Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Samankaltaiset tiedostot
Tunnistus- ja luottamuspalveluiden arviointikertomukset

Tunnistus- ja luottamuspalveluiden arviointikertomukset. Viestintäviraston ohje

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Mitä eidas-asetus pitää sisällään ja mitä ei. Anne Lohtander

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Tunnistus- ja luottamuspalveluiden ilmoitukset

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

eidas, kansallinen sähköisen tunnistamisen luottamusverkosto ja tunnistusmenetelmien varmuustasot Riitta Partala, Väestörekisterikeskus

eidas tilanne ja vaikutuksia Suomen ratkaisuihin

Sähköisen tunnistamisen kehittäminen Suomessa

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Määräys sähköisistä tunnistus- ja luottamuspalveluista

Sähköisten tunnistus- ja luottamuspalveluiden ilmoitukset

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Viestintäviraston neuvontaa tunnistuspalveluiden vaatimustenmukaisuuden

Liikenne- ja viestintäministeriö U-JATKOKIRJE LVM VTI Simola Kreetta(LVM) JULKINEN. Eduskunta.

Laki. vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

Telia Tunnistus - Palvelukuvaus

Ns. voimassaolopalvelu (lausunnoissa ehdotettu 7 b )

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Riippumattomat arviointilaitokset

OP Tunnistuksen välityspalvelu

Määräys sähköisistä tunnistus- ja luottamuspalveluista

Potilas -ja asiakastietojärjestelmien vaatimukset ja valvonta Ammattimainen käyttäjä laiteturvallisuuden varmistajana

1 luku. Yleiset säännökset. Viestintävirasto. Lausunto /04/2017. Asia: 1/41/2016. Yleiset kommentit

HE 74/2016 vp. Lait on tarkoitettu tulemaan voimaan 1 päivänä heinäkuuta 2016.

Lausunto. Eläketurvakeskus pitää esitystä muilta osin tarpeellisena, mutta tukipalvelujen muuttamista maksullisiksi Eläketurvakeskus ei kannata.

Sähköisen tunnistamisen eidastilannekatsaus

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Määräys sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA

Sähköisen tunnistuspalvelun arviointiohje. Liikenne- ja viestintäviraston ohje

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Kansainvälisen tilausliikenteen matkustajat 2018

Auditoinnit ja sertifioinnit

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

Vesihuolto päivät #vesihuolto2018

Kansainvälisen reittiliikenteen matkustajat 2018

Kansainvälisen reittiliikenteen matkustajat 2018

Kansallinen tunnistusmalli - taustamuistio. 1 Johdanto. 2 Nykytilan kuvaus 1 (6) Taustamuistio VM140:01/2013. JulkICT-toiminto 16.5.

Tunnistaminen ja luottamuspalvelut - päätyöryhmä

Julkisen ja yksityisen sektorin yhteistyö kyberturvallisuudessa. Johtaja Kirsi Karlamaa

Ajankohtaista tietosuojaan liittyen. Network to Get ammattikorkeakoulu, Leppävaara Antti Vartiainen

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

LAKI SOTE- TIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

Kestävyyslain mukainen todentaminen

Tunnistuspalvelun tarjoajat ovat pyytäneet Liikenne- ja viestintävirastolta (Traficom) neuvontaa seuraaviin tilanteisiin.

Tietojärjestelmien valvonnan ajankohtaiset asiat

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

VARMENNEKUVAUS. Väestörekisterikeskuksen tilapäisvarmenne. v. 1.4

Kansallinen tunnistusratkaisu. Erityisasiantuntija Markus Rahkola Valtiovarainministeriö

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

Tunnistaminen ja luottamuspalvelut. Työryhmän ensimmäinen kokous

Sähköisen tunnistamisen järjestäminen julkisessa

Laki digitaalisten palvelujen tarjoamisesta Digitaalisten palvelujen saavutettavuus Koulutus tiedottajille ja verkkotoimittajille, HAUS

Suomi.fi-tunnistus ja eidas

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Määräyksen 72 perustelut ja soveltaminen. Sähköiset tunnistus- ja luottamuspalvelut

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

TEEMME KYBERTURVASTA TOTTA

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

FA EHDOTTAA, ETTÄ LAKIESITYKSESTÄ LUOVUTAAN

Viestintäviraston määräysluonnoksen 72/2016 M vaikutusarviointi

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Viestintäviraston tulkintamuistio kertakirjautumisesta ja eräistä muista kysymyksistä vahvassa sähköisessä tunnistamisessa

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014

Euroopan unionin neuvosto Bryssel, 18. toukokuuta 2017 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Teleyritysten rooli älykkään infran mahdollistajana

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Lausunto ID (5)

Hallituksen esitys eduskunnalle laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain muuttamisesta

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tunnistuspalveluiden luottamusverkoston käytännesäännöt. Viestintäviraston suositus

Abuse-seminaari

Tiedotus- ja keskustelutilaisuus eidas-asetuksesta ja julkisten palveluiden kehittämisestä

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Liikenne- ja viestintävaliokunnalle

Varmaa ja vaivatonta viestintää

#kybersää marraskuu 2017

Määräys. 1 Soveltamisala

Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus

#kybersää helmikuu 2018

TEEMME KYBERTURVASTA TOTTA

HE 264/2018 vp. Laki on tarkoitettu tulemaan voimaan mahdollisimman pian.

DNA tunnistuksen välityspalvelun erityisehdot

Varmennekuvaus. Väestörekisterikeskuksen sosiaali- ja terveydenhuollon ammattihenkilöiden tilapäisvarmenne. v. 1.0

Tunnistaminen ja luottamuspalvelut. Pääryhmän toinen kokous

Ulkopaikkakuntalaisille ja ulkomaalaisille annettavasta hoidosta perittävät maksut alkaen

KOMISSION DELEGOITU ASETUS (EU) N:o /, annettu ,

Varmennekuvaus. Väestörekisterikeskuksen tilapäisvarmenne. v. 1. 4

VAHTI sähköisen asioinnin tietoturvallisuus -ohje

Tunnistuspalvelun käyttöoikeuden toimitusehdot, Elisa Oyj

Määräyksen 72 perustelut ja soveltaminen. Sähköinen tunnistaminen ja sähköiset luottamuspalvelut

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Transkriptio:

Kyberturvallisuuden tila ja sähköinen tunnistaminen FINAS-päivä 26.1.2017

Vahva sähköinen tunnistaminen ja sähköiset luottamuspalvelut

Vahva sähköinen tunnistaminen tarkoittaa tunnistus- ja luottamuspalvelulain mukaista henkilöllisyyden todentamista sähköisesti» vahvan sähköisen tunnistamisen avulla voi turvallisesti vahvistaa henkilöllisyytensä erilaisissa sähköisissä palveluissa Viestintävirasto ylläpitää rekisteriä Suomeen sijoittuneista vahvaa sähköistä tunnistamista tarjoavista palveluntarjoajista (tunnistuspalvelun tarjoajat) sekä niiden tarjoamista palveluista» virasto ei valvo "heikkoa" sähköistä tunnistamista, organisaatioiden sisäistä tunnistamista, jne. Vahvalle sähköiselle tunnistamiselle on Suomessa kaksi varmuustasoa: korotettu tai korkea Vahvoja sähköisiä tunnistusvälineitä ovat» verkkopankkitunnukset (TUPAS),» teleyritysten mobiilivarmenteet ja» Väestörekisterikeskuksen kansalaisvarmenteet, organisaatiovarmenteet sekä sosiaali- ja terveydenhuollon varmenteet Heidi Kivekäs, erityisasiantuntija 26.1.2017 3

1.5.2017 käynnistyy kansallinen, sähköisen tunnistamisen luottamusverkosto Tällä hetkellä asiointipalvelut joutuvat tekemään kahdenväliset sopimukset jokaisen tunnistusvälineen tarjoajan kanssa» Pelkästään valtionhallinnon asiointipalveluilla on yli 1000 sopimusta tunnistuspalvelun tarjoajien kanssa Heidi Kivekäs, erityisasiantuntija 26.1.2017 4

1.5.2017 käynnistyy kansallinen, sähköisen tunnistamisen luottamusverkosto Uudessa mallissa asiointipalvelut voivat saada tunnistusvälineet käyttöönsä yhden välityspalvelun kautta» Viestintäviraston vetämänä toimii luottamusverkoston yhteistyöryhmä. Valmistelussa on useita ohjeita luottamusverkostosta ja sen toiminnasta Heidi Kivekäs, erityisasiantuntija 26.1.2017 5

Sähköinen luottamuspalvelu tarkoittaa eidas-asetuksen mukaisia sähköisiä palveluja, kuten esim. sähköiset allekirjoitukset, sähköiset leimat, sähköiset aikaleimat, sähköiset rekisteröidyt jakelupalvelut ja verkkosivustojen todentaminen» suurin osa luottamuspalveluista (esim. sähköisiin allekirjoituksiin liitettävät aikaleimat) on käyttäjille näkymättömissä palvelujen rakenteissa Viestintävirasto ylläpitää rekisteriä hyväksyttyjen sähköisten luottamuspalvelujen tarjoajista (nk. trusted list)» hyväksytyn luottamuspalvelun tarjoajan ja hyväksytyn luottamuspalvelun tulee täyttää EU-säädännössä asetetut vaatimukset» luottamuspalvelua voi tarjota ja toiminnan aloittaa ilman Viestintäviraston hyväksyntääkin (ns. ei-hyväksytty luottamuspalvelun tarjoaja) Hyväksyttyjä sähköisten luottamuspalvelun tarjoajia ovat» Väestörekisterikeskus (organisaatiovarmenteet, kansalaisvarmenteet ja terveydenhuollon ammattivarmenteet) Heidi Kivekäs, erityisasiantuntija 26.1.2017 6

Vaatimustenmukaisuus 1/2 Tunnistus- ja luottamuspalvelulaki, eidas-asetus ja Viestintäviraston määräys 72 määrittävät vahvaan sähköiseen tunnistamiseen ja sähköisiin luottamuspalveluihin kohdistuvat vaatimukset tunnistuspalvelun tarjoajan on hankittava vaatimustenmukaisuuden arvioinnista tarkastuskertomus, joka toimitetaan Viestintävirastolle» vaatimustenmukaisuuden voi arvioida joko hyväksytty vaatimustenmukaisuuden arviointilaitos (korotettu ja korkea vaatimustaso), ns. muu ulkoinen arviointilaitos eli muu yleisesti käytetyn menetelmän mukaisesti toimiva ulkoinen arviointielin (korotettu ja korkea vaatimustaso) tai ns. sisäinen tarkastuslaitos eli palveluntarjoajan sisäinen yleisesti käytetyn standardin mukainen riippumaton arvioija (vain korkotettu vaatimustaso) Heidi Kivekäs, erityisasiantuntija 26.1.2017 7

Vaatimustenmukaisuus 2/2 hyväksytyn luottamuspalvelun tarjoajan on osoitettava Viestintävirastolle vaatimustenmukaisuus arviointikertomuksella, jonka laatii FINASin akkreditoima ja Viestintäviraston hyväksymä arviointilaitos» Viestintävirasto ja FINAS ovat keskustelleet eidas-asetuksen mukaisten vaatimustenmukaisuuden arviointilaitosten sääntelystä ja akkreditoinnista» Toistaiseksi suomalaiset luottamuspalveluiden tarjoajat joutuvat hankkimaan arvioinnin jossain toisessa maassa akkreditoidulta arviointilaitokselta ei-hyväksytyn luottamuspalvelun tarjoajan ei tarvitse osoittaa vaatimustenmukaisuutta, mutta sen on kuitenkin noudatettava EU-säädännön asettamia tietoturvavaatimuksia ja sen on ilmoitettava häiriöistä Viestintävirastolle Viestintävirasto on julkaissut ohjeet nro 211 ja 215 tunnistus- ja luottamuspalveluiden vaatimuksenmukaisuuden arvioinnista Heidi Kivekäs, erityisasiantuntija 26.1.2017 8

Kyberturvallisuus nyt ja tulevaisuuden näkymiä

Arkemme on muuttunut peruuttamattomasti http://yle.fi/uutiset/3-8904018 http://www.ts.fi/teemat/auto+ja+liikenne/797749/hakkerit+kaappasivat+liikkuvan+auton http://m.iltalehti.fi/ulkomaat/2016102322501832_ul.shtml Heidi Kivekäs, erityisasiantuntija 26.1.2017 10

Kaikki liitetään verkkoon Heidi Kivekäs, erityisasiantuntija 26.1.2017 11

http://www.telegraph.co.uk/technology/facebook/6966628/facebooks-mark- Zuckerberg-says-privacy-is-no-longer-a-social-norm.html http://content.time.com/time/specials/packages/article/0,28804,2036683_2037183_2037185,00.html Heidi Kivekäs, erityisasiantuntija 26.1.2017 13

https://www.cnet.com/news/zuckerberg-buys-four-new-houses-for-um-privacy/ Heidi Kivekäs, erityisasiantuntija 26.1.2017 14

Mikään laite, verkko, ohjelmisto tai palvelu ei ole niin merkityksetön ettei sen tietoturvasta tulisi huolehtia Heidi Kivekäs, erityisasiantuntija 26.1.2017 15

Esineiden internetin tulevaisuus Internetissä olevat esineet ovat pehmeä kohde, niitä yritetään varmasti käyttää pahantahtoisesti» kiristäminen, hyökkäysväline, murtautuminen, informaatiovaikuttaminen... Nanorobotit, esineet ihmisten sisällä Koneiden välisen viestinnän tietosuoja 1990-luvulla PC-koneiden tietoturva oli retuperällä homma korjattiin 2000-luvun 1. vuosikymmenellä älypuhelinten tietoturva oli retuperällä homma on korjaantumassa 2010-luvulla IoT:n tietoturva on retuperällä... Heidi Kivekäs, erityisasiantuntija 26.1.2017 16

Mikä tilanne Suomessa siis on? Yksi, haittaohjelmahavaintoihin ja -toimenpiteisiin perustuva arvio 2015 Havainnot 57 971 kpl Tanska 0,31 % Alankomaat 0,36 % Puola Saksa 0,32 % 0,69 % Norja Ruotsi 0,31 % 0,35 % Suomi 0,21 % Viro 0,46 % Liettua 0,71 % Latvia 0,52 % 2016 Havainnot 82 071 kpl Valko-Venäjä 0,57 % Venäjä 0,47 % Lukujen lähde: Microsoft Security Intelligence Report Heidi Kivekäs, erityisasiantuntija 26.1.2017 17

Teleyritysten tietoturvailmoitukset Viestintävirastolle Vuosi 2015 Vuosi 2016 21 % 12 % 11 % Tietomurto Palvelunestohyökkäys 12 % 16 % 37 % Haavoittuvuus tai uhka 19 % 10 % 10 % Henkilötietojen tietoturvaloukkaus Asiakastietojen hallinnan virhe 5 % Muu ilmoitus 26 % 21 % Tietomurtoja raportoitiin vuonna 2016 tavanomaista enemmän. Muuntyyppisiä tietoturvaloukkauksia oli tavanomaista vähemmän. Heidi Kivekäs, erityisasiantuntija 26.1.2017 18

10 tietoturvanäkymää vuodelle 2017 1. Teknologian kehitys jatkuu räjähdysmäisesti 2. Häiriöt osoittavat riippuvuutemme tietoverkoista 3. Uhkat omissa järjestelmissä tunnistetaan heikosti 4. Tietoturvaosaamisesta on pulaa 5. Kyberrikollisuus jatkaa ammattimaistumista 6. Verkkovakoilu lisääntyy 7. Internet of Things eli IoT palvelunestohyökkäysten käyttövoimana 8. Kiristyshaittaohjelmat monipuolistuvat 9. Kohdistetuilla hyökkäyksillä halutaan rahaa 10.Mobiililaitteiden tietoturvaa koetellaan Heidi Kivekäs, erityisasiantuntija 26.1.2017 19

Kyberturvallisuus on kaikkien vastuu Kyberturvallisuus on niin yksilön, yhteisön kuin yhteiskunnan tasolla nykyään kriittinen osa kokonaisturvallisuutta» Kuten vaikkapa fyysinen turvallisuuskin Loppukäyttäjien, yritysten ja eri organisaatioiden on huolehdittava itsekin omasta kyberturvallisuudestaan» Kyberturvallisuus ei toteudu pelkillä säädöksillä ja viranomaisvalvonnalla Heidi Kivekäs, erityisasiantuntija 26.1.2017 20

Heidi Kivekäs, erityisasiantuntija 26.1.2017 21

Viestintävirasto ohjaa, valvoo ja neuvoo https://www.youtube.com/watch?v=ouru5jumzia Heidi Kivekäs, erityisasiantuntija 26.1.2017 22

www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute