null Selvitys Liikenteen turvallisuusviraston sähköisistä palveluista on valmistunut

Selvitys Liikenteen turvallisuusviraston sähköisistä palveluista on valmistunut

Pressmeddelande 16.12.2019 16.41 fi sv en

Kuvituskuva, henkilötietojen turvallisuus (Kuva: LVM)

Liikenne- ja viestintäministeriö on saanut Liikenne- ja viestintävirastolta pyytämänsä selvityksen viraston sähköisten palveluiden suunnitteluun, tuotantoon ja ylläpitoon liittyvistä käytännöistä. Pyyntö liittyy joulukuussa 2018 esiin nousseisiin ongelmiin Liikenteen turvallisuusvirasto Trafin asiointipalveluissa.             

Nyt valmistunut selvitys on raportti koko vuoden 2019 kestäneestä selvitys- ja kehittämistyöstä. Työ on tehty liikenne- ja viestintäministeriön pyynnöstä, Liikenne- ja viestintäviraston pääjohtajan Kirsi Karlamaan johdolla.

Raportissa kerrotaan toimenpiteistä tietosuojan ja tietoturvan varmistamiseksi, jatkotoimenpiteistä palveluiden kehittämiseksi sekä viraston riskienhallinnan yhdenmukaistamisesta ja kehittämisestä.

Virastossa tehty selvitystyö on koostunut useasta vaiheesta vuoden 2019 aikana. Ministeriön otti vastaan selvityksen ensimmäisen väliraportin 28.5 ja toisen väliraportin 30.9.

”Traficom aloitti toimintansa kuluvan vuoden alussa. Mittava sähköisten palveluiden läpikäynti on luonut uutta ajattelua ja konkreettisen mallin palveluiden elinkaaren hallinnalle tietoturvan ja tietosuojan osalta. Jatkossa liikenteen ja viestinnän sähköisiä palveluita toteutetaan aiempaa yhdenmukaisemmin periaattein. Ymmärryksen tietosuojasta, tietoturvasta ja riskienhallinnasta tulee kuulua jokaisen virkamiehen perusosaamiseen", sanoo Traficomin pääjohtaja Kirsi Karlamaa.

”Traficomin palveluiden ja toimintatapojen kehittäminen jatkuu osana viraston normaalia toimintaa. On tärkeää, että nyt tehdyn työn tuloksia hyödynnetään laajasti sekä Traficomissa että koko valtionhallinnossa. Kansalaisten tietosuojasta ei saa antaa tuumaakaan periksi”, sanoo liikenne- ja viestintäministeriön Tieto-osaston ylijohtaja Laura Vilkkonen.

Miten asia eteni?

Tekniikka ja talous –lehti uutisoi perjantaina 7.12.2018 Liikenteen turvallisuusvirasto Trafin uudesta verkkopalvelusta, josta voitiin hakea kuljettajien ajo-oikeuden lisäksi erilaisia henkilötietoja. Aihe levisi viikonlopun aikana laajasti myös muihin tiedotusvälineisiin ja some-keskusteluihin. Keskusteluissa kritisoitiin sitä, että palvelusta oli mahdollista saada henkilötietoja tarpeettoman laajasti. Ministeriö ryhtyi heti ongelmista kuultuaan toimenpiteisiin.

Sunnuntaina 9.12.2018 Liikenteen turvallisuusvirasto otti kaikki sähköiset asiointipalvelunsa pois käytöstä varmistaakseen kuljettajatiedot-palvelun sulkeutumisen asian selvittelyn ajaksi.

Liikenne- ja viestintäministeriö pyysi maanantaina 10.12.2018 Viestintävirastoa tarkastamaan ja antamaan ministeriölle asiantuntija-arvionsa Liikenteen turvallisuusviraston sähköisten palveluiden tietosuojasta ja tietoturvasta.  Arvio pyydettiin tekemään läheisessä yhteistyössä tietosuojavaltuutetun kanssa.

Selvitys annettiin ministeriölle kahdessa osassa. Ensimmäinen selvitys toimitettiin ministeriölle 12.12.2018. Selvityksessä otettiin kantaa siihen, voidaanko Liikenteen turvallisuusviraston verkkosivustojen muut kuin kuljettajatietopalvelu laillisesti ja turvallisesti avata.

Selvityksessä arvioitiin, että Liikenteen turvallisuusvirasto Trafin palvelukokonaisuuden tietoturvallisuuden taso on keskimääräistä parempi, verrattuna valtiohallinnon muihin tarkastuskohteisiin, joihin sovelletaan vastaavia tietoturvavaatimuksia. Selvityksen jälkeen osa asiointipalveluista avattiin uudelleen lauantaina 15.12.2018

Alustavan selvityksen jälkeen Liikenteen turvallisuusvirasto tilasi Viestintäviraston pyynnöstä toisen laajemman palvelu- ja järjestelmäkokonaisuuden jatkoarvioinnin Nixu Certification Oy:ltä. Viestintävirasto osoitti arvioinnille valvojan.

Jatkoarviointi valmistui 19.12.2018. Myös siinä asiointipalvelun arvioitiin olevan paremmalla tasolla kuin useat muut vastaavat valtionhallinnon järjestelmät. Arvion mukaan kuljettajatietopalvelun määrittely ei kuitenkaan ollut kaikilta osin onnistunut. Kuljettajatietopalvelua ei ole sellaisenaan palautettu käyttöön.

Viestintävirasto, Liikenteen turvallisuusvirasto sekä Liikenneviraston tietyt toiminnot yhdistyvät vuoden 2019 alussa Liikenne- ja viestintävirastoksi. Ministeriö pyysi Liikenne- ja viestintäviraston pääjohtajana aloittanutta Kirsi Karlamaata selvittämään viraston sähköisten palveluiden suunnitteluun, tuotantoon ja ylläpitoon liittyvät käytännöt.

Ministeriön otti vastaan selvityksen ensimmäisen väliraportin 28.5, toisen väliraportin 30.9. ja loppuraportin 16.12.2019 Julkiset raportit löytyvät valtioneuvoston hanketietopalvelusta osoitteesta https://valtioneuvosto.fi/hanke?tunnus=LVM015:00/2019.

Mitä seuraavaksi?

Selvitystyön havaintoja hyödynnetään hallinnonalan toiminnan kehittämisessä. Kehitystyö on jatkuva osa ministeriön hallinnonalan sähköisten palveluiden rakentamista ja tuotantoa.

Ministeriö kannustaa kaikkia valtionhallinnon organisaatioita tutustumaan tehtyyn työhön ja raportteihin ja hyödyntämään analyysin tuloksia omien palveluidensa tietosuojan ja -turvan varmistamisessa.

Lisätietoja:

Laura Vilkkonen, ylijohtaja (Tieto-osasto), p. 040 500 0817, Twitter @vilkkonen

Jari Ylitalo, turvallisuusjohtaja, Liikenne- ja viestintävirasto, yhteydenotot p. 029 534 5648 (Traficomin mediapalvelu)