tavoitteiden saavuttaminen. Valtiovarainministeriö voi tarjota organisaatioille uusia toimenpiteitä vuosittaisen kehittämisohjelman arvioinnin yhteydessä. Kehittämis- ja toimenpideohjelman laatimisesta ja ohjaamisesta vastaa valtiovarainministeriö. Väestörekisterikeskus vastaa kehittämisohjelman toimenpiteiden operatiivisesta tuottamisesta julkisen hallinnon käyttöön sekä niiden toteutumisen raportoinnista valtiovarainministeriöön ja VAHTIlle. Julkisen hallinnon organisaatiot vastaavat omalta osaltaan toimenpiteiden toteuttamisesta omassa toiminnassaan. Kehittämisohjelman avulla tuetaan myös Suomen Kyberturvallisuusstrategian ja sen toimeenpano-ohjelman toteutumista osana valtiovarainministeriön vastuulla olevia toimenpiteitä. Yhdessä näillä toimenpiteillä kehitetään myös julkisen hallinnon kyberturvallisuutta

Henkilöstön ja johdon tietoturvabarometri 2017

Valtiovarainministeriön asettama julkisen hallinnon digitaalisen turvallisuuden johtoryhmä (VAHTI) toteutti loppuvuodesta 2017 järjestyksessään toisen julkisen hallinnon organisaatioille ja henkilöstölle suunnatun VAHTI-tietoturvabarometrin. Tähän vapaaehtoiseen kyselyyn osallistui 105 organisaatiota: 60 valtionhallinnon ministeriötä, virastoa tai laitosta, 38 kuntaa sekä kolme sairaanhoitopiiria. Barometrissä oli tällä kertaa myös mukana 3 yliopistoa ja 1 seurakuntayhtymä. Kyselyyn vastasi yhteensä 8 123 henkilöä. Vastaajista valtiolla työskenteli 3 581 eli 44,1 % vastaajista. Kuntasektorilla 3 434 eli 42,3 % vastaajista ja sairaanhoitopiireissä 791 eli 9,7 % vastaajista. Koko kyselyn vastausprosentiksi tuli 6,4 %. Kyselyssä tuli esiin useita myönteisiä havaintoja, mutta myös kehitettävää. Kuten edellisessä kyselyssä vuonna 2016, kyselyn positiivisimpia havaintoja oli se, että vastaajat pitävät tietoturvallisuutta keskeisenä työnteon mahdollistajana ja muuten tarpeellisena edellytyksenä (93,8 %). Lisäksi edelleen yli 90 % vastaajista (91,8 %) koki olonsa joko hyvin turvalliseksi tai turvalliseksi päätelaitteilla työskennellessään. Tässä on kuitenkin havaittavissa merkittävä pudotus ”Hyvin turvalliseksi” vastanneiden osalta, joka putosi vuoden 2016 41,5 prosentista vuoden 2017 kyselyn 25,1 prosenttiin. Todennäköisesti viimeisen vuoden aikana paljon mediassa esillä olleet tieto- ja kyberturvallisuuteen liittyvät uutiset ovat vaikuttaneet tähän tunteeseen. Valtaosa vastaajista (90,8 % ) piti myös tietoturvallisuuden toteuttamista organisaatioissa vähintään hyvänä. Myös tässä on syytä havaita merkittävä pudotus erittäin hyvin vastanneiden osalta, joka on pudonnut 35,1 prosentista 18,8 prosenttiin eli tässä on tapahtunut 47 prosenttiyksikön pudotus. Tätä kohtaa ja sen kehittymistä on syytä huolella seurata tulevina vuosina. Johto näki tietoturvallisuuden hyvin tärkeäksi (3,63 asteikolla 1–4 ), sen toteuttamisen keskivaikeaksi (2,56) ja toteutumisen kohtalaisen hyväksi omassa organisaatiossa (2,79), kaikissa näissä on tapahtunut marginaalisen pientä parannusta verrattuna edellisen barometrin vastauksiin. Kuten edeltävänä vuotena, kehittämiskohteeksi nousevat henkilöstön säännöllinen tietoturvallisuuden eri osa-alueet kattava koulutus ja tiedottaminen ajankohtaisista tietoturvallisuuden uhkakuvista

Henkilöstön ja johdon tietoturvabarometri

Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toteutti syksyllä 2016 julkisen hallinnon organisaatioille ja henkilöstölle suunnatun VAHTI-tietoturvabarometrin. Tähän vapaaehtoiseen kyselyyn osallistui 97 organisaatiota: 66 valtionhallinnon ministeriötä, virastoa tai laitosta, 30 kuntaa sekä yksi sairaanhoitopiiri. Mahdollisia vastaajia kyselyyn oli yli 168 000 ja vastauksia saatiin 13 915, jolloin vastausprosentiksi muodostui 8,3 %. Organisaatioiden johdolle esitettiin erikseen 15 lisäkysymystä koskien tietoturvallisuuden tärkeyttä, sen toteuttamisen vaikeutta sekä toteuttamisen onnistumista organisaatiossa. Näihin kysymyksiin saatiin 742 vastaust

Glimpses of the future : Data policy, artificial intelligence and robotisation as enablers of wellbeing and economic success in Finland

Our society is moving into the 2020s in a situation where we are making more efficient use of services enabled by new technology to develop new services and business models in society and in business life. The 2020s is predicted to be a decade characterised by the clear breakthrough of artificial intelligence and robotisation in the same way as social media, cloud computing, smart phones, location and time independent working and digital services did in the 2010s. Finland has performed extremely well in international statistics in several fields of society. Finland's stability and security combined with high technology utilisation rate and education level provides an excellent platform for the creation and development of digital business. At the core of this development are citizens, businesses and data. The development of data policy and data management in a way that takes the different life situations of citizens into account is a unique innovation by global standards, and one which we believe will be a significant contributor to Finland’s success in the 2020s. In this big picture, trust plays a key role. This is a major issue that emerges in the context of the personal data processing of private citizens and customers, new business model and service development, making society more resilient, and in national and international cooperation. Trust requires continues development work in different sectors, paying due attention to the threats and risks affecting the digital environment. Here, digital security serves as the enabler of trust and of services made possible by new technology

Pilkahduksia tulevaisuuteen – digitalisaation ja robotisaation mahdollisuudet

Olemme siirtymässä kiihtyvää vauhtia teknologiassa ICT-aikakaudesta uudenlaiseen yhteiskuntaan, jossa keinoäly ja ja robotiikka tarjoavat huimia uusia mahdollisuuksia koko kansakunnan palveluiden toteuttamiseen. Tässä muutoksessa keskiössä on asiakas, eli kansalainen – ei teknologi

Pilkahduksia tulevaisuuteen. Tietopolitiikka, tekoäly ja robotisaatio hyvinvoinnin ja taloudellisen menestyksen mahdollistajana Suomessa

Yhteiskuntamme on siirtymässä 2020-luvulle tilanteessa, jossa olemme entisestään hyödyntämässä uuden teknologian tarjoamia palveluita niin yhteiskunnan kuin elinkeinoelämän osalta uudenlaisten palveluiden ja liiketoimintamallien kehittämisessä. Ennakolta 2020-lukua arvioidaan vuosikymmeneksi, jolloin tekoälyn ja robotisaation uskotaan tekevän selkeän läpimurron samalla tavalla mitä 2010-luvulla esimerkiksi sosiaalinen media, pilvipalvelut, älypuhelimet, ajasta ja paikasta riippumaton työskentely sekä yleensä digitaalisten palveluiden hyödyntäminen. Suomi on menestynyt loistavasti erilaisissa kansainvälisissä tilastoissa useilla eri yhteiskunnan osa-alueilla. Suomen vakaus ja turvallisuus yhdistettynä teknologian korkeaan hyödyntämisasteeseen ja koulutustasoon luo meistä erinomaisen alustan digitaalisen liiketoiminnan kehittämiseen ja tuottamiseen. Tämän kaiken kehityksen keskiössä ovat niin kansalaiset ja yritykset kuin tieto, data. Tietopolitiikan ja tiedonhallinnan kehittäminen kansalaisten elämäntilanteet huomioiden on globaalisti varsin ainutkertainen innovaatio, jonka uskomme olevan eräs merkittävä tekijä mahdollistaessamme Suomen menestystä myös 2020-luvulla. Tässä kokonaisuudessa luottamuksella on keskeinen merkitys. Se nousee esille niin kansalaisten kuin yritysten, asiakkaiden näkökulmasta heidän henkilötietojen käsittelyssä, uusien palveluiden ja liiketoimintamallien kehittämisessä, yhteiskunnan sietokyvyn kehittämisessä erilaisia häiriötilanteita varten ja kansallisessa sekä kansainvälisessä yhteistyössä. Luottamus edellyttää turvallisuuden eri osa-alueiden jatkuvaa kehittämistä digitaaliseen toimintaympäristöön kohdistuvat uhat ja riskit huomioiden. Tässä digitaalinen turvallisuus toimii niin luottamuksen kuin uuden teknologian mahdollistamien palveluiden mahdollistajana