Valtionhallinnon ICT-palvelujen keskittämisessä on panostettava toimintavarmuuteen ja kybersuojaukseen
VTV on julkaissut kaksi tarkastusta, Kybersuojauksen järjestäminen ja Sähköisten palvelujen toimintavarmuuden ohjaus. Tarkastusvirasto selvitti, onko valtionhallinnon kybersuojaus järjestetty tehokkaasti ja taloudellisesti. Tavoitteena oli myös varmistua, että nykyinen valtionhallinnon ohjausjärjestelmä huomioi toimintavarmuuden ja palvelujen oikea-aikaisen saatavuuden.
Tarve ohjata yksittäisten virastojen sijaan toimintoja kasvaa jatkuvasti
Toimintavarmuutta ja kybersuojausta ohjaavia strategioita on laadittu, mutta niiden ohjausteho on ollut heikko. Toimeenpanon vastuutaho on jäänyt epäselväksi, toimenpiteitä ei ole aikataulutettu eikä niiden toteutumista ole seurattu. Resurssit vaihtelevat paljon virastojen ja laitosten välillä eivätkä ne kaikissa tapauksissa mahdollista strategian toteuttamista. Resurssitilanne tulisi selkeyttää siten, että kyberturvallisuuden ja toimintavarmuuden strategisten tavoitteiden saavuttaminen olisi mahdollista kaikilla hallinnonaloilla.
Riskienhallinnan käytännöt vaihtelevat virastokohtaisesti. Yhdenmukaisuuden puute riskienhallinnassa voi johtaa eritasoisiin ratkaisuihin kybersuojauksen ja toimintavarmuuden järjestämisessä. Riskienhallinnan käytäntöjen yhtenäistämistä tulisikin jatkaa. Toimintavarmuutta ja kybersuojausta varmistavat ja kehittävät toimenpiteet tulisi suunnitella suhteessa riskiarvioon ja arvioida kustannukset ja hyödyt ennen toteutusta. Avainroolissa on valtiovarainministeriö, joka voi suunnitella ja ohjeistaa, miten riskienhallinnan käytännöt viedään hallinnonala- ja valtiotasolle erilaiset käyttötarpeet huomioiden.
Nykyisessä toimintamallissa jokainen virasto ja laitos vastaavat omasta kybersuojauksestaan ja toimintavarmuudestaan. Mikäli jokin laajavaikutteinen kyberturvallisuusloukkaus toteutuisi, eri ministeriöiden pitäisi neuvotella keskenään vastatoimenpiteiden käynnistämisestä ja priorisoinnista. Tämä on riski, koska kyberturvallisuusloukkaustilanteissa aikaa neuvotteluille ei välttämättä ole. Valtioneuvoston tulisi määritellä johtaminen tilanteessa, jossa kyberloukkaustilanne koskettaa useita hallinnonaloja.
Valtorin hallinnoimien keskitettyjen ICT-palvelujen toimintavarmuus ja kybersuojaus ei ole kaikin osin tavoitellulla tasolla
Valtion tieto- ja viestintätekniikkakeskus Valtorin palvelutarjonta on jäänyt suppeaksi eikä palveluiden kehittäminen ole edennyt suunnitellusti. Valtori ei ole pystynyt tarkoituksenmukaisesti vastaamaan toimintavarmuutta koskeviin asiakasvaatimuksiin. Asiakkaille on myös jäänyt epäselväksi Valtorin kautta hankittujen palvelujen toimintavarmuuden ja kybersuojauksen taso.
Valtori toimii valtiovarainministeriön ohjauksessa. Ministeriön tulisi ratkaista toiminnan rahoitusmallin ongelmat kiinnittäen huomiota Valtorin edellytyksiin parantaa kybersuojauksen menettelyjä ja kyberloukkausten havainnoinnin toteutusta, arviointia ja kehittämistä. Valtori on virasto, joka tuottaa valtionhallinnon toimialariippumattomia ICT-palveluja. Se perustettiin 2014 ja sen toimintamenot vuonna 2016 olivat 128,8 miljoonaa euroa.
Avainsanat
Yhteyshenkilöt
johtava tuloksellisuustarkastaja Pirkko Lahdelma (toimintavarmuuden ohjaus)
040 732 5999
pirkko.lahdelma@vtv.fi
johtava tuloksellisuustarkastaja Pasi Korhonen (kybersuojauksen järjestäminen)
050 574 1784
pasi.korhonen@vtv.fi
Linkit
Tietoja julkaisijasta
Valtiontalouden tarkastusvirasto (VTV) on eduskunnan yhteydessä toimiva ylin kansallinen tarkastusviranomainen, joka tarkastaa valtion taloudenhoitoa ja omaisuuden hallintaa sekä valvoo puolue- ja vaalirahoitusta. Tarkastustyöllä virasto varmistaa, että valtion varoja käytetään eduskunnan päättämiin kohteisiin lakia noudattaen ja järkevästi.
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta VTV Valtiontalouden tarkastusvirasto
Utvärderingsförfarandet har hjälpt kommuner att stärka sin ekonomi27.3.2024 06:45:00 EET | Tiedote
Kommunernas utvärderingsförfarande borde dock bättre beakta hur man kan trygga tillgången till basservice för kommuninvånarna.
Arviointimenettely on auttanut kuntia vahvistamaan talouttaan27.3.2024 06:45:00 EET | Tiedote
Kuntien arviointimenettelyssä pitäisi kuitenkin paremmin huomioida, miten peruspalvelujen saanti kuntalaisille voidaan turvata.
Registrering i öppenhetsregistret ska göras inom en vecka25.3.2024 07:00:00 EET | Tiedote
Organisationer som bedriver påverkanskommunikation och rådgivning inom påverkanskommunikation som riktar sig mot riksdagen och ministerierna ska registrerar sig i öppenhetsregistret före utgången av mars.
Viikko aikaa rekisteröityä avoimuusrekisteriin25.3.2024 07:00:00 EET | Tiedote
Eduskuntaa tai ministeriöitä lobbaavien sekä vaikuttamistyön neuvontaa tarjoavien organisaatioiden on oltava avoimuusrekisterissä maaliskuun loppuun mennessä.
Bristfällig rapportering om partifinansieringen19.3.2024 12:00:00 EET | Tiedote
Redovisningar av partifinansieringen korrigerades i samband med revisionsverkets granskning. Partiorganisationerna bör också följa upp användningen av partistöd noggrannare.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme