Ajankohtaista VAHTIsta

    Toimintaympäristö 29.4.2016

    Binäärikoodi


    Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä VAHTI uudistaa parhaillaan ohjeistuksensa tuotanto- ja rakennemallia sekä työstää uusia materiaaleja.


    VAHTIn tarkoituksena on auttaa parantamaan tiedon turvaamisen ja turvallisuuden eri näkökulmiin sekä jatkuvuudenhallintaan liittyvää työtä. Tukea on tarjolla valtionhallinnon lisäksi nyt entistä paremmin myös kunta- ja yritysmaailman toimijoille.
    Viime kesästä alkaen VAHTIn pääpääsihteerinä valtiovarainministeriössä toiminut Kimmo Rousku nostaa esiin muutamia ajankohtaisia asioita, jotka vaikuttavat myös huoltovarmuuskriittisten toimijoiden työhön.

    Jatkuvuudenhallintaan uusi ohje

    VAHTI julkaisee kevään aikana uuden, toiminnan jatkuvuudenhallintaan liittyvän ohjeen.
    ”Ohjeessa annetaan malli siitä, miten toimintaa pitäisi suojata ja miten varautua häiriötilanteisiin ennakoivasti. Tavoitteena tietysti on, ettei mitään toimintaa pysäyttävää tapahdu, mutta on tärkeää tietää, miten organisaatiossa toimitaan, jos näin kuitenkin käy. Osana ohjeistusta on laadittu BIA-työkalu, jonka avulla erilaisten häiriöiden vaikutuksia toimintaan voidaan arvioida ennakoivasti ja samalla priorisoida toimintaa. Yhteisellä työkalulla saadaan kaikilta yhtenäiset arviot”, Kimmo Rousku selvittää.

    EU:n tietosuoja-asetus vaikuttaa kaikkiin

    EU:n joulukuussa hyväksymän laajan tietosuojaa käsittelevän lakikokonaisuuden kahden vuoden siirtymäaika on juuri käynnistymässä. Lainmuutos vaikuttaa Rouskun mukaan kaikkiin toimijoihin, mutta ennen kaikkea niihin, joiden liiketoiminnassa korostuu henkilötietojen käsittely oman henkilöstön tietojen sijaan asiakkaiden tuottamissa palveluissa.

    ”Jokainen organisaatio käsittelee henkilötietoja, ellei palvelutuotannossaan, niin ainakin oman henkilöstönsä osalta.”

    Kokonaisuudessa on myös tietoturvaan liittyviä velvoitteita.

    ”Meiltä on tulossa toukokuussa VAHTI-raportti, jossa selvitetään EU-tietosuoja-asetuksen keskeiset vaatimukset ja annetaan konkreettisia ohjeita siitä, miten muutoksia pitäisi ennakoida. Siirtymäaikaa on syytä hyödyntää tehokkaasti, sillä tarvittavia toimia ei jalkauteta viikossa eikä kuukaudessa. Koska kokonaisuuteen liittyy merkittäviä taloudellisia riskejä esimerkiksi sanktioinnin kautta, liiketoiminnan pitäisi nyt olla tässä aktiivisesti hereillä ja mukana.”

    Kuntatoimijat vahvemmin mukaan VAHTI-toimintaan

    Huoltovarmuuskeskuksen ja Kuntaliiton 2-vuotisessa KUJA-hankkeessa on tehty työtä kuntien varautumisen ja toiminnan jatkuvuudenhallinnan valtakunnallisen toimintamallin tuottamiseksi. Hyvin toteutetusta hankkeesta on saatu myös oppia VAHTI-työhön. VAHTIin on perustettu oma kuntien tietoturvajaosto, jonka tehtävänä on sovittaa ja jalkauttaa VAHTI-työssä luotuja parhaita käytäntöjä, ohjeita ja malleja kuntien toimintaan.

    KYHA16-kyberturvallisuusharjoitus järjestetään toukokuussa Jyväskylässä. Perinteisen kyberturvallisuusharjoituksen toteutusvastuu on siirtynyt Puolustusvoimilta valtiovarainministeriölle. Viranomaistoimijoiden lisäksi harjoitukseen osallistuu myös kuntatoimijoista koostuva tarkkailuryhmä.

    ”Tänä vuonna harjoitellaan valtiovarainministeriön SecICT-hankkeessa kehitettyjä palveluita ja toimintamalleja häiriötilanteiden hallinnassa. Harjoituksen skenaariot pohjautuvat tieto- ja kyberturvallisuuteen, mutta oppeja voidaan hyödyntää laaja-alaisesti. Tämän vuoden harjoituksessa korostuu viranomaisten yhteistoiminta ja tilannekuva. Harjoituksen avulla tutkitaan toimintamallien laajennettavuutta muualle julkiseen hallintoon. Oppeja voidaan soveltaa myös kuntien ja sosiaalisektorin hallintaan, esimerkiksi palvelunestohyökkäykseen tai tavalliseen ICT-palvelutuotannon ongelmaan”, Rousku toteaa.

    Parannuksia

    "Tämä suoraviivaistaa ja selkeyttää ohjeistusta sekä karsii päällekkäisyyksiä. Vaatimusten määrä vähenee ja laatu nousee."

     

    VAHTI-ohjeistuksen tuotantomalli uudistuu 

    VAHTI-ohjeistuksen tuotantomallia uudistetaan parhaillaan. Samalla kun tulevassa portaalissa siirrytään sähköiseen malliin, eriytetään omiksi osioikseen myös varsinaiset ohjeet ja erikseen kokonaisuuteen liittyvät vaatimukset.

    ”Tämä suoraviivaistaa ja selkeyttää ohjeistusta sekä karsii päällekkäisyyksiä. Vaatimusten määrä vähenee ja laatu nousee”, Rousku tiivistää. Työn pitäisi olla valmis osin tämän ja lopullisesti ensi vuoden aikana.

    Valmis kyselymalli ja tukimateriaalia

    Tämän vuoden loppupuoliskolla on odotettavissa työn alla olevan julkishallinnon tietoturvakyselyn valmistuminen.

    ”Tätä henkilöstön osaamista ja kokemuksia kartoittavaa mallikyselyä voidaan käyttää keskitetysti niin valtionhallinnossa kuin julkishallinnossakin. Kysely sisältää kysymyksiä myös vastaajaorganisaatioiden johdolle. Tätä kautta vastaajaorganisaatiot saavat henkilöstöltään arvokasta tietoa oman toimintansa kehittämiseen ja vertailutietoa muihin organisaatioihin.”

    VAHTI tuottaa myös erilaista tuki- ja täydennysmateriaalia tarpeen mukaan. Esimerkiksi tämän vuoden aikana valmistuu tukimateriaalia auditointien avuksi, minkä lisäksi päivitetään valtionhallinnon turvallisuussopimusmallia.

    ”VAHTI-työssä näkee yhteistyön voiman. Se on myös kustannustehokas tapa: Toimintaa pyörittää sihteeristössä pääsihteerin lisäksi oman toimen ohella viisi asiantuntijaa. Meille voi aina soittaa ja lähettää viestejä. Jalkaudumme pyynnöstä mielellämme myös kentälle”, pääsihteeri lupaa.

    Lisätietoja ja Vahti-ohjeet

    www.vm.fi/vahti

    vahti (at) vm.fi

     


    kimmo.rousku (at) vm.fi