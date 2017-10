Valtionhallinnossa on laadittu kybersuojausta ja sähköisten palveluiden toimintavarmuutta ohjaavia strategioita, mutta niiden ohjausteho on heikko, katsoo Valtiontalouden tarkastusvirasto, VTV. Virasto on julkaissut kaksi tarkastusta, Kybersuojauksen järjestäminen ja Sähköisten palvelujen toimintavarmuuden ohjaus.

Nykyinen malli, missä kaikki virastot ja laitokset vastaavat omasta kyberturvallisuudestaan ja toimintavarmuudestaan on VTV:n mukaan riski.

–Mikäli jokin laajavaikutteinen kyberturvallisuusloukkaus toteutuisi, eri ministeriöiden pitäisi neuvotella keskenään vastatoimenpiteiden käynnistämisestä ja priorisoinnista. Tämä on riski, koska kyberturvallisuusloukkaustilanteissa aikaa neuvotteluille ei välttämättä ole, VTV toteaa tiedotteessaan.

Lisäksi VTV huomauttaa, että riskienhallinnan käytännöt vaihtelevat virastokohtaisesti, mikä voi johtaa eritasoisiin ratkaisuihin. Yhtenäistämistä, sen suunnittelua ja ohjausta tulisi tehdä valtiovarainministeriössä, joka on Valtiontalouden tarkastusviraston mukaan asiassa avainroolissa.

–Toimintavarmuutta ja kybersuojausta ohjaavia strategioita on laadittu, mutta niiden ohjausteho on ollut heikko. Toimeenpanon vastuutaho on jäänyt epäselväksi, toimenpiteitä ei ole aikataulutettu eikä niiden toteutumista ole seurattu. Resurssit vaihtelevat paljon virastojen ja laitosten välillä eivätkä ne kaikissa tapauksissa mahdollista strategian toteuttamista.

–Toimintavarmuutta ja kybersuojausta varmistavat ja kehittävät toimenpiteet tulisi suunnitella suhteessa riskiarvioon ja arvioida kustannukset ja hyödyt ennen toteutusta.

VTV katsoo myös, että valtionhallinnon toimialariippumattomia ICT-palveluita tarjoava virasto Valtori ei ole pystynyt tarkoituksenmukaisesti vastaamaan toimintavarmuutta koskeviin asiakasvaatimuksiin. Myös sen asiakkaille on jäänyt epäselväksi toimitettujen palvelujen toimintavarmuuden ja kybersuojauksen taso.

–Valtori toimii valtiovarainministeriön ohjauksessa. Ministeriön tulisi ratkaista toiminnan rahoitusmallin ongelmat kiinnittäen huomiota Valtorin edellytyksiin parantaa kybersuojauksen menettelyjä ja kyberloukkausten havainnoinnin toteutusta, arviointia ja kehittämistä, toteaa VTV.