– Ohjaustoimet ovat pitkälti kohdistuneet yksittäisiin virastoihin, mutta tarve ohjata kokonaisuuksia kasvaa jatkuvasti. Myös riskienhallinnassa on ollut epäyhtenäisyyttä virastojen välillä. Keskitettyjen ict-palvelujen toiminnassa ja rahoitusmallissa on ongelmia, joilla on vaikutusta myös valtionhallinnon palvelujen toimintavarmuuden ja kybersuojauksen tilaan, VTV toteaa.
Tarkastusvirasto on julkaissut kaksi tarkastusta, Kybersuojauksen järjestäminen ja Sähköisten palvelujen toimintavarmuuden ohjaus.
VTV toteaa, että toimintavarmuutta ja kybersuojausta ohjaavia strategioita on laadittu, mutta niiden ohjausteho on ollut heikko.
– Niin ikään toimeenpanon vastuutaho on jäänyt epäselväksi, toimenpiteitä ei ole aikataulutettu eikä niiden toteutumista ole seurattu, virasto moittii.
VTV toteaa myös, että resurssit vaihtelevat paljon virastojen ja laitosten välillä eivätkä ne kaikissa tapauksissa mahdollista strategian toteuttamista.
– Resurssitilanne tulisi selkeyttää siten, että kyberturvallisuuden ja toimintavarmuuden strategisten tavoitteiden saavuttaminen olisi mahdollista kaikilla hallinnonaloilla.
Myös riskienhallinnan käytännöt vaihtelevat virastokohtaisesti.
– Yhdenmukaisuuden puute riskienhallinnassa voi johtaa eritasoisiin ratkaisuihin kybersuojauksen ja toimintavarmuuden järjestämisessä. Riskienhallinnan käytäntöjen yhtenäistämistä tulisikin jatkaa, VTV toteaa.
– Toimintavarmuutta ja kybersuojausta varmistavat ja kehittävät toimenpiteet tulisi suunnitella suhteessa riskiarvioon ja arvioida kustannukset ja hyödyt ennen toteutusta. Avainroolissa on valtiovarainministeriö, joka voi suunnitella ja ohjeistaa, miten riskienhallinnan käytännöt viedään hallinnonala- ja valtiotasolle erilaiset käyttötarpeet huomioiden.
Nykyisessä toimintamallissa jokainen virasto ja laitos vastaavat omasta kybersuojauksestaan ja toimintavarmuudestaan. Mikäli jokin laajavaikutteinen kyberturvallisuusloukkaus toteutuisi, eri ministeriöiden pitäisi neuvotella keskenään vastatoimenpiteiden käynnistämisestä ja priorisoinnista. Tämä on Valtiontalouden tarkastusviraston mukaan riski, koska kyberturvallisuusloukkaustilanteissa aikaa neuvotteluille ei välttämättä ole.
– Valtioneuvoston tulisi määritellä johtaminen tilanteessa, jossa kyberloukkaustilanne koskettaa useita hallinnonaloja, VTV opastaa.
Kybersuojaus ei ole kaikin osin tavoitellulla tasolla
Viraston mukaan Valtion tieto- ja viestintätekniikkakeskus Valtorin palvelutarjonta on jäänyt suppeaksi eikä palveluiden kehittäminen ole edennyt suunnitellusti.
– Valtori ei ole pystynyt tarkoituksenmukaisesti vastaamaan toimintavarmuutta koskeviin asiakasvaatimuksiin. Asiakkaille on myös jäänyt epäselväksi Valtorin kautta hankittujen palvelujen toimintavarmuuden ja kybersuojauksen taso.
VTV:n mukaan ministeriön tulisi ratkaista toiminnan rahoitusmallin ongelmat kiinnittäen huomiota Valtorin edellytyksiin parantaa kybersuojauksen menettelyjä ja kyberloukkausten havainnoinnin toteutusta, arviointia ja kehittämistä.
Valtori toimii valtiovarainministeriön ohjauksessa. Se on virasto, joka tuottaa valtionhallinnon toimialariippumattomia ict-palveluja. Valtori perustettiin 2014 ja sen toimintamenot olivat viime vuonna 128,8 miljoonaa euroa.
