Vi säkerställer verksamhetens kontinuitet
Ansvarsmål: Vi säkerställer kontinuiteten i Valtoris verksamhet i alla säkerhetssituationer
Uppfyllandet av säkerhetskraven och säkerställandet av verksamhetens kontinuitet är varaktiga verksamhetsprinciper för Valtori, såväl vid störningar under normalförhållanden som under undantagsförhållanden.
Förändringarna i verksamhetsmiljön till följd av säkerhetsläget, särskilt på grund av Rysslands anfallskrig i Ukraina, påverkade tyngdpunktsområdena för utvecklingen av Valtoris övergripande säkerhet. Bland annat Finlands NATO-medlemskap, tryggandet av tillräcklig energi- och elförsörjning samt den skärpta cyberhotsituationen har haft förändringseffekter på verksamheten.
Nya informationssäkerhetstjänster för kunderna
Vi fortsatte att produktifiera informationssäkerhetstjänsterna och att utveckla övervaknings- och observationsförmågan inom ramen för programmet för utveckling av säkerheten hos gemensamma tjänster (PATO-programmet).
Programmet syftar till att utvidga övervaknings- och reaktionsförmågan till nationell toppnivå samt att skapa en heltäckande lägesbildsrapportering. Programmet förbättrar också cybersäkerhetsförmågan samt minskar gränssnittet mellan hotvektorer och cyberattacker. Produktifieringarna inom informationssäkerheten stärker bland annat övervakningslösningar och observationsförmågan. Heltäckande utveckling av informationssäkerheten sker bland annat i Terminal- och serverskyddstjänsterna, Molnets informationssäkerhetstjänster och Nätverkets informationssäkerhetstjänster. I fråga om säkerhetsrelaterade produktifieringar utvecklas och verifieras verksamheten i enlighet med standarden ISO 27001.
PATO-programmets viktigaste resultat under 2023 är flera moderna informationssäkerhetstjänster med vilka bland annat övervakningslösningar och observationsförmågan kan stärkas. Nya tjänster produktifierades bland annat för Nätverkets informationssäkerhetstjänster (Nätverksskydd WAAP), Molnets informationssäkerhetstjänster (Molnskydd ZTNA) och Terminal- och serverskyddstjänster (Mobilskydd Moln).
Du kan bekanta dig närmare med de nya tjänsterna i artikeln på vår webbplats på finska: Turvaa pilvestä – uusilla tietoturvapalveluilla sujuvuutta päätetyöskentelyyn
Satsning på störningsfria tjänster
Ett av Valtoris viktigaste mål är att tjänsterna ska vara störningsfria. Antalet omfattande störningar ökade något 2023, men å andra sidan uppnåddes en god nivå vad gäller tiden att avhjälpa störningarna, där den målsatta tiden underskreds. Satsningar gjordes på störningshantering och tillhörande störningsinformation samt samarbete mellan olika team. Detta arbete fortsätter.
Ett centralt utvecklingsobjekt är att utveckla mätningen av effekterna av omfattande störningar (inkl. förlorad arbetstid). Hanteringen av störningssituationer, återhämtningen från störningar och återgången till normaltillståndet genomförs vid Valtori systematiskt och kontrollerat med hjälp av på förhand utarbetade kontinuitets- och återhämtningsplaner samt de förfaranden som fastställts i dessa.
Säkerställandet av kontinuiteten i Valtoris verksamhet
Under 2023 utfördes en granskning av beredskapen inom finansministeriets förvaltningsområde. Samtidigt granskades Valtoris beredskapssituation. Om revisionen utarbetades en säkerhetsklassificerad rapport som ger ett bra underlag för vidareutveckling av beredskapen.
Valtoris beredskapspolicy uppdaterades och godkändes i slutet av 2023. I samband med uppdateringen preciserades ansvaren, arrangemangen och begreppen inom beredskapen. Likaså utfärdades anvisningar om beredskapsplanering och lagring av material för att få enhetligare utbyte som är enklare att rapportera. Samtidigt utarbetades en lägesbild av beredskapen som ger grundläggande information om beredskapen. Lägesbilden och anvisningarna kommer att utvecklas under 2024.
Valtori deltog under året i flera övningar, planeringsmöten och arbetsgrupper (bl.a. den nationella cyberförsvarsövningen) tillsammans med andra säkerhetsmyndigheter och aktörer inom statsförvaltningen. År 2023 ordnade vi dessutom nio säkerhetsutbildningar (Säkerhetskliniker) för alla Valtorianställda. Utbildningarna hade växlande teman, bland annat Valtoris beredskapspolicy, verifiering av Valtoris tjänster och dataskyddet i upphandlingar.
Under fjolåret klassificerades Valtoris lokaler i olika kategorier utifrån användningen. Syftet med klassificeringen är att säkerställa en ändamålsenlig användbarhet av lokalerna i alla säkerhetssituationer. Under 2023 genomfördes vid Valtori granskningar av den fysiska säkerheten i två lokaler. Vid granskningarna framkom inga allvarliga brister.
Säkerställandet av tjänsternas överensstämmelse med kraven
Den formbundna verksamhetsmodellen för verifiering av informationssäkerheten som en del av processen för ibruktagande av tjänsterna fortsatte 2023. Av tjänsterna inom serviceområdet Tori har 68 procent och inom serviceområdet Tuve 84 procent verifierats. Vid upptäckt av avvikelser i verifieringen vidtogs nödvändiga riskreducerande åtgärder och/eller genomfördes kompenserande säkerhetsmekanismer.
Med dataskyddsverksamheten stödde vi tjänsternas överensstämmelse med kraven genom att genomföra bedömningar av tjänster som innehåller personuppgifter samt genom att delta till exempel i nationella projekt som främjar nyttjandet av molntjänster.
Uppföljningsutvärderingen av certifieringen av systemet för hantering av den övergripande säkerheten genomfördes i november 2023 av KPMG IT Sertifiointi Oy. Uppföljningsutvärderingen är en del av Valtoris årliga utvärdering som krävs för certifieringen av systemet för övergripande säkerhet enligt standard ISO 27001. Certifieringen omfattar de kommunikationstekniska tjänster och terminaltjänster som ingår i Valtoris säkerhetsnätstjänster samt Valtoris informationssäkerhetstjänster jämte väsentliga stödfunktioner, såsom ledning samt ekonomi- och personalförvaltning. I utvärderingen observerades fem avvikelser på låg nivå. Valtori har levererat korrigerande åtgärder för avvikelserna, som KPMG har konstaterat vara tillräckliga.
Experter på informationssäkerhetstjänster från Valtori Akademi
Praktikantprogrammet Valtori Akademi ordnades 2023 för femte gången och denna gång låg fokus på säkerhet och säkerhetsnätverket.
Under programmets gång bekantade sig gruppen om 38 personer som antagits till programmet med uppgifter i anslutning till bland annat informationssäkerhet, cyberövervakning, datakommunikation samt datorhall och servrar.
Framstegsindikatorer
SLA för stödbegäran (%)
Utfall 2023: 95,6
Utfall 2022: 96,0
Utfall 2021: 93,1
Antal omfattande störningar (st./mån.)
Utfall 2023: 3,0
Utfall 2022: 4,1
Utfall 2021: 3,9
De produktifierade tjänsternas överensstämmelse med kraven har verifierats av externa bedömningsorgan (%)
Måluppfyllelsen inom verifiering av tjänsternas informationssäkerhetskrav har utmanats av tillgången på auditeringsresurser.
Utfall 2023: 76
Utfall 2022: 63
Utfall 2021: 53,5
Fallexempel
Ibruktagande av förvaltningsmodellen Tori. Syftet med förvaltningsmodellen är att säkerställa kundernas deltagande i utvecklingen av gemensamma tjänster samt Tori-verksamhetsmiljöns kvalitet och informationssäkerhet. Aktörerna inom förvaltningsmodellen Tori etablerade sin verksamhet efter uppstartsfasen och Valtori stöder och bereder aktörernas verksamhet i enlighet med förvaltningsmodellen . I Valtori har överföringen av förvaltningsmodellens funktioner till det så kallade produktionsskedet huvudsakligen genomförts.
EU-R-godkännande för Tuve-servicemiljön. Vi fortsatte bedömningen av Tuve-tjänsternas överensstämmelse med kraven som inleddes året innan med målet att få EU-R-godkännande för de centrala Tuve-tjänsterna.
FN:s mål 9 Bygga motståndskraftig infrastruktur, verka för en inkluderande och hållbar industrialisering samt främja innovation.
Delmål 9.1 Bygga ut tillförlitlig, hållbar och motståndskraftig infrastruktur av hög kvalitet, inklusive regional och gränsöverskridande infrastruktur, för att stödja ekonomisk utveckling och människors välbefinnande, med fokus på ekonomiskt överkomlig och rättvis tillgång för alla.