TAISTO18-harjoitus paljasti tietosuojan ja tietoturvan hallinnan kehitystarpeet – harjoittelu jatkuu syksyllä 2019

23.1.2019 15.21
Tiedote

TAISTO18-harjoitus laittoi julkisen hallinnon organisaatioiden toiminnan testiin marraskuussa. Selvisi, että valmius hallita tietoturvauhkia ja tietosuojapoikkeamia on organisaatioiden omien hallinnollisten prosessien osalta varsin hyvä, mutta parannettavaa löytyy muun muassa kriisiviestinnästä, henkilöstön ohjeistuksesta ja koulutuksesta, vastuista sekä tietoturvapäivitysten hallinnasta.

TAISTO18-harjoitukseen osallistui 234 organisaatiota neljänä eri harjoituspäivänä. Osallistujien tehtävänä oli toimia harjoituspäivän ajan kuin oikeassa tilanteessa, jossa organisaation tietojärjestelmään on murtauduttu ja henkilötietoja on vuodettu luvatta verkkoon.

Harjoittelu auttoi organisaatioita löytämään kriittisiä kehitystarpeita ja tarttumaan niihin jo ennen kuin on tosi kyseessä. Kyberrikollisuus on kehittynyt sähköisten palvelujen yleistyessä ja uhka digitaaliselle toimintaympäristölle on jatkuva.

– Digitaalisten palvelujen luotettavuuteen ja jatkuvaan kehitykseen on panostettava, jotta tietoturva ja tietosuoja voivat toteutua. Vain näin voidaan säilyttää kansalaisten ja asiakkaiden luottamus, johtava erityisasiantuntija Kimmo Rousku Väestörekisterikeskuksesta sanoo.

Harjoittelemalla todentuntuista tilannetta organisaatiot saivat selvitettyä, toimivatko heidän ohjeistuksensa ja toimintamallinsa kuten on kuviteltu, vai kaipaavatko ne vielä kehittämistä. Suurin hyöty TAISTO18-harjoituksesta oli niille organisaatioille, jotka eivät olleet aikaisemmin harjoitelleet tai käytännössä joutuneet toimimaan vastaavan kaltaisessa henkilötietojen tietoturvaloukkaustilanteessa.

Tuore harjoitusraportti kokoaa keskeiset havainnot

Väestörekisterikeskus on julkaissut harjoitusraportin, joka sisältää TAISTO18-harjoituksen järjestämiseen ja toteutumiseen liittyvät keskeiset tiedot. Tämän ohella harjoitusraportti sisältäen organisaatioiden harjoituspäivään liittyneen raportoinnin perusteella tunnistetut kehittämiskohteet, jotka ovat hyödynnettävissä myös muissa kuin harjoitukseen osallistuneissa organisaatioissa. Tutustu raporttiin kokonaisuudessaan osoitteessa https://vrk.fi/taisto.

Yleisimmät kehityskohteet harjoitusorganisaatioissa:

  • vastuiden ja roolien selkiyttäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään
  • henkilöstön jatkuva koulutus ja harjoittelu
  • ohjeiden läpikäynti ja päivittäminen liittyen tietoturvaan, tietosuojaan ja kriisiviestintään

Yleisimmin hyvin toimivat asiat harjoitusorganisaatioissa:

  • organisaation sisäinen yhteistyön sujuvuus
  • organisaatioiden johdon ja asiantuntijoiden sitoutuminen vastuulliseen toimintaan kriisitilanteessa
  • organisaation harjoituksessa käyttämät omat palvelut toimivat pääosin hyvin

TAISTO18-harjoitusmateriaali tulee vapaasti kaikkien käyttöön

Väestörekisterikeskus julkaisee lähiviikkoina harjoitusmateriaalin vapaasti kenen tahansa organisaation tai asiantuntijan käyttöön osoitteessa www.vrk.fi/taisto. Julkaistun materiaalin avulla mikä tahansa organisaatio voi toteuttaa vastaavanlaisen harjoituksen itsenäisesti.

– Suosittelen vastaavan harjoituksen toteuttamista oikeastaan aivan kaikille organisaatioille myös yksityisellä sektorilla, koska vastuu henkilötietojen oikeasta käsittelystä ei rajoitu vain julkiseen hallintoon, Kimmo Rousku kertoo.

TAISTO-harjoittelu jatkuu vuosina 2019–2021

Käytännössä kaikki TAISTO18-harjoitukseen osallistuneet kertoivat voivansa parantaa valmiuksiaan tämän harjoituksen havaintojen perusteella. Suuri osa ilmaisi myös haluavansa osallistua uudelleen vastaavaan harjoitukseen. Lisää TAISTO-harjoituksia onkin luvassa vuosittain ainakin vuoteen 2021 asti. Vuoden 2018 harjoitus oli ensimmäinen myös järjestäjälle Väestörekisterikeskukselle, joka pyrkii tekemään TAISTO19-harjoituksesta vielä paremmin harjoittelijoita hyödyttävän.

– Harjoitus oli ensimmäinen laatuaan, joten saamamme palaute oli järjestäjäorganisaatiolle erittäin arvokasta. Jos nyt lähes puolet harjoittelijoista arvioi harjoituksen erinomaiseksi. Harjoitusten toistuessa vuosittain voimme seurata kehitystä ja havaita selkeämmin, minkä asioiden kehittämiseen organisaatiot kaipaavat erityistä tukea, Kimmo Rousku kertoo.

Harjoituksen järjestivät yhteistyössä Väestörekisterikeskus, Poliisihallitus, tietosuojavaltuutetun toimisto, Viestintäviraston Kyberturvallisuuskeskus ja Valtion tieto- ja viestintätekniikkakeskus Valtori.

Harjoituksen kutsui koolle valtiovarainministeriö kunta- ja uudistusministeri Anu Vehviläisen toimeksiannosta. Valtiovarainministeriön asettamat Julkisen hallinnon tietohallinnon neuvottelukunta (Juhta) ja digitaalisen turvallisuuden johtoryhmä (VAHTI) toteuttivat 2017-2018 yhteisiä digitaalista turvallisuutta edistäviä hankkeita, muun muassa TAISTO18-harjoitus. Näiden avulla on pystytty merkittävästi edistämään Suomen julkisen hallinnon organisaatioiden tietoturva- ja tietosuojaprosesseja. Väestörekisterikeskus on juuri käynnistänyt valtiovarainministeriön toteuttaman julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelman (JUDO) toimeenpanon hankkeena. Osana JUDO-hanketta Väestörekisterikeskus toteuttaa TAISTO-harjoitukset vuosina 2019-2021. Väestörekisterikeskus julkaisee lisää tietoa JUDO-hankkeesta ja tulevista TAISTO-harjoituksista kevään 2019 aikana.

Väestörekisterikeskus järjesti 23.1 TAISTO18-palauteseminaarin, joka kokosi paikalle noin 60 ja verkon välityksellä yli 500 seuraajaa. Seminaarin videotallenne on jälkikäteen katsottavissa osoitteessa http://www.mediaserver.fi/live/taisto.

Lisätietoja:

Kimmo Rousku
johtava erityisasiantuntija ja TAISTO18-harjoituksen johtaja
Väestörekisterikeskus
etunimi.sukunimi@vrk.fi
puh. 0295 535 120

Lue myös Kimmo Rouskun TAISTO-blogi: Turvallinen digitalisaatio edellyttää luotettavia palveluita »