Tulostusversio

3/2009

Tietoturva: Katvealue kuntoon

Teksti: Päivi Männikkö

Valtionhallinnolle luodaan ympärivuorokautinen tietoturvaseuranta tiukalla aikataululla.

Vuodesta 2011 alkaen valtionhallinnon tietoturvaa ja mahdollisia poikkeamia valvotaan ympäri vuorokauden. Tietoturvan tilannekuvaa päivitetään ja siitä raportoidaan johdolle ja virastoille tarvittavassa laajuudessa. Tarvittaessa valtionhallinnon yksiköt reagoivat yhteistyössä tietoturvauhkiin ja häiriöihin.

Näin, jos hanke valtionhallinnon ympärivuorokautisesta tietoturvatoiminnasta toteutuu kaavaillussa aikataulussa.

"Kyse on tietoturvatoiminnallisuuden jatkuvan ajantasaisuuden lisäämisestä ja reagointikyvyn parantamisesta. Sellaista toiminnallisuutta ei valtionhallinnossa nyt laajassa mitassa ole", neuvotteleva virkamies Mikael Kiviniemi selittää hankkeen taustaa. Kiviniemi on Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTIn puheenjohtaja ja ympärivuorokautisen tietoturvahankkeen ohjausryhmän puheenjohtaja.

Seurantaa kellon ympäri

Uudella ympärivuorokautisella seurannalla paikataan nykyisiä katvealueita. Tällä hetkellä tietoturvan tilaa seurataan kellon ympäri vain muutamassa valtionhallinnon yksikössä, esimerkiksi puolustusvoimissa, poliisin tietohallintokeskuksessa ja ilmatieteen laitoksella. 

"Kun sähköisiä palveluja ja asiointia kehitetään, on yhä enemmän tarvetta verkkopalvelujen turvallisuuden varmistamiselle myös virka-ajan ulkopuolella", Kiviniemi toteaa.

Hänen mukaansa valtionhallinnossa tietoturvariskit ovat kohtuullisen hyvin hallinnassa, koska suuri osa virastoista on vuosia kehittänyt tietoturvallisuuttaan VAHTI-ohjeiden ja -yhteistyön mukaisesti. Verkkorikolliset kokeilevat tietojärjestelmien pitävyyttä jatkuvasti mutta eivät ole ainakaan toistaiseksi saaneet niitä kokonaan nurin.

Tietoturvauhkia silti riittää, eivätkä valtionhallinnon yhteiset tietoturvaohjeet ja muu yhteistyö voi kitkeä niitä kokonaan. VAHTIn toimintakertomuksen mukaan haittaohjelmat ja tietoturvahyökkäykset saatiin aisoihin valtionhallinnossa vuosituhannen alussa, mutta vuonna 2007 niiden määrä ja haittavaikutukset kääntyivät uudestaan kasvuun.

Tietoturvan poikkeamat ja häiriöt vaikuttavat helposti useaan valtionhallinnon yksikköön, koska niissä käytetään samankaltaisia järjestelmiä ja ratkaisuja.

Riskeistä muistuttavat myös naapurimaiden kokemukset, esimerkiksi Viron valtionhallinnon sivustoille keväällä 2007 kohdistetut palvelunestohyökkäykset.

Ei päällekkäisyyksiä CERT-FIn kanssa

Parhaillaan valtion 24/7 tietoturvahankkeen työ painottuu suunnitteluun, jonka painopiste on toiminnallisuudessa ja yhteistyössä. Toiminnan organisointi voidaan Kiviniemen mukaan linjata vasta suunnittelun edettyä.

Hankkeessa on mukana muun muassa Hallinnon tietotekniikkakeskuksen, valtioneuvoston kanslian, Huoltovarmuuskeskuksen, Puolustusvoimien, sisäasianministeriön, ulkoministeriön, Väestörekisterikeskuksen, Valtiokonttorin, valtiovarainministeriön, Viestintäviraston ja Ilmailulaitoksen edustajia.

Ainakin aluksi valtiotason ympärivuorokautinen tietoturvatoiminto toimii puolustusvoimien yhteydessä. Valinta osui puolustusvoimiin siellä jo kerätyn kokemuksen, 24/7 tietoturvatoiminnan sisällön ja liittymien sekä kireän aikataulun takia, Kiviniemi kertoo.

Hän korostaa, että hankkeessa on kyse valtionhallinnon tietoturvasta. Koko yhteiskunnan tietoturvapäivystystä ei olla perustamassa.

Valtionhallinnon hanke ei astu CERT-FI-yksikön reviirille eikä luo päällekkäistä toimintoa, Kiviniemi painottaa. CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen, joka ehkäisee ja havainnoi tietoturvauhkia sekä tiedottaa niistä. Valtion 24/7 tietoturvatoiminnalle CERT-FI on hyvin keskeinen yhteistyötoimija.

CERT-FI ylläpitää kansallista tilannekuvaa tietoturvatilanteesta. Se ei kuitenkaan käsittele tarkemmin valtionhallinnon tietoturvan tilaa.

”Viestintävirasto tiedottaa haavoittuvuuksista ja tietoturvauhkista. Tämä hanke ei tule sitä tekemään, vaan tässä on kyse valtion tietoverkkojen ja -järjestelmien tietoturvallisuudesta.”

Viestintäviraston ja CERT-FIn edustajia on mukana valtionhallinnon tietoturvahankkeen ohjaus- ja hankeryhmissä.

Pääsyvaatimuksia virastoille

Valtionhallinnon virastoilla on osaksi erilaiset tietoturvatarpeet, eivätkä kaikki yksiköt todennäköisesti tule kuulumaan uuden toiminnan piiriin – ainakaan samassa laajuudessa.

Asiakkuudelle tullaan asettamaan jonkinlaiset vaatimukset, mutta niistä sovitaan myöhemmin hankesuunnittelun edetessä. Palvelun piiriin haluavalta yksiköltä voitaisiin esimerkiksi vaatia tiettyä, valtion IT-strategian mukaista tietoturvan tasoa. Valtionhallinnon tietoturvatasoja on suunniteltu eri yksiköiden yhteistyönä, joten tasovaatimus ei tulisi yllätyksenä, Kiviniemi huomauttaa.

Asiakkaiden valinnassa myös viraston ylläpitämien tietojärjestelmien tärkeydellä olisi merkitystä.

Toisaalta vielä ei ole suunniteltu sitä, voidaanko virasto pakottaa mukaan palveluun, jos sillä on yhteiskunnan toiminnan kannalta elintärkeitä tietojärjestelmiä. Mikael Kiviniemi toteaa, että tätäkin tullaan pohtimaan:

”On hyvin todennäköistä, että tämän hankkeen aikana tulee tarkasteluun esimerkiksi lainsäädännöllisiä asioita.”

Selvitettäväksi tulee, salliiko lainsäädäntö muun muassa tunnistamis- ja haavoittuvuustietojen jakamisen eri virastojen välillä. Avoinna ovat myös eri virastojen toimivaltaan ja tehtävänjakoon liittyvät kysymykset.

Kiviniemen mukaan avoimia kysymyksiä lähestytään tarvittavien toimintojen kautta. Jos toimet edellyttävät lainmuutoksia, ne tehdään.

”Mutta ensin pitää tehdä toiminnallista suunnittelua.”

Tuotanto alkaa 2011

Hanke toteutetaan kilpajuoksuna kalenteria vastaan: Suunnittelu alkoi loppukeväällä, ja hankkeen on määrä valmistua vielä nykyisen hallituksen aikana, vuoden 2011 alkupuoliskolla. Hankkeesta vastaavat valtiovarainministeriö ja puolustusvoimat.

Vielä on Kiviniemen mukaan liian aikaista pohtia, keskitetäänkö ympärivuorokautinen toiminta yhteen yksikköön vai hajautetaanko se eri organisaatioihin.

Virastojen omaa tietoturvatyötä ja omia tietoturvavastaavia tarvitaan kuitenkin jatkossakin, koska viraston oman tietoturvatason kehittäminen, ohjeistus ja koulutus jatkuvat entiseen malliin.

”Jokaisella viranomaisella on edelleenkin vastuu oman toimintansa tietoturvallisuudesta”, Kiviniemi toteaa.

Pilotti ensi vuonna

Pilotointi aloitetaan ensi vuonna sen jälkeen, kun suunnittelu on edennyt riittävästi. Pilottiorganisaatioita ei Kiviniemen mukaan ole vielä valittu. Mukaan halutaan erityyppisiä yksiköitä eri hallinnonaloilta. Merkittävä osa pilottiin osallistuvista yksiköistä valitaan hankeorganisaatioon nimetyistä tahoista.

”Tässä on kyse valtionhallinnon yhteisestä asiasta, joka suunnitellaan yhteistyössä.”

”Joskus pilotoinnilla tutkitaan sitä, tehdäänkö koko asiaa. Tämän hankkeen lähtökohtana on, että ympärivuorokautinen tietoturvatoiminta toteutetaan. Pilotoinnin tarkoitus on varmistaa, että se tehdään laadukkaasti.”

Kiviniemi korostaa, että sekä pilotin että koko hankkeen onnistumisen kannalta on olennaista, että osallistuvat yksiköt antavat työvoimaansa sen käyttöön.

Lue myös

Tietoturva: CERT-FI osa 24/7-toimintaa »
Tietoturva: Järjestelmien tietoturvaan ei oikoteitä »
Tietoturva: NSA ohjaa tietoturvatyötä »
Tietoturva: Viestintävirastosta NCSA »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.