Turvallinen digitalisaatio edellyttää luotettavia palveluita

Kimmo Rousku Julkaisupäivä 29.11.2018 8.55 Blogit

Suomessa julkinen hallinto ja yritykset ovat viimeisten vuosien aikana kehittäneet uusia digitaalisia palveluita kansalaisten, asiakkaiden ja muiden sidosryhmien käyttöön. Tämän vuoksi digitaalisten palveluiden turvallisuudesta ja niiden luotettavuudesta on tullut entistä kriittisempi menestystekijä. Samanaikaisesti tietoverkko- ja kyberrikolliset ovat kuitenkin kehittäneet uusia toimintamalleja, jotka uhkaavat digitaalista toimintaympäristöä.

Euroopan Unionin yleinen tietosuoja-asetus (GDPR) tuli sovellettavaksi 25.5.2018. Se toi merkittäviä uusia vaatimuksia henkilötietojen käsittelyyn ja samalla myös uusia mahdollisuuksia rekisteröidyille henkilöille. Valtaosa vaatimuksista koskee tietosuojan toteuttamista, mutta osin myös tietoturvallisuutta. Eräs keskeisimmistä muutoksista liittyy henkilötietojen tietoturvaloukkauksiin, niistä tehtäviin ilmoituksiin ja tietojen hallinnassa edellytettäviin prosesseihin. Esimerkiksi jokaisen organisaation tulee tällöin arvioida, millainen uhka tilanteessa syntyy rekisteröidylle ja toteuttaa riskiarvioinnin perusteella tarvittavat toimenpiteet, esimerkiksi ilmoittaa tarvittaessa viranomaisille ja rekisteröidyille tapahtuneesta. Aikaisemmin tällaisista tilanteista ei ole tarvinnut tehdä vastaavia ilmoituksia.

Tietosuoja-asetus sekä muut digitaalisessa toimintaympäristössä tapahtuneet muutokset ovat edellyttäneet julkisen hallinnon organisaatiolta niin tietosuojan kuin tietoturvallisuuden, laajemmin digitaalisen turvallisuuden kehittämistä. Julkisen hallinnon valmiudet digitaalisen turvallisuuden hallintaan pääsivät marraskuussa testiin järjestämässämme TAISTO18-harjoituksessa.

TAISTO-harjoitus laittoi julkisen hallinnon organisaatiot testiin

TAISTO eli tietoturva-  ja tietosuosuojaloukkausten hallinnan harjoitus on tietojemme mukaan maailmanlaajuisesti suurin kansallisesti järjestetty harjoitus, jossa harjoiteltiin sekä tietoturva- että henkilötietojen tietoturvaloukkausten yhteydessä tarvittavia prosesseja.

Harjoitukseen osallistui marraskuun aikana neljänä eri harjoituspäivänä yhteensä noin 250 organisaatiota. Alustavien tietojen mukaan harjoituspäiviin osallistui kaikkiaan noin 2100 eri henkeä ja harjoituksen käytettiin yhteensä 4000 henkilötyöpäivää, eli panostus oli suuri.

Harjoituksen kuvitelluksi tarinaksi oli käsikirjoitettu tilanne, jossa useimpien keskeisten käyttöjärjestelmä- ja laitevalmistajien ohjelmistoista ja laitteista oli löytynyt tietoturvahaavoittuvuus. Tätä haavoittuvuutta oli päässyt hyödyntämään Tietovuoto-niminen aktivistiryhmä, joka oli haavoittuvuuden avulla murtautunut suureen määrään suomalaisia organisaatioita. Ryhmä aluksi uhkaili julkaisevansa tietoja ja pian sen jälkeen julkaisikin varsin yleisiä henkilötietoja, joita se oli haavoittuvuuden mahdollistamilla tietomurroilla saanut kerättyä ja yhdisteltyä.

Harjoituksen alkupuolella organisaatiot varmistivat, että heille ICT-palveluita tuottavat toimittajat ajoivat tarvittavat tietoturvapäivitykset. Tämän jälkeen organisaatiot selvittivät, mitä heidän organisaatioista julkaistujen henkilötietojen vuotaminen julkiseksi merkitsee. Harjoituksessa testattiin siis toukokuussa sovellettavaksi tulleen tietosuoja-asetuksen prosesseja koskien henkilötietojen tietoturvaloukkausta.

Iltapäivällä tilanne muuttui siten, että aktivistiryhmä julkaisi arkaluonteisia, mm. terveydentilaan liittyviä henkilötietoja ja harjoitusorganisaatioiden tuli arvioida uudelleen muuttunutta tilannetta. Samoihin aikoihin media kiinnostui tilanteesta ja oli yhteydessä harjoitukseen osallistuvien organisaatioihin tiedustellen heidän tilanteestaan.

Harjoituspäivä päättyi raportointiin sekä organisaation sisäiseen käsittelyyn, jossa arvioitiin ja tehtiin havaintoja päivän sujumisesta ja kirjattiin ylös kehittämistoimenpiteitä.

TAISTO18-harjoitus on ollut menestys ja jatkoa on luvassa

Harjoitukseen osallistuneet organisaatiot arvioivat harjoituksen erittäin hyvin toteutetuksi niin sisällöltään kuin teknisestikin. Harjoituksen merkitystä kuvaa hyvin myös se, että 90 prosenttia osallistujista kertoo osallistuvansa ensi vuonna varmasti tai todennäköisesti. Aiommekin toteuttaa vastaavan TAISTO-harjoituksen vuonna 2019.

Julkisessa hallinnossa on nyt harjoituksen jälkeen varmasti entistä paremmat valmiudet huolehtia mahdollisesta tietomurrosta ja sen seurauksena tapahtuvasta henkilötietojen tietoturvaloukkauksesta. Väestörekisterikeskus julkaisee loppuvuoden aikana kaiken harjoitusmateriaalin vapaasti kaikkien käyttöön siten, että mikä tahansa organisaatio voi itse toteuttaa vastaavanlaisen harjoituksen omassa organisaatiossaan.

23.1.2019 Valtiovarainministeriö järjestää TAISTO18-palauteseminaarin harjoitukseen osallistuneille henkilöille. Seminaarissa käydään harjoituspäivän tapahtumat läpi sekä kerrotaan harjoituksessa tunnistetuista kehittämiskohteista ja tarjotaan niihin liittyviä ratkaisuja. 23.1. julkaistaan ja esitellään myös harjoitusraportti, joka sisältää tarkemmin harjoituksesta kerätyt tiedot ja muut tilastot.

Kirjoittaja on TAISTO18-harjoituksen johtaja ja johtava erityisasiantuntija Kimmo Rousku Väestörekisterikeskuksessa.

Lue myös: 
Tiedote 29.11.2019: Julkishallinnon valmius tietoturvaloukkausten hoitoon on TAISTO18-harjoituksen myötä entistä parempi »

Selaa blogin artikkeleita