Julkisen hallinnon digiturvallisuus kehittyy jatkuvasti, mutta uhkia on hallittava paremmin

Digi- ja väestötietoviraston toteuttaman kyselyn tulokset osoittavat, että julkisen hallinnon organisaatiot ovat kehittäneet järjestelmällisesti tietoturvaa, tietosuojaa ja häiriötilanteisiin varautumista viimeisen kahden vuoden aikana. Tähän kehitykseen ovat osaltaan vaikuttaneet lainsäädännön tuomat vaatimukset, muun muassa EU:n yleisen tietosuoja-asetuksen (25.5.2018) ja tiedonhallintalain (1.1.2020) voimaantulo. Aktiivista reagointia ovat vaatineet myös toimintaympäristön nopeat muutokset, kuten koronapandemian aiheuttama etätöihin siirtyminen sekä tietoverkkorikollisuuden ja kybervakoilun yleistyminen.

Digi- ja väestötietovirasto kartoitti hallinnollista digiturvallisuutta keväällä 2021 Organisaation Digiturvakyselyllä, johon vastasi 128 julkisen hallinnon toimijaa. Suurimmat vastaajaryhmät olivat valtionhallinto, kunnat ja kuntayhtymät, korkeakoulut sekä julkishallinnon omistamat sosiaali- ja terveysalan toimijat.

Tietosuoja ja tietoturva kehittyneet eniten

Digi- ja väestötietovirasto toteutti vastaavan kyselyn edellisen kerran alkuvuonna 2019, jolloin tarkastelujakso oli vuosi 2018. Kummallakin kerralla kysely toteutettiin siten, että vastaajaorganisaatiot arvioivat omaa suoriutumistaan väittämissä, jotka kytkeytyvät digiturvallisuuden eri osa-alueisiin – johtamiseen, riskienhallintaan, toiminnan jatkuvuuteen ja varautumiseen, tietoturvallisuuteen ja kyberturvallisuuteen. Mitä lähempänä arvoa 1 tulokset ovat, sitä paremmin organisaatiot katsovat suoriutuneensa.

Verrattaessa tämänvuotisia tuloksia aikaisempaan kyselyyn, on merkittävin kehitys tapahtunut tietosuojassa. Sen osalta kaikkien toimialojen keskiarvo on noussut 0,11 yksikköä (0,70 → 0,81) kahdessa vuodessa. Merkittävää kehitystä on tapahtunut myös tietoturvallisuudessa (0,70 → 0,78) sekä toiminnan jatkuvuudessa ja varautumisessa (0,62 → 0,68).

Eniten haasteita aiheuttavat yhä ICT-palveluiden häiriöt

Digitaalisen turvallisuuden itsearvioinnin lisäksi kysely selvitti erilaisten uhkatilanteiden yleisyyttä ja riskien toteutumista vastaajaorganisaatioissa. Kyselyyn vastanneista organisaatioista 33 prosenttia ilmoitti kohdanneensa vähintään yhden kriittisen tietoturvapoikkeaman. 72 prosenttia vastaajista kertoi kohdanneensa tietoturvapoikkeamia ylipäätään.

Yleisimmäksi haitaksi ilmoitettiin organisaation käyttämissä kriittisissä palveluissa esiintynyt tekninen häiriö, joka jonkin verran haittasi organisaation toimintaa. Toiseksi yleisimmäksi haitaksi ilmoitettiin vastaavanlainen häiriö, joka merkittävästi haittasi organisaation toimintaa. Kolmanneksi yleisin haitta oli organisaation käytössä olevaan palveluun kohdistunut henkilötietojen tietoturvaloukkaus, joka edellytti ilmoituksen tekemistä valvontaviranomaiselle.

Varautuminen parantunut Korona-aikana, mutta myös uusia uhkia ilmennyt

Vastauksissa on nähtävissä toimialakohtaisia eroja. Kyselyn perusteella vaikuttaa siltä, että julkishallinnon sosiaali- ja terveysalan toimijat ovat hallinnollisessa digiturvallisuudessa jonkin verran muita organisaatioita edellä. Tämä ilmiö havaittiin jo edellisessä kyselyssä, joka tarkasteli vuoden 2018 tilannetta.

Vuoden 2018 kyselytuloksiin verrattuna eniten myönteistä kehitystä on tapahtunut korkeakouluissa. Siellä toiminnan jatkuvuus ja varautuminen on noussut 0,23 yksikköä.

Kokonaisuutena voidaan todeta, että koronapandemia on selvästi kehittänyt varautumista erilaisiin häiriötilanteisiin, mutta sen myötä on myös ilmennyt täysin uusia kehittämiskohteita.

"Digitaalista turvallisuutta on kehitetty julkisessa hallinnossa määrätietoisesti. Kuitenkin sekä perinteisiä että uusia uhkia on niin runsaasti, että jatkossakin joudumme lukemaan ikäviä uutisia häiriöistä ja onnistuneista kyberhyökkäyksistä”, tiivistää digitaalisen turvallisuuden johtava erityisasiantuntija Kimmo Rousku Digi- ja väestötietovirastosta.

Digiturvallisuuden kehittämistoimia seurataan pian uudella tavalla

Kyselyn tuloksista koottu raportti listaa 18 kehittämiskohdetta ja esittää niihin kohdennettuja kehittämistoimenpiteitä. Kolme keskeisintä toimenpidettä ovat riskienhallinnan laaja-alainen kehittäminen, ICT-palveluiden vikasietoisuuden parantaminen sekä henkilöstön digiturvaosaamisen edistäminen.

Digi- ja väestötietovirastossa digiturvan kehittämishanke JUDO ja julkisen hallinnon digiturvallisuuden VAHTI-toiminta seuraavat ja tukevat ehdotettujen kehittämistoimenpiteiden toteutumista.

Jatkossa kyselytulokset ja niiden seuranta viedään uuteen palveluun, jonka avulla julkisen hallinnon organisaatiot voivat itse seurata oman digiturvansa kehittymistä ja verrata tuloksiaan muiden vastaajaorganisaatioiden dataan. Samalla palvelu mahdollistaa sen, että Digi- ja väestötietovirasto pystyy raportoimaan julkisen hallinnon digitaalisen turvallisuuden kokonaiskuvasta säännöllisesti.

Linkit

Raportti: Organisaation Digiturvakysely – Raportti ja kehittämiskohteet (pdf)

Video (suora lähetys ja myöhemmin tallenne): Kyselyn tuloksia tarkastellaan Digiturvaseminaarissa 31.8.2021 klo 13.00-13.50

Lisätiedot

Kimmo Rousku, johtava erityisasiantuntija, Digi- ja väestötietovirasto, [email protected], puh. 0295 535 120