Satsningar på funktionssäkerhet och cyberskydd behövs i statsförvaltningens centraliserade informations- och kommunikationstjänster

VTV har publicerat två revisioner, Organisering av cyberskyddet och Styrning av funktionssäkerheten i e-tjänster. Revisionsverket utredde om cyberskyddet i statsförvaltningen har organiserats effektivt och ekonomiskt. Målet var också att fastställa om det nuvarande systemet för styrning inom statsförvaltningen beaktar den funktionssäkerhet och tillgänglighet som behövs i tjänsterna.

Behovet att styra verksamheter i stället för enskilda ämbetsverk växer ständigt

Det har utarbetats styrande strategier för funktionssäkerheten och cyberskyddet men deras styreffekt har varit svag. Det är oklart vilken instans som ansvarar för verkställandet, tidsplaner för åtgärderna har inte uppgjorts och genomförandet har inte följts upp. Ämbetsverkens och inrättningarnas resurser varierar mycket och möjliggör inte alltid genomförandet av eventuella strategier. Resursläget bör förtydligas så att de strategiska målen för cyber- och funktionssäkerheten kan uppnås inom alla förvaltningsområden.

Praxisen för riskhantering varierar bland ämbetsverken. Oenhetlighet i riskhanteringen kan leda till lösningar på olika nivå vid organiseringen av cyberskyddet och funktionssäkerheten. Harmoniseringen av praxisen för riskhantering bör fortsätta. Åtgärder som säkerställer och utvecklar funktionssäkerheten och cyberskyddet bör planeras utifrån riskbedömningen och man bör uppskatta kostnaderna och nyttorna före genomförandet. Nyckelrollen har finansministeriet, som kan planera och ge anvisningar för hur praxisen för riskhantering förs upp på förvaltningsområdes- och statsnivå med beaktande av olika användningsbehov.

I dagens modell ansvarar varje ämbetsverk och inrättning för sitt cyberskydd och sin funktionssäkerhet. Vid ett omfattande cyberangrepp skulle olika ministerier behöva förhandla sinsemellan om start och prioritering av motåtgärder. Detta utgör en risk eftersom det inte nödvändigtvis finns tid till förhandlingar i samband med cyberangrepp. Statsrådet bör fastställa ledningsansvaret i situationer då ett cyberangrepp berör flera förvaltningsområden.

Valtoris centraliserade IKT-tjänster uppnår inte målnivån för funktionssäkerhet och cyberskydd i alla delar

Statens center för informations- och kommunikationsteknik Valtori har fortfarande ett smalt tjänsteutbud och utvecklingen av tjänsterna har inte gått planenligt. Valtori har inte kunnat möta kundernas funktionssäkerhetskrav på ett ändamålsenligt sätt. Dessutom har funktionssäkerhets- och cyberskyddsnivån i Valtoris tjänster varit oklar även för kunderna.

Valtoris verksamhet omfattas av finansministeriets styrning. Ministeriet bör lösa problemen med finansieringsmodellen så att man uppmärksammar Valtoris förutsättningar att förbättra förfarandena för cyberskydd och genomförandet, utvärderingen och utvecklingen av förfarandena för att upptäcka cyberangrepp. Valtori är ett ämbetsverk som producerar sektorsoberoende IKT-tjänster inom statsförvaltningen. Det inrättades 2014 och dess omkostnader år 2016 uppgick till 128,8 miljoner euro.

Pressmeddelandet och de finskspråkiga revisionerna på nätet

Ställningstaganden på svenska (Styrning av funktionssäkerheten i e-tjänster)

Ställningstaganden på svenska (Organisering av cyberskyddet)