Lainsäädäntö tieto- ja kyberturvallisuuden perustana : valtionhallinnon viranomaisen näkökulma

Työn tavoitteena oli selvittää, miten kansallinen lainsäädäntö velvoittaa ja ohjaa valtionhallinnon viranomaisia tieto- ja kyberturvallisuuden osalta. Alaongelmana vastattiin kysymykseen "Mitä eroa tieto- ja kyberturvallisuudella on lainsäädännössä? Tutkimuksen erityisenä mielenkiinnon kohteena oli viranomaisten toimivaltaa ja yhteistoimintaa koskeva sääntely. Tutkimus toteutettiin grounded teoria -menetelmällä ja tutkimusaineiston muodostivat tieto- ja kyberturvallisuuteen liittyvät lait, asetukset, hallituksen esitykset sekä relevantit valtioneuvoston periaatepäätökset. Tulosten perusteella lainsäädäntö on kaiken viranomaisen toiminnan perusta. Viranomaisen tieto- ja kyberturvallisuus muodostuu strategisesta ohjauksesta, operatiivisesta kyberturvallisuustoiminnasta ja päivittäisistä tietoturvallisuustoimenpiteistä. Kyberturvallisuus eroaa tietoturvallisuudesta siten, että sitä ei käsitteenä esiinny lainsäädännössä, mutta turvallisuusviranomaiset toteuttavat kuitenkin toimenpiteitä, joilla pyritään varmistamaan yhteiskunnan elintärkeiden toimintojen turvaaminen. Kyberturvallisuus edustaa uusiin teknologioihin liittyvää poikkihallinnollista haastetta, joka ilmenee mm. hallinnonaloille jakautuneina vastuina eikä viranomaisten yhteistyölle ole selkeää lakipohjaa. Hallinnon julkisuusperiaate asettaa viranomaisen tietoturvallisuudelle vaatimuksen julkisuusnäkökulmasta käytettävyydelle ja salassa pidon osalta luottamuksellisuudelle ja eheydelle. Tutkimuksen perusteella tietoturvallisuuden perustan muodostavia yhtenäisiä vaatimuksia ei ole säädetty ja viranomaisten tietoteknisten ratkaisujen arvioinnin säätely ei edellytä viranomaiselta kansallisen tiedon osalta tietojärjestelmien arviointia. Valtion yhteisten tieto- ja viestintäteknisten palvelujenkaan osalta ei ole asetettu selkeitä vaatimuksia, mikä osaltaan jättää palveluntuottajille merkittävän vastuun.