Vastuullisuus­tavoitteemme: Varmistamme Valtorin toiminnan jatkuvuuden kaikissa turvallisuustilanteissa

Valtorin toiminnan tärkein painopiste on asiakasorganisaatioidemme toiminnan jatkuvuuden varmistaminen. Turvallisuusvaatimusten täyttyminen ja palveluiden vaatimustenmukaisuuden varmistaminen ovat lisäksi Valtorin toiminnan pysyviä periaatteita.

Vuosi 2022 oli poikkeuksellinen vuosi toimintaympäristön muutosten vuoksi. Yhä jatkuva koronapandemia, kansainvälinen turvallisuustilanne, uhkakentän muuttuminen, kybertilannekuvan hallinta ja ennustettu sähköpula vaikuttivat kokonaisturvallisuuden kehittämisen painotuksiin.

Toimintaympäristön muutosten takia perustimme uuden Turvallisuus-tulosyksikön. Jatkoimme tietoturvapalveluiden tuotteistuksia sekä valvonta- ja havainnointikyvykkyyden kehittämistä. Toiminnan tueksi saimme merkittävää monivuotista lisärahoitusta.

KPMG:n IT-sertifiointi toteutti Valtorille ISO 27001-sertifikaatin mukaisen kokonaisturvallisuuden hallintajärjestelmän seuranta-arvioinnin marraskuussa. Valtori suoriutui arvioinnista hyvin ja sertifikaattia jatkettiin.

Merkittävimmät alatavoitteet

1) Palveluiden jatkuvuudenhallinnan varmistaminen

Häiriötilanteiden hallinta, häiriöistä toipuminen sekä palautuminen normaalitilaan toteutetaan Valtorissa suunnitelmallisesti ja hallitusti, hyödyntäen ennalta laadittuja jatkuvuus- ja toipumissuunnitelmia sekä niissä määritettyjä toimintatapoja.

Huolehdimme toimintamme sekä vastuullamme olevan kriittisen infrastruktuurin jatkuvuuden turvaamisesta ja varautumisesta. Huolehdimme yhteistyössä toimintaamme ohjaavan valtiovarainministeriön kanssa YTS (yhteiskunnan turvallisuusstrategia) -tehtävien mukaisesta varautumisesta ja tarvittavasta yhteistyöstä.

Vuonna 2022 kykenimme varmistamaan tuottamiemme palvelujen ja asiakkaiden toiminnan jatkuvuuden kansainvälisen turvallisuustilanteen kiristyttyäkin.
Vuonna 2022 kartoitimme energiamarkkinoiden häiriötilanteeseen liittyen, miten mahdolliset sähkötuotannon häiriöt vaikuttavat valtionhallinnon yhteisten ICT-palvelujen toimintavarmuuteen. Oman ydintoimintaa ylläpitävien ja laajempien linjojen lisäksi jaoimme asiakkaille käytännön vinkkejä sähkökatkoksiin varautumista varten, hankimme varavirtalähteitä valtorilaisten käyttöön ja teimme sähkökatkotestejä toimipisteissämme.

Vuonna 2023 seuraamme edelleen kansainvälistä turvallisuustilannetta, koronapandemian kehittymistä ja etenevää Nato-jäsenyysprosessia, joka on tuottanut kysymyksiä kansainvälisen tiedon käsittelystä. Valmistaudumme osaltamme Nato-jäsenyyden myötä tuleviin asiakastarpeisiin.

2) Palveluiden vaatimustenmukaisuuden varmistaminen

Valtorin palveluiden on täytettävä lainsäädännöstä ja muista lähteistä nousevat tietoturvan, tietosuojan ja varautumisen vaatimukset. Niiden soveltaminen perustuu riskienhallintaan.

Vaatimuksenmukaisuutta arvioidaan soveltuvien auditointikriteerien, esimerkiksi PiTuKrin ja Katakrin avulla. Näin edistetään koko toimintaympäristömme sietokykyä uhkia vastaan ja tuetaan perusoikeuksia, kuten henkilötietojen suojaa.
Vuonna 2022 useiden palveluidemme tietoturvallisuuden taso todennettiin. Huomioimme tietoturvavaatimukset hankinnoissa ja seurasimme turvallisuuden tilaa palveluiden elinkaaressa.

Vuonna 2022 käsitellessämme henkilötietoja rekisterinpitäjänä teimme palveluille tietosuojan vaikutustenarviointeja (DPIA). Kansainvälisten tiedonsiirtojen vaikutuksia rekisteröidyille arvioimme erityisesti pilvipalveluissa. Päivitimme tietosuojan riskityökalun, kuvasimme henkilötietovirtoja ja toteutimme velvollisuuksiamme henkilötietojen käsittelijänä. Osallistuimme myös kansallisiin pilvipalveluiden hyödyntämistä edistäviin hankkeisiin.

3) Tietoturvallisuusuhkien havainnointi- ja reagointikyvykkyydestä huolehtiminen

Aiemmin aloitettu tietoturva- ja kyberturvallisuuspalveluiden kehittämisohjelma jatkuu. Ohjelmassa parannetaan pilviympäristön havainnointi- ja reagointikyvykkyyttä.

Vuonna 2022 tuotteistimme lokienhallintapalvelun asiakkaillemme. Vaatimuksenmukainen ja automatisoitu palvelu auttaa havaitsemaan uhkia tehokkaasti.

Palveluiden käyttäjien työasemille ja mobiililaitteisiin tarkoitetut palvelut tehostavat havainnointi- ja reagointikyvykkyyttä. Vuonna 2023 asiakkaiden käyttöön tuodaan tietoturvauhkien havaitsemisen Valvontapalvelu SOC ja tukea tarjotaan myös tietojenkalastelun tunnistamiseen.

Osallistumme vuosittain useisiin valtionhallinnon yhteisiin tietoturva- ja tietosuojaharjoituksiin, kuten Kansalliseen kyberturvallisuusharjoitukseen (KYHA) . KYHAssa käytetään erinomaisesti valmisteltua harjoitusympäristöä, jossa eri viranomaiset ja toimijat voivat harjoitella yhteisesti suunnitelluissa ja valmistelluissa tilanteissa.

Luottamus henkilöihin on tärkeä osa valtionhallinnon tietoturvallisuuden hallintaa. Valtori tekee perusmuotoisen turvallisuusselvityksen omasta henkilöstöstään, toimittajistaan, tilankäyttäjistään ja lähtökohtaisesti kaikista, joilla on oikeus Valtorin hallitsemiin tietoihin tai tiloihin. Kattavalla henkilöturvallisuusselvitysmenettelyllä varmistumme nuhteettomuudesta ja luotettavuudesta sekä käytettävyydestä turvallisuuskriittistenkin hankkeiden ja palveluiden tuotannossa.

Ohjeistamme ja muistutamme kaikkia palveluidemme käyttäjiä niiden tietoturvallisesta käytöstä. Vuonna 2022 toteutimme Digiturva- ja energiasäästöviikon innoittamana myös leikkimielisen Testaa taitosi digiturva- ja energiansäästöasioista -itsearviointikyselyn

Jokaisella valtorilaisella on velvollisuus ilmoittaa havaitsemistaan tietoturvapoikkeamista tai niiden epäilyistä. Vuonna 2022 kaikkien valtorilaisten oli suoritettava uudistettu tietoturvakurssi, joka on osa Valtorin kokonaisturvallisuuden hallintaa. Valtorilaisten tietoturva- ja tietosuojaosaamista ylläpidämme myös sisäisten uutisten ja henkilöstölle suunnattujen säännöllisten turvallisuusklinikoiden avulla.

Edistymisen mittarit

1) Tuotteistettujen palveluiden jatkuvuus- ja toipumissuunnitelmien ajantasaisuus

Toteuma 2022: Varmistimme keskeisimpien Tori-palveluiden osalta suunnitelmien ajantasaisuuden tietoturvan vuosikellon mukaisesti.

2) Tuotteistettujen palveluiden vaatimustenmukaisuus todennettu ulkoisten arviointilaitosten toimesta (%)

Tuotteistettujen palveluiden vaatimustenmukaisuus vuonna 2021 oli 53,5%. Vuonna 2022 vaatimustenmukaisuus oli todennettu 63%:lla Valtorin tuotteistetuista palveluista.
Kuva: Tuotteistettujen palveluiden vaatimustenmukaisuus todennettu ulkoisten arviointilaitosten toimesta (%) 2021–2022 (kuvalähde: Valtori)

3) Tietoturvaosaamisen ylläpitäminen

Toteuma 2022: uudistuneen tietoturvakurssin suoritti 1235 henkilöä eli yli 90 % valtorilaisista.

Tapausesimerkit

Asiakkaille tuotettiin useita uusia tietoturvapalveluita, kuten Valvontapalvelu NOC, Valvontapalvelu SOC, pilvihallitut loppukäyttäjän tietoturvapalvelut ja lokienhallintapalvelu. Uudistettu tietoturvapalveluiden kokonaisuus kattaa tehokkaasti Valtorin ja sen asiakkaiden erilaiset tarpeet.

Valtorin kokonaisturvallisuuden hallintajärjestelmälle toteutettiin onnistuneesti ISO 27001 -standardin mukainen seuranta-arviointi. Sertifikaatti on osoitus Valtorin turvallisuuskulttuurin jatkuvasta, suunnitelmallisesta ja kokonaisvaltaisesta kehityksestä. Se todentaa tietoturvallisuuden hallinnan hyvän kypsyystason.