Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä

Wikipediasta
Siirry navigaatioon Siirry hakuun

Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä (VAHTI)[1], aikaisemmin myös Valtionhallinnon tietoturvallisuuden johtoryhmä ja Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä, on Suomen valtiovarainministeriön asettama hallinnon tietoturvallisuuden kehittämiseen tähtäävä elin.[2]

Suomen valtionhallinto on määritellyt tietoturvan tärkeäksi keinoksi, jonka avulla kansalaiset ja yritykset saadaan luottamaan tietoyhteiskuntaan.[3]

Tietoturvakeskustelua vauhditti Soneran tapaus, jossa yhtiön työntekijöitä jäi kiinni teletunnistetietojen urkinnasta. Uusilla laeilla pyrittiin estämään tapauksen toistuminen. Lisäksi luotiin kansallinen tietoturvastrategia lain soveltamiseksi, kansallisen kilpailukyvyn edistämiseksi ja suomalaisten tieto- ja viestintäalan yritysten toimintamahdollisuuksien parantamiseksi. Kaikki valtionhallinnon toimet eivät olleet tavoitteiden kanssa ristiriidattomia. Valtio tuki samaan aikaan tietoturvan kannalta ongelmallisia suljetun lähdekoodin ohjelmia julkishallinnossa ja kannatti ohjelmistopatentointia, mikä heikensi ohjelmistoyritysten toimintamahdollisuuksia.

VAHTI-tietoturvaohjeet

[muokkaa | muokkaa wikitekstiä]

Valtionhallinnossa on luotu VAHTI-tietoturvaohjeet, joita hyödynnetään valtionhallinnon lisäksi kunnallishallinnossa, elinkeinoelämässä ja kansainvälisessä tietoturvayhteistyössä. VAHTI:n mukaan tietoturvariskin suuruusluokka määräytyy sen mukaan, miten vakava riski on ja kuinka todennäköisenä sen toteutumista pidetään. Tämän luokituksen mukaan esimerkiksi suljetun lähdekoodin ohjelmat aiheuttavat ohjelmavirheineen sietämättömän riskin. Network Associatesin teettämän selvityksen mukaan yritykset menettävät ohjelmavirheiden mahdollistamien virusten takia yhteensä noin 22 miljardia euroa vuosittain. [4] Valtionhallinnon ohjeet edellyttäisivät tällöin, että

  1. näin riskialtista toimintaa ei pitäisi aloittaa
  2. riski on poistettava ja toimenpiteet aloitettava välittömästi
  3. riskialtis toiminta pitää keskeyttää, kunnes riski on poistettu.

Kehittämistoimet

[muokkaa | muokkaa wikitekstiä]

Tietoturvallisuuden kehittämistoimet on jaettu VAHTI:ssa seuraavaan kahdeksaan osa-alueeseen.

Neljä ulointa kerrosta ovat:

  • hallinnollinen tietoturva
  • henkilöstöturvallisuus
  • fyysinen turvallisuus
  • tietoliikenneturvallisuus.

Näiden neljän kerroksen suojaamana ovat sisimpänä:

  • ohjelmistoturvallisuus
  • tietoaineistoturvallisuus
  • käyttöturvallisuus
  • laitteistoturvallisuus.
  1. VAHTI-toiminnan organisointi Valtiovarainministeriö. Arkistoitu 7.4.2019. Viitattu 11.3.2019.
  2. Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI Suomen Valtiovarainministeriö. Viitattu 17.8.2011.
  3. Kansallinen tietoturvallisuusasioiden neuvottelukunnan toimintasuunnitelma. Valtioneuvosto, Helsinki, 16. maaliskuuta 2004.
  4. Karvonen, Tuomas: Viruksista kova hinta eurooppalaisille pienyrityksille (IT-viikon uutinen) 29.3.2004. IT-viikko. Viitattu 1.8.2007. suomi