Electronic Frontier Finland ry

Samankaltaiset tiedostot
Electronic Frontier Finland ry

1 Johdanto. 2 Eritasoisten tilanteiden ristiriitaiset turvallisuusuhat. ASIA: VNS 1/2009 vp Suomen turvallisuus- ja puolustuspolitiikka

Electronic Frontier Finland ry

Electronic Frontier Finland ry

Electronic Frontier Finland ry

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

Kybersairauden tiedostaminen! Sairaanhoitopiirien kyberseminaari Kari Wirman

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

?Lasten suojelu erotettava HitBackin markkinoinnista?

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Helsingin kaupunginhallitus Pöytäkirja 1 (5)

Kyberturvallisuuden ja -turvattomuuden kilpajuoksu

Sisäisen turvallisuuden ja Ulko- ja turvallisuuspoliittinen selonteko

Nuoret ja turvallisuus , Eduskunta

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Toimintaja rjestelma (johtamisja rjestelma ) opas

Tiedustelulainsäädäntö. eduskuntaan. Tiedotustilaisuus

Tietohallinnon uudistuksia ja haasteita sähköisen hallinnon näkökulma viranomaisten asiakirjojen pysyvään säilyttämiseen

Kyberturvallisuus julkisen hallinnon digitalisoinnissa

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Manner-Suomen maaseudun kehittämisohjelma

Tietoverkkotiedustelu ja lainsäädäntö. Kybertalkoot

Sisäinen turvallisuus Oiva Kaltiokumpu, Kansallisena Veteraanipäivänä

Sisäisen turvallisuuden ja Ulko- ja turvallisuuspoliittinen selonteko Talousvaliokunta,

Sähköisten viranomaisaineistojen arkistoinnin ja säilyttämisen palvelukokonaisuus

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

TIETOPAKETTI EI -KYBERIHMISILLE

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Vaalien ajankohdat ja kansalaisten osallistumisoikeudet, lausunto nettiäänestystyöryhmän väliraportista. Lausuntopyyntö (kysymykset tummennettuna):

LAUSUNTO VALTIONEUVOSTON SELONTEOSTA KANSALLISESTA ENERGIA- JA ILMASTOSTRATEGIASTA VUOTEEN 2030

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

Kyberturvallisuus edellyttää johtajuutta Salo CyberTalks,

MTS:n puheenjohtajana minulla on ilo ja kunnia toivottaa teidät kaikki. omasta ja suunnittelukunnan puolesta lämpimästi tervetulleiksi tänä

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Ti Tietoturvan Perusteet : Politiikka

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Lausunto. Pyydettynä lausuntona Valtiontalouden tarkastusvirasto (VTV) esittää strategialuonnoksesta seuraavaa:

Luottamusta lisäämässä. Toimintasuunnitelma

Asukaslähtöisyys. pj. Riitta Lehtinen siht. Johanna Hämäläinen

Langattomien verkkojen tietosuojapalvelut

Sähköinen äänestys Ongelmat ja tulevaisuus

Vastuullisuusmallin tausta ja tavoitteet

Helsingin Sanomain Säätiön ja Anders Chydenius -säätiön järjestämä Tietämisen vapauden päivän seminaari tiistaina 2. joulukuuta

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Viite: Liikenne- ja viestintäministeriön lausuntopyyntö LVM/174/03/2013

LOGHU3. Kokemuksia ja suosituksia

PUOLUSTUSMINISTERIÖN HALLINNONALAN TAE

Digitalisaatio, kyberturvallisuus ja Euroopan pohjoisten alueiden erityiskysymykset

eresepti- ja KANTA-hankkeissa

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

RAKENTEELLISEN KORRUPTION UHKA SUOMESSA. Ari Salminen, Vaasan yliopisto

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Viestinnän Keskusliitto ry esittää lausuntonaan televisiodirektiivin uudistamista koskevasta valtioneuvoston kirjelmästä U 14/2006 vp seuraavaa:

Väestönsuojien rakentamista koskevia strategisia linjauksia selvittäneen työryhmän raportti

Kyberturvallisuudesta

PK-yrityksen tietoturvasuunnitelman laatiminen

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

7 Poliisin henkilötietolaki 50

LAPSET JA PÄIHTEITÄ KÄYTTÄVÄT VANHEMMAT

Avoimet ohjelmistot julkisessa hallinnossa. Oskari verkostopäivä Tommi Karttaavi

Muistitko soittaa asiakkaallesi?

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Itsemääräämisoikeus -oikeuden toteutuminen asumisyksiköissä ja lainsäädännön tavoitteet

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Kyber- hyökkäykset. Mitä on #kyberturvallisuus #CyberSecurity.

Mielipidekartoitus. Risto Sinkko

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

MAL-verkoston koulutus Ryhmätyöt

Vetovoimaa ja osaamista Live Delphin yhteenveto

TEOLLINEN YHTEISTYÖ - IP TARKASTUSVALIOKUNTA. HN Jari Takanen / PLM

Käytännön ideoita verkostotyöhön & toimintatutkimuksellinen ote verkostojen kehittämiseen. Timo Järvensivu, KTT Aalto-yliopiston kauppakorkeakoulu

Ihmisoikeudet haltuun nuorisotyössä: Oikeuksilla syrjintää vastaan. Matti Jutila

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

TEOLLINEN YHTEISTYÖ - IP. Eduskunnan hallinto- ja turvallisuusjaosto HN Jari Takanen / PLM

Henkilötiedot ja tietosuoja kotipalveluyrityksissä

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

Lausunto Puuttuuko strategialuonnoksen korruptiokatsauksesta olennaista tietoa tai olennaisia lähteitä?

Vastuutahot/henkilö: Jokaisen toiminnon kohdalla määritellään kyseisestä toiminnosta vastaava(t) henkilö(t) tai taho(t).

Ajankohtaista Georg Henrik Wrede. Johtaja, nuorisotyön ja politiikanvastuualue

FARAX johtamisstrategian räätälöinti

Ville Oksanen Oik. kand. Tutkija, Teknillinen korkeakoulu Hallituksen jäsen, Electronic Frontier Finland ry

Tutkimuksesta vastaavan henkilön eettinen arvio tutkimussuunnitelmasta. Tapani Keränen TAYS

Tiedonjulkistamisneuvottelukunnan tilaisuus Tieteiden talolla Hallintojohtaja Anitta Hämäläinen Kansallisarkisto

Hallituksen esitys 34/2018 vp. Liikenneviraston liikenteenohjaus- ja hallintapalveluiden muuttamisesta osakeyhtiöksi

Tietohallinnon selkeät rakenteet ja vastuut. Pääjohtaja, OTT Tuomas Pöysti/VTV

FI Moninaisuudessaan yhtenäinen FI A8-0350/1. Tarkistus. Tamás Meszerics Verts/ALE-ryhmän puolesta

Tukea digitaalisen nuorisotyön kehittämissuunnitelman laatimiseen

Yrityksen juoksevat asiat. Lyhyt keskustelu nykyisen yrityskulttuurin vahvuuksista ja heikkouksista.

Sähköisten viranomaisaineistojen arkistoinnin ja säilyttämisen palvelukokonaisuus

AVOIN LÄHDEKOODI JA SEN MERKITYS LIIKETOIMINNASSA

Riskienhallinta- ja turvallisuuspolitiikka

Ohjausryhmän six-pack

Lausunto oikeudenkäynnin julkisuutta yleisissä tuomioistuimissa koskevasta hallituksen esityksestä HE 13/2006 vp

Varmaa ja vaivatonta viestintää

Transkriptio:

Lausunto LIO 3/2013 vp Suomen kyberturvallisuusstrategiasta 4.3.2013 Electronic Frontier Finland ry www.effi.org

Yleistä Turvallisuus- ja puolustuspolitiikka liittyy Electronic Frontier Finlandin (Effi) alaan lähinnä siltä osin kuin se koskettaa tietotekniikkaa ja ihmisoikeuksia, ja keskitymme tässä lausunnossa erityisesti tähän puoleen. Tämän lisäksi järjestöllä on muutamia yleisempiä kommentteja. Yhteistyöllä eteenpäin Effin näkemyksen mukaan ehdotuksen parasta antia on sen voimakkaasti alan eri toimijoiden yhteistyötä korostava luonne. Kyberturvallisuuden varmistaminen edellyttää hyvin laajalaista yhteistyötä ja huomioiden, että valtiolla ei ilmeisesti ole mahdollisuuksia tarjota varsinaisia taloudellisia resursseja, se tarvitsee kiistatta ulkopuolista apua. Tässä Effi toivoo, että Suomi ottaisi vakavasti Viron tarjoamat yhteistyömahdollisuudet alueelta. Johtajuuden puute Effi yhtyy esitettyyn kritiikkiin, jonka mukaan kyberstrategian suurin ongelma on selkeän vastuutahon puuttuminen. Valtioneuvosto voi toki kuulostaa hyvältä taholta johtamaan kyberturvallisuutta, Kun kuitenkin huomioidaan, että vastuuta ei ole määritelty millekään yksittäisellä ministeriöllä, lopputuloksena on kaikella todennäköisyydellä tilanne, jossa kukaan ei kanna vastuuta. Kyberturvallisuus on toki alue, jossa tarvitaan poikkihallinnollista koordinaatiota, mutta tämän lisäksi tarvittaisiin yksi selkeä taho, jonka vastuulla on Suomessa kyberturvallisuuden toteutuminen. Ehdotettu Kyberturvallisuuskeskus ei ole (varsinkaan nyt puhuttujen resurssien valossa) riittävä tähän tehtävään. Perinteinen näkymys viranomaisjaosta Effin näkemyksen mukaan nyt olisi erittäin järkevä hetki miettiä kokonaan uusiksi perinteinen jako poliisivoimien (ml SUPO ja KRP) ja puolustusvoimien välillä. Yhä digitaalisemmassa maailmassa perinteiset mallit, rajanvedot ja ovat monessa kohtaa aikansa eläneitä. Valitettavasti tällainen todellinen kokonaisuudistus ei ole

poliittisesti realistinen, mutta sen tulisi kuitenkin olla mukana edes pitkän tähtäimen visioissa. Avoimuus vs. salaisuus Tietoteknisten järjestelmien turvallisuutta arvioitaessa on tärkeää huomata, että joissakin asioissa salailu heikentää turvallisuutta. Erityisesti kryptografiaan perustuvissa menetelmissä tunnetusti tilanne on se, että vaikka käytettyjen avainten huolellinen salassapito on ensiarvoisen tärkeää, käytetyn tekniikan julkisuus on lähes aina turvallisuutta parantava tekijä, Näin siksi, että mitä useampi tekniikan tuntee, sitä todennäköisemmin sen heikkoudet on löydetty ja korjattu, ja avainten vaihtaminen on aina paljon helpompaa kuin teknisten perusratkaisujen. Asiaa ei tuoda riittävästi esille strategiassa, vaikka sen tulisi olla yksi sen keskeinen rakennuskivi. Tietovuodot Monet viranomaisten tietojärjestelmät sisältävät eri tavoin arkaluontoista tietoa: poliisin järjestelmät, potilastietojärjestelmät (hyvin houkuttelevia esimerkiksi kiristykseen sopivia uhreja etsiville), erilaiset biotietopankit, DNA- ja sormenjälkirekisterit, kaikki ihmisten liikkeitä rekisteröivät järjestelmät, valvontakamerat jne. Mitään järjestelmää ei kuitenkaan voida suojata sataprosenttisesti. Esimerkkejä poliisinkin tietojärjestelmien vuodosta viime aikoina löytyy mm. Ruotsista ja Britanniasta, ja huippuviroissakin olevat ihmiset ovat alttiita kiristykselle ja lahjonnalle vaarallisimmat tietomurrot ovat ainakin osittain sisäpiiriläisten tekemiä. Tehtiin tietojärjestelmien suojaamiseksi mitä tahansa, kriittisen tietovuodon todennäköisyys kasvaa aina suoraan suhteessa kerättävän ja säilytettävän tiedon määrään. Siten pitäisi ottaa periaatteeksi välttää arkaluontoisten tietojen keräämistä enempää kuin on aivan välttämätöntä. Koska kaikilla tietoa käsittelevillä toimijoilla on luonnollinen taipumus luottaa itseensä liikaa ja kerätä tietoa ''varmuuden vuoksi'' enemmän kuin oikeasti olisi tarpeen ja perusteltua, olisi parasta yleisensä linjana kallistua mieluummin liian vähän kuin liian paljon tiedon keruun suuntaan. Tämä koskee niin tiedonkeruumekanismeja kuin kerätyn tiedon tallentamistakin. Silloin kun tietoa kuitenkin kerätään, toimenpiteet sen suojaamiseksi

pitäisi tietenkin mitoittaa arvioiden sen arkaluontoisuutta ja vuotoherkkyyttä myös eritasoisissa poikkeusoloissa. Terrorismi Terrorismia vastustettaessa tulisi muistaa, että varsinainen vihollinen ei ole ihmiset, jotka terroria harjoittavat, vaan järjestelmän muutos, jota he yrittävät saada aikaan. Puolustettavana eivät ole ne ihmiset, jotka nyt ovat vallassa, vaan vallitseva järjestelmä - jonka olennainen osa on vapaus ja ihmisoikeudet. Viranomaisten luonnollinen reaktio terrorismin uhkaan on lisätä valvontaa ja rajoittaa väärinkäytölle alttiita kansalaisoikeuksia. Tämä on kuitenkin yksi terroristien nimenomaisista tavoitteista, koska he hyvin tietävät niiden yleensä kääntyvän alkuperäistä tarkoitusta vastaan. Monet terrorisminvastaiset toimet kun ovat tylppiä aseita, jotka osuvat myös sivullisiin, ja helposti tekevät näistäkin vihollisia. Samalla ne vahvistavat terroristien sisäistä motivaatiota. Tämä koskee etenkin puuttumista sananvapauteen, myös ja etenkin tietoverkoissa. Esimerkiksi ajatus terrorismisivujen suodattamiseen netistä voi tuntua ensi alkuun houkuttelevalta, mutta käytännössä siitä on enemmän haittaa kuin hyötyä, vaikkei edes välitettäisi sananvapaudesta periaatteena. Ihmisoikeudet ja kansalaisten vapaus toimia itsenäisesti ovat myös olennainen tekijä terrorisminkestävässä yhteiskunnassa, eivät vain haitta tehokkaan viranomaistoiminnan tiellä. Riippuvuus ulkopuolisista toimijoista Effin näkemyksen mukaan kyberstrategiassa ei huomioida riittävästi keskeisten tietojärjestelmien riippuvuutta yksittäisistä, usein ulkomaisista toimijoista ja suljetuista, oman tietoturva-auditoinnin ulottumattomiin jäämistä ohjelmistoista. Pahimmassa tapauksessa voisi käydä niin, että pääsy omiin dokumentteihimme tai järjestelmiimme olisi katkaistavissa yhden ulkomaalaisen yrityksen päätöksellä ilman ennakkovaroitusta. Tämä pitäisi ottaa huomioon etenkin huoltovarmuutta arvioitaessa. Kaikkien tärkeiden dokumenttien ja ohjelmien osalta tulisikin ottaa vaatimukseksi avointen, standardoitujen ja usean erimaalaisen

toimittajan tukemien formaattien ja protokollien käyttö, ja vaatia aina tärkeimpien ohjelmistojen lähdekoodia itse auditoitavaksi. Muutamia uhkaskenaarioita Seuraavassa on hahmoteltu muutamia uhkaskenaarioita, joiden perusteella voidaan miettiä, kuinka hyvin kyberturvalllisuusstrategia toimii käytännössä. Vaalien sähköistäminen: Mikäli Suomessa siirryttäisiin kokonaan eletroniseen äänestysjärjestelmään, jo kohtuullisilla resursseilla varustettu ulkopuolinen toimija voisi vaikuttaa Suomen vaaleihin tietoteknisten järjestelmien heikkouksien kautta. 2008 kunnallisvaaleissa käytetyn järjestelmän olisi voinut kaapata hyvinkin pieni määrä ihmisiä (jopa ilman yhtään suomalaista salaliittolaista). Suomen vaalijärjestelmän erityispiirteet tekevät ongelmasta vielä paljon pahemman kuin esimerkiksi Yhdysvalloissa GPS-pohjaiset ruuhkamaksujärjestelmät: Kuinka arvokasta vieraan vallan asiamiehille tai terroristeille olisikaan ajantasainen tieto Suomen johtohenkilöiden (poliittisten tai yrityselämän) liikkeistä? Kuten passien kohdalla, lähdetäänkö tässäkin keräämään tietoa varmuuden vuoksi? Vai olisiko parasta toteuttaa järjestelmät siten, että vältytään keräämästä turhaa tietoa vuotoalttiisiin keskusvarastoihin? Sähköiset terveysrekisterit: Pelkästään potilaiden suostumuksen pyytäminen tietojen siirtoon ei auta paljoa, heidän ei voi olettaa pystyvän arvioimaan eri riskien suhdetta -- tiedon nopea saaminen voi olla myös tietyissä tapauksissa kriittinen edellytys oikealle hoidolle. Tietoturva pitäisi rakentaa järjestelmän perusominaisuudeksi ja miettiä samalla, miten esimerkiksi estetään terveydenhuoltojärjestelmän tietojen vaivihkaiseen korruptoimiseen tähtäävät kyberhyökkäykset. Electronic Frontier Finland ry:n puolesta, Ville Oksanen Tutkija, FT (teknologiaoikeus), Aalto Yliopisto.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute