Toinen väliraportti Liikenteen turvallisuusviraston sähköisistä palveluista on valmistunut

liikenne- ja viestintäministeriö
Julkaisuajankohta 1.10.2019 14.30
Tiedote
Kuvituskuva, henkilötietojen turvallisuus (Kuva: LVM)
Kuvituskuva, henkilötietojen turvallisuus (Kuva: LVM)

Liikenne- ja viestintäministeriö on saanut Liikenne- ja viestintävirastolta pyytämänsä selvityksen viraston sähköisten palveluiden suunnitteluun, tuotantoon ja ylläpitoon liittyvistä käytännöistä. Pyyntö liittyy joulukuussa 2018 esiin nousseisiin ongelmiin Liikenteen turvallisuusviraston Trafin asiointipalveluissa.              

Nyt valmistunut selvitys on toinen väliraportti koko vuoden 2019 kestävästä selvitys- ja kehittämistyöstä. Työ tehdään liikenne- ja viestintäministeriön pyynnöstä, Liikenne- ja viestintäviraston pääjohtajan Kirsi Karlamaan johdolla.

Väliraportissa kerrotaan toimenpiteistä tietosuojan ja tietoturvan varmistamiseksi, jatkotoimenpiteistä palveluiden kehittämiseksi sekä viraston riskienhallinnan yhdenmukaistamisesta ja kehittämisestä. Virastossa tehtävä selvitystyö koostuu useasta vaiheesta ja jatkuu vuoden 2019 loppuun saakka.

"Jatkamme palveluidemme ja toimintatapojemme kehittämistä selvitysten perusteella. Viraston sähköisten palveluiden johtamista ja päätöksentekoprosessia sekä tietoturvallisuusstandardia on auditoitu ja jatkamme suljettuina olevien palveluiden avaamista kaikki näkökulmat huomioiden", sanoo Liikenne- ja viestintäviraston turvallisuusjohtaja Jari Ylitalo.

"Julkisissa palveluissa kansalaisten tietosuojan on toiminnan keskiössä. Turvallisuuskulttuuria- ja tietoisuutta on kehitettävä jatkuvasti. On tärkeää, että selvitystyö tehdään perusteellisesti ja sen tuloksia hyödynnetään laajasti koko valtionhallinnossa", sanoo liikenne- ja viestintäministeriön ylijohtaja Laura Vilkkonen.

Miten asia eteni?

Tekniikka ja talous -lehti uutisoi perjantaina 7.12.2018 Liikenteen turvallisuusvirasto Trafin uudesta verkkopalvelusta, josta voitiin hakea kuljettajien ajo-oikeuden lisäksi erilaisia henkilötietoja. Aihe levisi viikonlopun aikana laajasti myös muihin tiedotusvälineisiin ja some-keskusteluihin. Keskusteluissa kritisoitiin sitä, että palvelusta oli mahdollista saada henkilötietoja tarpeettoman laajasti. Ministeriö ryhtyi heti ongelmista kuultuaan toimenpiteisiin.

Sunnuntaina 9.12.2018 Liikenteen turvallisuusvirasto otti kaikki sähköiset asiointipalvelunsa pois käytöstä varmistaakseen kuljettajatiedot-palvelun sulkeutumisen asian selvittelyn ajaksi.

Liikenne- ja viestintäministeriö pyysi maanantaina 10.12.2018 Viestintävirastoa tarkastamaan ja antamaan ministeriölle asiantuntija-arvionsa Liikenteen turvallisuusviraston sähköisten palveluiden tietosuojasta ja tietoturvasta.  Arvio pyydettiin tekemään läheisessä yhteistyössä tietosuojavaltuutetun kanssa.

Selvitys annettiin ministeriölle kahdessa osassa. Ensimmäinen selvitys toimitettiin ministeriölle 12.12.2018. Selvityksessä otettiin kantaa siihen, voidaanko Liikenteen turvallisuusviraston verkkosivustojen muut kuin kuljettajatietopalvelu laillisesti ja turvallisesti avata.

Selvityksessä arvioitiin, että Liikenteen turvallisuusvirasto Trafin palvelukokonaisuuden tietoturvallisuuden taso on keskimääräistä parempi, verrattuna valtiohallinnon muihin tarkastuskohteisiin, joihin sovelletaan vastaavia tietoturvavaatimuksia. Selvityksen jälkeen osa asiointipalveluista avattiin uudelleen lauantaina 15.12.2018

Alustavan selvityksen jälkeen Liikenteen turvallisuusvirasto tilasi Viestintäviraston pyynnöstä toisen laajemman palvelu- ja järjestelmäkokonaisuuden jatkoarvioinnin Nixu Certification Oy:ltä. Viestintävirasto osoitti arvioinnille valvojan.

Jatkoarviointi valmistui 19.12.2018. Myös siinä asiointipalvelun arvioitiin olevan paremmalla tasolla kuin useat muut vastaavat valtionhallinnon järjestelmät. Arvion mukaan kuljettajatietopalvelun määrittely ei kuitenkaan ollut kaikilta osin onnistunut. Kuljettajatietopalvelua ei ole sellaisenaan palautettu käyttöön.

Viestintävirasto, Liikenteen turvallisuusvirasto sekä Liikenneviraston tietyt toiminnot yhdistyvät vuoden 2019 alussa Liikenne- ja viestintävirastoksi. Ministeriö pyysi Liikenne- ja viestintäviraston pääjohtajana aloittanutta Kirsi Karlamaata selvittämään viraston sähköisten palveluiden suunnitteluun, tuotantoon ja ylläpitoon liittyvät käytännöt. Työstä pyydettiin toimittamaan ministeriölle väliraportit touko- ja syyskuun loppuun mennessä. Loppuraportti selvityksestä on pyydetty 16.12.2019 mennessä.

Ministeriön otti vastaan selvityksen ensimmäisen väliraportin 28.5. ja selvityksen toisen väliraportin 30.9.2019. Julkiset väliraporit löytyvät valtioneuvoston hanketietopalvelusta osoitteesta https://valtioneuvosto.fi/hanke?tunnus=LVM015:00/2019.

Mitä seuraavaksi?

Liikenne- ja viestintäviraston sisäinen selvitys jatkuu. Ministeriö on pyytänyt virastoa toimittamaan loppuraportin selvityksestä 16 joulukuuta mennessä.

Väliraporttien ja myöhemmin loppuraportin havaintoja hyödynnetään liikenne- ja viestintäministeriön johdolla hallinnonalan toiminnan kehittämisessä.

Ministeriö kannustaa kaikkia valtionhallinnon organisaatioita hyödyntämään analyysin tuloksia omien palveluidensa tietosuojan ja -turvan varmistamisessa.

Lisätietoja:

Laura Vilkkonen, ylijohtaja (Tieto-osasto), p. 040 500 0817, Twitter @vilkkonen

Jari Ylitalo, turvallisuusjohtaja,  Liikenne- ja viestintävirasto, yhteydenotot p. 029 534 5648 (Traficomin mediapalvelu)