190 likes | 280 Views
Oikeus tietoturvallisuuteen vai informaatioähkyinen valvontavaltio. Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV 19.11.2009. Valtiontalouden tarkastusvirasto tarkastaa myös tietoturvallisuutta.
E N D
Oikeus tietoturvallisuuteen vai informaatioähkyinen valvontavaltio Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV 19.11.2009
Valtiontalouden tarkastusvirasto tarkastaa myös tietoturvallisuutta • Valtiontalouden tarkastusvirasto perustuslaissa säädettyjä ylimpiä valvontaviranomaisia. Perustuslain 90 §:n nojalla ylin kansallinen tarkastusviranomainen • Eduskunnan yhteydessä oleva, riippumaton viranomainen • Valtion taloudenhoidon ja talousarvion noudattamisen tarkastus. • Vaali- ja puoluerahoituksen laillisuusvalvonta • Edistää ja varmistaa luottamusta kansanvallan ja oikeusvaltion periaatteiden toteutumiseen julkisessa päätöksenteossa ja toiminnassa • Turvaa eduskunnan lainsäädäntö- ja finanssivaltaa sekä niihin kuuluvaa valvontavaltaa • Suorittaa tilintarkastusta ja muuta laillisuustarkastusta sekä tuloksellisuustarkastusta sekä näitä yhdistävää tarkastusta • Tietojärjestelmät ja tietoturvallisuus sekä informaatiohallinto laajenevasti tärkeänä tarkastuskohteena
Tietojärjestelmät ja tietoturvallisuus ylimmän ulkoisen tarkastuksen kohteena • Yhdysvaltain tarkastusvirasto Government Accountability Office GAO laajasti mukana tietojärjestelmien ja tietoturvallisuuden testauksessa • yksi johtavia tietoturvallisuus- ja arviointiorganisaatioita • Ylimpien tarkastusviranomaisen kansainvälisen järjestön INTOSAI:n ja sen Euroopan maanosajärjestön EUROSAI:n IT Working Group • laaja kansainvälinen vertailukehittäminen ja tarkastus- ja arviointityökalujen kehittäminen • Suomen VTV painottaa lisääntyvästi IT –järjestelmien ja tietoturvallisuuden sekä verkkoyhteiskuntakehityksen tarkastusta • Tilintarkastuksessa IT –järjestelmätarkastus • Tuloksellisuustarkastuksessa tieto- ja verkkoyhteiskuntakehityksen ja informaatiohallinnon ohjelmien ja kehittämisen tarkastus • ITAR -koordinaatioryhmä
IT -tarkastus VTV:ssa • IT –järjestelmätarkastus yksi tarkastuksen erikoistunut osaamisalue • oikeusinformatiikka ja IT –oikeus sekä oikeustaloustiede osa menetelmä- ja substanssiosaamisen alueita • Perusnäkökulmina laillisuus, tuloksellisuus sekä hyvän hallinnon ja hyvän hallinnan periaatteiden noudattaminen • lainsäädännön ja ohjausjärjestelmän (governance) laatu ja vaikuttavuus sekä sen edellytykset myös arviointikohteina • Tarkempina näkökulmina voivat olla tarkastuskohteen taloudelliset ja toiminnalliset riskit, toiminnan ja tietojen laatu, valvontamenettelyt, tietoturvallisuus, tietosuoja, arkkitehtuurit sekä yhteentoimivuus. • Tarkastukset voidaan myös kohdentaa tarkastuskohtaisesti ainakin kolmelle eri toimintatasolle – valtiokonserni, virasto ja sovellus/järjestelmätasolle.
VTV:n tietohallinnon ja tietoturvallisuuden kannalta merkittävää tarkastus- ja asiantuntijatoimintaa 2009 • Lainsäädännön laatu hyvinvointipalveluissa, eduskuntakertomus K 15/2009 vp. • Mielenterveyspalveluita ohjaavan lainsäädännön toimivuus, tuloksellisuustarkastuskertomus 194/2009 • Nuorten syrjäytymisen ehkäisyä koskenut tuloksellisuustarkastus 146/2007 • Sosiaali- ja terveydenhuollon sekä opetustoimen erityislainsäädännön tietosuojasäännösten aiheuttamat ongelmat • - Jo pitkään tästä kannanottoja • Eduskunnan kannanotot valtion tietohallinnon ohjausta koskevan lainsäädännön tarpeesta sekä tietojärjestelmien yhteentoimivuudesta sosiaali- ja terveydenhuollossa.EK 11/2008 ja EK 21/2008 • Jatkuva toteutumisen seuranta VTV:n eduskuntakertomuksissa
VTV:n tietohallinnon ja tietoturvallisuudenkin kannalta merkittävää tarkastus- ja asiantuntijatoimintaa 2009 • Yritys-Suomi –hankkeiden tarkastus • Talous- ja jatkossa henkilöstöhallinnon tietojärjestelmien tietojärjestelmätarkastukset • Sosiaali- ja terveydenhuollon alan IT –järjestelmät • arvioidaan arkkitehtuuriratkaisut • Valtion IT –palvelukeskuksen (VIP) ja taloushallinnon tietojärjestelmäratkaisun (KIEKU –tietojärjestelmähanke) riskianalyysit ja neuvonta sekä vaatimusmäärittelyiden arviointi • Asiantuntijatoiminta VAHTIssa ja viranomaisten turvallisen verkkoratkaisun hankehallinnan ulkoinen arviointi ja tuki (VM – PLM/PV/muut turvallisuusviranomaiset) • Valtiovarainministeriön hallinnonalan ITC -hankkeet
Oikeus tietoturvallisuuteen vaiko informaatioähkyinen valvontavaltio • Tietoturvallisuuslainsäädännön loistava menneisyys ja uusi nousu 2010 -luvulla • Missä Suomessa ollaan tietoturvallisuudessa?
Tietoturvallisuus on perusoikeus ja perusoikeuksien toteuttamiseen liittyvä velvoite • Euroopan ihmisoikeustuomioistuimen oikeuskäytäntö • K.U. v. Suomi (2008) • I. v. Suomi (2008) • X and Y v. Netherlands (1985) • yksityiselämän suoja tarkoittaa oikeutta fyysiseen ja moraaliseen koskemattomuuteen (integriteettiin) • Tietoturvallisuus on oikeuden oikeudenmukaiseen oikeudenkäyntiin ja hyvään hallintoon välttämätön edellytys • hyvä hallinto ja oikeus oikeussuojaan edellyttävät tietoturvallisuutta
Suomessa hyvä lainsäädäntö? • Tietoturvallisuus periaatteena informaatio-oikeudellisessa yleislainsäädännössä • henkilötietolaki • viranomaisten toiminnan julkisuudesta annettu laki • kansainvälisistä tietoturvallisuusvelvoitteista annettu laki • (sähköisen viestinnän tietosuojalaki) • Runsaasti erityislainsäädäntöä • Erillistä yleistä tietoturvallisuuslakia ei ole • Tietoturvallisuus vahvasti oikeudellistunut asia
Paremman sääntelyn ja kilpailukyvyn näkökulma • Paremman sääntelyn periaatteet paremman sääntelyn toimintaohjelmasta • Nykyisissä taloudellisissa oloissa kilpailukyvyn näkökulma on jokseenkin välttämätön • Onko kilpailukyvyllä ja paremmalla sääntelyllä jokin yhteys • Oletus: kansantalouden tasolla yhteys näyttäisi olevan (tilastollinen korrelaatio) mutta kausaalisuutta ei ole välttämättä osoitettu
Mitä tietoturvallisuus on oikeudellisesti? • Käytettävyys • Eheys • Luottamuksellisuus • Todennettavuus ja jäljitettävyys • Tietoon ja informaatioon sekä verkkoihin ja niiden käyttöön liittyvien moraalisten ja eettisten periaatteiden sekä oikeuksien turvaamista
Julkista sektoria koskeva ja julkisoikeudellinen sääntely • Kilpailukykyvaikutus syntyy siitä, että • lainsäädäntö tukee turvallisen ja hyvän infrastruktuurin ja hallinnon syntymistä • mahdollistaa julkisen sektorin tehokkaan toiminnan • Yhteentoimimattomuuden ongelmat mittavat – estävät tehokkaan ja järkevän toiminnan • Julkisuuslaki ei sisällä tietoturvallisuuden ja yhteentoimivuuden tosiasiassa turvaavaa sääntely- ja ohjausmallia • valtioneuvoston asetus ei ole toimiva tarkemman sääntelyn muoto • standardit ja käytännesäännöt sekä rajapintamääritykset • testaaminen ja sen vaatiminen • Henkilötietolaista poikkeava erityislainsäädäntö
Julkista tietohallintoa ja julkisen hallinnon tietoturvallisuutta koskevan lainsäädännön ja ohjauksen ongelmat • Kyvyttömyys nähdä, että toimintaprosessiin liittyy aina informaatioprosessi • Informaatio-oikeudellinen osaamisvaje • Esimerkki Paras –hanke ja sosiaali- ja terveydenhuollon rekistereiden ja niiden käytön kytkeminen vain toimintayksikköön • Lainsäädännössä henkilötietojen käsittelyyn liittyvä suostumus voitaisiin sitoa myös hoitosuhteeseen ja hoitoepisodin mukaiseen toimintaketjuun • Erityislainsäädännön ja yleislainsäädännön välisen suhteen epäselvyys ja oikeudellisen tiedon puute erityisaloilla
Julkisen hallinnon tietoturvallisuudesta • Ongelmien ratkaiseminen helpon byrokratian menetelmin • liian laajat rekistereiden käyttöoikeudet • ´Haavoittuvuudet ja riskit lisääntyvät vahvasti • Tietoturvallisuutta koskeva yleinen ohjeistus (VAHTI) sinänsä hyvä mutta ohjeiden informaatioekonomia huono • Tietoturvallisuus ei ole oikeasti vielä sisäistynyt riskienhallintaan ja ylimmän johdon johdettaviin asioihin • Valtiovarainministeriön tietoturvallisuustasot – hanke • pitää määritellä kovin matala perustaso, jotta kaikki pääsevät läpi • vastapuoliriskit huomiotta • Tietoturvallisuusauditoinneilla ja niiden tuella ei yhtenäistä puitteistoa (sopimusmallit, osaaminen, kilpailutukset) • Auditointeja ei osata käyttää • esimerkki sähköinen äänestys • Tietojärjestelmien sisältövirheet • esimerkki vaalitietojärjestelmän virheet …
Yksityistä sektoria koskeva ja yleislainsäädäntö • Kilpailukyvyn ja paremman sääntelyn periaatteiden välinen yhteys suorempi. Hallinnollinen taakka ja markkinoille pääsy sekä innovaatiot ja oikeussuhteiden selkeys merkittäviä seikkoja • Turvallisuus tärkeä myös yrityksille ja liiketoiminnalle • Tietoturvallisuus ja tietoverkko • tietoturvallisuus onkin julkishyödyke! • toisen turvallisuus riippuu toisen toimenpiteistä • Epäloogisuutta lainsäädännössä, laaja erityislainsäädäntö asettaa rasituksia • työelämän tietosuojalaki • kuka tahansa voi toimittaa terveydenhuollon tietojärjestelmän mutta terveydenhuollon ammattihenkilöitä koskee kattava sääntely ja pätevyysvaatimukset • Valvontaa lisäämällä sivuutetaan varsinainen tietoturvallisuustyö
Yksityistä sektoria koskeva ja yleislainsäädäntö • Sopimusmallien kehittyminen ja kehittymättömyys – informaatio-oikeudellisen osaamisen merkitys • Tietoturvallisuuden yhteys kuluttajansuojaan tuotevastuuseen kehittymässä • Lainsäädäntöä tarkemman ohjauksen osittainen puutteellisuus • tietosuojavaltuutetun resurssit ja toimintatavat sekä toimintamahdollisuudet • kansallinen tietoturvaviranomainen • Rikosoikeudessa ei vieläkään riittävästi suojata tietoturvallisuutta ja integriteettiä • Korkeimman oikeuden ratkaisu tietojärjestelmiin tuomarin tekemistä virheellisistä merkinnöistä • EIT:n tuomio K.U. v. Finland
Infrastruktuurin tila • Organisaatiotunnistaminen ja roolien ja profiilien tunnistamisen puuttuu ja lainsäädäntö huomattavan puutteellinen • Varmennetoiminnan ja varmennemarkkinoiden huono järjestäytyminen • HST –kortti oli epäonnistunut • VRK:n varmennetoiminta organisoitava kokonaan uudelleen VM:n työryhmän kesällä 2009 antaman raportin mukaisesti • Ns. pankkitunnisteiden tulevaisuus • Saatava aidot varmennepalveluiden markkinat • Suomen haittaohjelmatilanne lienee siedettävä – juuri nyt • Suomen lainsäädännön ja oikeusjärjestyksen antama tosiasiallinen suoja identiteettivarkauksia ja identiteetin pettämisen varalta ei ole välttämättä hyvä • identiteettivarkaudet todennäköisesti tulevat suuremmaksi riskiksi • Heikon turvallisuustason ratkaisujen liian yleinen käyttö Suomessa • Globaalissa maailmassa Suomi ei ole lintukoto • Kansainvälisen verkko- ja maksupääterikollisuuden lisääntyvä kiinnostus Suomeen
Johtopäätökset • Hyvän tietoturvallisuuslainsäädännön tulevaisuus oli eilen • Suomessa ei tietoturvallisuutta säännellä ja ohjata paremman sääntelyn periaatteiden mukaisesti • Suomen tietoturvallisuuden tasossa selkeitä ja lisääntyviä haavoittuvuuksia • Suomi ei enää ole pohjoismainen verkkoyhteiskunta ja oikeusvaltio • On kiireesti ryhdyttävä rakentamaan tietoturvallisuuden uutta tulevaisuutta