Julkishallinnon valmius tietoturvaloukkausten hoitoon on TAISTO18-harjoituksen myötä entistä parempi
TAISTO18-harjoitus laittoi ministeriöiden, virastojen, kuntien, korkeakoulujen ja sote-toimijoiden toiminnan testiin marraskuussa. Selvisi, että valmius hallita tietoturvauhkia ja tietosuojapoikkeamia on organisaatioiden omien hallinnollisten prosessien osalta varsin hyvä, mutta parannettavaakin löytyy muun muassa kriisiviestinnästä, henkilöstön koulutuksesta ja tietoturvapäivitysten hallinnasta.
Marraskuun aikana Suomen julkinen hallinto harjoitteli Väestörekisterikeskuksen johdolla tietoturvaloukkausten hallintaa yhteisessä TAISTO18-harjoituksessa. Harjoitukseen osallistui lähes 250 organisaatiota neljänä eri harjoituspäivänä. Osallistujien tehtävänä oli toimia harjoituspäivän ajan kuin oikeassa tilanteessa, jossa organisaation tietojärjestelmään on murtauduttu ja henkilötietoja on vuodettu luvatta verkkoon.
– Uhkia ei voi täysin välttää, mutta niihin voi varautua ja välttää siten pahimmat vahingot. Harjoittelemalla todentuntuista tilannetta organisaatiot saavat selvitettyä, toimisivatko heidän ohjeistuksensa ja toimintamallinsa kuten on kuviteltu, vai kaipaavatko ne vielä kehittämistä, kertoo johtava erityisasiantuntija Kimmo Rousku Väestörekisterikeskuksesta.
Digitalisaation myötä sähköiset palvelut ovat helpottaneet kansalaisten ja yritysten asiointia. Sähköisten palvelujen kehittyessä valitettavasti myös kyberrikollisuus on kehittynyt ja uhka digitaaliselle toimintaympäristölle on jatkuva. Palvelujen luotettavuuteen ja jatkuvaan kehitykseen on panostettava, jotta tietoturva ja tietosuoja voivat toteutua.
TAISTO18-harjoitus osoitti organisaatioiden digiturvavalmiuksien vahvuudet ja heikkoudet
EU:n yleinen tietosuoja-asetus sekä muut digitaalisessa toimintaympäristön muutokset ovat saaneet myös julkisen hallinnon organisaatiot panostamaan entistä enemmän digitaaliseen turvallisuuteen. Tämä näkyi Kimmo Rouskun mukaan selvästi TAISTO18-harjoituksessa.
– Harjoitus oli ensimmäinen laatuaan, joten täysin vertailukelpoista tietoa ei vielä ole tarjolla. Tarkoitus on toistaa TAISTO-harjoitus vuosittain, jolloin voidaan verrata tuloksia edellisiin vuosiin. Näin havaitsemme myös, minkä asioiden kehittämiseen organisaatiot kaipaavat erityistä tukea ja voimme sitä tarjota, Kimmo Rousku kertoo.
Harjoituksen tulosten perusteella on jo koottu muutamia yleisimmin toistuvia kehityskohteita ja hyvin toimivia asioita. Tarkempi loppuraportti TAISTO18-harjoituksesta julkaistaan tammikuussa 2019.
Yleisimmät kehityskohteet
- vastuiden ja roolien selkiyttäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään
- henkilöstön jatkuva koulutus ja harjoittelu
- ohjeiden läpikäynti ja päivittäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään
Yleisimmin hyvin toimivat asiat
- organisaation sisäinen yhteistyön sujuvuus
- organisaatioiden johdon ja asiantuntijoiden sitoutuminen vastuulliseen toimintaan kriisitilanteessa
- organisaation harjoituksessa käyttämät omat palvelut toimivat pääosin hyvin
Harjoituksen osallistujat uskovat voivansa parantaa omia valmiuksiaan harjoitushavaintojen avulla. Lähes kaikki osallistuneet ilmoittivat olevansa halukkaita osallistumaan vastaavanlaiseen harjoitukseen myös ensi vuonna.
Väestörekisterikeskus pyrkii julkaisemaan harjoitusaineiston vapaasti organisaatioiden käyttöön loppuvuoden 2018 aikana. Tammikuussa 2019 julkaistaan TAISTO18-harjoituksen loppuraportti.
Väestörekisterikeskuksen harjoituspäivä nosti esiin henkilöstön osaamisen tärkeyden
Väestörekisterikeskus järjesti harjoituksen koko julkiselle hallinnolle, mutta laittoi myös oman tiiminsä harjoittelemaan tietoturvapoikkeaman hallintaa osana TAISTO18-harjoitusta.
– Häiriö- ja poikkeamahallinnan prosesseja on tullut käytännössä koeteltua Väestörekisterikeskuksessa teknisten häiriöiden sekä palvelunestohyökkäysten vuoksi. Kaiken kaikkiaan prosessi ja roolitus organisaatiossamme toimii hyvin ja saumattomasti, ICT-johtaja Mira Holmroos-Kolari Väestörekisterikeskuksesta kertoo.
Väestörekisterikeskuksen harjoituksessa havaittiin, että huomiota on syytä kiinnittää entistä enemmän henkilöiden valmiuksiin. Jo nimettyjen avainhenkilöiden lisäksi on tärkeää, että riittävät valmiudet tilanteen hoitoon on mahdollisimman monella, jotta kapulaa voidaan hallitusti vaihtaa esimerkiksi tilanteiden pitkittyessä. Lisäksi valmistautuminen ulkoiseen viestintään vaatisi yhä tiiviimpää yhteistyötä kumppanien kanssa.
– Kullanarvoisiksi ovat osoittautuneet ohjeistuksemme ja esimerkiksi kriisiviestintäsuunnitelmamme käytännön tilanteissa ja myös tässä harjoituksessa, Mira Holmroos-Kolari summaa.
Harjoituksen kutsui koolle valtiovarainministeriö kunta- ja uudistusministeri Anu Vehviläisen toimeksiannosta. Viimeisten puolentoista vuoden ajan ministeriön asettamat Julkisen hallinnon tietohallinnon neuvottelukunta (Juhta) ja digitaalisen turvallisuuden johtoryhmä (VAHTI) ovat toteuttaneet yhteisiä digitaalista turvallisuutta edistäviä hankkeita. Hankkeissa on tuotettu koulutusvideoita, järjestetty työpajatilaisuuksia ja toteutettu nyt päättynyt TAISTO18-harjoitus. Näiden avulla on pystytty merkittävästi edistämään Suomen julkisen hallinnon organisaatioiden tietoturva- ja tietosuojaprosesseja, mikä on ollut muun muassa EU:n yleisen tietosuoja-asetuksen toimeenpanon edellytys.
Harjoituksen järjestivät yhteistyössä Väestörekisterikeskus, Poliisihallitus, tietosuojavaltuutetun toimisto, Viestintäviraston Kyberturvallisuuskeskus ja Valtion tieto- ja viestintätekniikkakeskus Valtori.
Lisätietoja (29.11. klo 10.30 alkaen):
Kimmo Rousku
johtava erityisasiantuntija ja TAISTO18-harjoituksen johtaja
Väestörekisterikeskus
[email protected]
puh. 0295 535 120
Lue myös Kimmo Rouskun TAISTO-blogi: Turvallinen digitalisaatio edellyttää luotettavia palveluita »
- Individuals
- Processing times
- Marriage
- Having or adopting a child
- Names
- Moving
- Guardianship
- Life changes while living abroad
- Moving while living abroad
- Registration of a child born abroad
- Marriage concluded abroad
- Partnership registered abroad
- Divorce granted abroad
- Registration of a name change performed abroad
- Gender recognised abroad
- Death abroad
- Registration of citizenship
- Notification of retaining Finnish citizenship
- Legalisation of foreign documents
- Submitting foreign documents
- As a foreigner in Finland
- Registration of a foreigner
- Registration of a foreign student
- Municipality of residence
- Instructions on arriving in Finland from Ukraine
- Guide for employed persons
- Fast track service for specialists and growth entrepreneurs
- Instructions for legalisation
- Submitting foreign documents
- Foreigner’s move to Finland, in Finland and out of Finland
- Check your own personal details
- Elections and Right to vote
- Suomi.fi Web Service
- Citizen Certificate and electronic identity
- Certificates from the Population Information System
- Population information in the Population Information System
- Registration of a gift notification
- Services of notary public
- Certification of purchase
- Citizens’ initiative
- Death and estate inventory
- Public Service Info
- Address service
- Forms
- Digital support for citizens
- Organisations
- Certificates
- Population information services for organisations
- Public administration sampling and updating service
- Private sector information services
- PIS modified data interface
- Modified data update service
- VTJkysely interface
- Browser-based VTJkysely application
- Resident sampling services for property management offices and maintenance companies
- Data extraction for municipalities
- Reform of personal identity code
- Conditions for using population information
- Maintaining the Population Information System
- Extracts from registers
- Suomi.fi services
- Services to promote digitalisation
- Digital support
- Digital identity reform
- Digital security services
- Services of notary public
- Certification of purchase
- Right to officiate weddings
- E-services
- Finnish Authenticator identification service
- About the agency
- Digital and Population Data Services Agency
- Digital and Population Data Services Agency as an Employer
- Use our services electronically
- Contact
- Customer service for private customers
- Customer service for organisations
- Service locations
- Digital and Population Data Services Agency address, switchboard e-billing details
- Digital and Population Data Services Agency Management
- Marriage ceremony premises information
- Contact details for media
- International Affairs
- Invoicing
- Quality policy
- Equality plan for customers
- Data protection
- News
- Population Information System
- For media
- Brochures and publications
- Projects
- Foresight and research cooperation