Väliraportti Liikenteen turvallisuusviraston sähköisistä palveluista on valmistunut
Liikenne- ja viestintäministeriö on saanut Liikenne- ja viestintävirastolta pyytämänsä selvityksen viraston sähköisten palveluiden suunnitteluun, tuotantoon ja ylläpitoon liittyvistä käytännöistä. Pyyntö liittyy joulukuussa 2018 esiin nousseisiin ongelmiin Liikenteen turvallisuusviraston Trafin asiointipalveluissa.
Nyt valmistunut selvitys on väliraportti koko vuoden 2019 kestävästä selvitys- ja kehittämistyöstä. Työ tehdään liikenne- ja viestintäministeriön pyynnöstä, Liikenne- ja viestintäviraston pääjohtajan Kirsi Karlamaan johdolla.
Väliraportissa kerrotaan johtopäätökset joulukuussa 2018 tehdystä tietoturvatarkastuksesta, kevään aikana toteutetuista tietoturvaa ja tietosuojaa parantavista toimenpiteistä sekä tietoturva-auditoinnin tilanteesta. Lisäksi raportissa kuvataan viraston tietoturvallisuuden kehittämisen mallia ja -ohjausta. Selvityksen edellyttämät toimenpiteet ovat kesken ja jatkotoimenpiteitä tehdään loppuvuoden ajan.
Liikenne- ja viestintävirasto on arvioinut suljettuina olevat tietopalvelut. Arvioinnissa on tarkasteltu palvelujen tietosuojaa ja henkilötietojen käsittelyn lainmukaisuutta sekä palvelujen tietosisältöä. Tarkastelussa kiinnitetty huomiota palveluiden käyttötarkoitukseen ja tietosuoja-asetuksen tietosuojaperiaatteisiin, esimerkiksi henkilötietojen käsittelyn minimointiin.
Kevään aikana tehtyjen muutosten jälkeen palveluista luovutettavat tiedot ovat viraston tekemän arvion mukaan liikennepalvelulain mukaisia. Palveluihin tehtävät tekniset rajoitustoimenpiteet varmistavat, että niitä käytetään tietojen yksittäisluovutuksiin.
Liikenne- ja viestintävirasto on aloittanut palveluittensa tietoturva-auditoinnin. Auditointi koostuu useasta vaiheesta ja jatkuu vuoden 2019 loppuun saakka.
"Selvitysten havaintojen perusteella kehitämme palveluitamme ja toimintatapojamme. Painopisteenä on palveluiden turvallisuuden ja käyttäjien tietosuojan varmistaminen. Ne ovat kaiken toimintamme keskiössä", sanoo Liikenne- ja viestintäviraston pääjohtaja Kirsi Karlamaa.
"Kokonaisuusturvallisuuden hallintamalli on osa viraston johtamisjärjestelmää. Turvallisuuden johtaminen on ollut yhtenä painopisteenä virastojen yhdistämisessä. Esimerkiksi sähköisten palveluiden projekteissa ja hankkeissa tietosuoja on nyt sisäänrakennettu kehittämisen malliin", sanoo Kirsi Karlamaa.
"Kansalaisten tietosuojasta ei saa antaa tuumaakaan periksi. Tämä vaatimus koskee kaikkia sähköisiä palveluita. Tietosuoja ei saa jäädä vain lain kirjaimen tasolle. Se on toteutettava myös käytännössä", sanoo liikenne- ja viestintäministeriön ylijohtaja Laura Vilkkonen.
"Liikenne- ja viestintävirasto on selvittänyt syitä palveluiden ongelmiin perinpohjaisesti. On tärkeää, että opimme tästä työstä laajasti koko valtionhallinnossa ja jaamme kokemuksemme. Näin pystytään kehittämään kaikkien valtionhallinnon digitaalisten palveluiden laatua", sanoo Vilkkonen.
Miten asia eteni?
Tekniikka ja talous -lehti uutisoi perjantaina 7.12.2018 Liikenteen turvallisuusvirasto Trafin uudesta verkkopalvelusta, josta voitiin hakea kuljettajien ajo-oikeuden lisäksi erilaisia henkilötietoja. Aihe levisi viikonlopun aikana laajasti myös muihin tiedotusvälineisiin ja some-keskusteluihin. Keskusteluissa kritisoitiin sitä, että palvelusta oli mahdollista saada henkilötietoja tarpeettoman laajasti. Ministeriö ryhtyi heti ongelmista kuultuaan toimenpiteisiin.
Sunnuntaina 9.12. Liikenteen turvallisuusvirasto otti kaikki sähköiset asiointipalvelunsa pois käytöstä varmistaakseen kuljettajatiedot-palvelun sulkeutumisen asian selvittelyn ajaksi.
Liikenne- ja viestintäministeriö pyysi maanantaina 10.12. Viestintävirastoa tarkastamaan ja antamaan ministeriölle asiantuntija-arvionsa Liikenteen turvallisuusviraston sähköisten palveluiden tietosuojasta ja tietoturvasta. Arvio pyydettiin tekemään läheisessä yhteistyössä tietosuojavaltuutetun kanssa.
Selvitys annettiin ministeriölle kahdessa osassa. Ensimmäisessä 12.12. ministeriölle toimitetussa selvityksessä otettiin kantaa siihen, voidaanko Liikenteen turvallisuusviraston verkkosivustojen muut kuin kuljettajatietopalvelu laillisesti ja turvallisesti avata.
Selvityksessä arvioitiin, että Liikenteen turvallisuusvirasto Trafin palvelukokonaisuuden tietoturvallisuuden taso on keskimääräistä parempi, verrattuna valtiohallinnon muihin tarkastuskohteisiin, joihin sovelletaan vastaavia tietoturvavaatimuksia. Selvityksen jälkeen osa asiointipalveluista avattiin uudelleen lauantaina 15.12.
Alustavan selvityksen jälkeen Liikenteen turvallisuusvirasto tilasi Viestintäviraston pyynnöstä toisen laajemman palvelu- ja järjestelmäkokonaisuuden jatkoarvioinnin Nixu Certification Oy:ltä, joka on tietoturvallisuuden arviointilaitoksista annetussa laissa tarkoitettu arviointilaitos. Viestintävirasto osoitti arvioinnille valvojan.
Jatkoarviointi valmistui 19.12. Myös siinä asiointipalvelun arvioitiin olevan paremmalla tasolla kuin useat muut vastaavat valtionhallinnon järjestelmät. Arvion mukaan kuljettajatietopalvelun määrittely ei kuitenkaan ollut kaikilta osin onnistunut. Kuljettajatietopalvelua ei ole sellaisenaan palautettu käyttöön.
Viestintävirasto, Liikenteen turvallisuusvirasto sekä Liikenneviraston tietyt toiminnot yhdistyvät vuoden 2019 alussa. Liikenne- ja viestintäministeriö pyysi Liikenne- ja viestintäviraston pääjohtajana aloittanutta Kirsi Karlamaata selvittämään viraston sähköisten palveluiden suunnitteluun, tuotantoon ja ylläpitoon liittyvät käytännöt. Työstä pyydettiin toimittamaan ministeriölle väliraportit touko- ja syyskuun loppuun mennessä. Loppuraportti selvityksestä pyydettiin 16.12.2019 mennessä.
Ministeriön otti vastaan selvityksen väliraportin 28.5. Julkinen väliraportti löytyy valtioneuvoston hanketietopalvelusta osoitteesta https://valtioneuvosto.fi/hanke?tunnus=LVM015:00/2019
Mitä seuraavaksi?
Liikenne- ja viestintäviraston sisäinen selvitys jatkuu. Ministeriö on pyytänyt virastoa toimittamaan seuraavan väliraportin syyskuun loppuun mennessä. Loppuraportti selvityksestä on pyydetty 16 joulukuuta mennessä.
Väliraporttien ja myöhemmin loppuraportin havaintoja hyödynnetään liikenne- ja viestintäministeriön johdolla hallinnonalan toiminnan kehittämisessä.
Ministeriö kannustaa kaikkia valtionhallinnon organisaatioita hyödyntämään analyysin tuloksia omien palveluidensa tietosuojan ja -turvan varmistamisessa.
Lisätietoja
Laura Vilkkonen, ylijohtaja (Tieto-osasto), p. 040 500 0817, Twitter @vilkkonen
Kirsi Karlamaa, pääjohtaja, Liikenne- ja viestintävirasto, p. 029 539 0403
Tiedote 12.12.2018: Ministeriö sai selvitykset Trafin palveluiden tietosuojasta ja -turvasta
Tiedote 13.12.2018: LVM:n arvio selvityksistä – Trafin palveluita pyritään avaamaan mahdollisimman pian
Tiedote 14.12.2018: Trafin sähköiset asiointipalvelut avataan osittain 15.12.2018
Tiedote 14.12.2018: Ylen uutisen johdosta
Tiedote 19.12.2018: Ministeriö sai toisen arvion Trafin palveluiden tietosuojasta ja -turvasta
Tiedote 19.12.2018: Kirsi Karlamaa Liikenne- ja viestintävirasto Traficomin pääjohtajaksi
Tiedote 19.12.2018: Trafissa käynnistetään sisäinen selvitys sähköisistä palveluista
Valtioneuvoston hanketietopalvelu: Selvitys Liikenteen turvallisuusviraston sähköisistä palveluista LVM015:00/2019
Valtioneuvoston hanketietopalvelu: Liikenne- ja viestintävirasto Traficomin julkinen väliraportti 27.5.2019