Tulostusversio

2/2010

Hallinto: Tietoturva tiukasti johdon käsiin

Teksti: Päivi Männikkö

Tietoturva ei saa enää olla missään valtion virastossa pelkästään tietohallinnon tai IT-yksikön hyppysissä.

Valtionhallinnon tietoturvallisuutta halutaan kehittää osaksi virastojen johtamista ja ydintoimintoja. Näin linjaa valtioneuvosto viime marraskuussa antamassaan periaatepäätöksessä, joka korvaa edellisen, 1999 annetun periaatepäätöksen.

Uuden periaatepäätöksen ydinasioita ovat tietoturvan johtaminen, varautuminen, nivominen tulosohjaukseen ja hallinnon kehittämiseen, osaamisen kehittäminen sekä lainsäädännön selvittely, luettelee Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTIn puheenjohtaja Mikael Kiviniemi.

VAHTI valmisteli periaatepäätöksen valtiovarainministeriön johdolla ja yhteistyössä valtionhallinnon tietoturvallisuuden kehittämisestä vastaavien tahojen kanssa.

Nyt VAHTI valmistelee vuoteen 2015 ulottuvaa kehitysohjelmaa, jolla periaatepäätöksen linjaukset toteutetaan. Ohjelman luonnos on luettavissa ja kommentoitavana VAHTIn verkkosivuilla >>

Osaksi ydintoimintoja ja kehittämistä

Uusi periaatepäätös ja kehitysohjelma koskevat valtiokonsernin tason toimia. Painopisteet on valittu kehittämistarpeiden, valtionhallinnon kokonaisuuden ja vaikuttavuuden perusteella.

Keskeinen ero edelliseen, vuosina 2004-2006 toteutettuun ohjelmaan on tietoturvallisuuden nivominen osaksi johtamista, tulosohjausta ja kehittämistä:

"Jos yleisjohto ei ota sille kuuluvaa roolia, tietoturvan kehittäminen ei voi edetä riittävän hyvin, vaikka virastossa olisi valveutunut tietohallinto ja tietoturvavastuutahot", Kiviniemi kiteyttää.

Eräs kehitysohjelman ensimmäisistä toimenpiteistä on sen selvittäminen, millä tolalla tietoturvallisuuden johtaminen, raportointi ja tarkastustoiminta ovat valtionhallinnossa.

Ennakointi tavoitteena

Virastosta riippuu, minkä verran uusi periaatepäätös ja kehitysohjelma vaativat niiltä toimenpiteitä. Kiviniemen mukaan useat virastot ovat jo nivoneet tietoturvan johtamiseen.

VAHTIn viimevuotisen kyselyn valossa useilla organisaatioissa on kuitenkin vielä puutteita: Tietoturvatavoitteet olivat mukana tulosohjauksessa vajaalla kolmanneksella virastoista. Hieman alle puolet raportoi tietoturvasta säännöllisesti johdolle.

Niitä virastoja, joilla on vielä kehitettävää, Kiviniemi neuvoo kohdistamaan voimavaroja periaatepäätöksessä linjattuihin asioihin.

Miksi sitten tietoturva ei vielä ole kaikissa virastoissa johdon asia? Mikael Kiviniemi arvelee, että syynä voi olla liian kapea ja tekniikkaan painottuva näkemys tietoturvasta.

"Osassa toimijoista tietoturvakulttuuri ja ennakoiva toiminta eivät ole vielä periaatepäätöksen hengen tasolla."

Haittaohjelmat yhä haasteena

Periaatepäätöksen ja kehitysohjelman mukaan jokaisen viranomaisen tulee huolehtia tietosuojasta ja tietoturvasta omassa organisaatiossaan, yhteistyössä sidosryhmien kanssa sekä hankittaessa palveluja muualta.

Virastojen vastuu tietoturvastaan ei ole uutta. Kiviniemen mukaan sitä kannattaa silti yhä korostaa. Seurannan perusteella eri hallinnonaloilla ja virastoissa on merkittäviä eroja säädösten ja ohjeiden toimeenpanossa.

Tietoturvasta huolehtimista pitää korostaa myös roskapostin ja haittaohjelmien kaltaisten uhkien takia, vaikka niiden torjunnassa on edistytty edelliseen kehitysohjelmaan verrattuna.

"Esimerkiksi haittaohjelmat ovat yhä haasteellisempia ja monimutkaisempia. Siksi on itse asiassa paineita kehtittää ja ylläpitää virastojen haittaohjelmatorjunnan menettelyjä."

Lisää voimavaroja tietoturvallisuuteen

Periaatepäätöksessä korostetaan, että vaikka tietoturvapalveluita hankittaisiin viraston ulkopuolelta, osaamista ei saisi ulkoistaa. Viranomaisilta odotetaan, että ne lisäävät henkilökuntansa tietoturvaosaamista ja voimavaroja tietoturvan kannalta keskeisiin kohteisiin.

Mistä voimavarat otetaan, jos ne nyt hädin tuskin riittävät ydintoiminnan pyörittämiseen? Taas tullaan johtamiseen:

"Tietoturvan h oitaminen pitää käydä läpi toiminta- ja taloussuunnittelun yhteydessä. Täytyy myös muistaa, että meillä on tietoturvavelvoitteita jo laajasti lainsäädännössä. Näin se vain menee", Kiviniemi opastaa.

Johdon pitäisi ottaa ohjat käsiinsä eritoten niissä organisaatioissa, joissa ei ole edes osapäiväistä tietoturvavastaavaa. Näitä yksiköitä oli VAHTIn kyselyn perusteella viime vuonna peräti 14 prosenttia.

Organisaatiomuutoksia selvitetään

Valtionhallinnon eläköitymisaalto tulee näkymään myös tietoturvatoiminnan organisoinnissa.

"Toisaalta eläköityminen tarjoaa myös mahdollisuuden järjestellä asioita vähän totuttua reippaammin, koska on mahdollista tehdä isompiakin toimenpiteitä ilman irtisanomisia", Kiviniemi toteaa.

Periaatepäätöksessä valtionhallinnon tietoturvallisuutta ohjaavien valtiovarainministeriön ja VAHTIn sekä tietoturvapalveluja tuottavien Viestintäviraston ja Valtiokonttorin tehtävät kuvaillaan vain pääpiirteittäin, koska niiden työnjakoa ja organisaatiorakenteita on tarkoitus selvittää.

Säädösviidakkoa aiotaan setviä

Viranomaisia koskevia tietoturvavelvoitteita on useissa laeissa, asetuksissa ja määräyksissä. Perustelumuistion mukaan hajautunut lainsäädäntö saattaa olla riski vakavien häiriötilanteiden ja kriisien hallinnalle sekä johtamiselle. Tietoturvallisuutta ja varautumista koskeva lainsäädäntökokonaisuus aiotaankin käydä läpi viranomaisyhteistyönä.

Tietoturvavelvoitteita sääntelevien lukuisten säädösten tilalle on joskus toivottu erillistä tietoturvalakia, johon pykälät koottaisiin. Mikael Kiviniemen mielestä lähitulevaisuudessa on tärkeää käydä läpi nykyiset säädökset muun muassa viranomaistoiminnan ja hallinnon toimintavarmuuden näkökulmista.

Valmisteilla on myös valtionhallinnon tietoturvallisuusasetus. Se vahvistaisi osaltaan konserniohjausta, joka nyt perustuu pääasiassa VAHTIn suosituksiin ja ohjeisiin.

Varautuminen vahvemmin esillä

Valtionhallinnolla on parantamisen varaa myös riskienarvioinnissa sekä häiriötilanteisiin ja tietoturvaongelmiin varautumisessa. Esimerkiksi VAHTIn viime vuoden kyselyn mukaan vain puolet virastoista arvioi ja dokumentoi ydintoimintojensa tietoturvariskit.

Varautumisen ja riskienhallinnan puutteisiin syvennytään entistä tiukemmalla konsernitason ohjauksella, josta uusi periaatepäätös ja kehitysohjelma ovat vain osa.

Kunnollisella riskienarvioinnilla virasto voi määrittää tietoturvansa sopivan tason kuitenkin niin, että vähintään perustaso saavutetaan. Isoissa virastoissa eri toiminnot voivat olla tietoturvan suhteen eri tasoilla.

Varautumisen kannalta tärkeä hanke on valtionhallinnon ympärivuorokautisen tietoturvatoiminnan laajentaminen.

 

----

Valtionhallintoa koskevan periaatepäätöksen ja kehitysohjelman lisäksi meneillään on muitakin tietoturvan strategisia hankkeita. VAHTIn puheenjohtaja Mikael Kiviniemen mukaan valtion IT-strategia ja kansallinen tietoturvastrategia on otettu huomioon periaatepäätöksen valmistelussa.

Valtion IT-strategian mukaan jokaisen viraston tulee saavuttaa vähintään tietoturvallisuuden perustaso. Strategian painopiste on kuitenkin IT-kehittämisessä kokonaisuutena.

Kansallisen tietoturvastrategian pääpaino puolestaan on yritysyhteistyössä eikä se pureudu yhtä syvälle valtionhallinnon toimintaan.

Lue myös

Hallinto: Kansalaisen tiedot yhdeltä tililtä »
Hallinto: Henkilötietoja muuhunkin kuin mainospostiin »
Hallinto: Sosiaaliturvatieto vaihtaa maata sähköisesti »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.