Ruotsissa ajoneuvohallintoa ravistelee tietovuotoskandaali. Skandaali koskee Ruotsin ajoneuvo- ja ajokorttirekisterin ulkoistamista Tšekkiin, mikä on voinut aiheuttaa kymmenien tuhansien ruotsalaisten henkilötietojen vuotamisen ulkomaille.
Lisäksi ulkomaille on voinut vuotaa muuta turvallisuuden kannalta arkaluonteista tietoa kuten Ruotsin salaisten agenttien henkilötietoja.
Suomessa tilannetta seurataan hyvin aktiivisesti.
– Kun saamme lisätietoa, ohjeistamme julkista hallintoa, valtionhallintoa, kuntia ja muita toimijoita siitä, mitä tarkistavia toimenpiteitä tulisi tämän perusteella Suomessa toteuttaa, sanoi valtiovarainministeriön VAHTI-pääsihteeri Kimmo Rousku Ylen Aamu-tv:ssä.
VAHTI on valtiovarainministeriön asettama tieto- ja kyberturvallisuuden johtoryhmä.
Ruotsi aiheuttaa huolta
Rousku myöntää, että Ruotsin tapahtuman huolestuttavat.
– Osa hallinnollisista prosesseista, joilla henkilöiden luotettavuutta halutaan varmistaa, ei ole toiminut.
Rouskun mukaan Suomessa palveluiden tuottamisen arkkitehtuuri on erilainen verrattuna moneen muuhun maahan. Ruotsin kaltaista tilannetta ei pitäisi päästä Suomessa syntymään.
– Pitää aina ottaa huomioon se, että kyseessä on paljon teknologiaa, on ihmisiä, on mahdollisuus inhimillisiin erehdyksiin tai teknologia ei toimi kuten pitäisi. Suomessa olemme jo kahdenkymmenen vuoden ajan osana VAHTI-toimintaa ohjeistaneet valtionhallinnon organisaatioita siitä, miten tietoturvallisuudesta täytyy oikealla tavalla huolehtia ja millaisia vaatimuksia toimittajille ja sitä kautta alihankkijoille täytyy edellyttää ja sitä kautta vaatia, Rousku sanoo.
Hänen mukaansa Suomessa julkisella sektorilla on ollut jo pitkään käytössä turvallisuussopimus, jolla pyritään varmistamaan se, ettei tieto joudu vääriin käsiin ulkoistuksen yhteydessä. Sopimuksessa määritellään, kuka tai ketkä tietoon voivat päästä kiinni, millä tavalla ja missä tietoa käsitellään.
"Insinöörikansa osaa tekniikan"
Viestintäviraston erityisasiantuntijan Kristian Selénin mukaan hallinnollisen puolen hallitsemiseen tietoturvaulkoistuksissa ei ehkä ole vielä kunnolla totuttu.
– Olemme insinöörikansa ja olemme tottuneet tekemään asioita teknisesti aika hyvin itse. Nyt, kun otetaan ulkopuolisia toimijoita mukaan toteuttamaan it-palveluita ja ehkä tietoturvaakin, silloin pitää siirtyä siihen tilanteeseen, että turvallisuus- ja palvelusopimuksilla varmistetaan, että toimitaan oman organisaation pelisääntöjen mukaisesti.
Selénin mukaan organisaation pitää aina tietää, mitkä ovat sen suojattavat kohteet ja kriittiset tiedot. Myös lainsäädännölliset ohjeet antavat viitekehystä toimintaan. Selén sanoo, että tiedon suojaaminen on olennaisessa roolissa sekä myös se, miten käytäntöjä viedään täytäntöön.
– En kategorisesti haluaisi lähteä kieltämään ulkoistuksia. Tapa, millä se tehdään, on keskiössä.
Selén korostaa, että olennaista on henkilöturvallisuuden huomioiminen eli se, ketkä pääsevät käsiksi suojattuun tietoon. Tietoturva on myös oltava hankinnoissa mukana alusta lähtien. Organisaation johdolla on Selénin mukaan iso vastuu siitä, ettei tietoturvaa yritetä liimata hankintojen päälle jälkikäteen.