Kyberturvallisuuskeskus Toimintasuunnitelma

Transkriptio

1 Kyberturvallisuuskeskus Toimintasuunnitelma

2 1 (15) Tiivistelmä Tämän toimintasuunnitelman tarkoituksena on esitellä perustettavan Kyberturvallisuuskeskuksen toimintaa ja kehittämistä lähivuosien aikana. Lausuntokierroksen päätyttyä saadut kommentit käsitellään ja lopullinen toimintasuunnitelma julkaistaan vuoden 2014 ensimmäisen puoliskon aikana. Tässä toimintasuunnitelmassa keskitytään kuvaamaan Kyberturvallisuuskeskuksen toimintaa kyberturvallisuusstrategian linjaamien tehtävien mukaan. on perustetaan vuoden 2014 alusta Kyberturvallisuuskeskus, mikä perustuu valtioneuvoston hyväksymään kyberturvallisuusstrategiaan. Kyberturvallisuuskeskuksen tehtävänä on kyberturvallisuusuhkien seuraaminen, kyberturvallisuutta koskevan tiedon kokoaminen eri lähteistä sekä sen jalostaminen ja jakaminen eri toimijoille. Tilannekuvatiedon avulla toimijat voivat arvioida haavoittuvuuksien ja häiriöiden vaikutuksia omaan toimintaansa ja varautua niihin. Tilannekuvan muodostamisessa tullaan tekemään laajaa yhteistyötä yksityisen ja julkisen sektorin välillä. Kyberturvallisuuskeskuksessa sijaitsee kansallinen yhteydenottopiste tietoturvaloukkausilmoituksen vastaanottamiseksi. Lisäksi keskus varoittaa yhteiskunnan elintärkeiden toimintojen kannalta tärkeitä yrityksiä ja viranomaisia Suomea uhkaavista tietoturvapoikkeamista ja -uhkista sekä pyydettäessä avustaa näihin varautumisessa. Kyberturvallisuuskeskuksen tuottamien tilannekuvapalveluiden käyttäjiä ovat muun muassa teleyritykset, ICT-toimijat, finanssialan yritykset, huoltovarmuuskriittiset toimijat, kuten sähköyhtiöt sekä julkinen hallinto. Kyberturvallisuuskeskuksen tehtävät vahvistavat n nykyisiä tietoturvatehtäviä. Kyberturvallisuuskeskus muodostetaan n nykyisestä Turvallisuus-toimialasta siten, että viraston nykyiset CERT-, NCSA- ja varautumistehtävät muodostavat yhdessä Kyberturvallisuuskeskuksen. Samalla varaudutaan olemassa olevan ympärivuorokautisen toimintakyvyn ylläpitämiseen sekä kehitetään yhteistyöverkostojen toimintaa.

3 2 (15) Sisältö 1 Johdanto Organisoituminen Kyberturvallisuuskeskuksen tehtävät Kyberturvallisuusstrategian linjaamat tehtävät Poikkeamanhallinnan ja tilannekuvatuotannon prosessit Tiedonkeräys Analyysi Poikkeamanhallinta Tilannekuvatuotanto Tiedonjakelu ja tilannekuvatuotteet Asiakaskunta Virka-ajan ulkopuolinen toiminta Vastuut Tietojen käsittely Kyberturvallisuuden yhteistyöverkostot Toimintasuunnitelma... 15

4 3 (15) 1 Johdanto Vuoden 2013 alussa julkaistussa Suomen kyberturvallisuusstrategiassa 1 kuvataan Suomen kyberturvallisuuden visio, toimintamalli ja strategiset linjaukset, joiden mukaan kansallista kyberturvallisuutta tullaan kehittämään. Strategian mukaan Kyberturvallisuuskeskus perustetaan osaksi a, ja sen tehtävänä on tuottaa, ylläpitää ja jakaa yhdistettyä kyberturvallisuuden tilannekuvaa. Kyberturvallisuusstrategian lähtökohtana on, että viranomaisten toimivaltamäärittelyihin ei tule muutoksia. on liikenne- ja viestintäministeriön hallinnonalalla toimiva viranomainen, jonka yhtenä tehtävänä on tuottaa monipuolisia tietoturvallisuuden viranomaispalveluita elinkeinoelämälle, julkishallinnolle ja kansalaisille. n teknisellä ohjauksella ja valvonnalla on keskeinen merkitys tietoturvaan sekä vika- ja häiriötilanteiden varautumiseen ja niistä toipumiseen tietoyhteiskuntakehityksessä. Lisäksi vastaa mm. radiotaajuuksien käytöstä, taajuushallinnosta ja - suunnittelusta sekä viestintämarkkinoiden toimivuuden valvonnasta ja kilpailun edistämisestä. Kyberturvallisuusstrategian mukaan Kyberturvallisuuskeskuksen tehtävänä on kyberturvallisuuden tilannekuvan tuottaminen ja ylläpitäminen. Keskus kerää tietoa kybertapahtumista, välittää sitä eri toimijoille sekä muodostaa ja jakaa kyberturvallisuuden yhdistettyä tilannekuvaa. Tärkeänä osana toimintaa ovat toimivat ja aktiiviset yhteistyöverkostot, joiden keskuudessa voidaan jakaa luottamuksellista tietoa sekä tehdä yhteisiä analyyseja tilannekuvatuotantoa varten. n nykyinen organisaatio, toimintamallit ja resurssit antavat hyvän lähtökohdan Kyberturvallisuuskeskuksen perustamiseksi osaksi virastoa. Kyberturvallisuuskeskuksen suunnitteluvaiheen aikana on kuullut laaja-alaisesti sidosryhmien, asiakkaiden sekä koti- ja ulkomaisten kollegoiden ajatuksia niin nykyisestä kuin tulevastakin toiminnasta. Osana suunnitteluprojektia on järjestänyt sidosryhmätyöpajoja yhteistyökumppaneille, järjestänyt kahdenkeskisiä tapaamisia sekä vieraillut lukuisten organisaatioiden luona. Työpajojen tarkoituksena on ollut arvioida n nykyistä toimintaa sekä kuulla yhteistyökumppaneiden ja sidosryhmien ajatuksia tulevasta. Työpajojen pääteemoina ovat olleet tilannekuvan merkitys organisaatioille, tilannekuvan hyödyntäminen sekä yhteistyöverkostot. Muut tapaamiset ja vierailut ovat keskittyneet kahdenkeskisen yhteistyön tehostamiseen sekä erilaisten yhteistyö- ja verkostomallien kartoittamiseen. Liikenne- ja viestintäministeriö on asettanut työryhmän, jonka tehtävänä on tukea liikenne- ja viestintäministeriötä on perustettavan Kyberturvallisuuskeskuksen toiminnan ja tulosohjauksen kehittämisessä sekä harjoittaa asiantuntijoiden yhteistoimintaa kyberturvallisuuden alalla. Työryhmä koostuu 50 julkisen hallinnon ja yksityissektorin toimijasta mukaan lukien. 1

5 4 (15) 2 Organisoituminen n Turvallisuus-toimiala nimetään Kyberturvallisuuskeskukseksi vuoden 2014 alusta. Turvallisuus-toimialan olemassa olevat toiminnot tukevat kokonaisvaltaisesti Kyberturvallisuuskeskuksen tehtäviä ja toimintaa, jolloin on luontevaa sisällyttää koko toimiala osaksi keskusta. Turvallisuus-toimiala vastaa mm. yleisten viestintäverkkojen tietoturvallisuuden ja varautumisen ohjauksesta sekä valvonnasta, kansallisen tietoturvallisuuden tilannekuvan ylläpitämisestä, tietoturvallisuusviranomaisen tehtävistä, teleyritysten ja viestintäpalveluiden varautumiseen ja häiriötilanteiden toimivuuteen liittyvistä tehtävistä, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyiden tietoturvallisuuden vaatimuksenmukaisuuden arvioinnista ja hyväksynnästä sekä salaustuotteiden hyväksynnästä. Kyberturvallisuuskeskus tulee koostumaan Turvallisuustoimialan olemassa olevasta 40 henkilöstä. Vuosien 2014 ja 2015 aikana määrää vahvennetaan 10 lisähenkilöllä. Kyberturvallisuuskeskuksen toiminnassa hyödynnetään n muita toimintoja, kuten radiohäiriöiden selvittely, puhelin- ja laajakaistamarkkinoiden valvonta ja kilpailun edistäminen sekä fi-verkkotunnuksiin liittyvät tehtävät. Kuva 1. n organisaatiokaavio Kyberturvallisuuskeskus tuottaa tietoturvapalveluita yleisissä viestintäverkoissa ja - palveluissa ilmenevien vika- ja häiriötilanteiden hallitsemiseksi. Keskus analysoi tietoturvauhkia, hyökkäysmenetelmiä sekä tuottaa tietoturvallisuuden tilannekuvaa päätöksentekijöille sekä järjestelmistä ja palveluista vastaaville tahoille. Kyberturvallisuuskeskus toimii poikkeamailmoitusten keskitettynä kansallisena vastaanottopisteenä, jonne raportoidaan tieto- ja viestintäjärjestelmien tietoturvaa vaarantavia poikkeamia. Ilmoitusvelvollisia ovat Suomessa toimivat teleyritykset, laatuvarmenne- ja vahvan sähköisen tunnistuspalvelujen tarjoajat sekä turvaluokiteltua tietoa käsittelevien tietojärjes-

6 5 (15) telmien omistajat. Vapaaehtoisia ilmoituksia tietoturvaloukkauksista voivat jättää kaikki halukkaat. Kyberturvallisuuskeskukseen kuuluvat myös tietoturvapoikkeamien selvittämiseen, ennaltaehkäisyyn ja tiedottamiseen liittyvät ns. CERT-toiminnot. Kyberturvallisuuskeskuksen tehtävänä on ohjata ja valvoa yleisten viestintäverkkojen ja -palveluiden toimijoiden varautumista sekä verkkojen ja palveluiden turvallisuutta ja toimivuutta häiriötilanteissa ja poikkeusoloissa. Keskus suorittaa kansallisten ja kansainvälisten turvaluokiteltua tietoa käsittelevien tietojärjestelmien tarkastuksia ja hyväksyntöjä sekä hyväksyy salaustuotteita kansalliseen käyttöön. Keskus vastaa myös n toimialaan kuuluvasta turvallisuuteen liittyvästä määräysvalmistelusta, toimii määrättynä turvallisuusviranomaisena, vastaa NCSA-toiminnosta kansallisessa ja kansainvälisessä yhteistyössä sekä arviointilaitostoiminnasta sekä valvoo sähköpostipalveluiden tietoturvaa ja toimivuutta. Lisäksi Kyberturvallisuuskeskus vastaa haavoittuvuuskoordinoinnista, jonka tehtävänä on edistää haavoittuvuustietojen vastuullista käsittelyä haavoittuvuuden elinkaaren kaikissa vaiheissa, ei ainoastaan haavoittuvuuden paljastumisen aikaan.

7 6 (15) 3 Kyberturvallisuuskeskuksen tehtävät 3.1 Kyberturvallisuusstrategian linjaamat tehtävät Kyberturvallisuusstrategian mukaan Kyberturvallisuuskeskuksen lisäresurssien pääasiallisena tehtävänä on kyberturvallisuuden tilannekuvan tuottaminen ja ylläpitäminen yhdessä luotettujen koti- ja ulkomaisten yhteistyökumppaneiden ja vastintahojen kanssa. Keskus kerää laaja-alaisesti tietoa kybertapahtumista ja välittää sitä eri toimijoille sekä muodostaa ja jakaa yhdistettyä tilannekuvaa. Olennaisena osana keskusta on myös tietoturvaloukkausten ja -poikkeamien kansallisena yhteyspisteenä toimiminen ja edellä mainittujen tapausten selvittäminen ja asianosaisten auttaminen. 3.2 Poikkeamanhallinnan ja tilannekuvatuotannon prosessit Kyberturvallissuustrategian mukaiset tehtävät koostuvat kahdesta pääprosessista, jotka liittyvät läheisesti toisiinsa: poikkeamanhallinta ja tilannekuvatuotanto. Poikkeamanhallintaprosessista saatua tietoa ja näkyvyyttä hyödynnetään osana tilannekuvatuotantoa ja tilannekuvatuotannon seurauksena poikkeamanhallintoon saadaan laajempaa näkemystä analyysin tueksi. Molempaan prosessiin liittyy kolme tärkeää vaihetta: 1) tiedon keräys, 2) tiedon analysoiminen ja 3) tiedonjakelu. Kuva 2. Poikkeamanhallinnan ja tilannekuvatuotannon prosessit

8 7 (15) Tiedonkeräys Tiedon keräämisessä käytetään hyväksi monia erityyppisiä tietolähteitä, joista saatua tietoa jalostetaan ja käytetään hyväksi mm. tilannekuvan luomisessa. Lakisääteiset tiedonlähteet Lakisääteisiksi tiedonlähteiksi luokitellaan ilmoitusvelvollisuuden piirissä olevat teleyritykset sekä erityissuojattavia ja turvaluokiteltuja viranomaisten tietoaineistoja käsittelevät tahot. Kyseiset yritykset ja toimijat on velvoitettu ilmoittamaan lle merkittävistä vika- ja häiriötilanteista sekä tietoturvapoikkeamista ja -uhista. Ilmoituksen saatuaan tukee käytettävissä olevin keinoin tietoturvaloukkauksen kohteeksi joutuneen mahdollisuuksia siitä toipumiseksi. Ilmoitusten kautta saatuja tietoja hyödynnetään tietoturvallisuustilannekuvan luomisen lisäksi myös ohjauksen, valvonnan ja tarkastustoiminnan kehittämisessä. Kattavamman kansallisen tilannekuvan luomiseksi ilmoitusvelvollisuutta voisi olla tarkoituksenmukaista laajentaa valtionhallintoon, tiettyihin viranomaisiin sekä huoltovarmuuden kannalta tärkeisiin kriittisiin toimijoihin. Julkiset lähteet, mediaseuranta ja varmistamaton tieto Julkisia lähteitä ovat esimerkiksi ohjelmistohaavoittuvuustiedotteet, muiden tuottamat raportit sekä tilannekuvatiedotteet. Julkisia lähteitä ovat myös tutkimukset ja seminaariesitelmät, joissa muiden organisaatioiden asiantuntijat ja tutkijat esittelevät työnsä ja tutkimustensa tuloksia. Julkisista lähteistä voi tulla luottamuksellisia tai salassa pidettäviä analyysin ja tilannekuvatuotannon seurauksena. Mediaseurannassa on suuri määrä lehtiä, blogeja ja muita sosiaalisen median palveluita sekä muita julkisia tietolähteitä. Kyberturvallisuuskeskuksen päivystäjä tekee päivittäin mediaseurantaa ja ottaa tarkempaan tarkasteluun jatkoselvitystä vaativat aiheet. Mediaseuranta on olennainen osa laajempaa tilannekuvan luomista niin kansallisesti kuin kansainvälisestikin. Yhtenä tietolähteenä ovat lisäksi huhut ja muu varmistamaton tieto, jota kohdellaan suurella varauksella siihen asti, kunnes tiedon todenperä on varmistettu ja tieto analysoitu. Tiedonvaihtoverkostot on määritelty Suomen yhteyspisteeksi useissa virallisissa ja epävirallisissa kansainvälisissä tiedonvaihtoverkostoissa. Verkostot ovat Suomen kannalta tärkeitä, sillä suurin osa suomalaisia toimijoita koskevista poikkeamahavainnoista raportoidaan ulkomailta luotettujen kumppanien toimesta. Verkostojen toimijoiden kautta voidaan saada myös ennakkotietona esimerkiksi merkittäviä ohjelmistohaavoittuvuuksia tai muita uhkia.

9 8 (15) Omat havainnointijärjestelmät n omat havainnointijärjestelmät tukevat muista kanavista kerättyjä tietoja. Autoreporter-järjestelmä 2 toimii erinäisistä tietolähteistä saatujen tietojen automaattisena käsittelijänä, mikä auttaa suuren tietomassan käsittelyä ja edelleen raportoimista. Havainnointi- ja varoitusjärjestelmä HAVARO 3 on otettu käyttöön Suomessa sijaitsevissa huoltovarmuuskriittisissä elinkeinoelämän organisaatioissa sekä valtionhallinnossa. HAVARO-järjestelmän tarkoituksena on auttaa tarkemman tilannekuvan muodostamista suomalaisiin verkkoihin kohdistuvista tietoturvauhkista. Järjestelmän tuottaman tiedon avulla pyritään havaitsemaan tietoturvaan vaikuttavat ilmiöt mahdollisimman varhaisessa vaiheessa, jolloin tarvittavat suojaustoimenpiteet voidaan aloittaa ajoissa ja suunnata oikein. Järjestelmän käyttöönotto perustuu vapaaehtoisuuteen ja palvelusopimuksen solmimiseen. Kyberturvallisuuskeskuksen myötä tietojärjestelmien automaatiota kehitetään suuren tietomäärän hallitsemiseksi ja tietojärjestelmien piiriin tuodaan uusia tietolähteitä kattavamman tilannekuvan luomiseksi organisaatioille Analyysi Tiedon saamisen ja keräämisen jälkeen tieto analysoidaan, jolloin saatu tieto todennetaan, arvioidaan ja luokitellaan. Tämän jälkeen tehdään yleinen ja toimialakohtainen vaikutusarvio, josta edetään poikkeamanhallinta- tai tilannekuvatuotantoprosessiin. Tarvittaessa asianosaisilta ja yhteistyökumppaneilta pyydetään lisätietoja tapauksiin liittyen. Analyysivaiheessa pyritään hyödyntämään luotettuja yhteistyöverkostoja, jotta saadaan toimialakohtaista näkemystä ja vaikutusarviota enemmän mukaan Poikkeamanhallinta Poikkeamanhallinta pitää sisällään tietoturvaloukkausilmoitusten ja merkittävien vikaja häiriöilmoitusten käsittelyn. Ilmoituksia saadaan asianosaisilta, sivullisilta ja kansallisten ja kansainvälisten yhteistyöverkostojen jäseniltä. Ilmoituksen saatuaan tukee käytettävissä olevin keinoin tietoturvaloukkauksen kohteeksi joutuneen mahdollisuuksia tietoturvaloukkauksesta toipumiseen. Poikkeamanhallintaa tehdään pääsääntöisesti virka-aikana, mutta pääasiakkaille palvelua tarjotaan tarvittaessa myös ympärivuorokautisesti. Kyberturvallisuuskeskuksen myötä jo olemassa olevan varallaolopäivystyksen kehittämiseen ja katkeamattomuuteen tullaan panostamaan. Poikkeamanhallinta pitää sisällään mm. seuraavia toimenpiteitä: tietoturvaloukkausepäilyn tai tietoturvauhan todentaminen sekä alkuperän, laajuuden ja vakavuuden selvittäminen

10 9 (15) yhteydenotto muihin tapahtumaan osallisiin ja tapauksen selvittämisessä välttämättömiin tahoihin avustaminen muiden viranomaisten kanssa asioinnissa tietoturvaongelman vaikutuksen rajaamiseen tähtäävien toimenpiteiden ohjaaminen ja tietojärjestelmän turvaaminen tunnetuilta tietoturvauhilta ja jatkotoimenpidesuunnitelman laatiminen. Poikkeamanhallinnan yhteydessä Kyberturvallisuuskeskus kerää tilastollista aineistoa tapausten selvittämisen yhteydessä saatujen tietojen pohjalta. Tietoja käytetään myös soveltuvin osin kansallisen tietoturvallisuuden tilannekuvan luomiseen Tilannekuvatuotanto Tilannekuvatuotannossa analysoitu tieto jalostetaan osaksi laajempaa kokonaisuutta. Poikkeamanhallinnan ja tilannekuvatuotannon yhdistävänä tekijänä on tilannekoordinointi, jonka pääasiallisena tehtävänä on tunnistaa yhteneväisiä tapauksia, alalla vallitsevia trendejä sekä tutkia uusissa tapauksissa, onko historiatiedoissa kyseiseen tapaukseen liittyviä tietoja. Analysoidun tiedon pohjalta valmistellaan tilannekuvatiedotteet, raportit, katsaukset ja ohjeet tilanteen ja tapauksen mukaisella jakelulla. Tilannekuvatuotannon tärkeänä osana on poikkeamanhallinnan kautta tulleet tietoturvaloukkausilmoitukset asianosaiselta tai sivulliselta. Tulevaisuudessa toimialat ja viranomaiset otetaan vahvemmin mukaan tilannekuvatuotantoon. Yhdessä muodostetun tilannekuvan avulla saadaan laajempaa näkemystä vallitsevaan tilanteeseen sekä toimialakohtaista vaikuttavuutta ja asiantuntemusta Tiedonjakelu ja tilannekuvatuotteet Poikkeamanhallinnan ja tilannekuvatuotannon jälkeen tietoa jaetaan eteenpäin, jolloin hyödynnetään niin vakiomuotoisia tilannekuvatuotteita ja -tiedotteita kuin tapauskohtaista jakeluakin. Julkaistuista tilannekuvatuotteista kehotetaan antamaan kommentteja ja palautetta, jotta Kyberturvallisuuskeskukselle muodostuu laajempi näkemys tapauksista. Pikatilannekuva Pikatilannekuvajulkaisuja ovat haavoittuvuustiedotteet 4, varoitukset 5 ja Tietoturva Nyt! -artikkelit 6, joita julkaistaan n verkkosivuilla suurelle yleisölle. Haavoittuvuustiedotteita julkaistaan suomalaisten kannalta merkittävistä tietojärjestelmien, ohjelmistojen ja verkkopalveluiden tietoturvallisuutta vaarantavista virheistä. Tietoturva nyt! -artikkeleita julkaistaan ajankohtaisista kansallisista ja kansainvälisistä aiheista ja ilmiöistä. Varoituksia julkaistaan tilanteissa, jotka edellyttävät konkreettisia toimia

11 10 (15) tieto- ja viestintäjärjestelmien suojaamiseksi tietoturvallisuutta vaarantavaa uhkaa vastaan. Pikatilannekuvatiedotteita kehitetään vuoden 2014 aikana. Tiedotteiden luokittelua ja kohderyhmiä selkeytetään ja vakavimmissa tapauksissa kehitetään tilannepäivitysprosessia, jotta saadaan julkaistua mahdollisimman ajantasaista tilannetietoa sitä mukaa, kun sitä on tarkoituksenmukaista julkaista. Tarpeen tullen julkaisujen tekoon otetaan vahvemmin mukaan eri sidosryhmiä. Organisaatiokohtainen riskianalyysi pysyy jatkossakin organisaatioiden itsensä vastuulla. Kausi- ja vuosikatsaukset Kausikatsauksia 7 ovat neljännesvuosittain julkaistavat osavuosikatsaukset, joissa esitellään vuosineljänneksen aikana käsitellyt merkittävimmät tietoturvatapaukset ja - tapahtumat sekä uudet ja pitkäkestoiset ilmiöt kotimaassa ja maailmalla. Vuodenvaihteen jälkeen julkaistaan vuosikatsaus, joka kokoaa yhteen kuluneen vuoden tapahtumat. Kausi- ja vuosikatsausten tekemiseen tullaan jatkossa ottamaan mukaan viranomaisia, yhteistyökumppaneita ja sidosryhmiä soveltuvin osin. Tällä saadaan luotua laajempaa näkemystä sekä toimialakohtaista analyysia tapausten yhteyteen. Asiakas- ja toimialakatsaukset Tietylle asiakkaalle tai asiakasryhmälle tehtäviä julkaisuja ovat esimerkiksi viikoittaiset HAVARO-raportit. Toimialakohtainen julkaisu koskee vain tiettyä toimialaa, ja kyseessä voi olla esimerkiksi finanssialaa, valtionhallintoa tai energia-alan yrityksiä koskeva erityisjulkaisu. Lisäksi tietyn tapahtuman yhteydessä voidaan julkaista aihekohtaisia tilannekuvakatsauksia. Viranomaistilannekuva Valtionjohdolle ja muille viranomaisille toimitettava viranomaistilannekuva on tärkeässä asemassa valtionhallinnon kannalta. Kyberturvallisuuskeskus jakaa kyberturvallisuuteen liittyvää tilannekuvaa valtioneuvoston tilannekeskukselle, joka yhdistää sen osaksi laajempaa kokonaisuutta. Valtioneuvoston tilannekeskuksen tehtävänä on kokonaisturvallisuuden tilannekuvan välittäminen ylimmälle valtiojohdolle ja valtioneuvostolle. Kyberturvallisuuden tilannekuva sisältyy kokonaisturvallisuuden tilannekuvaan. Viranomaistilannekuvaa toimitetaan myös liikenne- ja viestintäministeriölle, GovCERT-sopimuksen myötä muulle valtionhallinnolle sekä turvallisuusviranomaisille CERT-viranomaistyöryhmän puitteissa. Lisäksi normaalissa viranomaisyhteistyössä muodostetaan ja jaetaan tilannekuvaa tapauskohtaisesti. 7

12 11 (15) Häiriötiedottaminen vastaanottaa teleoperaattoreilta ilmoituksia vika- ja häiriötilanteista, jotka koskevat vikoja ja häiriöitä puhelin-, laajakaista-, tv- ja radioyhteyksissä. tiedottaa näistä vika- ja häiriötilanteista Monitori-palvelun 8, www-sivujen ja Yleisradion teksti-tv:n (sivu 848) kautta. Häiriötiedottamista ja Monitori-palvelua kehitetään vuoden 2014 aikana. Ohjeet Toistuvien tapausten ja tiettyjen teemojen yhteydessä julkaisee ohjeita. Ohjeita julkaistaan myös yhteistyössä muiden yhteistyökumppaneiden ja viranomaisten kanssa tapauskohtaisesti. 3.3 Asiakaskunta Kyberturvallisuuskeskuksen tietoturvapalvelut voidaan jakaa laajalle joukolle tarjottaviin yleisiin palveluihin ja pääasiakkaille tarjottaviin kohdistettuihin palveluihin. Yleisten palveluiden kohderyhmään kuuluvat mm. kuluttajat ja kansalaiset, yhteisöt sekä elinkeinoelämä. Yleisiin palveluihin kuuluvat yleiset tilannekuvatiedotteet sekä tapauskohtainen asiakaspalvelu pääsääntöisesti virka-aikana ja olemassa olevien resurssien puitteissa. Pääasiakkaita ovat Suomessa sijaitsevat teleyritykset, huoltovarmuuskriittiset toimijat sekä valtionhallinto. Pääasiakkaat maksavat palveluista joko vero- tai maksuluonteisesti tai sopimusperusteisesti. Teleyritysten asiakkuus perustuu sähköisen viestinnän tietosuojalaissa määrättyyn tietoturvamaksuun ja huoltovarmuuskriittisten toimijoiden ja valtionhallinnon asiakkuudet sopimuksiin. Huoltovarmuuskeskuksen kanssa solmittu sopimus mahdollistaa palveluiden suuntaamisen huoltovarmuuden kannalta elintärkeiden toimijoiden hyväksi. Tällä hetkellä voimassaoleva Valtion IT-palvelukeskuksen kanssa tehty GovCERT-sopimus on pilottiluonteinen ja sen muuttaminen jatkuvaksi olisi perusteltua jatkuvuuden ja asiakkuussuhteen kehittämisen turvaamiseksi. Pääasiakkailla on mm. ympärivuorokautinen yhteydenottomahdollisuus ja niille tarjotaan laajennettuja tilannekuvapalveluita, kohdistettujen hyökkäysten analysointipalveluja sekä seminaareja. Lisäksi tuottaa tietoturvaloukkausten havainnointi- ja varoitusjärjestelmäpalvelua, HAVAROA, huoltovarmuuskriittisille toimijoille ja valtionhallinnolle. HAVARO-palveluun liittyminen on vapaaehtoista ja se tehdään asiakaskohtaisesti palvelusopimuksen muodossa. 3.4 Virka-ajan ulkopuolinen toiminta Tietoturvauhkiin ja -poikkeamiin reagoimiseksi on tärkeätä, että Kyberturvallisuuskeskuksella on toimintavalmiudet myös virka-ajan ulkopuolella. Tietoturvaloukkausten käsittelyä varten on lla ollut jo vuosien ajan käytössään varallaoloon perustuva 24/7-päivystys. Päivystys mahdollistaa tietoturvapoikkeamien havainnoinnin ja käsittelyn sekä muihin tapahtumiin ja uhkiin reagoimisen ympärivuorokautisesti. Pää- 8

13 12 (15) asiakkailla on tarvittavat yhteydenottomenetelmät päivystäjän tavoittamiseksi virkaajan ulkopuolella, mikäli vakavia uhkatilanteita ja poikkeamia ilmenee. Osana Kyberturvallisuuskeskuksen suunnittelua kartoitti tärkeimmiltä sidosryhmiltään kokemuksia nykyisestä 24/7-päivystysmallista sekä sen toimivuudesta. Yli 50 organisaation viesti oli yhteneväinen: nykyinen varallaoloon perustuva päivystysmalli toimii hyvin ja se koetaan riittäväksi, kunhan valmiustilan nosto tarpeen tullen on mahdollista. Vuoden 2014 aikana Kyberturvallisuuskeskuksen varallaolopäivystystä vahvistetaan liittyen prosesseihin, päivystyksen piirissä oleviin henkilöihin ja työmenetelmiin. Tällä taataan katkeamaton päivystys myös tulevaisuudessa. Lisäksi selvitti yli 50 sidosorganisaatiolta heidän valmiuksiaan vastaanottaa ilmoituksia ja raportteja vuorokauden ympäri. Toimijoiden valmiudet vaihtelevat suuresti, ja haasteena ovat organisaatioiden omien sisäisten prosessien käynnistäminen tiedon vastaanottamisen jälkeen. ssa on selvitetty myös muiden päivystysmallien ja vaihtoehtojen vaatimia resursseja tulevaisuutta ajatellen. Selvityksessä ovat olleet aktiivisen päivystysajan laajentaminen sekä ympärivuorokautinen valvomotoiminta. Nykyinen varallaolomenettely koetaan riittäväksi lähitulevaisuudessa. Uhkakentän ja asiakastarpeiden muuttuessa päivystystä on mahdollista tarkastaa uudestaan. 3.5 Vastuut n tietoturvatehtävät ja -vastuut on määritelty pääosin sähköisen viestinnän tietosuojalaissa, kansainvälisistä tietoturvavelvoitteista annetussa laissa sekä laissa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista. Lakien mukaan n tehtävänä on kerätä tietoa ja selvittää yleisen viestintäverkon verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä tiedottaa tietoturva-asioista. Lisäksi Kyberturvallisuuskeskus vastaa erityissuojattavan sekä turvaluokitellun aineiston tiedonsiirtoon ja -käsittelyyn liittyvistä turvallisuusasioista sekä suorittaa viranomaisten tietojärjestelmän tai tietoliikennejärjestelyjen tietoturvallisuuden vaatimuksenmukaisuuden arviointia ja hyväksymistä. Vastuut tietojärjestelmien ylläpidosta, uhkiin varautumisesta, riskiarvioista ja poikkeamiin reagoimisessa on asianomaisilla yrityksillä ja valtionhallinnon toimijoilla itsellään. Lisäksi Kyberturvallisuuskeskus pitää huolen, että hallintoasioissa asiakasta neuvotaan tarvittaessa ja jos asia ei kuulu n toimivaltaan siirretään asiakirja tai ohjataan asiakas toimivaltaiseen viranomaiseen.

14 13 (15) 3.6 Tietojen käsittely Kyberturvallisuuskeskuksen perustamisella ei ole vaikutusta n oikeuksiin käsitellä tietoja. Tietojen käsittely tapahtuu myös jatkossa sähköisen viestinnän tietosuojalain (516/2004), viranomaisen toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) ja kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) mukaisesti. n käsittelemät tiedot voidaan jaotella neljään ryhmään lainsäädännön niihin kohdistamien käsittelysääntöjen perusteella: 1. Julkisuuslain mukaan viranomaisen asiakirjat ovat julkisia, jollei laissa erikseen toisin säädetä. Julkisilla tiedoilla tarkoitetaan tietoja, joista jokaisella on oikeus saada tieto ja jotka voidaan luovuttaa vapaasti edelleen. Tällaisia tietoja ovat esimerkiksi julkisista lähteistä kerätyt tai itse laaditut julkisiksi arvioidut tiedot. Julkisten tietojen rikastaminen salassa pidettävillä tiedoilla tai julkisten tietojen yhdistäminen voi muodostaa salassa pidettävän kokonaisuuden. Myös julkisten tietojen käsittelyssä on noudatettava hyvää tiedonhallintatapaa. 2. Salassa pidettävillä tiedoilla tarkoitetaan julkisuuslaissa yksilöidyillä perusteilla salassa pidettäviä tietoja. Tiedot voivat olla salassa pidettäviä esimerkiksi turvallisuussyistä tai yksityisen liike- ja ammattisalaisuuden suojelemiseksi. Julkisuuslain nojalla salassa pidettäviä tietoja voidaan tietyissä tilanteissa luovuttaa esimerkiksi tietojen omistajan tai vahinkoedellytyslausekkeen sallimissa rajoissa. Merkittävä osa n käsittelemästä aineistosta on julkisuuslain nojalla salassa pidettävää. 3. Erityislain nojalla salassa pidettävällä aineistolla tarkoitetaan tiettyyn tietoaineistoon sovellettavasta erityislaista johtuvia rajoituksia tietojen käsittelyyn. Yleisin esimerkki tällaisesta tiedosta on sähköisen viestinnän tietosuojalain nojalla saadut tiedot viesteistä ja tunnistamistiedoista. Erityislaki määrittelee tietojen käsittelylle erittäin tarkkarajaiset käsittelysäännöt, ja tyypillisesti niitä voidaan luovuttaa edelleen ainoastaan laissa yksilöidyissä tilanteissa. 4. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain nojalla erityissuojattavalla tietoaineistolla tarkoitetaan Suomea velvoittavaan kansainväliseen järjestelyyn perustuvaa salassapitovelvoitetta. Tietoja saa käyttää ainoastaan siihen tarkoitukseen, johon ne on luovutettu, eikä niitä saa luovuttaa tai muuttaa edelleen ilman luovuttajamaan nimenomaista suostumusta. Myös muu lainsäädäntö voi asettaa tietojen käsittelylle ja niiden luovuttamiselle rajoituksia siitä riippumatta, mihin ylläkuvatuista ryhmistä kyseiset tiedot sijoittuvat. Esimerkkinä tällaisesta rajoituksesta voidaan mainita henkilötietolaki, joka asettaa tiettyjä menettelysääntöjä tietojen luovuttamiselle viranomaisen henkilörekisteristä. Tietojen ryhmittely tehdään käytännössä tapauskohtaisen harkinnan perusteella.

15 14 (15) 4 Kyberturvallisuuden yhteistyöverkostot Toimivat yhteistyöverkostot ovat Kyberturvallisuuskeskuksen toimintaedellytys niin poikkeamanhallinnassa, tilannekuvatuotannossa kuin toiminnan kehittämisessäkin. Jotta verkostoista saadaan tarvittava lisäarvo, on niiden tiedonvaihdon oltava aidosti vuorovaikutteisia ja kaksisuuntaisia. Verkostojen jäsenet voivat organisaationsa luonteesta riippuen tarjota verkoston hyväksi asiantuntemustaan, analyysiresursseja, tietolähteitä tai omia verkostojaan ja kansainvälisiä yhteyksiä. lla on olemassa olevat yhteistyökanavat moneen eri tarkoitukseen, joiden pohjalta verkostoja kehitetään. Viranomaisille suunnattu CERT-viranomaistyöryhmä (CERT-VTR) koostuu turvallisuusviranomaisista ja tärkeimmistä viranomaiskumppaneista. Ryhmä pitää viikoittain operatiivisia tiedonvaihtopalavereita ja säännöllisiä tapaamisia ajankohtaisten asioiden yhteydessä. toimii ryhmän koollekutsujana ja puheenjohtajana. Huoltovarmuuskriittisten yritysten edustajat ja teleyritykset muodostavat CERT-työryhmän rungon, jonka tehtävänä on tukea n päivittäistä työtä tietoturvaloukkauksiin liittyen, antaa palautetta toiminnasta sekä tuottaa ehdotuksia toiminnan kehittämiseksi. Työryhmän aktiivisuutta ja vuorovaikutteisuutta on suunniteltu lisättävän siten, että ennen osavuosikatsauksen julkaisua järjestettäisiin kokous, jossa esiteltäisiin tulevan katsauksen sisältö ja osallistujia kehotettaisiin kommentoimaan ja keskustelemaan sisällöstä ennen sen julkistamista. Näin saataisiin laajempaa ja toisaalta myös toimialakohtaista näkemystä katsausten sisältöön. lla on lukuisia toimiala- ja asiakkuuskohtaisia tiedonvaihtoverkostoja tietoturvatoimintaan liittyen. Verkostoja on esimerkiksi teleyrityksille, pankki- ja vakuutusyhtiöille, energiayrityksille, logistiikalle ja teollisuusyrityksille. Verkostojen toiminnan taso pohjautuu voimakkaasti sen jäsenten aktiivisuuteen. Lisäksi on perustanut häiriötilanteiden yhteistoimintaryhmän, jonka tehtävänä on avustaa a häiriötilanteiden hallinnassa sekä sovittaa yhteen yhteiskuntaa kohtaavien häiriötilanteiden hallintatoimenpiteitä. Häiriötilanteiden yhteistoimintaryhmän jäsenet koostuvat viranomaisten, teleyritysten ja sähköyritysten edustajista. Kotimaisten yhteistyöryhmien lisäksi on mukana lukuisissa kansainvälisissä yhteistyö- ja tiedonvaihtoryhmissä. n olemassa olevat elinkeinoelämä- ja viranomaisverkostot ovat hyvä pohja toiminnan kehittämiselle. Jotta tilannekuvaa saadaan luotua yhdessä toimialojen kanssa, on tiedonvaihtoa ja yhteistoimintaa kehittävä entisestään. Vuoden 2014 aikana selvittää tiedonvaihdon ja yhteistoiminnan tehostamista liittyen toimintamalleihin ja tietojärjestelmiin. Verkostojen jäseniä kannustetaan lisäämään vuorovaikutteisuutta verkostojen ja Kyberturvallisuuskeskuksen suuntaan. Säännöllinen ja kaksisuuntainen tiedonvaihto on ensiarvoisen tärkeätä yhdistetyn tilannekuvan luomiselle.

16 15 (15) 5 Toimintasuunnitelma Vuonna 2014 Kyberturvallisuuskeskuksen toiminnan kehittämisen painopisteitä tulevat olemaan tilannekuvatuotanto, yhteistyöverkostojen kehittäminen ja keskeytymättömän päivystystoiminnan ylläpito. Tilannekuvatuotannossa selvitetään eri toimialojen ja asiakkaiden tarpeita sekä tilannekuvan kohdentamista eri sektoreille. Lisäksi kartoitetaan tiettyjen kansainvälisten kollegaorganisaatioiden tuottamia tilannekuvapalveluita ja - prosesseja, joita voidaan soveltaa Kyberturvallisuuskeskuksen toiminnassa. Vuoden 2014 jälkimmäisellä puoliskolla tilannekuvan tuotevalikoima esitellään sidosryhmille. Teleyrityksille ja huoltovarmuuskriittisille toimijoille suunnatut palvelulupaukset tullaan edelleenkin täyttämään ja niille suunnattuja toimintoja kehitetään. Yhteistyöverkostojen kannalta arvioidaan nykyisten verkostojen toimintaa sekä keskitytään yhteistyön ja vuorovaikutteisuuden vahvistamiseen. Huoltovarmuuskriittisille toimijoille suunniteltua HAVARO-järjestelmää jatkokehitetään sekä laajennetaan valittuihin elinkeinoelämän sektoreihin ja mahdollisuuksien mukaan myös valtion keskushallintoon. Lisäksi HAVARO-järjestelmään liitetyille organisaatioille tuotetaan vertailukelpoista tilannekuvaa, jonka avulla organisaatiot voivat verrata tilaansa muihin organisaatioihin. Valtionhallinnon kanssa vuoden 2013 elokuussa solmittu asiakkuussopimus on pilottiluonteinen, ja vuoden 2014 aikana keskitytään yhteistoiminnan kehittämiseen ja yhteisten toimintamallien hiomiseen. Tärkeässä roolissa on myös poikkeamanhallintaprosessien ja -toiminnan jalostaminen, ja vuonna 2014 Kyberturvallisuuskeskuksen toimintaa arvioidaan yksityiskohtaisesti poikkeamanhallinnan ja tilannekuvatuotannon toimintamallien, prosessien ja työkalujen osalta. Arvioinnin tulosten perusteella on tarkoitus tunnistaa toiminnan kehityskohtia, joihin keskitytään seuraavan vuoden aikana. Kyberturvallisuuskeskuksen toimintojen kehittymistä arvioidaan säännöllisesti sekä liikenne- ja viestintäministeriön ohjausryhmän että n johdon toimesta. Vuonna 2017 Kyberturvallisuuskeskuksen toimintaa tarkastellaan välitarkastuksen muodossa liikenne- ja viestintäministeriön ohjausryhmän toimesta.