Electronic Frontier Finland ry

Samankaltaiset tiedostot
Electronic Frontier Finland ry

Electronic Frontier Finland ry

1 Johdanto. 2 Eritasoisten tilanteiden ristiriitaiset turvallisuusuhat. ASIA: VNS 1/2009 vp Suomen turvallisuus- ja puolustuspolitiikka

Electronic Frontier Finland ry

FI Moninaisuudessaan yhtenäinen FI A8-0245/253. Tarkistus

Manner-Suomen maaseudun kehittämisohjelma

Electronic Frontier Finland ry

?Lasten suojelu erotettava HitBackin markkinoinnista?

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

TEEMME KYBERTURVASTA TOTTA

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

TEEMME KYBERTURVASTA TOTTA

Sisäisen turvallisuuden ja Ulko- ja turvallisuuspoliittinen selonteko Talousvaliokunta,

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Itsemääräämisoikeus -oikeuden toteutuminen asumisyksiköissä ja lainsäädännön tavoitteet

Kybersairauden tiedostaminen! Sairaanhoitopiirien kyberseminaari Kari Wirman

Kyberturvallisuuden ja -turvattomuuden kilpajuoksu

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Kyberturvallisuus julkisen hallinnon digitalisoinnissa

VÄESTÖNSUOJELUN UHKAMALLIT

Vastuullisuusmallin tausta ja tavoitteet

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

TIETOPAKETTI EI -KYBERIHMISILLE

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

FARAX johtamisstrategian räätälöinti

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Tietohallinnon uudistuksia ja haasteita sähköisen hallinnon näkökulma viranomaisten asiakirjojen pysyvään säilyttämiseen

TEEMME KYBERTURVASTA TOTTA

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Tietojärjestelmien varautuminen

Avoin toimintakulttuuri. SotePeda 7/24 Hanna Lahtinen

Pilvipalveluiden arvioinnin haasteet

ARVOKIRJA. Kainuun sosiaali- ja terveydenhuollon kuntayhtymän toiminta-ajatus, visio ja arvot

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

TILINPÄÄTÖS 2014 JA NÄKYMÄT

YKSITYISYYS JA OMAISUUDEN SUOJA STANDARDI

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Sähköisten viranomaisaineistojen arkistoinnin ja säilyttämisen palvelukokonaisuus

Ajankohtaista Georg Henrik Wrede. Johtaja, nuorisotyön ja politiikanvastuualue

KEHITYSVAMMALAIN MUUTOKSET. Itsemääräämisoikeus vahvistuu. Uusia määräyksiä rajoitustoimenpiteistä.

Tiedustelulainsäädäntö. eduskuntaan. Tiedotustilaisuus

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Valtionavustukset järjestöille - huhuja vai faktaa?

Ihmisoikeudet haltuun nuorisotyössä: Oikeuksilla syrjintää vastaan. Matti Jutila

Luottamusta lisäämässä. Toimintasuunnitelma

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Nuoret ja turvallisuus , Eduskunta

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Turvallisuus kehittyy joko johtajuuden tai kriisin kautta

julkinen ja yksityinen tila menevät sekaisin kulunrajoitusta ja -ohjausta ihmisille toiminta osin ympärivuorokautista asennusalustoja ja -reittejä

Langattomien verkkojen tietosuojapalvelut

Työelämän tietosuojalaki Johanna Ylitepsa

Tietoturvallisuus yhteiskunnan, yritysten ja yksityishenkilöiden kannalta

Sisäisen turvallisuuden ja Ulko- ja turvallisuuspoliittinen selonteko

Helsingin Sanomain Säätiön ja Anders Chydenius -säätiön järjestämä Tietämisen vapauden päivän seminaari tiistaina 2. joulukuuta

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

JOHTAJUUS OSUUSKUNNASSA - IHMISET JA VERKOSTOT

Vaikutustenarviointi GDPR:n mukaan

MTS:n puheenjohtajana minulla on ilo ja kunnia toivottaa teidät kaikki. omasta ja suunnittelukunnan puolesta lämpimästi tervetulleiksi tänä

Lapsen ääni kuuluviin viestinnän keinoin

Hallituksen esitys 34/2018 vp. Liikenneviraston liikenteenohjaus- ja hallintapalveluiden muuttamisesta osakeyhtiöksi

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Ulkoasiainvaliokunta LAUSUNTOLUONNOS. kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle

Tiedonjulkistamisneuvottelukunnan tilaisuus Tieteiden talolla Hallintojohtaja Anitta Hämäläinen Kansallisarkisto

Avoimet ohjelmistot julkisessa hallinnossa. Oskari verkostopäivä Tommi Karttaavi

Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät

MITÄ ARVOT OVAT? Perustuvatko arvot tunteisiin, tietoon, tehokkuuteen, demokratiaan vai päämäärään? Ovatko arvot ominaisuuksia?

Luottamusta lisäämässä

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

"Miten IT infra-projekti onnistuu ja miten epäonnistuu" Timo Häkkinen TTY PDF versio josta on poistettu 1 kuva ja yhden sivun tekstit

Parlametri Euroopan parlamentin Eurobarometri (EB/PE 78.2)

TARKISTUKSET FI Moninaisuudessaan yhtenäinen FI 2013/0027(COD) Lausuntoluonnos Ana Gomes (PE v02-00)

Tietoverkkotiedustelu ja lainsäädäntö. Kybertalkoot

YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Kohti sisäisen turvallisuuden strategiaa

Muistitko soittaa asiakkaallesi?

Open access -julkaiseminen Oikeudellinen tausta ja tekijänoikeudet

Vesihuolto päivät #vesihuolto2018

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

Sisäinen turvallisuus Oiva Kaltiokumpu, Kansallisena Veteraanipäivänä

Varmaa ja vaivatonta viestintää

Näkökulmia energiayhtiöiden sosiaalisen median strategiatyöhön

AVOIN LÄHDEKOODI JA SEN MERKITYS LIIKETOIMINNASSA

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Kunnan mielenterveys- ja päihdestrategiat - tehdäänkö papereita vai strategisia päätöksiä? Matti Kaivosoja LT, projektinjohtaja, Pohjanmaa-hanke

Kohti Suomi strategiaa. Pääjohtaja, OTT/Tuomas Pöysti

Uuden tietoyhteiskunnan teesit. #uusitietoyhteiskunta

APUA SINUN AVULLASI. Suomen Punainen Risti ja puoluepolitiikka. Periaatteet ja poliittinen vaikuttaminen

Helsingin kaupunginhallitus Pöytäkirja 1 (5)

Code of Conduct - Toimintaohjeistus Toimittajille. Huhtikuu 2011

Testaajan eettiset periaatteet

Ohjausryhmän six-pack

Transkriptio:

Lausunto VNS 6/2012 vp ja UTP 2/2013 vp Suomen kyberturvallisuusstrategiasta 7.3.2013 Electronic Frontier Finland ry www.effi.org

Yleistä Turvallisuus- ja puolustuspolitiikka liittyy Electronic Frontier Finlandin (Effi) alaan lähinnä siltä osin kuin se koskettaa tietotekniikkaa ja ihmisoikeuksia, ja keskitymme tässä lausunnossa erityisesti tähän puoleen. Tämän lisäksi järjestöllä on muutamia yleisempiä kommentteja. Yhteistyöllä eteenpäin Effin näkemyksen mukaan Suomen kyberturvallisuusstrategian parasta antia on sen voimakkaasti alan eri toimijoiden yhteistyötä korostava luonne. Kyberturvallisuuden varmistaminen edellyttää hyvin laaja-alaista yhteistyötä ja huomioiden, että valtiolla ei ilmeisesti ole mahdollisuuksia tarjota varsinaisia taloudellisia resursseja, se tarvitsee kiistatta ulkopuolista apua. Tässä Effi toivoo, että Suomi ottaisi vakavasti Viron tarjoamat yhteistyömahdollisuudet alueelta. Johtajuuden puute Effi yhtyy esitettyyn kritiikkiin, jonka mukaan kyberstrategian suurin ongelma on selkeän vastuutahon puuttuminen. Valtioneuvosto voi toki kuulostaa hyvältä taholta johtamaan kyberturvallisuutta, kun kuitenkin huomioidaan, että vastuuta ei ole määritelty millekään yksittäisellä ministeriöllä, lopputuloksena on kaikella todennäköisyydellä tilanne, jossa kukaan ei kanna vastuuta. Kyberturvallisuus on toki alue, jossa tarvitaan poikkihallinnollista koordinaatiota, mutta tämän lisäksi tarvittaisiin yksi selkeä taho, jonka vastuulla on Suomessa kyberturvallisuuden toteutuminen. Ehdotettu kyberturvallisuuskeskus ei ole (varsinkaan nyt puhuttujen resurssien valossa) riittävä tähän tehtävään. Perinteinen näkemys viranomaisjaosta Effin näkemyksen mukaan nyt olisi erittäin järkevä hetki miettiä kokonaan uusiksi perinteinen jako poliisivoimien (ml SUPO ja KRP) ja puolustusvoimien välillä. Yhä digitaalisemmassa maailmassa perinteiset mallit, rajanvedot ja ovat monessa kohtaa aikansa

eläneitä. Valitettavasti tällainen todellinen kokonaisuudistus ei ole poliittisesti realistinen, mutta sen tulisi kuitenkin olla mukana edes pitkän tähtäimen visioissa. Kyberpuolustukseen periaatteet Effin suosittelee seuraavia askelta huomioitavaksi kybersuunnitelman toteuttamisessa. a. Kyberturvallisuus on henkilökohtaista turvallisuutta. Kyberturvallisuuspolitiikka keskittyy usein elintärkeiden infrastruktuurien kuten voimalaitosten ja vesilaitosten suojeluun. Mutta kyberturvallisuuteen liittyy myös toinen tärkeä aihe: kansalaisten ja heidän arvokkaiden ja/tai henkilökohtaisten tietojensa suojelu. Olisi katastrofi, jos miljoonien eurooppalaisten arkaluonteiset ja arvokkaat tiedot (kuten viestintä-, lääkintä- tai paikkatiedot) paljastettaisiin tahattomasti. b. Kyberturvallisuuden täytyy kunnioittaa perusoikeuksia. Toistuvasti ehdotetut kyberturvallisuustoimenpiteet vaikuttavat usein perusoikeuksiimme. Esimerkiksi Internetin sammutusnappula rajoittaisi perusoikeutta viestinnän vapauteen. Internet-liikenteen kattava valvonta rajoittaa yksityisyyttämme vakavasti. Sellaiset toimenpiteet ovat siis mahdottomia hyväksyä: Euroopan ihmisoikeustuomioistuin on eri tapauksissa antanut päätöksiä, joiden mukaan perusoikeuksien syvintä ydintä ei saa loukata. Seurauksena tästä täytyy uusien kyberturvallisuustoimenpiteiden tarpeellisuus, suhteellisuusperiaatteeseen sopivuus, päätöksenteon läheisyysperiaatteeseen sopivuus ja tehokkuus aina osoittaa etukäteen. Tämä tarkoittaa, että toimenpiteet täytyy räätälöidä sitä ongelmaa varten, joka niillä yritetään ratkaista. c. Kyberturvallisuus vaatii läpinäkyvyyttä. Kyberturvallisuuspolitiikalla voi olla kauaskantoisia yhteiskunnallisia vaikutuksia muun muassa perusoikeuksiin ja Internetin toimintaan liittyen. Juuri tästä syystä kyberturvallisuuspolitiikan julkinen valvonta on välttämätöntä ja läpinäkyvyys tällä alueella on pakollista. Politiikan täytyy perustua todellisiin ja todistettavissa oleviin uhka- ja riskianalyyseihin (niin ennen politiikan käyttöönottoa kuin myös säännöllisesti sen jälkeen) ja sen täytyy keskittyä siihen täsmälliseen riskiin, johon sen väitetäänkin olevan kohdistettu. d. Täydellistä kyberturvallisuutta ei ole olemassa. Vaikka kyberturvallisuus on tärkeä päämäärä politiikkaa laadittaessa, täydellistä turvaa ei ole olemassa. Turvallisuus yleisesti on

määritelmänsä mukaan kustannus-hyöty-analyysin tulos. Kyberturvallisuuden alueella tässä analyysissa otetaan huomioon se, että jo pieni ihmisryhmä suhteellisen vähällä rahalla voi aiheuttaa valtavaa vahinkoa esimerkiksi valmistamalla kehittyneitä haittaohjelmia kuten Stuxnet. Tietysti riskejä voidaan ehkäistä mahdollisuuksien rajoissa tarjoamalla perustason turvallisuustoimenpiteet, hajauttamalla riskejä mahdollisimman paljon ja tarjoamalla varamekanismeja. Kuitenkin meidän tulee hyväksyä, että milloinkaan kaikkia kyberturvallisuusriskejä ei voida poissulkea, koska ehkäisemisen kustannukset ovat yksinkertaisesti liian korkeat (mitattuina sekä euroina että vaikutuksena, joka ehkäisytoimenpiteillä olisi perusoikeuksiimme). Avoimuus vastaan salaisuus Tietoteknisten järjestelmien turvallisuutta arvioitaessa on tärkeää huomata, että joissakin asioissa salailu heikentää turvallisuutta. Erityisesti kryptografiaan perustuvissa menetelmissä tunnetusti tilanne on se, että vaikka käytettyjen avainten huolellinen salassapito on ensiarvoisen tärkeää, käytetyn tekniikan julkisuus on lähes aina turvallisuutta parantava tekijä, Näin siksi, että mitä useampi tekniikan tuntee, sitä todennäköisemmin sen heikkoudet on löydetty ja korjattu, ja avainten vaihtaminen on aina paljon helpompaa kuin teknisten perusratkaisujen. Asiaa ei tuoda riittävästi esille strategiassa, vaikka sen tulisi olla yksi sen keskeinen rakennuskivi. Tietovuodot Monet viranomaisten tietojärjestelmät sisältävät eri tavoin arkaluontoista tietoa: poliisin järjestelmät, potilastietojärjestelmät (hyvin houkuttelevia esimerkiksi kiristykseen sopivia uhreja etsiville), erilaiset biotietopankit, DNA- ja sormenjälkirekisterit, kaikki ihmisten liikkeitä rekisteröivät järjestelmät, valvontakamerat jne. Mitään järjestelmää ei kuitenkaan voida suojata sataprosenttisesti. Esimerkkejä poliisinkin tietojärjestelmien vuodosta viime aikoina löytyy mm. Ruotsista ja Britanniasta, ja huippuviroissakin olevat ihmiset ovat alttiita kiristykselle ja lahjonnalle vaarallisimmat tietomurrot ovat ainakin osittain sisäpiiriläisten tekemiä. Tehtiin tietojärjestelmien suojaamiseksi mitä tahansa, kriittisen tietovuodon todennäköisyys kasvaa aina suoraan suhteessa kerättävän ja säilytettävän tiedon määrään.

Siten pitäisi ottaa periaatteeksi välttää arkaluontoisten tietojen keräämistä enempää kuin on aivan välttämätöntä. Koska kaikilla tietoa käsittelevillä toimijoilla on luonnollinen taipumus luottaa itseensä liikaa ja kerätä tietoa ''varmuuden vuoksi'' enemmän kuin oikeasti olisi tarpeen ja perusteltua, olisi parasta yleisensä linjana kallistua mieluummin liian vähän kuin liian paljon tiedon keruun suuntaan. Tämä koskee niin tiedonkeruumekanismeja kuin kerätyn tiedon tallentamistakin. Silloin kun tietoa kuitenkin kerätään, toimenpiteet sen suojaamiseksi pitäisi tietenkin mitoittaa arvioiden sen arkaluontoisuutta ja vuotoherkkyyttä myös eritasoisissa poikkeusoloissa. Terrorismi Terrorismia vastustettaessa tulisi muistaa, että varsinainen vihollinen ei ole ihmiset, jotka terroria harjoittavat, vaan järjestelmän muutos, jota he yrittävät saada aikaan. Puolustettavana eivät ole ne ihmiset, jotka nyt ovat vallassa, vaan vallitseva järjestelmä - jonka olennainen osa on vapaus ja ihmisoikeudet. Viranomaisten luonnollinen reaktio terrorismin uhkaan on lisätä valvontaa ja rajoittaa väärinkäytölle alttiita kansalaisoikeuksia. Tämä on kuitenkin yksi terroristien nimenomaisista tavoitteista, koska he hyvin tietävät niiden yleensä kääntyvän alkuperäistä tarkoitusta vastaan. Monet terrorisminvastaiset toimet kun ovat tylppiä aseita, jotka osuvat myös sivullisiin, ja helposti tekevät näistäkin vihollisia. Samalla ne vahvistavat terroristien sisäistä motivaatiota. Tämä koskee etenkin puuttumista sananvapauteen, myös ja etenkin tietoverkoissa. Esimerkiksi ajatus terrorismisivujen suodattamiseen netistä voi tuntua ensi alkuun houkuttelevalta, mutta käytännössä siitä on enemmän haittaa kuin hyötyä, vaikkei edes välitettäisi sananvapaudesta periaatteena. Ihmisoikeudet ja kansalaisten vapaus toimia itsenäisesti ovat myös olennainen tekijä terrorisminkestävässä yhteiskunnassa, eivät vain haitta tehokkaan viranomaistoiminnan tiellä.

Riippuvuus ulkopuolisista toimijoista Effin näkemyksen mukaan kyberstrategiassa ei huomioida riittävästi keskeisten tietojärjestelmien riippuvuutta yksittäisistä, usein ulkomaisista toimijoista ja suljetuista, oman tietoturva-auditoinnin ulottumattomiin jäämistä ohjelmistoista. Pahimmassa tapauksessa voisi käydä niin, että pääsy omiin dokumentteihimme tai järjestelmiimme olisi katkaistavissa yhden ulkomaalaisen yrityksen päätöksellä ilman ennakkovaroitusta. Tämä pitäisi ottaa huomioon etenkin huoltovarmuutta arvioitaessa. Kaikkien tärkeiden dokumenttien ja ohjelmien osalta tulisikin ottaa vaatimukseksi avointen, standardoitujen ja usean erimaalaisen toimittajan tukemien formaattien ja protokollien käyttö, ja vaatia aina tärkeimpien ohjelmistojen lähdekoodia itse auditoitavaksi. Electronic Frontier Finland ry:n puolesta, Mikko Kenttälä Tietoturva-asiantuntija

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute