kyberturvallisuus - osaamisen ja hallinnon haaste ... · • mobiiliteknologia ja langattomat...
Post on 31-Aug-2019
5 Views
Preview:
TRANSCRIPT
14.9.2017 Page 1
Kyberturvallisuus - osaamisen ja hallinnon haaste kuntasektorillaKuntamarkkinat 14.9.2017
Kari Ahopelto, kehityspäällikkö ICTFCG Finnish Consulting Group Oy
Päivi Raitio, koulutuspäällikkö
FCG Koulutus Oy
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 2
Esityksen sisältö
• Digitalisaatio
• Kyberturvallisuus
• Kustannustehokkaat ratkaisut
Osaaminen – miten vastaat haasteeseen?
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 3
Digitalisaatio
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Sisäisten ja ulkoisten toimintamallien uusiutuminen
14.9.2017 Page 4
Käsitteet – ja käsitykset
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 5
Käsitteet - logiikka - toiminta
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Digitalisaatio-käsitteellä ei ole virallista määritelmää. Taustana on käsite digitalisointi, analogisen muuntaminen digitaaliseksi.
• Digitalisoimista tapahtuu, kun asioita, esineitä tai prosesseja digitalisoidaan kokonaan tai osittain digituotteiksi(äänilevyt, valokuvat, lehdet, kirjat, kaupankäynti, palvelut jne.).
• Digitalisaatio muuttaa ihmisten käyttäytymistä, markkinoiden dynamiikkaa ja yritysten toimintaa.
• Toimintamallien uusiutuminen, oppiminen ja ”poisoppiminen”
• Kyberturvallisuus liittyy yleensä sähköisessä muodossa olevan informaation käsittelyyn; tietotekniikkaan, sähköiseen viestintään, tieto- ja tietokonejärjestelmiin.
• Kyberturvallisuus käsittää elintärkeisiin toimintoihin ja kriittiseen infrastruktuuriinkohdistuvat toimenpiteet, joiden tavoitteena on saavuttaa kyky ennakoivasti hallita ja tarvittaessa sietääkyberuhkia ja niiden vaikutuksia, jotka voivat aiheuttaa merkittävää haittaa tai vaaraa
• Toiminnan jatkumisen turvaaminen
Digitalisointi edellyttää kyberturvallisuutta
14.9.2017 Page 6
Miten digitalisaation vaikutukset nähdään?
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Esimerkkinä näkökulmista PESTLE-analyysi
• poliittinen (Political)
• taloudellinen (Economical)
• sosiaalinen (Social)
• teknologinen (Technological)
• juridinen (Legal)
• ekologinen (Ecological)
PESTLE -> TESPLE…?
Digitalisaation ja kyberturvallisuudenkäsitteet, logiikka ja toiminta voidaan muodostaa täysin eri näkökulmista
Hallinnossa digitalisoinnin toteuttajana on usein kunta
14.9.2017 Page 7
Teknologian murros
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 8
Teknologian murros
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Tiedonkäsittelyn kapasiteetti
• Etäyhteydet ja –palvelut, pilvipalvelut
• Sosiaalinen media
• Mobiiliteknologia ja langattomat yhteydet
• Esineiden internet, IoT, Internet of Things
• Analytiikka ja Big Data
• Lohkoketjuteknologia, Blockchain
• Tietotyön automatisointi
• Tietokoneohjattu valmistus
• Robotisointi
• Tekoäly/ yhä älykkäämmät ketjutetut järjestelmät -> "itseohjautuvuus"
Aggressiivinen kilpailu
• Nopeat ja ketterät kehittämismallit
• MVP, Minimum Viable Product, pienin mahdollinen tuote tai pienin ja nopein markkinoitava ominaisuusjoukko
• Laajat jakelut, uudet ansaintalogiikat
• Tuotteiden keskeneräisyys?
Osaamisen haaste
• Miten kehityt ja pysyt ajan tasalla?
• Miten vältät riskit ja epäkohdat?
• Miten vaikutat?
• Mitä valitset?
Mikä ohjaa ja miten ohjataan teknologian kehitystä ja valintoja?
14.9.2017 Page 9
Sosiaalinen murros
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Teknologian kuluttajistuminen
• Tuotteet suunnataan usein kuluttajalle, joka tekee valintoja
• Sosiaalisen median ilmiöt
• Yhteisöllisyys – yksilöllisyys -ryhmäytyneisyys
• Tiedon kuluttaja - tiedon tuottaja
• Joukkoistaminen
• Vaikuttaminen
• Tiedon määrä
• Tiedon löytäminen ja luotettavuus?
Mediamaiseman muutos on ollut voimakas; se koskettaa käytännössä kaikkia organisaatioita
• Visuaalinen, ennustamaton, hallitsematon
• Vaatii aikaa ja vie resursseja
• Yhä vähemmän osaavat pystyvät vaikuttamaan yhä enemmän
Itseilmaisun ja yhteisöllisyyden rinnalle tietoinen ja suunnitelmallinen vaikuttaminen: mielipide, disinformaatio, ”vaihtoehtoiset faktat”
Osaamisen haasteena luotettavan tiedon hankinta – tiedon soveltaminen – tiedon jakelu
14.9.2017 Page 10
Talouden ja liiketoiminnan murros –prosessiketjut
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Dataa hyödyntävät digitaaliset tuotteet arvoketjussa (Kemppi)
• Kasvuna kansainväliset digitaaliset tuotteet (Enevo)
• Arvoketjun virtaviivaistaminenverkkokaupan avulla (Finnmatkat)
• Markkinoinnin panostukset digitaalisiin medioihin (Sokos Hotels)
• Verkkomyynti keskeiseksi kanavastrategiaksi (Verkkokauppa)
• Asiakaspalveluissa toimintamalleinaitsepalvelu, joukkoistaminen ja sosiaalinen media (DNA)
• Toiminta verkostomaisesti tai hyödyntäen ekosysteemejä ja mm. avoimia rajapintoja (Suunto)
• Liiketoimintamalli perustuu kaksisuuntaiseen markkinaan ja ilmaisuuden ekonomiaan (Asiakastieto)
• Liiketoimintaprosessien automatisointi(vakuutusyhtiöt)
Lähde: Ilmarinen V., Koskela K. (2015) Digitalisaatio, yritysjohdon käsikirjaKuva: Yritysjohdon opas digitaalisen asiakaskohtaamisen rakentamiseen (26.4.2016), Elisa Oyj
Prosessiketjut ovat häiriöherkkiä;poikkeama yhdessä ”ketjun lenkissä” saattaa pysäyttää muutkin toiminnot
14.9.2017 Page 11
Poliittinen murros
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Toimintaympäristön muutosnopeus
• Kilpailu, hallinnon tehostaminen
• Kokonaiskuva, tilanne, ennuste
• Arvovalinnat
• Tavoiteasettelut
• Ohjausmekanismit
• Sosiaalisen media seuranta ja hyödyntäminen
• Poliittiset valtajaksot, mandaatti ja reunaehdot
• Julkishallinnon tehokkuuden verrokkina on usein yksityinen sektori, ”tuottavuusloikka”
• Toimivatko hallinnossa esimerkiksi
• Nopeat päätöksentekomallit?
• Ketteryys, joustavat muutokset?
• MVP-malli? Nopein markkinoitava ominaisuusjoukko?
• Onko julkishallinnossa hyödynnettävä edelleen sen omia vahvuuksia?
• Julkishallinnon ja yksityisen sektorin hybridimalli?
Teknologian murros on haastanut arvovalinnat ja ohjausmekanismit
14.9.2017 Page 12
Juridinen murros
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Globaali toiminta, periaatteet ja sääntely esim.
• EU
• Kansainväliset yritykset ja organisaatiot
• Kilpailu, tuotannon tekijät
• Arvovalinnat ja painotukset, etiikka
Lokaali toiminta, periaatteet ja sääntely
• Kansallinen lainsäädäntö
• Organisaatioiden toimintakulttuuri
• Paikalliset yritykset ja organisaatiot
• Kilpailu, tuotannon tekijät
• Arvovalinnat ja painotukset, etiikka
Miten juridinen murros sovitetaan kansalliseen lainsäädäntöön ja paikalliseen toimintaan?
Tieto ohjaa päätelmiämme ja yritysten toiminta ylittää valtiorajat. Mikä on vaikkapa Googlen etikka, juridiikka tai ”ulkopolitiikka”? Miten sitä säännellään?
14.9.2017 Page 13
Julkisten palvelujen digitalisointi - kärkihankkeet
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Lähde: Valtiovarainministeriö
14.9.2017 Page 14
Julkishallinnon digitalisoinnin yhdeksän periaatetta
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Lähde: Valtiovarainministeriö
14.9.2017 Page 15
Hallinnolliset ja juridiset uudistukset
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 16
Esimerkkejä uudistuksista
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Lakiuudistuksia
• Tietosuoja-asetus 25.5.2018
• Saavutettavuusdirektiivi 23.9.2018
• Hankintalaki 1.1.2017
• Kuntalaki 1.6.2017
• Tiedonhallintalaki 1.1.2019
• Sote- ja maakuntauudistus
• jne.
Kysymyksiä aiheuttaneet mm.
• Tavoiteasettelu
• Aikataulu
• Kustannusarviot - resurssit
• Asiantuntijoiden huomiot
• Lakivalmistelu
• Oletukset tiedon hallinnasta ja tietojärjestelmistä
Entä kyberturvallisuus, tietosuoja, tietoturva?
Useat samanaikaiset uudistukset haastavat kuntatoimijoiden osaamisen ja resurssit
14.9.2017 Page 17
EU:n yleinen tietosuoja-asetus
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Asetuksen velvoitteet tukevat kyberturvallisuuden rakentamista
• Esimerkkilista tietoturvan toteuttamisessa tarpeellisista toimista
• Henkilötietojen pseudonyymisointi
• Toimenpiteiden säännöllinen testaaminen
• Auditoinnit
• Vaatimus sisäänrakennetusta tietosuojasta (privacy by design)
• Tietosuojaa koskevat vaikutustenarvioinnit (PIA, PrivacyImpact Assessment)
• Velvollisuus nimittää, tietyin kriteerein, tietosuojavastaava
Muutoksessa täysin uutta mm.
• Osoittamisvelvollisuus, tilintekovelvollisuus
• Käsittelytoimintojen kuvaaminen
• Tietojen siirrettävyys
• Vaikutusten arviointi
• Ilmoitus loukkauksesta (72 tunnissa!)
• Ennakkohyväksyntä ja ennakkokuuleminen
• Sanktiot, hallinnolliset seuraamukset
• Viranomaisorganisaatio - One Stop Shop
• Ryhmäkanne –oikeus
• Korvausperusteet, ml. vahingonkorvaus
-> prosessit kuntoon
Tietosuoja-asetus on sanktioitu paradigman muutos kyberturvallisuuteen
Lähteet: Ida Sulin, EU:n yleinen tietosuoja-asetus, FCG 10.10.2016; Jukka Lång, Organisaation tietoturvavelvoitteet, Kuntien kyberturvallisuuspäivät 5.10.2016
14.9.2017 Page 18
EU:n yleinen tietosuoja-asetus, sopimukset
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Asetuksen sopimusvaatimuksia
• Rekisterinpitäjän ja henkilötietojen käsittelijän välillä on oltava kirjallinen sopimus
• Sopimuksessa tulee määritellä mm.
• henkilötietojen käsittelyn kohde, luonne, tarkoitus ja kesto
• käsiteltävät henkilötiedot, rekisterinpitäjän oikeudet ja velvollisuudet
• laadunvarmistus (raportointi); tietosuojapolitiikka, käsittelytoimien kirjaamisvelvollisuus, toissijaiset ulkoistukset/ alihankkijat, henkilötietojen poisto jne.
Sopimuksiin ehdot rekisterin käsittelijälle:
• käsittelee henkilötietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti
• noudattaa salassapitovelvollisuutta ja
• tietosuojapolitiikka, tietosuojaorganisaatio, -roolit ja -vastuut
• tietosuojaselosteet
• rekisterien tietovirta/vuokuvaukset
• kuvaukset rekisteröityjen oikeuksien takaamiseksi määritellyistä prosesseista
• Ei ulkoista henkilötietojen käsittelyn tehtäviä ilman rekisterinpitäjän kirjallista ennakkosuostumusta…. jne.
• poistaa tai palauttaa henkilötiedot rekisterinpitäjälle käsittelypalvelujen päättyessä…jne. (art. 28)
Tietosuojasta ja tietoturvasta tulossa uusi sopimusten kipupiste
Lähteet: Ida Sulin, EU:n yleinen tietosuoja-asetus, FCG 10.10.2016; Jukka Lång, Organisaation tietoturvavelvoitteet, Kuntien kyberturvallisuuspäivät 5.10.2016
14.9.2017 Page 19
Kyberturvallisuus
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 20
Uhkakuvia
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Keskitetyn tekniikan ja tiedon riskit
• Matkapuhelimet ja langattomat yhteydet
• Internet of Things (IoT)
• Palvelunestohyökkäykset
• Haittaohjelmat
• Viestintäpalveluiden toimintahäiriöt
• Tietomurrot
• Tietojen kalastelu
• Verkkovakoilu
• Poliittinen ja sosiaalinen vaikuttaminen, valeuutiset, trollaus
• jne.
Yhä vähemmillä osaamisella ja resursseilla pystytään tekemään yhä vakavampia häiriöitä
14.9.2017 Page 21
Internet of Things, IoT
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Tekniikka käytössä, mutta ovatko toiminnot ja palvelut turvallisia?
• Kyberturvallisuuden haasteita
• kehityksen kuluttajavetoisuus
• Start-upit, nopeat levikit ja käyttöönotot
• Laajalti käytetyt samat ohjelmistot ja ohjelmistokomponentit
• Valmistajien lyhyt tuotetuki
• Huolellisen käyttöönoton laiminlyönti
• Ylläpidon ja päivitysten laiminlyönti
• Esineitä on paljon ja yllättävissä paikoissa
Kuva: Viestintävirasto, tietoturva-asiantuntija Perttu Halonen 5.10.2016
Lähteet: Mikko Viitaila ja Perttu Halonen, Viestintävirasto, Kuntien kyberturvallisuuspäivät 4.-5.10.2016,Seppo Tiilikainen, Jukka Manner (2013), Suomen automaatioverkkojen haavoittuvuus, Aalto-yliopisto 2013
Jo v. 2020 6 mrd internetin käyttäjää,Internettiin kytkettyjä laitteita 50 - 60 mrd, perheissä jopa 50 kpl/ talous Internet of Things kasvattaa hyökkäyspinta-alaa
14.9.2017 Page 22
Robotisointi
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Palveluja ja prosesseja voidaan digitalisoida, automatisoida ja ketjuttaa yhä pidemmälle keinoälyn ja robotisoinnin avulla.
Myös tietotekniikka-alan työpaikoista yli 80 prosenttia korvautuu nopeasti tekoälyllä? Miten ja kuka kontrolloi?
Mitkä ovat uudet menestystekijämme?
Millainen on Suomi v. 2030? Yritysten, kuntien ja maakuntien osalta digitalisoinnin edellytykset luodaan nyt! Kyberturvallisuus on digitalisoinnin edellytys.
14.9.2017 Page 23
Häiriöriskit kasvavat
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Toimintaympäristö muutos on nopea
• Riippuvuus tietotekniikasta tietojärjestelmistä ja sähköstä
• Tuotteet ja palvelut tuotetaan useiden osapuolten muodostamissa arvoketjuissa, jossa häiriö yhdessä ketjun lenkissä pysäyttää muutkin toiminnot
• Toteutuksiin osallistuu usein monia toimijoita ja alihankintaketjuja
• Vastuiden hallinta on kasvava haaste
• Kilpailu markkinoista intensiivistä, toimintoja ja toimintaketjuja testataan vasta tuotantokäytössä
• Teknisesti yhä vähemmän osaavat pystyvä tekemään yhä enemmän
• Tekniikan ja talouden kehitys ja kilpailu
• ”Hype” ei ennakoi häiriöriskejä
• Kyberturvallisuutta ohjaa ”näkymätön käsi”? Oman edun tavoittelu ei toimi yhteisen edun hyväksi (vrt. Adam Smith)
Luotettavuudesta ja turvallisuudesta vahvistumassa yleinen kilpailutekijä
14.9.2017 Page 24
Kyberturvallisuuden haasteet ja niiden hallinta
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Haasteita
• Merkittävät, nopealla aikataululla tapahtuva muutokset
• Kasvaneet riippuvuudet; toiminnalliset, organisaatioiden väliset, ulkoistukset
• ICT-ympäristöjen ja -palveluiden monimutkaisuus
• Kehittyneet ja hyvin valmistellut hyökkäykset
• Kielimuuri teknisten asiantuntijoiden ja johdon välillä
Haasteiden hallinta
• Muutostenhallinta, jossa ymmärretään vaikutukset
• Riippuvuuksien tunnistaminen
• Vastuiden määrittäminen monitoimijaympäristössä
• ICT-ympäristöjen ja -palveluiden riittävä tekninen kuvaaminen
• Resilienssi ja riittävä dynaamisuus vastatoimissa
• Kielimuurin purkaminen selkeällä viestinnällä ja erityyppisillä tilannekuvilla
Lähde: Kirsi Janhunen, Valtiovarainministeriö, Kuntien kyberturvallisuuspäivät 4.10.2016
Kyberturvallisuus edellyttää resilienssiä, joustavaa toiminta- ja reagointikykyä
14.9.2017 Page 27
Miten voit kustannustehokkaasti lisätä toimintavarmuutta?
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Osaaminen• Toimintamallit• Yhteistyö
14.9.2017 Page 28
Kohdenna osaaminen
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Muodosta kokonaiskuva muutoksista
• Nykytila, tavoitteet, toimenpiteet
Organisoi ja priorisoi osaamisen tarve
• Vastuuhenkilöt
• Tarvittava osaaminen
• Koulutuksen sisällöt ja toteutustavat
Arvioi ja ajoita uudistukset ja koulutus. Koulutussuunnitelmasi?
Seminaarit, tapahtumat, webinaarit
Läsnäkoulutus
• Kohdennetut koulutuspäivät
• Koulutuspaketit
• Tilauskoulutus
Etäkoulutus esim.
• Verkkokoulutus
• Koulutusvideot ja testit
• Täydentävä koulutus
Informaatio on kohdennettava oikeille henkilöille – oikeaan aikaan – tehokkaimmalla tavalla
14.9.2017 Page 29
Sovella malleja
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Projektimallit
• Palvelumallit
• Sopimusmallit
• Hankintamallit
• Tietoturvamallit
• Tietosuojamallit
• Tietotilinpäätös
• Kokonaisarkkitehtuuri
• Inframallit
• Tietoliikennemallit
• Tukipalvelumallit
• Auditointimallit
• Sertifikaatit
• Toimittajien palvelu- ja järjestelmäratkaisut
• Oppimisympäristöjen ja koulutusvideoiden hyödyntäminen
• Järjestelmäratkaisut
”Mallioppiminen” nopea ja kustannustehokas tapa oppia, hallita ja toteuttaa muutoksia
14.9.2017 Page 30
Hankinnassa ratkaistaan turvallisuus ja kustannukset
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Kyberturvallisuus eri hankintavaiheissa mm.
• Valinta
• Hankintasopimuksen tietoturvallisuusehdot
• Turvallisuuskulttuuri sopimuskaudella
• Tietoturvavaatimukset tarjouspyynnössä
• Hyvä tiedonhallintatapa (JulkL 18 §)
• Tietoturva-asetus (681/2010)
• Vahti-ohjeistus/Ficoran ohjeistus
• Hankintakohtaiset tietoturvavaatimukset
• Vaatimusten muokkaaminen hankintakohtaisesti
• Hankinnan kohteen erityisvaatimukset, luokittelut, salausratkaisut,käyttövaltuushallinta, lokitiedot jne.
Sopimusehdoissa
• Turvallisuussopimus tarjouspyynnön osaksi
• Palvelujen maantieteellinen sijainti
• Asiakkaan aineiston sijainti
• Asiakkaan aineiston käsittely
• Turvallisuusselvitysmenettely
• Auditointimenettely ja auditoinnin kustannusvastuu
• Tietosuoja-asetuksesta aiheutuvat vaatimukset sopimuksille
• Sopimustuntemus projektin ja palvelun aikana avainasemassa.
Lähde: Jukka Hämäläinen, Kuntien kyberturvallisuuspäivät 4.10.2016
Tietoturvavaatimukset ja -henkilöstö otettava mukaan palvelujen hankintavaiheessa
14.9.2017 Page 31
Toimintamalleja
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 32
Kokonaisarkkitehtuurin viitekehys
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Lähde: Kartturi, korkeakoulujen kokonaisarkkitehtuurin menetelmäopas 9.12.2011
Organisaatioissa kyberturvallisuuden perusta on hallittu kokonaisarkkitehtuuri
14.9.2017 Page 33
Liiketoiminnan ja tietohallinnon yhteistyö
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Kuva:
Marc
o H
alé
n6.6
.2014, soveltaen
Kyberturvallisuus edellyttää liiketoiminnan ja tietohallinnon yhteistyötä
Digitalisoituminen ja kyberturvallisuus lähentävät tietohallintoa osaksi liiketoimintaa
14.9.2017 Page 34
Kuntien ICT-varautuminen EFQM-viitekehyksessä
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
EFQM-mallin arviointialueet
1. Johtajuus
2. Toimintaperiaatteet ja strategia,
3. Henkilöstö
4. Kumppanuudet ja resurssit,
5. Prosessit
6. Asiakastulokset
7. Henkilöstötulokset
8. Yhteiskunnalliset tulokset
9. Keskeiset suorituskykytulokset
Arvioi sekä organisaation toiminta että tulokset
Kuva: Kuntien ICT-varautuminen, raportti 16.6.2016
14.9.2017 Page 35
Kansallinen palveluarkkitehtuuri & Suomi.fi
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Infrahäiriöitä voidaan minimoida suojatuilla verkkoyhteyksillä
Kansallinen palveluväylä (KaPA) - KaPA palvelut - Palveluverkko (VY, KY)
Lähde: Jari Ylikoski, Suomen Kuntaliitto, Kuntien kyberturvallisuuspäivät 4.10.2016
14.9.2017 Page 36
Ohjeistus, auditoinnit ja sertifioinnit
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Arviointiperusteita
• KATAKRI, (Kansallinen
• Turvallisuusauditointikriteeristö), versio 2015
• julkaistu ja käytössä
• VAHTI-ohjeet
• Muut kansalliset ohjeet
• Uusi turvallisuusselvityslaki
• EU/NATO järjestelmäkohtaiset vaatimukset
• (SSRS:t)
Auditoinnit (arvioinnit) -> sertifioinnit (hyväksynnät)
Lähde: Aki Tauriainen, johtava tarkastaja, Viestintävirasto, Kuntien kyberturvallisuuspäivät 4.10.2016
Ammattitaitoisen auditoinnin jälkeenkin jää väistämättä ”jäännösriskejä”
14.9.2017 Page 37
Ilmoittaminen – häiriötiedon nopea välitys
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Tietosuoja-asetuksessa
• rekisterinpitäjän roolissa oleville organisaatioille ilmoitusvelvollisuus henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle (artikla 33) sekä rekisteröidyille (artikla 34)
• Ilmoitus viranomaiselle tehtävä ”ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta”
• Listattu asiat ilmoitukseen, ml. arvio todennäköisistä seurauksista
• Käsittelijän on ilmoitettava tietoturvaloukkauksesta rekisterinpitäjälle viipymättä saatuaan sen tietoonsa
Lähde: Jukka Lång, Organisaation tietoturvavelvoitteet, Kuntien kyberturvallisuuspäivät 5.10.2016
Häiriöistä ilmoittaminen lähestyy pelastustoiminnan ilmoitusmenettelyä
14.9.2017 Page 38
Esimerkki tietoturvaloukkausten havainnointi-ja varoitusjärjestelmästä (HAVARO)
• Mitä tekee: Havaitsee valtionhallintoon ja huoltovarmuuskriittisiin yrityksiin kohdistuvia kehittyneitä verkkohyökkäyksiä (Vakoilu, tietojen varastaminen, haittaohjelmat...).
• Miten toimii: Seuraa kaikkea haluttua tietoliikennettä. Hyökkäykset havaitaan Viestintäviraston järjestelmään syöttämien teknisten haittaohjelmatunnisteiden perusteella. Tietoja saadaan kumppaneilta sekä niitä määritellään itse.
• Kuka käyttää: Valtionhallinto ja huoltovarmuuskriittiset yritykset.
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Automaattisten havainnointijärjestelmien käyttö on yleistymässä osaksi kyberturvallisuutta
14.9.2017 Page 39
Yhteistyö
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 40
Hyödynnä yhteistyötä – vaikuta ja valmistauduYhteistyömuotoja
• Periaatteet ja ohjeistus
• Parhaat käytännöt, osaaminen
• Hankinnat
• Sopimukset
• Palvelut
• Auditoinnit
• Testaukset, harjoitukset
• Seuranta, mittaminen, raportointi
• Johtaminen, henkilöstöresurssit, osaaminen, tekniset toteutukset
Kaupalliset kumppanuudet ja resurssit
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Kuva: Aluekehittämisen konsulttitoimisto MDI
14.9.2017 Page 41
Verkostoituminen - luonnolliset verkostot
Turvaverkot häiriötoiminnassa Työmatkoihin perustuva verkosto
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
• Fyysiset
• Loogiset
• Hallinnolliset
• Toiminnalliset
• Keskittäminen – hajauttaminen?
• Segmentoidut verkostot?
• Toiminnalliset saarekkeet?
• Hallintoalueiden toimintavalmius?
14.9.2017 Page 42
Seutuyhteistyö: Tampereen kehyskuntien malli?
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Ylöjärvi, Nokia, Orivesi, Lempäälä, Kangasala, Pirkkala ja Vesilahti• Yhteistyösopimus v.2013
Tavoitteita mm.• Kaupunkiseudun tietohallinto-ohjelman
eteenpäin vienti kehyskuntien osalta• Tietohallintomallin yhtenäinen kehittäminen
ja yhteinen ohjeistus• Vastuunjaon keskittäminen osa-alueittain• Yhteiset toimintamallit• Tiedonvälityksen ja tietotekniikkaan liittyvän
viestinnän vakiointi• Sähköisten palveluiden ja sähköisen
työskentelytavan lisääminen• Toimittajien sopimushallinta ja toimittajien
saaminen kehityskumppaneiksi
Lähde: Kahila Arto, Kehyskuntien tietohallinnon vuosiraportti 2014
14.9.2017 Page 43
Esimerkkejä Kuntaliitonkyberturvallisuuteen vaikuttavasta yhteistyöstä
• JUHTA – Julkisen hallinnon tietohallinnon neuvottelukunta
• VAHTI – Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä
• KaPA – Kansallinen palveluarkkitehtuuri, kuntasektorin kokonaisarkkitehtuuri
• Kuntien avoin data - verkosto
• Akusti – Alueiden ja kuntien sosiaali- ja terveydenhuollon tietohallintoyhteistyöfoorumi mm.
• ODA - Omat digiajan hyvinvointipalvelut
• UNA - Asiakas- ja potilastietojärjestelmien uudistamisyhteistyö
• Kuja2 – kuntien ja maakuntien jatkuvuudenhallinta
• TukuDigi – tulevaisuuden kunnan digitalisointi
• Juridiikan ja eri sisältöalueiden lakivalmistelut, kysymykset ja palvelut
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 44
Digitalisointi ja kyberturvallisuusedellyttävät paitsi kuntatoimijoiden yhteistyötä myös…
… osaamista ja ammattitaitoa.
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 45
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
14.9.2017 Page 46
FGC:n koulutustarjonta
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Vuosittain jo n. 500 koulutusta, lähes 30.000 osallistujaa.
Tutustu FCG:n keskeisiin tapahtumiin osoitteessa
http://tapahtumat.fcg.fi
FCG:n koulutustarjonnan kokonaisuuden löydät osoitteesta
http://koulutus.fcg.fi
14.9.2017 Page 47
Kari AhopeltokehityspäällikköFCG Finnish Consulting Group Oykari.ahopelto@fcg.fi
Kyberturvallisuus osaamisen ja hallinnon haasteena, Ahopelto & Raitio
Päivi RaitiokoulutuspäällikköFCG Koulutus Oypaivi.raitio@fcg.fi
Kiitos!
top related