Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 1 (12)

Transkriptio

1 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 1 (12) SISÄLLYS 1 VALTIONEUVOSTON PERIAATEPÄÄTÖS KANSALLISEKSI TIETOTURVALLISUUSSTRATEGIAKSI STRATEGIAN TAUSTA STRATEGISET TAVOITTEET TOIMEENPANON ORGANISOINTI LAINSÄÄDÄNNÖN TIETOTURVASÄÄNNÖSTEN VAIKUTUSARVIOINNIT TAVOITE JA TAUSTA OSALLISTUVAT ELINKEINOELÄMÄN JA JULKISHALLINNON TAHOT TIETOTURVALLISUUSLAINSÄÄDÄNTÖ TYÖRYHMÄN TOIMET VUONNA Selvitys tietoturvalainsäädännön vaikutusten arvioinnista Työryhmän kehittelemä malli ja johtopäätökset Työryhmän toiminta vuonna

2 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 2 (12) KANSALLINEN TIETOTURVALLISUUSSTRATEGIA LAINSÄÄDÄNNÖN VAIKUTUSARVIOINNIT (2.5) 1 VALTIONEUVOSTON PERIAATEPÄÄTÖS KANSALLISEKSI TIETOTURVALLI- SUUSSTRATEGIAKSI Strategian tausta Tietoyhteiskunta perustuu uuteen teknologiaan, uusiin toimintatapoihin ja uuteen osaamiseen. Näiden hyödyntäminen parantaa kansalaisten hyvinvointia, muuttaa vuorovaikutuksen ja yhteiskunnallisen osallistumisen tapoja sekä lisää tasa-arvoa ja demokratiaa. Samalla ne parantavat yritysten tuottavuutta ja kilpailukykyä sekä avaavat uusia markkinoita ja liiketoimintamahdollisuuksia. Julkiselle hallinnolle tietoyhteiskunta antaa mahdollisuuden uudistaa toimintatapoja, parantaa asiakaspalvelua ja säästää voimavaroja. Tietoyhteiskunnan mahdollisuuksien hyödyntäminen ja uhkien torjunta edellyttävät kaikkien toimijoiden luottamusta kehityksen suuntaan. Kansalaisten ja yritysten luottamusta tietoyhteiskuntaan voidaan lisätä erityisesti tietoturvallisuutta ja yksityisyyden suojaa parantamalla. Tietoturvallisuudella tarkoitetaan eri muodoissa olevien tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista. Tietoturvallisuus sisältää tekniseen turvallisuuteen, yksilöiden käyttäytymiseen, organisaatioiden toiminatatapoihin ja yhteiskunnallisiin olosuhteisiin liittyviä ulottuvuuksia. Tietoturvallisuutta uhkaavat mm. henkilökohtaisen yksityisyyden loukkaukset, roskaposti, teollisuusvakoilu, piratismi, tietokonevirukset, verkkoterrorismi ja elektroninen sodankäynti. Nämä voivat ulottua tietoverkkojen avulla silmänräpäyksessä kaikkialle. Samanaikaisesti tietoturvallisuus antaa mahdollisuuksia. Oikein toteutettuna se lisää yksilöiden toimintavapautta, antaa elinkeinoelämälle uusia liiketoimintamahdollisuuksia ja alentaa liiketoimintaja vuorovaikutuskustannuksia kaikkialla yhteiskunnassa. Kansallinen tietoturvallisuusstrategia on keskeinen osa hallituksen tietoyhteiskuntapolitiikkaa. Sen avulla torjutaan tietoturvallisuuden uhkia ja hyödynnetään siihen liittyviä mahdollisuuksia sekä normaali- että poikkeusoloissa. Strategia antaa valtioneuvoston, elinkeinoelämän, järjestöjen ja yksittäisten kansalaisten tietoturvallisuusponnisteluille yhteisen suunnan. Strategia ei kuitenkaan vaikuta tietoturvallisuuteen liittyvään vastuunjakoon eikä olemassa oleviin organisaatiorakenteisiin. 1.2 Strategiset tavoitteet Kansallisen tietoturvallisuusstrategian avulla Suomesta pyritään rakentamaan tietoturvallinen tietoyhteiskunta. Strategian tavoitteena on: 1. edistää kansallista ja kansainvälistä tietoturvallisuusyhteistyötä 2. edistää kansallista kilpailukykyä ja suomalaisten tieto- ja viestintäalan yritysten toimintamahdollisuuksia

3 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 3 (12) 3. parantaa tietoturvallisuusriskien hallintaa 4. turvata perusoikeuksien toteutuminen ja kansallinen tietopääoma 5. lisätä tietoturvallisuustietoisuutta ja osaamista. Strategiset tavoitteet ja niihin liittyvät toimenpiteet on esitelty jäljempänä tässä kertomuksessa. Esittelyjärjestys ei heijastele tavoitteiden ja toimenpiteiden keskinäistä tärkeysjärjestystä. 1.3 Toimeenpanon organisointi Todellisessa tietoyhteiskunnassa uusi tieto, osaaminen ja teknologia sekä uudet toimintatavat ulottuvat kaikille elämänaloille. Tietoturvallisuus on välttämätön osa tietoyhteiskuntaa ja myös sen tulee ulottua kaikkialle yhteiskunnassa. Tämä edellyttää entistä tiiviimpää yhteistyötä kaikkien toimijoiden kesken. Kansallinen tietoturvallisuusstrategia luo perustan paremmalle yhteistyölle, sillä se ohjaa tietoturvallisuusponnisteluita kohti yhteisiä tavoitteita ja edistää tietoturvallisuushankkeiden yhteistä suunnittelua ja toteutusta sekä niitä koskevaa tietojenvaihtoa. Valtioneuvostolla on kokonaisvastuu tietoturvallisuusstrategiasta ja se valvoo strategian toimeenpanoa sekä päivittää sitä tarpeen mukaan. Liikenne- ja viestintäministeriö on asettanut kansallisen tietoturvallisuusasioiden neuvottelukunnan, joka tukee strategian toimeenpanon edellyttämien toimien yhteensovittamista ja seuraa strategian toteutumista. Kansallinen tietoturvallisuusasioiden neuvottelukunta antaa vuosittain valtioneuvostolle kertomuksen strategian toteutumisesta ja tarpeesta päivittää strategiaa. Neuvottelukunta tarjoaa laajaalaisen foorumin eri toimijoiden ja organisaatioiden yhteistyön tehostamiseksi tietoturvallisuuteen liittyvissä kysymyksissä. Strategian toimeenpanon tehostamiseksi neuvottelukunta voi perustaa erityiskysymyksiin tai tiettyihin toimialoihin keskittyviä työryhmiä. Neuvottelukunnan toiminnassa sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999), jonka 24 :n 1 momentin mukaan salassa pidettäviä asiakirjoja ovat muun muassa tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat, asiakirjat, jotka koskevat poikkeusoloihin varautumista, valtion turvallisuuden ylläpitämistä koskevat asiakirjat, maanpuolustusta koskevat asiakirjat sekä liike- tai ammattisalaisuuksia koskevat asiakirjat, jollei ole ilmeistä ettei tiedon antaminen niistä vahingoita näitä etuja.

4 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 4 (12) 2 LAINSÄÄDÄNNÖN TIETOTURVASÄÄNNÖSTEN VAIKUTUSARVIOINNIT 2.1 Tavoite ja tausta Yhteiskunnan toimintoihin liittyviä uhkia ja riskejä on jo pitkään pyritty hallitsemaan oikeudellisen sääntelyn keinoin. Ei ole siten ihme, että myös tietoturvallisuuteen liittyviä uhkia ja riskejä pyritään hallitsemaan sääntelyllä. Näiden uhkien ja riskien tunnistamisen ja arvottamisen kautta on myös pystytty laatimaan tietoturvallisuutta edistävää lainsäädäntöä. Yhä suuremmaksi ongelmaksi on tiedon ja siihen kohdistuvien uhkien esteetön liikkuminen nykyisessä globaalissa ympäristössä. Ei olekaan mikään ihme, että tietoturvallisuuslainsäädännön lisääntyminen ja sen pirstoutuneisuus eri säädöksiin antaa haastavan tehtävän tietoturvallisuuden asiantuntijoille. Samalla herää kysymys voimassa olevan tietoturvallisuuslainsäädännön vaikuttavuudesta, onko sääntelyä liikaa vai liian vähän ja mitä vielä olisi tehtävissä. Lainsäädännön vaikutusarvioinnit hankkeen tavoitteena on arvioida säännöllisesti tietoturvallisuuteen ja tietoyhteiskuntaan liittyvän lainsäädännön ja kansainvälisten sopimusten vaikutuksia viestintäpalvelujen, verkkopankkipalvelujen, sähköisten tunnistamispalvelujen, sähköisen kaupankäynnin ja hallinnon sähköisten asiointipalveluiden kehittämisen ja käytön kannalta. Arviointien pohjalta voidaan mahdollisesti hahmottaa ongelmat ja tätä kautta pyrkiä löytämään vastaukset edellä mainittuihin kysymyksiin. Hankkeen tarkoituksena on saada selkeä ja käytännönläheinen kuva lainsäädäntökentän eri osien muodostamasta kokonaisuudesta, sekä kartoittaa kentän mahdolliset puutteet ja heikkoudet. Tätä tarkoitusta varten on selvitettävä ne lainsäädännön osaalueet ja kansainväliset sopimukset, joilla on merkitystä tietoturvan kannalta. Tämän pohjalta on saatava muodostetuksi selkeä kuva lainsäädäntökentän kattavuudesta, mahdollisista aukoista sekä mahdollisista haittaavista päällekkäisyyksistä. Arviointia voidaan suorittaa säännöllisin väliajoin vuoteen 2007 saakka. Tällöin voidaan myös tarpeen vaatiessa syventää selvitystä. 2.2 Osallistuvat elinkeinoelämän ja julkishallinnon tahot Helopuro Sanna, liikenne- ja viestintäministeriö Miettinen Kirsi, liikenne- ja viestintäministeriö Huhanantti Hellevi, Väestörekisterikeskus Järvinen Antti, Kesko Oyj Partanen Heikki, Tietosuojavaltuutetun toimisto Pitkänen Olli, Helsinki Institute for Information Technology HIIT Wirman Kari, Elisa Oyj

5 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 5 (12) 2.3 Tietoturvallisuuslainsäädäntö Kansalliseen lainsäädäntöömme on viime aikoina tullut huomattavia määriä tietoturvallisuuslainsäädännöksi luokiteltavaa sääntelyä. Vaikka suoranaisesti säännöksessä ei mainittaisikaan sanaa tietoturva, on esimerkiksi yksityisyyden suojaa koskevassa lainsäädännössä tietoturvallisuutta koskevia vaatimuksia. Tietoturvallisuuden voidaankin katsoa sisältyvän useampaan perustuslaissa perusoikeutena turvattuun oikeuteen. Toisaalta se voidaan nähdä keinona toteuttaa haluttu tasapaino perustuslaissa perusoikeutena turvattujen oikeuksien välillä tietoyhteiskunnassa. Perusoikeuksien merkityksen kasvu on johtanutkin eri ilmiöiden uudenlaiseen oikeudelliseen tarkasteluun. Perusoikeuksien kohdalla voidaan puhua jopa perusoikeusvelvoitteisesta laintulkinnasta perusoikeusmyönteisen laintulkinnan sijaan. Miten eri perusoikeudet sitten toteutuvat uuden informaatioinfrastruktuurin puitteissa ja onko tarvetta luoda uusia perusoikeuksia uutta digitaalista toimintaympäristöä varten? Oikeudellinen tietoturvallisuuden tutkimus on myös varsin uusi ilmiö. Vaikka toisaalta tietoturvallisuus on otettu jo varhain huomioon henkilötietojen suojan sääntelyn yhteydessä on aihepiiri jäänyt pitkään oikeustieteessä vaille laajempaa käsittelyä. 2.4 Työryhmän toimet vuonna 2004 Lainsäädännön vaikutusten arviointi työryhmän tehtävän vaikeudeksi muodostui juuri edellä mainittu tietoturvallisuuslainsäädännön likeinen suhde perusoikeuksiin. Perusoikeuksien puolella käynnistettiin samanaikaisesti oma hanke, joka kartoittaa perusoikeuksien huomioonottamista muun muassa tietoturvallisuutta koskevassa lainsäädännössä. Työryhmä kuitenkin päätti teettää selvityksen tietoturvallisuutta koskevan lainsäädännön tilanteesta käytännölliseltä pohjalta. Tästä jäljempänä kappaleessa Työryhmä päätti myös seurata perusoikeuksien pohjalta valmistuvia selvityksiä, ja samalla myös keskustella työryhmän sisällä tavoitteista ja kuinka perusoikeuksista lähtevää lainsäädännön tilaa, tavoitteita ja vaikuttavuutta voidaan tietoturvallisuussektorilla parantaa (2.4.2.) Selvitys tietoturvalainsäädännön vaikutusten arvioinnista Lainsäädännön vaikutusten arviointi työryhmä lähti kartoittamaan ei tietoturvallisuutta koskevaa lainsäädäntöä, vaan aluksi sitä, miten hyvin tietoturvallisuutta koskeva lainsäädäntö palvelee yrityksiä ja muita yhteisöjä tietoturvallisuuteen liittyvien kysymysten ja ongelmien kanssa ja kuinka hyvin tietoturvallisuutta koskevaa lainsäädäntöä tunnetaan. Selvitysprojekti kohdistettiin 16:een organisaatioon, jotka tuottavat tai käyttävät sähköisiä palveluita. Haastateltavat organisaatiot edustivat eri aloja, kuten pankki- ja vakuutusalaa (2 kpl), teleyrityksiä (2 kpl), telekommunikaatioalaa (1 kpl), vähittäiskauppaa (1 kpl), ilmailua (1 kpl), metsäteollisuutta (1 kpl), öljynjalostusteollisuutta (1 kpl),

6 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 6 (12) terveydenhoitoa (1 kpl), tiedotus- ja julkaisualaa (2 kpl), tietotekniikkapalveluja ( 1 kpl), postipalveluja (1 kpl), julkishallinnon sähköisiä palveluja (1 kpl) sekä ohjelmistotoimittajia (1 kpl). Kysymykset pyrittiin esittämään siten, että ne olivat mahdollisimman vähän johdattelevia. Kysymyksinä esitettiin: Millaisia tietoturvallisuusongelmia tai uhkia organisaatiossanne on koettu? Edellyttääkö lainsäädäntö mielestänne sellaisia toimenpiteitä, jotka edistävät tai haittaavat tietoturvan toteutumista organisaatiossanne? Tukeeko olemassa oleva lainsäädäntö tietoturvallisuuden kehittämistä ja ylläpitoa organisaatiossanne? Jos kyllä, miten, jos ei, miksi ei? Onko lainsäädäntö tietoturvallisuuden osalta selkeä ja riittävän kattava? Voiko lainsäädäntö yleensäkään olla keino tietoturvaongelmien poistamiseksi/ratkaisemiseksi? Miten lainsäädäntöä tulisi mielestänne tietoturvallisuuden osalta kehittää? Tässä raportissa pyrimme tuomaan vain keskeisimmät johtopäätökset selvityksestä. Varsinainen selvitys on saatavissa liikenne- ja viestintäministeriöstä. Yleisenä havaintona selvityksestä voisi sanoa, että organisaatioissa ei tunneta tietoturvallisuuslainsäädäntöä. Ja vaikka tietoturvalainsäädäntöä olisikin tunnettu, organisaatioille oli epäselvää, mitä lakia sovelletaan milloinkin ja mistä laista tietyt oikeudet tai velvollisuudet toiminnalle tulevat. Usein tietoturvallisuutta koskevan lainsäädännön osaaminen on organisaation tietoteknisen asiantuntemuksen varassa. Selvityksen perusteella havaittiin, että: yritykset eivät kyenneet tarkasti määrittelemään välittömästi tietoturvalainsäädännöstä yksittäisiä ongelmapykäliä, yritykset eivät kokeneet tarvitsevansa uutta lainsäädäntöä, vaan tarvitsevansa lainsäädännön soveltamisen tehostamista sekä yhteistyötä, yrityksissä tietoturvallisuuteen liittyvien lakien tulkintaa suorittavat yleensä tietohallintojohtajat ja yksityisyyden suojan koettiin rajoittavan tietoturvatoimenpiteitä. Selvityksen perusteella kaivattiin: tietoturvallisuutta käsitteleviä yhteistyöfoorumeja itsesääntelyä sekä viranomaisten määräyksiä ja sitovia tulkintaohjeita.

7 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 7 (12) Työryhmän kehittelemä malli ja johtopäätökset Lainsäädännön vaikutusten ymmärtäminen Työryhmän tehtävänä on arvioida erityisesti tietoturvallisuuden alaan liittyvän lainsäädännön vaikutuksia. Tämän tehtävän suorittaminen edellyttää muutaman täsmennyksen siihen, mitä tässä yhteydessä voidaan ymmärtää lainsäädännön vaikutuksilla ja mistä näkökulmasta tässä yhteydessä vaikutuksia pyritään arvioimaan. Käsitteellisesti lainsäädännön vaikutukset näyttäisivät edellyttävän seuraavan kolmen ehdon täyttymistä: 1) on voimassa tietty oikeussäännös A, 2) jonkin oikeussubjektin toiminta tai asiantila T ovat jollakin tapaa erilaiset kuin tilanteessa, jossa säännöstä A ei olisi ja 3) valitsee jonkinlainen syy-yhteys oikeussäännöksen A ja kohdassa kaksi kuvatun toiminnan tai asiantilan T kesken (Jyrki Tala: Lakien vaikutukset 2001 s. 13) Vakiintunut ajatustottumus kohdassa 3 mainitusta syy-yhteydestä on yksinkertaistaen ja karrikoiden käskymalli. Oikeussääntely vaikuttaa tämän mallin esikuvan mukaan, kuten käskyt sotilasyksikössä. Koulutettu ja kurinalainen yksikkö toteuttaa käskyt yhdenmukaisella ja ennustettavalla tavalla ja käskyjen noudattamisen takeena on viime kädessä välitön valvonta ja erilaiset sanktiot. Vaikka tämä malli vaikuttaa yksiulotteiselta ja epärealistiselta, vaikuttaa tämän tyyppinen usko säännösten vaikutuksista yleisessä keskustelussa, kun jonkin epäkohdan korjaamiseksi vaaditaan lakimuutoksia tai kokonaan uusia säännöksiä (emt. s ). Kuten työryhmän toteuttama selvitys osoitti, oikeussubjekteilla ei ole kovin selvää tai yhtenäistä käsitystä siitä, mitä tietoturvalainsäädännöllä tarkoitetaan. Tämä merkitsee työryhmän mielestä sitä, ettei käskymallin mukainen käsitys lainsäädännön vaikutuksista toimi näiden säännösten vaikutuksia arvioitaessa. Kun tietoturvaan vaikuttavia säännöksiä on eripuolilla lainsäädäntöä, ei voida myöskään puhua vain yhdestä säännöksestä tai sääntelytavasta eikä vain yhden säännöksen vaikutuksen arvioinnista. Tästä syystä työryhmä katsoi, että tällaisen pirstaleisen oikeussääntelyn vaikutusten arvioimiseksi on hyödyllistä kehittää malli, jossa säännösten vaikutuksia pyritään ylhäältä alaspäin näkökulman sijaan arvioimaan alhaalta ylöspäin. Tällainen lainsäädännön kohdetahon näkökulma auttaa tunnistamaan muitakin toimintaan tai asiantilaan vaikuttavia tekijöitä ja sitä tosiasiallista ympäristöä, jossa säännöksiä elävässä elämässä toteutetaan. Tällainen näkökulma voi toivon mukaan auttaa tunnistamaan niitä mekanismeja, joilla tietoturvallisuutta voidaan ohjata ja antaa lisätietoja lakisääntelyn vaihtoehdoista.

8 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 8 (12) Yhteiskunnan yhä suurempi tietoriippuvuus Lainsäädännön yleinen oikeuttamisperuste liittyy siihen merkitykseen, mikä lainsäädännön kohteella ja sen toiminnalla on yhteiskunnassa. Kun toiminta täyttää tällaisen yleisen merkittävyyden tunnusmerkit, on myös lainsäädännöllä pyritty varmistamaan tällaisen toiminnan edellytykset. Lainsäädännöllä voidaan kieltää, rajoittaa ja mahdollistaa tietyin edellytyksin sekä turvata kohteena olevaa toimintaa. Tietoturvalainsäädännön osalta lainsäädännön kohteena ei ole tietoturva ja siihen tyypillisesti liitetyt keinot, vaan yhteiskunnan toiminnan yhä suurempi riippuvuus tiedosta, tietojenkäsittelystä ja tiedonsiirrosta. Tietoturvallisuustyössä lähtökohtana on tietoon, tietojenkäsittelyyn ja tiedonsiirtoon liittyvien oikeuksien ja intressien turvaaminen. Tällöin tieto nähdään tietopääomana, mikä muodostuu datasta, informaatiosta, immateriaalioikeuksista ja itse organisaatiosta. Tällainen tietopääoma koostuu systemaattisesti luoduista käsitteellisistä tiedoista, jotka ovat organisaation toiminnan ja perustehtävien kannalta oleellisia. Esimerkkejä tällaisista ovat mm. keksinnöt, tekniset kuvaukset ja piirustukset, metodologiat, ohjelmistot, sovellukset, dokumentit ja muut tieto-objektit. Yksityisellä sektorilla toiminnan kannalta välttämätöntä tietopääomaa ovat edellisten lisäksi esimerkiksi yrityssalaisuudet, asiakastiedot ja tuotekehitystiedot. Valtionhallinnon puolella aineettomana pääomana voitaisiin pitää esimerkiksi viranomaisten pitämiä perusrekistereitä, jotka sisältävät tietoja yhteiskunnan kannalta merkittävistä asioista. Merkittävän osan tietopääomasta muodostaa myös yksityisten kansalaisten yksityisyyden suojan piiriin lukeutuva tietopääoma. Tietoriippuvuuden kasvu - tieto tuotannontekijänä Kansantaloudessa tuotannontekijöinä pidetään yleisesti pääomaa, raaka-aineita ja ihmisiä. Myöhemmin myös tieto on tuotu yhdeksi tuotannontekijäksi. Tiedon rooli on yhteiskunnassa muuttunut yhä tärkeämpään rooliin. Tarvitaan siis käytännön tekijöitä, jotta tämä tuotannontekijä voidaan suojata. Tiedolla väitetään olevan neljä roolia prosessissa: Se on; 1) tuote (kuten teos, ajatus) 2) osa tuotetta (kuten laitteessa lisäominaisuus) 3) knowhow (kuten businessosaaminen, prosessiosaaminen) 4) prosessin ohjaus Työryhmän käymien keskustelujen pohjalta, työryhmä käsittelee tietoa yhtenä tuotannontekijänä.

9 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 9 (12) Tietoihin kohdistuvien riskien arviointimalli Tässä mallissa lähdetään toimijan toimintavapaudesta, joka on johdettavissa perusoikeuksista ja nimenomaan positiivisista vapausoikeuksista. Toimintavapauteen kuuluu myös riskinoton vapaus tietysti sillä edellytyksellä, että riski rajautuu vain toimijan omaan vapauspiiriin. Jos toiminnalla on laajemmalle ulottuvia vaikutuksia, rajoittaa muiden oikeutetut intressit toimintavapautta. Usein lainsäädännöllä pyritään nimenomaan ottamaan haltuun tällaiset jännitteet. Esimerkkinä voidaan mainita ympäristölupa-asiat, joissa toiminta säännellään on sen ympäristövaikutusten takia. Tietoturvakysymyksissä on perinteisesti lähdetty toimijan omista vaatimuksista tietojenkäsittelyn eheydelle, käytettävyydelle ja luottamuksellisuudelle. Tämä on luonteva ja toimintavapaudesta lähtevä näkökulma tietoturvakysymyksiin. Lainsäädännön valmistelun osalta keskeinen kysymys liittyy siihen, miksi tällaista toimijan omaehtoista varautumista tietoturvariskeihin tulisi tarkemmin säädellä. Yleensä puuttumista lainsäädännöllä tietojenkäsittelyyn perustellaan sillä, että käsittelyllä on vaikutuksia muiden oikeuksiin ja etuihin. Yritystoiminnassa otetaan lukuisia liiketoimintariskejä. Liiketoimintaan kuuluu luonteenomaisesti taloudellinen riskiotto. Tietoturvalainsäädännöllä pyritään varmistamaan, ettei tietoturvariskejä voida ottaa yhtä vapaasti kuin liiketoimintariskejä. Kyse saattaakin olla toisen osapuolen tietojen suojaamistarpeesta.

10 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 10 (12) Kuvassa 1 on esitetty työryhmän kehittelemä tietoihin kohdistuvien riskien arviointimalli. Lainsäädännön vaikutusarvioinnit työryhmä on kehittänyt tietoihin kohdistuvien riskien arviointimallin, jonka tarkoituksena on selventää sitä toimintaympäristöä, jossa organisaatiot toimivat. Tämä toimintaympäristö muokkaa toimijoiden näkemyksiä tietoihin kohdistuvien riskien tunnistamisessa ja sitä kautta eri keinojen valintaan prosessissa, jossa lopullisena päämääränä on tietoturvariskien hallinta. Kyse ei ole siis pelkästään kentästä, jossa lainsäädäntö vaikuttaa ja ohjaa toimijaa, vaan kyse on paljon monimutkaisemmasta ympäristöstä. Lähtökohtana on toimija ja toimijan toimintavapaus, riskinoton vapaus ja oikeus suojautua vahingollisilta teoilta. Vapauksia ja oikeuksia rajoitetaan toimijaa ympäröivillä tekijöillä, kuten lainsäädännöllä ja hyvällä tavalla toimialalla. Perusoikeuksista välittyy toimijalle lainsäädännön kautta rajoitteita. Toisaalta lainsäädännön kautta voidaan myös tiettyjä perusoikeuksia vahvistaa. Rikoslaki on esimerkki toimijan toimintavapautta rajoittavasta sääntelystä. Perusoikeuksia toteuttavaa lainsäädäntöä on kaikki se lainsäädäntö, joka on säädetty nimenomaisesti perustuslain viittauksella, kuten esimerkiksi henkilötietolaki. Tiettyä toimialaa saattaa koskea velvoittava erityislainsäädäntö, kuten esimerkiksi laki potilaan asemasta ja oikeuksista

11 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 11 (12) (785/1992) koskee terveyden- ja sairaanhoidon alaa. Lisäksi lainsäädännöstä löytyy paljon yleistä sääntelyä, joka koskee kaikkia toimijoita yhdenmukaisesti. Nämä kaikki on toimijan otettava toiminnassaan huomioon. Perusoikeuksilla on myös ns. horisontaalisia vaikutuksia yksityisten välisissä suhteissa. Tällaiset vaikutukset ilmenevät sopimusoikeutta koskevassa lainsäädännössä, kuten esim. kuluttajansuojalainsäädännössä. Jos lainsäädäntö ei ole ns. pakottavaa, on sopimusvapauden perusteella mahdollista sopia asiasta toisin kuin lainsäädännössä. Sopimusvapauden merkitys on kansallisestikin suuri, mutta erityisesti kansainvälisessä toiminnassa sopimusten ja alan hyvien tapojen merkitys korostuu. Taloudelliset vaatimukset, asiakasodotukset ja asiakkaiden vaatimukset sekä hyvä tapa toimialalla rajoittavat myöskin toimijan vapauksia. Toimijan toiminnan tulee olla tietysti taloudellisesti kannattavaa. Samalla on muistettava asiakkaiden odotukset toimijaa kohtaan ja esimerkiksi pohdittava voiko toimija ottaa riskin asiakkaan luottamuksen menettämisestä, jos esimerkiksi tietty palvelu ei vastaakaan tietoturvallisuudeltaan sitä, mitä on luvattu. Hyvän tavan noudattaminen toimialalla luo luottamusta koko toimialaan. Alan toimijoiden keskenään muodostamien käytäntöjen noudattamisen ja erilaisten ohjeiden seuraamisen tulee olla järkevässä suhteessa toimijan toimintaan. Tekninen ja tieteellinen kehitys sekä niistä koituvat uhat asettavat rajoja, mutta samalla myös tekninen ja tieteellinen kehitys luovat toimintamahdollisuuksia. Kun toimija on arvioinut koko edellä kuvatun kentän ja tunnistanut tietoihin kohdistuvat riskit kunkin alueen osalta, toimija voi valita minkälaisen riskin toiminnassaan ottaa. Kielletty riski on lainsäädännön, sopimuksen tai hyvän toimintatavan vastainen. Sallittu riski on mahdollinen riski, olkoonkin sitten järkevä tai vähemmän järkevä vaihtoehto. Rajoitetussa riskissä säädetään toimintaedellytyksistä, joilla sellaisenaan riskialtista toimintaa on laillista harjoittaa. Kun toimija on tunnistanut riskinsä, on hänen valittava asianmukaiset keinot tietoturvariskin hallintaan. Keinoja on lukuisia ja ne voidaan jakaa teknisiin keinoihin ja hallinnollisiin keinoihin. Teknisiä keinoja ovat esimerkiksi käyttöoikeuksien ja valtuuksien rajoittaminen sekä palomuurien tai virustorjunnan käyttö. Hallinnollisina keinoina voi puolestaan olla esimerkiksi käyttäjien ohjeistaminen ja vastuun siirto sopimusteitse. Arviointimalliin voidaan helposti sijoittaa kuka tahansa toimija, jonka tulee kartoittaa hallussaan oleviin tietoihin kohdistuvat riskit. Esimerkiksi toimija voi olla taksiautoilija, joka suojatakseen omaa tai työntekijänsä henkeä tai terveyttä, haluaa käyttää autossaan kameravalvontaa. Toisaalta on arvioitava hänen suhdettaan asiakkaaseen ja tämän yksityisyyden suojaan. Lisäksi autoilijan on tehtävä tulosta, jotta toiminta olisi kannattavaa ja otettava huomioon myös arviointimallin muut näkökulmat oman toimintansa kannalta oikeilla painotuksilla. Kameravalvonnasta tallentuvien tietojen yksityisyyden suojaan kohdistuvat tietoturvallisuusriskit pyritään ottamaan lainsäädännöllä haltuun, mutta arviointimallista tunnistetaan eri elementtien kautta ne keinot, joilla kokonaisuudessaan riskit tulisi hallita.

12 Kansallinen tietoturvallisuusstrategia RAPORTTI Sivu 12 (12) Lainsäädännön haltuunotto Lainsäädännön vaikuttavuudessa voidaan yhtenä keskeisenä ongelmana nähdä eri organisaatioiden vaikeus hahmottaa lainsäädännöstä ja ohjeistuksesta nimenomaan tietoturvallisuutta koskevaa lainsäädäntöä. Säännöksiä ei ole kirjoitettu siten, että niissä viitattaisiin tietoturvallisuuteen tai muuhun vastaavaan sanaan, josta heti muodostuu signaali siitä, että säännös tulee avata organisaation tarkastelun kohteeksi. Usein tietoturvavaatimukset muuttuvat tietotekniikkaa koskeviksi vaatimuksiksi toimintatapoja uusittaessa. Tämän vuoksi tietoturvallisuutta koskeva sääntely on väistämättä hyvin hajanaista ja sitä löytyy jo hyvin laajasti eri oikeudenaloilta. Uudessa hallituksen esityksen laatimisoppaassa on otettu yhdeksi uudeksi vaikutusarviointikohdaksi yhteiskunnallisiin vaikutuksiin myös tietoyhteiskuntavaikutukset, johon on myös selostettava mahdolliset vaikutukset tietoturvaan. Tämä sinällään on jo hyvä ja kannatettava suunta. Hallituksen esitykseen olisikin perusteltua sisällyttää arviot tietoturvavaikutuksista mahdollisimman laaja-alaisesti. Näin julkituoduista vaikutuksista olisi helposti löydettävissä kunkin toimijan toimintaa koskevat oikeudet ja velvollisuudet sekä rajoitukset. Samalla lainvalmistelijan olisi tarkoin harkittava, onko tietyllä lainsäädännöllisellä toimenpiteellä tarpeen rajoittaa toimijan riskinottoa, toimintavapautta ja löytyykö rajoituksille perusteita. Työryhmä esittää tämän lisäksi, että liikenne- ja viestintäministeriö aloittaisi pikaisesti laatimaan ohjeet säädösehdotusten tietoyhteiskuntavaikutusten arvioinneista ja huomioisi tässä yhteydessä myös täysipainoisesti tietoturvavaikutukset Työryhmän toiminta vuonna 2005 Työryhmä pyrkii edelleen kehittämään tietoihin kohdistuvien riskien arviointimallia. Tämä tapahtuu pyrkimällä soveltamaan arviointimallia työryhmän toimeksiannossa mainittuihin toimintaympäristöihin (viestintäpalvelut, verkkopankkipalvelut, sähköiset tunnistamispalvelut, sähköisen kaupankäynti ja hallinnon sähköisten asiointipalvelut). Työryhmä pyrkii myös esittämään konkreettisia ehdotuksia liikenne- ja viestintäministeriölle, mitä edellä mainittuun ohjeeseen tietoyhteiskunnan vaikutusten arvioinnista tietoturvallisuuden osalta ohjeistettaisiin. Samalla joudutaan arvioimaan yleisen tietoturvalain tarpeellisuutta.