Valtiovarainministeriö ei ole uudistanut valtionhallinnon ICT-palvelujen operatiivista hallinta- ja johtamismallia eikä ryhtynyt riittäviin toimenpiteisiin muiden sille esitettyjen suositusten johdosta. Muualla valtionhallinnossa on kuitenkin kehitetty malli, joka vahvistaa ICT-palvelujen hallintaa laajavaikutteisissa kyberhäiriötilanteissa. VTV katsoo, että tarkastuksen kohteena olleet asiat vaativat edelleen seurantaa tai tarkastusta.
Valtiontalouden tarkastusvirasto on tehnyt jälkiseurannan Kybersuojauksen järjestäminen -tarkastuksesta (16/2017). Jälkiseurantaraportissa selvitetään, mihin toimiin tarkastuskertomuksessa annettujen suositusten ja muiden kannanottojen johdosta on ryhdytty.
Valtiovarainministeriö ei ole ryhtynyt riittäviin toimenpiteisiin tarkastusviraston suositusten johdosta. Suositukset koskivat operatiivisen hallinta- ja johtamismallin kehittämistä valtionhallinnon ICT-palvelujen laajavaikutteisiin kyberhäiriötilanteisiin, kybersuojauksen rahoitusta palveluiden koko elinkaaren ajan ja kyberloukkauksien ilmoitusvelvoitetta Kyberturvallisuuskeskukselle. Tarkastusvirasto antoi suosituksen myös Valtorille. Valtori on kehittänyt kybersuojauksen menettelyjä sekä kyberloukkausten havainnoinnin toteutusta ja arviointia tarkastusviraston suositusten mukaisesti.
Vaikka valtiovarainministeriö ei ole uudistanut valtionhallinnon ICT-palvelujen operatiivista hallinta- ja johtamismallia, asiassa on tapahtunut kehitystä. Kyberturvallisuuden kansallisen kehittämisen koordinoimiseksi on liikenne- ja viestintäministeriöön perustettu kyberturvallisuusjohtajan tehtävä. Kyberturvallisuusjohtaja-malli vahvistaa valtionhallinnon ICT-palvelujen hallintaa laajavaikutteisissa kyberhäiriötilanteissa, ja sen voidaan odottaa edistävän tarkastusviraston suositusten toteutumista myös laajemmin.
Valtionvarainministeriö ei täsmentänyt, miksi se ei pidä tarpeellisena muuttaa kybersuojaukseen liittyviä budjetointimenettelyjä. Ministeriö ei myöskään toistaiseksi nähnyt perusteita sille, että kyberloukkausilmoituksista ilmoittaminen Kyberturvallisuuskeskukseen tehtäisiin velvoittavaksi.
Tarkastusvirasto katsoo, että jälkiseurantaa on tarpeen jatkaa, ellei aihealueelta tehdä kokonaan uutta tarkastusta. Uutta tarkastusta puoltavat kybersuojauksen järjestelyissä ja digitaalisessa toimintaympäristössä meneillään olevat muutokset riskeineen sekä kyberturvallisuuden valtiontaloudellinen ja muu merkitys tietoyhteiskunnassa.
