turvalliset valtiokonsernin palvelut
DESCRIPTION
Herättelevä tietoturvapuheenvuoro Valtiokonttorin Valtion IT-palvelukeskuksen asiakaspäivässä 26.10.2011. Puhujana Kimmo Rousku, Valtion IT-palvelukeskus (VIP).TRANSCRIPT
Turvalliset valtiokonsernin palvelut
Apulaisjohtaja Kimmo Rousku
Valtiokonttori, Valtion IT-palvelukeskus
Sisältö
• Muuttunut uhkatilanne
• Tietoturvallisuuden peruspilarit - kertaus
- Luottamuksellisuus, eheys, saatavuus
Miten nämä näkyvät tänä päivänä?
• Unohdetaan tietoturvallisuus!
- Uudenlainen näkymä
• Tietoturvallisuus palveluiden keskittämisen kannalta
• Miten edellä olevat toteutetaan VY-palveluissa?
• Tietoturvallisuuden keskittäminen valtiokonsernissa
- Edut ja haasteet
• Kimmon 8 teesiä tietoturvallisuuteen liittyen
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
CERT-FI sai yhden urkinnan kohteeksi joutuneen henkilön
tietokoneen tutkittavaksi. Tietokoneessa olevasta ajantasaisesta
virustorjuntaohjelmistosta huolimatta koneelle oli piiloutunut
aiemmin tuntematon versio Zeus-haittaohjelmasta.
Tutkimuksissa ei paljastunut koska ja miten haittaohjelma oli
päässyt tietokoneeseen. Haittaohjelman määrittelytiedostosta
kuitenkin kävi ilmi, että se oli räätälöity suomalaisten pankkien
käyttäjien vakoilemiseen. Määrittelytiedostossa listattiin
kahdeksan eri suomalaista verkkopankkia, joiden asiakkaiden
pankkitunnuksia haittaohjelma oli ohjelmoitu varastamaan.
https://www.cert.fi/katsaukset/2011/tietoturvakatsaus3201
1.html
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Tietoturvallisuuden peruspilarit Luottamuksellisuus
Eheys
Saatavuus
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Luottamuksellisuus
Tiedot ovat niihin oikeutettujen käytössä
• Kotona: säilytätkö ”asiakirjoja”
a) eteisen pöydällä
b) jossakin laatikossa
c) tietyssä, lukitussa laatikossa
d) tärkeimmät asiakirjat myös pankkiholvissa
• Työpaikalla:
- jotta voit käsitellä tietoja oikein, edellyttää se tietojen luokittelua – julkinen vs. salassa pidettävä tietoaineisto
• 1.10.2010 voimaan astunut tietoturvallisuusasetus toi uuden luokittelun, jonka mukaan tietoa pitää jatkossa käsitellä – valitettavan usein organisaatio ei ole kuitenkaan tehnyt ns. luokituspäätöstä eli ottanut tätä käyttöön
- Tulee hankaloittamaan tietojenvälitystä valtiokonsernin sisällä
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Eheys
• Tieto ei saa muuttua hallitsemattomasti tai
muullakaan tavalla sen elinkaaren aikana
- Kotona: toivottavaa on, että kaikki talouteesi liittyvät asiakirjat pysyvät
muuttumattomina, toisaalta ei ole sinun vaan muiden organisaatioiden
huoli (pankki, viranomaiset)
- Työpaikalla: valtaosa tiedoistamme on tietojärjestelmissä, joissa on
käytettävissä eri keinoja tietoaineistojen eheyden valvomiseen
• Vai onko – esimerkki: mistä tiedät että lähettämäsi sähköpostiviesti ei
muutu matkan aikana?
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Eheys
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Saatavuus
• Tieto on osapuolien saatavilla (käytettävissä) silloin,
kun sitä tarvitaan
- Kotona:
• Itselläni yleensä juuri se paperi, jota olen etsimässä on
mystisesti ”kadonnut jonnekin”
- Työpaikalla:
• Koska toimintamme pohjautuu entistä enemmän
tietojärjestelmien varaan, sitä tärkeämmäksi nousee
tietojärjestelmien osalta taata niiden korkea käytettävyys ja
kyky palautua normaaliolojen häiriötilanteissa
toimintakykyiseksi niille määritetyssä ajassa
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Tulevaisuuden sähköinen asiakirja / paperi (E4) osaa myös kertoa sijaintinsa.
VALDA v 20xx sisältää metatietona tiedot siitä, missä asiakirjaa sillä hetkellä
fyysisesti käsitellään pohjatuen gps-teknologiaan.
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Erityinen huomio
• Edellä olevien merkitys vaihtelee tietojärjestelmittäin ja palveluittain:
- Luottamuksellisuus
• Tärkeys nousee tietoaineiston luokituksen noustessa – esimerkiksi julkisessa
tiedossa seuraavat kohdat ovat tärkeämpiä
- Eheys
• Mikä on sellaista tietoa, jolla ei nyt ole niin väliä, vaikka se muuttuisi?
• Ruokalista vs. pankkipalvelut
- Saatavuus
• Täytyykö ruokalistan olla aina saatavilla? Entäs pankkipalveluiden?
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
MAK – manuaalinen äänestyskone
KYLLÄ Näinhän se
menee
NJAAA En ole ihan
samaa
mieltä
BS eli
HL Olen
vahvasti eri
mieltä
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Tietoturvallisuuden peruspilarit
Luottamuksellisuus
Eheys
Saatavuus
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Unohdetaan historia
• Uudenlainen tapa käsitellä tietoa, unohdetaan
perinteinen tapa ja mietitään asiaa toisesta näkökulmasta
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Unohdetaan tietoturvallisuus!
• Terminä ”tietoturvallisuus” on auttamatta vanhentunut,
vaikka se kuvaa hyvin periaatetta – turvaamme tietoa
• Sen sijaan tuon tilalla pitäisi miettiä meidän jokaisen
toimintaa seuraavasta kolmesta näkökulmasta:
- Riskien arviointi
• Mikä toimintaamme uhkaa, onko mahdollista, mitä maksaa?
- Jatkuvuuden takaaminen
• Miten voimme taata ydintoimintamme (liiketoiminta)
häiriötilanteissa?
- Varautuminen ja toipuminen
• Mitä meidän tulee käytännössä tehdä, jos xxx on alhaalla?
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Otetaan näkökulmaksi TIETO
Tieto
Miten TIETOA
suojellaan elinkaaren eri osa-alueissa?
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
ST I
Erittäin salainen
ST II
Salainen
ST III
Luottamuksellinen
ST IV
Käyttö rajoitettu
Korkea taso
turvattavat
kohteet
Korotettu taso
turvattavat
kohteet
Perustaso
turvattavat
kohteet
Julkinen tieto
Suojaustasomerkintä:
Turvallisuusluokitusmerkintä:
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Ratkaisu on tietoturvatasot
VM
Aluehallintovirastot Maistraatit Tilastokeskus Tullilaitos Valtiokonttori Valtion talous- ja
henkilöstöhallinnon palvelukeskus
Verohallinto VRK
Perustaso 30.9.2013 mennessä
.. ja sama kaikilla hallinnonaloilla
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Unohdetaan hetkeksi perinteinen tietoturvallisuus
Varautuminen ja toipuminen
Jatkuvuuden takaaminen
Riskien arviointi
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Riskien arviointi
• Jos emme arvioi ylipäätään riskejä, miten voimme toimia
kustannustehokkaasti ja tarkoituksenmukaisesti?
- Miten voimme varmistua siitä, että tekemämme
päätökset ja investoinnit kohdistuvat sellaisiin
kohtiin, joissa todennäköisyys * seuraukset
ylittävät merkittävästi sen summan, joka
riskienarvioinnilla voitaisiin estää
• Jälleen tarkoituksenmukaisuus – KISS – Keep It Simple
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Jatkuvuuden takaaminen
• Ei JOS vaan KUN jotain tapahtuu, pitää meidän olla
valmiina takaamaan yhteiskunnan toimivuus
normaaliolojen ohella poikkeusoloissa
Valtiokonttori on keskeinen
toimija useilla yhteiskunnan
turvallisuuteen liittyvillä osa-
alueilla, sillä tuotamme
palveluita yhteiskunnan
keskeisiin toimintoihin.
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Varautuminen ja toipuminen
• Yksittäisen tietojärjestelmän tasolla meillä tulee olla kyky
toipua häiriöstä tietojärjestelmän ja sen edellyttämän
palveluarvon (liiketoiminnan) odotusten mukaisesti
- Mitä tärkeämmästä tietojärjestelmä on kyse, sitä
tärkeämmäksi tulee huolehtia palvelukohtaisista
teknologian sijaan muihin varajärjestelyihin liittyvistä
(toiminta)prosesseista
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
MAK – manuaalinen äänestyskone
KYLLÄ Näinhän se
menee
NJAAA En ole ihan
samaa
mieltä
BS eli
HL Olen
vahvasti eri
mieltä
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Tietoturvallisuus palveluiden keskittämisen kannalta
Uhat ja mahdollisuudet
Sen sijaan, että
• … valtiokonsernissa on x 000 internet-liityntää, joiden
tietoturvallisuudesta (palomuuri, 24/7-valvonta,
haittaohjelmien torjunta, hyökkäystentorjunta) emme voi
olla varmoja, on meillä Valtion yhteinen
tietoliikenneratkaisu VY-verkko
• … meillä olisi jatkossa x 00 viestintäratkaisua, joissa ei
ole kattavaa haittaohjelmien torjuntaratkaisua, erilaisia
toimintapolitiikkoja, meillä on Valtion yhteinen
viestintäratkaisu
• … ja sama toistuu muissa ratkaisuissa
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Mahdollisuudet
• Keskittämällä palveluita saavutetaan tietoturvallisuuden
osalta esimerkiksi:
- Sellainen käyttö- ja tuotantoympäristö, joka ei ole
mahdollista tai kustannustehokasta jokaiselle yksittäiselle
virastolla
• Tuotantoympäristö täyttää tietoturvatasojen ja ICT-
varautumisen palvelulta edellyttämät vaatimukset
• Edellä kuvatut perus – korotettu – korkea taso
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Mahdollisuudet
• Karsittua turhia ohjelmistolisenssejä, yhdenmukaistettua
prosesseja ja toimintatapoja
- Tästä käytännön esimerkki - keskitetty hallinta-, valvonta-
ja raportointi
- Valtion IT-palvelukeskus ottaa asiakkaalta tämän työn
vastatakseen toimittajan kanssa siitä
- Samoin me vastaamme toimittajien kanssa tehtävän
turvallisuussopimuksen valvomisesta, tarvittavien
henkilöiden turvallisuusselvityksistä sekä
vaitiolosopimuksista
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Mahdollisuudet
• Sen sijaan että jokainen meistä auditoi ja skannaa satoja
/ tuhansia valtionhallinnon palveluita, tehdään se nyt vain
kerran
- Ongelma on juuri se, että kukaan ei pysty auditoimaan ja
skannaamaan kaikkia nykyisiä valtiokonsernin
(kymmeniä)tuhansia järjestelmiä
• Keskittämällä IT-palveluita tähän pystytään
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Uhat
Entä kun jotain tapahtuu?
• Palveluiden jatkuvuus- ja toipumissuunnittelu täytyy olla
paremmalla tasolla kuin yksittäisen, virastokohtaisen palvelun
- Tärkeimmissä palveluissa tulee toteutuksessa harkita palvelun
monentamista (kahdentamista) tarvittavan palvelutason
saavuttamiseksi
• Organisaatiossa tulee olla mietittynä sen omaan toimintaan
liittyvät prosessit siltä osin, että se pystyy jatkamaan toimintaa
mahdollisen häiriötilanteen aikana – mikäli siihen on tarvetta
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
MAK – manuaalinen äänestyskone
KYLLÄ Näinhän se
menee
NJAAA En ole ihan
samaa
mieltä
BS eli
HL Olen
vahvasti eri
mieltä
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Miten edellä olevat asiat toteutetaan Valtion IT-palvelukeskuksen tuottamissa palveluissa?
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Hallinnollinen tietoturvallisuus
• Valtiokonttori täyttää tietoturvatasojen edellyttämän
perustason ensi kuussa suoritettavassa
loppuauditoinnissa
- Tietojärjestelmätasolla huolehdimme vaatimusten
täyttämisestä seuraavilla sivuilla esitettävillä menetelmillä
• Valtion IT-palvelukeskus kehittää toimintaansa siten, että
sen tietoturvallisuuden hallintajärjestelmä täyttää ISO
27001-sertifiointivalmiuden v. 2013 kuluessa
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
TTT ja ICT-varautuminen
• Pääsääntöisesti Valtiokonttorin tuottamat palvelut
täyttävät korotetun tietoturvatason sekä korotetun
ICT-varautumisen tason
• Valtion IT-palvelukeskuksen tuottamat Valtion yhteiset IT-
palvelut on tarkoitettu normaalioloihin
- Niiltä osin kuin palveluilta odotetaan yhteiskunnan
turvallisuusstrategian mukaista toimintakykyä, sitä
kasvatetaan palvelukohtaisesti
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Infrastruktuuri
VALTION IT-PALVELUKESKUKSEN
PALVELU X
Tietoturvallisuus hankkeen aikana
● riskien arviointi ● vaatimukset
● sopimukset ● auditointi ● hyväksyntä
Tietoturvallisuus jatkuvissa
palveluissa
● perustiedot ● riskien arviointi
● jatkuvuussuunnittelu
● toipumissuunnittelu ● häiriöiden
hallinta ja viestintä ● auditointi
ja haavoittuvuusskannaus ●
raportointi ja toimittajayhteistyö
● vuosikello
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Missä ongelmat syntyvät?
Aika
Kustann
us-
kerroin
100
10
1
Mitä aikaisemmassa vaiheessa mahdolliset
ongelmat löydetään, sitä kustannus-
tehokkaampaa niiden korjaaminen on
Vaatimusmäärittely, kilpailutus ja
sopimukset ovat ratkaisevassa roolissa!
Tarvittavat auditoinnit
hankevaiheen aikana
Tarvittavat auditoinnit
/ haavoittuvuusskannus
jatkuvassa palvelussa
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Valtion IT-palvelukeskuksen rooli vs. TUVE-verkko ja palvelut
• Valtion IT-palvelukeskuksen tuottamat VY-palvelut eivät
täytä turvallisuusluokiteltavien asiakirjojen käsittelyssä
edellytettäviä vaatimuksia, joita tullaan arvioimaan
kansallisen turvallisuusauditointikriteeristön (KATAKRI)
vaatimuksia vastaan
- tietojen oikeudeton paljastuminen voi aiheuttaa vahinkoa
kansainvälisille suhteille, valtion turvallisuudelle,
maanpuolustukselle tai muille yleisille eduille julkisuuslain
24 §:n 1 momentin 2, 7 – 10 kohdissa tarkoitetulla tavalla.
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• 1. Keskittämällä IT-palveluita parannetaan
valtiokonsernin tietoaineistojen tietoturvallisuutta
- Organisaatioiden tulisi tehdä luokittelupäätös, jotta
tietoaineistojen käsittely tapahtuisi kaikkialla
yhdenmukaisesti
- Kun otetaan käyttöön uusia palveluita, pitää vanhoja
prosesseja ml. tietoturvallisuus purkaa, lopettaa vanhoja
palveluita (lisenssimaksut), koska muuten laskettuja
kustannussäästöjä ei saavuteta
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• 2. Palveluiden ja tietoturvallisuuden keskittämisessä
tarvitaan yhteistyötä ja saatetaan joutua tekemään
kompromisseja, jotka saattavat vaikuttaa yksittäisen
organisaation kannalta epäedulliselta
- VY-verkossa ja VYVI-viestintäratkaisussa luodaan
peruspolitiikka, jota jokainen organisaatio voi tiukentaa
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• 3. Päällekkäisen tietoturvatyön määrää pitää päästä vähentämään
- Valtionhallinnossa tehtiin v 2010 lähes 15 000 turvallisuusselvitystä
- Kukaan ei tiedä, kuka ja kenen kanssa on tehty millaisia vaitiolositoumuksia
- Organisaatioiden ja toimittajien väliset turvallisuussopimusmallit vaihtelevat jopa palveluittain
- Missään ei ole keskitettyä tietoa siitä, mitä kukin organisaatio on auditoinut ja miten tätä tietoa voitaisiin kattavasti valtionhallinnossa hyödyntää?
• Osa tästä problematiikasta häviää turvallisuusselvityslainsäädännön uudistamisen myötä, mutta se edellyttää myös vastaavasti enemmän yhteistyötä
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• 4. Valtiokonsernin sisällä pitää kasvattaa luottamusta
sisäisiin toimijoihin
- Valtionhallinnon kesken täytyy päästä kevyempiin
ratkaisuihin niin turvallisuussopimuskäytäntöjen,
turvallisuusselvitysten, vaitiolositoumusten kuin
auditointien osalta
• Valtion IT-palvelukeskuksen uusissa sopimusmalleissa on
yhteinen turvallisuussopimusliite ja palvelukohtaisesti sovittavat
tietoturvallisuuteen liittyvät yksityiskohdat
• Osa tätä luottamusta on se, että sekä organisaatiot että
palvelut saavuttavat niiltä edellytettävät tietoturva- ja
aikanaan ICT-varautumisen tasot
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• 5. Valtiokonsernin täytyy kyetä tuottamaan palveluita erilaisia tietoaineistojen käsittelytarpeita varten
• Kansalliset, ST IV – III –tietoaineistot
• Erityissuojattavat, kv- tai muun turvallisuusluokittelun perusteella käsiteltävät ST IV Käyttö rajoitettu, ST III Luottamuksellinen, ST II Salainen –tietoaineistot
- ja olosuhteita varten
• normaaliolojen vaatimukset
• poikkeusolojen vaatimukset
• Kustannustehokkuus ja saatavuus sekä helppokäyttöisyys saavutetaan roolittamalla työtehtävät ja niissä tarvittavat tietoaineistot ja työvälineet
- Nykyinen malli on liikaa organisaatiokeskeinen
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• 6. Kuluttajistumisen huomioinen
- ”BYOB-malli” – Bring Your Own Bottles, consumerization
(kuluttajistuminen) tarkoittaa sitä, että henkilöstö voi
käyttää omia työvälineitä työtehtävien hoitamiseen
- Valtion IT-palvelukeskus selvittää, miten tätä
kehityssuuntaa voidaan hyödyntää esimerkiksi julkisten tai
ST IV-tietoaineistojen yhteydessä
• Esimerkiksi ST III tulee jatkossakin edellyttämään organisaation
hallinnassa olevaa, nykyaikaisilla teknisillä tietoturvaratkaisuilla
tuotettua päätelaitepalvelua
• Tämä ei tarkoita sitä, etteikö esimerkiksi tällaista päätelaitetta
voisi jatkossa käyttää vapaa-ajan palveluihin
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Case Digikamera
• Kuinka moni muistaa, kun ensimmäistä kertaa näki
väritelkkarin? Siis ohjelmaa mustavalko-tv:n sijaan
väritelkkarista?
• Painakaa tämä päivämäärä mieleen – 26.10.2011 – tämä
tulee jäämään mieleenne samanlaisena historiallisena
päivämääränä.
- Voidaan sitten kaikki yhdessa virtuaalivanhainkodissa
letkuissa muistella sitä ensimmäistä Kimmon ottamaa 3D
kuvaa ja videota
- Ja katsella, miten meidän ”varaosat” ovat vuosien varrella
kehittyneet
• Kuva tulee Valtiokonttorin sivuille muiden materiaalien joukkoon
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Miten tämä liittyy tietoturvaan?
• Kukaan ei kyseenalaista sitä, jos tuon oman
henkilökohtaisen kameran töihin ja otan sillä kuvan?
• Sen sijaan jos tämä tilaisuus pidettäisiin esimerkiksi
pääesikunnassa, valokuvaaminen saattaisi olla kiellettyä
– ainakin muilla kuin työnantajan välineillä ja heidän
henkilöiden toimesta?
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• Kuluttajistuminen - saatavuus
• Jatkossa meidän täytyy entistä enemmän työskennellä sen eteen, että se
tieto, joka on aidosti oikean henkilön saatavilla, hän saa sen käyttöönsä
mahdollisimman käyttäjäystävällisesti (helposti) – ja muut mahdollisimman
hankalasti tai eivät lainkaan
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• 7. Hyödyntäkää Valtion IT-palvelukeskuksen
tarjoamia palveluita tietoturvallisuuden
parantamiseen enemmän ?!
- Valtiovarainministeriön yhteishanke
tietoturvallisuusasetuksen täytäntöönpanon tukemiseksi
(mukana noin 50 virastoa, 3. aaltoon otetaan lisää
virastoja)
- Valtiovarainministeriön hanke haavoittuvuusskannauksen
tuottamiseksi internet-verkkoon näkyville verkkopalveluille
• Mukana 45 virastoa, tammikuussa alkavaan 3. käyttöönottoon
otetaan lisää virastoja
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• Valtion IT-palvelukeskuksen työkalupakin noin 200
käyttäjällä on käytettävissään kattava tietoturvallisuuteen
liittyvä materiaalikokonaisuus sekä kolme maksutonta
verkkokoulutuskokonaisuutta:
- Henkilöstön tietoturvakoulutus
- Johdon tietoturvakoulutus
- Tietoaineiston käsittelyn verkkokoulutus
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• Lisäksi uusimpana, Kysy tietoturvallisuudesta –
asiantuntijapalvelumme, linkittämällä alla olevan
painikkeen vaikkapa organisaationne intranet-verkkoon,
henkilöstönne voi kysyä tietoturvallisuudesta yleisellä
tasolla Valtion IT-palvelukeskuksen asiantuntijoilta
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
Kimmon 8 teesiä
• Henkilökohtainen vinkki
• 8. Toimimalla työpaikalla samalla tavalla kuin kotona,
moni riski jäisi toteutumatta
• Miksi osalla meistä on työpaikalla eri aivot kuin kotona?
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
MAK – manuaalinen äänestyskone
KYLLÄ
Näinhän
se
menee!
Kimmo
puhuu
paljon,
mutta
asiaa!
Olen
täysin
samaa
mieltä!
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku
www.valtiokonttori.fi/ttt
26.10.2011
Valtion IT-palvelukeskuksen asiakaspäivä
2011, Kimmo Rousku