rss Tiedotteet 2017

10.10.2017 7.00

Valtionhallinnon ict-palvelujen keskittämisessä on panostettava toimintavarmuuteen ja kybersuojaukseen

Valtiontalouden tarkastusvirasto (VTV) on tarkastanut valtion sähköisten palvelujen toimintavarmuuden ohjausta ja kybersuojauksen järjestämistä valtionhallinnossa. Valtiovarainministeriö on avainroolissa kokonaisvaltaisen ohjauksen ja resurssien turvaamisessa. Valtioneuvosto on laatinut strategioita, mutta niiden toimeenpanossa ei ole saavutettu kaikkia tavoitteita. Ohjaustoimet ovat pitkälti kohdistuneet yksittäisiin virastoihin, mutta tarve ohjata kokonaisuuksia kasvaa jatkuvasti. Myös riskienhallinnassa on ollut epäyhtenäisyyttä virastojen välillä. Keskitettyjen ict-palvelujen toiminnassa ja rahoitusmallissa on ongelmia, joilla on vaikutusta myös valtionhallinnon palvelujen toimintavarmuuden ja kybersuojauksen tilaan.

VTV on julkaissut kaksi tarkastusta, Kybersuojauksen järjestäminen ja Sähköisten palvelujen toimintavarmuuden ohjaus. Tarkastusvirasto selvitti, onko valtionhallinnon kybersuojaus järjestetty tehokkaasti ja taloudellisesti. Tavoitteena oli myös varmistua, että nykyinen valtionhallinnon ohjausjärjestelmä huomioi toimintavarmuuden ja palvelujen oikea-aikaisen saatavuuden.

Tarve ohjata yksittäisten virastojen sijaan toimintoja kasvaa jatkuvasti

Toimintavarmuutta ja kybersuojausta ohjaavia strategioita on laadittu, mutta niiden ohjausteho on ollut heikko. Toimeenpanon vastuutaho on jäänyt epäselväksi, toimenpiteitä ei ole aikataulutettu eikä niiden toteutumista ole seurattu.  Resurssit vaihtelevat paljon virastojen ja laitosten välillä eivätkä ne kaikissa tapauksissa mahdollista strategian toteuttamista. Resurssitilanne tulisi selkeyttää siten, että kyberturvallisuuden ja toimintavarmuuden strategisten tavoitteiden saavuttaminen olisi mahdollista kaikilla hallinnonaloilla.

Riskienhallinnan käytännöt vaihtelevat virastokohtaisesti. Yhdenmukaisuuden puute riskienhallinnassa voi johtaa eritasoisiin ratkaisuihin kybersuojauksen ja toimintavarmuuden järjestämisessä. Riskienhallinnan käytäntöjen yhtenäistämistä tulisikin jatkaa. Toimintavarmuutta ja kybersuojausta varmistavat ja kehittävät toimenpiteet tulisi suunnitella suhteessa riskiarvioon ja arvioida kustannukset ja hyödyt ennen toteutusta. Avainroolissa on valtiovarainministeriö, joka voi suunnitella ja ohjeistaa, miten riskienhallinnan käytännöt viedään hallinnonala- ja valtiotasolle erilaiset käyttötarpeet huomioiden.

Nykyisessä toimintamallissa jokainen virasto ja laitos vastaavat omasta kybersuojauksestaan ja toimintavarmuudestaan. Mikäli jokin laajavaikutteinen kyberturvallisuusloukkaus toteutuisi, eri ministeriöiden pitäisi neuvotella keskenään vastatoimenpiteiden käynnistämisestä ja priorisoinnista. Tämä on riski, koska kyberturvallisuusloukkaustilanteissa aikaa neuvotteluille ei välttämättä ole. Valtioneuvoston tulisi määritellä johtaminen tilanteessa, jossa kyberloukkaustilanne koskettaa useita hallinnonaloja.

Valtorin hallinnoimien keskitettyjen ict-palvelujen toimintavarmuus ja kybersuojaus ei ole kaikin osin tavoitellulla tasolla

Valtion tieto- ja viestintätekniikkakeskus Valtorin palvelutarjonta on jäänyt suppeaksi eikä palveluiden kehittäminen ole edennyt suunnitellusti. Valtori ei ole pystynyt tarkoituksenmukaisesti vastaamaan toimintavarmuutta koskeviin asiakasvaatimuksiin. Asiakkaille on myös jäänyt epäselväksi Valtorin kautta hankittujen palvelujen toimintavarmuuden ja kybersuojauksen taso.

Valtori toimii valtiovarainministeriön ohjauksessa. Ministeriön tulisi ratkaista toiminnan rahoitusmallin ongelmat kiinnittäen huomiota Valtorin edellytyksiin parantaa kybersuojauksen menettelyjä ja kyberloukkausten havainnoinnin toteutusta, arviointia ja kehittämistä. Valtori on virasto, joka tuottaa valtionhallinnon toimialariippumattomia ict-palveluja. Se perustettiin 2014 ja sen toimintamenot vuonna 2016 olivat 128,8 miljoonaa euroa.

Tarkastuskertomus 15/2017 Sähköisten palvelujen toimintavarmuuden ohjaus (pdf) (7.1 MB)

Tarkastuskertomus 16/2017 Kybersuojauksen järjestäminen (pdf) (9.9 MB)


Lisätietoja
johtava tuloksellisuustarkastaja Pirkko Lahdelma (toimintavarmuuden ohjaus)
040 732 5999
pirkko.lahdelma@vtv.fi

johtava tuloksellisuustarkastaja Pasi Korhonen (kybersuojauksen järjestäminen)
050 574 1784
pasi.korhonen@vtv.fi


Palaa otsikoihin



Tämä sivusto käyttää evästeitä sivuston käyttöä koskevien tietojen keräämiseksi. Kun käytät tätä sivustoa, hyväksyt evästeiden käytön.
Sulje

Evästekäytännöt

Tätä sivustoa käyttämällä hyväksyt, että voimme asettaa evästeitä tietokoneellesi tai mobiililaitteeseesi.

1. Mitä evästeet ovat?

Evästeet ovat pieniä datatiedostoja, jotka siirtyvät tietokoneellesi, kun otat yhteyden johonkin verkkosivustoon. Evästeet tallentuvat selaimen käyttämien tiedostojen yhteyteen.

Lisätietoa evästeistä saat sivulta www.aboutcookies.org.

2. Miksi evästeitä käytetään?

Evästeet tunnistavat tietokoneesi, kun tulet sivustolle uudelleen. Ne muistavat myös sivustolla aikaisemmin tekemäsi valinnat ja parantavat siten sivuston käyttökokemusta. Evästeiden avulla pystyy esimerkiksi tunnistamaan käyttäjän laitteet sekä mukauttamaan mahdollisia mainoksia sivuilla sekä mahdollisissa muissa palveluissa.

3. Mitä evästeitä käytetään?

Jotkin evästeet ovat sivustomme teknisen toiminnan ja käytön vuoksi välttämättömiä. Nämä evästeet eivät kerää käyttäjästä tietoa, jota voitaisiin hyödyntää markkinoinnissa tai muistamaan käyttäjän valitsemia sivustoja.

Suorituskykyä mittaavat evästeemme keräävät tietoa siitä, miten käyttäjät käyttävät verkkosivujamme (esim. eniten käytetyt sivut, mahdolliset virheviestit). Nämä evästeet eivät kerää käyttäjistä tunnistettavia tietoja, vaan ne ovat anonyymejä ja niitä käytetään ainoastaan parantamaan nettisivujen toimivuutta.

Sivuilla olevat kolmansien osapuolten liitännäispalvelut (esim. mainokset, YouTube-videot, Google-tilastointi tai Facebook-liitännäiset) saattavat tallentaa käyttäjän tunnistamiseen käytettävää tietoa, mihin emme valitettavasti voi vaikuttaa. Jos haluat estää niitä seuraamasta liikkumistasi verkossa, voit kytkeä ns. kolmannen osapuolen evästeet pois käytöstä selaimesi asetuksista. Ohjeet löydät selaimesi ohjesivuilta.

Sivuillamme saattaa olla myös painikkeita, jotka helpottavat sisällön jakamista eri verkkoviestintäympäristöihin ja sosiaaliseen mediaan. Jos käytät näitä painikkeita, valitsemaltasi palvelulta voidaan asettaa eväste päätelaitteellesi. Nämä evästeet eivät ole hallinnassamme. Lisätietoja kolmannen osapuolen evästeiden käytöstä saat kyseisen osapuolen verkkosivulta.

4. Evästeiden hallinta ja estäminen

Jos et halua vastaanottaa evästeitä, voit muuttaa Internet-selaimesi asetuksia niin, että saat ilmoituksen aina kun evästeitä ollaan lähettämässä tietokoneellesi. Vaihtoehtoisesti voit estää evästeiden käytön kokonaan. Evästeiden käyttöä voi rajoittaa tai sen voi estää Internet-selaimen kautta (katso tarkemmat tiedot selaimen ohjeista).

Jos estät evästeiden tallennuksen tai poistat ne käytöstä, jotkin verkkosivujemme toiminnoista eivät välttämättä toimi oikein.

Sulje
Poutapilvi web design - P4 - julkaisujärjestelmä