TAISTO18-harjoitus paljasti tietosuojan ja tietoturvan hallinnan kehitystarpeet – harjoittelu jatkuu syksyllä 2019
TAISTO18-harjoitus laittoi julkisen hallinnon organisaatioiden toiminnan testiin marraskuussa. Selvisi, että valmius hallita tietoturvauhkia ja tietosuojapoikkeamia on organisaatioiden omien hallinnollisten prosessien osalta varsin hyvä, mutta parannettavaa löytyy muun muassa kriisiviestinnästä, henkilöstön ohjeistuksesta ja koulutuksesta, vastuista sekä tietoturvapäivitysten hallinnasta.
TAISTO18-harjoitukseen osallistui 234 organisaatiota neljänä eri harjoituspäivänä. Osallistujien tehtävänä oli toimia harjoituspäivän ajan kuin oikeassa tilanteessa, jossa organisaation tietojärjestelmään on murtauduttu ja henkilötietoja on vuodettu luvatta verkkoon.
Harjoittelu auttoi organisaatioita löytämään kriittisiä kehitystarpeita ja tarttumaan niihin jo ennen kuin on tosi kyseessä. Kyberrikollisuus on kehittynyt sähköisten palvelujen yleistyessä ja uhka digitaaliselle toimintaympäristölle on jatkuva.
– Digitaalisten palvelujen luotettavuuteen ja jatkuvaan kehitykseen on panostettava, jotta tietoturva ja tietosuoja voivat toteutua. Vain näin voidaan säilyttää kansalaisten ja asiakkaiden luottamus, johtava erityisasiantuntija Kimmo Rousku Väestörekisterikeskuksesta sanoo.
Harjoittelemalla todentuntuista tilannetta organisaatiot saivat selvitettyä, toimivatko heidän ohjeistuksensa ja toimintamallinsa kuten on kuviteltu, vai kaipaavatko ne vielä kehittämistä. Suurin hyöty TAISTO18-harjoituksesta oli niille organisaatioille, jotka eivät olleet aikaisemmin harjoitelleet tai käytännössä joutuneet toimimaan vastaavan kaltaisessa henkilötietojen tietoturvaloukkaustilanteessa.
Tuore harjoitusraportti kokoaa keskeiset havainnot
Väestörekisterikeskus on julkaissut harjoitusraportin, joka sisältää TAISTO18-harjoituksen järjestämiseen ja toteutumiseen liittyvät keskeiset tiedot. Tämän ohella harjoitusraportti sisältäen organisaatioiden harjoituspäivään liittyneen raportoinnin perusteella tunnistetut kehittämiskohteet, jotka ovat hyödynnettävissä myös muissa kuin harjoitukseen osallistuneissa organisaatioissa. Tutustu raporttiin kokonaisuudessaan osoitteessa https://vrk.fi/taisto.
Yleisimmät kehityskohteet harjoitusorganisaatioissa:
- vastuiden ja roolien selkiyttäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään
- henkilöstön jatkuva koulutus ja harjoittelu
- ohjeiden läpikäynti ja päivittäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään
Yleisimmin hyvin toimivat asiat harjoitusorganisaatioissa:
- organisaation sisäinen yhteistyön sujuvuus
- organisaatioiden johdon ja asiantuntijoiden sitoutuminen vastuulliseen toimintaan kriisitilanteessa
- organisaation harjoituksessa käyttämät omat palvelut toimivat pääosin hyvin
TAISTO18-harjoitusmateriaali tulee vapaasti kaikkien käyttöön
Väestörekisterikeskus julkaisee lähiviikkoina harjoitusmateriaalin vapaasti kenen tahansa organisaation tai asiantuntijan käyttöön osoitteessa www.vrk.fi/taisto. Julkaistun materiaalin avulla mikä tahansa organisaatio voi toteuttaa vastaavanlaisen harjoituksen itsenäisesti.
– Suosittelen vastaavan harjoituksen toteuttamista oikeastaan aivan kaikille organisaatioille myös yksityisellä sektorilla, koska vastuu henkilötietojen oikeasta käsittelystä ei rajoitu vain julkiseen hallintoon, Kimmo Rousku kertoo.
TAISTO-harjoittelu jatkuu vuosina 2019–2021
Käytännössä kaikki TAISTO18-harjoitukseen osallistuneet kertoivat voivansa parantaa valmiuksiaan tämän harjoituksen havaintojen perusteella. Suuri osa ilmaisi myös haluavansa osallistua uudelleen vastaavaan harjoitukseen. Lisää TAISTO-harjoituksia onkin luvassa vuosittain ainakin vuoteen 2021 asti. Vuoden 2018 harjoitus oli ensimmäinen myös järjestäjälle Väestörekisterikeskukselle, joka pyrkii tekemään TAISTO19-harjoituksesta vielä paremmin harjoittelijoita hyödyttävän.
– Harjoitus oli ensimmäinen laatuaan, joten saamamme palaute oli järjestäjäorganisaatiolle erittäin arvokasta. Jos nyt lähes puolet harjoittelijoista arvioi harjoituksen erinomaiseksi. Harjoitusten toistuessa vuosittain voimme seurata kehitystä ja havaita selkeämmin, minkä asioiden kehittämiseen organisaatiot kaipaavat erityistä tukea, Kimmo Rousku kertoo.
Harjoituksen järjestivät yhteistyössä Väestörekisterikeskus, Poliisihallitus, tietosuojavaltuutetun toimisto, Viestintäviraston Kyberturvallisuuskeskus ja Valtion tieto- ja viestintätekniikkakeskus Valtori.
Harjoituksen kutsui koolle valtiovarainministeriö kunta- ja uudistusministeri Anu Vehviläisen toimeksiannosta. Valtiovarainministeriön asettamat Julkisen hallinnon tietohallinnon neuvottelukunta (Juhta) ja digitaalisen turvallisuuden johtoryhmä (VAHTI) toteuttivat 2017-2018 yhteisiä digitaalista turvallisuutta edistäviä hankkeita, muun muassa TAISTO18-harjoitus. Näiden avulla on pystytty merkittävästi edistämään Suomen julkisen hallinnon organisaatioiden tietoturva- ja tietosuojaprosesseja. Väestörekisterikeskus on juuri käynnistänyt valtiovarainministeriön toteuttaman julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelman (JUDO) toimeenpanon hankkeena. Osana JUDO-hanketta Väestörekisterikeskus toteuttaa TAISTO-harjoitukset vuosina 2019-2021. Väestörekisterikeskus julkaisee lisää tietoa JUDO-hankkeesta ja tulevista TAISTO-harjoituksista kevään 2019 aikana.
Väestörekisterikeskus järjesti 23.1 TAISTO18-palauteseminaarin, joka kokosi paikalle noin 60 ja verkon välityksellä yli 500 seuraajaa. Seminaarin videotallenne on jälkikäteen katsottavissa osoitteessa http://www.mediaserver.fi/live/taisto.
Lisätietoja:
Kimmo Rousku
johtava erityisasiantuntija ja TAISTO18-harjoituksen johtaja
Väestörekisterikeskus
[email protected]
puh. 0295 535 120
Lue myös Kimmo Rouskun TAISTO-blogi: Turvallinen digitalisaatio edellyttää luotettavia palveluita »
- Palvelut henkilöasiakkaille
- Muutto
- Tarkasta omat henkilötietosi
- Tilaa todistus väestötietojärjestelmästä
- Nimenmuutos
- Edunvalvontavaltuutus ja varautuminen
- Aikuisen edunvalvonta
- Näin haet itsellesi edunvalvojaa
- Näin ilmoitat edunvalvontaa tarvitsevasta henkilöstä
- Milloin edunvalvoja tarvitsee luvan?
- Edunvalvojan tehtävät
- Milloin edunvalvoja tarvitsee sijaisen?
- Päämiehen toimintakelpoisuuden rajoittaminen
- Milloin edunvalvonta päättyy?
- Tietoa päämiehen läheisille
- Poissa olevan henkilön tai omaisuuden tulevan omistajan etujen valvominen
- Alaikäisen omaisuuden edunvalvonta
- Lapsen syntymä ja adoptio
- Avioliitto ja parisuhde
- Kuolema ja perunkirjoitus
- Ulkomaalaisena Suomessa
- Ulkomaalaisen rekisteröinti väestötietojärjestelmään
- Opiskelijan opas
- Kotikunta
- Perhesuhteet ja siviilisääty
- Ulkomaalaisen muutto Suomeen, Suomessa ja Suomesta
- Ohjeita Ukrainasta saapuville
- Інструкції для українців
- Erityisasiantuntijoiden ja kasvuyrittäjien pikakaista
- Työntekijän opas
- Laillistamisohje
- Ulkomaisten asiakirjojen toimittaminen
- Julkisen notaarin todistamispalvelut
- Kansalaisuus
- Sukupuolen vahvistaminen
- Uskonnollisen yhdyskunnan jäsenyys
- Vaalit, äänioikeus ja kansalaisaloite
- Kaupanvahvistus
- Lahjailmoituksen rekisteröinti
- Kansalaisvarmenne ja sähköinen henkilöllisyys
- Palvelut organisaatioasiakkaille
- Varmenteet ja kortit
- Väestötietopalvelut
- Väestötietojärjestelmän ylläpito
- Maistraattirekisterien hakupalvelut
- Otteet rekistereistä
- Digiturvapalvelut
- Digituki
- Suomi.fi-palvelut
- Digitalisaatiota edistävät palvelut
- Julkisen notaarin palvelut
- Kaupanvahvistus
- Vihkimisoikeus
- Ohjeet hyvinvointialueille
- Finnish Authenticator -tunnistuspalvelu
- Avoin data
- Verkkoasiointi
- Tietoa virastosta
- Digi- ja väestötietovirasto
- Meille töihin
- Asioi sähköisesti
- Yhteystiedot
- Ajankohtaista
- Yleistiedoksiannot ja kuulutukset
- Automaattinen ratkaisumenettely
- Laatupolitiikka
- Asiakkaiden yhdenvertaisuussuunnitelma
- Tietosuoja
- Medialle
- Esitteet ja julkaisut
- Väestötietojärjestelmä
- Hankkeet
- Ennakointi ja tutkimusyhteistyö