Digitaalinen turvallisuus
Rakennetun ympäristön tietojärjestelmän toteutuksessa on kiinnitetty erityistä huomioita digitaaliseen turvallisuuteen.
Järjestelmän riskit on arvioitu ja selvitetty kokonaisturvallisuuden näkökulmasta. Myös digiturvallisuudesta on tehty selvitykset, jotka kehitystyössä on huomioitu. Toteutus tehdään kansallisen auditointikriteeristön mukaisesti ja käyttöön otettavat kokonaisuudet tietoturva-auditoidaan. Järjestelmän toteuttajat tekevät yhteistyötä muun muassa Kyberturvallisuuskeskuksen kanssa.
Näin parannamme paikkatietojen turvallisuutta
Yhteiset käytännöt
Yhdessä sovitut ja valtakunnalliset käytännöt tietojen jakamiseen parantavat digitaalista turvallisuutta.
Hallittu tapa jakaa tietoa
Ryhti-järjestelmästä jaetaan tietoa hallitusti. Osa tiedoista on vain viranomaisten saatavilla.
Tietoturvallinen toteutus
Järjestelmän toteutuksessa varmistetaan vahva tietoturva.
Valtakunnallisia ohjeita paikkatietojen jakamiseen
Järjestelmien teknisen toteutuksen lisäksi digitaaliseen turvallisuuteen ja paikkatietojen suojaamiseen vaikuttavat myös ihmisten soveltamat toimintatavat.
Valtakunnallinen muutos ja Ryhti-järjestelmän tulo ovat ohjanneet kuntia ja valtion toimijoita päivittämään tietojen jakamiseen liittyviä toimintatapojaan ja ohjeistuksiaan. Kaava- ja rakennustietojen jakamiseen Ryhti-järjestelmästä on sovellettu kuntien kaikista tiukimpia käytäntöjä.
Yhteisillä toimintatavoilla varmistetaan, että tietojen jakamisesta tulee nykyistä yhtenäisempää ja hallitumpaa. Käytettävissä olevan tiedon laatu, vastuullisuus ja vaikuttavuus paranevat.
Tietoja jaetaan Ryhti-järjestelmästä hallitusti
Kriittiseen infrastruktuuriin liittyviä tietoja saavat vain viranomaiset, joilla on niihin lakisääteinen oikeus. Tieto viranomaisten välillä liikkuu tietoturvallisesti kansallisen Suomi.fi-palveluväylän kautta.
Rakentamisen ja kaavoituksen tietoja hyödynnetään lukuisissa viranomaisprosesseissa. Jatkossa järjestelmästä saatava tieto muun muassa parantaa viranomaisten yhteistyötä, auttaa paikantamaan riskirakenteita sekä tekee kiinteistöverotuksesta oikeudenmukaisempaa.
Vain harkittu osa tiedosta on avointa dataa. Avoimella ja julkisella hallinnolla on merkittävä vaikutus yhteiskunnan kestävyyteen. Myös kansalaisilla on oikeus avoimeen tietosisältöön, johon ei liity turvallisuusongelmia.
Näin turvallisuus huomioitiin järjestelmän määrittelyvaiheessa
- Ympäristöministeriö tilasi digitaalisen turvallisuuden selvityksen.
- Järjestelmän arkkitehtuuri arvioitiin ja asetettiin vaatimuksia järjestelmän tietoturvalle.
- Tehtiin riskiarvio (BIA eli Business Impact Analysis).
- Laadittiin tietosuojaselvitys
- Määriteltiin alustava luokittelu, jonka perusteella tietoa järjestelmästä jaetaan tai jätetään jakamatta.
- Ympäristöministeriö tilasi selvityksen tiedon kasaumavaikutuksista.
Näin turvallisuus on huomioitu järjestelmän toteutusvaiheessa
- Tehtyjä ratkaisuja arvioidaan aina tietoturvanäkökulmasta.
- Toteutustiimissä on mukana tietoturva-asiantuntija.
- Toteutuksen rinnalle on hankittu tietoturva- ja tietosuojakonsultointia.
- Järjestelmän toteutustapa on turvallisuusauditoitu vuonna 2023 (OWASP ASVS L2 -auditointi).
- Järjestelmälle on tehty penetraatiotestausta eli ammattilaiset ovat testanneet järjestelmään murtautumista.
- Palvelimille on tehty konfiguraatiotarkistukset.
- Laadittu tietosuojavaikutusten arviointi (DPIA eli Data Protection Impact Assessment).