Kyberturvallisuus Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö
Kyberturvallisuuskeskuksen yhteiskunnallinen vaikuttavuuus Kansallinen CERT-toiminto; ohjeet, tiedotteet, haavoittuvuuskoordinaatio jne. Yleiset haittaohjelmat Tietoturvauhat Teleyritysten toimenpiteet Maailman puhtaimmat verkot Edistyneet hyökkäykset HAVARO Ennalta tuntematon uhka Loppukäyttäjien omat tietoturvakontrollit Kansalaiset Valtionhallinto Elinkeinoelämä Internetistä tulevat tekniset tietoturvauhat, joihin voidaan kohdistaa toimenpiteitä SVTsL:n ja VML:n perusteella, mm. Vivin Autoreporter Teleyritysten suorittamat suodatustoimenpiteet ja saastuneiden järjestelmien puhdistuttaminen Viestintäviraston erityisen tunnistekannan ja tietoliikennepoikkeamien perusteella havaittavat uhat Vaatimuksenmukaisuus, NCSAtoiminto kohdistuen yrityksiin ja valtionhallintoon (L 2004/588, 1405 ja 1406/2011) Päällikkö Jarkko Saarimäki 2
Tilannekuvapalvelut TIEDON KERÄYS TIEDON JALOSTAMINEN TIEDON JAKELU Lakisääteiset tiedonlähteet Julkinen Rajoitettu jakelu Pikatilannekuva Salassa pidettävä Julkiset lähteet Kausikatsaukset Mediaseuranta Analysointi Ilmoitus / päätös asianomaiselle tai ilmoitusvelvolliselle Toimialakohtainen julkaisu Omat havainnointijärjestelmät Tiedonvaihtoverkostot Viranomaistilannekuva Asiakaskohtainen julkaisu Ohjeet Jarkko Saarimäki, Kyberturvallisuuskeskus 3
Jatkuvuussuunnittelu: osa organisaation normaalia toimintaa Jarkko Saarimäki, Kyberturvallisuuskeskus 4
Kansainvälisesti toteutetun palvelun tietoturva
Yleistä Oliko Snowdenin paljastuksissa mitään uutta?» Esimerkkeinä Echelon ja Ruotsin FRA-tiedustelu» Palveluntarjoajiin kohdistuneet velvoitteet konkretisoituivat» Siirrettävä tieto ja tallennettu tieto Tiedustelutoiminta Pakkokeinot» Pakkokeinot Tarkkarajaisia Käyttö ainoastaan rikosprosessiin» Tiedustelutoiminta Kohdistuu kaikkeen saatavilla olevaan tietoon Käyttö?,? ja? 6
Kolmen tyyppisiä palveluita 1. Kokonaan Suomessa toteutetut palvelut» Toteutus ja ylläpito kokonaan Suomessa 2. Osittain ulkomailla toteutetut palvelut» Alihankinta 3. Ilman suomikytköstä toteutetut palvelut» Ulkomaalainen yritys tarjoaa palvelua internetissä» Sopimussuhde käyttäjän ja ulkomaisen yrityksen välillä Kahta ensimmäistä ryhmää voidaan velvoittaa kansallisella sääntelyllä 7
Havaintoja Teleyritys voi suojata tietoja vain omassa palvelussaan Ulkomailla toteutettaviin palveluihin sovelletaan myös muiden valtioiden sääntelyä» Sääntelyssä voidaan velvoittaa palveluntarjoaja Suomen sääntelyn kannalta ristiriitaisiin toimenpiteisiin» Osapuolten välisellä sopimuksella ei voida ylittää pakottavaa sääntelyä Viestintäpalveluiden käyttäjien on kuitenkin voitava valita haluamansa viestintäpalvelut» Edellytyksenä on riittävä tietoisuus palveluiden keskeisistä ominaisuuksista» Ainoastaan suomikytköksen omaavia teleyrityksiä voidaan velvoittaa tiedottamiseen 8
Viestintäviraston jatkotoimet Viranomaistiedotuksen lisääminen» Ohje viestinnän suojaamisesta» Ohje palveluiden yksityisyydensuojaominaisuuksista Tiedottaminen keskiössä» Asiakkaiden tiedotettava mitä ostavat» Laadittu ohje palvelun ominaisuuksista viestimisestä» Painopisteenä valvonnassa Kansainvälisen regulaattoriyhteistyön kehittäminen 9
Tietoyhteiskuntakaari
Määritelmä: Viestinnän välittäjä Viestinnän välittäjällä tarkoitetaan teleyritystä, yhteisötilaajaa ja sellaista muuta tahoa, joka välittää sähköistä viestintää muutoin kuin henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin. Yhteisötilaaja» Yritykset» Virastot» Muut yhteisöt Pykälässä tarkoitetut muut tahot» Suomi24» Facebook» Linkedin 11
Viestinnän välittäjä Terve Ville, lähdetkö pelaamaan tennistä töiden jälkeen? Terve Heikki, käyn ensin lääkärissä, mutta mennään sen jälkeen. Viestinnän välittäjät Viestinnän osapuoli Viestinnän osapuoli Yhteisö tilaaja Teleyritys Yhteisö tilaaja Tilaan 3000 litraa lämmitysöljyä omakotitalooni. Pyydän tilausvahvistusta. Tilaus vahvistettu. Öljy toimitetaan ensi viikon maanantaina. 12
Tapahtumatietojen tallentaminen (145 ) Viestinnän välittäjän on tallennettava yksityiskohtaiset tapahtumatiedot luottamuksellisuuden ja yksityisyyden suojan kannalta keskeisiä välitystietoja sisältävissä tietojärjestelmissä tapahtuvasta välitystietojen käsittelystä, jos se on teknisesti ja ilman kohtuuttomia kustannuksia mahdollista. Tapahtumatiedoista on käytävä ilmi käsittelyn ajankohta, kesto ja käsittelijä. Tapahtumatiedot on säilytettävä kaksi vuotta niiden tallentamisesta. 13
Verkkoon liitettävät järjestelmät (246 ) Tilaajan on ylläpidettävä yleiseen viestintäverkkoon liitettävää laitetta tai järjestelmää teleyrityksen antamien ohjeiden mukaisesti siten, ettei se vaaranna yleisen viestintäverkon ja -palvelun tietoturvallisuutta. 14
www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi