TAISTO18-harjoitus paljasti tietosuojan ja tietoturvan hallinnan kehitystarpeet – harjoittelu jatkuu syksyllä 2019
TAISTO18-harjoitus laittoi julkisen hallinnon organisaatioiden toiminnan testiin marraskuussa. Selvisi, että valmius hallita tietoturvauhkia ja tietosuojapoikkeamia on organisaatioiden omien hallinnollisten prosessien osalta varsin hyvä, mutta parannettavaa löytyy muun muassa kriisiviestinnästä, henkilöstön ohjeistuksesta ja koulutuksesta, vastuista sekä tietoturvapäivitysten hallinnasta.
TAISTO18-harjoitukseen osallistui 234 organisaatiota neljänä eri harjoituspäivänä. Osallistujien tehtävänä oli toimia harjoituspäivän ajan kuin oikeassa tilanteessa, jossa organisaation tietojärjestelmään on murtauduttu ja henkilötietoja on vuodettu luvatta verkkoon.
Harjoittelu auttoi organisaatioita löytämään kriittisiä kehitystarpeita ja tarttumaan niihin jo ennen kuin on tosi kyseessä. Kyberrikollisuus on kehittynyt sähköisten palvelujen yleistyessä ja uhka digitaaliselle toimintaympäristölle on jatkuva.
– Digitaalisten palvelujen luotettavuuteen ja jatkuvaan kehitykseen on panostettava, jotta tietoturva ja tietosuoja voivat toteutua. Vain näin voidaan säilyttää kansalaisten ja asiakkaiden luottamus, johtava erityisasiantuntija Kimmo Rousku Väestörekisterikeskuksesta sanoo.
Harjoittelemalla todentuntuista tilannetta organisaatiot saivat selvitettyä, toimivatko heidän ohjeistuksensa ja toimintamallinsa kuten on kuviteltu, vai kaipaavatko ne vielä kehittämistä. Suurin hyöty TAISTO18-harjoituksesta oli niille organisaatioille, jotka eivät olleet aikaisemmin harjoitelleet tai käytännössä joutuneet toimimaan vastaavan kaltaisessa henkilötietojen tietoturvaloukkaustilanteessa.
Tuore harjoitusraportti kokoaa keskeiset havainnot
Väestörekisterikeskus on julkaissut harjoitusraportin, joka sisältää TAISTO18-harjoituksen järjestämiseen ja toteutumiseen liittyvät keskeiset tiedot. Tämän ohella harjoitusraportti sisältäen organisaatioiden harjoituspäivään liittyneen raportoinnin perusteella tunnistetut kehittämiskohteet, jotka ovat hyödynnettävissä myös muissa kuin harjoitukseen osallistuneissa organisaatioissa. Tutustu raporttiin kokonaisuudessaan osoitteessa https://vrk.fi/taisto.
Yleisimmät kehityskohteet harjoitusorganisaatioissa:
- vastuiden ja roolien selkiyttäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään
- henkilöstön jatkuva koulutus ja harjoittelu
- ohjeiden läpikäynti ja päivittäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään
Yleisimmin hyvin toimivat asiat harjoitusorganisaatioissa:
- organisaation sisäinen yhteistyön sujuvuus
- organisaatioiden johdon ja asiantuntijoiden sitoutuminen vastuulliseen toimintaan kriisitilanteessa
- organisaation harjoituksessa käyttämät omat palvelut toimivat pääosin hyvin
TAISTO18-harjoitusmateriaali tulee vapaasti kaikkien käyttöön
Väestörekisterikeskus julkaisee lähiviikkoina harjoitusmateriaalin vapaasti kenen tahansa organisaation tai asiantuntijan käyttöön osoitteessa www.vrk.fi/taisto. Julkaistun materiaalin avulla mikä tahansa organisaatio voi toteuttaa vastaavanlaisen harjoituksen itsenäisesti.
– Suosittelen vastaavan harjoituksen toteuttamista oikeastaan aivan kaikille organisaatioille myös yksityisellä sektorilla, koska vastuu henkilötietojen oikeasta käsittelystä ei rajoitu vain julkiseen hallintoon, Kimmo Rousku kertoo.
TAISTO-harjoittelu jatkuu vuosina 2019–2021
Käytännössä kaikki TAISTO18-harjoitukseen osallistuneet kertoivat voivansa parantaa valmiuksiaan tämän harjoituksen havaintojen perusteella. Suuri osa ilmaisi myös haluavansa osallistua uudelleen vastaavaan harjoitukseen. Lisää TAISTO-harjoituksia onkin luvassa vuosittain ainakin vuoteen 2021 asti. Vuoden 2018 harjoitus oli ensimmäinen myös järjestäjälle Väestörekisterikeskukselle, joka pyrkii tekemään TAISTO19-harjoituksesta vielä paremmin harjoittelijoita hyödyttävän.
– Harjoitus oli ensimmäinen laatuaan, joten saamamme palaute oli järjestäjäorganisaatiolle erittäin arvokasta. Jos nyt lähes puolet harjoittelijoista arvioi harjoituksen erinomaiseksi. Harjoitusten toistuessa vuosittain voimme seurata kehitystä ja havaita selkeämmin, minkä asioiden kehittämiseen organisaatiot kaipaavat erityistä tukea, Kimmo Rousku kertoo.
Harjoituksen järjestivät yhteistyössä Väestörekisterikeskus, Poliisihallitus, tietosuojavaltuutetun toimisto, Viestintäviraston Kyberturvallisuuskeskus ja Valtion tieto- ja viestintätekniikkakeskus Valtori.
Harjoituksen kutsui koolle valtiovarainministeriö kunta- ja uudistusministeri Anu Vehviläisen toimeksiannosta. Valtiovarainministeriön asettamat Julkisen hallinnon tietohallinnon neuvottelukunta (Juhta) ja digitaalisen turvallisuuden johtoryhmä (VAHTI) toteuttivat 2017-2018 yhteisiä digitaalista turvallisuutta edistäviä hankkeita, muun muassa TAISTO18-harjoitus. Näiden avulla on pystytty merkittävästi edistämään Suomen julkisen hallinnon organisaatioiden tietoturva- ja tietosuojaprosesseja. Väestörekisterikeskus on juuri käynnistänyt valtiovarainministeriön toteuttaman julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelman (JUDO) toimeenpanon hankkeena. Osana JUDO-hanketta Väestörekisterikeskus toteuttaa TAISTO-harjoitukset vuosina 2019-2021. Väestörekisterikeskus julkaisee lisää tietoa JUDO-hankkeesta ja tulevista TAISTO-harjoituksista kevään 2019 aikana.
Väestörekisterikeskus järjesti 23.1 TAISTO18-palauteseminaarin, joka kokosi paikalle noin 60 ja verkon välityksellä yli 500 seuraajaa. Seminaarin videotallenne on jälkikäteen katsottavissa osoitteessa http://www.mediaserver.fi/live/taisto.
Lisätietoja:
Kimmo Rousku
johtava erityisasiantuntija ja TAISTO18-harjoituksen johtaja
Väestörekisterikeskus
[email protected]
puh. 0295 535 120
Lue myös Kimmo Rouskun TAISTO-blogi: Turvallinen digitalisaatio edellyttää luotettavia palveluita »
- Individuals
- Processing times
- Marriage
- Having or adopting a child
- Names
- Moving
- Guardianship
- Life changes while living abroad
- Moving while living abroad
- Registration of a child born abroad
- Marriage concluded abroad
- Partnership registered abroad
- Divorce granted abroad
- Registration of a name change performed abroad
- Gender recognised abroad
- Death abroad
- Registration of citizenship
- Notification of retaining Finnish citizenship
- Legalisation of foreign documents
- Submitting foreign documents
- As a foreigner in Finland
- Registration of a foreigner
- Registration of a foreign student
- Municipality of residence
- Instructions on arriving in Finland from Ukraine
- Guide for employed persons
- Fast track service for specialists and growth entrepreneurs
- Instructions for legalisation
- Submitting foreign documents
- Foreigner’s move to Finland, in Finland and out of Finland
- Check your own personal details
- Elections and Right to vote
- Suomi.fi Web Service
- Citizen Certificate and electronic identity
- Certificates from the Population Information System
- Population information in the Population Information System
- Registration of a gift notification
- Services of notary public
- Certification of purchase
- Citizens’ initiative
- Death and estate inventory
- Public Service Info
- Address service
- Forms
- Digital support for citizens
- Organisations
- Certificates
- Population information services for organisations
- Public administration sampling and updating service
- Private sector information services
- PIS modified data interface
- Modified data update service
- VTJkysely interface
- Browser-based VTJkysely application
- Resident sampling services for property management offices and maintenance companies
- Data extraction for municipalities
- Reform of personal identity code
- Conditions for using population information
- Maintaining the Population Information System
- Extracts from registers
- Suomi.fi services
- Services to promote digitalisation
- Digital support
- Digital identity reform
- Digital security services
- Services of notary public
- Certification of purchase
- Right to officiate weddings
- E-services
- Finnish Authenticator identification service
- About the agency
- Digital and Population Data Services Agency
- Digital and Population Data Services Agency as an Employer
- Use our services electronically
- Contact
- Customer service for private customers
- Customer service for organisations
- Service locations
- Digital and Population Data Services Agency address, switchboard e-billing details
- Digital and Population Data Services Agency Management
- Marriage ceremony premises information
- Contact details for media
- International Affairs
- Invoicing
- Quality policy
- Equality plan for customers
- Data protection
- News
- Population Information System
- For media
- Brochures and publications
- Projects
- Foresight and research cooperation