VAHTI seuraa ja ohjaa kyberturvallisempaan arkeen

11.11.2014

Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä VAHTI tekee laajaa yhteistyötä ja tukee tietoturvatyötä tuottamalla toimijoille käytännön työkaluja. Parhaiten VAHTI tunnetaan tietoturvaohjeistaan ja -hankkeistaan, kuten meneillään olevista tietoturvatasohankkeista ja valtion ympärivuorokautisen tietoturvatoiminnan kehittämishankkeesta.

VAHTIn toimintatavat ovat monipuoliset ja toiminnassa ovat laajasti mukana tieto- ja kyberturvallisuuden sekä varautumisen johto ja asiantuntijat julkisesta hallinnosta. VAHTIn työn tuloksia hyödynnetään valtionhallinnon lisäksi laajasti myös kunnallishallinnossa, elinkeinoelämässä, opetus- ja kansalaistoiminnassa sekä kansainvälisessä tietoturvayhteistyössä.

Monilla VAHTI-oppaat ja -ohjeet toimivat sellaisinaan omaan toimintaympäristöön siirrettynä. Osa täydentää niitä lisäohjein.

VAHTI karsii päällekkäistyötä

VAHTI ei vahdi ja varoittele, vaan ohjaa ja kannustaa arvioimaan omaa toimintaa. VAHTI tekee turvakulttuurin osalta jatkuvaa yhteistyötä ja tilanneseurantaa, seuraa lainsäädäntöä ja osallistuu sen kehittämiseen, etsii ja tunnistaa kehityskohteita, kouluttaa ja kerää tietoa ohjeiden toteutuksesta sekä tavoitteisiin pääsystä.

VAHTIn toiminnassa on mukana monipuolinen asiantuntijajoukko eri hallinnonaloilta ja -tasoilta. Tarvittaessa pyydetään mukaan kuntien ja muiden tahojen edustajia. Laajan yhteistyön ansiosta pystytään karsimaan päällekkäistyötä ja hyödyntämään laajasti paras osaaminen.

Julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä ohjaa ja sovittaa yhteen valtiovarainministeriö, jonka asettamana elimenä VAHTI on toiminut 1990-luvulta asti. Jokaisella ministeriöllä on ohjausrooli omalla toimialallaan.

 

VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista.

 

VAHTI korostaa kokonaisajattelua

VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä.

VAHTI-johtoryhmän työtä tukevat sihteeristö ja erilaiset VAHTIn alaiset ryhmät ja jaostot. Nykyisen VAHTIn toimikausi ulottuu vuoden 2016 loppuun. VAHTI on saanut useita tunnustuspalkintoja tuloksellisesta toiminnastaan ja yhteistyöstä Suomen turvallisuuden parantamisessa.

”Määrätietoista työtä on tehty viimeiset viisitoista vuotta. Laajemmin toiminta lähti liikkeelle Matti Vanhasen ykköshallituksen käynnistämästä poikkihallinnollisesta tietoyhteiskuntaohjelmasta vuonna 2003 ja siihen sisältyneestä onnistuneesta koko valtionhallinnon kattaneesta tietoturvallisuuden kehittämisohjelmasta 2004-2006”, kertoo tietohallintoneuvos, yksikön päällikkö VAHTIn puheenjohtaja Mikael Kiviniemi valtiovarainministeriöstä.

VAHTI kelpaa malliksi

”VAHTI-toiminnalla on aikaansaatu yksi maailman kattavimmista yleisistä tietoturvaohjeistoista. Muun muassa Virossa ja itäisessä Euroopassa käytetään sitä mallina. Suomen kansallinen kyberturvastrategia korostaa VAHTIn merkitystä myös jatkossa”, toteaa VAHTIn pääsihteeri Aku Hilve valtiovarainministeriöstä.

Hilve muistuttaa, että valtionhallinnossa on tietoturvallisuuden perustason velvoittava tietoturva-asetus, joka kuntapuolelta puuttuu.

Kansainvälistä yhteistyötä tehdään erittäin paljon muun muassa EU:n ja OECD:n piirissä.

”Tietoturvan mittaamisessa olemme edelläkävijöitä. Olemme onnistuneet katsomaan asioita laajasti eikä pelkästään määrällisin mittarein.”

Taloudellisesti järkevälle riskitasolle

”OECD:n periaatteet ovat erittäin hyvät. Niissä ei ajatella pelkästään tietoturvaa, vaan laajemmin muun muassa ihmisoikeuksia ja taloudellisia asioita. Riskilähtöisyys ajatustapana on meidänkin lähtökohtamme. Riskitason on oltava sellainen, että se on taloudellisesti järkevä”, kuvaa Hilve.

Asiakasnäkökulma on toinen keskeinen VAHTI-toiminnan lähtökohta.

Uhat yhä haasteellisempia

”Kyberturvallisuusuhat tulevat olemaan aina vain haasteellisempia, ja esimerkiksi digitaalisuuden toteuttaminen ei onnistu, ellei kyberturvallisuuteen voida luottaa. Siksi välttämättömiin VAHTI-toteutuksiin on saatava rahoitus myös hankevaiheen jälkeen. Parempi on toteuttaa priorisoidusti vähemmän asioita, mutta niin, että niissä on huomioitu kaikki kyber- ja tietoturvallisuus sekä varautumisen tarpeet”, Kiviniemi painottaa.

Lainsäädäntöä pitää myös kehittää koko ajan ja säädöksistä tehdä arvioita. Suuria kiireisiä puutteita eivät Hilve ja Kiviniemi tällä hetkellä näe, mutta joiltain osin lainsäädäntöä pitäisi heidän mielestään tarkistaa. ”Lisäksi sekä kyberturvallisuusstrategian ja valtionhallinnon tietoturvallisuuden kehittämisen periaatepäätöksen mukaisesti tieto- ja kyberturvallisuuden sekä varautumisen lainsäädäntö on tarpeen käydä kokonaisuutena läpi mahdollista kehittämistä varten.”

”Huomioitavia lakeja on kieltämättä niin monta, että soveltaja voi olla pulassa ilman juristin apua. Tämäkin lisää ohjeidemme käytettävyyttä, sillä niissä nykyiset pykälät on huomioitu.”

Kyber- ja tietoturvallisuus on jokaisen asia

Liian tiukkoja määräyksiä pitää välttää, sillä se voi heikentää yritysten kansainvälistä kilpailukykyä. Tietoturvan perustaso on kuitenkin vaadittava ja turvattava. Valtionhallinnossa sen on saavuttanut valtaosa.

”Vastuu on johdolla. Nykyaikaisen hyvän yleisjohtajan pitää ymmärtää tieto- ja kyberturvallisuuden merkitys. Oikea suhtautuminen valuu ylhäältä alas ja sivuille vaikuttaen koko organisaation ja yhteistyökumppaneiden toimintaan”, Mikael Kiviniemi tiivistää.

Lisätietoja ja Vahti-ohjeet

www.vm.fi/vahti

www.vahtiohje.fi

 

Uusimmat tai uudistetut VAHTI-ohjeet:

Päätelaitteiden tietoturvaopas, (5/2013)
Henkilöstön tietoturvaohje (4/2013)
Toimitilojen tietoturvaohje (2/2013)
Sovelluskehityksen tietoturvaohje (1/2013)

 

 

Marjo Rautvuori

 

 

 

 
 

Jaa artikkeli