Laajavaikutteisen kyberloukkaustilanteen operatiivista johtamista ei ole määritelty, ja kyberturvallisuusstrategian tavoitteita on jäänyt toteutumatta. Tarkastuksen tavoitteena oli selvittää, onko valtionhallinnon kybersuojaus järjestetty mahdollisimman vaikuttavasti ja taloudellisesti tarkoituksenmukaisella tavalla.
Tarkastusviraston kannanotot
Tarkastuksen tavoitteena oli selvittää, onko valtionhallinnon kybersuojaus järjestetty mahdollisimman vaikuttavasti ja taloudellisesti tarkoituksenmukaisella tavalla.
Tarkastuskohteena olivat valtionhallinnon kybersuojausta ohjaavat viranomaiset (valtioneuvoston kanslia, valtiovarainministeriö, liikenne- ja viestintäministeriö) sekä valtionhallinnon kybersuojauksen keskitettyjä tehtäviä ja keskitettyjä ICT-palveluja hoitavat viranomaiset (Viestintäviraston Kyberturvallisuuskeskus, Valtion tieto- ja viestintätekniikkakeskus, Väestörekisterikeskus).
Ohjauksen toimivuutta arvioitiin lisäksi tarkastelemalla sähköisiä palveluja tarjoavia valtionhallinnon yksiköitä (Väestörekisterikeskus, Liikenteen turvallisuusvirasto Trafi, Valtakunnanvoudinvirasto ja sen ohjaaja oikeusministeriö sekä oikeusministeriön hallinnonalan ICT-palvelukeskus Oikeusrekisterikeskus).
Laajavaikutteisen kyberloukkaustilanteen operatiivista johtamista ei ole määritelty
Työn- ja vastuunjako kyberloukkauksiin vastaamisessa noudattaa valtioneuvoston ohjesääntöä. Tulkinnanvaraisissa tilanteissa kyberloukkauksen käsittelyä koskevat vastuuepäselvyydet on voitu selvittää ministeriöiden välisissä neuvotteluissa. Neuvottelu kyberloukkauksen ollessa meneillään voi kuitenkin viedä enemmän aikaa kuin on käytettävissä tilanteen hallinnan säilyttämiseksi. Laajavaikutteisen kyberloukkaustilanteen hallinnan operatiivisen johtamisen suunnittelu ja vastuutus voisi edistää reagointinopeutta sekä vastatoimien tarkoituksenmukaista koordinointia ja resursointia.
Nykyisessä toimintamallissa jokainen virasto ja laitos vastaa kybersuojauksestaan. Kybersuojauksen ammattiosaamisesta on kuitenkin pulaa, mikä haittaa sekä kybersuojauksen rakentamista omin voimin että kybersuojauksen rakentamista ostopalvelujen varaan. Valtion virastojen ja laitosten vastuulla olevaa ja niiden itse aikaisemmin hoitamaa toimintaa on keskitetty valtion palvelukeskuksiin palvelukeskushankkeissa. Keskittämisen myötä tarve yhtenäisempään ja kattavampaan riskienhallintaan on kasvanut. Riskienhallinnan käytännöt kuitenkin vaihtelevat virastokohtaisesti. Yhdenmukaisuuden puute riskienhallinnassa voi jättää mm. arkaluonteisten tietojen suojaukseen aukkoja. Valtionhallinnon palveluista ei ole koottu tietoja, jotka tukisivat palvelujen suojaamisen ja toivuttamisen priorisointia vastattaessa laajaan kyberloukkaustilanteeseen.
Kyberturvallisuusstrategian tavoitteita on jäänyt toteutumatta
Suomen kansallisen kyberturvallisuusstrategian (2013) toimeenpano-ohjelma on vahvistanut kybersuojausta. Strategian ansiosta huomiota ovat saaneet vision yhtenäisyys, varautumisen integrointi osaksi toimintaa sekä kybersuojauskyvykkyys.
Ensimmäisen toimeenpano-ohjelman tavoitteita jäi toteutumatta, koska sitoutuminen toimenpiteisiin oli vaihtelevaa eikä siihen voitu vaikuttaa keskitetysti. Uuteen toimeenpano-ohjelmaan sisällytettiin vain toimia, joihin toimivaltaiset viranomaiset ja muut toimijat ovat ilmaisseet sitoutumisensa. Sitoutuminen ja käytettävissä olevat resurssit riippuvat toisistaan. Ohjelman seurantaa on pyritty parantamaan, jotta valtionjohdolla olisi parempi näkymä kyberturvallisuuden tilaan.
Tätä nykyä keskeinen kokoava voima kyberturvallisuuden kehittämiseksi syntyy Kyberturvallisuuskeskuksen ja Huoltovarmuuskeskuksen yhteistoiminnasta.
Kybersuojauksen rahoitusratkaisujen tarkoituksenmukaisuus on epäselvä
Erot kybersuojauksen kehittämisessä selittyvät osaltaan sillä, paljonko kehittämisen edellyttämiä resursseja organisaatioilla on käytössä. Kyberturvallisuudessa tiettyjen perusasioiden tulee olla kunnossa valtion ja organisaation koosta riippumatta. Kybersuojauksen kannalta kriittisen tiedon saannin vaikeutuminen ja kybersuojausosaamisen riittämättömyys haittaavat suojautumista kyberloukkauksilta, joiden vaikutukset ovat vakavia ja laaja-alaisia. Kriittisen osaamisen ylläpitämisen ja verkostoitumisen merkitys korostuu Suomen valtionhallinnossa myös siksi, että järjestelmät ovat hajautuneet.
Liikenne- ja viestintävaliokunta on antanut lausunnon (27/2013 vp), jossa edellytettiin kyberturvallisuustoimintojen resurssien tarpeen seurantaa, jotta toimintaympäristön muutoksista johtuva tehtävien lisääntyminen otettaisiin huomioon resurssien ja rahoituksen määräytymisessä. Tarkastushavaintojen perusteella jää epäselväksi, onko lausunto otettu riittävästi huomioon.
Valtion talousarvion laadintamääräyksissä ja -prosessissa ei ole tunnistettavissa menettelyjä, jotka varmistaisivat, että määrärahat kohdistuisivat kybersuojauksen kokonaisuuden kannalta tärkeimpiin kohteisiin. Virasto ja laitokset budjetoivat kybersuojauksen määrärahat toimintamenomomentille erittelemättömänä osana viraston tai laitoksen toiminnasta aiheutuvia menoja. Kybersuojauspalvelujen maksullisuus vaikuttaa sekä Kyberturvallisuuskeskuksen kybersuojauspalvelujen kysyntään että keskuksen edellytyksiin tarjota palveluita ja säilyttää korkeatasoista asiantuntemusta. Virastojen ja laitosten riippuvuus toisistaan muun muassa palvelukeskusten kautta ja halukkuus ja mahdollisuudet hankkia Kyberturvallisuuskeskukselta maksullisia kybersuojauspalveluja toimintamenomomentin määrärahalla heijastuvat viime kädessä Kyberturvallisuuskeskuksen toimintaedellytyksiin.
Suomen kyberturvallisuusstrategian mukaisia toimenpiteitä toteutetaan vain niiltä osin kuin määrärahat sen sallivat. Huoltovarmuuskeskuksen rahoituksella on kuitenkin voitu varmistaa huoltovarmuuden näkökulmasta olennaisten toimien toteutumista ja välillisesti myös valtionhallinnon kybersuojausta.
ICT:n organisoinnin muutoksissa pitäisi huomioida myös kybersuojaus
Valtionhallinnon ICT:n organisaatiomuutokset ovat vaikuttaneet kybersuojauksen järjestelyihin. Valtoriin on keskitetty kybersuojauksen hallinnollisia ja käytännön toimia, mutta Valtorin käynnistysvaihe on pitkittynyt suunnitellusta ja sen aikana on ollut hankaluuksia pitää kybersuojauksen järjestelyt alkuperäisellä tasolla. Valtoriin keskitetyn kybersuojauksen kehittäminen on osoittautunut vaikeaksi. Käytännön tasolla kybersuojausmenettelyjen riittävyyden arvioimisessa ja uusien järjestelyjen käyttöönotossa on ollut puutteita.
Kyberturvallisuuden operatiivisen tilannekuvan muodostamista on syytä parantaa
Viranomaisten käytössä olevat kybersuojauksen tilannekuvat tukevat kybersuojauksen järjestämistä. Kyberturvallisuuskeskus pitää yllä kyberturvallisuuden kansallista tilannekuvaa. Kyberturvallisuuskeskuksen tilannekuvan avulla viranomaiset voivat korjata tietoturvahaavoittuvuuksia ohjelmistoissa sekä varautua ja reagoida käynnissä oleviin kyberloukkauksiin.
Mitä kattavampi tilannekuva on, sitä paremmin se palvelee kybersuojauksen järjestämistä. Kyberloukkausten kohteilla ei ole nyt ilmoitusvelvollisuutta Kyberturvallisuuskeskukselle. Valtionhallinnon organisaatioiden velvoittaminen ilmoitusten tekemiseen parantaisi tilannekuvan laatua, kuten myös keskitettyjen kyberloukkausten havainnointimenettelyjen kattavuuden lisääminen.
Tarkastusviraston suositukset
Tarkastusvirasto suosittaa, että
valtiovarainministeriö määrittelee ja toteuttaa valtionhallinnon ICT-palveluiden osalta laajavaikutteisten kyberhäiriötilanteiden operatiivisen hallinta- ja johtamismallin
valtiovarainministeriö selvittää, miten palveluiden kybersuojaus tulisi ottaa huomioon palveluiden koko elinkaaren rahoituksessa
Valtori parantaa kybersuojauksen menettelyjen ja kyberloukkausten havainnoinnin toteutusta, arviointia ja kehittämistä
valtiovarainministeriö parantaa kybersuojausta palvelevan operatiivisen tilannekuvan muodostamista ohjeistamalla viranomaisia ilmoittamaan kyberloukkauksista Kyberturvallisuuskeskukselle.