Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille Abuse-seminaari Ilmoitusvelvollisuus Jarkko Saarimäki Kehityspäällikkö Kauto Huopio Vanhempi tietoturva-asiantuntija CERT-FI
Lainsäädäntö Ilmoitusvelvollisuus perustuu lakiin SVTsL 21 Vivin määräys 9 Kahdentyyppisiä ilmoituksia Tilaajille - erityinen uhka Viestintävirastolle tietoturvaloukkaus ja sen uhka Rangaistussäännös SVTsL:n 41 Ilmoitusvelvollisuuden laiminlyöjä on tuomittava sähköisen viestinnän tietosuojarikkomuksesta sakkoon, jollei teosta säädetä muualla laissa ankarampaa rangaistusta Ei olla jouduttu turvautumaan
Teleyrityksen palveluun kohdistuva erityinen uhka Haavoittuvuudet, päätelaitteisiin kohdistuvat uhkat... MPS 9 Ajankohta Ilmoitettava viipymättä Ilmoitusta voidaan poikkeuksellisesti lykätä jos uhkaan ei ole ratkaisua Sisältö Kerrottava tilaajan ja käyttäjän käytettävissä olevista toimenpiteistä uhkan torjumiseksi sekä niiden todennäköisistä kustannuksista Selvitettävä tilaajalle ja käyttäjälle heiltä odotettavat toimenpiteet sekä heihin vaikuttavat teleyrityksen toimenpiteet Ilmoitustapa Ilmoitusvelvollisuus tilaajalle Teleyrityksen internet-sivuilla tai muulla tarkoituksenmukaisella tavalla
Merkittävistä tietoturvaloukkauksista ja tietoturvauhkista Uhkat joista teleyritys on tietoinen Tietomurrot ja niiden yritykset, tietoturvaloukkaukset... MPS 9 Ajankohta Ilmoitettava aina välittömästi, voidaan täydentää Sisältö Toimenpiteet joilla uusiutuminen estetään Mikä taho loukkauksen tai uhan on aiheuttanut Miten tietoturvaloukkaus on aiheutettu Kuinka laajat sen vaikutukset ovat Ilmoitustapa Ilmoitusvelvollisuus Viestintävirastolle Ilmoitus on tehtävä kirjallisesti, sähköinen riittää Tapahtumailmoituslomake
Mitä ilmoituksen tekeminen aiheuttaa? Ilmoituksen lähettäminen osoitus teleyrityksen tietoturvallisuuden hallintajärjestelmän asianmukaisesta toimivuudesta myös teleyrityksen omalle johdolle CERT-FI-yksikön resurssit käytettävissä tietoturvaloukkaustilanteen selvittelyssä kotimaiset ja kansainväliset yhteydet maalimanlaajuisesti Haavoittuvuudet: kattavat valmistajayhteydet mahdollisuus eskalointiin tarvittaessa Ilmoitus erittäin tärkeä Suomen tietoturvallisuuden kokonaistilannekuvan muodostamiselle Tiedon jako anonymisoidusti muille teleyrityksille haavoittuvuudesta tai uhkasta
Huomioitavaa Täydellistä tietoturvaa ei ole. Tietoturvaloukkaustapahtumia sattuu ennemmin tai myöhemmin myös teleyrityksille ja teleyritysten omissa tuotantoympäristöistä Lomakkeen ehkä tärkein asia kuinka tapaus on vältettävissä jatkossa On suurempi häpeä peitellä tapahtuma kuin todeta tapahtunut ja ottaa opiksi Tietoturvaloukkausilmoitukset käsitellään Viestintävirastossa luottamuksellisesti (JulkL 24.1 7k)
Direktiivipaketin vaikutukset Voimaan ensivuoden alkupuoliskolla? Viestintävirastolle toimivalta määrätä teleyritykset tiedottamaan tietoturvaloukkauksista ja uhkista Teleyritysten ilmoitusvelvollisuus tilaajille ehdotetaan laajennettavaksi kattamaan myös toteutuneet tietoturvaloukkaukset tiedot ilmoituksista on säilytettävä Korostaa henkilötietoihin kohdistuvien tietoturvaloukkausten ilmoitusvelvollisuutta Korostaa sitä, että myös teletoimintaan liittyviin asiakastietoihin kohdistuvat tietoturvaloukkaukset on ilmoitettava viville ja tilaajille
Puhelin: +358 (0)9 6966510 Sähköposti: www: cert@ficora.fi www.cert.fi Kiitokset! CERT-FI:n julkiset varoitukset voi lukea: Sähköpostitse hälytyspalveluna SMS-hälytyspalveluna (maksullinen) CERT-FI:n www-sivuilta RSS-uutispalveluna YLE:n teksti-tv:n sivulta 848 8