Digitaalisen turvallisuuden harjoitus TAISTO20 käynnistyi Digiturvaviikolla torstaina 29.10. Edessä on vielä kaksi harjoituspäivää: 12.11. ja 19.11.2020. Tänä vuonna harjoituksessa on mukana ennätysmäärä osallistujia, noin 250 organisaatiota.

Viimeaikaisten tapahtumien valossa digitaalisen turvallisuuden harjoitustoiminta on yhä tärkeämpää julkisen hallinnon palveluille. 2020-luvun yksi keskeinen haaste on luottamuksen säilyttäminen digitaalisiin palveluihin, sillä niihin kohdistuu yhä enemmän uhkia. Luottamuksen rakentaminen ja säilyttäminen digitaalisen turvallisuuden osalta perustuu siihen, että palvelut ja järjestelmät toimivat eikä niiden sisältämien tietojen eheys, luottamuksellisuus tai saatavuus vaarannu.

Organisaatioiden on entistä enemmän kiinnitettävä huomiota siihen, kuinka häiriötilanteessakin toiminta pystytään säilyttämään määritellyllä tasolla. Harjoittelulla on merkittävä rooli toimintojen turvaamisessa, koska sitä kautta kasvatetaan organisaation kriisinsietokykyä. Harjoitteleminen auttaa organisaatiota tunnistamaan sen toiminnalle tärkeät tekijät ja miten ne vaikuttavat toisiinsa.

Digiturvan harjoittelu on monilla organisaatiolla vielä alkumetreillä

Tutkin viime keväänä tarkastetussa gradussani harjoitustoiminnan tilaa julkisessa hallinnossa. Tutkimuksen pohjana käytin kesällä 2019 tehtyä laajaa kyselyä julkishallinnon organisaatioille.

Tutkimuksen perusteella totesin, että suurimmalla osalla julkisen hallinnon organisaatiota harjoitustoiminta on vielä hyvin alkumetreillä. Suurin osa kyselyyn vastanneista organisaatioista kuitenkin ymmärsi harjoitustoiminnan merkityksen organisaation toiminnalle.

Harjoitustoiminnan kulttuuri vaihtelee laidasta laitaan. Osa organisaatioista on hyvin harjautuneita, ja näissä organisaatioissa jatkuvuuden ja varautumisen harjoittelu sekä tietämys harjoitustoiminnasta ovat erittäin korkealla tasolla. Kuitenkin suurin osa organisaatioista kuuluu toiseen ääripäähän. Heille Digi- ja väestötietoviraston järjestämät TAISTO-harjoitukset ovat olleet ensimmäinen kosketus harjoitustoimintaan.

Selkeitä toimintamalleja ja yhteistyötä tarvitaan

Kyselyn tulosten perusteella digitaalisen turvallisuuden harjoitustoiminnan käynnistämiseksi ja kehittämiseksi organisaatioiden tulisi:

• sisällyttää harjoitustoiminta organisaation strategiaan ja määritellä sille tavoitteet ja periaatteet
• luoda tavoitteiden perusteella harjoitusohjelma ja vuosikello
• resursoida harjoitustoiminta tavoitteiden ja harjoitusohjelman pohjalta ja nimetä vastuuhenkilö
• huomioida harjoitustoiminta kilpailutuksissa ja sopimuksissa sekä kehittää yhteistyötä palvelutuottajien kanssa
• kytkeä harjoitustoiminta henkilöstön osaamisen kehittämiseen

Tutkimuksesta kävi myös ilmi, että organisaatiot tarvitsevat enemmän ohjeistusta, selkeitä toimintamalleja ja työkaluja, joilla digitaalisen turvallisuuden harjoitustoimintaa voidaan toteuttaa siihen varatuilla resursseilla. Samalla tuli esille myös se, että pelkästään resurssien määrän lisääminen ei ratkaise harjoitustoiminnan järjestämisen haasteita. Tärkeämpää olisi kohdentaa resurssit oikein ja hyödyntää valmiita yhteisiä malleja ja konkreettisia ohjeita, osallistua ulkopuolisten järjestämiin harjoituksiin ja saada vertaistukea muilta julkisen hallinnon organisaatioilta.

Digi- ja väestötietovirasto järjestää kolmatta kertaa TAISTO-harjoituksen loka-marraskuussa 2020. TAISTOssa organisaatiot harjoittelevat toimintakykyä erilaisissa tietoturva- ja tietosuojaloukkaustilanteissa. Lue lisää: dvv.fi/taisto.

Hanna Heikkinen, tietoturva-asiantuntija, Digi- ja väestötietovirasto, [email protected], puh. 0295 535 121