TIVIAn lausunto valtioneuvoston asetukseksi tietoturvan kehittämisen tuesta
Lausuntopyyntö 28.6.2022 | VN/18738/2022
TIVIAn lausunto on nähtävissä kokonaisuudessaan tältä sivulta sekä myös valtioneuvoston nettisivuilta.
Tieto- ja viestintätekniikan ammattilaiset TIVIA ry kiittää mahdollisuudesta lausua näkemyksensä tähän tärkeään asiaan. Kyseessä on määräaikainen tuki, jonka avulla organisaatiot voisivat hankkia tarkastuksen ja arvion uhkamallinnuksesta järjestelmiensä tietoturvatasosta markkinaehtoisilta toimijoilta, sekä ryhtyä tulosten perusteella parantamaan järjestelmiensä tietoturvaa ja tietoturvaosaamistaan määrätietoisesti.
Johdanto
Tietoturvan, tietosuojan ja kyberturvan merkitys on kasvanut nopeasti yhteiskunnassamme. Koulutusjärjestelmämme eri muodoissaan ei pysty tuottamaan tällä hetkellä osaajia riittävästi ja muuttuneen geopoliittisen tilanteen vuoksi yrityksillä on entistä suurempi tarve saada osaavaa henkilökuntaa sekä konsultointia. Liikenne- ja viestintäministeriön muistiossa viitataan helmikuussa 2022 toteutettuun Yrittäjägallup-tietoturvatutkimukseen, jonka perusteella ”on epätodennäköistä, että pk-yrityksillä olisi mahdollisuuksia ylläpitää omaa, yrityksen sisäistä tietoturvaosaamista. Saman tutkimuksen mukaan, tietoturvan kustannusten arvioidaan olevan toiseksi merkittävän este tarvittavien toimenpiteiden toteuttamiselle”.
Selvitykseen viitaten, olisi hyvä korostaa, että tietoturvaosaamista voi jokainen yritys parantaa myös hyvin pienin toimenpitein. Erilaisiin ilmaisiin koulutuksiin osallistumilla ja kyberturvallisuuskeskuksen ohjeiden ja materiaalien hyödyntämisellä pääsee jo alkuun. Monesti tietoturvaosaaminen nähdään vain syvänä asiantuntijatyönä, vaikka osaamista pitäisi olla jokaisella tasolla aina asiantuntijasta hallituksen jäseniin.
Kannatamme esitystä tietyin huomioin
Me TIVIAssa näemme, että esitys on kannatettava, mutta vaatii joitakin asioita vielä tarkennettavaksi.
Yllä mainitussa Yrittäjägallup-tietoturvatutkimuksessa nostetaan esille hankintaosaaminen. Näemme riskiä puutteellisessa hankintaosaamisessa. Yrityksellä on rekisterinpitäjänä laaja vastuu, jossa osto-osaaminen korostuu. Ehdotamme, että jokainen tukea hakeva yritys osallistuisi Liikenne- ja viestintäministeriön infoon/koulutukseen tietoturvan perusteista, sekä hankkisi näkemyksiä osto-osaamisen tueksi. EU:n tietosuoja-asetuksen noudattamiseen tarvittavaa tietoa voi kartuttaa esim. sivuilla https://www.tietosuojaapkyrityksille.fi. Siellä on EU:n rahoituksella Tieken ja Tietosuovaltuutetun toimiston laatima työkalu mikro- ja pk-yrityksille. Sen avulla voi täydentää omaa osaamistaan ja arvioida oman organisaation tietosuojan tasoa.
Esityksessä palveluja voi hankkia markkinaehtoiselta toimijalta. Miten varmistetaan, että markkinaehtoinen toimija on riittävän asiantunteva ja turvallinen kumppani erilaisiin selvityksiin?
Lisäksi selvityksessä puhutaan uhkamallinnuksesta, mutta toisaalta nostetaan esille koulutusyhteistyö, tietosuojan ja tietoturvan toimet, sekä kyberturvallisuus. Painottaisimme tässä kohtaa kyberturvallisuuden toimenpiteitä, vallitsevan geopoliittisen tilanteen vuoksi. Kyberturvallisuuden toimenpiteistä voisi olla alustava esitys, perustasosta kehittyneempään tasoon, joka antaisi pk-yritykselle mahdollisuuden arvioida omaa tasoaan jo etukäteen ennen hakemuksen jättämistä. Esityksessä kerrotaan, että ”tukea koskevassa hakemuksessa on ilmoitettava yksilöity suunnitelma tai kuvaus tietoturvan kehittämisen toimenpiteistä, sekä ilmoitettava tämän asetuksen mukaan haettavan tuen määrä”.
Tämä voi olla haasteellista, mikäli oma lähtötaso ei ole tiedossa. Tähän auttaisi edellä kuvattu pakollinen perustason perehdytys hakevan yrityksen nimetyille henkilöille. Mitä enemmän ymmärrät, sitä paremmin hahmotat omaa tilannettasi ja osaat ostaa palveluja.
Näemme erittäin positiivisena, että avustuksen saajan on toimitettava Liikenne- ja viestintävirastolle selvitys avustuksen käytöstä ja vaikutuksista toimijan tietoturvaan viimeistään kuusi kuukautta tuella katettavien kustannusten syntymisen jälkeen. Analysointi jälkikäteen, on mitä parhain keino lisätä osaamista ja varmistaa jatkotoimenpiteiden läpimeno
On myös huomioitava, että kyberturvan palveluja tarjoavat yritykset ovat jo nyt melkoisen työllistettyjä. Olisi ehdottoman hyödyllistä pohtia eri kyberturvakoulutusta tarjoavien oppilaitosten kanssa tehtävää yhteistyötä, jotta aikataulu ja kysynnän ja tarjonnan kohtaaminen varmistettaisiin.
Kyberturvallisuus alihankintaketjuissa
Usein palvelut ovat ketjutettuja, alihankkijoiden rooli, joista sopimusosapuoli toki sopimuksen mukaan vastaa kuin omistaan, ovat usein haasteellisia. Kuuluuko tuen piiriin pieni pk-yritys, joka tekee osatoimitusta yhteiskunnan kannalta kriittisellä toimialalla toimivalle yritykselle? Entä yritys, joka on juuri tarjoutunut tekemään projektin ko. sektorille?
Lopuksi
Konkreettiset keskeisimmät ehdotuksemme ovat:
- Määritellä tarkemmin markkinaehtoisien toimijoiden osaamisen kriteerit, jotta vääriltä ja turhilta hankinnoilta säästyttäisiin. Edellytetäänkö yritykseltä, joka tarjoaa setelillä ostettavaa palvelua, esimerkiksi tiettyjä kyberturvan sertifikaatteja?
- Auttaa pk-yrityksiä osto-osaamisen kasvattamisella koskien kyberturvaa (esim. pakollinen osallistuminen infoon/koulutukseen, koulutuksen pystyy varmasti järjestämään Suomessa toimivat kyberturvallisuutta edistävät tahot, kuten vaikkapa kyberturvallisuuskeskus. Myös TIVIA ry auttaa tarvittaessa osto-osaamisen liittyvissä asioissa yhdistettynä kyberturvan osaamiseen.
- Fokusoida tuki kyberturvaan geopoliittisen tilanteen vuoksi
Lisätietoja
Tagit
Erikoisosaaminen
Tietoturva |
TIVIA ry - Asiantuntijat ja yhteyshenkilöt
TIVIA ry - Muita referenssejä
TIVIA ry - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Nordea - Senior IT Analyst, Finnish language required
- Laura - DevOps Engineer
- Aveso Oy - ERP tekninen projektipäällikkö
- Aveso Oy - IFS ERP -konsultti
- Laura - Digiasiantuntija, PAMin keskustoimistoon Helsinkiin
- Nordea - Senior Test Automation Engineer with Python, Nordea Payments
- Nordea - Senior Manual Test Engineer, Nordea Payments
Premium-asiakkaiden viimeisimmät referenssit
- Valve - Helsingin yliopiston ylioppilaskunnan verkkopalvelun siirto WordPressiin
- Valve - Eezy Valmennuskeskuksen verkkokauppa-uudistus
- Valve - Danonen Nutricia ja Aptaclub -brändien sivustot
- Hellon - Identifying growth opportunities with global Moomin fans
- Hellon - Award-Winning Inclusive Customer Experience for Northern
- Hellon - Developing a Life-Saving App to Boost Blood Donations
- Hellon - Decarbonising Farming with Yara International
Tapahtumat & webinaarit
- 30.10.2024 - Nordic NetSuite Summit 2024
- 30.10.2024 - Webinaari: Hakukoneoptimointi on strateginen valinta
- 14.11.2024 - RoimaDay 2024
- 14.11.2024 - Verkkolaskufoorumin syysseminaari 2024
- 19.11.2024 - The Future of Software - Embracing Collaboration in an AI-Powered World
- 27.11.2024 - Green ICT -ekosysteemitapaaminen III: Ohjelmistojärjestelmien virrankulutuksen mittaaminen ja kasvihuonepäästöjen arviointi
Premium-asiakkaiden viimeisimmät bloggaukset
- Timeless Technology - Mihin koodittomat ohjelmoitavat logiikat soveltuvat automaatiossa?
- Efima Oyj - Copilot-tekoälyavustajat Dynamics 365 -sovelluksissa: Commerce ja Sales
- TietoPiiri Oy - Lahjoittajatutkimus 2024: some ja tuttavat ovat tärkeimmät tietolähteet
- Ready Solutions Oy - Azuren palvelut integraatioiden kehittämiseen
- Nordea - Kesätyö Nordealla antaa kokemusta opintojen tueksi ja vahvistusta urasuunnitelmiin
- Softlandia Oy - Konenäöllä eroon datan palastelusta RAG-toteutuksissa
- Timeless Technology - ControlByWeb IIoT-laitteet ja tuetut protokollat
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |