VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohjeen uusi tukimateriaali - 12 liite 5. Tietoturvallisuuden ja jatkuvuudenhallinnan huomioiminen hankittaessa ulkoistettuja ICT-palveluita

Tässä liitteessä nostetaan esille niitä asioita tietoturvallisuuden ja jatkuvuudenhallinnan näkökulmasta, jotka tulee huomioida siinä tilanteessa, kun valtionhallinnon organisaatio on kilpailuttamassa tai muuten hankkimassa palveluita, joiden tuottamisesta vastaa valtionhallinnon ulkopuolinen kaupallinen toimittaja. Nämä samat vaatimukset koskevat myös tuotettaessa palveluita itse tai hankittaessa ICT-palveluita valtionhallinnon sisältä; nämä samat vaatimukset koskevat myös in-house toimittajia sekä heidän käyttämiä mahdollisia alihankkijoita.

Tässä liitteessä on nostettu esille niitä asioita, jotka koskevat sellaisia palveluita, joissa käsitellään joko kansallisia tai kansainvälisiä salassa pidettäviä tietoaineistoja.

Lähtökohtana ulkoistettavalle palvelulle on pitänyt määritellä sen tietoturva- ja ICT-varautumisen taso sen omistajan toimesta.

Liite ei sisällä uusia vaatimuksia, vaan se sisältää koosteen ja tiivistyksen keskeisistä suosituksista ennen kaikkea seuraavista VAHTI-ohjeista:

VAHTI 3/2012 Teknisen ympäristön tietoturvataso-ohje
VAHTI 2/2012 ICT-varautumisen vaatimukset
VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje
VAHTI 3/2010 Sisäverkko-ohje
VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta

sekä valtionhallinnossa käytössä olevasta turvallisuussopimusmallista. Tämän ohella tässä on otettu huomioon niitä kokemuksia, joita Viestintävirasto sekä kaupalliset toimijat ovat havainneet toteuttaessaan arviointeja / auditointeja.

Organisaation tulee ottaa huomioon edellä mainituissa ohjeissa olevia vaatimuksia sekä sen itse toteuttaman riskienarvioinnin tulokset kehittäessään omaa tietoturvallisuuttaan, jatkuvuudenhallintaa ja varautumista, myös palveluita ulkoistaessaan.

Erityistä harkintaa tulee tehdä niissä tilanteissa, jolloin palvelussa käsitellään suojaustason III (korotettu tietoturvataso) sisältämiä tietoaineistoja. Kuten edellä mainituissa ohjeissa, tässä yhteydessä ei voi korostaa liikaa oikeaoppista käsiteltävien tietoaineistojen luokittelua.

Tämän ohella organisaation tulee huolehtia 1.1.2015 voimaan astuneen Tietoyhteiskuntakaari-lain (917/2014) osalta esimerkiksi

VIESTINNÄN LUOTTAMUKSELLISUUS JA YKSITYISYYDEN SUOJA
17 luku
Sähköisen viestin ja välitystietojen käsittely
sekä
VIESTINNÄN JA PALVELUJEN JATKUVUUDEN TURVAAMINEN
33 luku
Tietoturvan ja häiriöiden hallinta sekä häiriöistä ilmoittaminen

Tätä lausumaa tukee 16.12.2014 julkistettu Vahti -lausuma ”Valtionhallinnon asiakkaiden tietojenkäsittely ja tiedon suojaaminen sille palveluita tuottavan
toimittajan omissa sisäisissä tietojärjestelmissä”.
 

1. Säädökset ja velvoitteet - vaatimustenmukaisuus

Tietoturvallisuuden osalta keskeisessä roolissa on vaatimustenmukaisuus ja voimassa olevat säädökset, tärkeimpänä Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010)

Tietoturvallisuusasetuksen 16 § Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen edellyttävät, että

”Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja talletetaan viranomaisen tietoverkkoon liitetylle laitteelle, jos verkon käyttö on rajoitettu ja asiakirja talletetaan salattuna tai muutoin suojattuna siten, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuustason vaatimukset. Sama koskee suojaustasoon IV kuuluvaa arkaluonteisia henkilötietoja tai biometrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa.”

19 § Asiakirjan siirtäminen tietoverkossa

Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja siirretään viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos viranomainen on varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuuden tason vaatimukset. Sama koskee suojaustasoon IV kuuluvien valtakunnalliseen henkilörekisteriin talletettujen arkaluonteisten henkilötietojen tai biometristen tunnistetietojen siirtämistä tietoverkossa. Suojaustasoon IV kuuluvan muun asiakirjan saa siirtää valtionhallinnon viranomaisen päättämällä tavalla.

sekä 14 §

Asiakirjojen säilyttämiseen ja käsittelyyn käytettäviä tiloja koskevat turvallisuusvaatimukset

4) henkilöt, joille annetaan pääsy arkistoon taikka tietokonekeskukseen tai muihin tietojärjestelmien ylläpidon tai tietoliikenteen toimivuuden kannalta merkityksellisiin tiloihin, joissa säilytetään tai käsitellään suojaustasoon III kuuluvia asiakirjoja taikka suojaustasoon IV kuuluvia valtakunnalliseen henkilörekisteriin talletettuja asiakirjoja, ovat tunnistettavissa.

Edellä olevat kohdat asettavat merkittäviä rajoituksia ennen kaikkea suojaustason III-tietoaineistoja tai valtakunnalliseen henkilörekisteriin liittyviä tietoja käsiteltäessä. Tämän takia tietoaineiston oikeaoppinen luokittelu on kokonaisuuden näkökulmasta eräs tärkeimmistä seikoista.
 

2. Huomioon otettavia seikkoja palveluita hankittaessa tai niitä tuotettaessa

Organisaation tulee ennen hankintaa tai palvelun käyttöönottoa varmistaa tallennettavan tietoaineiston tietosisältö ja sitä kautta määritellä palvelun tietoturvavaatimukset. Tietoaineiston luokittelusta vastaa sen omistaja, jonka velvoitteena on tehdä tämä luokitus. Samassa yhteydessä tulee selvittää, kuinka suuria määriä eri suojaustason aineistoa käsitellään.

Vastaavanlainen arviointi pitää suorittaa palvelun jatkuvuudenhallinnan ja varautumisen näkökulmasta; selvittää palvelun kriittisyys organisaation toiminnalle, asiakkaille ja sidosryhmille. Tämä tulee huomioida myös infra- ja taustajärjestelmien suunnittelun, toteuttamisen ja näiden riippuvuussuhteiden arviointien osalta, koska niiden vaikutus ja kriittisyys saattaa olla tärkeämpi kuin yksittäisen palvelun.

Tehtyjen arviointien perusteella saadaan määritettyä palvelulta vaadittava tietoturvallisuuden ja ict-varautumisen taso.

2.1 Kansainväliset turvaluokitellut tietoaineistot
 

Mikäli kyseessä on palvelu, jossa käsitellään kansainvälisiä turvaluokiteltuja tietoaineistoja, tulee palvelun tuottamisessa ja tarkastamisessa (”auditointi”) huomioida niiltä edellytettävät kansallisista vaatimuksista poikkeavat vaatimukset.

Kansainvälistä turvaluokiteltua tietoaineistoa käsittelevien palvelujen arviointi tulee toteuttaa Kyberturvallisuuskeskuksen NCSA-toiminnon tai sen hyväksymän tietoturvallisuuden arviointilaitoksen toimesta. Arvioinnissa käytetään lähtökohtaisesti Tietoturvallisuuden auditointityökalua viranomaisille (Katakri, 2015 1).

Kansainvälisten turvaluokiteltujen aineistojen käsittelyn edellyttämän hyväksynnän (akkreditointi) voi myöntää vain Viestintäviraston NCSA-toiminto.

Hyväksyntä voidaan myöntää vaatimukset täyttäville palveluille joko Viestintäviraston oman tai hyväksytyn tietoturvallisuuden arviointilaitoksen suorittaman arvioinnin pohjalta.

Kansainvälisten tietoturvallisuusvelvoitteiden täyttämistä on kuvattu yksityiskohtaisemmin Kansallisen turvallisuusviranomaisen (NSA) julkaisuissa "Kansainvälisen turvallisuusluokitellun tiedon käsittelyohje"2 sekä "Turvallisuusviranomaisten käsikirja yrityksille"3.

Edellisen ohella organisaatiolla saattaa olla muita erityisvaatimuksia toimialakohtaisesta erityislainsäädännöstä tai kansainvälisistä sopimuksista johtuen. Ulkoistusta harkitessaan on tärkeä tunnistaa kaikki toimialakohtaiset vaatimukset.

2.2 Huomioitavat kohdat

Vaatimusmäärittelyssä, palvelutuotannossa, turvallisuus- ja muissa sopimuksissa keskeisiä, jossain yhteyksissä haasteelliseksi koettuja kohtia ovat seuraavat:

2.1.1 Palvelun auditointi tai toimivaltaisen viranomaisen tarkastus

Yleensä hankintaan liittyvissä vaatimuksissa edellytetään palvelun auditointia tai toimivaltaisen viranomaisen tarkastusta. Tämä saattaa olla haasteellista, esimerkiksi:

• palvelun tuottaja tuottaa palvelua käyttäen sellaista tuotantoteknologiaa (”jaettu kapasiteetti”, ”pilvipalvelu”), joka ei salli sen auditoimista, koska se voi paljastaa palvelun muiden asiakkaiden salassa pidettäviä tietoja
  • mikäli kyseessä on kotimainen toimittaja, tällöin ”Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista” 1406/2011 mukaisesti

6 § Viestintäviraston tiedonsaantioikeus ja oikeus päästä tiloihin ja tietojärjestelmiin

”Viestintävirastolla ja sen toimeksiannosta toimivalla asiantuntijalla on oikeus sen estämättä, mitä tietojen salassapidosta säädetään, saada käyttöönsä Viestintäviraston arvioitavana tai selvityksen kohteena olevaa tietojärjestelmää tai tietoliikennejärjestelyjä koskevat tiedot sekä oikeus siinä laajuudessa kuin se on tarpeen arvioinnin suorittamiseksi päästä tietojärjestelmään tai tiloihin, joissa siihen kuuluvia tietoja käsitellään”
 

• palvelun toimittajalla saattaa olla velvoitteita muiden asiakkaiden turvallisuussopimuksissa, jotka eivät salli auditointia
  • tämä koskee lähinnä muita kuin edellä olevan lain kohdan mukaisia tarkastuksia tai ulkomailta tuotettavia palveluita

Koska globaaleja pilvipalveluita tai jaetulla kapasiteetilla tuotettavia palveluita on haastavaa auditoida asiakkaiden toimesta, ovat toimittajat kehittäneet omaa auditointikyvykkyyttä ja ne ovat hankkineet palveluilleen erilaisia hyväksyntöjä, joihin asiakkaiden on periaatteessa mahdollista tutustua

• esimerkiksi ISO 2700x, SSAE tai SAS 70 type II

Tällainen hyväksyntä on asiakkaan näkökulmasta hyvä asia, joka osoittaa yleensä sen, että toimittaja suhtautuu turvallisuuteen vakavasti sekä sillä on olemassa selkeät, kuvatut ja toiminnassa olevat prosessit asioiden toteuttamiseksi. Nämä sertifioinnit tai vastaavat hyväksynnät eivät korvaa valtionhallinnon näihin palveluihin liittyviä tietoturvavaatimuksia.  Viranomaisen tulee kyetä arvioimaan palvelun turvallisuus erityisesti salassa pidettäviä tietoja luovuttaessaan riippumatta sertifikaateista.

2.1.2 Palveluita tuottava henkilöstö

Valtionhallinnon palveluita tuotettaessa yleensä edellytetään, että palveluita tuottava henkilöstö on nimetty, turvallisuusselvitetty sekä henkilö on allekirjoittanut vaitiolositoumuksen. Tällöin tulee huomata, että tarvittaessa esimerkiksi poikkeustilanteessa jotain alihankkijan asiantuntijaa, tällaisen turvallisuusselvityksen toteuttaminen ei välttämättä onnistu (henkilö tulee sellaisesta maasta, jonka kanssa Suomella ei ole sopimusta) tai turvallisuusselvitysprosessiin kuluu liian kauan aikaa (useimpien maiden kanssa useita viikkoja – kuukausia). Tällöin asiantuntijaa voidaan käyttää, edellyttäen että hän on allekirjoittanut vaadittavat vaitiolositoumukset sekä hänen työtään voidaan asiantuntevasti valvoa.

2.1.3 Sopimus
Osassa ulkoistetuista palveluista ei ole mahdollista neuvotella erillistä sopimusta vaan asiakas joutuu yksipuolisesti hyväksymään sopimuksen.

Tällaisen sopimuksen haasteena ovat esimerkiksi se, että tällaisessa yleisessä sopimuksessa ei ole välttämättä otettu kantaa seuraaviin asioihin tai ne on toteutettu siten, että ne eivät täytä esimerkiksi seuraavia valtionhallinnon vaatimuksia:

• miten toteutetaan salassa pidettävän tietoaineistojen käsittely
  • valtionhallinnon organisaation tulee huolehtia siitä, että sekä se itse että sille palveluita tuottava organisaatio käsittelee tietoja vaatimusten mukaisesti
  • mikäli tästä ei voida erikseen sopia, organisaatio ei voi tietää, miten salassa pidettävien tietojen käsittely toteutuu
• miten turvallisuus- tai muut poikkeamat sanktioidaan
• miten toimittaja on velvoitettu ilmoittamaan tietoturvapoikkeamista tai muista palvelua uhkaavista seikoista
• palveluiden sopimus on yleensä hyvin suppea, toiminnallisuus ja ominaisuudet kuvataan muualla, kuten teknisissä kuvauksissa.
  • käyttäjäorganisaation tulee varautua muutoksiin ja varata resursseja tilanteen seuraamiseen.
• kuinka ulkopuoliset auditoinnit voidaan toteuttaa, vrt kohta 2.1.1
• jos sopimus tehdään tarjoajan omien sopimusehtojen mukaisesti, voi ostajan turva esimerkiksi vahingonkorvaustilanteissa jäädä oletettua heikommaksi – on tavanomaista, että esimerkiksi vahingonkorvausvelvollisuuksia pyritään rajaamaan omilla sopimusehdoilla

Suosittelemme, että organisaatio käyttää aina kuin se on mahdollista erillistä valtionhallinnon turvallisuussopimus-malliin pohjautuvaa turvallisuussopimusta tässä asiakirjassa kuvattujen asioiden sopimiseen.

2.1.4 Tietoliikenne ja tietoliikenteen salaus   
Suomen ulkomaan liikenne kulkee useiden ulkomaiden kautta, jossa se mahdollisesti altistuu kyseisen maan voimassa olevan lainsäädännön mukaisen tiedustelun alaiseksi. Tiedustelutoimintaa toteutetaan joko lainsäädännön puitteissa tai mahdollisesti tiedusteluorganisaatioiden toimesta.

• vaikka tietoliikenne salataan, se ei ole välttämättä riittävää – tämän takia mm. EU/NATO edellyttävät, että sen salassa pidettäviä tietoaineistoja käsitellään vain heidän hyväksymiä salaustuotteita käyttäen
• https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2015/03/ttn201503121446.html
• https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_NCSA-toiminnon_hyvaksymat_salausratkaisut.pdf

Tiedon salauksesta löydät lisäohjeita VAHTI 2/2015 Ohje Salauskäytännöistä –ohjeesta sekä kansallisen turvallisuusviranomaisen julkaisemasta ”Kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyohjeesta”4.

2.1.5 Lainsäädäntö – ulkomaat
Mikäli palvelua tuotetaan ulkomailta, kohdistuu siihen kyseisen maan lainsäädäntö, jossa palvelimet ja tieto sijaitsevat tai riippuen palvelua tuottavan yrityksen alkuperästä, myös kyseisen maan lainsäädäntö voi vaikuttaa palvelun tuottamiseen. Käytännössä tämä tarkoittaa sitä, että organisaatio ei voi olla varma siitä, joutuuko sen omistamaa tietoa ulkomailla kyseisen maan viranomaisten haltuun johtuen maan lainsäädännön mahdollistamista pakkokeinoista.

Vastaavanlainen haaste saattaa tulla myös niissä tilanteissa, joissa ulkomaalaisessa omistuksessa oleva yritys tuottaa palveluista Suomesta. Kyseinen yritys joutuu noudattamaan myös oman maansa lainsäädäntöä. Tilanne on vastaava myös suomalaisen yrityksen tarjotessa palveluita ulkomailla; sen tulee ottaa huomioon kyseisen maan lainsäädäntö.

Mikäli kyseessä on toimittaja, joka on sitoutunut noudattamaan toiminnassaan Safe Harbour-periaatteita, tässä tulee huomata EU:n tuomioistuimen päätös Safe Harbour-järjestelyn pätemättömyydestä.

Lisätietoa tietosuojavaltuutetun toimiston sivuilta:
http://www.tietosuoja.fi

Etenkin Safe Harbour-sopimuksen ja sen seuraajan osalta tulee selvittää sopimuksen voimassaolon ja velvoittavuuden sen hetkinen tilanne.

Vaikka palveluntarjoaja tarjoaa asiakkaan käyttöön tiedon salausta, niin tietoliikenteen kuin palvelimilla säilytettävän tiedon osalta, niin kauan kuin salausavainten hallinta ei ole kokonaisuudessa asiakkaan tai muuten luotetun osapuolen hallinnassa, sitä ei voida pitää täysin turvallisena. Organisaation tulee arvioida tähän liittyvää riskiä tapauskohtaisesti.

Organisaation tulisi selvittää ja huolehtia esimerkiksi seuraavista asioista osana riskien arviointia:

• avaintenhallinnan toteutus sekä salauksen taso ja muut salauksessa käytettävät parametrit
• palvelun ja siihen liittyvien tietovarantojen fyysinen sijainti mukaan luettuna kriittiset tuki- ja infrastruktuuripalvelut
• palvelun tuottaja sekä tähän liittyvät omistussuhteet sekä palvelutuotantomalli sen rahoituksen osalta

2.2 Jatkuvuuden hallinta, ICT-varautuminen ja valmiuslainsäädäntö

Organisaation pitää pystyä varmistumaan siitä, että sen kriittiset ict-palvelut ovat käytettävissä sen toiminnan edellyttämällä palvelutasolla sekä normaalioloissa että määritettyjen palveluiden osalta myös valmiusoloissa.

Organisaation tulisi päättää nämä vaatimukset pohjautuen toiminnan kriittisyysarvioinnin perusteella yhteistyössä sidosryhmien/käyttäjien kanssa. VAHTI on rakentamassa tätä varten ohjetta, prosessia ja työvälinettä, jonka avulla tämä voidaan toteuttaa yhdenmukaisesti julkishallinnossa (tulee saataville loppuvuosi / alkuvuosi 2016).

Tämä sisältää myös tarvittavan kyvyn palauttaa toiminta takaisin sovitun palvelutason mukaisesti normaalitilaan mahdollisen häiriön sattuessa. Nämä osa-alueet tulee huomioida palvelun hankinnassa ja sen tuottamisessa.

Valtioneuvoston päätös huoltovarmuuden tavoitteista (857/2013) todetaan:

2.2 Tieto- ja viestintäjärjestelmät, -verkot ja -palvelut
”Huoltovarmuudelle kriittisissä tieto- ja viestintäjärjestelmissä yksittäisen kohteen lamautuminen tai vaurio ei saa lamauttaa koko järjestelmää. Huoltovarmuudelle kriittisimmät järjestelmät ja tietovarannot on varmistettava myös tilanteissa, joissa kansainväliset tietoliikenneyhteydet eivät ole käytössä tai niiden toiminnassa on vakavia häiriöitä. Tietojärjestelmiä suunniteltaessa ja rakennettaessa on riskianalyysin perusteella harkittava, tuleeko niitä tukevat tuotantojärjestelmät, tekninen ylläpito ja osaaminen säilyttää Suomessa kokonaan tai olennaisilta osin, vai riittääkö, että ne ovat palautettavissa Suomeen ennakkoon suunniteltujen järjestelyiden avulla.
Huoltovarmuudelle kriittiset tietovarannot on kahdennettava Suomeen. Kriittisiä tietoja ja toimintoja voidaan siirtää Euroopan unionin alueelle edellyttäen, että niiden lainmukaisuus, turvallisuus ja saatavuus on varmistettu.”
sekä
”4.2 Terveydenhuolto ja peruspalvelut
Sosiaali- ja terveydenhuollon kansallisesti tärkeät tietovarannot ja niiden toimintaa ohjaavat järjestelmät tulee olla sijoitettu Suomessa oleville palvelimille.”
Mikäli käytettävä palvelu tulee sijaitsemaan Suomen ulkopuolella, huomioitavia asioita ovat:

• häiriöt kansainvälisissä tietoliikenneyhteyksissä saattavat estää kokonaan palvelun käyttämisen
  • erityisesti palvelunestohyökkäysten määrä on noussut merkittävästi viimeisen vuoden aikana ja tästä syntyvä uhka on merkittävässä kasvussa
  • mikäli palvelusta tuotetaan vain osa ulkomailta, esimerkiksi palvelun valvonta- tai hallintatatoimenpiteitä, kriittisten palveluiden osalta tulee olla sovittuna, miten nämä toiminnot voidaan toteuttaa Suomesta häiriön pidentyessä
  • tämä tulisi olla huomioituna sopimustasolla ja mitä kriittisemmästä palvelusta on kyse, tätä tulisi myös harjoitella
• mikäli kyseessä on palvelu, jota toimittaja tarjoaa useammalle eri asiakkaalle, miten toimittaja priorisoi palveluiden mahdollisen alas laskemisen tai ylösnostamisen kriittisen, laajamittaisen häiriön yhteydessä?
  • mikäli tämä pohjautuu häiriöstä syntyviin toimittajana maksamiin vahingonkorvauksiin, pitää nämä olla huomioitu sopimuksissa palvelun kriittisyyden edellyttämällä tavalla siten, että valtionhallinnon etu on varmistettu riittävälle tasolle
  • tällaisissa palveluissa tulee valtionhallinnon osalta olla sovittuna palveluiden tärkeysjärjestys mm. edellä mainittuja toimenpiteitä ajatellen

ICT-varautumisen vaatimuksia on määritetty ICT-varautumisen vaatimukset, VAHTI 2/2012-ohjeessa, jossa on myös määritetty ICT-varautumisen perus, korotetun ja korkean tason vaatimukset.

3.  Yhteenveto

Tietoturvallisuuden toteuttaminen ja jatkuvuudenhallinnasta ja varautumisesta huolehtiminen ovat osa kyberturvallisuuden toteuttamista. ICT-palveluiden keskittymisen sekä julkishallinnon digitalisaation lisääntymisen myötä näiden osa-alueiden vaatimusten toteuttaminen on entistä tärkeämpää.

Tässä lauselmassa on nostettu esille niitä osa-alueita, joita organisaation tulee ottaa huomioon hankkiessaan käyttöönsä ulkoistettuja palveluita tai niitä itse tuottaessaan. Tämän ohella organisaatiolla on velvoite tietoturvallisuusasetuksen (681/2014) 5 § mukaisesti kartoittaa viranomaisen toimintaan liittyvät tietoturvallisuusriskit. Jatkossa tällainen riskipohjainen lähestymistapa tulee nostaa keskeiseksi toimintamalliksi turvallisuuden eri osa-alueita kehitettäessä.

Yksittäisten vaatimusten ohella organisaation pitää huolehtia siitä, että se kehittää tietoturvallisuutta myös osana sen arkkitehtuuria, joka mahdollistaa samalla pitkäjänteisen, kustannustehokkaan ja järjestelmällisen tavan huolehtia kyberturvallisuudesta.

Lisätietoja:

Kimmo Rousku                                                        Aarne Hummelholm
VAHTI-pääsihteeri, teknisen jaoksen puheenjohtaja     Teknisen jaoksen varapuheenjohtaja
etunimi.sukunimi (at) vm.fi                                         etunimi.sukunimi (at) vm.fi
Puh. 02955 30140                                                    Puh. 02955 30085