1 / 19

Oikeus tietoturvallisuuteen vai informaatioähkyinen valvontavaltio

Oikeus tietoturvallisuuteen vai informaatioähkyinen valvontavaltio. Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV 19.11.2009. Valtiontalouden tarkastusvirasto tarkastaa myös tietoturvallisuutta.

teagan-poole
Download Presentation

Oikeus tietoturvallisuuteen vai informaatioähkyinen valvontavaltio

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Oikeus tietoturvallisuuteen vai informaatioähkyinen valvontavaltio Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV 19.11.2009

  2. Valtiontalouden tarkastusvirasto tarkastaa myös tietoturvallisuutta • Valtiontalouden tarkastusvirasto perustuslaissa säädettyjä ylimpiä valvontaviranomaisia. Perustuslain 90 §:n nojalla ylin kansallinen tarkastusviranomainen • Eduskunnan yhteydessä oleva, riippumaton viranomainen • Valtion taloudenhoidon ja talousarvion noudattamisen tarkastus. • Vaali- ja puoluerahoituksen laillisuusvalvonta • Edistää ja varmistaa luottamusta kansanvallan ja oikeusvaltion periaatteiden toteutumiseen julkisessa päätöksenteossa ja toiminnassa • Turvaa eduskunnan lainsäädäntö- ja finanssivaltaa sekä niihin kuuluvaa valvontavaltaa • Suorittaa tilintarkastusta ja muuta laillisuustarkastusta sekä tuloksellisuustarkastusta sekä näitä yhdistävää tarkastusta • Tietojärjestelmät ja tietoturvallisuus sekä informaatiohallinto laajenevasti tärkeänä tarkastuskohteena

  3. Tietojärjestelmät ja tietoturvallisuus ylimmän ulkoisen tarkastuksen kohteena • Yhdysvaltain tarkastusvirasto Government Accountability Office GAO laajasti mukana tietojärjestelmien ja tietoturvallisuuden testauksessa • yksi johtavia tietoturvallisuus- ja arviointiorganisaatioita • Ylimpien tarkastusviranomaisen kansainvälisen järjestön INTOSAI:n ja sen Euroopan maanosajärjestön EUROSAI:n IT Working Group • laaja kansainvälinen vertailukehittäminen ja tarkastus- ja arviointityökalujen kehittäminen • Suomen VTV painottaa lisääntyvästi IT –järjestelmien ja tietoturvallisuuden sekä verkkoyhteiskuntakehityksen tarkastusta • Tilintarkastuksessa IT –järjestelmätarkastus • Tuloksellisuustarkastuksessa tieto- ja verkkoyhteiskuntakehityksen ja informaatiohallinnon ohjelmien ja kehittämisen tarkastus • ITAR -koordinaatioryhmä

  4. Riskianalyysi

  5. IT -tarkastus VTV:ssa • IT –järjestelmätarkastus yksi tarkastuksen erikoistunut osaamisalue • oikeusinformatiikka ja IT –oikeus sekä oikeustaloustiede osa menetelmä- ja substanssiosaamisen alueita • Perusnäkökulmina laillisuus, tuloksellisuus sekä hyvän hallinnon ja hyvän hallinnan periaatteiden noudattaminen • lainsäädännön ja ohjausjärjestelmän (governance) laatu ja vaikuttavuus sekä sen edellytykset myös arviointikohteina • Tarkempina näkökulmina voivat olla tarkastuskohteen taloudelliset ja toiminnalliset riskit, toiminnan ja tietojen laatu, valvontamenettelyt, tietoturvallisuus, tietosuoja, arkkitehtuurit sekä yhteentoimivuus. • Tarkastukset voidaan myös kohdentaa tarkastuskohtaisesti ainakin kolmelle eri toimintatasolle – valtiokonserni, virasto ja sovellus/järjestelmätasolle.

  6. VTV:n tietohallinnon ja tietoturvallisuuden kannalta merkittävää tarkastus- ja asiantuntijatoimintaa 2009 • Lainsäädännön laatu hyvinvointipalveluissa, eduskuntakertomus K 15/2009 vp. • Mielenterveyspalveluita ohjaavan lainsäädännön toimivuus, tuloksellisuustarkastuskertomus 194/2009 • Nuorten syrjäytymisen ehkäisyä koskenut tuloksellisuustarkastus 146/2007 • Sosiaali- ja terveydenhuollon sekä opetustoimen erityislainsäädännön tietosuojasäännösten aiheuttamat ongelmat • - Jo pitkään tästä kannanottoja • Eduskunnan kannanotot valtion tietohallinnon ohjausta koskevan lainsäädännön tarpeesta sekä tietojärjestelmien yhteentoimivuudesta sosiaali- ja terveydenhuollossa.EK 11/2008 ja EK 21/2008 • Jatkuva toteutumisen seuranta VTV:n eduskuntakertomuksissa

  7. VTV:n tietohallinnon ja tietoturvallisuudenkin kannalta merkittävää tarkastus- ja asiantuntijatoimintaa 2009 • Yritys-Suomi –hankkeiden tarkastus • Talous- ja jatkossa henkilöstöhallinnon tietojärjestelmien tietojärjestelmätarkastukset • Sosiaali- ja terveydenhuollon alan IT –järjestelmät • arvioidaan arkkitehtuuriratkaisut • Valtion IT –palvelukeskuksen (VIP) ja taloushallinnon tietojärjestelmäratkaisun (KIEKU –tietojärjestelmähanke) riskianalyysit ja neuvonta sekä vaatimusmäärittelyiden arviointi • Asiantuntijatoiminta VAHTIssa ja viranomaisten turvallisen verkkoratkaisun hankehallinnan ulkoinen arviointi ja tuki (VM – PLM/PV/muut turvallisuusviranomaiset) • Valtiovarainministeriön hallinnonalan ITC -hankkeet

  8. Oikeus tietoturvallisuuteen vaiko informaatioähkyinen valvontavaltio • Tietoturvallisuuslainsäädännön loistava menneisyys ja uusi nousu 2010 -luvulla • Missä Suomessa ollaan tietoturvallisuudessa?

  9. Tietoturvallisuus on perusoikeus ja perusoikeuksien toteuttamiseen liittyvä velvoite • Euroopan ihmisoikeustuomioistuimen oikeuskäytäntö • K.U. v. Suomi (2008) • I. v. Suomi (2008) • X and Y v. Netherlands (1985) • yksityiselämän suoja tarkoittaa oikeutta fyysiseen ja moraaliseen koskemattomuuteen (integriteettiin) • Tietoturvallisuus on oikeuden oikeudenmukaiseen oikeudenkäyntiin ja hyvään hallintoon välttämätön edellytys • hyvä hallinto ja oikeus oikeussuojaan edellyttävät tietoturvallisuutta

  10. Suomessa hyvä lainsäädäntö? • Tietoturvallisuus periaatteena informaatio-oikeudellisessa yleislainsäädännössä • henkilötietolaki • viranomaisten toiminnan julkisuudesta annettu laki • kansainvälisistä tietoturvallisuusvelvoitteista annettu laki • (sähköisen viestinnän tietosuojalaki) • Runsaasti erityislainsäädäntöä • Erillistä yleistä tietoturvallisuuslakia ei ole • Tietoturvallisuus vahvasti oikeudellistunut asia

  11. Paremman sääntelyn ja kilpailukyvyn näkökulma • Paremman sääntelyn periaatteet paremman sääntelyn toimintaohjelmasta • Nykyisissä taloudellisissa oloissa kilpailukyvyn näkökulma on jokseenkin välttämätön • Onko kilpailukyvyllä ja paremmalla sääntelyllä jokin yhteys • Oletus: kansantalouden tasolla yhteys näyttäisi olevan (tilastollinen korrelaatio) mutta kausaalisuutta ei ole välttämättä osoitettu

  12. Mitä tietoturvallisuus on oikeudellisesti? • Käytettävyys • Eheys • Luottamuksellisuus • Todennettavuus ja jäljitettävyys • Tietoon ja informaatioon sekä verkkoihin ja niiden käyttöön liittyvien moraalisten ja eettisten periaatteiden sekä oikeuksien turvaamista

  13. Julkista sektoria koskeva ja julkisoikeudellinen sääntely • Kilpailukykyvaikutus syntyy siitä, että • lainsäädäntö tukee turvallisen ja hyvän infrastruktuurin ja hallinnon syntymistä • mahdollistaa julkisen sektorin tehokkaan toiminnan • Yhteentoimimattomuuden ongelmat mittavat – estävät tehokkaan ja järkevän toiminnan • Julkisuuslaki ei sisällä tietoturvallisuuden ja yhteentoimivuuden tosiasiassa turvaavaa sääntely- ja ohjausmallia • valtioneuvoston asetus ei ole toimiva tarkemman sääntelyn muoto • standardit ja käytännesäännöt sekä rajapintamääritykset • testaaminen ja sen vaatiminen • Henkilötietolaista poikkeava erityislainsäädäntö

  14. Julkista tietohallintoa ja julkisen hallinnon tietoturvallisuutta koskevan lainsäädännön ja ohjauksen ongelmat • Kyvyttömyys nähdä, että toimintaprosessiin liittyy aina informaatioprosessi • Informaatio-oikeudellinen osaamisvaje • Esimerkki Paras –hanke ja sosiaali- ja terveydenhuollon rekistereiden ja niiden käytön kytkeminen vain toimintayksikköön • Lainsäädännössä henkilötietojen käsittelyyn liittyvä suostumus voitaisiin sitoa myös hoitosuhteeseen ja hoitoepisodin mukaiseen toimintaketjuun • Erityislainsäädännön ja yleislainsäädännön välisen suhteen epäselvyys ja oikeudellisen tiedon puute erityisaloilla

  15. Julkisen hallinnon tietoturvallisuudesta • Ongelmien ratkaiseminen helpon byrokratian menetelmin • liian laajat rekistereiden käyttöoikeudet • ´Haavoittuvuudet ja riskit lisääntyvät vahvasti • Tietoturvallisuutta koskeva yleinen ohjeistus (VAHTI) sinänsä hyvä mutta ohjeiden informaatioekonomia huono • Tietoturvallisuus ei ole oikeasti vielä sisäistynyt riskienhallintaan ja ylimmän johdon johdettaviin asioihin • Valtiovarainministeriön tietoturvallisuustasot – hanke • pitää määritellä kovin matala perustaso, jotta kaikki pääsevät läpi • vastapuoliriskit huomiotta • Tietoturvallisuusauditoinneilla ja niiden tuella ei yhtenäistä puitteistoa (sopimusmallit, osaaminen, kilpailutukset) • Auditointeja ei osata käyttää • esimerkki sähköinen äänestys • Tietojärjestelmien sisältövirheet • esimerkki vaalitietojärjestelmän virheet …

  16. Yksityistä sektoria koskeva ja yleislainsäädäntö • Kilpailukyvyn ja paremman sääntelyn periaatteiden välinen yhteys suorempi. Hallinnollinen taakka ja markkinoille pääsy sekä innovaatiot ja oikeussuhteiden selkeys merkittäviä seikkoja • Turvallisuus tärkeä myös yrityksille ja liiketoiminnalle • Tietoturvallisuus ja tietoverkko • tietoturvallisuus onkin julkishyödyke! • toisen turvallisuus riippuu toisen toimenpiteistä • Epäloogisuutta lainsäädännössä, laaja erityislainsäädäntö asettaa rasituksia • työelämän tietosuojalaki • kuka tahansa voi toimittaa terveydenhuollon tietojärjestelmän mutta terveydenhuollon ammattihenkilöitä koskee kattava sääntely ja pätevyysvaatimukset • Valvontaa lisäämällä sivuutetaan varsinainen tietoturvallisuustyö

  17. Yksityistä sektoria koskeva ja yleislainsäädäntö • Sopimusmallien kehittyminen ja kehittymättömyys – informaatio-oikeudellisen osaamisen merkitys • Tietoturvallisuuden yhteys kuluttajansuojaan tuotevastuuseen kehittymässä • Lainsäädäntöä tarkemman ohjauksen osittainen puutteellisuus • tietosuojavaltuutetun resurssit ja toimintatavat sekä toimintamahdollisuudet • kansallinen tietoturvaviranomainen • Rikosoikeudessa ei vieläkään riittävästi suojata tietoturvallisuutta ja integriteettiä • Korkeimman oikeuden ratkaisu tietojärjestelmiin tuomarin tekemistä virheellisistä merkinnöistä • EIT:n tuomio K.U. v. Finland

  18. Infrastruktuurin tila • Organisaatiotunnistaminen ja roolien ja profiilien tunnistamisen puuttuu ja lainsäädäntö huomattavan puutteellinen • Varmennetoiminnan ja varmennemarkkinoiden huono järjestäytyminen • HST –kortti oli epäonnistunut • VRK:n varmennetoiminta organisoitava kokonaan uudelleen VM:n työryhmän kesällä 2009 antaman raportin mukaisesti • Ns. pankkitunnisteiden tulevaisuus • Saatava aidot varmennepalveluiden markkinat • Suomen haittaohjelmatilanne lienee siedettävä – juuri nyt • Suomen lainsäädännön ja oikeusjärjestyksen antama tosiasiallinen suoja identiteettivarkauksia ja identiteetin pettämisen varalta ei ole välttämättä hyvä • identiteettivarkaudet todennäköisesti tulevat suuremmaksi riskiksi • Heikon turvallisuustason ratkaisujen liian yleinen käyttö Suomessa • Globaalissa maailmassa Suomi ei ole lintukoto • Kansainvälisen verkko- ja maksupääterikollisuuden lisääntyvä kiinnostus Suomeen

  19. Johtopäätökset • Hyvän tietoturvallisuuslainsäädännön tulevaisuus oli eilen • Suomessa ei tietoturvallisuutta säännellä ja ohjata paremman sääntelyn periaatteiden mukaisesti • Suomen tietoturvallisuuden tasossa selkeitä ja lisääntyviä haavoittuvuuksia • Suomi ei enää ole pohjoismainen verkkoyhteiskunta ja oikeusvaltio • On kiireesti ryhdyttävä rakentamaan tietoturvallisuuden uutta tulevaisuutta

More Related