Tulostusversio

2/2012

Profiili: Verohallinto

Teksti: Päivi Männikkö

Kuinka paljon Maija Meikäläinen tienasi viime vuonna? Se ei kiinnosta ainakaan verkkorikollisia. Maijan verotuksen toimittaminen on kuitenkin riippuvaista tietojärjestelmistä ja siksi hyvin haavoittuvaista.

Vajaan viiden miljoonan maija ja matti meikäläisen henkilö- ja verotustietoja käsitellään Verohallinnon toimipisteissä ympäri Suomea.

"Verohallinto ei ole perinteinen viranomainen vaan tiedon massaprosessoija. Meidän toimintamme on täysin riippuvaista tietoverkoista ja tietojärjestelmistä ja siinä mielessä hyvin haavoittuvaista", turvallisuusjohtaja Petri Puhakainen sanoo.

"Verotuksen toimittamisen kannalta tärkeää on, että asiakkailla on hyvä luottamus tietojen käsittelyyn. Yrityksethän antavat meille liikesalaisuuksiaan ja henkilöt arkaluonteisiakin tietoja", ylitarkastaja Taito von Konow toteaa. Hän on toinen Verohallinnon kahdesta pelkästään informaatio-oikeuteen - tietosuojaan sekä julkisuus- ja salassapitoasioihin - keskittyvästä asiantuntijasta.

Sähköinen asiointi yhä suositumpaa

Verohallinnon tavoitteena on, että mahdollisimman suuri osa massatiedoista lähetettäisiin sinne sähköisesti. Esimerkiksi yrityksistä noin puolet antaa veroilmoituksen sähköisesti. Henkilöverotuksessa sähköisten ilmoitusten osuus on vielä paljon suurempi. Sähköinen asiointi verottajan kanssa on yhä suositumpaa. Verkkopalveluista huolimatta asiakkaat haluaisivat asioida myös turvattomalla sähköpostilla.

"Asiakaspalautteissa tulee todella usein esille se, ettei meillä ole palvelua, johon voisi lähettää kysymyksiä omista asioista ja saada vastauksia. Kansalaisen asiointitili on toki yksi kanava, mutta se ei ole meillä käytössä", von Konow pohtii.

Verohallinto ohjaa ihmisiä hoitamaan asiansa muilla keinoin kuin sähköpostilla. Yleisluontoisiin kysymyksiin voidaan silti vastata sähköpostitse.

Koska asiakkaiden tietoturvaosaamiseen ei voi vaikuttaa, Verohallinto pyrkii suojaamaan omat järjestelmänsä hyvin.

"Sähköisistä asiointipalveluista ei ole suoria yhteyksiä tänne operatiiviseen järjestelmään, eikä niissä ole mitään ainutkertaista tietoa", Puhakainen kertoo.

Sekä sähköinen asiointi että sisäverkko on rakennettu siten, että tietoturvaongelma ei pääse leviämään koko verkkoon. Järjestelmiin ja palveluihin laaditaan riskianalyysejä, ja teknistä testausta tehdään säännöllisesti. Tietoturvaongelman jälkeisen jatkuvuuden ja toipumisen suunnittelu kuuluu myös ohjelmaan.

Verotiedoista ei hyötyä rikollisille

Verovelvollista mietityttää silti. Onko esimerkiksi mahdollista, että joku murtautuu Verohallinnon järjestelmiin ja varastaa sieltä miljoonien ihmisten henkilötiedot?

”Rikollisia Verohallinto ei hirveästi kiinnosta, koska näillä tiedoilla ei voi tehdä helposti rahaa. Valtioiden tiedustelupalveluitakaan tämä ei kiinnosta. Mutta me toteutamme poliitikkojen päätöksiä, ja jos joku hermostuu niistä, suuttumus voi kohdistua meihin”, Puhakainen sanoo.

Toistaiseksi Verohallinto on tiettävästi säästynyt kohdennetuilta hyökkäyksiltä, jotka tyypillisesti yritetään tehdä mahdollisimman huomaamattomasti.

Todennäköisempi uhka kuitenkin on, että verkkoasiointi kaatuu suuren kävijämäärän takia, sillä valtaosalla väestöstä veroasioiden hoitaminen keskittyy muutaman viikon ajanjaksoon. Kuormituspiikeistä ei silti ole Puhakaisen mukaan viime vuosina ollut mitään näkyviä ongelmia.

Kaivattu ohjaus teettää töitä

Verohallinnon työntekijöiden tietoturva- ja tietosuojaosaamista pidetään yllä koulutuksin ja ohjein. Koko henkilöstöä koskevien linjausten lisäksi on toimialakohtaisia tietoturvaohjeita sekä tietojen luovuttamista ja salassapitoa koskevia ohjeita.

Koko henkilöstölle järjestetään vuosittain kaksi tietosuojakoulutusta. Lisäksi tietosuoja-asiaa sisällytetään asiantuntijakoulutuksiin. Tietoturvakoulutusta annetaan avainryhmille, kuten sovellustyön tekijöille, esimiehille ja johtoportaalle sekä kaikille uusille työntekijöille.

Koulutuksen tarve tuskin vähenee lähivuosina, kun Verohallinto toteuttaa valtionhallinnon tietoturvallisuusasetuksen ja siitä johdettujen tietoturvatasojen ja ICT-varautumisen vaatimuksia. Petri Puhakaisen mukaan asetus tuo kaivattua tietoturvan ohjausta, joskin teettää paljon työtä aina kulunhallintajärjestelmän uusimisesta alkaen.

”Tietoverkon rakennekin uudistetaan, tosin osittain myös uhkakuvien takia.”

Verohallinnon koko toiminnassa ryhdytään noudattamaan tietoturvan keskimmäistä eli korotettua tasoa. Se edellyttää muun muassa, että uudet palvelut ja tuotteet täyttävät aiempaa huomattavasti yksityiskohtaisemmat tietoturvavaatimukset.

”Tietosuojan kannalta esille nousee nyt se, millä tavoilla tietoja voi lähettää. Ennen asetusta se oli tapetilla lähinnä sähköpostin käytön kannalta”, von Konow vertaa.

Edessä tietojärjestelmien uusiminen

Toinen lähivuosien jättihanke on kaikkien verotuksen tietojärjestelmien korvaaminen valmisohjelmistoilla vuoteen 2017 mennessä. Haasteena on suomalaisten ja EU:n tietosuoja- ja tietoturvamääritysten huomioiminen, sillä niitä ei välttämättä ole valmiina hankittavissa ohjelmistoissa. Hankkeen suuruutta kuvaa se, että nyt menossa on tarjouskilpailu siitä, mikä taho aikanaan huolehtii kilpailutuksesta.

Tietoturvahaasteisiin vastaamista vaikeuttavat valtionhallinnolle niin tutut resurssiongelmat. Verohallinnon työntekijöiden keski-ikä on miltei 50 vuotta, ja lähivuosina eläköityy runsaasti osaajia. Uusien tietoturva-ammattilaisten palkkaaminen taas on vaikeaa paitsi valtionhallintoa supistavan tuottavuusohjelman takia, myös siksi, että heistä on pulaa.

”Rahaa ja tekijöitä on vähän, hyviä vaatimuksia on paljon. Ja pahoilla pojilla näyttää olevan sekä rahaa että tekijöitä”, Petri Puhakainen tiivistää.

---

  • 5 300 työntekijää yli sadassa toimipisteessä
  • Kerää suurimman osan Suomen veroista ja veronluonteisista maksuista.
  • Asiakkaita ovat kaikki henkilöt ja kuolinpesät sekä yritykset, yhteisöt ja alkutuottajat.

www.vero.fi

Lue myös

Profiili: Verottajasta tuli myös väestörekisterin pitäjä »
Profiili: Verottaja urkkii harvoin »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.