Kyberloukkausyritysten määrä kasvaa jatkuvasti, ja valtionhallinnon sähköisten palvelujen suojaaminen on yhä tärkeämpää palvelujen digitalisoinnin edetessä. Kybersuojaus on osa palvelujen järjestämistä ja palvelujen keskittämisen yhteydessä siihen on syytä kiinnittää enemmän huomiota.
Valtionhallinnon palvelut ovat yhä useammin sähköisiä. Vaikka erilaisten kyberloukkausyritysten määrä on ollut jatkuvasti kasvussa, on asiakkaiden voitava luottaa siihen, että palvelut ovat käytettävissä ja käsiteltävät tiedot turvassa.
Kyberloukkauksella tarkoitetaan digitaalisen palvelun luvatonta käyttöä tai sen toiminnan tahallista häirintää. Kyberloukkauksen tekijä voi esimerkiksi luvattomasti katsella, poistaa tai sotkea tietoja, käyttää palvelua hyväksi muihin rikoksiin kuten petokseen, estää palvelun käyttöä tai aiheuttaa tuhoa ohjaamalla palvelulla teknisiä laitteita.
Kybersuojaus on kyberloukkausten estämistä. Kyberloukkauksia voidaan estää teknisillä suojauksilla sekä niitä varmistavilla hallinnollisilla toimilla. Myös palvelujen käyttäjien tietoisuus kyberloukkausten menetelmistä on tärkeää kyberloukkauksilta suojautumiselle erityisesti työasemia ja muita päätelaitteita käytettäessä.
Kuka vastaa palvelujen kybersuojauksesta?
Palvelun järjestävä viranomainen vastaa palvelun suojaamisesta. Viranomaiset eivät tee tätä työtä yksin, vaan valtiohallinnon kybersuojauskykyä on kehitetty osana tietoturvallisuuden ja varautumisen kehittämistä valtiovarainministeriön ohjauksessa. Keskitettyjä toimia ovat esimerkiksi julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) laatimat tietoturvaohjeet, joissa ohjeistetaan myös kybersuojauksen järjestämistä.
Palveluita hoitaa teknisesti yleensä käyttöpalvelutoimittaja. Vastuu suojaamisesta säilyy kuitenkin palvelun järjestäjällä, jonka pitää olla selvillä palvelun kybersuojauksen tilanteesta ja varmistaa suojauksen riittävä taso.
Valtionhallinnon toimialariippumattomien ICT-palveluiden (TORI) tuottaminen on keskitetty Valtion tieto- ja viestintätekniikkakeskukseen (Valtori). Samalla myös kybersuojauksen käytännön järjestelyjä on keskittynyt Valtorille. Palveluiden keskittäminen keskittää myös riskejä, ja näiden palveluiden suojaukseen ja toimintavarmuuteen tuleekin kiinnittää erityistä huomiota.
Miten suojaus on järjestetty?
Kyberturvallisuuden tilannekuva muodostuu tiedoista, joiden avulla voidaan estää kyberloukkausyritysten onnistuminen ja selviytyä kyberloukkauksista. Tilannekuvaa varten kerätään tietoja palvelujen haavoittuvuuksista sekä niihin kohdistuvista tai kohdistuneista uhkista. Kyberloukkauksia havainnoidaan analysoimalla tietoliikennettä tai laitteistojen ja ohjelmistojen toimintaa erilaisin teknisin menetelmin.
Viestintäviraston Kyberturvallisuuskeskus pitää yllä kansallista tilannekuvaa kyberturvallisuudesta, mutta yksittäiset viranomaiset täydentävät omaa tilannekuvaansa omin toimin. Tilannekuvaa heikentää se, että edes viranomaisilla ei ole ilmoitusvelvollisuutta palveluihin kohdistuneista kyberloukkauksista. Tilannetta parantaisi, jos viranomaiset ilmoittaisivat aina kyberloukkauksista Kyberturvallisuuskeskukselle.
Tällä hetkellä tietoturvavalvomotoimintaa on hajautettu eri viranomaisille. Valtoriin nykyistä laajemmin keskitetty valvomo tehostaisi valtiohallinnon tilannekuvan koostamista ja käsittelyä.
Käytännössä myös loukkausten havainnoinnissa on puutteita, muun muassa osassa keskitettyjä palveluja. Toimintansa pitkittyneessä käynnistysvaiheessa Valtori on eri syistä tilanteessa, jossa sillä on vielä parannettavaa esimerkiksi kybersuojausmenettelyjen arvioinnissa, käyttöönotossa ja tilanteen viestimisessä asiakkaille. Valtori on syksyn aikana jatkanut toimiaan tilanteen parantamiseksi tietoturvatoiminnan organisointia ja resurssien suuntaamista kehittämällä.
Viranomaiset ovat viime aikoina pystyneet reagoimaan palveluihinsa kohdistuneisiin kyberloukkauksiin ja niiden yrityksiin kohtuullisen hyvin ja vahingot ovat olleet melko vähäisiä. Näkyvimpiä kyberloukkauksia ovat olleet palvelunestohyökkäykset, joilla on estetty viranomaisten joidenkin verkkosivujen toiminta lyhyeksi aikaa. Lisäksi haittaohjelmat ovat saastuttaneet yksittäisiä työasemia.
Kybersuojauksen toimivuutta varmistetaan harjoittelemalla poikkeustilanteiden käsittelyä. Harjoittelua voisi vielä laajentaa tekniseen toipumiseen. Kybersuojauksen riittävyyttä todennetaan tietoturva-auditoinneilla, mutta niitä ei ole aina saatu tehtyä ennen palvelun käyttöönottoa.
Laajavaikutteisen kyberloukkaustilanteen hallinnan operatiivista johtamista ei ole suunniteltu ja vastuutettu. Yksittäisten kyberloukkausten vastatoimien hallintaa pystytään koordinoimaan, mutta toistaiseksi valtioneuvosto ei ole määritellyt tahoa, joka johtaisi laajavaikutteisten kyberloukkaustilanteiden käsittelyä ja pystyisi tekemään päätöksiä yli hallinnonalarajojen. Prosessin määrittely tehostaisi tällaisen kyberloukkauksen vastatoimia ja tilanteesta toipumista.