Jälkiseurantaraportin täydennys: Kybersuojauksen järjestäminen

Valtiontalouden tarkastusvirasto on tehnyt jälkiseurannan jatkoseurannan Kybersuojauksen järjestäminen -tuloksellisuustarkastuksesta (16/2017). Tarkastuksessa arvioitiin, onko valtionhallinnon kybersuojaus järjestetty mahdollisimman vaikuttavasti ja taloudellisesti tarkoituksenmukaisella tavalla.  Jatkoseurannassa selvitetään, mihin toimiin tarkastuskertomuksessa annettujen suositusten ja muiden kannanottojen johdosta on ryhdytty.

Jatkoseurannassa havaittiin, että tarkastuksen suositukset ovat toteutuneet osittain ja ovat monin osin käynnissä. Valtiovarainministeriö on kybersuojauksen järjestämisessä pyrkinyt siihen, että lausuntomenettely tukisi kybersuojauksen huomiointia osana palveluiden elinkaaren rahoitusta. Todellinen vaikuttavuus jää jatkoseurannan perusteella epäselväksi.

Tarkastuksessa havaittiin, että kyberturvallisuuden operatiivisen tilannekuvan muodostamista on syytä parantaa. Valtiovarainministeriön JulkICT-osasto on syksyllä 2021 antanut palveluntuottajille ohjeistuksen aiheesta.  Ohjeistuksen mukaan korkean prioriteetin ja keskitason prioriteetin häiriötilanteista tulee tehdä ilmoitus Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskuksen ja valtionhallinnon välinen tiedonvaihto on kokonaisuudessaan parantunut viime vuosien aikana.

Tarkastuksessa VTV suositti, että valtiovarainministeriö kehittää operatiivisen hallinta- ja johtamismallin valtionhallinnon ICT-palvelujen laajavaikutteisiin kyberhäiriötilanteisiin. Kyberhäiriötilanteiden operatiivisen johtamisen vastuiden ja järjestelyjen määrittelyyn on perustettu koordinaatioryhmä. Tässä vaiheessa ei kuitenkaan voi vielä varmuudella sanoa, miten ryhmän tavoitteeksi kaavailtu selvitysraportti vastaa tarkastusviraston suositukseen.

Jälkiseurantaa ei ole tarvetta jatkaa. Tarkastusvirasto seuraa jatkossakin kyberturvallisuuden järjestämiseen liittyviä asioita.