Tulostusversio

1/2014

Fuusio ja asetus vauhdittivat tietoturvatyötä

Teksti: Marianne Saine

Liikennevirastossa valtion tietoturva-asetuksen toteutus lähti viivästyksen jälkeen rivakasti käyntiin. Nyt ollaan hyvällä mallilla.

Suomeen synnytettiin uusi virasto vuonna 2010, kun Merenkulkulaitos, Ratahallintokeskus ja Tiehallinto yhdistyivät uudeksi Liikennevirastoksi. Valtionhallinnon tietoturva-asetus tuli voimaan samana vuonna. Uuden viraston IT-yksikössä on siis riittänyt töitä ja vipinää.

"Iso fuusio piti hoitaa ensin. Organisaatiokulttuurit olivat erilaisia, samoin osin IT-järjestelmät. Päällekkäisiä järjestelmiä piti purkaa, vähentää ja yhdistää", tietoturvapäällikkö Paul Kinnunen kuvaa.

Pohjatyö oli tehty

Liikennevirastossa päästiin tietoturva-asetuksen vaatimiin töihin käsiksi vasta vuoden kuluttua asetuksen voimaantulosta. Sen jälkeen tahti tiivistyi. Tietoturvan perustason saavuttamisen määräpäivä oli viime vuoden lokakuussa. Hallinnollisissa prosesseissa perustaso saavutettiin määräaikaan mennessä, mutta tietojärjestelmissä työ vielä jatkuu.

"Tietojärjestelmien osalta meillä ei perustasolle ihan ylletty yhdistymisen aiheuttaman poikkeustilanteen vuoksi, mutta korjaamistyöt on aikataulutettu. Tarkoitus on, että kaikki järjestelmät saavuttavat perustason mahdollisimman pian. Korotettujen ja korkean tason järjestelmien osalta työ jatkuu vielä useamman vuoden."

Organisaatiot, jotka olivat jo aiemmin kehittäneet tietoturvaansa, saattoivat saavuttaa asetuksen mukaisen perustason vähemmillä ponnisteluilla.

"Näin oli myös meillä, kaikilla kolmella yhdistyneellä viranomaisella oli pohjat kunnossa. Asetus toi vain lisää maustetta soppaan”, Kinnunen sanoo.

Priorisointi ensin

Liikennevirasto ei ole perustason virasto. Sillä on muun muassa valmiuslain kautta velvoitteita, joiden on toimittava 24/7 kriisitilanteissakin. Tämä edellyttää tiettyjen tietojen suojausta aina korkeimmalle suojaustasolle.

Asetuksen mukaan tietoturvan korotettu tai korkea taso pitää saavuttaa viiden vuoden kuluessa siitä, kun virasto on tehnyt päätöksen tietojensa luokittelemisesta. Liikennevirasto on tehnyt tietojen luokittelupäätöksen kesällä 2012, joten tietoturvatasoprojekti kestää kesään 2017 saakka.

Jotta luokittelu onnistuisi, viraston tietojärjestelmät on pitänyt ensin priorisoida. Yhdistyneellä Liikennevirastolla on noin kaksisataa IT-järjestelmää – tai yli neljäsataa, jos kaikki sovelluksetkin lasketaan. Neljän toimialan toimintoja ja niiden IT-järjestelmiä on arvotettu tärkeysjärjestykseen. Liikennevirastoa säätelevä lainsäädäntö antaa perusselkänojan priorisoinnille.

"Työ on ollut visaista, koska on aivan inhimillistä, että järjestelmän pääkäyttäjä priorisoi omansa listan kärkeen. Järjestelmä pitää istuttaa isoon kuvaan. On kysyttävä, kuinka merkityksellistä järjestelmän tieto on koko organisaatiolle, yhteistyökumppaneille ja lopulta koko yhteiskunnalle."

Yliluokittelu käy kukkarolle

Kinnusen mukaan tietojen luokittelu ei sinänsä ole vaikeaa.

"Todella hankalaa on sen sijaan saada aikaan se, että järjestelmät täyttävät uudet vaatimukset. Tämän tietävät varmaankin kaikki organisaatiot.”

Hän varoittaa kuitenkin sortumasta yliluokitteluun eli luokittelemiseen muulle kuin tiedon oikeasti vaatimalle tasolle.

"Paitsi että se on vastoin tietojen julkisuuden yleisperiaatetta, yliluokitteleminen maksaa. Jos tieto luokitellaan suojaustasolle kolme eli luottamukselliseksi, se pitää salata tallennettaessa. Tekninen toteutus maksaa. Jos tieto olisi vain käyttörajoitettu, käyttörajoituksen asettaminen riittää."

Viraston näköistä tietoturvaa

Liikennevirastolla ei ole omia sovelluskehittäjiä, vaan järjestelmät ostetaan muualta.

"Sovellustoimittajat tuntevat sovelluksen teknisen rakenteen, mutta eivät välttämättä vielä uuden asetuksen vaatimuksia. Silloin keskustellaan toimittajien kanssa siitä, mitä muutetaan, korjataan, milloin, millä rahoilla, ja kauanko työ kestää."

Järjestelmätoimittajia pyritään kouluttamaan, jotta ne ymmärtäisivät asetuksen vaatimukset. Hankintoja varten Liikennevirastolla on excel-taulukko, johon on koottu kaikki tietoturvaan, varautumiseen ja sovelluskehitykseen liittyvät vaatimukset.

"Taulukon avulla olemme muokanneet valtionhallinnon tietoturvan VAHTI-vaatimuksia, jotta paketti on Liikenneviraston näköinen ja täyttää sekä asetuksen että viraston omat vaatimukset”, Kinnunen kertoo.

”Jokin VAHTI-vaatimus voi olla nimetty korotetulle tasolle, mutta me saatamme edellyttää kyseistä asiaa toteutettavan jo perustasolla."

Koko talon juttu

Tietoturva-asetuksen vaatimukset edellyttävät luonnollisesti koko henkilöstön koulutusta. Liikennevirastossa jokaiselle työntekijälle on tarjolla sekä sähköistä että kohdennettua luokkakoulutusta. 

"Kun Valtion IT-palvelukeskus tarjoaa uusia koulutusportaaleja, ne pyritään ottamaan heti käyttöön. Jos joku tarvitsee esimerkiksi hankinnan koulutusta tietoturvan osalta, sitä tarjotaan."

Muutos vaatii myös resursseja. Liikenneviraston kokoinen virasto vaativine tehtävineen on tarvinnut päätoimisen tietoturvaan keskittyneen vetäjän lisäksi ulkoista apua. Sitä ja erilaisia työkaluja on ollut saatavilla Valtion IT-palvelukeskuksen kautta.

"Organisaation pitää ymmärtää, että asetus ei ole yksittäisen tietoturvaihmisen tai IT-yksikön päänsärky, vaan koko talon juttu. Johdon on aidosti sitouduttava hankkeeseen. Liikenneviraston työntekijät ovat ottaneet asetuksen vaateet hyvin huomioon ja pyrkivät auttamaan niiden saavuttamisessa. Aikaa on aina löytynyt kiireiden keskellä", Kinnunen kiittää.

Lue myös

Tietoturva-asetus yhtenäistää menettelyt »
Gallup: Luokittelu vaatii vielä sulattelua »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.