tietojärjestelmien tietoturvallisuuden hallinnolliset …...tietojärjestelmien tietoturvallisuuden...

Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt

TIHA-työryhmä

15.05.2000

Sisällysluettelo 1. Johdanto

1.1 Työryhmän asettaminen ja tehtävä 1 1.2 Tietoturvallisuuden uhkat ja kehittämistarve 3 1.3 Aikaisemmat selvitykset 6 1.4 Kansainvälinen tilanne 7

2. Suomen tietoturvallisuuden tilanne 10 3. Tietoturvallisuuden kehittämiskohteet

3.1 Tietoliikenneturvallisuuden testaus, hyväksyntä ja valvonta 12 (ns. Comsec –toiminta)

3.1.1 Ennalta ehkäiseviä toimenpiteitä 13 3.1.2 Toiminnan aikaisia toimenpiteitä 14

3.2 Tuotteiden ja järjestelmien tietoturvallisuuden testaus, sertifiointi ja valvonta (mm. ns. CCB-, QCB- ja CB –toiminto) 14

3.3 Tietoturvaloukkausten ja muiden ongelmien havainnointi ja ratkaiseminen (ns. CERT –toiminto) 17

4. Ehdotus tietoturvallisuuden toimintojen ja hallinnon järjestämiseksi

4.1 Toteuttamisperiaatteet 19 4.2 Kehittämiskeinot 20 4.3 Hallinnon vastuut ja viranomaistoiminnan kehittäminen 21

4.3.1 Tietoliikenneturvallisuus 21 4.3.2 Tietojärjestelmien turvallisuus 24 4.3.3 CERT –toiminnot 30 4.3.4 Yhteistyön kehittäminen ja koordinointi 35

4.4 Resurssitarve ja rahoitus 36 4.5 Jatkotoimenpiteet 37

5. Yhteenveto 38 LIITE Luettelo käytetyistä lyhenteistä 42

Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000

1

1. Johdanto

1.1 Työryhmän asettaminen ja tehtävä

Tietojärjestelmien ja -liikenteen turvallisuutta ja suojaamista on sivuttu aikaisemmin

useissa työryhmissä, jolloin esille on noussut tarve tarkentaa tietoturvallisuuden osa-

alueiden vastuukysymykset. Viimeksi asiaa on pohdittu puolustusneuvoston

asettamassa työryhmässä, joka jätti mietintönsä hallintoministeri Jouni Backmanille

1.4.1999 ja joka päätyi esittämään työryhmän perustamista tarkemmin selvittämään

tämän sektorin hallinnon järjestämistä Suomessa.

Paavo Lipposen II hallitus päättikin hallitusohjelmansa viestintää koskevassa osassa

selvittää, miten tietoliikenteen ja tietoverkkojen turvallisuus- ja suojaustekniset

kysymykset tulisi hallinnollisesti järjestää. Liikenneministeri Olli-Pekka Heinosen kanssa

käydyn neuvottelun jälkeen liikenneministeriö pyysi puolustustaloudellisen

suunnittelukunnan tietojärjestelmäjaostoa toimenpiteisiin tämän selvityksen laatimiseksi.

PTS:n tietojärjestelmäjaosto asetti 10.5.1999 projektiryhmän laatimaan perusselvityksen

siitä, mikä olisi tarkoituksenmukaisin ja toimivin tapa järjestää tietojärjestelmien ja

tietoliikenteen tietoturvallisuuden hallinnolliset vastuukysymykset Suomessa ottaen

huomioon järjestelmien teknisen kehityksen vaatimukset sekä järjestelyjen tehokkuus ja

toteuttamiskelpoisuus. Hallinnollisten järjestelyjen pohjaksi ja perusteeksi laadittavalle

selvitykselle annettiin aikaa huhtikuun 2000 loppuun. Tietojärjestelmäjaoston käsittelyn

jälkeen se oli määrä toimittaa asianomaisille viranomaistahoille.

Projektin kokoonpano oli seuraava:

Puheenjohtaja, ylijohtaja Mika Purhonen Huoltovarmuuskeskus

Alivaltiosihteeri Heikki Aaltonen valtioneuvoston kanslia

Ylijohtaja Jorma Karjalainen valtiovarainministeriö


2

Neuvotteleva virkamies Kaarlo Korvola sisäasiainministeriö

Tietohallintopäällikkö Christer Lundqvist puolustusministeriö

Jaostopäällikkö Rauli Parmes liikenneministeriö

Tietosuojavaltuutettu Reijo Aarnio Tietosuojavaltuutetun toimisto

Osastopäällikkö Hannu Haaranen Suojelupoliisi

Rikosylikomisario Veli-Pekka Loikala Keskusrikospoliisi

Everstiluutnantti Kalevi Halonen Pääesikunta

Johtaja Tapani Rantanen Telehallintokeskus

Tarkastuspäällikkö Olli Uotila Valtiontalouden tarkastusvirasto

Työryhmän työhön ylijohtaja Jorma Karjalaisen sijaisena on osallistunut neuvotteleva

virkamies Arja Terho. Projektiryhmän sihteeriksi kutsuttiin apulaisjohtaja Ilkka Kananen

Huoltovarmuuskeskuksesta.

Projektiryhmä kokoontui 14 kertaa. Projektiryhmä on työnsä kestäessä kuullut kaikkien

mukana olevien organisaatioiden edustajien näkemykset aihepiirin asioihin. Lisäksi se on

kuullut asiantuntijoina Teknillisen korkeakoulun tietotekniikan osaston professoreita

Jukka Kemppistä ja Martti Mäntylää.

Projekiryhmä teetti FL Hannu Koukkulalla, IS-Comsec Oy:stä, kansainvälisen

vertailevan selvityksen säädöspohjasta, tietoturvallisuustoimenpiteistä ja hallinnollisista

järjestelyistä muissa länsimaissa sekä selvityksen tietoturvallisuuden tilanteesta

Suomessa. Taustaselvityksiä käytettiin hyväksi loppuraportin vastaavien kohtien

laadinnassa.

Projektiryhmän edustajat tekivät myös tutustumismatkan 16.9.1999 Saksan Bonnissa

toimivaan tietoturvallisuuden keskusvirastoon, Bundesamt fur Sicherheit in der

Informationstechnik (BSI). Matkalla tutustuttiin viraston tehtäviin ja käytännön

toimintaan tietoturvallisuuden kehittämisessä.


3

1.2 Tietoturvallisuuden uhkat ja kehittämistarve

Suomi on yksi johtavista tietotekniikan käyttäjistä maailmassa. Yhteiskunnan kriittiset

toiminnot ja organisaatiot ovat nykyään käytännöllisesti katsoen täysin riippuvaisia

tietojärjestelmien toimivuudesta. Informaatioyhteiskuntakehitys, talouden

verkottuminen sekä yleinen globalisoituminen tulevat entisestään syventämään ja

laajentamaan näitä riippuvuuksien muotoja. Kehitys tekee koko yhteiskunnasta erittäin

haavoittuvan uudenlaisille, tietojärjestelmiin kohdistuville uhkille ja riskeille.

Yhteiskuntaan voidaan vaikuttaa tietojärjestelmiä hyväksi käyttäen yli kansallisten

rajojen. Tänä päivänä puhu-taankin informaatiouhkista, informaatio-operaatioista ja jopa

informaatiosodankäyn-nistä, joka on käynnissä kaiken aikaa.

Informaatiouhkilla tarkoitetaan erilaisia tietojärjestelmiin kohdistuvia uhkia kuten niihin

tunkeutumista, niiden laitonta hyväksikäyttöä, tuhoamista, muuntelua tai tietoverkkojen

avulla vaikuttamista muihin yhteiskunnan kannalta kriittisiin järjestelmiin.

Tunnusomaista uhkille on, että niiden havaitseminen, tunnistaminen ja vaikutusten

arvioiminen on monessa tapauksessa vaikeaa. Tekijää, aikeita, kapasiteettia ja toiminnan

perimmäistä kohdetta ei kyetä arvioimaan. Lisäksi erilaiset informaatio-operaatiot ovat

saamassa organisoituneempia muotoja ja niiden vaikutusala on huomattavasti laajempi

kuin aikaisemmin.

Yhteiskuntien haavoittuvuuden lisääntyminen ja altistuminen tietoteknisille riskeille ja

uhkille perustuvat siihen, että

§ on syntynyt maailman kattava verkosto, joka mahdollistaa tehokkaan ja nopean

viestinnän

§ tietoja viestintäteknologia on kehittyneempää, halvempaa ja tehokkaampaa

§ yhä useammat osaavat käyttää tietotekniikkaa

§ informaatio-operaatioita on erittäin vaikea hahmottaa ja niillä on saavutettavissa

suhteessa kustannuksiin suuria hyötyjä

§ yhteiskunnat ovat yhä riippuvaisempia tietoja viestintäteknologiasta sekä niihin

perustuvista liiketoiminnan muodoista ja palveluista.


4

Tietojärjestelmien tarkkailu, kokeilu ja kartoittaminen, niihin tunkeutuminen ja

hyväksikäyttö, tietovarkaudet, teollisuusvakoilu sekä tietojen tuhoaminen ja käytön

sabotointi (tuholaisvirusten levitys, denial of service –hyökkäykset, tietokonerikollisuus,

kyberterrorismi yms.) ovat tämän päivän todellisuutta. Toimintaa tapahtuu yksilöiden,

yritysten ja valtioiden tasolla. Toiminnan takana voivat olla harrastelijat, organisaation

omat työntekijät, tiedotusvälineet, kilpailevat yritykset, rikolliset ja erityisesti järjestäy-

tynyt rikollisuus, poliittiset ääriliikkeet, terroristiryhmät sekä vieraiden valtioiden

tiedusteluorganisaatiot.

Suomessa informaatiouhkien ja tietotekniikkarikosten riskialtteimpia kohteita ovat eri

tahoilta saatujen kokemusten mukaan

§ turvallisuusviranomaiset

§ julkishallinnon organisaatiot

§ korkean teknologian yritykset

§ tietoliikenne- ja viestintäyritykset

§ pankit ja rahoitusyhtiöt

§ korkeakoulut ja oppilaitokset.

Huolimatta eri viranomaisten määrätietoisesta työstä tietojärjestelmien turvaamiseksi

näyttää tietoturvallisuuden taso meilläkin vaativan kehittämistä tehtyjen empiiristen

selvitysten mukaan (Global Information Security Survey, Ernst & Young 1999).

Selvityksessä, johon osallistui runsaat 2000 yritystä Suomesta, koki noin 80 %

tietoturvallisuuden sinänsä tärkeäksi asiaksi. Siitä huolimatta 38 % yrityksistä epäili

turvatoimiensa tasoa ja 60 % niistä ei ollut pohtinut toimintansa jatkuvuutta eikä siihen

liittyviä toimenpiteitä. Suurimpana riskinä pidettiin selkeästi omaa henkilöstöä (80 %).

Viruksia, järjestelmävirheitä, käyttökatkoksia esiintyy jatkuvasti, mutta vain 5 % ilmoitti

tunkeutujista. Tämä kertoo osaltaan informaatio-operaatioiden vaikeasta

havaittavuudesta, mutta varmaankin myös siitä, että laiton tunkeutuminen salataan

usein taloudellisten, turvallisuus-, imago- tai muiden syiden vuoksi.

Johtopäätöksenä varautumistilanteesta voidaan todeta, että


5

§ uhkat koskevat sekä julkista että yksityistä sektoria; intressit ovat yhtenevät

§ varautumisen oltava jatkuvaa, kattavaa ja jo normaalioloissa tapahtuvaa, koska

normaali- ja poikkeusoloja ei enää voida erottaa toisistaan

§ tietoturvallisuuden selkeälle viranomaisvastuulle ja toimintojen keskittämiselle on

tarvetta, jotta epäyhtenäisyyttä, hajanaisuutta ja päällekkäisyyttä voitaisiin

vähentää

§ verkottuminen edellyttää yhteistyötä sekä valtionhallinnon sisällä että

elinkeinoelämän kanssa ulkoistamisen ja lisääntyneiden asiantuntijapalveluiden

tarpeen seurauksena

§ nykymuotoisten viranomaisorganisaatioiden mahdollisuudet vastata nopeasti

kehittyvän tietotekniikan mukanaan tuomiin uhkiin ovat rajalliset

§ tarvitaan yhteistä kokonaisstrategiaa sekä nykyistä reaaliaikaisempaa

operatiivista toimintaa informaatiouhkien ja -operaatioiden varalle.

Näihin epäkohtiin ja ongelmiin on meillä kiinnitetty huomiota jo ennen tämän

projektiryhmän asettamista. Tietoturvallisuuden kasvava merkitys on meilläkin selvästi

tiedostettu sekä hallinnossa että yritysmaailmassa. Yrityksissä se nähdään tänä päivänä

tärkeänä kilpailukykytekijänä, jopa toiminnan jatkuvuuden elinehtona. Yhteiskunnan

kannalta se nähdään kansalliseen turvallisuuteen vaikuttavana tekijänä, joka edellyttää

kokonaisvaltaista varautumista ja sen organisointia.

Viime aikoina yhteiskunnan turvaamiseen informaatiouhkia vastaan on kiinnitetty

huomiota valtion ylimmässä johdossa. Puolustusministeriötä ja hallituksen ulko- ja

turvallisuuspoliittista valiokuntaa (UTVA), joka käsittelee tärkeät kokonaismaan-

puolustusta koskevat asiat, avustavana toimielimenä on ollut 1.3.2000 lähtien korkeasta

virkamiesjohdosta koostuva turvallisuus- ja puolustusasian komitea (TPaK). Sen

tehtävänä on mm. seurata ja yhteensovittaa hallinnon eri alojen toimia kokonais-

maanpuolustuksen järjestelyjen ylläpitämiseksi ja kehittämiseksi. Komitea on ryhtynyt

selvittämään informaatiouhkiin varautumista turvallisuuspoliittisesta näkökulmasta.


6

1.3 Aikaisemmat selvitykset

Laajin ja perusteellisin selvitys maassamme tietoturvallisuudesta valmistui loppu-

vuodesta 1997 valtiovarainministeriön ja Lapin yliopiston yhteistyönä. Tutkimusraportin

”Tietoturvallisuus ja laki. Näkökohtia tietoturvallisuuden oikeudellisesta sääntelystä” oli

määrä toimia tietoturvallisuutta koskevan mahdollisen lainvalmistelun perusselvityk-

senä. Työn taustalla oli tietoturvallisuuden merkitys ja kehitys osana informaatioyhteis-

kunnan perusteita ja oikeutta. Raportissa selvitettiin perinpohjaisesti tietoturvallisuutta

säänteleviä oikeusnormeja ja tietoturvallisuuden sääntelytarpeita useissa länsimaissa ja

myös meillä Suomessa. Selvitystä käsiteltiin lausuntojen yhteenvedon jälkeen ja siinä

vaiheessa (1998) tehtiin tietoinen päätös siitä, että aika ei ollut vielä kypsä erillisen

tietoturvallisuuslain säätämiseen. Joka tapauksessa selvitys on ansiokas alan kartoitus ja

siinä esille nousseet ajatukset ja johtopäätökset ovat olleet myös tämän projektiryhmän

asettamisen taustalla.

Tämän jälkeen vuoden 1999 keväällä puolustusneuvoston asettama työryhmä selvitteli

tietoturvallisuuden hallinnon ja suojaamisen järjestämisen nykytilaa ja kehittämistarvetta

Suomessa. Pääesikunnan päällikön hallintoministeri Jouni Backmanille jättämässä

raportissa ”Yhteiskunnan turvaaminen tietojärjestelmiin kohdistuvilta uhkilta” todettiin,

että tietoturvallisuuden hallinnossa on puutteita ja ongelmia. Tähän olivat jo valtion

tilintarkastajat kiinnittäneet huomiota raportissaan vuodelta 1997. Puolustusneuvoston

raportissa todettiin, että on erittäin tärkeätä ja ajankohtaista selvittää tarkemmin

reaaliaikaisemman operatiivisen toiminnan järjestäminen Suomessa. Siinä esitettiinkin

työryhmän asettamista pohtimaan yksityiskohtaisemman suunnitelman tekemistä asian

hoitamiseksi.

Sinänsä tietoturvallisuuteen liittyviä asiantuntijaselvityksiä ja ohjeistusta on syntynyt

viime vuosina puolustustaloudellisen suunnittelukunnan (PTS) tietojärjestelmäjaostossa,

joka on laatinut monia uhkaselvityksiä ja huoltovarmuusanalyyseja, joiden perusteella on

laadittu valmiusohjeita edistämään ja tukemaan hallinnon ja yksityisen sektorin

toimijoiden omaa valmiussuunnittelua. Niissä keskeisenä johtoajatuksena on ollut aina

se, että valmius poikkeuksellisten olosuhteiden varalle on mielekästä kytkeä normaali-

aikaiseen turvallisuustoimintaan osaksi organisaation toiminnan jatkuvuuden yleistä


7

varmistamista. Näin se on motivoitua ja hyväksyttävää toimintaa yrityksissä ja hallinnon

organisaatioissa. Liitteenä on luettelo PTS:n tietojärjestelmäjaoston tähän liittyvästä

laajasta tuotannosta.

1.4 Kansainvälinen tilanne

Projektiryhmä teetti kansainvälisen vertailun, jossa luotiin katsaus säädöspohjaan,

tietoturvallisuustoimenpiteisiin ja hallinnollisiin järjestelyihin eräissä keskeisissä

länsimaissa.

Kaikissa pohjoismaissa on asetettu tietoturvallisuuspoliittisia linjauksia ja päämääriä.

Niissä on nykyään tietoyhteiskuntasuunnitelma, jossa ainakin jossain määrin esiintyy

lausumia tietoturvallisuudesta.

Kaikissa pohjoismaissa kehitetään tietoja viestintäteknologian käyttöä julkisessa

hallinnossa. Tietoturvallisuuteen liittyviä ajankohtaisia projekteja ovat muun muassa:

§ Sähköinen arkistointi

§ Sähköinen asiointi

§ Sähköiset päätöksenteko- ja rekisteröintijärjestelmät

§ Sähköinen viestintä sekä

§ Tietojärjestelmien tietoturvallisuutta koskeva yleisohjeistus

Tietoturvallisuusperiaatteita painotetaan erityisesti henkilötietojen suojaan liittyen.

Sähköinen kaupankäynti ja allekirjoitus sekä tietoturvatuotteiden ja palvelujen

sertifioiminen ovat muita ajankohtaisia kysymyksiä.

Missään pohjoismaassa ei ole säädetty kuitenkaan yleistä tietoturvallisuuslakia. Norjassa

1990 –luvun alkuvuoliskolla valmisteltu ehdotus ei ole johtanut lain säätämiseen. Kuten

edellä on todettu, myöskään Suomessa 1998 tehty selvitys ei johtanut lain valmisteluun.

Lainsäädännössä esiintyvät salassapito- ja julkisuussäännökset ilmaisevat, mitä tietoja


8

(informaatiota) tulisi suojata. Perinteisesti on kiinnitetty huomiota erityisesti tietojen

luottamuksellisuuden turvaamiseen (salassapitoon ulkopuolisilta). Myös uusimmissa

säädöksissä, esim. Suomen julkisuuslaki (621/1999), päähuomio kiinnitetään

luottamuksellisuuteen.

Yksityisiä koskevaa tietoturvallisuussääntelyä on esiintynyt varsin vähän. Tieto-

turvallisuuteen liittyvät asiat on yksityisoikeudellisissa suhteissa jätetty perinteisesti

sopimusten varaan. Oikeudellisen sääntelyn tarve on kuitenkin lisääntynyt voimak-

kaasti tietoteknologian merkityksen nopean lisääntymisen myötä, erityisesti riskinjakoon

liittyvien epävarmuustekijöiden vuoksi. Sääntelyn tarve koskee tällä hetkellä ehkä eniten

voimakkaasti lisääntymässä olevaa sähköistä kaupankäyntiä ja muuta sähköistä

asiointia.

Kaikissa pohjoismaissa käynnissä olevat, sähköisiä allekirjoituksia ja luotettuja kolmansia

osapuolia (TTP) koskevat hankkeet ovat osoitus siitä, että yksityisen sektorin tietoturval-

lisuusongelmiin ollaan etsimässä ratkaisua.

Ruotsissa on pohdittu perusteellisesti, mikä yhteiskunnan tietoturvallisuusstrategian

tulisi olla ja miten tietoturvallisuuteen liittyvät toiminnot tulisi operatiivisesti järjestää

(Sammanhållen strategi för samhällets IT-säkerhet, Statskontoret 1998:18). Myös Norjassa

ollaan parhaillaan organisoimassa puolustusvoimien yhteyteen asetukseen perustuvaa

tietoturvallisuussertifiointia suorittavaa viranomaistahoa.

Euroopan Unionin alueella Saksa ja Ranska ovat maailman johtavia maita tietoturvalli-

suutta koskevan lainsäädännön alalla sekä tietoturvallisuustyön organisoinnin toteutta-

misessa. Saksassa on erittäin pitkälle viety tietoturvallisuutta koskeva

sääntelyjärjestelmä. Keskeinen hallinnollinen toimija Saksassa liittovaltion tasolla on

sisäasianministeriön hallinnonalalla toimiva Tietotekniikan turvallisuusvirasto

(Bundesamt fur Sicherheit in der Informationstechnik, BSI), jonka vastuulle on

periaatteessa keskitetty kaikki tietotur-vallisuustoiminnot aina testausta ja tuotteiden

sertifiointia myöten. Myös Ranskassa on keskitetty järjestelmä, joka vastaa

tietoturvallisuuden arvioimisesta ja tarkastuksista valtionhallinnossa, toimii hallinnolle


9

konsulttina hallinnolle, vastaa koulutuksesta ja tutkimuksesta sekä

kehittämistoimenpiteistä. Salausjärjestelmät on olleet Ranskassa keskeinen keino

suojattaessa informaation luottamuksellisuutta ja luotettavuutta tiedonsiirrossa ja

avoimessa verkkoympäristössä. Ranska on myös tietoturvalli-suusrikosten määrittelyn

ja sanktioimisen osalta eräs maailman johtavista maista.

Englanti on puolestaan tietoturvallisuuden standardien ja laatusertifioinnin yksi johtava

kehittäjä (British Standards Institute, BSI). BSI:n kehittämä, lähinnä yritysten ja organi-

saatioiden johdon käyttöön tarkoitettu BS 7799 –tietoturvallisuusstandardi on merkittävä

hallinnollis-organisatorinen tämän alan tuote. Englannissa on tietoturval-lisuustoiminnan

organisointi viety pitkälle USA:n tapaan. Keskeisiä elimiä ovat mm. the Security Service,

MI5, joka tutkii kansallista turvallisuutta uhkaavia tekijöitä keräämällä, analysoimalla ja

arvioimalla tietoa sekä the Secret Intelligence Service (SIS), MI6, joka tuottaa salaista

tietoa hallituksen turvallisuuden, puolustuksen sekä ulko- ja talouspolitiikan tueksi.

Aivan äskettäin on perustettu nimenomaan kriittisen infrastruktuurin turvaamiseen

keskittyvä National Infrastructure Security Coordination Centre (NISCC).

Yhdysvallat ja Kanada ovat johtavia maita tietoturvallisuutta koskevan sääntelyn sekä

organisoinnin alalla. Yhdysvallat on ottamassa entistä vakavammin niin tietokone-

rikollisuuden yleensä kuin ns. kyberterrorismin erityisesti. Tämä johtuu siitä, että

kansallisen turvallisuuden kannalta kriittinen infrastruktuuri on entistä keskeisemmässä

asemassa ja siksi aikaisempaa todennäköisempi hyökkäysten kohde. Näihin varautu-

minen tulee jatkossa olemaan yksi keskeinen USA:n turvallisuuspolitiikan osa-alue.

Toiminnan tehostaminen on tullut näkyviin uusien organisaatiorakenteiden perusta-

misena. Tärkeä koordinoiva elin on Critical Infrastructure Assurance Office (CIAO).

Varsinainen toimiva viranomainen tällä alueella on the National Infrastructure Protection

Center (NIPC), jonka tehtävänä on aktiivisesti paljastaa, ehkäistä, varoittaa, neuvoa ja

tutkia tietotekniikkarikoksia. NIPC:lla on suora yhteys hallinnon ja teollisuuden sekä

muun elinkeinoelämän infrastruktuurin välille perustettuun yhteiselimeen, Information

Sharing Analysis Centeriin (ISACs).


10


11

2. Suomen tietoturvallisuuden tilanne

Suomen tietoturvallisuuden tilanteesta tehdystä taustaselvityksessä on tehty seuraavat

tietoturvallisuuden järjestelyjä ja sääntelytarvetta koskevat johtopäätökset:

§ Suomi edustaa sääntelyn osalta muihin maihin verrattuna ”hyvää kansainvälistä

tasoa”

§ Tietoaineistojen luottamuksellisuuden toteuttaminen käytännössä uuden

julkisuuslain ja sitä koskevan asetuksen edellyttämillä tavoilla edellyttää

yksityiskohtaisten toimintaohjeiden luomista. Työ on käynnissä valtionhallinnon

tietoturvallisuuden johtoryhmässä (VAHTI)

§ Suomen tällä hetkellä kansainvälisesti tarkasteltuna korkea teknologian taso

samoin kuin teknologian laaja hyödyntäminen edellyttävät todennäköisesti

Suomelta ”edellä kävijän roolia” myös sääntelyn alueella

§ Sääntely on vielä puutteellinen ainakin seuraavien aiheiden osalta (useimpien

muiden maiden tapaan)

o toimintojen / palvelujen, järjestelmien ja tietoaineistojen eheys ja

käytettävyys

o etätyö

o ulkoistetut palvelut

o luotettujen kolmansien osapuolten (TTP) ja

varmenneviranomaispalvelujen (CA) vaatimukset ja lisensiointi

o sähköisten liiketoimintojen (e-business) sääntely

o toimintojen / palvelujen ja tuotteiden standardointi ja

sertifiointivaatimukset

o kansainvälinen yhteistyö

§ Sääntelyn puutteellisuuksien korjaaminen edellyttänee erityisen tietoturvalain

säätämistä lähivuosien aikana (ehkä seuraavien 3-5 vuoden aikana)

§ Kansainvälinen standardoinnin ja sertifiointien kehittyminen tullee omalta

osaltaan edellyttämään huomattavasti nykyistä tarkempaa standardien huomioon

ottamista erityisesti kansainvälisissä toiminnoissa


12

Tietoturvallisuuden jatkuva, nopea kehittyminen eri maissa merkitsee käytännössä myös

sitä, että ajan tasalla olevan ”tilannekuvan” luominen ja ylläpitäminen edellyttävät

erityisen tietoturvallisuuden kehittämiseen ja tutkimiseen erikoistuneen organisaation

jatkuvaa yhteistyötä julkishallinnon vastuullisten viranomaisorganisaatioiden kanssa.

Kehitys edellyttää Suomenkin osallistumista kansainväliseen tutkimus- ja kehittämis-

toimintaan, alan kansainvälisen seurantaan, perus- ja soveltavaan tutkimukseen sekä

erilaisten tietojen, ohjeiden yms. tuottamis- ja jakelutehtäviin. Ilman edellä mainitun

tyyppistä jatkuvaksi organisoitua seuranta-, tutkimus- ja kehittämistyötä Suomi ei voi

pysyä riittävän tehokkaasti mukana tietoturvallisuuden nopeasti kehittyvässä ja

muuttuvassa kansallisessa ja kansainvälissä tarpeiden, vaatimusten ja toteutusten

kentässä.


13

3. Tietoturvallisuuden kehittämiskohteet

3.1 Tietoliikenneturvallisuuden testaus, hyväksyntä ja valvonta (ns. COMSEC-

toiminto)

Tietoliikenneturvallisuudella, COMSEC, tarkoitetaan kaikkia niitä toimenpiteitä, joiden

avulla pyritään turvaamaan tietoja telejärjestelmissä siirrettävien tietojen

luottamuksellisuus, eheys ja käytettävyys tietojen siirron aikana sekä välittömästi ennen

siirtoa ja sen jälkeen. COMSEC on lyhenne termistä Communications Security eli

tietoliikenneturvallisuus.

COMSEC-toiminto jakaantuu kahteen laajempaan tehtäväkokonaisuuteen. Näistä

ensimmäinen on salaamisen laadun varmistaminen ja valvonta, joka käsittää

§ salakirjoituksen tutkimuksen, testauksen ja sertifioinnin

§ yksityisen ja julkisen verkon rajapintojen turvallisuuden varmistamisen

(palomuurit, reitittimet

§ salaus- ja muun teknisen tietoturvallisuuden hallinnointi

§ salaustekniikan käytön laadukas järjestäminen ja valvonta

§ kansainvälisten viranomaisyhteyksien hoitaminen.

Toinen tehtäväkokonaisuus on tietoliikenneverkkojen käytettävyyden, luotettavuuden

ja turvallisuustoimenpiteiden valvonta, joka perustuu yksityisyyden suojasta televies-

tinnässä ja teletoiminnan tietoturvasta annettuun lakiin (565/1999). Tähän kuuluvia

tehtäviä ovat

§ tietoturvallisuusuhkien seuranta ja valvonta

§ turvallisuusohjeistuksen toteuttamisen tarkastus ja valvonta

§ tietoturvallisuutta koskevien määräysten antaminen alan toimijoille

§ poikkeusoloihin varautuminen.

Käsitteen laajemman tulkinnan kannalta on olennaista se, että tietoliikenteen osalta

normeerataan salaamisen taso, käytettävyys ja suojaustekniset järjestelyt siten, että koko


14

organisaation kriittisten tietojärjestelmien tietoturvallisuus täyttää tietyt vaatimukset.

Tärkeimpiä tähän liittyviä yksityiskohtaisia käytännön tehtäviä ja toimenpiteitä ovat:

§ salakuuntelun ja / tai sen tulosten hyödyntämisen estäminen sekä muu

luottamuksellisuuden turvaaminen

§ tiedonsiirron ja siirrettävien tietojen eheyden varmistaminen, sisältäen tietojen

lähteet ja kohteet

§ kiistämättömyyden varmistaminen

§ salausteknisen tietoturvallisuuden tekninen hallinnointi

§ tietojen siirtojärjestelmän palveluvarmuuden turvaaminen

§ verkkoelementtien (aktiivilaitteiden) turvallisuudesta huolehtiminen

§ turvallisen reitityksen järjestäminen

§ tietoturvaloukkausten havainnointi ja niihin reagointi

§ verkon ja verkkoelementtien hajasäteilystä aiheutuvien uhkien torjuminen.

COMSEC voidaan vielä lisäksi jakaa ennalta ehkäiseviin ja toiminnan aikaisiin eli ongelmien

ratkaisemiseksi suoritettaviin toimenpiteisiin.

3.1.1 Ennalta ehkäiseviä toimenpiteitä

Tietoliikennejärjestelmän tietoturvallisuuden rikkoutumisen ennalta ehkäiseviä

toimenpiteitä ovat:

§ uhkien sekä riskien arviointi ja analyysi

§ tietoturvallisuuden vaatimusten määrittely

§ tietoturvallisuuden vaatimusten toteutuvuuden arviointi, analyysi ja testaus

§ käytettävien tietoturvallisuuden kehittämismekanismien analysointi ja testaus

§ tietoliikennejärjestelmän ja tietoturvallisuuden kehittämismekanismien

tietoturvallisuusominaisuuksien sertifiointi

§ sertifioitujen järjestelmien käyttö

§ laitteiden ja järjestelmien fyysinen suojaus

§§ salausteknisten suojausten käyttöönotto.


15

3.1.2 Toiminnan aikaisia toimenpiteitä ovat

Tietoliikennejärjestelmän tietoturvallisuuden toiminnan aikaisia turvaamistoimenpiteitä

ovat:

§ valvonta ja hallinnointi (kohdassa 3.1. luetellut kohteet)

§ luottamuksellisuuden turvaaminen salausmenetelmiä käyttäen

§ tietojen eheyden turvaaminen salausmenetelmiä käyttäen

§ tietolähteiden ja –kohteiden varmistaminen salausmenetelmiä käyttäen

§ kiistämättömyyden varmistaminen salausmenetelmiä käyttäen

§ tietoturvallisuusongelmien havainnointi ja niihin reagointi sekä raportointi.

Vastuuviranomaisia tämän tietoturvallisuuden toiminnon osalta ovat yleensä tietoliiken-

teen ja viestinnän hallinnosta vastaavat viranomaiset. Sertifioinnin osalta kuitenkin tarvi-

taan yhteistyötä eri viranomaisten ja alan toimijoiden kanssa.

3.2 Tuotteiden ja järjestelmien tietoturvallisuuden testaus, sertifiointi ja

valvonta (mm. ns. CCB-, QCB-toiminto sekä CB-toiminto)

Tällä toiminnolla tarkoitetaan tietoja telejärjestelmien elementtien sekä kokonaisten

järjestelmien tietoturvallisuuden arviointia, testausta ja sertifiointia. Jatkossa se kattaa

myös kokonaisten palvelujen ja muiden toimintojen tietoturvallisuuden arvioinnin,

testauksen ja sertifioinnin. Sertifiointi on tuotteiden vaatimuksenmukaisuuden arviointia

ja hyväksymiskelpoisuuden varmentamista. QCB on lyhenne termistä Qualifying

Certification Body, joka on erityiset laatuvaatimukset täyttävä ”päteväksi todennettu

sertifiointilaitos”. Termiä käytetään ITSEC-kriteeristön (Information Technology Security

Evaluation Criteria) mukaisen kansainvälisen vastavuoroisen tietoturvallisuusserti-

fiointien hyväksynnän piirissä olevista sertifiointielimistä. Nämä täyttävät vastavuo-

roisen hyväksynnän sopimusjärjestelyn mukaiset vaatimukset ja ovat sopimusta hallin-

noivan hallintokomitean hyväksymiä. Vastaavasti Common Criteria -kriteeristön (CC)

mukaisen kansainvälisen hyväksynnän piirissä olevia sertifiointielimiä kutsutaan nimellä

Compliant Certification Body (CCB). Certification Body (CB) on mikä tahansa elin tai

organisaatio, joka suorittaa sertifiointitoimintaa.


16

Puhuttaessa tuote- ja järjestelmäsertifioinnista on syytä tehdä ero yleisen markkina-

ehtoisen sertifioinnin ja viranomaisten kriittisiä tietojärjestelmiä koskevan, erityis-

vaatimukset täyttävän sertifioinnin välille. Tämä puoli on tietoturvallisuuden kehittä-

misen kriittisin alue. Toisaalta on tehtävä myös ero tuotteiden, palveluiden ja järjestel-

mien sertifioinnin välille.

Vapaaehtoisen sektorin toimijoille tarkoitettu sertifiointitoiminta edellyttää, että

§ on olemassa sertifiointiorganisaatio, joka vastaa sertifiointitoiminnan

toteuttamisesta sekä evaluointi- ja sertifiointijärjestelmien toiminnan valvonnasta

§ se on omassa maassaan akkreditoitu (EN 45011)

§ se on muodostettu kunkin maan lakien ja hallinnollisten käytäntöjen mukaisesti

täyttämään akkreditoinnin vaatimukset

§ se tekee itsenäisesti tietoturvallisuuden arviointeja

§ se soveltaa hyväksyttyjä arviointikriteerejä ja –metodeja oikein ja

johdonmukaisesti

§ se suojaa riittävin keinoin arviointityöhön liittyvien arkaluonteisten tietojen

luottamuksellisuuden.

Yleistä akkreditointimenettelyä varten Suomessa on olemassa elin, kauppa- ja teollisuus-

ministeriön alainen Mittatekniikan keskus (MIKES), joka akkreditoi eli toteaa päteväksi

laboratorioita, tarkastuslaitoksia, sertifiointielimiä ja EMAS-todentajia. Se voi tehdä myös

erityisvaatimuksiin (esim. viranomaisten asettamiin) perustuvia pätevyyden arviointeja.

Se edustaa Suomea akkreditointielinten kansainvälisessä yhteistyössä ja sen toiminta

perustuu asetukseen (1568/91). Kansainvälisiin kriteereihin perustuva akkreditointi on

menettelytapa, jonka avulla toimielimen pätevyys ja sen antamien todistusten uskotta-

vuus voidaan luotettavasti todeta.

Sertifiointilaitos antaa sertifikaatteja vapaaehtoisesti niitä hakeville tuottajille ja käyttä-

jille. Apuna hakijan tuotteiden tai palvelujen tason ja vaatimuksenmukaisuuden

arvioinnissa ja testaamisessa se voi käyttää arviointielimiä (evaluation body EB,

evaluation facility EF) sekä muita asiantuntijaorganisaatioita.


17

Markkinaehtoista sertifiointia varten on siis olemassa rakenne. Tällä alueella toimii

Suomessa mm. SFS-Sertifiointi Oy, joka sertifioi mm. organisaatioiden tietoturvalli-

suuden järjestelmiä ja toimintaprosesseja. SFS:n tietoturvasertifiointi perustuu englan-

tilaiseen BS 7799b -laatustandardiin.

Kaupallisia tuotteita varten on luotu myös kansainväliset menettelytavat. EU:n toimesta

on 1997 tehty tietoturvallisuusalan tuotteiden sertifikaattien vastavuoroista hyväksy-

mistä koskeva EU- ja EFTA-maiden välinen sopimus (Mutual Recognition Agreement of

Information Technology Security Evaluation Certificates, ITSEC MRA). Järjestelmän

hallinnointia varten luotiin hallintokomitea (Management Committee), jonka työhön VM

on osallistunut Suomen edustajana. Hallintokomitea myöntää hakemuksesta sertifioijalle

lisäpätevyyden (qualifying). Hakijan on kyettävä osoittamaan käytännössä (demonstroi-

maan) hallintokomitealle sen yksimielisesti hyväksymällä tasolla täyttävänsä laatuvaati-

mukset, jotka on määritelty MRA:ssa erikseen (noin kaksi A4-sivua).

Sertifikaattien antaminen on tähän saakka perustunut EU-maiden luomaan ns. ITSEC-

kriteeristöön. ITSECin rinnalle, ja siirtymäajan jälkeen sen kokonaan korvaamaan on

kehitetty Common Criteria -kriteeristö (CC), joka on myös hyväksytty ISO-standardiksi.

Suomi on pitänyt tärkeänä tietoturvallisuuden laaja-alaisen kehittämisen vuoksi luotuja

sertifiointi- ja vastavuoroisen hyväksymisen järjestelmiä ja menettelytapoja. CC:n

mukaisten tietoturvallisuussertifikaattien vastavuoroisen hyväksynnän sopimus

allekirjoitetaan toukokuussa 2000. Sopimuksen allekirjoittavat ITSEC-sertifiointien

vastavuoroisen hyväksynnän allekirjoittajamaiden lisäksi USA, Kanada, Australia ja

Uusi-Seelanti – jatkossa mahdollisesti myös Japani, Korea ja Israel. Suomi (VM) osallistuu

CCRA MG:n (Common Criteria Recognition Arrangement Management Group) työsken-

telyyn.

Viranomaisten kriittisiä tietojärjestelmiä ja tärkeysluokiteltuja virastoja ja laitoksia varten

tulee olla olemassa operatiivinen viranomainen, joka arvioisi viranomaisia varten ja

heidän tilaamanaan laitteiden ja järjestelmien tietoturvallisuutta ja hoitaisi sertifiointi-

toiminnan (CCB, QCB) valvontaa. Sen toimintakenttä sisältäisi silloin seuraavia tehtäviä:

§ tietoja telejärjestelmien elementtien sekä kokonaisten järjestelmien, jatkossa


18

myös kokonaisten palvelujen ja muiden toimintojen tietoturvallisuuden valvonta

§ tuki tietoturvallisuustason arvioinneille

§ tuki tietoturvallisuuden kehittämiselle

§ tuki hankintojen valmisteluille

§ tuote- ja markkinavalvonta

§ tuki Suomessa tehtävälle laite- ja järjestelmäkehitykselle

§ perustutkimus

§ sertifiointijärjestelmän normistojen tekninen analysointi

§ tulosten välittäminen käyttäjille sekä laitteiden ja järjestelmien valmistajille

§ normistojen kehitysnäkymien jatkuva seuranta osana perustutkimusta

Suomessa ei ole toistaiseksi tämän tason sertifioijia. Kotimaisten testaus- ja sertifiointi-

laitosten lisäksi voidaan tukeutua muiden maiden päteväksi todettujen laitosten antamiin

sertifikaatteihin.

Tästä sektorista vastaavan viranomaisen tehtävänä olisi edustaa Suomea kansainvälisessä

yhteistyössä sekä koota alaan liittyvää osaamista ja kokemuksia. Eri maissa tämä

toiminto on yleensä annettu saman viranomaisen tehtäväksi, joka vastaa

tietoliikenneturvallisuu-destakin.

3.3 Tietoturvaloukkausten ja muiden ongelmien havainnointi ja ratkaiseminen

(ns. CERT- toiminnot)

Tietoturvallisuuden ajankohtaisia tapahtumia, loukkauksia ja muita ongelmia sekä

niiden ratkaisuja maailmanlaajuisesti ja jatkuvasti seuraavaa ja tietoturvallisuuden

”neuvonanta-jien” organisaatiota kutsutaan nimellä CERT. CERT on lyhenne termistä

Computer Emergency Response Team.

Tehtävänään CERT -viranomainen

§ toteuttaa valtakunnallista tapahtumaseurantaa, dokumentointia ja tilastointia

§ muodostaa ja ylläpitää tilannekuvaa informaatiouhkista ja –operaatioista sekä


19

tiedottaa tehokkaasti havainnoistaan

§ antaa suosituksia, neuvontaa ja ohjeistusta tietoturvallisuuden kehittämiseksi

§ suorittaa tietoturvaratkaisujen tutkimista, testaamista ja kehittämistä

§ antaa ennalta ehkäisevää konsultointia ja varoittamista tietoturvaongelmissa

§ antaa nopeasti ja tehokkaasti apua välittömien ongelmien ratkaisemisessa eli

järjestää tapahtumien tunnistamisen, rajaamisen, eristämisen ja torjunnan sekä

niiden tutkinnan

§ muodostaa hyvät yhteydet laite-, verkko- ja ohjelmistotoimittajiin sekä poliisiin ja

muihin viranomaisiin sekä koordinoi tietoturvallisuusyhteistyötä

§ seuraa ja analysoi informaatiouhkiin liittyvää kansainvälistä ja muuta kehitystä

§ hoitaa kansainväliset viranomaisyhteydet CERT –toiminnassa.

CERT -toiminto muodostuu siis toisaalta ongelmien havaitsemiseen ja toisaalta niiden

välittömään ratkaisemiseen liittyvistä toimista. Keskeisenä tavoitteena on pidetty infor-

maatiouhan realistisen tilannekuvan muodostamista ja ylläpitoa sekä ennaltaehkäisevä

turvallisuustoimintaa. CERT -toimintaan on liitetty myös torjuntatoimenpiteet eli

erilaisten tietoturvaloukkausten monitorointi ja jäljittäminen, rajaaminen ja estäminen,

rikostutkinta, turvajärjestelmien aukkojen korjaaminen, elintärkeiden verkkojen suojaa-

minen sekä hyökkäysten dokumentointi ja niistä varoittaminen. Toiminnan luonteesta ja

eri tahojen moninaisuudesta johtuen tätä tehtäväaluetta on vaikea osoittaa jollekin

määrä-tylle viranomaiselle. Toiminnon järjestämisen tulee perustua hajautettuun

yhteistyö-malliin, jossa ovat mukana sekä julkisen että yksityisen sektorin toimijat.

Kokonaisuuden hallinta edellyttää koordinointia ja yhteensovittamista.


20

4. Ehdotus tietoturvallisuuden toimintojen ja hallinnon

järjestämiseksi

4.1 Toteuttamisperiaatteet

Projektiryhmän esityksen keskeinen lähtökohta on, ettei maahan perusteta tietoturvalli-

suutta varten uusia viranomaisorganisaatiota, mutta varautuminen tietoteknisiä uhkia

vastaan on meilläkin organisoitava. Kehittämisen kohteena olevat tietoturvallisuuden

viranomaistoiminnot tulee hoitaa laajentamalla ja täsmentämällä niiden olemassa olevien

viranomaisten tehtäviä, joille se luontevimmin soveltuu ja joilla on jo entuudestaan niihin

liittyvää toimintaa ja asiantuntemusta. Lisäksi viranomaisten yhteis-toimintaa on tehos-

tettava ja työnjakoa selkeytettävä. On siis tavallaan valittu pienelle valtiolle sopiva

hajautettu kehittämismalli.

Tietoturvallisuuden kaikille eri toiminnolle on osoitettava vastuuviranomaiset, jotka

huolehtivat yleisestä ohjauksesta, norminannosta ja kansainvälisten viranomaisyhteyk-

sien hoitamisesta sekä toisaalta teknisistä asiantuntijatehtävistä, kuten testaukseen,

hyväksymiseen, neuvontaan ja seurantaan liittyvästä operatiivisesta toiminnasta.

Olennaisena on pidetty sitä, että luodaan reaaliaikaista, normaaliaikana tapahtuvaa

toimintaa, koska informaatiouhkat ja –operaatiot ovat tämän päivän todellisuutta.

Edelleen on lähdetty siitä, että viranomaisohjaus ja regulointi toteutetaan joustavasti ja

kevyellä organisaatiolla. Markkinaehtoiselle toiminnalle jätetään tilaa ja tuetaan sen

edellytyksiä tarvittaessa julkisen vallan toimenpitein.

Talouden verkottuminen edellyttää yhteistyön laajentamista ja tehostamista eri toimi-

joiden välillä. On luotava tavallaan tietoturvallisuusalan yhteistyöverkosto. Tarvittaisiin

eri tahoista laajasti koostuva tietoturvallisuusasioita käsittelevä neuvottelukuntatyppinen

elin. Tällaisen periaatteessa muodostaa PTS:n tietojärjestelmäjaosto toimikuntineen.

Valtionhallinnon sisäistä yhteistyötä on kehitettävä, jotta saavutettaisiin parempi tiedon-

vaihto, koordinaatio ja valmistelu (VM/VAHTI). Elinkeinoelämän ja valtion välille on


21

luotava toimiva yhteistyömalli, joka perustuu yhteisille intresseille. Julkisen vallan

kannalta parannetaan koko yhteiskunnan turvallisuutta ja jatkuvuutta, yritysten

kannalta saavutetaan korkeampi sisäinen turvallisuustaso, joka parantaa samalla myös

liiketoimin-nan harjoittamisen yleisiä edellytyksiä.

Ongelmana on ollut löytää maasta riittävää tietoturvallisuusalan teknistä asiantunte-

musta. Maahan on rakennettava tämän alan ennalta ehkäisevään neuvontaan ja suojaus-

tekniseen tukeen, tilanneseurantaan ja raportointiin, informaatiouhkien tunnistamiseen,

torjuntaan ja analysointiin sekä ongelmien ratkaisemiseen kykenevä asiantuntija-

keskittymä. Uusiin toimintoihin liittyviä palveluja on myös kunnallis-hallinnon ja

yksityisen elinkeinoelämän voitava hyödyntää.

Suojautumisjärjestelmien luomisessa on kuitenkin lähdettävä siitä, että suojaustekniikka

kulkee aina “hyökkäysteknologian” jäljessä ja täydellinen suojaus tulee äärimmäisen

kalliiksi. Esimerkiksi korkeatasoiset testauslaitteet ovat erittäin kalliita. On tavallaan

löydettävä optimi kustannusten ja turvallisuustason välille.

Henkilöresurssien tarpeeseen vaikuttaa puolestaan se, miten laajat ja yksityiskohtaiset

vaatimukset sekä testaus-, tarkastus-, sertifiointi- ja valvontatehtävät tietoturvallisuuden

kehittämiselle asetetaan.

4.2 Kehittämiskeinot

Tietoturvallisuuden kehittämiskeinoja ovat periaatteessa säädöksiin perustuva sääntely,

julkisen vallan suosituksiin, ohjeisiin ja määräyksiin perustuva ohjaus sekä markkina-

ehtoinen turvallisuustoiminta.

Valtiovarainministeriö selvitti vuonna 1998 tietoturvallisuutta koskevan lain tarvetta,

mutta aika ei ollut vielä kypsä. Hallinnon lausunnot esitykseen olivat lähes

poikkeuksetta myönteisiä; yksityinen sektori oli lausunnoissaan varauksellisempi lain

tarpeellisuudesta peläten mahdollisten velvoitteiden aiheuttamia tietojärjestelmien

lisäkustannuksia. EU:n tietoturvallisuutta koskevat direktiivit tulevat joka tapauksessa


22

ohjaamaan kehitystä myös meillä. Valtionhallinnon kriittisten järjestelmien

turvallisuuden tulisi perustua suhteellisen vahvaan normiohjaukseen. Tähän saakka

tietoturvallisuuden kehittäminen on perustunut valtioneuvoston periaatepäätöksiin ja

niiden perusteella toteutettuun ohjaukseen. Vaikka periaatepäätökset ovatkin

valtioneuvoston tahdonilmauksia, normeina ne ovat luonteeltaan suosituksia.

Erillislakeja on sen sijaan olemassa ja ne sisältävät tietoturvallisuusvelvoitteita. Tele-

viestinnän puolella tietoturvallisuuden kehittämisen perusta on em. laki yksityisyyden

suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999). Telehallintokeskus on

antanut lain perusteella tarkempia määräyksiä. Telemarkkinalaki (566/99) sisältää tele-

operaattorien varautumisvelvoitteen. Henkilötietolaki (523/99) määrittelee vaatimukset

rekisterinpitäjille tietoturvallisuuden toteuttamisesta. Viranomaisia koskeva hyvä tiedon-

hallintapa ja siihen liittyvät velvoitteet on määritelty laissa viranomaisten toiminnan

julkisuudesta (621/99) sekä sen perusteella annetussa asetuksessa viranomaisten

toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/99).

Yksityisen sektorin toimijoiden tietoturvallisuuden kehittäminen voisi enemmänkin

tukeutua markkinoiden suorittamaan ohjaukseen. Tietoturvallisuus on yritystasolla

kuitenkin nähtävä niiden toiminnan jatkuvuuteen ja asiakkaiden palvelukykyyn vaikut-

tavana kilpailukykytekijänä. Tähän perustuukin yritysmaailmassa jatkuvasti yleistynyt

laatusertifiointi, joka on nyt laajentumassa tietoturvallisuuden alueelle. Tässä työssä

voitaisiin tulevaisuudessa käyttää hyväksi myös PTS:n tärkeysluokiteltuja yrityksiä ja

niihin luotua valmiuspäällikköjärjestelmää.

4.3 Hallinnolliset vastuut ja viranomaistoiminnan kehittäminen

4.3.1 Tietoliikenneturvallisuus

Tietoliikenneturvallisuuden vastuuministeriö on liikenneministeriö (LM), jonka yleisenä

tehtävänä on teletoiminnan ohjaus ja kehittäminen yksityisyyden suojasta televiestin-

nässä ja teletoiminnan tietoturvasta annetun lain, TTsL ( 565/1999 ) periaatteiden mukai-

sesti. Liikenneministeriölle kuuluu myös yleisten televerkkojen ja niissä tarjottujen palve-


23

lujen tietoturvallisuuden edistäminen yhteistyössä Telehallintokeskuksen, tietosuoja-

viranomaisten, teleyritysten, teleteollisuuden ja käyttäjiä edustavien yhteisöjen kanssa.

Telehallintokeskus (THK) antaa teknisiä määräyksiä ja ohjeita teleyritysten toiminnasta,

telepäätelaitteiden, - verkkojen ja -palveluiden varustamisesta riittävän tietoturvallisuus-

tason mukaisesti sekä valvoo yleisiä telepalveluja tarjoavien teleyritysten tietoturvalli-

suutta. Lisäksi THK:n tehtäviin kuuluu valvoa teleyritysten varautumista poikkeus-

oloihin sekä sitä, että teleyritykset tiedottavat tietoturvallisuusriskeistä ja niiden torjun-

nasta telepalveluidensa käyttäjille.

THK on telealan tekninen asiantuntijaviranomainen ja sille jo nykyisin kuuluu yleinen

tietoliikenteen tietoturvallisuustoiminnan ohjaus ja valvonta. Sen vuoksi nykyisen

operatiivisen toiminnan jatkeeksi on luontevaa ja tarkoituksenmukaista kytkeä tieto-

liikenneturvallisuuden syventäminen COMSEC-toiminnan alueelle. THK:n roolia ja

resursseja tulee kehittää siten, että sinne muodostuu sellainen asiantuntijakeskittymä,

joka pystyy arvioimaan ja valvomaan tietoliikenneturvallisuutta sekä antamaan sitä

koskevaa ohjeistusta ja asiantuntijatukea yhteiskunnan kriittisten tietojärjestelmien

turvaamiseksi.

Apunaan se voi käyttää - kuten nykyisinkin tapahtuu - erilaisia yhteistyö- ja asian-

tuntijaryhmiä sekä mahdollisuuksien mukaan muita erityisviranomaisia, joissa on

esimerkiksi salausasiantuntemusta. Näin voidaan varmistaa, että tavoitteeksi asetettu,

riittävä tietoliikenneturvallisuuden taso toteutuu yhteiskunnan kriittisissä tietojärjes-

telmissä. Se ei siis itse suorita varsinaista testaus- ja sertifiointitoimintaa, vaan se käyttää

arvioinnissa hyväkseen sellaisten teknisten laboratorioiden, asiantuntijaelinten ja

sertifiointilaitosten tuloksia (evaluation facilities, evaluation bodies, sertification bodies),

jotka on asianmukaisesti tehtäväänsä akkreditoitu. Vaikka testauksessa ja tutkimuksessa

tukeudutaan yksityisen sektorin toimijoihin, edellyttää salaustekniikan tuntemus joka

tapauksessa lisäpanostusta THK:ssa, jotta se voi arvioida ja hyödyntää testi- ja tutkimus-

tuloksia. Silloin se voi myös paremmin seurata alan kehitystä ja järjestää asiantuntija-

foorumeita.

Jo nykyään THK seuraa ja valvoo tietoturvallisuusuhkia varmistumalla siitä, että tele-


24

yritykset ja erilaiset palvelun tuottajat huolehtivat lain mukaisen tietoturvallisuuden

toteuttamisesta yleisessä televerkossa. Se valvoo teleoperaattoreita kaikkien operaatto-

reiden käyttäjien osalta, ja julkishallinto on yksi tärkeä palvelujen käyttäjä. Lisäksi THK

hoitaa COMSEC-viranomaisena kansainväliset viranomaisyhteydet EU:ssa, OECD:ssa ja

muissa tietoliikenneturvallisuutta käsittelevissä kansainvälisissä organisaatioissa.

Viranomaistoiminnan ja siihen liittyvän valvonnan ohella THK seuraa alan markkina-

ehtoista toimintaa. Vuoden 2000 huhtikuusta lähtien telepäätelaitteille ei enää tarvita

ulkopuolisen tarkastuslaitoksen antamaa tyyppihyväksyntää. Laitevalmistajien on

vastattava laitteiden vaatimuksenmukaisuudesta antamalla niistä vaatimuksenmukai-

suusvakuutuksen eli että tuotteet vastaavat niille asetettuja turvallisuus- ja muita teknisiä

vaatimuksia. Laitteiden olennaiset vaatimukset on esitetty EU:n direktiivissä ja sen

perusteella laadituissa harmonisoiduissa standardeissa. Komission erikseen päättäessä

laitteille voidaan asettaa mm. tietoturvaan ja tietosuojaan liittyviä vaatimuksia.

Toistaiseksi tällaisia vaatimuksia ei ole asetettu. THK on uudessa järjestelmässä tuote- ja

markkinavalvonnasta vastaava viranomainen, joka valvoo laitteiden vaatimusten-

mukaisuutta. Tarvittaessa se voi käyttää hyväkseen niitä sertifiointiorganisaatioita, jotka

on asianmukaisesti tehtäväänsä akkreditoitu. Monessa tapauksessa on kuitenkin pakko

luottaa hyvin pitkälle valmistajan antamaan vakuutukseen.

THK:n kehittäminen edellä mainittuun suuntaan edellyttää sen tehtävistä annetun

lainsäädännön tarkistamista ja henkilöresurssien vahvistamista.

Hallintomalli on esitetty pääpiirteissään oheisessa kuviossa (1).


25

TietojärjestelmäjaostoTietojärjestelmäjaosto

COMSEC -toimintaTietoliikenneturvallisuus

LM

THK

EB, EF, CBYhteistyö- ja

asiantuntijaryhmät

Valmistajat/toimittajat

OperaattoritPalveluntuottajat

Käyttäjät

TestaustoimintaSertifiointitoiminta

Valvonta COMSEC-viranomainen

Viranomaistoiminta ja valvonta

Markkinaehtoinen toimintaKansainväliset

viranomaisyhteydet

Tuote- ja markkinavalvonta

Kuvio 1

4.3.2 Tietojärjestelmien turvallisuus

Tietotekniikan (laitteistot, ohjelmistot ja palvelut) turvallisuusratkaisujen testaukselle,

hyväksymiselle ja valvonnalle ei ole samalla tavoin osoitettavissa selkeää operatiivista

vastuuviranomaista kuin tietoliikennealalla. Tämä on vaikeuttanut ratkaisun hakemista

tämän sektorin viranomaistoimintojen hoitamiselle.

Valtionvarainministeriön (VM) ja sen hallinnon kehittämisosaston tehtävänä on valtion

tietohallinnon yleisohjaus ja yhteensovittaminen valtioneuvoston ohjesäännön

(1522/1995) ja valtionhallinnon tietohallinnosta annetun asetuksen (155/88) mukaan. VM

vastaa niiden perusteella tietoturvallisuustyön yleisohjauksesta ja yhteensovittamisesta

sekä antaa valtionhallinnolle siihen liittyviä ohjeita ja suosituksia.

VM on asettanut laajasti hallinnon asiantuntemusta edustavan valtionhallinnon tieto-

turvallisuuden johtoryhmän (VAHTI), jonka tehtävänä on koordinoida, yhteensovittaa

ja kehittää koko valtionhallinnon tietoturvallisuudelle asetettuja tavoitteita, toiminta-

linjoja ja ohjeistusta. Se on toiminut lähes 20 vuotta ja se on tuottanut tietoturvallisuuden

ohjeistusta, jota on sovellettu ministeriöissä, virastoissa ja laitoksissa. VAHTIn toiminta ei


26

ole ulottunut kunnallishallintoon eikä yksityiseen elinkeinoelämään.

Valtioneuvosto teki periaatepäätöksen valtionhallinnon tietoturvallisuudesta 11.11.1999

ja periaatepäätöksen valtionhallinnon tietohallinnon kehittämisestä 2.3.2000. Niiden

mukaan VM:n vastuuta tietohallinnon yleisestä ohjauksesta ja yhteensovittamisesta sekä

organisoinnista vahvistetaan. VM voi antaa myös tarvittaessa määräyksiä ja ohjeita

muun muassa tietojen ja tietojärjestelmien perusrakenteiden tietoturvallisuudesta. Niitä

valmisteltaessa kuullaan ministeriöitä ja niiden alaista hallintoa. Edelleen valtioneuvosto

asettaa määräajaksi valtiovarainministeriön johdolla toimivan ministeriöiden virkamies-

johdon edustajista koostuvan Valtion tietohallinnon johtoryhmän (VATI). VAHTI

asetetaan sen alaiseksi valmisteluelimeksi.

Tietohallinnon kehittämistä koskevan päätöksen mukaan valtion tietohallinnon järjestä-

mistä ja ohjausta koskeva uusi laki tulee valmistella vuoden 2000 loppuun mennessä.

VM:n ja valtioneuvoston kanslian työnjakoa valtioneuvostotason tietohallinnossa on

myös tarkoitus muuttaa ja suunnittelua varten on asetettu työryhmä 31.3.2000.

VM:n lisäksi myös muilla ministeriöillä ja organisaatioilla on tällä hetkellä tietoturval-

lisuuteen liittyviä ohjaus- ja valvontatehtäviä. Näitä ovat valtioneuvoston kanslia,

sisäasiainministeriö, liikenneministeriö, tietosuojalautakunta ja tietosuojavaltuutetun

toimisto. Tämän ohella Valtiontalouden tarkastusvirasto voi suorittaa valtionhallinnon

tiedonkäsittelyyn ja tietohallinnon ohjaukseen sekä virastojen ja laitosten tietoturvalli-

suuteen liittyviä tarkastuksia (831/94). Sillä on tärkeä tehtävä nimenomaan ministeriöi-

den toimia valvovana, eduskunnan alaisena erityisviranomaisena 1.1.2001 alkaen.

Yleisten hallinnon periaatteiden mukaisesti jokaisen ministeriön on omalla hallinnon-

alallaan vastattava myös tietoturvallisuuden ohjauksesta, kehittämisestä ja valvonnasta

osana tietohallintoa. Viime kädessä ministeriöiden velvollisuutena on tietoturvallisuus- ja

tietosuoja-asioissa aktiivisesti informoida, ohjata sekä seurata ja valvoa alaisensa hallin-

non tietoturvallisuustoimenpiteitä. Niiden tehtävänä on myös hallinnonalansa lainsää-

dännön kehittäminen ja tietoturvallisuutta koskevien tarkempien ohjeiden antaminen.

Tämän pohjalle on siten rakennettava tietojärjestelmien turvallisuuteen liittyvät uudet

järjestelyt.


27

Turvallisuustoiminta voidaan jakaa kahteen linjaan: toisaalta markkinaehtoiseen,

yritysten ja muiden vapaaehtoisten toimijoiden suorittamaan tietoturvallisuus-

järjestelmien sertifiointitoimintaan osana niiden laatujärjestelmien kehittämistä sekä

toisaalta julkisen hallinnon ja muun yhteiskunnan kriittisten tietojärjestelmien suo-

jaamiseen. Tavoitteena on kriittisten tietojärjestelmien turvallisuuden kehittäminen koko

yhteiskunnassa. Yhteiskunnan toiminnan kannalta kriittisiä tietojärjestelmiä on sekä

julkisessa hallinnossa että yksityisen sektorin puolella. Toisaalta vähemmän tärkeitä

tietojärjestelmiä, joilta ei tarvitse edellyttää korkeaa tietoturvallisuustasoa, löytyy sekä

julkisen että yksityisen sektorin piiristä.

A) Markkinaehtoinen toiminta

Markkinaehtoista laatujärjestelmien sertifiointitoimintaa on harjoitettu Suomessa jo

kymmenkunta vuotta. Järjestelmien sertifiointi on perustunut ISO:n hyväksymiin

standardeihin. Uusin tulokas järjestelmäsertifiointien alueella on tietoturvallisuus-

järjestelmien sertifiointi. Tämä perustuu Suomessa toistaiseksi brittiläiseen BS 7799-

standardiin. Suomessa BS 7799-sertfioinnin kehitystyö alkoi viime vuoden lopulla, jolloin

SFS-Sertifiointi Oy käynnisti sertifiointimallin pilot-projektin. Projektin jälkeen serti-

fiointia voivat hakea muutkin kuin projektiin osallistuneet yritykset. Tämä edellyttää

kuitenkin, että kansallinen akkreditointiviranomainen, Mittatekniikan keskus, toteaa

sertifioijan päteväksi.

BS 7799-standardi on laaja turvallisuusjärjestelmän kehittämismalli, joka ottaa kantaa

muun muassa lainsäädännön, viranomaismääräysten ja muiden alakohtaisten tieto-

turvallisuusmääräysten kehittymisen seurantaan ja noudattamiseen organisaatiossa. Se

on tarkoitettu sovellettavaksi yritystasolla. Sertifiointiin tähtäävällä yrityksellä tuleekin

olla selkeä toiminnan turvallisuustavoite, johon tulee sisältyä myös yhteiskunnan

asettamat tietoturvallisuuteen liittyvät odotukset ja velvoitteet. Sen vuoksi sillä on

yhtymäkohtia yritysten valmiussuunnitteluun ja poikkeusoloihin varautumiseen, jota

PTS:n toiminnassa edellytetään tärkeysluokitelluilta yrityksiltä.

Euroopan alueella sen kanssa kilpaileva turvallisuusjärjestelmän kehittämismalli on


28

saksalaisen BSI:n perusturvatasomalli (IT-Grundschutzhandbuch). Niiden suurin ero on

kuitenkin siinä, että BSI:n malli sisältää huomattavan määrän teknisiin yksityiskohtiin

meneviä suosituksia ja vaatimuksia. BS 7799 on tässä mielessä lähempänä ISO:n

järjestelmätason malleja, koska sen sisältämät vaatimukset kohdistuvat organisaation

toimintaperiaatteisiin ja yritys ratkaisee tekniset yksityiskohdat omien tietoteknisten

ratkaisujen ja prosessien pohjalta. BSI:n mallin sovellusalue onkin lähinnä

tuotesertifiointi, johon sitä on käytettykin.

Myös ITSEC ja Common Criteria on tarkoitettu tuotesertifiointia varten, eivätkä ne siten

sovellu kokonaisten tietoturvallisuusjärjestelmien sertifiointiin.

BS 7799 näyttää tällä hetkellä leviävän CC:n ohella hyvin nopeasti käyttöön useissa

maissa. Onkin todennäköistä, että BS 7799 ja CC tulevat hyvin pian muodostamaan

toisiaan täydentävän standardiparin, joiden pohjalta kansainvälisen tason tietoturvalli-

suutta jatkossa kehitetään.

Yleistyessään tietoturvallisuusjärjestelmien sertifiointi parantaa tietoturvallisuuden tasoa

yksityisen sektorin toimijoiden piirissä ja on viranomaisten näkökulmasta hyödyllistä

toimintaa. Julkisen hallinnon tehtävänä on silloin sertifiointiorganisaatioiden akkredi-

tointi sekä toiminnan vaatimustenmukaisuuden hallinnollinen valvonta.

B) Yhteiskunnan kriittisten tietojärjestelmien suojaaminen

Kriittisten julkisen hallinnon – sekä valtion että kunnallishallinnon – tietojärjestelmien

turvaominaisuuksien testaus, hyväksyntä ja valvonta voivat perustua myös hyvin

pitkälle markkinaehtoiseen järjestelmään, jota julkisen hallinnon organisaatiot voivat

käyttää hyväkseen. Mikäli jokin sertifiointiorganisaatio, joka on asianmukaisesti

akkreditoitu, hankkii lisäpätevyyden (qualifying/compliant) ITSEC MRA tai CCRA

hallintokomitealta, joissa molemmissa Suomella on edustus (VM), hyväksytään kyseisen

sertifiointielimen myöntämät laatusertifikaatit kaikissa sopimusmaissa. Mikäli Suomeen

tulee sertifiointielin, joka haluaa vastavuoroisen hyväksynnän piiriin, vie Suomen

edustaja ao. hallintokomiteassa asian komitean käsittelyyn.


29

Valtion kriittisten tietojärjestelmien tietoturvallisuutta varten tulisi ehkä luoda tilin-

tarkastustyyppinen menettely. VM antaisi normit ja kriteerit, joiden perusteella minis-

teriöt omilla hallinnonaloillaan velvoitettaisiin varmistumaan normien mukaisesta

tietoturvallisuuden tasosta alaisessaan hallinnossa. Hankinnat perustettaisiin valtionkin

osalta sertifiointiin. Tämä menettely soveltuu myös siihen, että valtionhallinnon kriittiset,

tärkeysluokitellut käyttäjät haluavat testata oma-aloitteisesti tiettyjä tuotteita ja palveluja

sertifioiduissa elimissä. Myös kunnallishallinnolle tulee voida asettaa joitakin uusia

velvoitteita.

Samanaikaisesti myös yksityisen sektorin markkinaehtoista tietoturvallisuuden testaus-

ja sertifiointitoimintaa on pyrittävä tukemaan ja edistämään. Erityisesti tämä koskee yksi-

tyisten yritysten hoitamia koko yhteiskunnan toiminnan kannalta elintärkeitä tietojärjes-

telmiä. PTS:n organisaation muodostamaa laajaa yhteistyöverkostoa tulee käyttää

nykyis-tä enemmän myös tämän toiminnan edistämiseen, sillä tärkeysluokiteltujen

yritysten valmiuspäälliköt (n. 1300) laativat varautumissuunnitelmat normaaliaikojen

perus-turvallisuuden ja eri tekijöiden (mm. atk- ja tietoliikennejärjestelmien turvaaminen)

kehittämistoimenpiteiden pohjalta.

Joka tapauksessa tarvitaan kuitenkin operatiivinen viranomainen, joka teknisenä asian-

tuntijaorganisaationa arvioi, edistää ja seuraa tietojärjestelmien tietoturvallisuutta ja

tietoliikenneturvallisuutta ja niihin liittyvää sertifiointitoimintaa sekä antaa näitä koske-

vaa asiantuntijatukea. Tieto- ja viestintäteknologian konvergenssin seurauksena perin-

teisen tietojenkäsittelyn, tietoverkkojen ja tietoliikenteen rajat hämärtyvät. Nämä muo-

dostavat tänä päivänä toisistaan riippuvaisen infrastruktuurin, jonka tietoturvallisuutta

on tarkasteltava kokonaisuutena. Tämän vuoksi ei ole tarkoituksenmukaista jakaa

myöskään siihen liittyvää viranomaisvastuuta. Länsimaissa viranomaisvastuu QCB-

toiminnasta onkin yleensä annettu COMSEC-viranomaisen tehtäväksi.

Tämän alueen hallintomallin tulisi olla suhteellisen kevyt ja joustava. Perusratkaisu

perustuu seuraavaan rakenteeseen.

Kukin viranomainen on ensisijaisessa vastuussa omaan toimintaan liittyvästä

tietoturvallisuudesta.


30

Valtiovarainministeriö vastaa tietoturvallisuuden yleisohjauksesta, norminannosta ja

kansainvälisestä viranomaisyhteistyöstä. Sitä avustaa asiantuntijaorganisaationa VAHTI.

Ministeriöt kehittävät, seuraavat ja valvovat tietoturvallisuustoimenpiteitä omilla

hallinnonaloillaan.

Valtiontalouden tarkastusvirasto voi tarkastaa ja valvoa sille laissa säädetyn

tarkastusoikeuden puitteissa, että ministeriöt ja muut viranomaiset toteuttavat niille

kuuluvia tietoturvallisuustehtäviä.

Telehallintokeskuksesta tulee kehittää jatkossa asiantuntijaorganisaatio, joka antaa

teknistä tukea yhteiskunnan kriittisten tietojärjestelmien ja tietoliikenteen

turvallisuusratkaisujen toteuttamisessa. Jo nykyään olemassa olevan lainsäädännön

perusteella THK antaa tarvittaessa teknisiä määräyksiä teleyritysten toiminnasta sekä

telelaitteiden, televerkkojen ja telepalveluiden varustamisesta lain edellyttämällä tavalla

sekä valvoo lain ja sen nojalla annettujen säädösten noudattamista. Jatkossa se tulisi

valvomaan myös hallinnollisesti tietoturvallisuuden sertifiointiorganisaatioiden

toimintaa.

Yhteiskunnan kriittisten tietojärjestelmien kannalta keskeisiä ovat EU:n hyväksymät

sertifiointilaitokset, joiden on 4 vuoden välein osoitettava pätevyytensä hoitaa

kriteeristön mukaista sertifiointitoimintaa. THK hoitaisi myös toimintaan liittyvät

teknisluontoiset kansainväliset viranomaisyhteydet.

Tietojärjestelmien turvallisuuteen liittyvät tehtävät sopisivat hyvin yhteen muidenkin

THK:lle suunnitteilla olevien tehtävien kanssa. Valmisteilla olevan sähköistä

allekirjoitusta koskevan lain mukaan THK valvoisi sähköisiin allekirjoituksiin liittyvien

varmennepalveluiden tarjoajien toiminnan lain mukaisuutta. On vielä epävarmaa,

nimetäänkö THK myös laitokseksi (designated body, DB), joka arvioi, onko alle-

kirjoituksen luomisväline (älykortti & kortinlukija tai ohjelmisto) direktiivin tarkoit-

tamassa mielessä turvallinen. Direktiivin mukaan ainoastaan vaatimukset täyttävä laitos

voi todeta turvallisuuden. Jäsenvaltion ei ole pakko nimetä tällaista laitosta.


31

Sertifiointitoiminnassa on järkevää yhteistyön kehittäminen yksityisen sektorin kanssa ,

jolloin voidaan hyödyntää akkreditoitujen laboratorioiden testituloksia myös julkisen

sektorin laite-, järjestelmä- ja palveluntarjoajavalinnoissa. Aivan samoin kuin COMSEC-

toiminnan kehittäminen, myös tämä edellyttää taloudellista panostusta. THK:lla on

oltava osaamista ja lisäresursseja, jotta se voisi valvoa niitä tahoja, jotka sertifioivat

tietojärjestelmiä ja palveluja, osallistua mahdollisesti tutkimukseen ja testaukseen sekä

antaa niihin liittyvää neuvontaa ja asiantuntijatukea.

Hallintomalli on esitetty pääpiirteissään oheisessa kuviossa (2).

Sertifioijat (esim. SFS)

CB

Tietojärjestelmien turvallisuus(CB/QCB/CCB-toiminta)

Ministeriöt

MRACCRA

KTM/MIKES

VAHTI

ElinkeinoelämäJulkishallinto

(valtionhallinto)

Viranomaistoiminta Kriittiset tietojärjestelmät Markkinaehtoinen toiminta

Akkreditointi

Laatusertifiointi

Tietoturvallisuus-järj. sertifiointi

(BS7799)

Hallintokomitea

Kuvio 2

Tekninenasiantuntijatuki


ValvontaSeuranta

VTV

THK

QCB

CCB

VM


Tarkastustoiminta

YleisohjausNorminantoKv. yhteistyö

TietojärjestelmäjaostoTietojärjestelmäjaosto

4.3.3 CERT- toiminnot

CERT -toiminta on erittäin tärkeä koko yhteiskunnan toiminnan kannalta. On tärkeää,

että on olemassa reaaliaikaiset järjestelmät tietoturvaloukkausten ja –uhkien havain-

nointiin, varoittamiseen, torjuntaan ja toipumiseen sekä valtakunnalliseen tilanne-

seurantaan, analysointiin ja tiedottamiseen.


32

CERT -toiminta on laajemman kontaktipinnan luomiseksi tarkoituksenmukaisinta jakaa

kolmen hallinnonalan kesken: sisäasiainministeriön (poliisi), liikenneministeriön (THK) ja

kauppa- ja teollisuusministeriön (puolustustaloudellinen suunnittelukunta /Huolto-

varmuuskeskus).

Sisäasiainministeriön ohjaus- ja valvontavastuulle kuuluu alue- ja paikallishallinnon

ietoturvallisuuden kehittäminen sekä turvallisuusviranomaisten (poliisi ja pelastustoimi)

toiminta. Poliisin (keskusrikospoliisi, KRP) tehtäviin kuuluu jo nyt rikollisen toiminnan

seuraaminen, torjuntatoimenpiteet ja tutkinta. Tietoturvallisuuden alalla näitä ovat mm.

vaaran aiheuttaminen tietojenkäsittelylle (virusten levitys), tietomurrot, viestintä-

salaisuuden rikkominen ja yritysvakoilu. Suojelupoliisi (SUPO) taas vastaa valtakunnan

sisäistä ja ulkoista turvallisuutta vaarantavien tapahtumien torjunnasta ja tutkinnasta.

Poliisille tulevien CERT -toimintojen organisoimisessa nähdään järkeväksi jakaa tehtävät

siten, että SUPO hoitaisi varsinaiset CERT -toiminnot ja KRP vastaisi rikostutkinnasta.

SUPO vastaisi näin ollen seuraavista tehtävistä

§ liittyminen mukaan kansainväliseen CERT -toimintaan

§ kansainväliset viranomaisyhteydet CERT -toiminnassa

§ ennaltaehkäisevä neuvonta

§ vastaanotettujen tietoturvaloukkausten käsittely sekä niihin liittyvä konsultointi,

arviointi ja neuvonta

§ tapahtumien tunnistaminen, rajaaminen ja eristäminen

§ tietoturvaloukkausten ohjaaminen tarvittaessa tutkintaan

§ tietoturvaloukkauksista varoittaminen

§ tiedottaminen

§ tietoturvaloukkausten tutkiminen, suojausmenetelmien testaaminen ja

kehittäminen

§ tietokantojen päivitys ja ylläpito.

KRP vastaisi puolestaan seuraavista tehtävistä


33

§ rikollisen toiminnan seuraaminen ja jäljittäminen

§ rikostutkinta, tarvittaessa poliisiorganisaatioiden (koti- ja ulkomaiset) yhteistyönä

§ tietokantojen päivitys ja ylläpito.

Tapahtuminen tunnistaminen, rajaaminen ja eristäminen, tapahtumien tutkinta ja

dokumentointi sekä raportointi niin kuin myös ennaltaehkäisyyn (salaamiseen,

suojaukseen yms. turvallisuusteknisiin järjestelmiin) liittyvä neuvonta, konsultointi ja

varoittaminen ovat hyvin poliisille sopivia tehtäviä.

Tärkeä toimintamuoto, jonka kehittäminen sopii periaatteessa poliisille, on ns. red team-

toiminto, joka hoitaisi yhteiskunnan kriittisten tietojärjestelmien turvallisuustarkastusta,

koulutusta ja järjestelmien hyökkäyksellistä testausta . Tällaista toimintaa on jo syntynyt

kaupalliselta pohjalta mm. kansainvälisten tilintarkastustoimistojen auditointiyksiköissä

ja yksityisissä tietotekniikkayrityksissä (esim. Nixu Oy Suomessa).

Kauppa- ja teollisuusministeriön hallinnonalalla toimivat taloudellista varautumista

suunnitteleva ja koordinoiva puolustustaloudellinen suunnittelukunta ja sen työtä

tukeva poikkihallinnollinen erityisviranomainen, Huoltovarmuuskeskus (HVK). Niiden

tehtävänä on kehittää julkishallinnon ja elinkeinoelämän yhteistyötä taloudellisessa

varautumisessa, yhteensovittaa julkishallinnon varautumistoimia sekä hoitaa huolto-

varmuuden kehittämiseen ja ylläpitoon liittyvät operatiiviset viranomaistehtävät.

Huoltovarmuuskeskuksen tehtäviin kuuluu myös yhteiskunnan kriittisen infrastruk-

tuurin varmistaminen ja siihen liittyvien teknisten varajärjestelmien kehittäminen ja

rahoitus.

CERT -toiminnon kannalta PTS:n muodostama laaja organisaatio tarjoaisi valmiin

kontaktipinnan yhteiskunnan toiminnan kannalta kriittisin tahoihin ja toimijoihin

erityisesti yksityisellä sektorilla. Lisäksi varautumistyössä on syntynyt suuri määrä

turvallisuuteen liittyvää ohjeistusta ja muuta aineistoa, josta on hyötyä järjestelmän

toteuttamisessa.

Huoltovarmuuskeskuksen organisoimana tulisi toteutettavaksi seuraavat tehtävät:


34

§ valtakunnallinen tapahtumatiedon keruu ja sen systematisointi

§ tilastointi ja tietokantojen ylläpito

§ tilannekuvan luominen ja ylläpito uhkista ja tapahtumista sekä niistä

tiedottaminen

§ neuvonta ja ohjeistus (turvallisuussuunnittelu, turvallisuuskäytännöt)

§ kansainvälisen ja muun informaatiouhkiin liittyvän kehityksen seuranta ja

analysointi

§ tietoturvallisuusyhteistyön koordinointi elinkeinoelämässä (PTS:n kautta)

§ osallistuminen kansainväliseen CERT -toimintaan.

Liikenneministeriön alaiselle Telehallintokeskukselle kuuluu CERT -toimintaa sivuavia

tehtäviä. THK:n tulee sekä oma-aloitteisesti että sille tehtyjen ilmoitusten perusteella

kerätä tietoa sekä valvoa televiestinnässä ilmeneviä tietoturvallisuusuhkia ja myös sitä,

että teleyritykset tiedottavat uhkista.

THK:n tehtävänä on lisäksi valvoa televiestinnän ja siihen liittyvien tunnistamistietojen

luottamuksellisuutta. Valvonta kattaa myös sen, etteivät teleyritykset luovuta tunnista-

mistietoja lain vastaisesti. Poliisi ja muut hätäilmoituksia vastaanottavat viranomaiset

saavat teleyrityksiltä tunnistamistietoja niissä tilanteissa kuin TTsL:n 18§:ssä on säädetty.

THK:n rooli liittyy siis tältä osin poliisin tiedonsaantivaltuuksiin sekä televiestinnän

luottamuksellisuutta loukkaavien tietoturvallisuusuhkien valvontaan.

CERT -toiminnan kannalta THK:lla on tärkeä merkitys telealalla tapahtuvien tieto-

turvaloukkausten havainnoinnissa ja tiedonkeruussa sekä tietoturvallisuusuhkien

ennaltaehkäisyssä, valvonnassa ja niistä tiedottamisessa. Jatkossakin tietoturva-

loukkausten havainnointi ja tiedonkeruu voisi perustua esim. teleoperaattoreilta

pyydettyihin lokitietoihin, ei aktiiviseen verkkojen valvontaan analysaattoreilla.

CERT -toiminta pitää sisällään kaksi tärkeää käytännön ulottuvuutta: tapahtuma-

seurannan ja tietokannan sekä menetelmätietokannan, joiden perusteella voidaan

kehittää ja luoda torjunta-, rajaamis- ja suojautumistoimenpiteitä. Niiden luominen ja

ylläpito tulisi jakaa kahdelle taholle: poliisille ja PTS/HVK:lle. PTS:n organisaation


35

asiantuntijaverkosto on tässä tärkeä. VTV:lla on myös tähän liittyvää tietämystä

valtionhallinnon osalta. Myös VAHTI voisi omalta osaltaan olla tietojen kokoaja ja

toimittaja nimenomaan valtionhallinnon tietoturvallisuutta koskevan tilannekuvan

muodostamiseksi. Se tarvitsee myös CERTin muodostaman valtakunnallisen

tilannekuvan toimintansa perusteeksi.

Tärkeä yhteistyötaho tapahtumaseurannassa voisi olla yliopistojen kansainvälinen CERT

-organisaatio, jonka Suomen osuutta hoitaa FUNET. Sitä operoi CSC-Tieteellinen

laskenta Oy. Koska sinne päätyvät myös sellaiset tapahtumatiedot, jotka eivät tule

poliisiviranomaisten tietoon, on luotava pysyvä järjestely “valtiollisen” ja “kaupallisen”

CER T-organisaation välille. Ruotsissa on tiedon saannin helpottamista varten esitetty

oman lainsäädännön säätämistä. Virustietokantojen osalta tärkeitä yhteistyöosapuolia

ovat viruksentorjuntaohjelmistoja valmistavat yritykset, joilla on kattavaa seurantaa

(esim. F-Secure Oyj). Myös yhteydet puolustusvoimien tietotekniikkatoimialaan ja

tiedusteluun ovat tärkeitä.

Keskeinen tehtävä CERT -toimintojen järjestämisessä on tietokantojen ja toimivien

yhteyksien rakentaminen eri osapuolten välille. HVK:n roolina olisi kerätä tapahtuma-

tieto eri osapuolilta ja luoda järjestelmä valtakunnallisen tilannekuvan ylläpitämistä ja

uhkista tiedottamista varten. Toiminta eri osapuolten välillä on syytä aluksi aloittaa

kokeiluluontoisena. Se edellyttää resurssien kohdentamista näihin toimintoihin.

CERT –toiminnan valmistelua, yhteydenpitoa ja seurantaa varten on tarpeen perustaa eri

viranomaisosapuolten edustajista ja asiantuntijoista koostuva poikkihallinnollinen CERT

-toiminnan yhteistyöryhmä (CERT-YTR). Siihen kuuluisivat ainakin THK:n, KRP:n,

SUPOn, PV:n ja HVK:n edustajat. Ulkoasianministeriö (UM) ja VM ovat tässä yhteydessä

myös tärkeitä yhteistyötahoja.

Oheisessa kuviossa (3) on kuvattu CERT -toiminnan osapuolet ja tiedonkulku.


36

Tietojärjestelmäjaosto

CERT-toimintaOsapuolet ja tiedonkulku

PE

THKYTR

KRPSUPO

Korkeakoulut, HIIT(vast.)Viranomaiset

(VTV)VM/VAHTIUM

TAPMEN

TeleoperaattoritPalveluntuottajat

Kansainväliset yhteydet• Tapahtumaseuranta, tilannekuvan ylläpito, tiedottaminen

• Tietoturvaloukkausten tunnistaminen, rajaaminen, torjunta ja tutkinta

• Kriittisen infrastruktuurin varmistaminen

PTS/HVK

Kuvio 3

Tieto

järje

stelm

ät

(elin

keinoe

läm

ä)

4.3.4 Yhteistyön kehittäminen ja koordinointi

Kokonaisvaltaisesta turvallisuuspoliittisesta näkökulmasta keskeinen informaatiouhkiin

liittyvää varautumista koordinoiva elin on em. puolustusministeriön turvallisuus- ja

puolustusasian komitea (TPaK).

Hajautettu tietoturvallisuuden kehittämismalli edellyttää yhteistyöfoorumin luomista

alan vastuuviranomaisten, operaattoreiden, toimittajien ja osaajien välille. Tähän

tietojärjestelmäjaosto toimikuntineen (tiedonkäsittely-, tiedonsiirto- ja joukkoviestintä-

toimikunta) PTS:n organisaatiossa tarjoaa mahdollisuuden, jolloin ei tarvitse perustaa

myöskään uusia neuvottelukuntatyyppisiä elimiä.

PTS:n tietojärjestelmäjaoston toiminnan päätarkoitus on sähköisen tiedonsiirron ja –

käsittelyn sekä joukkoviestinnän tekninen turvaaminen ja valmiussuunnittelun

edistäminen siten, että niiden varassa olevat yhteiskunnan tärkeät toiminnot kyetään

hoitamaan tarkoituksenmukaisella tavalla myös poikkeusoloissa. Tavoitteena on siis

varmistaa yhteiskunnan tietotekniikkainfrastruktuurin käytettävyyttä, mikä kuuluu

tietoturvallisuuden piiriin.


37

Tietojärjestelmän roolia olisi näin luontevaa laajentaa koskemaan myös tietoturvalli-

suussektoria, erityisesti uusien toimintojen koordinointia, tiedonvaihtoa ja asiantuntija-

valmistelua sekä kehittämistoimintaa. Samalla sen kokoonpanoa on muutettava katta-

vammaksi koskemaan mm. kaikkia vastuuministeriöitä (kuten SM). Se on hyödyllistä ja

välttämätöntä senkin vuoksi, että eri tietoturvallisuuden toimintojen tehtävänmääritte-

lyjen välille on vaikea vetää tarkkaa rajaa ja näiden toimintojen hoitamisessa tarvitaan

joka tapauksessa yhteistyötä julkishallinnon ja elinkeinoelämän välillä.

4.4 Resurssitarve ja rahoitus

Osapuolet, joille tässä raportissa on esitetty lisätehtäviä, ovat arvioineet sitä, mitä

muutoksia ne merkitsevät niiden toimintaedellytyksiin. Eräissä tapauksissa ne

merkitsevät lainsäädännön muuttamista. Tämä on kussakin tapauksessa erikseen

selvitettävä. Telehallintokeskuksen tehtäviä ollaankin parhaillaan kehittämässä. Myös

poliisilakiin voidaan tarvita joitakin muutoksia. Samoin rikoslakia (pakkokeinolaki

450/87, 5a luku) tulisi kehittää siten, että mahdollistaisi nykyistä paremmin telekuun-

telun ja –valvonnan myös tietoverkoissa (Internet). Laki huoltovarmuuden turvaamisesta

(1390/92) ja asetus Huoltovarmuuskeskuksesta (1391/92) mahdollistavat puolestaan sen,

että Huoltovarmuuskeskus voi osallistua yhteiskunnan turvallisuuden kannalta välttä-

mättömien huoltovarmuushankkeiden rahoitukseen valtionhallinnon piirissä.

Tietoturvallisuuteen liittyvien tehtävien laajentaminen merkitsee väistämättä myös

lisääntyviä resurssitarpeita. Telehallintokeskus on nettobudjetoitu keskusvirasto, joka

rahoittaa toimintansa alan yrityksiltä ja käyttäjiltä perittävillä maksuilla. THK:lla ei ole

nykyisin mahdollisuutta panostaa tietoliikenteen ja tietojärjestelmien asiantuntijatuen

kehittämiseen. Myöskin uuden alueen osaamisperustan luominen vie aikaa ja vaatii

pitkäjänteistä rekrytointi- ja koulutusohjelmaa. LM:n on huolehdittava siitä, että THK:lle

osoitetaan tarvittavia lisäresursseja.

Myös poliisin (KRP, SUPO) sekä HVKn resurssitarpeet kasvavat uusien tehtävien myötä.

Poliisin on kehitettävä monitorointia, jäljittämistä, salauksen purkua ja esitutkintaa


38

(deskien ja ilmoituspisteiden luominen, virtuaalisoluttauminen, tietokannat, rekrytointi,

materiaali- ja toimintamenot). HVK:n on perustettava CERT:iin liittyvät yhteydet,

mekanismit ja tietokannat.

THK, KRP, SUPO ja HVK ovat arvioineet, että toimintojen järjestämiseen liittyvät

lisätehtävät aiheuttavat kokonaisrahoitustarpeen, joka on vuositasolla noin 14 - 15

mmk:n luokkaa. Mitään budjettivarauksia ei ole tehty ja rahoituksen hoitaminen on

selvitettävä erikseen.

Arvioissa ei ole otettu kantaa siihen, mikä osuus rahoituksesta on järjestettävissä toimin-

toja uudelleen suuntaamalla ja mikä maksuperusteisesti. VM ei ole omalta osaltaan arvi-

oinut tässä selvityksessä esille tulleiden toimintojen vahvistamiseen liittyvää resurssien

tarvetta.

4.5 Jatkotoimenpiteet

Jatkotoimenpiteinä projektiryhmä esittää:

§ loppuraportti esitetään tietojärjestelmäjaostolle

§ hyväksyttyään raportin jaosto luovuttaa sen liikenneministeriölle

§ liikenneministeriö pyytää siitä lausunnot tärkeimmiltä hallinnon ja

elinkeinoelämän tahoilta

§ lausuntokierroksen jälkeen asia käsitellään turvallisuus- ja puolustusasiain

komiteassa

§ lopuksi raportti viedään hallituksen käsiteltäväksi

§ rahoitusselvitysten jälkeen vastuuministeriöt varautuvat budjeteissaan

lisääntyviin tehtäviin.


39

5. Yhteenveto

Tietojärjestelmien turvallisuuden kasvava merkitys on meilläkin selvästi tiedostettu sekä

hallinnossa että yritysmaailmassa. Yrityksissä se nähdään tänä päivänä tärkeänä kilpai-

lukykytekijänä, jopa toiminnan jatkuvuuden elinehtona. Yhteiskunnan kannalta se

nähdään kansalliseen turvallisuuteen vaikuttavana tekijänä, joka on eräissä maissa

johtanut mittaviin varautumistoimiin. Niissä toimintaa kutsutaankin yhteiskunnan

kriittisten infrastruktuurien turvaamiseksi. Tietoturvallisuuden kehittämiseen ja

suojautumisjärjestelmien luomiseen informaatiouhkien varalle on Suomessakin lisättävä

voimavaroja osana kokonaisvarautumista.

Tavoitteena on kehittää yhteiskunnan toimivuuden kannalta kriittisten tietojärjestelmien

turvallisuutta ja toimintaedellytyksiä. Teknistyneessä ja verkottuneessa yhteiskunnassa

ei enää voida erottaa toisistaan varautumista normaaliajan häiriöihin ja poikkeusoloihin.

Kehittämällä varautumistoimenpiteitä kriittisten tietojärjestelmien informaatiouhkiin

kohoaa tietoturvallisuuden yleinen taso samalla koko yhteiskunnassa.

Esityksen keskeinen periaate on, ettei maahan perusteta tietoturvallisuutta varten uusia

viranomaisorganisaatiota. Uudet viranomaistoiminnot tulee hoitaa laajentamalla ja

täsmentämällä olemassa olevien viranomaisten tehtäviä. Lähtökohtana on silloin ollut

nykyisen toiminnan luonne sekä tietoturvallisuuteen liittyvä tekninen ja muu asian-

tuntemus.

On haluttu luoda hajautettu toimintamalli, joka perustuu yhteistoiminnan tehostamiseen

sekä valtionhallinnon sisällä että sen ja elinkeinoelämän välillä. Samalla on pyritty

selkeyttämään tehtäviä ja työnjakoa. Markkinaehtoiselle toiminnalle ja joustaville

toimintamalleille on jätetty tilaa. Tärkeiden elinkeinoelämän toimijoiden tietoturvalli-

suuden edistämisessä tulee käyttää nykyistä tehokkaammin hyväksi PTS:n

organisaatiota ja sen piirissä tapahtuvaa yritysten valmiussuunnittelutoimintaa.

Pidettiin tärkeänä, että erityisesti valtionhallinnon kriittisten tietojärjestelmien tieto-

turvallisuusominaisuuksille asetetaan velvoitteita, joiden toteuttamisesta kunkin


40

ministeriön omalla hallinnonalallaan pitäisi varmistua yleisohjauksesta vastaavan

ministeriön antamien normien nojalla. Samanaikaisesti myös yksityisen sektorin

markkinaehtoista tietoturvallisuuden testaus- ja sertifiointitoimintaa on pyrittävä

tukemaan ja edistämään. Sitä varten on luotu toimiva, kansainvälinen rakenne ja

menettelytavat, johon Suomen valtionhallinto osallistuu. Myös kriittisten julkisen

hallinnon tietojärjestelmien turvaominaisuuksien testaus, hyväksyntä ja valvonta voivat

perustua hyvin pitkälle markkinaehtoiseen järjestelmään.

Operatiivista viranomaistoimintaa tietoturvallisuuden alalla on pyrittävä kehittämään.

Ongelmana on ollut, ettei maasta löydy riittävää tietoturvallisuusteknistä asian-

tuntemusta. On rakennettava tämän alan ennalta ehkäisevään neuvontaan ja suojaus-

tekniseen tukeen, tilanneseurantaan ja raportointiin, informaatiouhkien tunnistamiseen,

torjuntaan ja analysointiin sekä ongelmien ratkaisemiseen kykenevä asiantuntija-

keskittymä. Uusiin toimintoihin liittyviä palveluja on myös kunnallishallinnon ja

yksityisen elinkeinoelämän voitava hyödyntää.

Suomesta puuttuvat lähes kokonaan tietoliikenneturvallisuuteen (COMSEC), tieto-

järjestelmien turvallisuuteen (CCB, QCB) sekä tietoturvaloukkausten ja ongelmien

havaitsemiseen ja ratkaisemiseen (CERT) liittyvät operatiiviset toiminnot. Maahan on

vähitellen luotava monipuolinen, teknisesti orientoitunut asiantuntijakeskittymä, joka

kykenee tarvittaessa avustamaan, arvioimaan ja valvomaan näiden uusien tietoturvalli-

suustoimintojen kehittämistä käyttäen tarvittaessa hyväkseen yksityisen sektorin

toimijoita. Perusedellytykset niiden järjestämiselle ovat olemassa.

Tietoliikenneturvallisuuden yleisohjauksesta ja norminannosta vastaava ministeriö on

liikenneministeriö. Valtionvarainministeriön tehtävänä on valtion tietohallinnon yleis-

ohjaus ja yhteensovittaminen, jossa sen roolia on vahvistettu. Valtiovarainministeriö

vastaa myös valtionhallinnon tiedonkäsittelyn tietoturvallisuustyön yleisohjauksesta ja

yhteensovittamisesta sekä antaa valtionhallinnolle siihen liittyviä ohjeita ja suosituksia.

Ministeriöt kehittävät, seuraavat ja valvovat tietoturvallisuustoimenpiteitä omilla

hallinnonaloillaan.

Telehallintokeskuksen roolia ja tehtäviä on kehitettävä operatiivisena tietoturvallisuus-


41

viranomaisena siten, että se teknisenä asiantuntijaorganisaationa kykenee arvioimaan,

edistämään ja seuraamaan tietoliikenteen ja tietojärjestelmien tietoturvallisuutta ja siihen

liittyvää sertifiointitoimintaa sekä antamaan asiantuntijatukea yhteiskunnan kriittisten

tietojärjestelmien turvaamiseksi. Se ei itse suorita varsinaista testaus- ja sertifiointi-

toimintaa, vaan se käyttää arvioinnissa hyväkseen sellaisten teknisten laboratorioiden,

asiantuntijaelinten ja sertifiointilaitosten tuloksia, jotka on asianmukaisesti tehtäväänsä

akkreditoitu. Sille on osoittava tähän toimintaan riittävät voimavarat.

CERT -toiminta on erittäin tärkeä koko yhteiskunnan toiminnan kannalta. On tärkeää,

että on olemassa reaaliaikaiset järjestelmät tietoturvaloukkausten ja –uhkien havain-

nointiin, varoittamiseen, torjuntaan ja toipumiseen sekä valtakunnalliseen tilanne-

seurantaan, analysointiin ja tiedottamiseen.

CERT -toiminta on laajemman kontaktipinnan luomiseksi tarkoituksenmukaisinta jakaa

kolmen hallinnonalan kesken: sisäasiainministeriön (poliisi), liikenneministeriön (THK) ja

kauppa- ja teollisuusministeriön (puolustustaloudellinen suunnittelukunta /Huolto-

varmuuskeskus).

Poliisille tulisivat tietoturvaloukkausten ja ongelmien monitorointi, tunnistaminen,

rajaaminen ja eristäminen, tapahtumien tutkinta, dokumentointi ja raportointi sekä myös

ennaltaehkäisyyn (salaamiseen, suojaukseen yms. turvallisuusteknisiin järjestelmiin)

liittyvä neuvonta, konsultointi ja varoittaminen.

THK:n tehtävänä olisi telealalla tapahtuvien tietoturvaloukkausten havainnointi ja

tiedonkeruu sekä tietoturvallisuusuhkien ennaltaehkäisy, valvonta ja niistä tiedotta-

minen. Keskeinen tehtävä CERT -toimintojen järjestämisessä on realistisen valtakunna-

llisen tilannekuvan luominen informaatiouhkista. HVK:n roolina olisi kerätä tapahtuma-

tieto eri osapuolilta ja luoda järjestelmä valtakunnallisen tilannekuvan muodostamista,

ylläpitämistä ja uhkista tiedottamista varten sekä tietoturvallisuusyhteistyön koordi-

nointi elinkeinoelämässä PTS:n organisaation kautta.

CERT –toiminnan valmistelua, yhteydenpitoa ja seurantaa varten on tarpeen perustaa eri

viranomaisosapuolten edustajista ja asiantuntijoista koostuva poikkihallinnollinen CERT


42

-toiminnan yhteistyöryhmä (CERT-YTR). Siihen kuuluisivat ainakin THK:n, KRP:n,

SUPOn, PV:n ja HVK:n edustajat. UM ja VM ovat tärkeitä yhteistyötahoja.

Vaikka Suomi edustaa tietoturvallisuutta koskevan sääntelyn osalta muihin maihin

verrattuna hyvää kansainvälistä tasoa, on tarpeen erikseen selvittää, mitä muutos- tai

kehittämistarpeita esitetyt uudet toiminnot ja niiden resurssointi edellyttää olemassa

olevaan lainsäädäntöön.

Työryhmä ei ryhtynyt yksityiskohtaisesti selvittämään rahoituskysymyksiä, vaan katsoo,

että rahoitukseen liittyvät järjestelyt on erikseen selvitettävä ao. ministeriöissä.

Tietoturvallisuuden kehittämistä ja sen edellyttämää yhteistyötä varten tarvitaan julkisen

hallinnon ja yksityisen elinkeinoelämän yhteinen foorumi. Puolustustaloudellisen

suunnittelukunnan tietojärjestelmäjaosto toimikuntineen muodostaa arvovaltaisen

asiantuntijaelimen, joka soveltuu tähän tehtävään. Sen toimenkuvaa on laajennettava

normaaliaikaisen tietoturvallisuuden kehittämisen alueelle ja Huoltovarmuuskeskuksen

resursseja on vahvistettava sen toimintaa tukevana viranomaisena.


43

LIITE

Luettelo käytetyistä lyhenteistä

BSI British Standards Institute (Englanti)

BSI Bundesamt fur Sicherheit in der Informationstechnik (Saksa)

CA Certificate Authority = varmenneviranomainen CB Cerfication Body = elin tai organisaatio, joka suorittaa

sertifiointitoimintaa

CC Common Criteria -kriteeristö CCB Compliant Cerfication Body = Common criteria -kriteeristön mukainen

kansainvälisen hyväksynnän piirissä oleva sertifiointielin

CCRA MG Common Criteria Recognition Arrangement Management Group

CERT Computer Emergency Response Team

CIAO Critical Infrastructure Assurance Office (USA) COMSEC Communications Security = tietoliikenneturvallisuus

EB, EF Evaluation body, evaluation facility = testilaboratorio, arviointielin

EMAS Eco-management Audit Scheme

HVK Huoltovarmuuskeskus

ISACs Information Sharing Analysis Centers (USA)

ITSEC Information Technology Security Evaluation Criteria

ITSEC MRA Mutual recognition Agreement of Information Technology Secu-

rity Evaluation Certificates


44

KRP Keskusrikospoliisi

MIKES Mittatekniikan keskus

NISCC National Infrastructure Security Coordination Centre (Englanti)

NIPC National Infrastructure Protection Center (USA)

PTS Puolustustaloudellinen suunnittelukunta

QCB Qualifying Certification Body = päteväksi todennettu sertifiointilaitos SS, MI5 The Security Service (Englanti) SIS, MI6 Secret Intelligence Service (Englanti)

SUPO Suojelupoliisi

THK Telehallintokeskus

TTP Trusted third party = luotettu kolmas osapuoli

TPaK Turvallisuus- ja puolustusasian komitea

UTVA Hallituksen ulko- ja turvallisuuspoliittinen valiokunta

VAHTI Valtionhallinnon tietoturvallisuuden johtoryhmä

VATI Valtion tietohallinnon johtoryhmä

Puolustustaloudellinen suunnittelukunta

2000

tietojärjestelmien tietoturvallisuuden hallinnolliset …...tietojärjestelmien tietoturvallisuuden...

Documents