Suositus tietoturvallisuuden vähimmäisvaatimuksista

Lausuntopyynnön diaarinumero: VN/VN/28669/2023

Yleisesti

Suomen Kuntaliitto ry, jäljempänä Kuntaliitto, kiittää mahdollisuudesta kommentoida tiedonhallintalautakunnan suositusta tietoturvallisuuden vähimmäisvaatimuksista.

Suositus on muodoltaan selkeä, ymmärrettävä ja nostaa esille tiedonhallintalaissa (TiHL) määriteltyjä tietoturvallisuustoimenpiteitä. Suositus on myös tulkittavissa varsin työllistäväksi toimeenpanon osalta keskisuurta pienempien kuntien kohdalla. Suositusta tuleekin lukea opastuksena TiHL:n tietoturvallisuuden (vähimmäis)vaatimuksiin. Suosituksen tavoitteista:

• tietojen käsittelylle säädetyt tietoturvavaatimukset
• hyvät käytännöt
• lain vaatimukset ja niihin liittyvät täsmennykset
• muut suositukset - lakiin liittyvät

Suosituksesta

1.1 Lainsäädännölliset perusteet

Kuntatoimijoiden lakisääteisten tehtävien tunnistaminen ohjaavana tekijänä (kuntatoimijoita koskien). Rinnakkaisten säädöksien vaikutukset (mahdollisten ristiriitaisuuksien välttäminen). Esimerkiksi ylätasoisen loogisen rakennekuvan (Kuvio X.) kautta. Tämä tukisi kokonaisuuden hahmottamista. Esim:

• laki kyberturvallisuuden riskienhallinnasta – ’NIS2-yleislaki’ sekä NIS2-direktiivin kansallisen käyttöönoton tuomat lisäykset TiHL:ssa
  • määrittelevät uusia käsitteitä (kyberuhka, kyberriski)
• tiedonhallintalautakunnan tiedonhallintamalli ja muutosvaikutusten arviointi suositusten päivittyminen

1.2 Vähimmäisvaatimusten merkitys

Esitettyjen toimenpiteitten painopisteenä on TiHL. Suositusta tuleekin lukea TiHL:ssa asetettujen tietoturvallistoimenpiteitten kautta (tiedonhallintayksikön velvoitteet, seuranta ja valvonta oman toiminnan kannalta). Kiinnittäen huomiota, ettei vähimmäisvaatimuksia tulkita vain tehtävälistauksina projekti-/hanketyössä:

• tunnistamatta tarvittavia/vaikuttavia toiminnallisuuksia tietoturvan osalta

Kokonaisvaltainen lähestyminen edellyttää tiedonhallintayksiköiltä toimintaprosessien tarkastelua ja arviointia:

• tietoturva (vähimmäisvaatimus = minimivaatimus = baseline-taso)   
• arviointi (eri) tulokulmista
  • tuote-/ratkaisu(hallinta)
  • toiminta ja toimintaympäristö (riskiperusteisuus)

Vähimmäisvaatimusten merkityksen ja toimeenpanon kannalta on ensiarvoisen tärkeää, että ne tulevat ymmärretyksi.

1.3 Suhde muihin suosituksiin

Kuntaliitto pitää hyvänä suosituksen lähtökohtaa: ”Tiedonhallintalautakunnan suositukset on laadittu tiedonhallintayksikön ja viranomaisen oman toiminnan kehittämisen tueksi”. Suositusta tuleekin tarkastella oman toiminnan silmin, omien resurssien ja omien kehittämisen painopisteitten kautta:

• julkisen hallinnon yhteentoimivuuden edistäminen (julkisuuslaki, TiHL)
• omien palveluiden kehittäminen (luotettavat/tietoturvalliset palvelut)

Kuvio 1. (Tietoturvallisuuden keskeiset suositukset) on hyvä ja selkeä. Se esittelee suosituksen asemoitumisen olemassa oleviin suosituksiin suosituksen itsensä näkökulmasta. Suosituksen hyödynnettävyyden kannalta tulisi harkita Kuvio 1:n täydentämistä, tuomalla sen rinnalle visualisointi eri suositusten ja hyvien käytäntöjen suhteesta tiedonhallintayksikön/viranomaisen näkökulmasta - tukien tavoitteita:

• Julkri-kriteeristön soveltaminen vähimmäisvaatimuksia toteutettaessa
• riskien hallinta ja käsittely toimenpiteet, seuranta ja valvonta huomioiden
• suositus/suositukset toimisivat organisaation omien vaatimusten ja toimenpiteitten suunnittelun ja toteuttamisen apuna

Vähimmäisvaatimusten kontekstuaalinen lähestyminen (soveltaminen, käyttöönotto) tukisi organisaation tietoturvallisuuden tilannekuvaa. Suositus luo listaa TiHL:n velvoitteista (lainsäädäntö lähtöisesti). Suosituksen laajentaminen koskemaan eri roolien kautta (johtaminen/kehittäminen/operatiivisuus) tukisi käyttöönottoa.Esimerkkeinäriippuvuuksista muihin säädöksiin:

• INSPIRE-direktiivi, Avoimen Datan direktiivi ja HVD-tietoaineistot
  • osana kansallista toimeenpanoa
  • asemakaavojen julkaisu - säännöt julkaisemiselle
  • avoimet rajapinnat ja hyödynnettävät tietoaineistot

On hyvä huomioida, että kuntatoimija on toimivaltainen kokonaisuus (toimintaprosessit, menetelmät, resurssien ja osaamisen kohdentaminen). Suosituksen tulisi tukea vähimmäisvaatimusten kokonaisvaltaista toteuttamista organisaation toiminnassa. Tarkasteltaessa kappaletta 1.4 Rajaukset (”tiedonhallintayksikön/organisaation tulee kuitenkin tunnistaa ja ottaa huomioon ne omassa toiminnassaan ja ohjeistuksissaan”):

• esitetyn listauksen täydentäminen
  • INSPIRE-direktiivi (Eurooppalainen paikkatietoinfrastruktuuri - aineistot, hyödyntämisen palvelut, aineistojen ja palveluiden metatiedot, tietojen luovuttaminen/saatavuus/käyttö, koordinointi/seuranta)
  • Avoimen Datan direktiivi - kriittisten tietojen julkaisemisen
  • HVD-tietoaineistot (korkean lisäarvon data-aineistot)

2 Tehtävät ja vastuut

Tietoturvallisuusvastuitten huomioiminen tiedonhallintayksikön tehtäviä ja vastuita määriteltäessä (tehtävien ja tietoaineistoihin kriittisyys, pilvipalvelut huomioiden).

TiHL 1§ tarkoituksena on edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta. Suositus painottaa määrittelyjä näitten osalta ja tarkastelee muita TiHL:ssa määriteltyjä osa-alueita tehtävien ja vastuitten tasolla. Yhteentoimivuutta ei kuitenkaan saavuteta rajautumalla tietojärjestelmiin ja tietoaineistoihin. TiHL:n eduskuntakäsittelyssä hallintovaliokunta kiinnitti erityishuomiota tietoturvajärjestelyihin yhteentoimivuuden toteuttamiseksi (’Tietoturvajärjestelyt on tuotu mukaan tiedonhallinnan yhteentoimivuuden saavuttamiseksi, osana kuvauksia tietoturvallisuus määritykset on sopeutettava omaan toimintaan.’).

Tietoturvallisuuteen liittyvät vastuut eivät ole (kaikissa organisaatioissa) määritelty vastuujako(taulukko) luonteisesti ja on hyvä, että tähän kiinnitetään huomiota.

• tehtävien ja vastuualueiden on oltava eriytettyjä - huomioiden:
  • johtamiskysymys - organisaation resurssointi ja osaaminen
  • kolmansien osapuolien käyttäminen lisää kustannuksia (välittömät/välilliset) - huomioitava kokonaisvaltaisesti toiminnan kautta

2.3 Tietoturvallisuus tiedonhallintamallissa  

Tietoturvallisuuskuvausten osana ja yhteydessä on syytä huomioida

• tiedonhallintamalli (TiHL 5§ mukaisesti tiedot toimintaprosesseista, tietovarannoista, tietoaineistoista, tietojärjestelmistä, tietoturvallisuustoimenpiteistä)
• muutosvaikutusten arviointi

Kuntaliiton arvion mukaan suosituksen tulisi tunnistaa tiedonhallintamalliin sisällytettävien kuvausten suhde organisaation tietoturvahallintakäytäntöihin päällekkäisten kuvausten välttämiseksi (eri asteisilla dokumentaatioilla on eri tasoiset hyväksyntä- sekä katselmointitoimenpiteet).

• hyötynäkökulma - toteutettujen (ja edellytettävien) dokumentaatioitten tulee tukea organisaation toiminnan ja toimintaympäristön kehittämistä
• oleelliset muutokset - toiminnan tasoista vaikuttavuuden arviointia
  • muutosvaikutusten arviointi on prosessi luonteinen (tarkoituksenmukaisuus), tuottaen ’uutta tietoa’ organisaation toiminnasta
  • toimintaprosessien tunnistaminen sekä huomioiminen
    • pilvipalvelupohjaisten ratkaisujen yhteydessä (käyttövaltuushallinta toteutuksineen)
    • ohjelmistopohjaiset toteutukset - keskinäiset riippuvuudet (mm. hyökkäysrajapinnan huomioiminen, AI-toteutukset)

2.5 Riskienhallinta

Tietojen luokittelu (riskipohjaisen arvioinnin kautta) ja organisaation toiminnan ymmärrys (kuvaukset eri osa-alueitten riippuvuuksista) yhdessä antavat hyvän perustan tiedon hallinnalle ja käsittelylle, seurannalle ja valvonnalle. Tarjoten oleellista tietoa:

• tiedolla johtamisen prosesseille ja organisaation ylimmälle johdolle
• tarvittavien resurssien (sisäisten, ulkoisten) käytölle sekä investoinneille

Riskienhallinta on kokonaisuus (organisaatiotasoinen, organisaatiokyvykkyys, jatkuvaa toimintaa). Menettelyt eri organisaatioissa poikkeavat toisistaan (mahdollisesti toimiala tasoisesti). Miten organisaatio käsittelee tietoriskejä? Kuntaliitto pitää hyvänä lähtökohtana dokumentoitua menetelmää ja sen ohjeistamista - organisaatiotasoista lähestymistä.

Tarvittavasta menetelmästä mainitaan esimerkkinä Riskienhallinnan käsikirja valtionhallinnon toimijoille. Käsikirja on tutustumisen arvoinen riskienhallinnan yleisen viitekehyksen, hyvien käytäntöjen kannalta. Käsikirja ei anna valmiita vastauksia riskienhallinnan menettelytavalle. Käsikirja toimii hyvänä lähtökohtana lähestyttäessä asioita oman toiminnan kautta - vertailtaessa omia käytäntöjä (niiden toimivuutta).

Laadukkaan tietoturvallisuusriskien hallinnan kohdalla mainitaan ’ylikorkeat jäännösriskit’. Käsitteellisesti ”hämmentävä” - synnyttää mielikuvaa liiketoiminnallisesti mahdottomien asioitten käsittelystä (’riskien realisoituessa liiketoimintaa ei enää ole’ - kriisienhallinta). Tarkoituksenmukaisempaa toiminnan kannalta olisivat kriittiset asiat (tietojen luokittelun ja kriittisten toimintojen tärkeys), ja niitä koskeva organisaation johdon tietoisuuden lisääminen (tarvittava päätöksenteko - kuinka organisaation tulee toimia, asioitten ohjaus ja vastuu).

2.9 Valvonta 

Riittävä valvonta - organisaation toimintaan, ja sen tukemiseen liittyvien tietoturvallisuuden käytäntöjen seuranta ja hallinta (hyötynäkökulma). Käytäntöjen tulee olla tarkoituksenmukaisia, toimivia ja käytettäviä. Ne toteuttavat niitä asioita mitä varten ne on suunniteltu! Menettelyjen tulee olla jatkuvia sekä huomioida organisaation muuttuva toiminta ja toimintaympäristö

3 Tietoaineistot 

Hyvänä lähtökohtana tietoaineistojen käytettävyydelle/hyödynnettävyydelle on ajantasainen tiedonhallintamalli ja sitä päivittävä muutosvaikutusten arviointi(prosessi). Onkin hyvä kiinnittää huomiota:

• kuvausten toteuttamisen tarkkuuteen - ’lentokorkeuteen’
• tarpeettomien päällekkäisyyksien (kustannusten) välttämiseen 
  • kuntatoimijoiden osalta kuvauksia/dokumentaatiota toteutetaan osittain kolmansien osapuolien toimesta (osana projekti-/hanketyötä)

Kuntatoimijoiden palveluiden toteuttaminen (lakisääteiset tehtävät ohjaavina tekijöinä) luo toiminnan edellyttämiä tietoja/tietoaineistoja. Vahvistaen tietoaineistojen sidosta toimintaympäristöön (missä, miten ja mitä kautta tietojen päivittäminen, hyödynnettävyys ja ylläpito toteutuu?). Palveluiden toteuttaminen edellyttää tietojen jakamista/julkaisemista - julkaisuprosessit. Esimerkkinä tietojen jakamisesta:  

• rakennetun ympäristön toimialue (kaavoitus, rakennusvalvonta, vesihuolto)
  • tietojen luokittelu, kriittisyys - tietojen julkaisu(?), yleinen taso(?)
  • tietoaineistot (tietomassat - koneluettavia, koordinaattipohjaisia)
  • tietoja julkaistaan eri muodoissa (rajapinnat;salaus, avoimena tietona)
  • kaavat ovat julkisia (pdf-muotoisina) - valmisteluaineistot (luokittelu)

4 Tietojärjestelmät 

Tarvittavat tietoturvallisuustoimenpiteet. Ajantasaisten kuvausten/dokumentaation hyödyntäminen (toiminnan kannalta oleellisista järjestelmistä, toimintaympäristöistä). Ennakoiva suunnittelu kehittämisen ja operatiivisen toiminnan osana (mukaan lukien vuoropuhelu palveluntoimittajien/-toteuttajien kanssa). Jatkuvuudenhallinta (sisällyttäen häiriöhallinta/varautuminen) osana organisaation toimintaa ja kehittämistä, sekä siihen liittyvät etukäteistoimenpiteisiin kuuluvat asiat (”Selvittää toiminnan jatkuvuuteen liittyvät oleelliset riskit.”). Suunnitelmallinen lähestyminen on tärkeää alueilla :

• 4.5 Käyttöoikeuksien hallinta(tietojen luokittelu ja käytettävyys/hyödynnettävyys sekä saatavuus, oikeuksien ajantasaisuus ja niiden valvonta/hallinta)
  • esim. pääsynhallinnan huomioiminen vesihuollon järjestelmissä (alihankkijaketjun hallinta ja valvonta)
     
• 4.6 Lokitietojen kerääminen(osoittaminen, todentaminen, käytäntöjen ajantasaisuus; tarkoituksenmukaisuus - tiedon luokittelu perusteisuus)

Liite 1: Kooste tiedonhallintalain tietoturvallisuusvaatimuksista 

”Tiedonhallintayksikön tulee täyttää tietoturvallisuutta koskevat vähimmäisvaatimukset.” Liite 1 kooste rakentuu TiHL 4-luku perusteisesti. Kohdat 1-22:

• kohdista 6. on suoraan kohdistettu tiedonhallintayksikölle (tai sen johdolle)
• kohdista 11. viranomaiselle (tiedonhallintayksikkö on viranomainen)  

Kuntaliitto pitää hyvinä käytäntöinä koosteessa listattuja asioita (Kohdat 1-22) yhdessä Julkri-kriteeristön kanssa arvioituna. Ne edesauttavat kuntatoimijoita kehittämään tietoturvallisuutta kokonaisvaltaisesti osana oman organisaation kehittämistä:

• asettamaan tarvittavia mittareita oman toiminnan turvaamisen osalta (palveluntarjoajat/-tuottajat huomioiden)

Suositus (myös Liite 1) on tiedonhallintalautakunnan laatima sekä omistama, ja siten organisaatioitten näkökulmasta opastava. Kyse on tietoturvallisuuden johtamiseen liittyvistä asioista, ja kuntatoimijoilla on eri lähestymismekanismeja tarvittavaan päätöksentekoon. Tiedonhallintalautakunta ei sisällytä TiHL 4-luvussa määriteltyjä asioita omiin arviointitehtäviinsä. Kenen viranomaisen toimesta ohjausta toteutetaan? - sillä on merkityksensä suositusta hyödyntäville organisaatioille (päällekkäisyydet, normien purkaminen/selkeyttäminen).

• mitkä suositukset/viitekehykset ohjaavat organisaation tiedonhallintaa?
• (ymmärrys) edesauttaa toiminnan edellyttämän päätöksenteon priorisointia
• keskitasoa pienemmät kunnat tarvitsevat selkeää ohjausta (toteutusmalleja)

Vahvistuva säädöspohja vaikuttaa organisaatioitten toimintakulttuuriin. Vaikutukset toimintaan tulee arvioida kokonaisvaltaisesti organisaatiotasolla. Huomioiden:

• muutosten toteuttaminen toimintaa, toimintaympäristöä sekä muissa palveluissa tarvittaviin tietoturvallisuustoimenpiteisiin
• eri toimialoilla on erilaiset muutostarpeet (esim. NIS2-direktiivin jaottelu)
• substanssilla (yksiköillä, toiminnoilla) on erilaiset muutostarpeet

SUOMEN KUNTALIITTO

Markus Pauni                                                   
johtaja, Strategiayksikkö  

Jari Ylikoski
erityisasiantuntija, Strategiayksikkö