Varmistamme toiminnan jatkuvuuden

Vastuullisuustavoite: Varmistamme Valtorin toiminnan jatkuvuuden kaikissa turvallisuustilanteissa

Turvallisuusvaatimusten täyttäminen ja toiminnan jatkuvuuden varmistaminen ovat Valtorin toiminnan pysyviä periaatteita niin normaaliolojen häiriötilanteissa kuin poikkeusoloissa. 

Toimintaympäristön muutokset turvallisuustilanteessa johtuen erityisesti Venäjän hyökkäyssodasta Ukrainassa vaikuttivat Valtorin kokonaisturvallisuuden kehittämisen painopisteisiin. Muutosvaikutuksia toimintaan ovat tuoneet muun muassa Suomen NATO-jäsenyys, energian ja sähkönsyötön riittävyyden turvaaminen sekä kiristynyt kyberuhkatilanne. 

Uusia tietoturvapalveluja asiakkaiden käyttöön

Jatkoimme tietoturvapalveluiden tuotteistuksia sekä valvonta- ja havainnointikyvykkyyden kehittämistä osana Yhteisten palveluiden turvallisuuden kehittämisohjelmaa (PATO-ohjelma).

Ohjelman tavoitteena on laajentaa valvonta- ja reagointikyvykkyyttä kansalliselle kärkitasolle sekä luoda kattava tilannekuvaraportointi. Ohjelma myös parantaa kyberturvallisuuskyvykkyyksiä sekä pienentää uhkavektorien ja kyberhyökkäysten rajapintaa. Tietoturvatuotteistuksilla vahvistetaan mm. valvontaratkaisuja ja havainnointikyvykkyyksiä. Tietoturvan kehittämistä tehdään kattavasti Päätelaite- ja palvelinsuojapalveluihin, Pilven tietoturvapalveluihin ja Verkon tietoturvapalveluihin. Turvallisuuteen liittyvissä tuotteistuksissa toimintaa kehitetään ja todennetaan ISO 27001 standardoinnin mukaisesti.

PATO (ValSec) -ohjelmassa tuotteistettavia tietoturvapalveluja.

Kuva: PATO (ValSec) -ohjelmassa tuotteistettavia tietoturvapalveluja.

PATO-ohjelman vuoden 2023 merkittävimpinä tuotoksina ovat useat ajanmukaiset tietoturvapalvelut, joilla pystytään vahvistamaan muun muassa valvontaratkaisuja ja havainnointikyvykkyyksiä. Uusia palveluja tuotteistettiin muun muassa Verkon tietoturvapalveluihin (Verkkosuoja WAAP), Pilven tietoturvapalveluihin (Pilviturva ZTNA) ja Päätelaite- ja palvelinsuojapalveluihin (Mobiilisuoja Pilvi). 

Voit tutustua tarkemmin uusiin palveluihin verkkosivuillamme.

Panostus palvelujen häiriöttömyyteen

Palveluiden häiriöttömyys on yksi Valtorin keskeisimmistä tavoitteista. Laajavaikutteisten häiriöiden määrä oli lievässä kasvussa vuonna 2023, mutta toisaalta häiriöiden ratkaisuajoissa päästiin hyvälle tasolle ja alitettiin tavoite. Häiriöhallintaan ja siihen liittyvään häiriötiedottamiseen sekä yhteistyöhön eri tiimien välillä panostettiin ja työtä jatketaan. 

Yhtenä keskeisenä kehityskohteena on laajavaikutteisten häiriöiden vaikutusten mittaamisen (mukaan lukien menetetty työaika) kehittäminen. Häiriötilanteiden hallinta, häiriöistä toipuminen sekä palautuminen normaalitilaan toteutetaan Valtorissa suunnitelmallisesti ja hallitusti, hyödyntäen ennalta laadittuja jatkuvuus- ja toipumissuunnitelmia sekä niissä määritettyjä toimintatapoja.

Valtorin toiminnan jatkuvuuden varmistaminen

Vuoden 2023 aikana suoritettiin valtiovarainministeriön hallinnonalan varautumisen tarkastus. Samassa yhteydessä tarkasteltiin Valtorin varautumisen tilannetta. Tarkastuksesta laadittiin turvaluokiteltu raportti, joka antaa hyvät perusteet varautumisen jatkokehittämiselle.

Valtorin varautumispolitiikka päivitettiin ja hyväksyttiin käyttöön vuoden 2023 lopulla. Päivityksen yhteydessä tarkennettiin varautumisen vastuita ja järjestelyitä sekä käsitteistöä. Vastaavasti varautumisen suunnittelua ja aineiston tallentamista ohjeistettiin, jotta saadaan yhtenäisempää ja helpommin raportoitavaa tuotosta. Samassa yhteydessä laadittiin varautumisen tilannekuva, jonka perusteella tiedetään perustiedot varautumisen osalta. Tilannekuvaa ja ohjeistusta kehitetään vuoden 2024 puolella. 

Valtori osallistui useisiin harjoituksiin, suunnittelutilaisuuksiin sekä työryhmiin vuoden aikana (muun muassa Kansallinen kyberpuolustusharjoitus) muiden turvallisuusviranomaisten ja valtionhallinnon toimijoiden kanssa. Lisäksi järjestimme vuonna 2023 yhdeksän turvallisuuskoulutusta (Turvallisuusklinikat) kaikille valtorilaisille. Koulutusten vaihtuvina teemoina olivat muun muassa Valtorin varautumispolitiikka, Valtorin palveluiden todentaminen ja hankintojen tietosuoja. 

Edellisen vuoden aikana luokiteltiin Valtorin toimitilat käytön perusteella eri kategorioihin. Luokittelun tarkoituksena on varmistaa toimitilojen tarkoituksenmukainen käytettävyys kaikissa turvallisuustilanteissa. Vuoden 2023 aikana Valtorissa toteutettiin fyysisen turvallisuuden katselmointeja kahteen toimitilaan. Katselmoinneissa ei tullut esille vakavia puutteita.

Palveluiden vaatimuksenmukaisuuden varmistaminen 

Määrämuotoista toimintamallia tietoturvallisuuden todentamiselle, osana palveluiden käyttöönottoprosessia, jatkettiin vuonna 2023. Tori-palvelualueen palveluiden todentamisprosentti oli 68 % ja vastaavasti Tuve-palvelualueen 84 %. Todentamisissa havaittujen poikkeamien osalta suoritettiin tarpeellisia riskejä pienentäviä toimia ja/tai toteutettiin kompensoivia turvamekanismeja. 

Tietosuojatoiminnalla tuettiin palveluiden vaatimustenmukaisuutta toteuttamalla arviointeja henkilötietoa sisältäviin palveluihin sekä osallistumalla esimerkiksi kansallisiin pilvipalveluiden hyödyntämistä edistäviin hankkeisiin. 

Kokonaisturvallisuuden hallintajärjestelmän sertifioinnin seuranta-arviointi toteutettiin marraskuussa 2023 KPMG IT Sertifiointi Oy:n toimesta. Seuranta-arviointi on osa Valtorin, ISO27001-standardin mukaisen kokonaisuusturvallisuuden hallintajärjestelmän sertifioinnin edellyttämää vuosiarviointia. Sertifiointi kattaa Valtorin tuottamien turvallisuusverkkopalveluiden viestintätekniset- ja päätelaitepalvelut sekä Valtorin tietoturvapalvelut oleellisine tukitoimintoineen kuten johdon sekä talous- ja henkilöstöhallinnon. Arvioinnissa havaittiin viisi vähäisen tason poikkeamaa. Valtori on toimittanut poikkeamiin korjaustoimenpiteet, jotka on KPMG:n toimesta todennut riittäviksi. 

Valtori Akatemiasta asiantuntijoita tietoturvapalveluihin

Vuonna 2023 viidettä kertaa järjestetty Valtori akatemia -harjoittelijaohjelma painottui tällä kertaa turvallisuuteen ja turvallisuusverkkoon

Ohjelmaan valikoituneet 38 henkilöä perehtyivät ohjelman aikana muun muassa tietoturvaan, kybervalvontaan, tietoliikenteeseen sekä konesaliin ja palvelimiin liittyviin tehtäviin.  

Edistymisen mittarit

Tukipyyntöjen SLA (%):
Toteuma 2023: 95,6
Toteuma 2022: 96,0
Toteuma 2021: 93,1

Laajavaikutteisten häiriöiden määrä (kpl/kk):
Toteuma 2023: 3,0
Toteuma 2022: 4,1
Toteuma 2021: 3,9

Tuotteistettujen palveluiden vaatimustenmukaisuus todennettu ulkoisten arviointilaitosten toimesta (%):
Palvelujen tietoturvavaatimusten todentamisen tavoitteiden saavuttamista on haastanut auditointiresurssien saatavuus.
Toteuma 2023: 76 
Toteuma 2022: 63
Toteuma 2021: 53,5 

Tapausesimerkit

Tori-hallintamallin käyttöönotto. Hallintamallin tarkoituksena on varmistaa asiakkaiden osallistuminen yhteisten palveluiden kehittämiseen ja Tori-toimintaympäristön laatu ja tietoturvallisuus. Tori-hallintamallin toimijat vakiinnuttivat toimintansa käynnistysvaiheen jälkeen ja Valtori tukee sekä valmistelee toimijoiden toimintaa hallintamallin mukaisesti. Hallintamallin toimintojen siirto ns. tuotantovaiheeseen on Valtorissa pääosin toteutunut. 

EU-R hyväksyntä Tuve-palveluympäristölle. Jatkoimme edellisvuonna aloitettua Tuve-palvelujen vaatimuksenmukaisuuden arviointia, tavoitteena saavuttaa EU-R hyväksyntä keskeisille Tuve-palveluille.