Tilannekatsaus tietomurron selvitys- ja korjaustoimenpiteiden etenemisestä

Tiedon hallinta
Sammanträdets övriga ärenden
Det här är en motion

Tilannekatsaus tietomurron selvitys- ja korjaustoimenpiteiden etenemisestä

Helsingfors stadsstyrelse

Päätösehdotus

Kaupunginhallitus päättää merkitä tiedoksi tilannekatsauksen kasvatuksen- ja koulutuksen toimialaan kohdistuneen tietomurron korjaustoimenpiteiden edistämiseksi käynnistetystä Tietoturvajohtamisen muutoshankkeesta.

Esittelijän perustelut

Kaupunginhallitus merkitsi 16.12.2024 § 828 tiedoksi tilannekatsauksen kasvatuksen ja koulutuksen toimialaan kohdistuneesta tietomurrosta ja päätti, että kaupunginhallitukselle tuodaan tilannekatsaus tietomurron selvitys- ja korjaustoimenpiteiden etenemisestä viimeistään vuoden 2025 elokuussa.

Kaupunginhallitus piti välttämättömänä, että tiedonhallinnan, tietoturvan ja henkilötietojen suojan toteutumisen varmistamiseksi käynnistetty toimenpideohjelma toimeenpannaan mahdollisimman pian.

Lisäksi kaupunginhallitus edellytti kaupunginkansliaa ja toimialoja ryhtymään kaikkiin muihin tarvittaviin toimiin, joilla kaupungin ja sen palveluiden tietohallinnon toimivuus ja vahva ja aukoton tietoturva varmistetaan tulevaisuudessa.

Tietoturvajohtamisen muutoshanke on käynnistetty Kansliapäällikön päätöksellä 16.5.2025 § 79, varmistamaan kaupungin ja sen palveluiden tietoturvallisuus.

Tarve merkittävästi nopeuttaa tietoturvaan liittyvää kehittämistä Helsingin kaupungissa todettiin Kasvatuksen ja koulutuksen toimialan tietomurron tutkintatoimien yhteydessä. Tietomurron seurauksena käynnistetyt sekä jo käynnissä olleet kehitystoimenpiteet on koottu kaupungin merkittävien muutoshankkeiden mallin mukaiseksi yhdeksi ohjattavaksi muutoshankekokonaisuudeksi.

Muutoshankkeen myötä havaitut tietoturvapuutteet korjataan, tietomurtotutkinnan yhteydessä saatujen suositusten mukaiset toimenpiteet sekä kyberturvallisuuslain (124/2025) ja tiedonhallintalain 4 a luvun mukaiset velvoitteet toimeenpannaan.

Tämä muutoshanke on jatkoa tietoturvan kaupunkitason toimenpiteille, joita on edistetty vuonna 2020 käynnistyneessä digitaalisen perustan muutosohjelmassa, jonka tehtävä on ollut keskitettyjen, vuoden 2023 alusta DigiHelsinki Oy vastuulle siirrettyjen nimettyjen kaupunkiyhteisten ICT-peruspalveluiden jatkuvuuden, laadun ja tietoturvallisuuden pitkäjänteinen kehittäminen.

Muutoshankkeen tavoitteet ovat:

  • Tarkentaa tietoturvan johtamiseen ja ylläpitoon liittyvät toimintatavat, roolit ja vastuut sekä käytännöt tietoturvan ylläpitämiseksi ja kehittämiseksi
    • Tietoturvajohtamisen vastuut ja tehtävät selkeytetään ja luodaan edellytykset tilannekuvan muodostamiselle. Tämä tarkoittaa kaupunkitasoisesti tietoturvaan liittyvien tehtävien ja vastuiden läpikäymistä ja uudistamista.
  • Vahvistaa kaupungin kykyä tunnistaa ja arvioida tietoturvariskejä sekä reagoida tietoturvapoikkeamiin.
    • Uuden johtamiskäytännön kautta muodostetaan tietoturvan tilannekuva ja tietoturvaa johdetaan riskilähtöisesti toimialojen, virastojen ja liikelaitosten yhteistyönä.  Poikkeamien ja häiriötilanteiden hallintaa vahvistetaan.
  • Rakentaa kaupungin organisaatiorajat ylittävä kyky jatkuvasti tunnistaa sekä toteuttaa tietoturvan korjaustoimenpiteet koordinoidusti ja tehokkaasti.
    • Hankkeen aikana kehitetään nykyistä tietojenkäsittely-ympäristöä vastaamaan tulevaisuuden tarpeita ja kehitetään sen valvontaa. Lisäksi varaudutaan ja ehkäistään häiriöiden syntymistä. 
  • Varmistaa, että osaaminen ja resurssit sekä toimeenpanokyky vastaavat tarpeita toteuttaa ja ylläpitää korkeatasoista tietoturvakulttuuria, prosesseja ja ratkaisuja.
    • Helsingin kaupungin palveluiden tuottamiseen tarvittavat resurssit on tunnistettu ja palveluiden jatkuvuudenhallintaan on selkeät vastuurakenteet. Digitaalisen tiedon käsittelyyn on pelisäännöt sekä toimintamalli, jolla sääntöjen noudattamista valvotaan.

Hanke rakentuu kolmesta osa-alueesta, jotka ovat tietoturvajohtamisen ja organisoinnin uudistaminen, palveluiden jatkuvuudenhallinnan parantaminen ja ICT-palveluiden tekniset korjaustoimet ja investoinnit. Nämä sisältävät yhteensä 13 työkokonaisuutta. Jokaiselle työkokonaisuudelle on laadittu projektisuunnitelma sekä nimetty vastuuhenkilö, joka vie suunniteltuja tehtäviä eteenpäin aikataulun mukaisesti. Hankkeen ohjausryhmä seuraa osa-alueiden edistymistä sekä varmistaa tietoturvatyöhön kohdistettujen resurssien riittävyyden.

Hanketta edistetään hankesuunnitelman mukaisesti. Hankkeessa arvioidaan laitteiden ja tilojen tietoturvan taso ja kovennetaan niiden suojauksia vastaamaan Helsingin kaupungin kiristyneitä tietoturvavaatimuksia. Vuoden 2025 aikana on uudistettu tietoturvan johtamismalli, varmistettu nopea reagointikyky tietoturvahäiriöihin, arvioitu kaupungin kriittiset järjestelmät, laadittu jatkuvuudenhallinnan käsikirja, sekä aloitettu tietoturvavalvomo palvelun hankinta. Hankkeen ohella toimialat ovat edelleen jatkaneet toimenpiteitä tietoturvan ylläpitämiseksi yhdessä DigiHelsinki Oy:n kanssa.

Tietoturvavalvomopalvelun hankinnalla rakennetaan keskeiset kyvykkyydet tilannekuvaa varten ja täydennetään nykyisiä tietoturvakyvykkyyksiä ja olemassa olevia ratkaisuja.

Hankkeen edellyttämät resurssit jakautuvat sisäiseen työhön, ulkopuolelta hankittavaan konsulttityöhön sekä investointeihin. Hankkeen budjettiarviossa on huomioitu toimialakohtainen resursointitarve tunnistettujen kehitystoimenpiteiden toteuttamiseksi sekä tarvittavat parannukset infrastruktuuriin ja laitteisiin.

Tietoturvajohtamisen muutoshanke kokoaa DigiHelsinki Oy:n kanssa jo käynnissä olevat kehitystehtävät johdettavaksi kokonaisuudeksi. Kansliapäällikkö päätti muutoshankkeeseen liittyvistä hankinnoista 19.5.2025 § 81 Hankinta, tietoturvajohtamisen muutosohjelman osaprojektit DigiHelsinki Oy:ltä ja 19.5.2025 § 80 Hankinta, tietotekniikan muutosohjelman toteutuksen jatkaminen.

Muutosohjelmalle asetettu ohjausryhmä seuraa 13 työkokonaisuuden edistymistä suhteessa hyötytavoitteisiin sekä projektisuunnitelmissa määritettyihin aikatauluihin. Tällä hetkellä hanke etenee suunnitellusti, eikä merkittäviä poikkeamia ole tunnistettu.

Välilliset kustannukset, jotka aiheutuvat hankkeen ohjaukseen siirtyvien, käynnissä olevien projektien tai kehityshankkeiden investoinneista tai tietoturvan muutoshankkeen seurauksena aiheutuvat kustannukset, kuten vanhojen tietojärjestelmien muutostyöt, alas ajaminen tai uusien järjestelmähankkeiden investoinnit, eivät sisälly hankesuunnitelman mukaiseen budjettiarvioon vaan ovat erikseen suunniteltavia ja budjetoitavia hankkeita.

Kaupunginhallituksen kokouksessa kuullaan tilannekatsaus kasvatuksen ja koulutuksen toimialaan kohdistuneen tietomurron korjaustoimenpiteiden edistämiseksi käynnistetystä Tietoturvajohtamisen muutoshankkeesta. Asiantuntijana kokoukseen osallistuu digitalisaatiojohtaja Hannu Heikkinen.

Föredragande

kansliapäällikkö
Jukka-Pekka Ujula

Mer information fås av

Hannu Heikkinen, digitalisaatiojohtaja, puhelin: +358505755510

hannu.a.heikkinen@hel.fi
Ladda ner utskriftsversion (pdf)