Digipooli
Uutinen

Digipoolin vuosikertomus 2021

Digipoolin vuosikertomus 2021

Yleistä

Digipooli on huoltovarmuusorganisaatiossa (HVO) poikkileikkaavana toimintona digitaalisen yhteiskunnan varautumista edistävä yritysten ja viranomaisten verkosto. Digipoolin keskeinen tehtävä on edistää kriittisen elinkeinoelämän sekä infrastruktuurin kyberturvallisuutta ja lisätä yleistä luottamusta digitaalisen yhteiskunnan perusrakenteisiin.

Digipooli osallistuu vuosittain kyberuhkien systemaattiseen tunnistamiseen, laatii selvityksiä, suosituksia ja ohjeita kyberriskien hallintaan sekä järjestää itse ja yhdessä muiden poolien kanssa aiheeseen liittyviä harjoituksia.

Vuonna 2021 Digipoolin toiminnan keskeiset painopisteet olivat:

  • viestintä ja vaikuttavuus
  • toimialojen kyberkyvykkyyksien kehityskohteet
  • osallistuminen Huoltovarmuuskeskuksen (HVK) DT2030-ohjelmaan ja
  • yritysverkoston toiminnan edistäminen.

Näiden lisäksi Digipooli toteutti erikseen sovittuja projekteja ja teki mm. avauksia kansainväliseen yhteistyöhön liittyen (esim. harjoitusyhteistyö Ruotsin turvallisuusvirasto MSB:n kanssa sekä esiintymiset FIRST- ja BCI World -konferensseissa).

Vuonna 2021 Digipoolin toiminnan keskeisiin tavoitteisiin kuului erityisesti TIETO20-harjoituksen järjestäminen, TIETO22-harjoituksen suunnittelutyö sekä harjoitustoiminnan kehitys.

 

Harjoitustoiminta

TIETO20-harjoituksen järjestäminen

TIETO20-harjoituksen intensiivivaihe järjestettiin tammikuussa 2021 ensimmäistä kertaa koronapandemian vuoksi siten, että harjoittelijat osallistuivat peliin etänä. Osallistujat käyttivät harjoitusta varten rakennettua alustaa, ja peliä ohjaavat tiimit toimivat koronaturvallisesti Helsingin Pasilan Iso Paja -kiinteistössä. Harjoituksen havaintoja ja oppeja käsiteltiin webinaarina järjestetyssä purkutilaisuudessa. Harjoituksesta kertynyttä tietoa kerättiin ja analysoitiin myös harjoitusraporttiin intensiivivaiheesta kesäkuuhun 2021 asti. Lisäksi vuoden lopussa järjestettiin seurantaseminaari, jossa pureuduttiin harjoitukseen osallistuneissa organisaatioissa tapahtuneeseen kehitykseen.

TIETO22-harjoituksen suunnittelu

Kun TIETO20-harjoitus oli huipentunut intensiivivaiheeseen ja sitä seuranneeseen purkutilaisuuteen, aloitettiin TIETO22-harjoituksen suunnittelu. Digipooli loi Huoltovarmuuskeskuksen kanssa pohjan tulevalle harjoitukselle kirjaamalla reunaehtoja sekä odotuksia. Kantavana ajatuksena on säilyttää TIETO20-harjoituksen hybridiluonne mahdollistamalla näin entistä laajempi ja koronapandemiasta riippumaton toteutus.

Harjoitus- ja koulutustoiminnan kehittäminen

Vuonna 2021 Digipooli aloitti yritystarjooman suunnittelun. Työ aloitettiin tuottamalla koulutus- ja harjoitustoimintaa varten taustamuistio, joka luotasi laajasti kotimaista kyberalueen koulutus- ja harjoitustoimintaa. Taustamuistio keräsi paljon palautetta ja sitä käsiteltiin useissa sidosryhmäorganisaatioissa. Laajasta käsittelystä ja palautteesta johtuen koulutus/harjoitustarjoomaa ei ole vielä lähdetty päivittämään, mutta Digipoolilla on nyt erinomainen pohja harjoitus- ja koulutustoiminnan kehittämiseksi vuodelle 2022.

 

Huoltovarmuuden tilannekuva

Edellisvuonna julkaistun Kyberturvallisuuden tila toimialoilla -selvityksen toimialakohtaisia tuloksia esiteltiin useita kertoja vuoden 2021 aikana mm. osana Huoltovarmuusorganisaation tilannekuvaa. Tuloksia esiteltiin poolien järjestämissä työpajoissa, joissa lisättiin pooleille omaan vuosisuunnitelmaan kyberaiheisia toimenpiteitä sekä hahmoteltiin projektiehdotuksia käynnistyvään DT2030-ohjelmaan. Lisäksi selvityksen tuloksia esiteltiin useissa muissa verkostoissa.

Vuonna 2021 Kyberturvallisuuskeskus jatkoi kyberturvallisuuden tilannekuvan tuottamista, ja Digipooli täydensi sitä muun Huoltovarmuusorganisaation kanssa omalta alaltaan.

Tilannekuvan keruuta tehtiin jäsenyrityksille kuukausittain toistuvalla webropol-kyselyllä. Lisäksi koronaviruspandemian johdosta Digipooli järjesti vuoden 2021 aikana jäsenistölleen kuukausittain tilannekatsauksia, joissa käytiin läpi Kyberturvallisuuskeskuksen tilannekuvaa, HVK:n tilannetiivistelmät sekä Digipoolin täydennyksiä.

Kyberturvallisuuden tilanne toimialoilla 2022 -projektin suunnittelu ja kilpailutus

Tavoitteena on toistaa selvitys kahden vuoden välein. Jotta seuraava selvitys voidaan tehdä suunnitellusti vuonna 2022, selvityksen toteutus oli suunniteltava ja kilpailutettava vuonna 2021. Suunnittelu aloitettiin hahmottelemalla toimeksiantoa projektin kilpailuttamiseksi. Toimeksiannossa huomioitiin edellisen selvityksen myötä saadut opit sekä odotukset, joita oli kertynyt edellisen kierroksen tuloksena. Suunnittelutyössä päädyttiin nostamaan tavoitetasoa, jotta selvitykseen saataisiin mukaan sekä entistä suurempi otos yrityksiä eri toimialoilta että useampia toimialoja. Tarjouskilpailun voittaja on valittu ja sopimus allekirjoitetaan rahoituspäätöksen myötä.

DT2030-ohjelmaan osallistuminen

Digipoolilla on ollut merkittävä rooli Huoltovarmuuskeskuksen Kyber2020-hankeohjelmassa. Pooli on ollut mukana myös määrittelemässä Digitaalinen turvallisuus 2030 -ohjelmaa (DT2030) ja sen tavoitteita. Digipoolin henkilöstö ja alaryhmien yritysedustajat osallistuivat tiiviisti DT2030-ohjelman suunnitteluun erillisten työpajojen ja projektiaihiokäsittelyiden kautta. Pooli seurasi aktiivisesti hankkeiden edistymistä ja osallistui hankeohjelman viestintään.

Julkaisut 

Digipooli on toteuttanut myös projekteja, joiden käynnistämiselle on ilmennyt muutoin tarvetta. Esimerkki tällaisesta aiheesta on ”Hyvän ICT-palvelun tunnusmerkit” -työnimellä käynnistetty projekti. Erään alihankintasuhteen sopimuksiin liittyvän huonon kokemuksen vuoksi pooli käynnisti projektin, jonka tavoitteena on estää vastaavaa tapahtumasta yrityskentässä laajemmin. Projektia tehtiin pääasiallisesti vuoden 2020 aikana, mutta sen valmiit tuotokset saatiin yritysten käyttöön vuoden 2021 puolella.

Hyvän ICT-palvelun tunnusmerkit

 

Koronaviruspandemian aiheuttama laaja siirtyminen etätyöhön poiki huolen etätyön turvallisuudesta. Digipooli tuotti kaupallisesti sitoutumattoman ohjeen yleisimmistä ja käytetyimmistä etätyövälineistä sekä antaa niiden turvallisuuden parantamiseen vinkkejä suositelluin konfiguraatioin. Etätyövälineohje on yksi Digipoolin ladatuimmista materiaaleista.

Etätyövälineohjeistuksen päivitys 2021

 

Etätyövälineohjeistusten lisäksi tunnistettiin tarve nostaa esiin yritysten tekemiä toimenpiteitä etätyönteon turvallisuuden varmistamiseksi. Digipooli aloitti projektin, jonka tuloksena yrityksistä kerätyt parhaat käytänteet on yhdistetty ohjeeksi, jonka avulla yritys voi kehittää etänä työskentelyn turvallisuutta. 

Ohjeita turvalliseen etätyöhön

 

Muut hankkeet & projektit

Kiinteistö- ja rakennusalan (KIRA) kyberturvallisuus
Kiinteistö- ja rakennusalan (KIRA) kyberturvallisuus oli yksi vuoden 2021 edistettävistä teemoista. Digipooli edisti toimillaan edellisvuosina aloitettuja toimenpiteitä. Toimenpiteitä tekivät niin poolisihteerit (Rakennuspooli ja Digipooli) kuin myös hankittu asiantuntija.

Digipoolin vuonna 2020 valmistuneet ohjekortit Rakennustietosäätiön (RTS) kortistoon toimivat pohjana monille toimenpiteille. Ohjekortteja on tarkoitus pilotoida alan kohteissa ja yhteistyötä pilottikohteiden löytämiseksi jatketaan Asuntomessujen kanssa.

Digipoolin ja Rakennuspoolin ohjauksessa käytiin läpi Rakennustietosäätiön sekä Sähkötiedon kyberturvallisuusohjeistukset mahdollisten päivitystarpeiden löytämiseksi. Vuoden 2021 aikana Digipoolin palkkaama asiantuntija on tukenut RTS- ja ST-kortistojen ohjeiden päivitystä ohjeiden luonnollisessa päivityssyklissä.

Vuoden 2021 aikana oli muussa yhteydessä herännyt myös tarve tuottaa ohjeistusta varsinaisten (tila)turvallisuusjärjestelmien digitaalisen turvallisuuden tukemiseksi. Työtä varten koottiin monialainen asiantuntijatyöryhmä, joka alkoi tuottamaan ohjeistusta. Kirjoitustyötä jatketaan vuoden 2022 puolella.

Reilun datatalouden sääntökirjan tietoturvalaajennus

Vuoden 2021 aikana Digipoolin ryhmissä ja projekteissa käsiteltiin aiheita, jotka liittyivät yleistyvään keskusteluun alustataloudesta. Huomiota kiinnitettiin alustatalouteen ja siihen liittyvän tiedonjaon tietoturvallisuuteen. Digipoolissa nähtiin tarpeellisina löytää keinot vaikuttaa alustatalouden kehitykseen siten, että tietoturvakysymykset nousisivat esiin jo hankkeiden alkuvaiheessa.

SITRAn tuottaman Reilun datatalouden sääntökirjaa laajennettiin tarpeelliseksi katsottujen aiheiden, kuten juridiikan osalta. Digipoolin työryhmissä päätettiin laatia myös tietoturvaan keskittyvä laajennusosa, joka olisi ensimmäinen kotimainen aihetta käsittelevä ohje. Toimintakertomusta kirjoitettaessa laajennusosan sisältö on määritelty ja kirjoitustyö käynnistynyt.

Vartiointialan projektit

Vartiointialan toiminnan kehittäminen jatkui suunnitellusti vuoden 2021 aikana johtaen lopulta Vartiointialan tai yksityisen turva-alan oman poolin käynnistämiseen tähtääviin toimiin. Turvallisuus- ja riskienhallintaryhmä sekä vartiointiryhmä kokoontuivat säännöllisesti läpi vuoden toteuttaen tarpeelliseksi näkemiään toimia, kuten lakiselvityksen alan toimintaedellytyksistä sekä selvityksen palveluiden peitosta Suomessa. Huoltovarmuusorganisaatio jatkoi jo aiemmin aloitettua Suojattavat kohteet (SUOKO) -projektia.

#Strategia22-projekti

Kyberturvallisuuden tilanneselvitys vuodelta 2020 painotti yritysten strategiatyön tukemista. Selvityksen perusteella vaikutti siltä, että kotimaisten yritysten strategiatyössä on tarve huomioida nykyistä paremmin digitaalinen turvallisuus, jotta liiketoiminta kestäisi kyberhäiriöt nykyistä paremmin.

Strategia22-projekti alkoi vuonna 2021 kartoittavalla kyselyllä, jolla selvitettiin, millaiset lähtökohdat yrityksissä on strategiatyölle, kuinka strategioita muodostetaan ja millaisiin kyberturvallisuuden toimenpiteisiin strategia yrityksissä johtaa. Projektin toisena osana olivat osallistavat tapahtumat, joiden avulla tuettiin ja autettiin yrityksiä kehittämään omaa strategiaansa. Projektin tulevissa tapahtumissa 11.1.2022 ja 9.3.2022 aiheina ovat ”Digiturvallisen yrityksen strategialla johtaminen” ja ”Turvallisuus vastuullisen yrityksen strategisena kilpailuetuna”.

Kyselyn ja tapahtumien kautta saatiin ja saadaan yhä ideoita ja aiheita, joihin poolin toiminnalla voidaan jatkossa vaikuttaa. Tavoitteena on laatia raportti ja ohjeistus, jossa annetaan neuvoja liiketoiminnan digitaalisen turvallisuuden huomioimiseen strategiatyössä sekä sen johtamiseen.

 

Poolin viestintä

Yllä mainittujen toimien lisäksi pooli viesti toiminnastaan sosiaalisen median kanavissa (Twitter ja LinkedIn), HVO Extranet -portaalissa ja omilla verkkosivuillaan. Digipooli noudatti strategian pohjalta vuodelle 2021 tehtyä viestintäsuunnitelmaa. Näkyvimpiä aiheita olivat TIETO-harjoitukset ja toimialojen kyberturvallisuuden tila.

Tapahtumanäkyvyyttä saavutettiin TIETO-harjoituksen tapahtumilla, Digitaalinen turvallisuus HVO:ssa -tapahtumalla, #Strategia22-projektin tapahtumalla sekä Digipoolin vuosiseminaarilla #DigiSignaali21.

Lisäksi Digipooli toteutti tehtäväänsä ja tuki myös muiden poolien ja viranomaisten toimintaa mm. osallistumalla seminaareihin, koulutustilaisuuksiin ja muihin poolin toiminnan kannalta keskeisiin tilaisuuksiin.