Työryhmän loppuraportti: Toimiva digitaalinen yhteiskunta edellyttää panostuksia tietoturvaan

Yhteiskunnan kriittisten toimialojen tietoturvan ja tietosuojan tasoa tulisi nostaa lisäresursseilla ja tehokkaammalla yhteistyöllä, todetaan työryhmän loppuraportissa. Tietoturvan tasoa työryhmä ohjaisi nykyistä tarkemmilla ja paremmin kohdennetuilla lakisääteisillä vaatimuksilla ja velvoitteilla, joiden toteutumista valvottaisiin aktiivisesti. Työryhmän raportti julkaistiin 1. helmikuuta 2021.

Digitaalinen yhteiskunta koostuu monista toisistaan riippuvaisista toimijoista, joiden toiminta edellyttää luotettavia ja turvallisia yhteyksiä ja tietojärjestelmiä. Erityisen tärkeää tämä on yhteiskunnan kriittisten palvelujen toiminnassa. Näillä toimialoilla yksittäisetkin tietoturvaa ja tietosuojaa koskevat loukkaukset ja häiriöt voivat vaikuttaa suoraan kansalaisten elämään ja kansantalouden toimintaan.

Vaikka kriittisille palveluille on asetettu yleisiä ja toimialakohtaisia tietoturvaa ja tietosuojaa koskevia velvollisuuksia, työryhmän työn perusteella selvisi, että toimialojen välillä on isojakin eroja niiden kyvyssä vastata kasvaviin tietoturva- ja tietosuojahaasteisiin.

Työryhmä teki ehdotukset poliittisiksi linjauksiksi kriittisten toimialojen tietoturvan ja tietosuojan parantamiseksi sekä määritteli vastuutahot ja aikataulut toimenpiteiden toteuttamiseksi.

Linjausehdotukset perustuvat seitsemään vaatimukseen, joiden tulisi toteutua, jotta toiminnan tietoturva ja tietosuoja ovat riittäviä:

1. Kriittisille toimialoille on lainsäädännössä oltava riittävät tietoturva- ja tietosuojavaatimukset ja -velvoitteet sekä tarkat määräykset näiden toteuttamisesta.

2. Toimijoilla on oltava riittävä tietämys ja osaaminen velvoitteiden noudattamisessa.

3. Viranomaisilla on oltava riittävät toimivaltuudet valvoa tietoturvan ja tietosuojan

toteutumista ja tehdä sektorirajat ylittävää yhteistyötä.

4. Viranomaisilla on oltava riittävä osaaminen ja uskallus käyttää toimivaltaa ja ohjata toimialaansa.

5. Viranomaisilla on oltava riittävät resurssit toimivallan käyttämiseksi.

6. Jokainen toimija kantaa vastuun toimintansa tietoturvasta ja tietosuojasta.

7. Viranomaisilla on ajantasainen tilannekuva koko toimintaympäristön tietoturvan ja tietosuojan tasosta ja tilanteesta.

Raportissa on myös esitetty arvio tarvittavista lisäresursseista, jotka painottuvat valvovien viranomaisten toimintakyvyn kehittämiseen.

Kyberturvallisuuteen panostetaan

Nyt valmistunut työryhmän selvitys on osa laajempaa kyberturvallisuuteen liittyvää kokonaisuutta.

- Jotta varmistamme kyberturvallisuuden, yhteiskunnan on oltava valveilla, varautunut ja valmis yhteistyöhön. Hallitukselta edellytetään johtajuutta, lainsäädäntöä on uudistettava ja viranomaistoimintaa tehostettava. Myös resursseja on lisättävä, mutta se on investointi turvallisuuteen, joka maksaa itsensä monin verroin takaisin, korostaa liikenne- ja viestintäministeri Timo Harakka.

Suomessa useilla yhteiskunnan keskeisillä toimialoilla on lakisääteisiä velvoitteita huolehtia palveluiden tietoturvasta ja kyberturvallisuudesta. Näitä velvoitteita täydentää viranomaisten ja palveluiden tarjoajien vapaaehtoinen yhteistyö ja tiedonvaihto. Lisäksi Liikenne- ja viestintäviraston Kyberturvallisuuskeskus valvoo ja kehittää viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta ja auttaa tietoturvaloukkauksien selvittämisessä.

Kyberturvallisuuden suunnittelu- ja kehitystyötä parantaa myös parhaillaan lausuntokierroksella oleva hallituskausien yli ulottuva kehittämisohjelma. Ohjelman on tarkoitus ohjata toimialarajat ylittävää ja hallituskausien yli ulottuvaa kyberturvallisuuden kehittämistä.

Vuosina 2020-2023 julkisen hallinnon digitaalisen turvallisuuden palveluita kehitetään myös valtiovarainministeriön Haukka-toimeenpanosuunnitelman mukaisesti. Toimeenpanosuunnitelmalla tuetaan myös kyberturvallisuusstrategian kehittämisohjelman valmistelua ja toteuttamista.

Kyberturvallisuuden merkitys nousi esille myös Digiloikka-työryhmän loppuraportissa. Koronaviruskriisin jälkihoidon digitaalisia keinoja pohtinut työryhmä ehdotti, että Suomessa tulisi tutkimuksen ja kotimaisen kyberteollisuuden tukemisen avulla edistää tieto- ja kyberturvallisuuden ekosysteemin ja infrastruktuurin kehittämistä. Tämä turvaisi myös Suomen kansainvälistä kilpailukykyä.

Kriittisten toimialojen tietoturvaa ja tietosuojaa selvittäneen työryhmän taustaa

Liikenne- ja viestintäministeriö asetti marraskuussa työryhmän, jonka tehtävänä on kartoittaa yhteiskunnan toiminnan kannalta keskeisten toimialojen tietoturvaa ja tietosuojaa koskevan lainsäädännön muutostarpeita ja tehdä hallitukselle ehdotus niitä koskeviksi poliittisiksi linjauksiksi.

Työryhmän selvityksen kohteena olivat yhteiskunnan keskeiset sektorit, kuten terveydenhuolto, energiahuolto, finanssiala, vesihuolto sekä liikenne ja digitaalinen infrastruktuuri ja sen palvelut.

Tavoitteena on, että tietoturva olisi osa yhteiskunnan varautumista ja yhteiskunnan tarjoamat palvelut ja kansalaisten tiedot olisivat nykyistä paremmin suojattu luvattomalta käsittelyltä

Työryhmän puheenjohtajana toimi liikenne- ja viestintäministeriön ylijohtaja Laura Vilkkonen. Ryhmä koostui ministeriöiden ja viranomaisten edustajista.

Työryhmän loppuraportti Tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla on luettavissa valtioneuvoston verkkosivuilla.

Lisätietoja:

ylijohtaja, osastopäällikkö Laura Vilkkonen, p. 040 500 0817, Twitter: @vilkkonen