Millaista luottamuksellisen tiedon hallintaa digitalisoinnissa tarvitaan?

    Toimintaympäristö 5.10.2016

    Millaista luottamuksellisen tiedon hallintaa tarvitaan?

    Tietoturvaa

    Netin käytön alkuaikoina laajaa innostusta herätti mahdollisuus saada äänensä kuuluville ja julkaistua kannanottoja ja mielipiteitä verkossa. Viime aikoina yhä enemmän on huolta herättänyt luottamuksellisten tietojen salassa pysyminen. Tarkkaileeko joku viestejäni tai vain kavereilleni jakamiani päivityksiä? Mitä tietoja minusta valuu kansainvälisille toimijoille kännykkääni lataamani appsin välityksellä? Huijataanko tililtäni rahaa netin kautta? Ovatko omakanta -palvelussa terveystietoni turvassa?

    Kansalainen asiakkaana ja digitalisoitumisen vaatiman systeemisen toiminnallisen muutoksen edistäminen yhteiskunnassa ja julkisessa hallinnossa ovat merkittäviä painopisteitä pääministeri Sipilän hallituksen ohjelmassa. Digitalisoitumisen ja siinä tarvittavan tiedolla johtamisen, älykkäiden algoritmien, automaation ja esineiden internetin myötä kyberturvallisuuden merkitys on yhä keskeisempää kotimaisessa ja kansainvälisessä toiminnassa. Tarkoittako tämä sitä että luottamuksellisen tiedon määrä on kasvussa suhteessa julkisen tiedon määrään? Näin vaikuttaisi olevan kansalaisen näkökulmasta, entä yritysten tai julkisen hallinnon osalta? Mitä vaatimuksia tämä kehitys asettaa tiedon hallinnalle ja ICT-palveluille? Millä tavoin tiedon luottamuksellisuuden ja saatavuuden välistä ristiriitaa voidaan ratkoa?

    Näitä kysymyksiä pohditaan valtiovarainministeriössä viime keväänä käynnistyneessä tietoturvalli-suuden toteuttamisen ja tietoturva-asetuksen soveltamisen nykytilaa ja tavoitetilaa valtionhallinnossa selvittävässä ryhmässä. Selvitystyötä tukee laaja ohjausryhmä, jossa on jäseniä ministeriöistä ja virastoista, Turvallisuuskomitean sihteeristöstä, Eduskunnasta, Elinkeinoelämän keskusliitosta, Espoon kaupungilta, Huoltovarmuuskeskuksesta, Kuntaliitosta, KELAsta ja Suomen Pankista.

    Valtionhallinnon tietoturvallisuuden nyky- ja tavoitetilan kuvaamiseksi selvitystyössä suoritettiin kesän ja alkusyksyn aikana laaja puolistrukturoitu haastattelukierros valtion, kuntien ja yritysten toimijoille sekä järjestettiin kuulemistilaisuus yritysten ja järjestöjen sekä kuntien edustajille. Ohessa on joitakin yritysten ja järjestöjen kuulemistilaisuuksista poimittuja näkökulmia:
    1. ICT-hankinnat ja niihin liittyen Vahti-ohjeiden tietoturvallisuusvaatimukset, 950+ kappaletta, koetaan haasteellisiksi.
    2. Valtionhallinnossa päätöksenteko on hajaantunut verkostoon, mikä on haasteellista yritysten näkökulmasta.
    3. Tietoturvallisuussäännösten tavoitetilaa kuvattaessa taloudellisten vaikutusten arvioinnin tulisi olla keskeisessä roolissa.
    4. Työskentelytapojen muutos mobiilityöskentelyyn tulisi heijastua säännöksissä.
    5. Tieto ei ole enää välttämättä tietyssä fyysisessä paikassa vaan pilvessä, ei-julkisen tiedon käsittely pilvessä?
    5.1 Suomalaisten yritysten kilpailukyky: Useassa tilanteessa toimittaja ei ole voinut ottaa pilvipalveluja käyttöön julkisen hallinnon vaatimusten vuoksi ja tämän johdosta toi-mittaja ei ole kilpailukyvyssä samalla viivalla muiden toimittajien kanssa koskien valtionhallinnon ulkopuolisia asiakkaita.
    6. Miten turvataan julkisen tiedon turvallisuus?
    7. Miten toteutetaan henkilötietojen luokittelu ja liitynnät tietosuojaan?
    8. Sääntelyssä ei pitäisi olla yllättäviä hyppäyksiä, sen pitäisi olla pitkäjänteistä, jotta muutoksiin ja niiden aiheuttamiin kustannuksiin voidaan varautua ennalta, viestintä muutoksista toimittajien suuntaan riittävän ajoissa.
    9. Tavoitteena voisi olla yhteiset säädökset pohjoismaissa, yksinkertaistaisi liiketoimintaa pohjoismaissa, säädökset ja ohjeet pitäisi olla myös saatavilla englanniksi.
    9.1 Brittien kokemukset kolmiportaiseen luokitteluun siirtymisestä sisälsi norminpurkamisen lisäksi myös formaalien akreditointien poistamisen sekä dokumentaatiovaatmusten purkamisen, mikä on johtanut haastavaan tilanteeseen kaksi vuotta uudistuksen jälkeen.
    10. Järjestöt tarjoutuivat kansalaisten neuvojiksi koskien julkisen hallinnon tuottamien sähköisen asioinnin palvelujen tietoturvallisuutta.

    Lisäksi selvitystyössä suoritetuissa haastatteluissa tuotiin esille seuraavia seikkoja:

    1. Valtioneuvoston asetus tietoturvallisuudesta on koettu pääpiirteittäin hyväksi, nähdään kuitenkin että on tarve yhtenäisille tulkinnoille niin luokittelussa kuin vaatimuksissakin.
    1.1 Kaksinkertainen luokittelu aiheuttaa käyttäjissä hämmennystä ja lisää kouluttamisen tarvetta: tarve yksinkertaistaa.
    1.2 Tietojen luokittelumaailma ei oikein toimi yksityisen sektorin kanssa toimittaessa.
    1.3 Luokitus perustuu juridiseen tulkintaan, haastatteluissa annettiin laaja kannatus riskiperusteiselle lähestymiselle.
    2. Tietojen vaihtoon tarvitaan selkeämmät säännöt.
    3. Tarjolla ei ole tietoturvanäkökulmasta hyväksyttyjä teknisiä ratkaisuja.
    4. Korotetun tietoturvallisuustason tekniset vaatimukset tekevät toteutuksista kalliita ja hankalia.
    5. Muutokset luottamuksellisuudessa tiedon elinkaaren eri vaiheissa ovat haastavia hallita.
    6. Tiedon käsittelyoikeudet tai salaamisen tarve eivät ole aina selviä.
    7. Muuttuva tietojen käsittely-ympäristö, esimerkiksi jaetut työtilat tai mobiili työ ja tarve reaa-liaikaiseen tiedonvaihtoon aiheuttavat tietoturvallisuushaasteita.

    Haastateltavat myös totesivat, että muualla kuin asianhallintajärjestelmissä olevan tiedon liikkumisen seuraaminen on vaikeaa, siihen ei oikein ole menettelyjä. Tämä tekee erityisesti tiedon eheyden turvaamisesta haastavaa.

    Kerättyjen nykytilahavaintojen pohjalta selvitystyössä on syksyn aikana tarkoitus edetä tietoturvallisuussäännösten tavoitetilan kuvaamiseen. Ohessa on joitakin näkökulmia tavoitetilaa ajatellen:

    1. Valtioneuvoston asetus tietoturvallisuudesta on koettu pääpiirteittäin hyväksi, nähdään kuitenkin että on tarve yhtenäisille tulkinnoille niin luokittelussa kuin vaatimuksissakin.
    1.1. Kaksinkertainen luokittelu aiheuttaa käyttäjissä hämmennystä ja lisää kouluttamisen tarvetta: tarve yksinkertaistaa.
    1.2 Tietojen luokittelumaailma ei oikein toimi yksityisen sektorin kanssa toimittaessa.
    1.3 Luokitus perustuu juridiseen tulkintaan, haastatteluissa annettiin laaja kannatus riskiperusteiselle lähestymiselle.

    Keräämme edelleen palautetta selvitystyötä varten. Valmistelutyöhön liittyvään kyselyyn voi vastata verkossa 7.10. asti osoitteessa https://turvaposti.valtori.fi/tts-kysely

    Vapaamuotoisesti ja verkkokyselyn jälkeenkin voi olla yhteyksissä: Mitä muita asioita tulisi tavoi-tetilaa kuvattaessa vielä huomioida?

    Tuija Kuusisto
    Turvallisuuspäällikkö
    Valtiovarainministeriö