FI SV

Den offentliga förvaltningens beredskap för hantering av säkerhetsöverträdelser allt bättre efter TAISTO18-övningen

29.11.2018 9.00
Pressmeddelande

TAISTO18-övningen satte ministeriernas, ämbetsverkens, kommunernas, högskolornas och social- och hälsovårdsaktörers verksamhet på prov i november. Det framgick att beredskapen att hantera hot mot informationssäkerheten och avvikelser i dataskyddet genom organisationernas egna administrativa processer var bra, men det fanns även att förbättra bland annat inom kriskommunikationen, personalutbildningen och hanteringen av informationssäkerhetsuppdateringar.

Under november övade den offentliga förvaltningen i Finland under ledning av Befolkningsregistercentralen att hantera säkerhetsöverträdelser i den gemensamma TAISTO18-övningen. I övningen deltog nästan 250 organisationer under fyra olika övningsdagar. Deltagarna hade i uppgift att under övningsdagen agera i en verklig situation där någon hade trängt sig in i organisationens informationssystem och hade olovligt läckt ut personuppgifter på nätet.

– Hoten kan inte undvikas helt, men man kan vara beredd på dem och således undvika de värsta skadorna. Genom att öva i verklighetsliknande situationer kan organisationerna utreda om deras anvisningar och verksamhetsmodeller fungerar som planerat, eller om de behöver utvecklas, berättar Kimmo Rousku, ledande specialsakkunnig vid Befolkningsregistercentralen. 

I och med digitaliseringen har e-tjänster gjort det lättare för medborgare och företag att uträtta ärenden. I takt med att e-tjänsterna utvecklats har tyvärr även cyberbrottsligheten utvecklats och hotet mot den digitala verksamhetsmiljön är ständig. Man måste hela tiden satsa på tjänsternas tillförlitlighet och en kontinuerlig utveckling av dem för att verkställa informationssäkerheten och dataskyddet.

TAISTO18-övningen visade organisationernas starka och svaga sidor i fråga om digital säkerhetsberedskap

Även EU:s allmänna dataskyddsförordning samt övriga ändringar i den digitala verksamhetsmiljön har fått organisationerna inom den offentliga förvaltningen att satsa allt mer på digital säkerhet. Enligt Kimmo Rousku framgick detta tydligt av TAISTO18-övningen.

– Övningen var den första av sitt slag och därför finns det ännu inte helt jämförbar information. Syftet är att upprepa TAISTO-övningen varje år så att man kan jämföra resultaten från tidigare år. På detta sätt kan vi även se vad organisationerna behöver utveckla och hurdant stöd de behöver för detta och vi kan erbjuda sådant stöd, berättar Kimmo Rousku.

På basis av övningarnas resultat har man redan sammanställt några vanliga återkommande utvecklingsobjekt och vad som fungerande bra. En närmare slutrapport om TAISTO18-övningen publiceras i januari 2019.

De vanligaste utvecklingsobjekten

  • tydligare ansvar och roller i fråga om informationssäkerhet, dataskydd och kriskommunikation
  • kontinuerlig utbildning och övning för anställda
  • genomgång och uppdatering av anvisningar i fråga om informationssäkerhet, dataskydd och kriskommunikation

Vanligaste bästa praxis

  • smidigt samarbete inom organisationen
  • organisationens ledning och sakkunniga förbinder sig till ansvarsfulla åtgärder i krissituationer
  • organisationens egna tjänster som den använder i övningen fungerar huvudsakligen bra

De som deltog i övningen tror att de kan förbättra sin beredskap med hjälp av observationerna som gjordes under övningen. Nästan alla som deltog i övningen meddelade att de gärna deltar i en motsvarande övning även nästa år.

Befolkningsregistercentralen strävar efter att publicera övningsmaterialet för organisationerna under slutet av 2018. I januari 2019 publiceras en slutrapport över TAISTO18-övningen.

Befolkningsregistercentralens övningsdag lyfte fram vikten av de anställdas kompetens

Befolkningsregistercentralen ordnade övningen för hela den offentliga förvaltningen, men hade även ett eget team som övade hantering av avvikelser i dataskyddet som en del av TAISTO18-övningen.

– Processer för hantering av störningar och avvikselser har testats i praktiken i och med de tekniska störningarna vid Befolkningsregistercentralen samt överbelastningsattacker. Allt som allt fungerar processerna och rolltilldelningen i vår organisation bra och smidigt berättar Mira Holmroos-Kolari, ICT-direktör vid Befolkningsregistercentralen.

På Befolkningsregistercentralens övning observerades att det finns anledning att i högre grad fästa uppmärksamhet vid personers beredskap. Förutom att ha utsedda nyckelpersoner är det viktigt att så många som möjligt har tillräcklig beredskap att hantera en situation, så man på ett kontrollerat sätt kan ge pinnen vidare till exempel om situationen drar ut på tiden.  Dessutom kräver beredskap för extern kommunikation allt tätare samarbete med samarbetspartner.

– Våra anvisningar och till exempel vår kriskommunikationsplan har visat sig vara guld värda i praktiska situationer och även i denna övning, summerar Mira Holmroos-Kolari.

Övningen kallades samman på uppdrag av kommun- och reformminister Anu Vehviläinen vid finansministeriet. Under de senaste 18 månaderna har Delegationen för informationsförvaltningen inom den offentliga förvaltningen (Juhta) och ledningsgruppen för digital säkerhet (VAHTI) som tillsatts av ministeriet genomfört gemensamma projekt för främjande av digital säkerhet. I projekten har man gjort utbildningsvideor, ordnat workshoppar och genomfört TAISTO18-övningen som nu är över. Med hjälp av dessa har man kunnat betydligt främja informationssäkerhets- och dataskyddsprocesserna vid organisationerna inom Finlands offentliga förvaltning, vilket bland annat varit en förutsättning för genomförandet av EU:s allmänna dataskyddsförordning. 

Övningen ordnades i samarbete mellan Befolkningsregistercentralen, Polisstyrelsen, dataombudsmannens byrå, Cybersäkerhetscentralen vid Kommunikationsverket och Statens center för informations- och kommunikationsteknik Valtori.


Mer information (från 29.11. kl 10.30)

Kimmo Rousku
ledande specialsakkunnig och direktör för TAISTO18-övningen
Befolkningsregistercentralen
förnamn.efternamn@vrk.fi
tfn 0295 535 120

Läs även Kimmo Rouskus TAISTO-blogg (på finska): Turvallinen digitalisaatio edellyttää luotettavia palveluita »