Julkisen hallinnon tietoturvapuutteiden havaitsemisen kehittäminen

Julkisen hallinnon tietoturvapuutteiden ennalta havaitseminen on tehokas keino estää haavoittuvuuksien hyväksikäyttöä ja näin ehkäistä tietomurtoja. Tietoverkkorikollisuuden kasvu edellyttää tietoturvallisuustoimenpiteiden kehittämistä laaja-alaisesti ja monikerroksellisesti. Tämä tarkoittaa, että on tärkeää jatkuvasti päivittää ja parantaa tietoturvakäytäntöjä sekä hyödyntää uusimpia teknologioita ja menetelmiä. Lisäksi on olennaista kouluttaa henkilöstöä tietoturva-asioissa ja varmistaa, että kaikki organisaation tasot ovat tietoisia mahdollisista uhkista ja osaavat toimia niiden torjumiseksi. Näin voidaan luoda kattava ja tehokas tietoturvajärjestelmä, joka suojaa julkisen hallinnon tietoja ja resursseja.

Valtionvarainministeriö yhteistyössä Liikenne- ja viestintäministeriön kanssa selvittää millä tavoin julkisen hallinnon tietoturvapuutteiden havaitsemista voidaan valtakunnallisesti parantaa ja varmistaa, että julkisilla toimijoilla on riittävät kyvykkyydet tietoturvapuutteiden havaitsemiseen ja korjaamiseen.

Nykymuotoinen Hyöky-palvelu ei ole käytössä laajasti julkisen hallinnon toimijoilla. Tarvitaan kuitenkin tietoturvapuutteiden tunnistamiseen tarkoitettu palvelu, joka on helppokäyttöinen ja että sen käyttöönotto on mahdollista kaikille julkisille organisaatioille. Näin voidaan paran-taa julkisen hallinnon tietoturvaa kokonaisvaltaisesti.

Suositusta edistetään Suomen kyberturvallisuusstrategian (kt-strategia) 2024–2035 toimeenpanosuunnitelman toimenpiteiden tuottamisen kautta. Valtiovarainministeriö on rahoittanut vuosina 2021–2024 Liikenne- ja viestintävirasto Traficomin kehittämää hyökkäyspinnan kartoituspalvelu Hyökyä sekä vakavien tietoturvapuutteiden havainnointi- ja varoitusjärjestelmä Havaroa. Näiden hyödyntäjäksi suunniteltiin erityisesti kuntia ja hyvinvointialueita. Palvelut ovat siirtyneet hankerahoituksesta Traficomin toimintamenojen mukaiseen palvelutuotantoon. Valtiovarainministeriön tietojen mukaan palvelujen kehittäminen jatkuu ja julkinen hallinto on palvelujen tärkeä käyttäjä. Suomen uusi kyberturvallisuusstrategia vuosille 2024–2035 on hyväksytty valtioneuvoston periaatepäätöksenä 10.10.2024. Kyberturvallisuusstrategian hyväksymisen jälkeen on valmisteltu sen toimeenpanosuunnitelma, jossa määritellään kehittämistoimet strategian tavoitteiden saa-vuttamiseksi. Toimenpiteestä 4.4. Turvataan kansallinen havainnointikyky (HAVARO) vastaavat liikenne- ja viestintäministeriö yhdessä Liikenne- ja viestintävirasto Traficomin ja Huolto-varmuuskeskuksen kanssa. Toimenpiteestä 3.7. Julkinen sektori yhdessä yksityisen sektorin kanssa kehittää ja tarjoaa keskitettyjä kyberturvallisuuspalveluja vastaavat liikenne- ja viestin-täministeriö ja valtiovarainministeriö yhdessä Huoltovarmuuskeskuksen, Liikenne- ja viestintävirasto Traficomin, Digi- ja väestötietoviraston, julkisen hallinnon ICT-yhtiöiden, yksityisen sektorin ja muun julkisen hallinnon kanssa. Valtiovarainministeriössä on suunniteltu suosituksen 2025-S5 tarkastelua yhteistoiminnassa liikenne- ja viestintäministeriön sekä Liikenne- ja viestintävirasto Traficomin kanssa osana toimenpidettä 3.7. Toimenpiteen yhtenä tavoitteena on varmistaa Traficomin Kyberturvallisuuskeskuksen tuottamien palveluiden jatkuvuus ja laajentaa palveluiden, kuten Kybermittarin ja Hyökyn käyttöä laajemmille kohderyhmille. Tästä tavoitteesta vastaa liikenne- ja viestintäministeriö ja valtiovarainministeriö seuraa tavoitteen toteutumista osallistumalla kyberturvallisuusstrategian toimeenpanon seurantaryhmän työskentelyyn. Nykyisten palvelujen parantamiseen ja laajentamiseen vaikuttavat julkisen talouden suunnitelman ja talousarvion mukaiset, käytettävissä olevat resurssit. Valtiotalouden taloustilanne huomioiden tietoturvapuutteiden tunnistamiseen tarkoitettua palvelua ei ole nykyresurssein mahdollista keskitetysti rahoittaa kaikille julkisen hallinnon organisaatioille. Mikäli lisäresursseja voidaan myöntää, niin toimenpiteitä voidaan edistää laajemmin.