Lausunto 1 (3) 31.1.2014 Mika Linna Turvallisuus ja Infra TURVALLISUUSKOMITEA Sihteeristö Eteläinen Makasiinikatu 8 00130 HELSINKI tk@turvallisuuskomitea.fi LAUSUNTO KYBERTURVALLISUUSSTRATEGIAN TOIMEENPANO-OHJELMAN LUONNOKSEEN Turvallisuuskomitean sihteeristö on 11.12.2013 pyytänyt Finanssialan Keskusliiton (FK) lausuntoa kyberturvallisuusstrategian kansallisen toimeenpano-ohjelman luonnokseen. FK esittää lausuntonaan seuraavaa. 1 Yleistä Toimeenpano-ohjelman luonnoksen vahvuutena on, että se sisältää laajan joukon toimenpiteitä, joita finanssiala pitää hyvinä. Ohjelmaluonnos myös selkeästi painottaa yhteistoiminnan sekä tietojenvaihdon ja osaamisen merkitystä kyberriskien hallinnassa. Sen keskeisenä ongelmana puolestaan on rajoittuminen valtionhallinnon tarpeisiin, mikä rajaa aluehallinnon ja kuntasektorin sekä elinkeinoelämän tarkastelun ulkopuolelle. Valtaosa Suomen kriittisestä infrastruktuurista ja kyberuhkien havainnointi-, torjunta- ja toipumiskyvystä on yksityisten, lisääntyvässä määrin ylikansallisessa omistuksessa olevien toimijoiden hallussa. FK:n näkemyksenä on, ettei valtioneuvoston vahvistaman kyberstrategian haasteisiin kyetä vastaamaan ilman elinkeinoelämän, järjestöjen ja muiden toimijoiden vahvaa ja aitoon vastavuoroisuuteen perustuvaa panosta. Ehdotettujen toimenpiteiden monilukuisuus tuo ohjelma-ehdotukseen epäyhtenäisyyttä. Toimenpiteet ovat laajuudeltaan, kestoltaan ja vaikutuksiltaan hyvin erilaisia. Toimenpiteitä on lueteltu suuri määrä, mutta niiden vaikuttavuutta suhteessa kyberstrategian tavoitteisiin ei ole arvioitu. Toimenpiteitä ei myöskään ole asetettu tärkeysjärjestykseen. Vaikka toimenpiteiden toteutus jäisikin hallinnonalojen vastuulle, strategian toimeenpanosta vastaavalla taholla tulee olla kokonaiskuva keskeisimmistä toimenpiteistä ja keinot varmistaa niiden eteneminen. Ohjelmaluonnoksessa esitettyjen toimenpiteiden arviointi ja priorisointi on tärkeää, jotta toimenpideohjelman vaikuttavuutta ja strategian toteutumista voidaan luotettavasti arvioida.
Lausunto 2 (3) 31.1.2014 Mika Linna Turvallisuus ja Infra 2 Ehdotetut lainsäädäntöhankkeet FK pitää hyvänä, että tiedonhankintaa ja tutkintaa koskeva sekä muu kyberturvallisuuden kannalta merkityksellinen lainsäädäntö saatetaan vastaamaan nykypäivän vaatimuksia. FK pitää kuitenkin valitettavana, että avoimen ja laajapohjaisen valmistelun sijaan pyrkimyksenä näyttää olevan hallinnon sisällä ja asian painoarvoon nähden suhteettoman kireällä aikataululla tapahtuva lainvalmistelu, johon elinkeinoelämä ja muut hallinnon ulkopuoliset tahot pääsevät osallistumaan vasta lausuntovaiheessa. Esimerkkeinä voidaan mainita kansallista kybervalvontaa ja kybertiedustelua (toimenpide 45) sekä tietojärjestelmiin kohdistuvia hyökkäyksiä koskevan EU:n direktiivin kansallisia täytäntöönpanotoimia (toimenpide 65) koskevat lainsäädäntöhankkeet. FK:n näkemyksen mukaan mahdollisuus antaa lausunto valtionhallinnon sisäisesti laadittuun mietintöön tai hallituksen esitykseen ei riittävästi turvaa hallinnon ulkopuolisten tahojen mahdollisuuksia osallistua ja vaikuttaa sääntelyyn. Ilmeisten perus- ja ihmisoikeusvaikutusten ohella huomiota tulee kiinnittää siihen, että viranomaisten tiedonhankinta-, tutkinta- ja muut kyberturvallisuustoimenpiteet pääosin kohdistuvat yksityisten toimijoiden omistamiin ja ylläpitämiin tietojärjestelmiin ja -verkkoihin. Huonosti toteutettuina toimenpiteet voivat vakavasti heikentää yleistä luottamusta tietoverkkojen tai -järjestelmien turvallisuuteen. Tämän vuoksi FK pitää välttämättömänä, että myös tietoverkkojen ja -järjestelmien omistajien ja ylläpitäjien näkemykset huomioidaan jo säädösvalmistelun varhaisessa vaiheessa. 3 Kyberturvallisuuskeskus Ohjelmaluonnoksessa Kyberturvallisuuskeskukselle ehdotetaan uusia, erityisesti valtionhallintoa palvelevia tehtäviä, jotka eivät aiemmin kuuluneet Viestintäviraston vastuulle. Yhteistyö Viestintäviraston CERT-toiminnon kanssa on ollut keskeinen osa finanssialan kybervarautumista. Tämän vuoksi FK pitää välttämättömänä sen varmistamista, että yhteistyön edellytykset säilyvät jatkossakin, eivätkä Kyberturvallisuuskeskukselle nyt tai tulevaisuudessa osoitettavat tehtävät vaaranna finanssialalle ja muulle elinkeinoelämälle tarjottavien palveluiden tasoa. 4 Kyberturvallisuusstrategian ja toimeenpano-ohjelman seuranta ja kehittäminen Ohjelmaluonnoksessa todetaan, että tavoitteena on luoda jatkuva strategiaprosessi, jossa huomioidaan syötteet laajasti yhteiskunnan eri sektoreilta, myös yksityiseltä sektorilta, järjestöiltä ja erityisesti tutkimuksesta. FK pitää tärkeänä, että strategiaprosessin sisältö, aikataulutus ja toteuttamistapa kuvattaisiin toimeenpanoohjelmassa. Samalla tulisi kuvata keinot, joilla vastaisuudessa turvataan elinkeinoelämän ja yhteiskunnan muiden sektoreiden aktiiviset mahdollisuudet vaikuttaa strategiaan ja sen pohjalta laadittaviin toimenpidesuunnitelmiin.
Lausunto 3 (3) 31.1.2014 Mika Linna Turvallisuus ja Infra 5 Muita havaintoja Ohjelmaluonnoksen kohdassa 2.2 todetaan: Toimeenpano-ohjelman esitykset parantavat vakiintuneita yhteisiä työskentelymuotoja ja niistä saatavia tuloksia. Jos ohjelmaluonnoksen toimenpiteille on laadittu mittareita, olisi luontevaa, että niistä kerrottaisiin tarkemmin, jotta saavutetut tulokset voidaan todentaa. Ohjelmaluonnoksen kohdassa 3.3 todetaan: Yhteistyöryhmä arvioi, että toimeenpanoohjelma huomioi huoltovarmuuskriittiset ja kyberturvallisuuden alalla liiketoimintaa tekevät yritykset, mutta osa kansantalouden kannalta tärkeistä yrityksistä jää ulkopuolelle. FK:lle on epäselvää, mitä ovat ne kansantalouden kannalta tärkeät yritykset, jotka eivät täytä huoltovarmuuskriittisyyden kriteereitä. Toimeenpano-ohjelman luonnoksen liitteessä toimenpide 75 Selvitys sähkönjakelun häiriöiden vaikutuksista rahoitus- ja vakuutuspoolin yrityksille on kirjattu rahoitushuoltopoolin ja vakuutusalan poolin ehdotuksesta poikkeavalla tavalla. FK esittää, että lopulliseen toimeenpano-ohjelmaan toimenpide kirjataan alkuperäisessä muodossaan (ks. liite 1, kohta 3). Finanssialan varavoimajärjestelyt ovat jo nykyisellään viranomaisvalvonnan piirissä. Ehdotuksen tarkoituksena on arvioida nimenomaan sitä, ovatko jo päätetyt toimenpiteet riittäviä turvaamaan finanssisektorin asiakkaiden (julkinen sektori, elinkeinoelämä, järjestöt ja kansalaiset) sähkön saannin esim. kantaverkkoon kohdistuvien hyökkäysten tai vakavien häiriöiden toteutuessa. Finanssipalvelujen käytettävyyden ohella tällaisilla häiriöillä olisi pahimmillaan vakavia vaikutuksia koko yhteiskunnan toimintaan. FINANSSIALAN KESKUSLIITTO Päivi Pelkonen LIITE Rahoitushuoltopoolin ja vakuutusalan poolin näkemykset kansallisen kyberturvallisuusstrategian toimenpideohjelmaan
Liite 1 HUOLTOVARMUUSORGANISAATIO MUISTIO 1 Rahoitushuoltopooli Vakuutusalan pooli 11.10.2013 RAHOITUSHUOLTOPOOLIN JA VAKUUTUSALAN POOLIN NÄKEMYKSET KANSALLISEN KYBERTURVALLISUUSSTRATEGIAN TOIMENPIDEOHJELMAAN Alle on koottu toimenpiteitä, joiden avulla kyberturvallisuuden tasoa kyettäisiin rahoitushuoltopoolin ja vakuutusalan poolin (jäljempänä poolit) näkemyksen mukaan selvästi parantamaan. 1 Toimijoiden omat kyberturvallisuustoimenpiteet Finanssiala on vahvasti säännelty ja valvottu toimiala. Keskeisiä toimenpiteitä kyberturvallisuuden riittävän tason turvaamiseksi ovat: - Toimivaltaiset viranomaiset varmistavat, että kyberuhkat huomioidaan riittävästi alaa koskevissa määräyksissä ja ohjeissa; - Poolit varmistavat, että kyberuhkat huomioidaan asianmukaisesti niiden ylläpitämissä varautumisohjeissa; - Alan toimijat varmistavat, että kyberuhkat huomioidaan heidän omissa riskienhallinta- ja varautumissuunnitelmissaan; - Finanssivalvonta varmistaa, että heidän valvottavinaan olevat toimijat toteuttavat määräysten ja ohjeiden mukaiset toimenpiteet asianmukaisesti. 2 Tietoliikenneyhteyksien varmistaminen Finanssipalvelujen tarjonta ja käyttö edellyttää tietoliikenneyhteyksien toimivuutta. Alan toimijat pyrkivät varmistamaan häiriötilanteiden tietoliikenneyhteydet solmimalla sopimuksia useamman operaattorin kanssa. Käytännössä yhteyksien luotettava varmistaminen on kuitenkin vaikeaa, Kansainvälisten tietoliikenneyhteyksien osalta esiin nousseina ongelmina ovat lisäksi vaihtoehtoisten tietoliikennereittien ja palveluja tarjoavien toimijoiden niukkuus (tähän on viitannut mm. SWIFT). Poolin jäsenet pitävät tervetulleina toimenpiteitä, joilla kansainvälisten tietoliikenneyhteyksien kapasiteettia, toimintavarmuutta ja tarjontaa pyritään lisäämään. Toimenpiteenä poolin jäsenet esittävät konkreettisen toimintamallin laatimista sellaista tilannetta varten, jossa kansainvälisen tietoliikenteen kapasiteetti supistuu voimakkaasti ja eri käyttäjien tai käyttäjäryhmien tarpeita joudutaan priorisoimaan, mutta valmiuslain soveltamisen edellytykset eivät vielä täyty. Toimintamallissa tulisi ottaa kantaa ainakin seuraaviin kysymyksiin: - Kriteerit: ketä priorisoidaan ja millä perusteilla (elinkeinoelämä vs. hallinto; huoltovarmuuskriittisten yritysten keskinäinen priorisointi); - Tekniikka: millä keinoin priorisointi voidaan toteuttaa; - Protokolla: miten priorisointi otetaan käyttöön (jos edellyttää päätöksiä, kuka ne tekee ja missä menettelyssä); - Sopimuksiin perustuva varautuminen: miten ja millä ehdoin toimijoilla on mahdollisuus ennakolta varmistaa tietty tietoliikenteen minimitaso häiriötilanteissakin.
HUOLTOVARMUUSORGANISAATIO MUISTIO 2 Rahoitushuoltopooli Vakuutusalan pooli 11.10.2013 3 Sähkön saannin varmistaminen Finanssipalvelujen tarjonta ja etenkin käyttö edellyttää sähkön saantia. Häiriötilanteissa finanssilaitosten konesalit ja kriittiset toiminnot voivat jatkaa toimintaansa varavoiman avulla edellyttäen, että generaattoreiden vaatiman polttoaineen saanti voidaan turvata. Kansalaisilla ja yrityksillä tällaisia järjestelyjä ei ole, joten heidän pääsynsä palveluihin vaarantuu muutamassa tunnissa sähkönsaannin katkeamisesta päätelaitteiden ja tietoliikenteen tukiasemien akkujen tyhjentyessä. Keskeisiä toimenpiteitä sähkönjakelun häiriöiden vaikutusten pienentämiseksi ja kyberturvallisuuden tason parantamiseksi ovat: - Arvioidaan sähkönjakelun häiriöiden vaikutuksia huoltovarmuuskriittisiin toimijoihin ja näiden kokonaisvaikutusta yhteiskunnan toimintaan; - Arvioidaan edellisen pohjalta, ovatko jo päätetyt lainsäädäntö- ym. toimenpiteet (esim. maakaapeloinnin lisääminen ehdotetussa aikataulussa) riittäviä vai tulisiko niitä tehostaa riskien alentamiseksi hyväksyttävälle tasolle; - Tosiasioiden pohjalta tapahtuvaan kokonaisarviointiin perustuvien varavoimavaatimusten asettaminen toimijoille (esim. toimivaltaisten viranomaisten määräykset ja ohjeet, poolien varautumisohjeet, jne.) sekä toteutettujen varavoimajärjestelyjen riittävyyden arviointi osana Finanssivalvonnan toteuttamaa yleistä jatkuvuus- ja varautumisjärjestelyjen arviointia. 4 Avainhenkilöiden käytettävyyden turvaaminen Finanssipalvelujen häiriötön ja turvallinen tarjonta edellyttää, että tietyt henkilöriippuvat toiminnot kyetään pitämään yllä. Ainakaan finanssialan näkökulmasta nykyiset hätä- ja suojelutyötä koskevat säännökset ja periaatteet eivät enää vastaa kyberstrategiassa kuvatun keskinäisriippuvaisen yhteiskunnan vaatimuksia. Tämän vuoksi tulisi selvittää, mitä lainsäädännöllisiä tai sopimukseen perustuvia vaihtoehtoja olisi varmistaa kriittisten toimintojen jatkuvuus myös tilanteissa, joissa toimintojen ylläpidon kannalta välttämättömän henkilöstön käytettävyys on uhattuna. 5 Lainsäädäntö ja viranomaismääräykset Edellä viitattujen säädösten ohella poolit pitävät tärkeänä, että uusia säädöksiä valmisteltaessa niiden vaikutukset kyberturvallisuuteen ja varautumiseen yleisemminkin punnittaisiin huolellisesti. Esimerkkeinä säädöshankkeista, joihin tässä tulisi kiinnittää huomiota, voidaan mainita: - Identiteettivarkauksien kriminalisointi. Asia on ollut vireillä oikeusministeriössä pitkään, mutta arviomuistiota ja lausuntopyyntöjä lukuun ottamatta asia ei ole edennyt. Yksilön kannalta kyse on keskeisestä kyberturvallisuuskysymyksestä. - EU:n uudistettu maksupalveludirektiivi, joka nykyisessä muodossaan toteutuessaan sallisi asiakkaan lukuun toimivalle kolmannelle osapuolelle mahdollisuuden päästä sähköistä kanavaa pitkin asiakkaan pankkitileille ilman pankin suostumusta. Puutteellisesti säädeltynä, toteutettuna tai valvottuna tällaisen järjestelyn mahdollistaminen voisi pahimmillaan avata uusia ja erittäin vaikeasti torjuttavia hyökkäysmahdollisuuksia verkkorikollisille. - Aiempaa täsmällisempi varautumisvelvoitteiden sääntely sellaisten kriittisten toimintojen ja infrastruktuurien osalta, joiden lamautuminen voi vaikuttaa taloudellisen toiminnan
HUOLTOVARMUUSORGANISAATIO MUISTIO 3 Rahoitushuoltopooli Vakuutusalan pooli 11.10.2013 pysähtymiseen: esim. maksujenvälitys ja korttimaksaminen, josta kaikki hallinnonalat ja taloudellinen toiminta ovat riippuvaisia. Tällä hetkellä maksujenvälityksen haavoittuvuutta lisää pääosin ulkomaille ulkoistettu infrastruktuuri. Maksujenvälityksen ja korttimaksamisen häiriöttömän ja turvallisen toiminnan varmistaminen edellyttää eri hallinnonalojen ja huoltovarmuusorganisaation entistä tiiviimpää yhteistoimintaa. 6 Yhteistyö Kyberturvallisuuteen liittyvää yhteistyötä tulee tehostaa ja tiiviistää kaikilla tasoilla: - hallinnonalojen sisällä ja niiden välillä; - elinkeinoelämän sektoreiden sisällä ja niiden välillä; - elinkeinoelämän (mukaan luettuina järjestöt) ja hallinnon välillä; sekä - kansallisesti ja kansainvälisesti (erityisesti Euroopan tasolla). Mahdollisia yhteistyömuotoja ovat esim. - konkreettisen avun tarjoaminen suuremman kokoluokan kyberhyökkäyksissä; - toimijoiden tukeminen kyberhyökkäysten jälkiselvittelyissä (esim. vahinkojen minimointi, todistusaineiston turvaminen, tutkintapyyntöjen laatiminen, jne.); - tiedottaminen, kouluttaminen ja valmistaminen (ei liian teknologiapainotteisesti, koska suuri osa onnistuneista kyberhyökkäyksistä edellyttää ihmisen myötävaikutusta) - kansainvälisten, erityisesti pohjoismaisten ja eurooppalaisten yhteistyömuotojen ja -verkostojen kehittäminen.