kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit

MULLEKIN iPHONE!

KULUTTAJISTUMINEN JA VALTIONHALLINTO

– mahdollisuudet ja riskit

Kimmo Rousku

apulaisjohtaja, Valtiokonttori

Mullekin iPhone!

15.5.2012 ValtioExpo, Kimmo Rousku

https://kauppa.sonera.fi/yksityisille/puhelin_ja_liittyma/puhelin-kuvat.aspx?PhoneKey=L599

Historia ja nykytilaa

• ICT:n osalta on nyt meneillään suurin muutos tähän

saakka koskien palveluita, päätelaitteita ja koko

käyttäjäkokemusta

ekosysteemi-ajattelumalli

• Palveluiden tuotantomallin muutokset

- Itse tuotetuista palveluista palvelutoimittajien

tuottamien palveluiden kautta

itsepalvelupilvipalveluihin

• Vuoteen 1980 saakka tuotettu MTK ja 1980-90 -luvun

rajattu ATK on räjähtänyt kaikkeen mahdolliseen,

viimeisen viiden vuoden aikana palvelut ovat tunkeneet

kotiin ja vapaa-aikaan. ”Kaikilla” on kotona jokin tietokone

tai päätelaite - älypuhelimien ja tablettien kysyntä kasvaa

kohisten


Netti on täynnä uusia palveluita ja lisää tulee koko ajan


Teksti kuva video reaaliaikaisuus & paikkatietoisuus


Siirrymme perinteisistä

käyttöliittymistä ja käyttötavoista

reaaliaikaisempiin, kansallisiin ja

kansainvälisiin palveluihin

Uusi palvelu on käytettävissä

globaalisti erittäin pienillä

perustamiskustannuksilla

Mitä kuluttajistuminen tarkoittaa?

• Internetistä on tullut aivan uusi rajapinta

- vihdoin ja viimein mobiiliaikakausi on koettanut

• Uuden innovaation läpilyöntiaika lyhentyy koko ajan

- useiden vuosien suunnittelu-kehitys-pilotointi-käyttöönotto

-mallista ollaan siirrytty jopa vain muutamien viikkojen tai

kuukausien tuotteistamisaikaan

• Näiden kaikkien vaikutukset käyttäjäkokemukseen ja

päätelaitteisiin ovat osa kuluttajistuminen-termillä

(consumerization) kulkevaa kokonaisuutta


Mitä kuluttajistuminen tarkoittaa? BYOD?

• Kuluttajistumiseen liittyy BYOD-malli (Bring Your

Own Device) – tai BYOX (x = mikä tahansa laite)

voidaan käyttää omaa kannettavaa tietokonetta,

älypuhelinta tai tablettia työtehtävien hoitamiseen

• Mitä etuja tällä saavutetaan?

- Jokainen voi itse päättää, millä työvälineillä hän

haluaa tehtäviä hoitaa – ei tarvita välttämättä

2*puhelin, 2*läppäri

- Jos oma työorganisaatio ei pysty tarjoamaan sellaisia

laitteita ja palveluita mihin henkilö on tottunut

esimerkiksi aikaisemmassa työelämässä tai vapaa-

ajalla, BYOD-malli tuo myös tähän uusia

mahdollisuuksia


Kuluttajistumisen haasteet – yleisesti

• Jos työajan ja vapaa-ajan erottaminen on tähän saakka ollut

mahdollista, ei se ole enää (”sammutan työkännykän”)

• Mikäli henkilöstö käyttää omia laitteita, syntyy tästä myös

niihin liittyviä kustannuksia esim. tietoliikenteen osalta,

hyvitetäänkö käyttäjälle omien laitteiden käytöstä?

• Jos henkilöstöllä on neljän eri valmistajan yhteensä 12 eri

älypuhelinmallia käytössä, kuka vastaa ongelmien

selvittelystä?

- Yhteensopivuus ja toimivuus?

- Organisaation omalla ICT:llä ei ole tähän tarvittavaa

osaamista & velvoitetta

- Vertaistuki tuntuu olevan eräs toimintamalli eli henkilöstö

auttaa ja tukee toinen toisiaan

• Ja ainahan on kuitenkin olemassa Google …


Kuluttajistumisen haasteet – valtionhallinto

• Valtionhallinnon näkökulmasta kuluttajistuminen & BYOD-malli

tuo useita lisähaasteita, joista osa liittyy laitteilla käsiteltävään

tietoaineiston tietoturvallisuuteen

• 1.10.2010 voimaan astunut tietoturvallisuusasetus sekä sen

täytäntöönpanon VAHTI-ohje 2/2010 sisältävät vaatimukset

perustietoturvatason saavuttamiseksi 30.9.2013 mennessä … ja

osassa palveluita sen jälkeen korotetun/korkean tason osalta

- TTT ei ota kantaa yksityiskohtaisesti käytettävään teknologiaan,

mutta edellytettävien hallinnollisten ja teknisten vaatimusten ja

prosessien toteuttaminen ilman, että työantaja omistaa ja hallinnoi

laitteita on haasteellinen tehtävä

- Riskienarvioinnin avulla voidaan mahdollisuuksia selvittää


Kuluttajistumisen haasteet – valtionhallinto

• Kun viranomainen käsittelee salassa pidettävää tietoaineistoa,

täytyy käsittely-ympäristön kokonaisuudessaan täyttää

tietoturvavaatimukset

Henkilöstön itse omistama, ylläpitämä päätelaite ei näitä kaikissa

tilanteissa täytä


Salassa pidettävä, viranomaisharkinta, käyttötarkoitus-

sidonnainen tietoaineisto

TiTuA 681/2010, 9 §

JulkL 621/1999 24.1 § 3-6, 11-32 K

HetiL 523/1999 11 §

Muu lainsäädäntö

Suojaustasomerkintä

ST IV, ST III, ST II tai ST I

TiTuA 681/2010, 11 §

JulkL 621/1999 24.1 § 2, 7-10 k

KansVälTiTuL 588/2004, 8 §

Turvallisuusluokitusmerkintä KÄYTTÖ RAJOITETTU, LUOTTAMUKSELLINEN, SALAINEN tai ERITTÄIN

SALAINEN

Ratkaisu – perinteinen malli

Luottamuksellisuus

Eheys Saata-vuus


Ratkaisu – tavoiteltava malli

Luottamuk-sellisuus

Eheys Saatavuus


Ratkaisu

• Kuluttajistumisen sijaan & rinnalle haluan nostaa ennemmin esille

käyttäjä- ja palvelukokemuksen parantamisen

nykyaikaisemmilla, helppokäyttöisemmillä palveluilla ja päätelaitteilla

• Sen sijaan että käytetään henkilöstön omia päätelaitteita,

viranomainen voi tuotteistaa tai ostaa palveluna samoja laitteita ja

tarjota niitä henkilöstön käyttöön valtionhallinnon

tietoturvavelvoitteet täyttäen

- Valtion IT-palvelukeskus kehittää parhaillaan näitä ratkaisuja esim.

älypuhelimien ja tablettien osalta

• Haluan korostaa sitä, että valtaosa nykyisistä ydintoimintaan

tarkoitetuista palveluista ei ole suunniteltu esim. kosketusnäytöllä

käytettäväksi

- Tämän hetkiset kosketusnäyttölaitteet ovat parhaita ”read only”

tyyppisessä käytössä eli asiakirjojen lukemisessa


Pelottava varjo-IT uhkaa?

• Mikäli kuluttajistumisen tuomia mahdollisuuksia ei osata

huomioida tai ne kielletään (strutsipuolustus), vaarana on

varjo-IT:n (Dark IT) nousu

- Tai jos tietoturvallisuuden osalta ei onnistuta säilyttämään

helppokäyttöisyyttä

- Kuinka moni on esimerkiksi löytänyt sopivan keinon ajaa

omalta usb-muistiltaan sellaisia ohjelmia, jotka eivät vaadi

järjestelmänvalvoja- / asennusoikeutta?

- Tai oppinut konfiguroimaan kotikoneelle / tablettiin /

älypuhelimeen työpaikan nettisähköpostin?

Mitä teillä sanotaan tietoturvaohjeissa

näistä asioista?


Pelottava varjo-IT uhkaa?

• Näissä omissa ”näppärissä” pikku ratkaisuissa on yksilön

kannalta yleensä hyviä puolia, mutta suosittelemme

ennemmin avoimesti tuomaan ongelmia esille, jotta

saadaan kerralla laajempi kokonaisratkaisu kaikille

– yleensä vielä tietoturvallisesti toteutettuna…


Varjo-IT ja pari sanaa pilvipalveluista

• Itse tuotettaessa tai ulkoistettaessa palveluita viranomaisen toimeksiannosta,

viranomaisella on aina vastuu voimassa olevan lainsäädännön noudattamisesta

• Valtionhallinnossa tietoaineistojen käsittely on määrätty ja ohjeistettu

merkittävästi yksityistä sektoria tiukemmaksi – sen takia kaikki samat

toimintamallit, mitä yrityksissä otetaan käyttöön, eivät välttämättä onnistu

semmoisenaan valtionhallinnossa – tämän takia ”Miksi noi saa, mutta me ei

saada” ei ole aina mahdollista. 15.5.2012 ValtioExpo, Kimmo Rousku

Miten me autamme asiakkaitamme tietoturvallisuuden kehittämisessä? Valtion IT-palvelukeskuksen (VIP)

valtion yhteiset tietoturvapalvelut


VIP: Valtion yhteiset tietoturvapalvelut

• Asiantuntijapalvelut – toimeksiantojenne perusteella

- Auditointi- ja konsultointipalveluilla kolmas kasvun vuosi

- Tavoitteena >80 toimeksiantoa ja >6 htv:n edestä palvelua

• Tietoturvapäällikköpalvelu – virkamies apuun organisaatioosi!

- 4 henkilöä tuottaa palvelua 7 eri asiakkaalle, kahden uuden henkilön

rekrytointi käynnissä

• Työkalupakki

- Saatavilla viisi eri verkkokoulutusta, käytössä >25 asiakkaalla, kaksi

uutta verkkokoulutusta työn alla

- Työkalupakin keskeiset materiaalit julkaistu valtiokonttori.fi-sivuilla

avoimen datan periaatteella sisältää >40 ohjetta/mallia/materiaalia

• VM/VAHTI-hankkeet

- Kaksi eri hanketta meneillään (TTT-täytäntöönpano, haavoittuvuus-

skannaus), mukana osallistujia yhteensä >60 eri virastosta




http://www.valtiokonttori.fi/Public/default.aspx?nodeid=24095

http://www.valtiokonttori.fi/Public/default.aspx?nodeid=24095

Meidän kaikkien noudatettavaksi!


kuluttajistuminen ja valtionhallinto - mahdollisuudet ja riskit

Documents