Kyberturvallisuuskeskuksen toimintasuunnitelman liitteet

Kyberturvallisuuskeskuksen toimintasuunnitelman liitteet

Sisällysluettelo Liite 1 - Viestintäviraston strategia 2020... 3 Liite 2 - Kyberturvallisuuskeskus toteuttaa kansallisen kyberturvallisuusstrategian toimeenpano-ohjelmaa... 5 Liite 3 - Kyberturvallisuuskeskuksen organisoituminen... 9 Liite 4 - Kyberturvallisuuskeskuksen toiminnot... 12 Liite 5 - Sidosryhmä- ja yhteistoiminta... 15 Liite 6 - Tietojenkäsittely... 18

Liite 1 - Viestintäviraston strategia 2020 Viestintäviraston yhtenä strategisena tavoitteena on kehittää viestintäverkkojen ja - palvelujen toimintavarmuutta ja turvallisuutta. Yhteiskunnan riippuvuus viestintäverkoista ja -palveluista lisääntyy. Liiketoiminta ja arjen toiminnot tukeutuvat jo nyt laajenevassa määrin viestintäverkkoihin ja internetin palveluihin. Teknisellä ohjauksella ja valvonnalla sekä tietoturvatyöllä on keskeinen merkitys tietoyhteiskuntakehityksessä. Tietoturvatyössä sekä teknisessä ohjauksessa ja valvonnassa on katvealueita. Viestintäverkkojen ja -palvelujen ohjausta ja valvontaa terävöitetään vuorovaikutuksessa teleyritysten ja keskeisten ulkoisten sidosryhmien kanssa. Viestintävirasto tuottaa monipuolisia tietoturvallisuuden viranomaispalveluita kansalaisille, elinkeinoelämälle ja julkishallinnolle. Kyberturvallisuuden tilannekuva ja yhteistyöverkostot Kyberturvallisuuskeskus tuottaa koko yhteiskunnalle riittäviä tietoturvallisuuden toteutumiseen, tietoturvauhkien ja -loukkausten käsittelyyn sekä tietoturvallisuuden tilannekuvaan liittyviä palveluita. Yhteiskunnan kyberturvallisuuden tilannetietoisuus lisääntyy ja Viestintäviraston tilannekuvapalvelut kehittyvät ja monipuolistuvat (2014-2016). Kyberturvallisuuskeskus ylläpitää ja tehostaa olemassa olevien yhteistyöverkostojen toimintaa ja kehittää niiden osaamista. Kyberturvallisuuskeskus hyödyntää muun yhteiskunnan osaamista ja resursseja aktiivisen ja vuorovaikutteisesti toimivan verkoston kautta. Viestintävirasto tunnistaa keskeiset yhteistyökumppanit ja koordinoi alan kansallista ja kansainvälistä yhteistyötä. Valtionhallinnon tietoturvapalvelut Kyberturvallisuuskeskus kehittää julkishallinnon havainnointikykyä siten, että tietoturvauhkien valvontapalvelut tarjotaan myös valtiokonsernille. Valtionhallinnon tarpeisiin muokataan tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä, johon liitetään asteittain valtionhallinnon organisaatioita. Viestintävirasto vahvistaa valtionhallinnon kykyä havainnoida tietoturvaloukkauksia, reagoida poikkeamiin ja hallita tietoturvallisuuden tilannekuvaa. Tieto- ja viestintäjärjestelmien tarkastukset ja hyväksynnät Tietoturvallisuuden parantaminen vaatii merkittäviä lisäpanostuksia julkishallinnossa. Viestintävirasto vastaa omalta osaltaan tietoturvallisuuden parantamisesta tieto- ja viestintäjärjestelmien kansallisten ja kansainvälisten tietoturvavelvoitteiden vaatimuksenmukaisuuden tarkastamisella ja hyväksynnällä yhteistyössä tietoturvallisuuden arviointilaitosten kanssa. Vaatimuksenmukaisuuden tarkastamiseen Viestintävirasto pystyy vastamaan uskottavalla resurssoinnilla. 3

Viestintävirasto terävöittää teknistä ohjausta ja valvontaa Viestintävirasto tarkentaa ja rajaa teknistä ohjausta ja valvontaa viestintäverkkojen ja -palveluiden keskeisten toimintojen turvaamiseksi. Keskeisenä toimenpiteenä on valmistautuminen liikenne- ja viestintäministeriön valmistelemaan Tietoyhteiskuntakaaren voimaantuloon uudistamalla Viestintäviraston tietoturvallisuuden teknisiä määräyksiä. Oikeasuhtainen ja tarkoituksenmukainen sääntely edellyttää kattavan tilannekuvan muodostamista viestintäjärjestelmien tilasta. Uudistamisen yhteydessä arvioidaan myös mahdollisuudet kehittää määräysten jaottelua ja sisältöä vastaamaan paremmin toimialan ja valtionhallinnon muun ohjauksen tarpeisiin. Varautumisen kehittäminen Viestintäviraston häiriötilanteiden yhteistoimintaryhmää kehitetään vuosina 2014-2016, minkä jälkeen yhteistyöryhmän toiminta vakiintuu. Ryhmä parantaa viranomaisten sekä tele- ja sähköalan keskeisimpien toimijoiden välistä operatiivista yhteistoimintaa viestintäverkkojen häiriötilanteissa. Lisäksi Viestintävirasto muodostaa yleiskuvan kriittisten viestintäjärjestelmien teknisestä toteutuksesta. Tietojen avulla voidaan tunnistaa viestintäverkkojen haavoittuvimpia kohtia ja parantaa niiden turvallisuutta Viestintäviraston ohjaustoiminnalla. 4

Liite 2 - Kyberturvallisuuskeskus toteuttaa kansallisen kyberturvallisuusstrategian toimeenpano-ohjelmaa Viestintäviraston Kyberturvallisuuskeskus toteuttaa sitä koskevia kansalliseen toimeenpano-ohjelmaan asetettuja tavoitteita. Kyberturvallisuuskeskus sijoittuu toimeenpano-ohjelmassa tehokkaan ja turvallisen julkishallinnon tehtäväkenttään. Toimeenpano-ohjelman mukaan Kyberturvallisuuskeskus on kansallisella tasolla merkittävä hanke tilannekuvan luomisessa, jonka toteutuksessa tukeudutaan verkostoituneeseen yhteistoimintaan. Kyberturvallisuuskeskus toimii yhteistyössä valtion ympärivuorokautisen tietoturvatoiminnan kehittämishankkeen kanssa. Tilannekuvahankkeissa on toimeenpano-ohjelman mukaan varmistuttava työnjaon selkeydestä ja analyysija reagointikyvystä. Tähän osioon on kerätty toimeenpano-ohjelman keskeiset kohdat ja ne on viety keskuksen toimintasuunnitelmaan. #37 - Kyberturvallisuuskeskus "Viestintävirastoon on perustettu kyberturvallisuuskeskus vahventamaan kansallisen tietoturvaviranomaisen tehtävien hoitamista. Keskus kerää tietoa kyberturvallisuustilanteesta, tukee eri hallinnonaloja ja toimijoita arvioimaan ilmiöiden yhteiskunnallisia vaikutuksia sekä jakaa analysoitua kyberturvallisuuden tilannekuvaa. Kukin hallinnonala vastaa kyberturvallisuuden ilmiöiden toimialallaan aiheuttamien häiriötilanteiden edellyttämistä toimenpiteistä ja toimialaansa koskevien häiriöiden raportoinnista. Keskus tukee toimijoita laajojen kyberhäiriötilanteiden hallinnassa. Kyberturvallisuuskeskuksen tueksi kootaan laaja ja kaksisuuntaiseen tiedonvaihtoon perustuva yhteistyöverkosto. Kyberturvallisuuskeskuksen muuta yhteiskuntaa tukevien toimintojen tehokkuus on täysin riippuvainen siitä, että eri toimialojen julkishallinnollisiin ja yksityisiin organisaatioihin syntyy riittävä kyky hyödyntää kyberturvallisuuden tilannekuvaa arvioitaessa vaikutuksia kokonaisturvallisuuteen ja yhteiskunnan elintärkeille toiminnoille sekä reagoitaessa havaittuihin tietoturvaloukkauksiin tai tietoturvauhkiin." Kuva 1. Kyberturvallisuuskeskuksen toiminta 5

#39 - CERT-toiminnon kehittäminen "Kyberturvallisuuskeskus kehittää CERT-toiminnon analyysi- ja raportointikyvykkyyksiä prosessuaalisesti ja teknisesti siten, että tietoturvauhkien analyysiä ja raportointia kyetään paremmin kohdentamaan eri toimijoiden tarpeisiin (eri toimialat). Tavoitteena on kehittää kriittisen infrastruktuurin toimijoiden kyberturvallisuuden tilannetietoisuutta ja -ymmärrystä. CERT-toiminnon kehittämisessä tarkastellaan tarve ICS-CERT (The Industrial Control Systems CERT) toiminnon kehittämiselle. " Kuva 2. Tiedon analysointi osana CERT-toimintoa. #32 - Valtion ympärivuorokautisen tietoturvatoiminnon kehittämishanke "Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishankkeessa (SecICT) kehitetään ympärivuorokautista valtion keskeisiin toimintoihin kohdistuvien vakavien sekä laajavaikutteisten tietoturvapoikkeamien ennaltaehkäisyä ja hallintaa, valtion toiminnan kannalta keskeisen valtionhallinnon tieto- ja kyberturvallisuuden tilannekuvan hallintaa valtionhallinnolle tuotettavien ICT -palveluiden tietoturvallisuuden valvontaa ja tietoturvallisuuden ohjausta. Näihin tehtäviin perustetaan valtiovarainministeriön alaisuuteen uusi viranomaistoiminto, valtion ympärivuorokautinen tietoturvatoiminto. Valtion ympärivuorokautinen tietoturvatoiminto kerää, analysoi ja jakaa järjestelmistä, sisäverkosta sekä muista lähteistä saatavaa tilannetietoa ja tilannekuvaa käytettäväksi eri tarpeisiin. Valtionhallinnon ympärivuorokautinen tietoturvatoiminnon tuottamaa valtionhallinnon tieto- ja kyberturvallisuuden tilannekuvaa koostetaan, analysoidaan ja jaetaan hallitusti yhteistyötahoille. Julkisen verkon ja sisäverkon rajapinnan suojaamiseksi käytetään useita järjestelyjä, joista Kyberturvallisuuskeskus tuottaa GovCERT- ja GovHAVARO-palveluja tukipalveluiksi valtion ympärivuorokautiselle tietoturvatoiminnolle. GovCERT- ja GovHAVAROpalveluiden havaitsemien tietoturvaloukkausepäilyjen koordinoinnista vastaa valtion ympärivuorokautinen tietoturvatoiminto. Valtion ympärivuorokautinen tietoturvatoiminto on suunniteltu perustettavaksi 2015-2016". 6

#35 - Havaro-verkoston laajentaminen ja toiminnan kehittäminen "HAVARO on Viestintäviraston tuottama ja Huoltovarmuuskeskuksen rahoittama järjestelmä, jonka tarkoitus on kehittää huoltovarmuuskriittisten organisaatioiden kykyä varautua tietoturvauhkiin. Järjestelmä tuottaa havaintoja ja varoituksia tietoturvauhkista. Järjestelmää laajennetaan kattamaan keskeisimpiä kriittisen infrastruktuurin osa-alueita tarvemukaisella otannalla vuoden 2014 aikana. Valtionhallinnon julkisen verkon ja sisäverkon rajapinnan suojaamiseksi käytetään useita järjestelyjä, joista Kyberturvallisuuskeskus tuottaa GovCERT- ja GovHAVAROpalveluja tukipalveluiksi valtion ympärivuorokautiselle tietoturvatoiminnolle. Gov- CERT- ja GovHAVARO-palveluiden havaitsemien tietoturvaloukkausepäilyjen koordinoinnista vastaa valtion ympärivuorokautinen tietoturvatoiminto." #17 - Yhteistoimintamallin harjoittelu liikenne- ja viestintäministeriössä "Liikenne- ja viestintäministeriön hallinnonala järjestää, koordinoi ja harjoittaa sellaista harjoitustoimintaa, joka parantaa mm. eri toimijoiden kykyä ylläpitää toimintojaan ja harjoittaa kriisiviestintää sähköisten tieto- ja viestintäjärjestelmien häiriötilanteissa." #70 - Selvitys tietoliikenneyhteyksien varmistamisesta "Alan toimijat pyrkivät varmistamaan häiriötilanteiden tietoliikenneyhteydet solmimalla sopimuksia useamman operaattorin kanssa. Käytännössä yhteyksien luotettava varmistaminen on kuitenkin joissain tilanteissa vaikeaa. Toimenpiteen tarkoituksena on luoda konkreettinen toimintamalli sellaista tilannetta varten, jossa kansainvälisen tietoliikenteen kapasiteetti supistuu voimakkaasti ja eri käyttäjien tai käyttäjäryhmien tarpeita joudutaan priorisoimaan, mutta valmiuslain soveltamisen edellytykset eivät vielä täyty." #15 - Kansallisen kryptolaboratorion perustaminen "Hankkeessa kehitetään kansallista salausteknistä osaamista. Tavoitteena on, että Suomi on kryptologian osaamisessa samalla tasolla kuin muut eurooppalaiset valtiot. Kehittämisen kulmakiveksi perustetaan kansallinen kryptolaboratorio, joka toimii kryptologian osaamiskeskuksena verkottamalla kansalliset toimijat viranomaiskentässä, yksityisellä sektorilla sekä tiedeyhteisössä. Kryptolaboratorioon luodaan tekninen ympäristö, jossa kehitetään osaamista ja suorituskykyä salausteknisten ratkaisuiden ja tuotteiden testaamiseksi ja niiden vahvuuden verifioimiseksi. Kryptolaboratorio tukee muita viranomaisia, esimerkiksi Viestintäviraston NCSA-FI-toimintoa, salausratkaisuiden evaluoinnissa tarjoamalla käytännön tason testaus- ja verifiointipalveluita. Kryptolaboratorio tekee lisäksi yhteistyötä tiedeyhteisön kanssa tukemalla kryptologian tutkimustyötä sekä tarjoamalla teknisen laboratorioympäristön resursseja tutkimuskäyttöön. " 7

#24 - Kansallinen kuriiritoiminta "Valtion kuriiritoiminta järjestetään siten, että salassa pidettävä aineisto voidaan kuljettaa kansainvälisten ja kansallisten sääntöjen mukaisesti, turvallisesti ja oikeaaikaisesti. Tällä hetkellä eri hallinnonalojen toimintatavoissa turvallisuusluokitellun materiaalin ja salausavainten kuljettamisessa on eroja ja ohjeistuksessa päivittämisen tarvetta. Ulkomaille suuntautuvan henkilökuriiritarpeen kattamiseksi perustetaan kansallinen henkilökuriiripooli, johon osallistuu valmiuspohjalta ja oman toimen ohella yhteensä noin 35-40 valtionhallinnon virkamiestä, jotka koulutetaan kuriiritehtävään. He tulevat etupäässä ulkoasiainministeriöstä, puolustushallinnosta, sisäasiainhallinnosta ja Viestintävirastosta. " #16 - Kansallisen turvallisuusviranomaisen antama koulutus viranomaisille "Kansallinen turvallisuusviranomainen (NSA) antaa koulutusta kansainvälisiin tietoturvavelvoitteisiin liittyvistä toimenpiteistä kuten asiakirjojen käsittelystä ja yhteistyössä henkilöturvallisuusselvityksiä laativien toimivaltaisten viranomaisten kanssa henkilöturvallisuusselvityksen ja -todistuksen (PSC) hakumenettelystä. Ensisijaisesti koulutusta annetaan ministeriöille ja näiden alaisille virastoille, jotka säännönmukaisesti käsittelevät kansainvälisiä turvallisuusluokiteltuja tietoja. " 8

Liite 3 - Kyberturvallisuuskeskuksen organisoituminen Organisoituminen Kyberturvallisuuskeskus sijaitsee Viestintävirastossa omana toimialanaan. Muita Viestintäviraston ulkoisia toimialoja ovat Asiakkuudet, Markkinat ja Taajuushallinto. Kuva 3. Viestintäviraston organisaatio Kyberturvallisuuskeskus jakaantuu neljään ryhmään: Tilannekeskus, Tilannekuvapalvelut, Turvallisuussääntely ja Tarkastukset ja hyväksynnät. Kyberturvallisuuskeskusta johtaa keskuksen johtaja. Kuvassa 4 on esitetty Kyberturvallisuuskeskuksen organisaatio. Kuva 4. Kyberturvallisuuskeskuksen organisaatio Kyberturvallisuuskeskus koostuu yhteensä noin 45 henkilöstä ja vuosien 2014 ja 2015 aikana kokonaishenkilömäärä kasvaa noin 60:een. 9

Tulosohjaus Viestintäviraston tulosohjauksesta vastaa liikenne- ja viestintäministeriö. Ministeriön ja Viestintäviraston välinen tulossopimus laaditaan aina kahdeksi vuodeksi kerrallaan ja sitä tarkastetaan vuosittain toimintaympäristön muutoksia vastaavaksi. Viestintävirasto raportoi toiminnasta ministeriölle puolivuotisraportein. Kyberturvallisuuskeskuksen NCSA-toiminnon ohjaavana tahona toimii ulkoasiainministeriö, joka koordinoi määrättyjen kansallisten turvallisuusviranomaisten toimintaa. Liikenne- ja viestintäministeriön asettaman kyberturvallisuuden työryhmän tehtävänä on tukea liikenne- ja viestintäministeriötä Kyberturvallisuuskeskuksen toiminnan ja tulosohjauksen kehittämisessä sekä harjoittaa asiantuntijoiden yhteistoimintaa kyberturvallisuuden alalla. Työryhmä koostuu 50 julkisen hallinnon ja yksityissektorin toimijasta Viestintävirasto mukaan lukien. Kyberturvallisuuskeskus tuottaa sopimusperusteisia palveluita Huoltovarmuuskeskuksen ja valtiovarainministeriön kanssa solmittujen sopimusten mukaisesti. Sopimusperusteista toimintaa ja sen kehittämistä tarkastellaan tasaisin väliajoin kummankin sopimuskumppanin kanssa. Lisäksi Viestintävirasto ottaa toiminnassaan ja sen kehittämisessä huomioon kyberturvallisuusstrategian ja sen toimeenpano-ohjelman sekä valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) linjaukset. Asiakaskunta ja rahoitusmalli Kyberturvallisuuskeskuksen pääasiakkaita ovat Suomessa sijaitsevat teleyritykset, huoltovarmuuskriittiset toimijat sekä valtionhallinto ja sen toimijat. Pääasiakkaat maksavat palveluista joko vero- tai maksuluonteisesti tai sopimusperusteisesti. Lisäksi Kyberturvallisuuskeskus palvelee kuluttajia, kansalaisia, yhteisöjä ja suomalaisia yrityksiä yleisten palveluiden muodossa, joihin kuuluvat yleiset tilannekuvatiedotteet, ohjeet ja raportit. Kyberturvallisuuskeskuksen toiminta rahoitetaan neljästä eri päälähteestä, jotka ovat valtion budjettirahoitus, teleyrityksiltä perittävä tietoturvamaksu sekä sopimukset Huoltovarmuuskeskuksen ja valtiovarainministeriön kanssa. Lisäksi Kyberturvallisuuskeskus perii liikenne- ja viestintäministeriön maksuasetuksen mukaisesti suoriteperusteisia maksuja, joita ovat esimerkiksi järjestelmätarkastuksista, -akkreditoinneista, tuote-evaluoinneista ja salaustuotehyväksynnöistä perittävät maksut. Valtion budjettirahoitus Kyberturvallisuuskeskuksen valtion budjettirahoitus on vuosina 2014 ja 2015 suuruudeltaan 2,7 miljoonaa euroa vuodessa ja vuodesta 2016 eteenpäin 3,2 miljoonaa euroa vuodessa. Tämä koostuu NCSA-toiminnon rahoituksesta, jonka asiakkaita ovat muun muassa ne valtionhallinnon toimijat jotka käyttävät luokiteltua tietoa sisältäviä tietojärjestelmiä. Lisäksi budjettirahoitus koostuu Kyberturvallisuuskeskuksen perustamisen myötä laajenevaan toimintaan kohdennetulla lisärahoituksella, jonka arvo on 1 miljoona euroa vuonna 2014 ja 1,5 miljoonaa euroa vuodesta 2015 alkaen. 10

Sopimus Huoltovarmuuskeskuksen kanssa Kyberturvallisuuskeskuksen rahoituksesta merkittävä osa on vuodesta 2007 lähtien katettu Huoltovarmuuskeskuksen ja Viestintäviraston välisellä sopimuksella. Sopimuksella suunnataan Viestintäviraston CERT-palveluja Suomeen sijoittuneen huoltovarmuuskriittisen elinkeinoelämän hyväksi. Huoltovarmuuskeskuksen huomattava ja pitkäjänteinen rooli CERT-toiminnon rahoittajana on keskeisellä tavalla turvannut tieto- ja kyberturvallisuuden tilannekuvapalvelujen tuottamisen ja kehittämisen Viestintävirastossa. Tällä hetkellä voimassa olevan sopimuksen arvo on noin 2 miljoonaa euroa. Teleyrityksiltä perittävä tietoturvamaksu Osa Kyberturvallisuuskeskuksen toiminnoista katetaan teleyrityksiltä perittävällä veroluonteisella tietoturvamaksulla, joka perustuu sähköisen viestinnän tietosuojalakiin. Tietoturvamaksujen tarkoituksena on vastata niitä kokonaiskustannuksia, jotka aiheutuvat Viestintävirastolle sähköisen viestinnän tietosuojalaissa säädettyjen teleyrityksiä koskevien tehtävien hoitamisesta. Maksujen suuruus perustuu teleyritysten liikevaihtoon ja nykyisellään tietoturvamaksujen kokonaissuuruus on vajaa 0,5 miljoonaa euroa vuodessa. Sopimus valtiovarainministeriön kanssa Kyberturvallisuuskeskuksen saaman lisäbudjettirahoituksen ohella Viestintäviraston toimintaa vahvistetaan valtionhallintoon kohdistuvien tietoturvaloukkausten ja tietoturvauhkien käsittelyä tukevien GovCERT-tehtävien muodossa. Vuodeksi 2014 laaditun sopimuksen arvo on 1,1 miljoonaa euroa ja se katetaan valtiovarainministeriölle osoitettavalla SecICT-hankkeen budjettirahoituksella. Vuoden 2015 ja sen jälkeisestä rahoituksesta ei ole päätöstä. Rahoitustilanteen epäselvyys osaltaan vaikeuttaa Viestintäviraston valtionhallinnolle tuottamien tietoturvapalveluiden pitkäjänteistä kehittämistä. Lakiperusta Kyberturvallisuuskeskuksen tehtävät ja vastuut on määritelty pääosin sähköisen viestinnän tietosuojalaissa, kansainvälisistä tietoturvavelvoitteista annetussa laissa sekä laissa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista. Lakien mukaan Viestintäviraston tehtävänä on kerätä tietoa ja selvittää yleisen viestintäverkon verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia sekä tiedottaa tietoturva-asioista. Lisäksi Kyberturvallisuuskeskus vastaa erityissuojattavan sekä turvaluokitellun aineiston tiedonsiirtoon ja -käsittelyyn liittyvistä turvallisuusasioista sekä suorittaa viranomaisten tietojärjestelmän tai tietoliikennejärjestelyjen tietoturvallisuuden vaatimuksenmukaisuuden arviointia ja hyväksymistä. Lisäksi viestintämarkkinalaissa määrätään teleyritysten varautumiseen ja vika- ja häiriötilanteisiin liittyvistä asioista. Tietojärjestelmätarkastuksia tekevien laitosten toiminnasta säädetään laissa tietoturvallisuuden arviointilaitoksista. 11

Liite 4 - Kyberturvallisuuskeskuksen toiminnot Turvallisuussääntely Kyberturvallisuuskeskus valvoo ja ohjaa teleyrityksiä sekä neuvoo asiakkaita yksityisyyden suojaan liittyvissä kysymyksissä. Turvallisuussääntelyn tarkoituksena on taata ajantasainen ja oikeasuhtainen regulaatio sekä tehokas valvonta. Yhtenä osana toimintaa on edesauttaa yhteistyötä teleyritysten vika- ja häiriötilanteiden varalle, mihin liittyy olennaisena osana teleyritysten, sähköyhtiöiden ja - urakoitsijoiden välinen yhteistoiminta. Tätä toimintaa varten Viestintävirasto on perustanut häiriötilanteiden yhteistoimintaryhmän. Viranomaispuolelta ryhmän jäseninä Viestintäviraston lisäksi ovat Ilmatieteen laitos, Huoltovarmuuskeskus, sisäasiainministeriön pelastusosasto sekä Hätäkeskuslaitos. Tietoturvallisuuden arviointilaitosten hyväksyminen on olennainen osa turvallisuussääntelyn toimintaa. Viestintävirasto ohjaa ja valvoo tietoturvallisuuden arviointilaitoksia, jotka tarjoavat viranomaisille ja yrityksille luotettavaa ja puolueetonta tietoturvallisuuden arviointipalvelua. Tulevaisuudessa arviointilaitosten merkitys korostuu entisestään, sillä kesäkuun 2015 alusta viranomaiset voivat käyttää tietojärjestelmiensä tietoturvallisuuden arvioinnissa ainoastaan Viestintäviraston tai sen hyväksymän arviointilaitoksen arviointipalveluja. Viestintäviraston tehtävänä on hyväksyä tietoturvallisuuden arviointilaitokset ja ohjata ja valvoa niiden toimintaa. Lisäksi turvallisuussääntelyn tehtävänä on huolehtia valvottavien toiminnan vaatimuksenmukaisuudesta. Viestintäviraston eri toiminnot (mm. turvallisuussääntely ja NCSAtoiminto) voivat tehdä teknisiä tarkastuksia teleyritysten ja viranomaisverkon toimintaan, tehdä tietoturvallisuuteen liittyviä turvallisuustarkastuksia, tarkastaa radiolupia ja selvittää radiohäiriötä sekä tehdä tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua koskevia tarkastuksia. Lisäksi turvallisuussääntelyn tehtävänä on vastata kansainvälisiin tietoturvavelvoitteisiin liittyvistä laintulkinnoista sekä kansainvälisiin tietoturvayhteistyöhön liittyvistä tehtävistä ja telekuunteluun ja -valvontaan liittyvästä valvonnasta. Viestintävirasto valvoo myös, että vahvaa sähköistä tunnistusta tarjoavat palveluntarjoajat ja laatuvarmentajat noudattavat niille laissa asetettuja velvollisuuksia. CERT-toiminto Kyberturvallisuuskeskuksen CERT-toiminnon tehtävänä on selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia, kerätä tietoa tietoturvatapahtumista ja tiedottaa tietoturva-asioista yleensä. CERT-toiminnassa saatua tietoa hyödynnetään osana tilannekuvatuotantoa. Tilannekuvatuotannon seurauksena poikkeamanhallintaan saadaan laajempaa näkemystä analyysin tueksi. Kyberturvallisuuskeskuksen CERT-toiminta koostuu kolmesta vaiheesta: 1) tiedon keräys, 2) tiedon analysoiminen ja 3) poikkeamanhallinta 12

Näiden vaiheiden lisäksi CERT-toimintaan liittyy yleisesti olennaisena osana tilannekuvatuotanto, jota tässä dokumentissa käsitellään omana kohtana kohdassa 0 Tilannekuva. Kyberturvallisuuskeskuksen CERT-toimintoa kehitetään siten, että tietoturvauhkien analyysiä ja raportointia kyetään paremmin kohdentamaan eri toimijoiden ja toimialojen tarpeisiin. Tavoitteena on kehittää kriittisen infrastruktuurin toimijoiden kyberturvallisuuden tilannetietoisuutta ja -ymmärrystä. NCSA-toiminto Kyberturvallisuuskeskuksen NCSA-toiminto on osa Suomen turvallisuusviranomaisorganisaatiota ja se vastaa turvaluokitellun aineiston sähköiseen tiedonsiirtoon ja - käsittelyyn liittyvistä turvallisuusasioista sekä arvioi viranomaisten tietoliikennejärjestelyiden vaatimuksenmukaisuutta. NCSA-toimintoon sisältyy kansalliseen tietoturvallisuustoimintaan liittyvä ohjeistus- ja sopimusvalmistelu sekä kansainvälisen turvaluokitellun tietoaineiston käsittelemiseen liittyvän ohjeistuksen laadinta. Isona osana toimintoa on kansainvälisten turvaluokiteltua tietoa käsittelevien tietojärjestelmien arviointi ja hyväksyntä, jota kutsutaan SAAtoiminnaksi (SAA System Accreditation Authority). SAA-menettelyn piiriin kuuluvat valtionhallinnon järjestelmät niiltä osin, kun ne liittyvät kansainvälisten tietoturvallisuusvelvoitteiden täyttämiseen, sekä sellaiset kansainvälisiin tarjouskilpailuihin osallistuvien yritysten järjestelmät, joilta edellytetään kansallisen tietoturvaviranomaisen hyväksyntää. Lisäksi NCSA arvioi viranomaisten määräämisvallassa olevien tai hankittavaksi suunnittelemien tai valtionvarainministeriön pyynnöstä tietojärjestelmien tai tietoliikennejärjestelyiden yleisen tietoturvallisuuden tasoa. NCSA vastaa salausteknisen aineiston jakeluverkon hallinnoinnista ja kirjanpidosta. Lisäksi vastuulle kuuluu salausteknisen aineiston turvalliseen käsittelyyn liittyvän ohjeistuksen laadinta (CDA Crypto Distribution Authority). Kansainvälisen turvaluokitellun tiedon suojaamiseksi Suomessa tarkoitettujen salaustuotteiden evaluointi ja hyväksyntä kuuluu myös tehtäviin (CAA Crypto Approval Authority). Lisäksi NCSA vastaa sähkömagneettisen hajasäteilyn turvallisuuteen liittyvästä koordinoinnista ja ohjeistuksesta (NTA National TEMPEST Authority). Lisäksi NCSA-toiminto tekee vaatimuksenmukaisuuteen liittyviä tarkastuksia Kyberturvallisuuskeskuksen turvallisääntelyn ja muun Viestintäviraston kanssa. Tilannekuvatuotanto Tilannekuvatuotannon seurauksena Kyberturvallisuuskeskukselle muodostuu kattava kuva Suomen kyberturvallisuuden tilanteesta. Eri vaiheissa ja yhteyksissä kerätty tieto analysoidaan ja jalostetaan osaksi laajempaa kokonaisuutta, jota hyödynnetään tarkoituksenmukaisella tavalla ja jakelulla. Jakelussa otetaan tarkasti huomioon yksityisyys ja luottamuksellisuus tietojenkäsittelyssä. Tilannekuvatuotannossa yhdistetään eri lähteistä saatuja tietoja, tunnistetaan yhteneväisiä tapauksia ja tutkitaan, onko historiatiedoissa kyseiseen tapaukseen liittyviä tietoja. Analysoidun tiedon pohjalta valmistellaan tilannekuvatiedotteet, raportit, katsaukset ja ohjeet tilanteen ja tapauksen mukaisella jakelulla. Tilannekuvatuotannon tärkeänä osana on poikkeamanhallinnan kautta tulleet tietoturvaloukkausilmoitukset asianosaiselta tai sivulliselta. Lisäksi NCSA-toiminnon ja turvallisuussääntelyn ohessa saadaan arvokasta tietoa kattavamman kansallisen tilannekuvan luomiseksi. 13

Tilannekuvatuotteiden jakelussa hyödynnetään niin vakiomuotoisia tilannekuvatuotteita ja -tiedotteita kuin tapauskohtaisia jakeluita. Julkaistuista tilannekuvatuotteista kehotetaan antamaan kommentteja ja palautetta, jotta Kyberturvallisuuskeskukselle muodostuu laajempi näkemys tapauksista. Virka-ajan ulkopuolinen toiminta Tietoturvauhkiin ja -poikkeamiin reagoimiseksi on tärkeätä, että Kyberturvallisuuskeskuksella on toimintavalmiudet myös virka-ajan ulkopuolella. Tietoturvaloukkausten käsittelyä varten on Viestintävirastolla ollut jo vuosien ajan käytössään varallaoloon perustuva 24/7-päivystys. Vuosien varrella päivystystä on kehitetty kattamaan myös muita tehtäviä. Päivystys mahdollistaa tietoturvapoikkeamien havainnoinnin ja käsittelyn sekä muihin tapahtumiin ja uhkiin reagoimisen ympärivuorokautisesti. Pääasiakkailla on tarvittavat yhteydenottomenetelmät päivystäjän tavoittamiseksi virka-ajan ulkopuolella, mikäli vakavia uhkatilanteita ja poikkeamia ilmenee. Kyberturvallisuuskeskuksen päivystystiimi koostuu kahdesta päivystäjästä ja yhdestä tilannekuvakoordinaattorista. Päivystäjien päivystysvuoro kestää viikon kerrallaan ja tilannekuvakoordinaattorin neljä viikkoa. Päivystäjät vastaavat poikkeamanhallinnasta, pikatilannekuvatiedotteista sekä HAVARO-herätteiden käsittelystä. Tilannekuvakoordinaattorin vastuulla on ylläpitää ajantasaista tilannekuvatietoa viestintäverkkojen ja tietoturvan tilanteesta sekä koostaa laajempia raportteja. Osana Kyberturvallisuuskeskuksen suunnittelua Viestintävirasto kartoitti tärkeimmiltä sidosryhmiltään kokemuksia nykyisestä 24/7-päivystysmallista sekä sen toimivuudesta. Yli 50 organisaation viesti oli yhteneväinen: nykyinen varallaoloon perustuva päivystysmalli toimii hyvin ja se koetaan riittäväksi, kunhan valmiustilan nosto tarpeen tullen on mahdollista. Lisäksi Viestintävirasto selvitti samoilta organisaatioilta heidän valmiuksiaan vastaanottaa ilmoituksia ja raportteja vuorokauden ympäri. Toimijoiden valmiudet vaihtelevat suuresti, ja haasteena ovat organisaatioiden omien sisäisten prosessien käynnistäminen tiedon vastaanottamisen jälkeen. Viestintävirastossa on selvitetty myös muiden päivystysmallien ja vaihtoehtojen vaatimia resursseja tulevaisuutta ajatellen. Selvityksessä ovat olleet aktiivisen päivystysajan laajentaminen sekä ympärivuorokautinen valvomotoiminta. Nykyinen varallaolomenettely koetaan riittäväksi lähitulevaisuudessa. Uhkakentän ja asiakastarpeiden muuttuessa päivystystä on mahdollista tarkastaa uudestaan. 14

Liite 5 - Sidosryhmä- ja yhteistoiminta Toimiva sidosryhmä- ja yhteistoiminta niin valtionhallinnon kuin elinkeinoelämän kanssa on Kyberturvallisuuskeskuksen toimintaedellytys niin poikkeamanhallinnassa, tilannekuvatuotannossa kuin toiminnan kehittämisessä. Jotta verkostoista saadaan tarvittava lisäarvo, on niiden toiminnan ja tiedonvaihdon oltava aidosti vuorovaikutteista ja kaksisuuntaista. Verkostojen jäsenet voivat organisaationsa luonteesta riippuen tarjota verkoston hyväksi asiantuntemustaan, analyysiresursseja, tietolähteitä tai omia verkostojaan ja kansainvälisiä yhteyksiä. Viestintävirastolla on olemassa olevat yhteistyökanavat moneen eri tarkoitukseen, joiden pohjalta verkostoja kehitetään. Lisäksi kyberturvallisuusstrategian toimeenpano-ohjelmassa on linjauksia uusista yhteistoimintamuodoista. Tässä osiossa esitellään Kyberturvallisuuskeskuksen tärkeimpiä kotimaisia ja kansainvälisiä sidos- ja yhteistyöryhmiä. Valtionhallinto Valtiovarainministeriö on asettanut Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) julkisen hallinnon tietoturvallisuuden kehittämisen, ohjauksen ja yhteistyön elimeksi. VAHTI käsittelee julkisen hallinnon tieto- ja kyberturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tieto- ja kyberturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietoturvatoimenpiteitä. Viestintäviraston edustajat VAHTI:n laajennettuun kokoonpanoon ja sihteeristöön on nimetty Kyberturvallisuuskeskuksesta. CERT-VTR Viranomaisille suunnattu CERT-viranomaistyöryhmä (CERT-VTR) koostuu turvallisuusviranomaisten ja tärkeimpien viranomaiskumppaneiden edustajista. Ryhmä pitää viikoittain operatiivisia tiedonvaihtopalavereita ja säännöllisiä tapaamisia ajankohtaisten asioiden yhteydessä. Viestintävirasto toimii ryhmän koollekutsujana ja puheenjohtajana. Valtioneuvoston tilannekeskus Valtioneuvoston tilannekeskuksen tehtävänä on kokonaisturvallisuuden tilannekuvan välittäminen ylimmälle valtiojohdolle ja valtioneuvostolle. Kyberturvallisuuden tilannekuva sisältyy kokonaisturvallisuuden tilannekuvaan. Kyberturvallisuuskeskus ja valtioneuvoston tilannekeskus tekevät päivittäin yhteistyötä tilannekuvatuotannon osalta, ja valtioneuvoston tilannekeskus koordinoi luotettavan ja eheän tiedonvälityksen Kyberturvallisuuskeskuksen kanssa valtion johdon päätöksenteon tueksi. Liikenne- ja viestintäministeriön kyberturvallisuustyöryhmä Liikenne- ja viestintäministeriön asettama laajapohjainen kyberturvallisuustyöryhmä tukee liikenne- ja viestintäministeriötä Kyberturvallisuuskeskuksen toiminnan ja tulosohjauksen kehittämisessä sekä harjoittaa asiantuntijoiden yhteistoimintaa kyberturvallisuuden alalla. Kyberturvallisuustyöryhmä muun muassa arvioi Kyberturvallisuuskeskuksen kykyä tukea tieto- ja viestintäjärjestelmäalan palvelun 15

tuottajien toimintaedellytyksiä sekä lainsäädännön tehokkuutta sähköisten tietoja viestintäjärjestelmien häiriötilanteissa. Kansallinen turvallisuusviranomaistoiminta (NSA) Kyberturvallisuuskeskuksen NCSA-toiminta on osa ulkoasiainministeriön johtamaa kansallista turvallisuusviranomaisorganisaatiota. Organisaatioon kuuluu ulkoasianministeriön ja Viestintäviraston lisäksi puolustusministeriö, Pääesikunta sekä Suojelupoliisi. Elinkeinoelämä CERT-työryhmä Työryhmässä ovat mukana muun muassa huoltovarmuuskriittisten organisaatioiden ja teleyritysten edustajia. Työryhmän tehtävänä on vaihtaa tietoa tietoturvaloukkauksiin liittyen sekä tuottaa ehdotuksia Viestintäviraston Kyberturvallisuuskeskuksen tietoturvatapausten käsittelyn ja tilannekuvatuotannon kehittämiseksi. Toimialakohtaiset yhteistyöryhmät Viestintävirastolla on lukuisia toimiala- ja asiakkuuskohtaisia tiedonvaihtoverkostoja tietoturvatoimintaan liittyen. Verkostoja on esimerkiksi teleyrityksille, pankkija vakuutusyhtiöille, energiayrityksille, logistiikalle ja teollisuusyrityksille. Verkostojen toiminnan taso pohjautuu voimakkaasti sen jäsenten aktiivisuuteen. Häiriötilanteiden yhteistoimintaryhmä Viestintävirasto on perustanut häiriötilanteiden yhteistoimintaryhmän, jonka tehtävänä on avustaa Viestintävirastoa häiriötilanteiden hallinnassa sekä sovittaa yhteen yhteiskuntaa kohtaavien häiriötilanteiden hallintatoimenpiteitä. Häiriötilanteiden yhteistoimintaryhmän jäsenet koostuvat viranomaisten, teleyritysten ja sähköyritysten edustajista. Kansainvälinen yhteistyö Kyberturvallisuuskeskus tekee laaja-alaista kansainvälistä yhteistyötä. Yhteistyön laajuus vaihtelee kahdenkeskisestä yhteistyöstä aina globaaleihin yhteistyöryhmiin. Eurooppalainen yhteistyö Kyberturvallisuuskeskus tekee myös monitahoista eurooppalaista yhteistyötä. Operatiivisen toiminnan kannalta tärkeimmät yhteistyöryhmittymät ovat pohjoismainen CERT-yhteistyö sekä Euroopan valtionhallinnon CERT-toimijoiden muodostama EGC (European Government CERTs). Molempien ryhmittymien kanssa harjoitetaan päivittäistä operatiivista yhteistyötä ja ryhmät kokoontuvat säännöllisesti 4-6 kertaa vuodessa. Terena TF-CSIRT ja sen yhteydessä toimiva Trusted Introducer -palvelu kokoavat yhteen laaja-alaisesti eri sektorien eurooppalaisia CERT-toimijoita. Ryhmittymien toiminnan lähtökohtana on tarjota jäsenille mahdollisuus vaihtaa kokemuksia, ammattitaitoa, tietoa ja yhteystietoja luottamuksellisessa ympäristössä. Lisäksi Terena järjestää hyödyllisiä koulutuksia CERT-toimintaan liittyen. 16

Kyberturvallisuuskeskus osallistuu aktiivisesti myös eurooppalaisten regulaattoreiden väliseen yhteistyöhön sekä pohjoismaisella että eurooppalaisella tasolla. Yhteistyötä tehdään muun muassa varautumiseen, hätäliikenteeseen, NCSAtoimintaan sekä vahvoihin sähköisiin allekirjoituksiin ja sähköiseen tunnistamiseen liittyen. Yhteistyön tavoitteena on vaihtaa tietoa ajankohtaisista ilmiöistä, jakaa kokemuksia erilaisten ratkaisujen ja toimintamallien toimivuudesta sekä tukea regulaattoreiden säädösvalmistelua. Maailmanlaajuinen yhteistyö Maailmanlaajuisia yhteistyöryhmiä on useita ja niiden toiminnan painopiste vaihtelee. Suurin tietoturvaloukkauksia käsittelevien toimijoiden globaali yhteenliittymä, FIRST (Forum of Incident Response and Security Teams), ylläpitää CERT- ja muun tietoturvayhteisön kontaktilistaa, joka on kaikkien jäsenten käytettävissä. Lisäksi FIRST tarjoaa keskustelufoorumeita niin operatiivisten kuin hallinnollisten asioiden hoitamiseen. IWWN (International Watch and Warning Network) on vuonna 2004 perustettu verkosto, jonka missiona on parantaa kansainvälistä yhteistyötä kyberuhkien, hyökkäysten ja haavoittuvuuksien osalta. Verkosto tarjoaa jäsenmaille tiedonvaihtoalustan, globaalin kybertilannekuvan sekä menetelmiä tietoturvaloukkausten käsittelyyn. Lisäksi Viestintävirasto on mukana Meridian-yhteistyössä, jonka tarkoituksena on mahdollistaa tiedonjako valtiollisten CIIP-toimijoiden välillä sekä parantaa yhteistyötä. Kyberturvallisuuskeskus on Suomen edustajana kansainvälisiin tuotehyväksyntöihin liittyvissä CCRA- ja SOGIS-järjestelyissä, jotka perustuvat eri maiden vastavuoroiseen tunnistamiseen tuotesertifioinneissa. Lisäksi Kyberturvallisuuskeskus toimii yhtenä maailmanlaajuisena haavoittuvuuskoordinoijana. Haavoittuvuuskoordinoinnin tarkoituksena on toimia luotettuna välittäjänä haavoittuvuuksien löytäjien, haavoittuvuuden vaikutuspiirissä olevien ohjelmistovalmistajien ja suuren yleisön välillä. Kyberturvallisuuskeskuksen tavoitteena on vähentää ohjelmistohaavoittuvuuksien haittavaikutuksia tai poistaa ne täysin. Toimet on tasapainotettava ohjelmistovalmistajien prosessien ja loppukäyttäjien tietoturvatarpeiden välillä. 17

Liite 6 - Tietojenkäsittely Kyberturvallisuuskeskuksen perustamisella ei ole vaikutusta Viestintäviraston oikeuksiin käsitellä tietoja. Tietoja käsitellään myös jatkossa sähköisen viestinnän tietosuojalain (516/2004), viranomaisen toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) ja kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) mukaisesti. Viestintäviraston käsittelemät tiedot voidaan jaotella neljään ryhmään lainsäädännön niihin kohdistamien käsittelysääntöjen perusteella: 1. Julkisuuslain mukaan viranomaisen asiakirjat ovat julkisia, jollei laissa erikseen toisin säädetä. Julkisilla tiedoilla tarkoitetaan tietoja, joista jokaisella on oikeus saada tieto ja jotka voidaan luovuttaa vapaasti edelleen. Tällaisia tietoja ovat esimerkiksi julkisista lähteistä kerätyt tai itse laaditut julkisiksi arvioidut tiedot. Julkisten tietojen rikastaminen salassa pidettävillä tiedoilla tai julkisten tietojen yhdistäminen voi muodostaa salassa pidettävän kokonaisuuden. Myös julkisten tietojen käsittelyssä on noudatettava hyvää tiedonhallintatapaa. 2. Salassa pidettävillä tiedoilla tarkoitetaan julkisuuslaissa yksilöidyillä perusteilla salassa pidettäviä tietoja. Tiedot voivat olla salassa pidettäviä esimerkiksi turvallisuussyistä tai yksityisen liike- ja ammattisalaisuuden suojelemiseksi. Julkisuuslain nojalla salassa pidettäviä tietoja voidaan tietyissä tilanteissa luovuttaa esimerkiksi tietojen omistajan tai vahinkoedellytyslausekkeen sallimissa rajoissa. Merkittävä osa Viestintäviraston käsittelemästä aineistosta on julkisuuslain nojalla salassa pidettävää. 3. Erityislain nojalla salassa pidettävällä aineistolla tarkoitetaan tiettyyn tietoaineistoon sovellettavasta erityislaista johtuvia rajoituksia tietojen käsittelyyn. Yleisin esimerkki tällaisesta tiedosta on sähköisen viestinnän tietosuojalain nojalla saadut tiedot viesteistä ja tunnistamistiedoista. Erityislaki määrittelee tietojen käsittelylle erittäin tarkkarajaiset käsittelysäännöt, ja tyypillisesti niitä voidaan luovuttaa edelleen ainoastaan laissa yksilöidyissä tilanteissa. 4. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain nojalla erityissuojattavalla tietoaineistolla tarkoitetaan Suomea velvoittavaan kansainväliseen järjestelyyn perustuvaa salassapitovelvoitetta. Tietoja saa käyttää ainoastaan siihen tarkoitukseen, johon ne on luovutettu, eikä niitä saa luovuttaa tai muuttaa edelleen ilman luovuttajamaan nimenomaista suostumusta. Myös muu lainsäädäntö voi asettaa tietojen käsittelylle ja niiden luovuttamiselle rajoituksia siitä riippumatta, mihin ylläkuvatuista ryhmistä kyseiset tiedot sijoittuvat. Tietojen ryhmittely tehdään käytännössä tapauskohtaisen harkinnan perusteella. 18

Yhteystiedot Viestintävirasto PL 313 Itämerenkatu 3 A 00181 Helsinki Puh: 0295 390 100 (vaihde) kyberturvallisuuskeskus.fi viestintävirasto.fi