Digitaalisen turvallisuuden palvelut julkiselle sektorille

Tälle sivulle on koottu keskeisimpiä digitaalisen turvallisuuden kehittämiseen liittyviä palveluita ja hankkeita.

Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä VAHTI

VAHTI toimii julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. Sen laaja-alaiseen toimintaan osallistuu yli 130 johtajaa ja asiantuntijaa yli 60 eri organisaatiosta. Digi- ja väestötietovirasto vastaa Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä VAHTIn operatiivisesta toiminnasta ja toiminnan kehittämisestä.

VAHTI edistää julkishallinnon toiminnan digitalisaatiota huolehtimalla tarkoitustenmukaisen turvallisuuden vaatimuskehikon laatimisesta ja ylläpitämisestä. Tähän kuuluvat myös turvallisuuteen liittyvän riskienhallinnan kehittäminen, ICT-toiminnan jatkuvuuteen liittyvien tarkastukset, hyväksynnät ja arvioinnit sekä tieto- ja kyberturvallisuusharjoitustoiminnan edistäminen.

Lisäksi VAHTI toteuttaa yhteistyössä julkisen hallinnon tietohallinnon neuvottelukunnan (JUHTA) kanssa EU:n yleisen tietosuoja-asetuksen toimeenpanoa tukevia yhteishankkeita.

TAISTO-harjoitus

Julkinen hallinto harjoittelee henkilötietojen tietoturvaloukkausten hallintaa yhteisissä TAISTO-harjoituksissa 2018-2021. Ensimmäinen TAISTO-harjoitus järjestettiin syksyllä 2018 Väestörekisterikeskuksen toteuttamana. Seuraava harjoitus järjestetään syksyllä 2020.

Harjoitukseen osallistuminen on maksutonta. Harjoituksessa julkisen hallinnon organisaatiot (esimerkiksi kunnat ja virastot) sekä yritykset harjoittelevat tietoturvaloukkausten hallintaa ja testaavat omaa digiturvakyvykkyyttään.

TAISTO-harjoituksen tavoitteena on:

  • Kehittää organisaation tietoturvallisuuden hallintaa, johtamista ja viestintää tietoturvaloukkaustilanteissa.
  • Kehittää organisaation henkilötietojen tietoturvaloukkauksissa tarvittavia prosesseja, kuten kykyä arvioida syntynyttä riskiä, tehdä tarvittavat viranomaisilmoitukset ja viestiä tilanteesta.
  • Kehittää organisaation toiminnan jatkuvuuteen ja varautumiseen liittyvää ohjeistusta ja toimintaprosesseja.

Julkisen hallinnon digiturvaa kehittävä JUDO-hanke

JUDO-hankkeen tavoitteena on varmistaa, että julkisen hallinnon digitaaliset palvelut toimivat ja että niihin luotetaan. Tätä tavoitetta edistetään kehittämällä digiturvan johtamista, henkilöstön digiturvaosaamista sekä tarjoamalla tukea turvallisempien palveluiden kehittämiseksi. Väestörekisterikeskuksen vuonna 2019 aloittamaa hanketta jatkaa vuoden 2021 loppuun saakka Digi- ja väestötietovirasto.

Digitaalinen turvallisuus käsittää viisi osa-aluetta: riskienhallinnan, toiminnan jatkuvuuden ja varautumisen, tietoturvallisuuden, kyberturvallisuuden sekä tietosuojan. JUDO-hanke jakautuu osa-alueita sivuten viiteen kokonaisuuteen.

  1. Tukea digituvallisuuden johtamiseen ja riskienhallinnan kehittämiseen. Projekti 1 auttaa organisaatioita digiturvallisuuden johtamisen ja riskienhallinnan kehittämisessä tarjoamalla tätä varten nykyaikaisia työkaluja ja malleja. Projektissa luodaan kattava digiturvallisuuden johtamisen ja hallinnan käsikirja sekä opas digiturvan toteuttamiseksi, jotka viedään käytäntöön työpajojen ja vuosittaisten TAISTO-harjoitusten avulla.
     
  2. Tietoturvanormien soveltamis- ja arviointikehikko. Projekti 2 luo tietoturvanormien soveltamis- ja arviointikehikon (VAHTI100). Hankkeessa toteutetaan myös verkkopalvelu, jossa kehikon materiaalit ja soveltamisohjeet julkaistaan kaikkien käyttöön.
     
  3. Digitaalisen turvallisuuden koulutusratkaisu koko julkiselle hallinnolle. Projekti 3 tuottaa julkisen hallinnon digitaalisen turvallisuuden koulutusratkaisun, joka koostuu oppimisympäristöstä sekä digiturvapelistä. Koulutusjärjestelmä tuotetaan yhteistyössä HAUSin eOppiva-mallia käyttäen ja julkaistaan koko julkisen hallinnon, osittain kansalaisten ja yritysten käyttöön. Digiturvapeli valmentaa toimimaan fyysisen ja digimaailman erilaisissa tilanteissa pelillisin keinoin.
     
  4. Seurantajärjestelmä digiturvallisuuden hallintaan. Projekti 4 tuottaa organisaatioiden käyttöön digiturvallisuuden seurantajärjestelmän, jonka avulla organisaatio voi seurata ja arvioida sen digiturvallisuuden osa-alueiden kehittymistä. Organisaatio saa laajempaa kokonaiskuvaa sen omaa sekä koko julkisen hallinnon kokonaiskuvan raportointitarpeita varten.
     
  5. Digitaalisen turvallisuuden harjoituksille malli ja suunnitelma. Projekti 5 tuottaa harjoitusmallin ja -suunnitelman erilaisten digitaaliseen turvallisuuteen liittyvien harjoitusten kehittämiseksi ja järjestämiseksi.

GovCERT-tietoturvakokonaisuus

GovCERT-tietoturvakokonaisuus kerää yhteen tietoturvallisuuteen liittyvän tilannekuvan, havainnoi tietoturvaloukkauksia sekä avustaa tietoturvaloukkauksista toipumisessa. Kokonaisuuden ohjaamisesta ja kehittämisestä vastaavat Digi- ja väestötietovirasto ja Viestintäviraston Kyberturvallisuuskeskus, joka samalla vastaa operatiivisestä toiminnasta. Operatiiviseen toimintaan kuuluvat esimerkiksi kyberturvallisuuden tilannekuvan muodostaminen ja siitä tiedottaminen, tietoturva-asioiden tiedonvaihtoryhmien ylläpitäminen, tietoturvaloukkauksiin liityvä koordinointi ja niissä avustaminen sekä kansainväliseen yhteistyöhön osallistuminen.

Päivitetty: 9.4.2020