Ympäristöasiat samoin kuin turvallisuusasiat näkyvät usein vain huolenaiheina julkisessa keskustelussa. Miten digiturvallisuus liittyy ympäristöasioihin? Podcast-vieraana tietohallintojohtaja Jukka Litmanen ympäristöministeriöstä.
Merkkien selitykset:
[?] = sanan kirjoitusasusta ei voi olla täysin varma, mutta merkitys on ainakin sinne päin. Sanan äänityskohta merkitään tekstiin ylös esim. [sana? 00:15:44]
[??] = sanasta ei voinut saada selvää, joten se on täysin epävarma tai sitä ei voitu kirjata ylös lainkaan. Sanan äänityskohta merkitään tekstiin ylös esim. [?? 00:15:44]
[tekstiä] = äänet tai litteroimatta jätetyt kohdat merkitään tekstiin hakasulkeisiin, esim. [naurahtaa] tai [haastattelu keskeytyy hetkeksi, kun haastateltava vastaa puhelimeen]
------------------------------------------------------------------------------------------------------------------------
[äänite alkaa]
Puhuja 1 [00:00:01]: Hei, olen Tuija Kuusisto. Toimin valtiovarainministeriössä tietohallintoneuvoksena.
Puhuja 2 [00:00:07]: Ja minä olen Kimmo Rousku. Toimin Digi- ja väestötietovirastossa eli DVV:ssä vahtipääsihteerinä. Tuijan kanssa me molemmat tahdomme edistää julkisen hallinnon digiturvallisuutta ja sitä kautta luottamusta yhteiskunnassa ja Suomen kilpailukykyä.
Puhuja 1 [00:00:23]: Tässä Digiturvakompassi -sarjassa tapaamme julkisessa hallinnossa vaikuttavia henkilöitä. Mitä on turvallisuus digimaailmassa? Mihin suuntaan digiturvaa pitäisi kehittää? Tässä joitakin kysymyksiä yhdessä pohdittaviksi.
Puhuja 2 [00:00:38]: Ai siis mikä ihmeen digiturva? Digitaalisen turvallisuuden avulla huolehditaan riskienhallinnasta sekä toiminnan jatkuvuudesta, tietoturvasta ja tietosuojasta sekä edistetään kyberturvallisuutta. Digiturva huolehtii meidän kaikkien tarvitsemien digipalveluiden toimivuudesta ja isona kokonaisuutena myös koko Suomen kyvystä selvitä erilaisista digimaailman häiriöistä ja hyökkäyksistä.
Puhuja 1 [00:01:05]: Tänään tässä meidän Digiturvakompassi -podcastsarjassa on vieraana tietohallintojohtaja Jukka Litmanen ympäristöministeriöstä. Hyvää iltapäivää, Jukka, ja sydämellisesti tervetuloa tähän meidän podcastiimme.
Puhuja 3 [00:01:19]: Kiitoksia, mukavaa olla keskustelemassa näistä ajankohtaisista tietoturva-asioista.
[musiikkia]
Puhuja 1 [00:01:38]: Kun miettii ympäristöministeriötä, niin ehkä mieleen tulee ensimmäisenä ilmastonmuutos, metsien monimuotoisuuden väheneminen, järvien, merien, lampien ja muiden vesistöjen saastuminen. Aika usein nämä ympäristöasiat näyttäytyvät vain huolenaiheina, ainakin ehkä julkisessa keskustelussa ja sama koskee tietenkin rakentamistakin. Yksiöitä rakennetaan liian paljon, miksi ei tehdä edullisia perheasuntoja? Nämä ovat ainakin näitä viime aikojen keskusteluja täällä Uudellamaalla, samalla kun ehkä muualla Suomessa painitaan tyhjilleen jäävien asuntojen ongelmissa. Mutta tässä meidän podcastissahan me puhumme digitaalisesta turvallisuudesta. Miten Jukka digitaalinen turvallisuus liittyy ympäristöasioihin?
Puhuja 3 [00:02:33]: Digitaalinen turvallisuus myös täällä ympäristöpuolella liittyy lähinnä meidän sähköisiin palveluihin. Niitä on nyt tämän digitalisaation myötä kovasti lisätty myös ympäristöpuolella. Muun muassa ympäristölupien käsittely, hakeminen, myöntäminen ja lisätietojen pyytäminen on nykyään täysin sähköistä ja erittäin voisi sanoa myös arkaluontoista näin turvallisuuden kannalta. Myös materiaalien kierrätyspuolella meillä on uusia sähköisiä ratkaisuja, johon tietysti kyllä vaaditaan vahvaa tunnistautumista, mutta silti digitaalinen turvallisuus niissä on hyvin keskeistä tänä päivänä. Myös ympäristöasioissa nämä turvallisuusasiat tulevat esiin päivä päivältä yhä enemmän.
Puhuja 2 [00:03:19]: Ei ole oikeastaan olemassa toimialaa, johon digitalisaatio ei olisi tuonut omaa muutostaan. Olen yrittänyt keksiä ja löytää, ja mietin että olisiko edes tällä toimialalla jotain sellaista, mutta kyllä tuntuu digitalisaatio hyvin myös etenevän teillä siellä. Nyt kun toimit tietohallintojohtajana ympäristöministeriössä, niin millaisia asioita työpöydälläsi tällä hetkellä liikkuu eli mitkä ovat niitä ajankohtaisia tähän hetkeen liittyviä teemoja?
Puhuja 3 [00:03:51]: Kiitos Kimmo kysymästä, meillä on tässä kaksi tai tietysti useampiakin, mutta kaksi ehkä tavallista isompaa järjestelmäuudistusta menossa. Ensimmäisenä jonka haluan mainita, niin tehdään Suomen ympäristökeskuksen kanssa vesienhoidon suunnittelujärjestelmän uudistamista ja aikalailla tietysti tällaiset vesiin liittyvät tiedothan ovat avointa tietoa. Suomen ympäristökeskus julkaisee niitä avoin data -palvelussa, mutta siellä on myös arkaluontoista tietoa, muun muassa pohjavesialueisiin liittyvää tietoa ja muuta tällaista eli olemme siinä joutuneet pohtimaan, että miten tämä arkaluontoinen tieto säilytetään. Meidän perusratkaisu tulee olemaan pilvipalvelussa, mutta esimerkiksi nämä tietyt pohjavesitiedot me tulemme pitämään omassa konesalissa eli tulemme yhdistämään pilvipalvelun ja oman konesalin tietovarantoja. Tuntuu mielenkiintoiselta asialta ja itsekin odotan, että miten siinä meidän järjestelmätoimittaja onnistuu. Toinen ehkä vielä isompi hanke meillä, minkä Tuija tuossa alkujuonnossa jo mainitsikin, on tämä rakennetun ympäristön kehittäminen. Suomessa ei tällä hetkellä ole tällaista keskitettyä tietovarantoa, tietopankkia rakennuksista, kaavatiedoista, rakennusluvista, myös rakennuksen elinkaareen liittyvistä tiedoista ja tätä ollaan nyt tässä suunnittelemassa. Siinä kyllä tietoturva-asiat korostuvat todella paljon, koska sen järjestelmän on tarkoitus kommunikoida Veron kanssa, kaikkien kuntien kanssa, Maanmittauslaitoksen kanssa ja siellä kyllä liikkuu aika paljon henkilötietoja ja myös muita hyvin arkaluontoisia tietoja. Tässä hankkeessa me ollaan tämä tietoturvaselvitys käynnistetty nyt jo järjestelmämäärittelyn kanssa rinnalla, eli teemme sitä hyvin etunojassa niin että jo määrittelyssä huomioimme kaikki tietoturvaan liittyvät asiat. Tällaisia on tällä hetkellä ehkä eniten työpöydälläni.
Puhuja 2 [00:06:00]: Tuohon voisi ehkä vielä nostaa sen, että itselläni oli käsitys se että teillä ei juurikaan ikään kuin henkilötietoja ehkä käsiteltäisi niin paljon kuin monella muulla hallinnon alalla tai ministeriöissä, mutta jälleen kerran olin väärässä, kun kerroit nyt siitä nimenomaan että kyllä henkilötiedot ja siihen liittyvät kytkennät taas sitten muihin toimijoihin ovat keskeisessä roolissa.
Puhuja 3 [00:06:26]: Kyllä.
Puhuja 1 [00:06:29]: Mielenkiintoisia uusia kehittämishankkeita teillä on menossa ja tiedon määrähän jatkuvasti kasvaa, ja myös se faktatiedon tarve. Ihan oikein kerroit, että noita tietojahan ei keskitetysti, esimerkiksi rakentamiseen liittyviä tietoja, ole tällä hetkellä saatavilla. Tämä on oikein hyvä, että nyt tätä tiedon tarvetta olette lähteneet sitten täyttämään. Tosiaan tietoahan meillä tässä ympäristössä virtaa jatkuvasti ja siellä virtaa näitä faktatietoja, joita viranomaiset sitten pyrkivät viestimään. Ja sitten toisaalta kuten tiedetään, niin meillä on erilaista disinformaatiota, ihan valeuutisia tai sitten disinformaatiota, tällaisia vahingossa tehtyjä virheellisiä uutisia ja niistä on aika voimakkaitakin näkemyksiä sitten nimenomaan tästä, että mikä nyt on faktaa ja mikä fiktiota. Mutta miten sitten ympäristöministeriön hallinnon alalla, olisiko sieltä jotain käytännän esimerkkejä siitä, että miten tämä disinformaatio eli tällaiset valeuutiset mahdollisesti näkyvät tai ehkä sitten ylipäätään tällainen yksityisten henkilöiden tai sitten organisaatioiden tai viranomaisten tahalliseen vahingoittamiseen pyrkivä viestintä tai muu tällainen tietojen sanoisinko ehkä negatiivisiin lopputuloksiin pyrkivä käyttö?
Puhuja 3 [00:07:53]: No joo, meillä ympäristötoimiala on kyllä siten, pyrimme pitämään sitä hyvin avoimena tiedon suhteen, haluamme jakaa tietoa avoimesti ja rakentaa rajapintoja, joista ympäristötietoa on hyvin saatavilla. Me emme ehkä tällaista henkilöön kohdistuvaa negatiivista viestintää onneksi ole niin paljon saatu tai törmätty siihen, mutta yksi asia nousee mieleen missä tuo disinformaatio on kyllä verrattain voimakasta, ainakin täältä ministeriön näkökulmasta. Se on tuo ilmastonmuutos. Kuten tietysti tiedätte, tästä ilmastonmuutoksesta on jo paljon tutkimustyötä ja on selvästi tieteellisesti osoitettu, että se on tapahtumassa ja syytkin ovat aika pitkälti selvillä, mutta siihen liittyy kyllä paljon disinformaatiota. Muun muassa tuolta erään ison valtion edellinen presidentti oli kyllä aika kova lähettämään erilaista disinformaatiota omasta mielestäni asiaan liittyen, mutta onneksi nyt sielläkin asia näyttää korjaantuvan. Disinformaatiolla on suuri negatiivinen vaikutus ja täällä julkishallinnossa joudutaan paljon sen kanssa taistelemaan ja perustelemaan niitä omia kantoja ja siihen kyllä kuluu paljon energiaa sen kumoamiseen. Mielestäni se on sillä tavalla vähän ikävä ilmiö kyllä, mutta ei nyt onneksi sen enempää tule näin ympäristötoimialalta mieleen.
Puhuja 2 [00:09:34]: Nyt tuosta voi tietysti ajatella, että Suomi joka on hyvin digitalisoitunut kansakunta, niin aikaisemmin puhuttiin lukutaidosta, nyt puhutaan ehkä enemmän juuri tällaisesta digitaalisesta lukutaidosta, medialukutaidosta, niin tämä on varmasti yksi meidän pelastuksemme että meillä käyttäjät ovat sivistyneitä ja ymmärtävät. Mutta kyllä itsekin olen viimeisen vuoden, kahden aikana havainnut, että ei tämä Suomessakaan ehkä ole niin hyvällä tasolla kuin mitä se voisi olla ja näitä asioita kannattaa kyllä tiiviisti koko ajan esille tuoda. Tästä päästäänkin siihen, että me olemme olleet aikamoisessa muutoksessa viimeisen parin vuoden aikana täällä digitaalisessa toimintaympäristössä. Toki niiden mahdollisuuksien osalta mitä se tarjoaa, siis aina kannattaa muistaa se, että digimaailma tarjoaa loistavia mahdollisuuksia kehittää toimintaa, tuottaa palveluita, mutta toisaalta nyt on tapahtunut selkeä muutos onnistuneiden kyberhyökkäysten määrässä ja vaikutuksessa. Nyt etenkin viimeisen reilun vuoden aikana on ollut aika paljon näitä erilaisia kiristyshaittaohjelmia. Toisaalta meitä käyttäjiä vastaan kohdistetaan kaikilla oikeastaan kuviteltavissa olevilla medioilla erilaisia huijauksia ja muita hyökkäyksiä, jossa meidän tietoja udellaan ja kalastellaan ja yritetään saada taloudellista hyötyä. Millaisia vaikutuksia tällaisella kyberturvallisuustilanteen globaalilla pahenemisella on ollut ympäristöministeriön näkökulmasta?
Puhuja 3 [00:11:11]: Se tilanne on kyllä voisi sanoa jopa valitettavasti kovasti huonontunut tässä viime aikoina ja se on kyllä meilläkin johtanut siihen, niin kuin tuossa rakennetun ympäristönkin esimerkissä jo kerroin, niin me joudumme näihin tietoturva-asioihin kiinnittämään entistä enemmän huomiota kun uudistamme järjestelmiä ja kun teemme näitä ympäristöpuolen sähköisiä palveluita. Sen lisäksi olemme myös tiedostaneet, että oman henkilökunnan tietämyksellä ja osaamistasolla juuri muun muassa valeviestien tunnistamisen suhteen on kovasti merkitystä. Olemme siellä ottaneet erilaisia apuvälineitä, muun muassa tällaisen Hox Huntin käyttöön, joka lähettää meidän henkilökunnalle huijausviestejä ja katsoo, että tunnistavatko meidän virkamiehet ne vai klikkaavatko niitä linkkejä, jotka sitten oikeassa tapauksessa olisivat johtaneet aika ikäviin jatkoseuraamuksiin, eli kyllä tilanne on kovasti muuttunut. Myös meidän henkilökunta on saanut näitä kiristysviestejä, niitä on tullut meille useampia ja myös huijauspuheluita on tullut, jossa on esiinnytty muun muassa Microsoftin tukihenkilöinä ja yritetty saada sitä kautta käyttäjiä tekemään asioita. Mutta ehkä onneksi meidän kohtuullisen kuitenkin tämän henkilökunnan koulutuksen ja muun johdosta ollaan vältytty pahoilta vaurioilta, ollaan havaittu ne. Ja jos joku on vahingossa jotain klikannut, hän on kuitenkin heti tajunnut, että nyt tuli tehtyä väärin ja ollaan sitten heti aina saatu haittatoimet estettyä.
Puhuja 1 [00:13:05]: Tämä jatkuva oppiminen ja myös tämä jatkuva koulutus, niin sehän on tietysti meille kaikille tärkeää ja se, että kun nämä huijarit tulevat koko ajan yhä etevämmäksi, että kuitenkin pysyisimme pikkuisen edellä ja pystyisimme sitten tunnistamaan että tämä on huijaus. Toisaalta sitten kolikon kääntöpuolihan on se, että jos keneenkään tai mihinkään ei voi enää luottaa, niin yhteiskunnassa yhdessä toimimisesta tulee kyllä tavattoman vaikeaa. Kyllähän sitä luottamustakin tarvitaan ja luottamusta siihen, että viranomaiset toimivat meidän yhteiseksi hyväksi ja ovat lähtökohtaisesti luotettavia. Tietenkin myös siihen, että toinen toisillemme olemme luotettavia henkilöitä, muutenhan yhteiskunta lakkaa olemasta. Tähän liittyy tietenkin keskeisesti luottamus myös turvallisuuteen. Digi- ja väestötietovirasto tekee säännöllisesti näitä digibarometrikyselyitä ja siellähän on tämä yleinen mittaustulos, että noin 80 prosenttia vastaajista luottaa siihen että viranomaiset käsittelevät turvallisesti ihmisten henkilö- ja muita tietoja. Eli nytkin kun te olette ympäristöministeriössä sitten rakentamassa näitä uusia järjestelmiä tästä rakennetusta ympäristöstä, niin lähtökohtaisestihan me luotamme että siellä meidän tietojamme käsitellään oikein. Mutta sitten jos puhutaan yrityksistä, niin luottamuksen tila on paljon heikompi, yrityksiin luottaa vain 27 prosenttia. Mutta miten tietohallintojohtaja Jukka Litmanen näet, että mitä sinusta on luottamus?
Puhuja 3 [00:14:48]: Minusta luottamus on sitä, että palveluiden käyttäjä voi luottaa siihen että hänen antamansa tiedot pysyvät turvassa eikä niitä väärinkäytetä. Tässä on tosiaan ollut ehkä nyt enemmän yrityspuolella tosi ikäviä tapauksia, josta yksi jäi ainakin omaan mieleeni hyvin voimakkaasti, joka koski henkilötietoja. Se oli tämä Vastaamon tapaus, jossa jopa potilastietoja on päässyt vääriin käsiin ja kun se oli vielä aika iso tapaus, niin kyllähän se syö kansalaisten luottamusta ja kun siinä vielä kävi ilmi, että tämä yritys oli hyvin alkutekijöissään jos näin voi sanoa tietoturva-asioissa. Siellä oli tehty aivan sellaisia käsittämättömiä kömmähdyksiä ja itse asiassa virheitä. Ei ollut ymmärretty eikä ollut pyydetty asiantuntija-apua silloin kun sitä olisi pitänyt pyytää, ei ollut tehty auditointeja eikä muita asioita kuntoon. Ikävä esimerkki ja senkin pohjalta ymmärrän, että tuo luottamus yrityksiin on noin alhaisella tasolla kansalaisten joukossa. Nyt on viime aikoina ollut kovasti uutisissa myös näistä huijaussivustoista. Ihmiset nykyään on opetettu käyttämään sähköisiä pankkipalveluita, sähköisiä Kelan omakanta -palveluita ja nykyään niissäkin täytyy olla todella tarkkana kun niihin pankkitunnuksilla kirjaudutaan, että olemmeko varmasti aina oikealla sivustolla vai ovatko minun pankkitunnukseni menossa itse asiassa väärään paikkaan. Ikäviä uutisia on ollut kyllä viime aikoina lehdistössä.
Puhuja 2 [00:16:33]: Tämä nimenomaan korostaa tätä meidän käyttäjien roolia eli käytännössä useimmat tietomurrot tai muut väärinkäytökset, hyökkäykset ovat seurausta joko meidän omasta vahingossa tapahtuvasta toiminnasta tai toisaalta siitä, että näiden järjestelmien suunnittelijat, pääkäyttäjät ja vastaava henkilökunta, siellä tapahtuu inhimillisiä erehdyksiä, useimmiten inhimillisiä eikä tietoisia. Kyllähän tässä nimenomaan taas voidaan todeta, että käyttäjä ja tavallinen kansalainen nousee keskiöön. Onko jotain muita keinoja miten me voitaisiin kansalaisten luottamusta vahvistaa tähän digitaaliseen toimintaympäristöön ja meidän palveluihin?
Puhuja 3 [00:17:18]: Itse jotenkin koen tämän luottamuksen vahvistamisen, että se on myös tällainen viestintäasia. Meidän pitäisi avoimemmin kertoa siis miten tietoturva on rakennettu, miten olemme huomioineet sitä, miten olemme tehneet erilaisia auditointeja. Tietysti emme paljasta sellaisia arkaluontoisia asioita liittyen tietoturvaan, mutta meidän pitäisi viestiä yhä enemmän, että tietoturvaa on huomioitu, me olemme rakentaneet järjestelmän niin että ne ovat tietotietoturvallisia. Ja myös kuten nyt tehdäänkin, että näistä uhkakuvista kyllä on kovasti viestitty ja saatu lehdistökin viestimään, että nyt muun muassa omakanta -palveluista on tällaisia huijausyrityksiä, niin se lisää ihmisten luottamusta kun he näkevät, että yhteiskunta on varuillaan ja viestittää voimakkaasti näistä asioista ja ohjeistaa kansalaisia. Uskon, että se edelleen vahvistaisi luottamusta.
Puhuja 1 [00:18:22]: Miten sitten Jukka, muistan että oltiin kollegoita, silloin ei oltu virkamiehiä vaan siellä yksityissektorilla 90-luvulla jo ja siitähän tietysti maailma on kovasti muuttunut, mutta tässä tietohallinnon, tietotekniikan ammattilaisina ollaan molemmat oltu nyt sitten vuosikymmeniä. Miten tässä sitten historiankin aikana ja etenkin tällä hetkellä, niin miten Jukka huomioit sitten digitaalisen turvallisuuden ihan omassa elämässäsi?
Puhuja 3 [00:18:49]: Kyllä nyt kun tämä tilanne tosiaan kiristyy, vaikka kokee itsensä tietotekniikan ammattilaiseksi, niin saa olla kyllä aika huolellinen muun muassa kun pankkiasioita hoitaa ja laskuja ottaa vastaan. Pankeissa asioin itse ainoastaan näillä mobiilisovelluksilla ja minulla on sen verran uusi puhelin, että siinä on jo nämä tällaiset kasvotunnistusominaisuudet käytössä, joka edelleen parantaa sitä että ei joku muu pysty meikäläisen kasvoilla sinne tunnistautumaan. Sitten kun näitä verkkopalveluita on tosiaan käytössä hyvin paljon erilaisia, niin olen kyllä hajauttanut niin että niissä on eri salasanat käytössä. Joskin se sitten johtaa siihen, että niitä salasanoja on paljon ja nekin pitää johonkin saada turvalliseen paikkaan aina talteen. Jos nyt yksi verkkopalvelu jostain syystä vuotaisi minun salasanani niin sillä ei kovinkaan moneen paikkaan pääse. Sitten tietysti juuri nämä työpaikan salasanat, salakäytännöt pidän visusti erillään ja kaikissa verkkopalveluissa käytän henkilökohtaista sähköpostia ja en missään tapauksessa ministeriön sähköpostia. Sitten yleensäkin kun viestejä ja viesteissä olevia linkkejä tulee, niin en kyllä niitä koskaan klikkaile enkä oikeastaan liitetiedostoja avaa. Kyllähän tuo sähköposti on nykyään siinä mielessä vähän sellainen jopa voisi sanoa epämiellyttävä väline, sinne tulee niin paljon kaikkea turhaa. Yhteenvetona voisi sanoa, että olen kyllä vähän sellainen ylivarovainen jo näiden asioiden suhteen.
Puhuja 1 [00:20:41]: Nyt jos tässä laittaisin sinulle viestin, että katsopa tämä hauska pikkujoulukuva 90-luvulta, niin et klikkaisi sitä?
Puhuja 3 [00:20:49]: En klikkaisi sitä, näin siinä kävisi.
Puhuja 1 [00:20:52]: Näin se on tehtävä.
Puhuja 3 [00:20:52]: Näin siinä kävisi.
Puhuja 1 [00:20:53]: Näin se on tehtävä, koska minulta sellaista viestiä ei tietenkään tule. Mutta tähänhän ne pyrkivät, että ei voi olla totta ja sitten se olikin jo myöhäistä. Mutta kiitos kovasti tästä haastattelusta ja mielenkiintoista kuulla mitä on digiturvallisuus ympäristöministeriön alueella. Kuten Kimmo tässä sanoi, harvemmin sitä tulee pohdittua minkälaisia digiturvakysymyksiä ympäristöasioihin liittyy, mutta ilman muuta digiturvahan läpileikkaa koko meidän yhteiskunnan, niin se on läsnä joka puolella. Kiitos kovasti.
Puhuja 3 [00:21:25]: Kiitoksia kovasti.
Puhuja 2 [00:21:27]: Kiitos.
[äänite päättyy]