Post on 30-May-2020
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt
TIHA-työryhmä
15.05.2000
Sisällysluettelo 1. Johdanto
1.1 Työryhmän asettaminen ja tehtävä 1 1.2 Tietoturvallisuuden uhkat ja kehittämistarve 3 1.3 Aikaisemmat selvitykset 6 1.4 Kansainvälinen tilanne 7
2. Suomen tietoturvallisuuden tilanne 10 3. Tietoturvallisuuden kehittämiskohteet
3.1 Tietoliikenneturvallisuuden testaus, hyväksyntä ja valvonta 12 (ns. Comsec –toiminta)
3.1.1 Ennalta ehkäiseviä toimenpiteitä 13 3.1.2 Toiminnan aikaisia toimenpiteitä 14
3.2 Tuotteiden ja järjestelmien tietoturvallisuuden testaus, sertifiointi ja valvonta (mm. ns. CCB-, QCB- ja CB –toiminto) 14
3.3 Tietoturvaloukkausten ja muiden ongelmien havainnointi ja ratkaiseminen (ns. CERT –toiminto) 17
4. Ehdotus tietoturvallisuuden toimintojen ja hallinnon järjestämiseksi
4.1 Toteuttamisperiaatteet 19 4.2 Kehittämiskeinot 20 4.3 Hallinnon vastuut ja viranomaistoiminnan kehittäminen 21
4.3.1 Tietoliikenneturvallisuus 21 4.3.2 Tietojärjestelmien turvallisuus 24 4.3.3 CERT –toiminnot 30 4.3.4 Yhteistyön kehittäminen ja koordinointi 35
4.4 Resurssitarve ja rahoitus 36 4.5 Jatkotoimenpiteet 37
5. Yhteenveto 38 LIITE Luettelo käytetyistä lyhenteistä 42
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
1
1. Johdanto
1.1 Työryhmän asettaminen ja tehtävä
Tietojärjestelmien ja -liikenteen turvallisuutta ja suojaamista on sivuttu aikaisemmin
useissa työryhmissä, jolloin esille on noussut tarve tarkentaa tietoturvallisuuden osa-
alueiden vastuukysymykset. Viimeksi asiaa on pohdittu puolustusneuvoston
asettamassa työryhmässä, joka jätti mietintönsä hallintoministeri Jouni Backmanille
1.4.1999 ja joka päätyi esittämään työryhmän perustamista tarkemmin selvittämään
tämän sektorin hallinnon järjestämistä Suomessa.
Paavo Lipposen II hallitus päättikin hallitusohjelmansa viestintää koskevassa osassa
selvittää, miten tietoliikenteen ja tietoverkkojen turvallisuus- ja suojaustekniset
kysymykset tulisi hallinnollisesti järjestää. Liikenneministeri Olli-Pekka Heinosen kanssa
käydyn neuvottelun jälkeen liikenneministeriö pyysi puolustustaloudellisen
suunnittelukunnan tietojärjestelmäjaostoa toimenpiteisiin tämän selvityksen laatimiseksi.
PTS:n tietojärjestelmäjaosto asetti 10.5.1999 projektiryhmän laatimaan perusselvityksen
siitä, mikä olisi tarkoituksenmukaisin ja toimivin tapa järjestää tietojärjestelmien ja
tietoliikenteen tietoturvallisuuden hallinnolliset vastuukysymykset Suomessa ottaen
huomioon järjestelmien teknisen kehityksen vaatimukset sekä järjestelyjen tehokkuus ja
toteuttamiskelpoisuus. Hallinnollisten järjestelyjen pohjaksi ja perusteeksi laadittavalle
selvitykselle annettiin aikaa huhtikuun 2000 loppuun. Tietojärjestelmäjaoston käsittelyn
jälkeen se oli määrä toimittaa asianomaisille viranomaistahoille.
Projektin kokoonpano oli seuraava:
Puheenjohtaja, ylijohtaja Mika Purhonen Huoltovarmuuskeskus
Alivaltiosihteeri Heikki Aaltonen valtioneuvoston kanslia
Ylijohtaja Jorma Karjalainen valtiovarainministeriö
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
2
Neuvotteleva virkamies Kaarlo Korvola sisäasiainministeriö
Tietohallintopäällikkö Christer Lundqvist puolustusministeriö
Jaostopäällikkö Rauli Parmes liikenneministeriö
Tietosuojavaltuutettu Reijo Aarnio Tietosuojavaltuutetun toimisto
Osastopäällikkö Hannu Haaranen Suojelupoliisi
Rikosylikomisario Veli-Pekka Loikala Keskusrikospoliisi
Everstiluutnantti Kalevi Halonen Pääesikunta
Johtaja Tapani Rantanen Telehallintokeskus
Tarkastuspäällikkö Olli Uotila Valtiontalouden tarkastusvirasto
Työryhmän työhön ylijohtaja Jorma Karjalaisen sijaisena on osallistunut neuvotteleva
virkamies Arja Terho. Projektiryhmän sihteeriksi kutsuttiin apulaisjohtaja Ilkka Kananen
Huoltovarmuuskeskuksesta.
Projektiryhmä kokoontui 14 kertaa. Projektiryhmä on työnsä kestäessä kuullut kaikkien
mukana olevien organisaatioiden edustajien näkemykset aihepiirin asioihin. Lisäksi se on
kuullut asiantuntijoina Teknillisen korkeakoulun tietotekniikan osaston professoreita
Jukka Kemppistä ja Martti Mäntylää.
Projekiryhmä teetti FL Hannu Koukkulalla, IS-Comsec Oy:stä, kansainvälisen
vertailevan selvityksen säädöspohjasta, tietoturvallisuustoimenpiteistä ja hallinnollisista
järjestelyistä muissa länsimaissa sekä selvityksen tietoturvallisuuden tilanteesta
Suomessa. Taustaselvityksiä käytettiin hyväksi loppuraportin vastaavien kohtien
laadinnassa.
Projektiryhmän edustajat tekivät myös tutustumismatkan 16.9.1999 Saksan Bonnissa
toimivaan tietoturvallisuuden keskusvirastoon, Bundesamt fur Sicherheit in der
Informationstechnik (BSI). Matkalla tutustuttiin viraston tehtäviin ja käytännön
toimintaan tietoturvallisuuden kehittämisessä.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
3
1.2 Tietoturvallisuuden uhkat ja kehittämistarve
Suomi on yksi johtavista tietotekniikan käyttäjistä maailmassa. Yhteiskunnan kriittiset
toiminnot ja organisaatiot ovat nykyään käytännöllisesti katsoen täysin riippuvaisia
tietojärjestelmien toimivuudesta. Informaatioyhteiskuntakehitys, talouden
verkottuminen sekä yleinen globalisoituminen tulevat entisestään syventämään ja
laajentamaan näitä riippuvuuksien muotoja. Kehitys tekee koko yhteiskunnasta erittäin
haavoittuvan uudenlaisille, tietojärjestelmiin kohdistuville uhkille ja riskeille.
Yhteiskuntaan voidaan vaikuttaa tietojärjestelmiä hyväksi käyttäen yli kansallisten
rajojen. Tänä päivänä puhu-taankin informaatiouhkista, informaatio-operaatioista ja jopa
informaatiosodankäyn-nistä, joka on käynnissä kaiken aikaa.
Informaatiouhkilla tarkoitetaan erilaisia tietojärjestelmiin kohdistuvia uhkia kuten niihin
tunkeutumista, niiden laitonta hyväksikäyttöä, tuhoamista, muuntelua tai tietoverkkojen
avulla vaikuttamista muihin yhteiskunnan kannalta kriittisiin järjestelmiin.
Tunnusomaista uhkille on, että niiden havaitseminen, tunnistaminen ja vaikutusten
arvioiminen on monessa tapauksessa vaikeaa. Tekijää, aikeita, kapasiteettia ja toiminnan
perimmäistä kohdetta ei kyetä arvioimaan. Lisäksi erilaiset informaatio-operaatiot ovat
saamassa organisoituneempia muotoja ja niiden vaikutusala on huomattavasti laajempi
kuin aikaisemmin.
Yhteiskuntien haavoittuvuuden lisääntyminen ja altistuminen tietoteknisille riskeille ja
uhkille perustuvat siihen, että
§ on syntynyt maailman kattava verkosto, joka mahdollistaa tehokkaan ja nopean
viestinnän
§ tieto- ja viestintäteknologia on kehittyneempää, halvempaa ja tehokkaampaa
§ yhä useammat osaavat käyttää tietotekniikkaa
§ informaatio-operaatioita on erittäin vaikea hahmottaa ja niillä on saavutettavissa
suhteessa kustannuksiin suuria hyötyjä
§ yhteiskunnat ovat yhä riippuvaisempia tieto- ja viestintäteknologiasta sekä niihin
perustuvista liiketoiminnan muodoista ja palveluista.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
4
Tietojärjestelmien tarkkailu, kokeilu ja kartoittaminen, niihin tunkeutuminen ja
hyväksikäyttö, tietovarkaudet, teollisuusvakoilu sekä tietojen tuhoaminen ja käytön
sabotointi (tuholaisvirusten levitys, denial of service –hyökkäykset, tietokonerikollisuus,
kyberterrorismi yms.) ovat tämän päivän todellisuutta. Toimintaa tapahtuu yksilöiden,
yritysten ja valtioiden tasolla. Toiminnan takana voivat olla harrastelijat, organisaation
omat työntekijät, tiedotusvälineet, kilpailevat yritykset, rikolliset ja erityisesti järjestäy-
tynyt rikollisuus, poliittiset ääriliikkeet, terroristiryhmät sekä vieraiden valtioiden
tiedusteluorganisaatiot.
Suomessa informaatiouhkien ja tietotekniikkarikosten riskialtteimpia kohteita ovat eri
tahoilta saatujen kokemusten mukaan
§ turvallisuusviranomaiset
§ julkishallinnon organisaatiot
§ korkean teknologian yritykset
§ tietoliikenne- ja viestintäyritykset
§ pankit ja rahoitusyhtiöt
§ korkeakoulut ja oppilaitokset.
Huolimatta eri viranomaisten määrätietoisesta työstä tietojärjestelmien turvaamiseksi
näyttää tietoturvallisuuden taso meilläkin vaativan kehittämistä tehtyjen empiiristen
selvitysten mukaan (Global Information Security Survey, Ernst & Young 1999).
Selvityksessä, johon osallistui runsaat 2000 yritystä Suomesta, koki noin 80 %
tietoturvallisuuden sinänsä tärkeäksi asiaksi. Siitä huolimatta 38 % yrityksistä epäili
turvatoimiensa tasoa ja 60 % niistä ei ollut pohtinut toimintansa jatkuvuutta eikä siihen
liittyviä toimenpiteitä. Suurimpana riskinä pidettiin selkeästi omaa henkilöstöä (80 %).
Viruksia, järjestelmävirheitä, käyttökatkoksia esiintyy jatkuvasti, mutta vain 5 % ilmoitti
tunkeutujista. Tämä kertoo osaltaan informaatio-operaatioiden vaikeasta
havaittavuudesta, mutta varmaankin myös siitä, että laiton tunkeutuminen salataan
usein taloudellisten, turvallisuus-, imago- tai muiden syiden vuoksi.
Johtopäätöksenä varautumistilanteesta voidaan todeta, että
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
5
§ uhkat koskevat sekä julkista että yksityistä sektoria; intressit ovat yhtenevät
§ varautumisen oltava jatkuvaa, kattavaa ja jo normaalioloissa tapahtuvaa, koska
normaali- ja poikkeusoloja ei enää voida erottaa toisistaan
§ tietoturvallisuuden selkeälle viranomaisvastuulle ja toimintojen keskittämiselle on
tarvetta, jotta epäyhtenäisyyttä, hajanaisuutta ja päällekkäisyyttä voitaisiin
vähentää
§ verkottuminen edellyttää yhteistyötä sekä valtionhallinnon sisällä että
elinkeinoelämän kanssa ulkoistamisen ja lisääntyneiden asiantuntijapalveluiden
tarpeen seurauksena
§ nykymuotoisten viranomaisorganisaatioiden mahdollisuudet vastata nopeasti
kehittyvän tietotekniikan mukanaan tuomiin uhkiin ovat rajalliset
§ tarvitaan yhteistä kokonaisstrategiaa sekä nykyistä reaaliaikaisempaa
operatiivista toimintaa informaatiouhkien ja -operaatioiden varalle.
Näihin epäkohtiin ja ongelmiin on meillä kiinnitetty huomiota jo ennen tämän
projektiryhmän asettamista. Tietoturvallisuuden kasvava merkitys on meilläkin selvästi
tiedostettu sekä hallinnossa että yritysmaailmassa. Yrityksissä se nähdään tänä päivänä
tärkeänä kilpailukykytekijänä, jopa toiminnan jatkuvuuden elinehtona. Yhteiskunnan
kannalta se nähdään kansalliseen turvallisuuteen vaikuttavana tekijänä, joka edellyttää
kokonaisvaltaista varautumista ja sen organisointia.
Viime aikoina yhteiskunnan turvaamiseen informaatiouhkia vastaan on kiinnitetty
huomiota valtion ylimmässä johdossa. Puolustusministeriötä ja hallituksen ulko- ja
turvallisuuspoliittista valiokuntaa (UTVA), joka käsittelee tärkeät kokonaismaan-
puolustusta koskevat asiat, avustavana toimielimenä on ollut 1.3.2000 lähtien korkeasta
virkamiesjohdosta koostuva turvallisuus- ja puolustusasian komitea (TPaK). Sen
tehtävänä on mm. seurata ja yhteensovittaa hallinnon eri alojen toimia kokonais-
maanpuolustuksen järjestelyjen ylläpitämiseksi ja kehittämiseksi. Komitea on ryhtynyt
selvittämään informaatiouhkiin varautumista turvallisuuspoliittisesta näkökulmasta.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
6
1.3 Aikaisemmat selvitykset
Laajin ja perusteellisin selvitys maassamme tietoturvallisuudesta valmistui loppu-
vuodesta 1997 valtiovarainministeriön ja Lapin yliopiston yhteistyönä. Tutkimusraportin
”Tietoturvallisuus ja laki. Näkökohtia tietoturvallisuuden oikeudellisesta sääntelystä” oli
määrä toimia tietoturvallisuutta koskevan mahdollisen lainvalmistelun perusselvityk-
senä. Työn taustalla oli tietoturvallisuuden merkitys ja kehitys osana informaatioyhteis-
kunnan perusteita ja oikeutta. Raportissa selvitettiin perinpohjaisesti tietoturvallisuutta
säänteleviä oikeusnormeja ja tietoturvallisuuden sääntelytarpeita useissa länsimaissa ja
myös meillä Suomessa. Selvitystä käsiteltiin lausuntojen yhteenvedon jälkeen ja siinä
vaiheessa (1998) tehtiin tietoinen päätös siitä, että aika ei ollut vielä kypsä erillisen
tietoturvallisuuslain säätämiseen. Joka tapauksessa selvitys on ansiokas alan kartoitus ja
siinä esille nousseet ajatukset ja johtopäätökset ovat olleet myös tämän projektiryhmän
asettamisen taustalla.
Tämän jälkeen vuoden 1999 keväällä puolustusneuvoston asettama työryhmä selvitteli
tietoturvallisuuden hallinnon ja suojaamisen järjestämisen nykytilaa ja kehittämistarvetta
Suomessa. Pääesikunnan päällikön hallintoministeri Jouni Backmanille jättämässä
raportissa ”Yhteiskunnan turvaaminen tietojärjestelmiin kohdistuvilta uhkilta” todettiin,
että tietoturvallisuuden hallinnossa on puutteita ja ongelmia. Tähän olivat jo valtion
tilintarkastajat kiinnittäneet huomiota raportissaan vuodelta 1997. Puolustusneuvoston
raportissa todettiin, että on erittäin tärkeätä ja ajankohtaista selvittää tarkemmin
reaaliaikaisemman operatiivisen toiminnan järjestäminen Suomessa. Siinä esitettiinkin
työryhmän asettamista pohtimaan yksityiskohtaisemman suunnitelman tekemistä asian
hoitamiseksi.
Sinänsä tietoturvallisuuteen liittyviä asiantuntijaselvityksiä ja ohjeistusta on syntynyt
viime vuosina puolustustaloudellisen suunnittelukunnan (PTS) tietojärjestelmäjaostossa,
joka on laatinut monia uhkaselvityksiä ja huoltovarmuusanalyyseja, joiden perusteella on
laadittu valmiusohjeita edistämään ja tukemaan hallinnon ja yksityisen sektorin
toimijoiden omaa valmiussuunnittelua. Niissä keskeisenä johtoajatuksena on ollut aina
se, että valmius poikkeuksellisten olosuhteiden varalle on mielekästä kytkeä normaali-
aikaiseen turvallisuustoimintaan osaksi organisaation toiminnan jatkuvuuden yleistä
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
7
varmistamista. Näin se on motivoitua ja hyväksyttävää toimintaa yrityksissä ja hallinnon
organisaatioissa. Liitteenä on luettelo PTS:n tietojärjestelmäjaoston tähän liittyvästä
laajasta tuotannosta.
1.4 Kansainvälinen tilanne
Projektiryhmä teetti kansainvälisen vertailun, jossa luotiin katsaus säädöspohjaan,
tietoturvallisuustoimenpiteisiin ja hallinnollisiin järjestelyihin eräissä keskeisissä
länsimaissa.
Kaikissa pohjoismaissa on asetettu tietoturvallisuuspoliittisia linjauksia ja päämääriä.
Niissä on nykyään tietoyhteiskuntasuunnitelma, jossa ainakin jossain määrin esiintyy
lausumia tietoturvallisuudesta.
Kaikissa pohjoismaissa kehitetään tieto- ja viestintäteknologian käyttöä julkisessa
hallinnossa. Tietoturvallisuuteen liittyviä ajankohtaisia projekteja ovat muun muassa:
§ Sähköinen arkistointi
§ Sähköinen asiointi
§ Sähköiset päätöksenteko- ja rekisteröintijärjestelmät
§ Sähköinen viestintä sekä
§ Tietojärjestelmien tietoturvallisuutta koskeva yleisohjeistus
Tietoturvallisuusperiaatteita painotetaan erityisesti henkilötietojen suojaan liittyen.
Sähköinen kaupankäynti ja allekirjoitus sekä tietoturvatuotteiden ja palvelujen
sertifioiminen ovat muita ajankohtaisia kysymyksiä.
Missään pohjoismaassa ei ole säädetty kuitenkaan yleistä tietoturvallisuuslakia. Norjassa
1990 –luvun alkuvuoliskolla valmisteltu ehdotus ei ole johtanut lain säätämiseen. Kuten
edellä on todettu, myöskään Suomessa 1998 tehty selvitys ei johtanut lain valmisteluun.
Lainsäädännössä esiintyvät salassapito- ja julkisuussäännökset ilmaisevat, mitä tietoja
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
8
(informaatiota) tulisi suojata. Perinteisesti on kiinnitetty huomiota erityisesti tietojen
luottamuksellisuuden turvaamiseen (salassapitoon ulkopuolisilta). Myös uusimmissa
säädöksissä, esim. Suomen julkisuuslaki (621/1999), päähuomio kiinnitetään
luottamuksellisuuteen.
Yksityisiä koskevaa tietoturvallisuussääntelyä on esiintynyt varsin vähän. Tieto-
turvallisuuteen liittyvät asiat on yksityisoikeudellisissa suhteissa jätetty perinteisesti
sopimusten varaan. Oikeudellisen sääntelyn tarve on kuitenkin lisääntynyt voimak-
kaasti tietoteknologian merkityksen nopean lisääntymisen myötä, erityisesti riskinjakoon
liittyvien epävarmuustekijöiden vuoksi. Sääntelyn tarve koskee tällä hetkellä ehkä eniten
voimakkaasti lisääntymässä olevaa sähköistä kaupankäyntiä ja muuta sähköistä
asiointia.
Kaikissa pohjoismaissa käynnissä olevat, sähköisiä allekirjoituksia ja luotettuja kolmansia
osapuolia (TTP) koskevat hankkeet ovat osoitus siitä, että yksityisen sektorin tietoturval-
lisuusongelmiin ollaan etsimässä ratkaisua.
Ruotsissa on pohdittu perusteellisesti, mikä yhteiskunnan tietoturvallisuusstrategian
tulisi olla ja miten tietoturvallisuuteen liittyvät toiminnot tulisi operatiivisesti järjestää
(Sammanhållen strategi för samhällets IT-säkerhet, Statskontoret 1998:18). Myös Norjassa
ollaan parhaillaan organisoimassa puolustusvoimien yhteyteen asetukseen perustuvaa
tietoturvallisuussertifiointia suorittavaa viranomaistahoa.
Euroopan Unionin alueella Saksa ja Ranska ovat maailman johtavia maita tietoturvalli-
suutta koskevan lainsäädännön alalla sekä tietoturvallisuustyön organisoinnin toteutta-
misessa. Saksassa on erittäin pitkälle viety tietoturvallisuutta koskeva
sääntelyjärjestelmä. Keskeinen hallinnollinen toimija Saksassa liittovaltion tasolla on
sisäasianministeriön hallinnonalalla toimiva Tietotekniikan turvallisuusvirasto
(Bundesamt fur Sicherheit in der Informationstechnik, BSI), jonka vastuulle on
periaatteessa keskitetty kaikki tietotur-vallisuustoiminnot aina testausta ja tuotteiden
sertifiointia myöten. Myös Ranskassa on keskitetty järjestelmä, joka vastaa
tietoturvallisuuden arvioimisesta ja tarkastuksista valtionhallinnossa, toimii hallinnolle
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
9
konsulttina hallinnolle, vastaa koulutuksesta ja tutkimuksesta sekä
kehittämistoimenpiteistä. Salausjärjestelmät on olleet Ranskassa keskeinen keino
suojattaessa informaation luottamuksellisuutta ja luotettavuutta tiedonsiirrossa ja
avoimessa verkkoympäristössä. Ranska on myös tietoturvalli-suusrikosten määrittelyn
ja sanktioimisen osalta eräs maailman johtavista maista.
Englanti on puolestaan tietoturvallisuuden standardien ja laatusertifioinnin yksi johtava
kehittäjä (British Standards Institute, BSI). BSI:n kehittämä, lähinnä yritysten ja organi-
saatioiden johdon käyttöön tarkoitettu BS 7799 –tietoturvallisuusstandardi on merkittävä
hallinnollis-organisatorinen tämän alan tuote. Englannissa on tietoturval-lisuustoiminnan
organisointi viety pitkälle USA:n tapaan. Keskeisiä elimiä ovat mm. the Security Service,
MI5, joka tutkii kansallista turvallisuutta uhkaavia tekijöitä keräämällä, analysoimalla ja
arvioimalla tietoa sekä the Secret Intelligence Service (SIS), MI6, joka tuottaa salaista
tietoa hallituksen turvallisuuden, puolustuksen sekä ulko- ja talouspolitiikan tueksi.
Aivan äskettäin on perustettu nimenomaan kriittisen infrastruktuurin turvaamiseen
keskittyvä National Infrastructure Security Coordination Centre (NISCC).
Yhdysvallat ja Kanada ovat johtavia maita tietoturvallisuutta koskevan sääntelyn sekä
organisoinnin alalla. Yhdysvallat on ottamassa entistä vakavammin niin tietokone-
rikollisuuden yleensä kuin ns. kyberterrorismin erityisesti. Tämä johtuu siitä, että
kansallisen turvallisuuden kannalta kriittinen infrastruktuuri on entistä keskeisemmässä
asemassa ja siksi aikaisempaa todennäköisempi hyökkäysten kohde. Näihin varautu-
minen tulee jatkossa olemaan yksi keskeinen USA:n turvallisuuspolitiikan osa-alue.
Toiminnan tehostaminen on tullut näkyviin uusien organisaatiorakenteiden perusta-
misena. Tärkeä koordinoiva elin on Critical Infrastructure Assurance Office (CIAO).
Varsinainen toimiva viranomainen tällä alueella on the National Infrastructure Protection
Center (NIPC), jonka tehtävänä on aktiivisesti paljastaa, ehkäistä, varoittaa, neuvoa ja
tutkia tietotekniikkarikoksia. NIPC:lla on suora yhteys hallinnon ja teollisuuden sekä
muun elinkeinoelämän infrastruktuurin välille perustettuun yhteiselimeen, Information
Sharing Analysis Centeriin (ISACs).
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
10
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
11
2. Suomen tietoturvallisuuden tilanne
Suomen tietoturvallisuuden tilanteesta tehdystä taustaselvityksessä on tehty seuraavat
tietoturvallisuuden järjestelyjä ja sääntelytarvetta koskevat johtopäätökset:
§ Suomi edustaa sääntelyn osalta muihin maihin verrattuna ”hyvää kansainvälistä
tasoa”
§ Tietoaineistojen luottamuksellisuuden toteuttaminen käytännössä uuden
julkisuuslain ja sitä koskevan asetuksen edellyttämillä tavoilla edellyttää
yksityiskohtaisten toimintaohjeiden luomista. Työ on käynnissä valtionhallinnon
tietoturvallisuuden johtoryhmässä (VAHTI)
§ Suomen tällä hetkellä kansainvälisesti tarkasteltuna korkea teknologian taso
samoin kuin teknologian laaja hyödyntäminen edellyttävät todennäköisesti
Suomelta ”edellä kävijän roolia” myös sääntelyn alueella
§ Sääntely on vielä puutteellinen ainakin seuraavien aiheiden osalta (useimpien
muiden maiden tapaan)
o toimintojen / palvelujen, järjestelmien ja tietoaineistojen eheys ja
käytettävyys
o etätyö
o ulkoistetut palvelut
o luotettujen kolmansien osapuolten (TTP) ja
varmenneviranomaispalvelujen (CA) vaatimukset ja lisensiointi
o sähköisten liiketoimintojen (e-business) sääntely
o toimintojen / palvelujen ja tuotteiden standardointi ja
sertifiointivaatimukset
o kansainvälinen yhteistyö
§ Sääntelyn puutteellisuuksien korjaaminen edellyttänee erityisen tietoturvalain
säätämistä lähivuosien aikana (ehkä seuraavien 3-5 vuoden aikana)
§ Kansainvälinen standardoinnin ja sertifiointien kehittyminen tullee omalta
osaltaan edellyttämään huomattavasti nykyistä tarkempaa standardien huomioon
ottamista erityisesti kansainvälisissä toiminnoissa
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
12
Tietoturvallisuuden jatkuva, nopea kehittyminen eri maissa merkitsee käytännössä myös
sitä, että ajan tasalla olevan ”tilannekuvan” luominen ja ylläpitäminen edellyttävät
erityisen tietoturvallisuuden kehittämiseen ja tutkimiseen erikoistuneen organisaation
jatkuvaa yhteistyötä julkishallinnon vastuullisten viranomaisorganisaatioiden kanssa.
Kehitys edellyttää Suomenkin osallistumista kansainväliseen tutkimus- ja kehittämis-
toimintaan, alan kansainvälisen seurantaan, perus- ja soveltavaan tutkimukseen sekä
erilaisten tietojen, ohjeiden yms. tuottamis- ja jakelutehtäviin. Ilman edellä mainitun
tyyppistä jatkuvaksi organisoitua seuranta-, tutkimus- ja kehittämistyötä Suomi ei voi
pysyä riittävän tehokkaasti mukana tietoturvallisuuden nopeasti kehittyvässä ja
muuttuvassa kansallisessa ja kansainvälissä tarpeiden, vaatimusten ja toteutusten
kentässä.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
13
3. Tietoturvallisuuden kehittämiskohteet
3.1 Tietoliikenneturvallisuuden testaus, hyväksyntä ja valvonta (ns. COMSEC-
toiminto)
Tietoliikenneturvallisuudella, COMSEC, tarkoitetaan kaikkia niitä toimenpiteitä, joiden
avulla pyritään turvaamaan tieto- ja telejärjestelmissä siirrettävien tietojen
luottamuksellisuus, eheys ja käytettävyys tietojen siirron aikana sekä välittömästi ennen
siirtoa ja sen jälkeen. COMSEC on lyhenne termistä Communications Security eli
tietoliikenneturvallisuus.
COMSEC-toiminto jakaantuu kahteen laajempaan tehtäväkokonaisuuteen. Näistä
ensimmäinen on salaamisen laadun varmistaminen ja valvonta, joka käsittää
§ salakirjoituksen tutkimuksen, testauksen ja sertifioinnin
§ yksityisen ja julkisen verkon rajapintojen turvallisuuden varmistamisen
(palomuurit, reitittimet
§ salaus- ja muun teknisen tietoturvallisuuden hallinnointi
§ salaustekniikan käytön laadukas järjestäminen ja valvonta
§ kansainvälisten viranomaisyhteyksien hoitaminen.
Toinen tehtäväkokonaisuus on tietoliikenneverkkojen käytettävyyden, luotettavuuden
ja turvallisuustoimenpiteiden valvonta, joka perustuu yksityisyyden suojasta televies-
tinnässä ja teletoiminnan tietoturvasta annettuun lakiin (565/1999). Tähän kuuluvia
tehtäviä ovat
§ tietoturvallisuusuhkien seuranta ja valvonta
§ turvallisuusohjeistuksen toteuttamisen tarkastus ja valvonta
§ tietoturvallisuutta koskevien määräysten antaminen alan toimijoille
§ poikkeusoloihin varautuminen.
Käsitteen laajemman tulkinnan kannalta on olennaista se, että tietoliikenteen osalta
normeerataan salaamisen taso, käytettävyys ja suojaustekniset järjestelyt siten, että koko
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
14
organisaation kriittisten tietojärjestelmien tietoturvallisuus täyttää tietyt vaatimukset.
Tärkeimpiä tähän liittyviä yksityiskohtaisia käytännön tehtäviä ja toimenpiteitä ovat:
§ salakuuntelun ja / tai sen tulosten hyödyntämisen estäminen sekä muu
luottamuksellisuuden turvaaminen
§ tiedonsiirron ja siirrettävien tietojen eheyden varmistaminen, sisältäen tietojen
lähteet ja kohteet
§ kiistämättömyyden varmistaminen
§ salausteknisen tietoturvallisuuden tekninen hallinnointi
§ tietojen siirtojärjestelmän palveluvarmuuden turvaaminen
§ verkkoelementtien (aktiivilaitteiden) turvallisuudesta huolehtiminen
§ turvallisen reitityksen järjestäminen
§ tietoturvaloukkausten havainnointi ja niihin reagointi
§ verkon ja verkkoelementtien hajasäteilystä aiheutuvien uhkien torjuminen.
COMSEC voidaan vielä lisäksi jakaa ennalta ehkäiseviin ja toiminnan aikaisiin eli ongelmien
ratkaisemiseksi suoritettaviin toimenpiteisiin.
3.1.1 Ennalta ehkäiseviä toimenpiteitä
Tietoliikennejärjestelmän tietoturvallisuuden rikkoutumisen ennalta ehkäiseviä
toimenpiteitä ovat:
§ uhkien sekä riskien arviointi ja analyysi
§ tietoturvallisuuden vaatimusten määrittely
§ tietoturvallisuuden vaatimusten toteutuvuuden arviointi, analyysi ja testaus
§ käytettävien tietoturvallisuuden kehittämismekanismien analysointi ja testaus
§ tietoliikennejärjestelmän ja tietoturvallisuuden kehittämismekanismien
tietoturvallisuusominaisuuksien sertifiointi
§ sertifioitujen järjestelmien käyttö
§ laitteiden ja järjestelmien fyysinen suojaus
§§ salausteknisten suojausten käyttöönotto.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
15
3.1.2 Toiminnan aikaisia toimenpiteitä ovat
Tietoliikennejärjestelmän tietoturvallisuuden toiminnan aikaisia turvaamistoimenpiteitä
ovat:
§ valvonta ja hallinnointi (kohdassa 3.1. luetellut kohteet)
§ luottamuksellisuuden turvaaminen salausmenetelmiä käyttäen
§ tietojen eheyden turvaaminen salausmenetelmiä käyttäen
§ tietolähteiden ja –kohteiden varmistaminen salausmenetelmiä käyttäen
§ kiistämättömyyden varmistaminen salausmenetelmiä käyttäen
§ tietoturvallisuusongelmien havainnointi ja niihin reagointi sekä raportointi.
Vastuuviranomaisia tämän tietoturvallisuuden toiminnon osalta ovat yleensä tietoliiken-
teen ja viestinnän hallinnosta vastaavat viranomaiset. Sertifioinnin osalta kuitenkin tarvi-
taan yhteistyötä eri viranomaisten ja alan toimijoiden kanssa.
3.2 Tuotteiden ja järjestelmien tietoturvallisuuden testaus, sertifiointi ja
valvonta (mm. ns. CCB-, QCB-toiminto sekä CB-toiminto)
Tällä toiminnolla tarkoitetaan tieto- ja telejärjestelmien elementtien sekä kokonaisten
järjestelmien tietoturvallisuuden arviointia, testausta ja sertifiointia. Jatkossa se kattaa
myös kokonaisten palvelujen ja muiden toimintojen tietoturvallisuuden arvioinnin,
testauksen ja sertifioinnin. Sertifiointi on tuotteiden vaatimuksenmukaisuuden arviointia
ja hyväksymiskelpoisuuden varmentamista. QCB on lyhenne termistä Qualifying
Certification Body, joka on erityiset laatuvaatimukset täyttävä ”päteväksi todennettu
sertifiointilaitos”. Termiä käytetään ITSEC-kriteeristön (Information Technology Security
Evaluation Criteria) mukaisen kansainvälisen vastavuoroisen tietoturvallisuusserti-
fiointien hyväksynnän piirissä olevista sertifiointielimistä. Nämä täyttävät vastavuo-
roisen hyväksynnän sopimusjärjestelyn mukaiset vaatimukset ja ovat sopimusta hallin-
noivan hallintokomitean hyväksymiä. Vastaavasti Common Criteria -kriteeristön (CC)
mukaisen kansainvälisen hyväksynnän piirissä olevia sertifiointielimiä kutsutaan nimellä
Compliant Certification Body (CCB). Certification Body (CB) on mikä tahansa elin tai
organisaatio, joka suorittaa sertifiointitoimintaa.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
16
Puhuttaessa tuote- ja järjestelmäsertifioinnista on syytä tehdä ero yleisen markkina-
ehtoisen sertifioinnin ja viranomaisten kriittisiä tietojärjestelmiä koskevan, erityis-
vaatimukset täyttävän sertifioinnin välille. Tämä puoli on tietoturvallisuuden kehittä-
misen kriittisin alue. Toisaalta on tehtävä myös ero tuotteiden, palveluiden ja järjestel-
mien sertifioinnin välille.
Vapaaehtoisen sektorin toimijoille tarkoitettu sertifiointitoiminta edellyttää, että
§ on olemassa sertifiointiorganisaatio, joka vastaa sertifiointitoiminnan
toteuttamisesta sekä evaluointi- ja sertifiointijärjestelmien toiminnan valvonnasta
§ se on omassa maassaan akkreditoitu (EN 45011)
§ se on muodostettu kunkin maan lakien ja hallinnollisten käytäntöjen mukaisesti
täyttämään akkreditoinnin vaatimukset
§ se tekee itsenäisesti tietoturvallisuuden arviointeja
§ se soveltaa hyväksyttyjä arviointikriteerejä ja –metodeja oikein ja
johdonmukaisesti
§ se suojaa riittävin keinoin arviointityöhön liittyvien arkaluonteisten tietojen
luottamuksellisuuden.
Yleistä akkreditointimenettelyä varten Suomessa on olemassa elin, kauppa- ja teollisuus-
ministeriön alainen Mittatekniikan keskus (MIKES), joka akkreditoi eli toteaa päteväksi
laboratorioita, tarkastuslaitoksia, sertifiointielimiä ja EMAS-todentajia. Se voi tehdä myös
erityisvaatimuksiin (esim. viranomaisten asettamiin) perustuvia pätevyyden arviointeja.
Se edustaa Suomea akkreditointielinten kansainvälisessä yhteistyössä ja sen toiminta
perustuu asetukseen (1568/91). Kansainvälisiin kriteereihin perustuva akkreditointi on
menettelytapa, jonka avulla toimielimen pätevyys ja sen antamien todistusten uskotta-
vuus voidaan luotettavasti todeta.
Sertifiointilaitos antaa sertifikaatteja vapaaehtoisesti niitä hakeville tuottajille ja käyttä-
jille. Apuna hakijan tuotteiden tai palvelujen tason ja vaatimuksenmukaisuuden
arvioinnissa ja testaamisessa se voi käyttää arviointielimiä (evaluation body EB,
evaluation facility EF) sekä muita asiantuntijaorganisaatioita.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
17
Markkinaehtoista sertifiointia varten on siis olemassa rakenne. Tällä alueella toimii
Suomessa mm. SFS-Sertifiointi Oy, joka sertifioi mm. organisaatioiden tietoturvalli-
suuden järjestelmiä ja toimintaprosesseja. SFS:n tietoturvasertifiointi perustuu englan-
tilaiseen BS 7799b -laatustandardiin.
Kaupallisia tuotteita varten on luotu myös kansainväliset menettelytavat. EU:n toimesta
on 1997 tehty tietoturvallisuusalan tuotteiden sertifikaattien vastavuoroista hyväksy-
mistä koskeva EU- ja EFTA-maiden välinen sopimus (Mutual Recognition Agreement of
Information Technology Security Evaluation Certificates, ITSEC MRA). Järjestelmän
hallinnointia varten luotiin hallintokomitea (Management Committee), jonka työhön VM
on osallistunut Suomen edustajana. Hallintokomitea myöntää hakemuksesta sertifioijalle
lisäpätevyyden (qualifying). Hakijan on kyettävä osoittamaan käytännössä (demonstroi-
maan) hallintokomitealle sen yksimielisesti hyväksymällä tasolla täyttävänsä laatuvaati-
mukset, jotka on määritelty MRA:ssa erikseen (noin kaksi A4-sivua).
Sertifikaattien antaminen on tähän saakka perustunut EU-maiden luomaan ns. ITSEC-
kriteeristöön. ITSECin rinnalle, ja siirtymäajan jälkeen sen kokonaan korvaamaan on
kehitetty Common Criteria -kriteeristö (CC), joka on myös hyväksytty ISO-standardiksi.
Suomi on pitänyt tärkeänä tietoturvallisuuden laaja-alaisen kehittämisen vuoksi luotuja
sertifiointi- ja vastavuoroisen hyväksymisen järjestelmiä ja menettelytapoja. CC:n
mukaisten tietoturvallisuussertifikaattien vastavuoroisen hyväksynnän sopimus
allekirjoitetaan toukokuussa 2000. Sopimuksen allekirjoittavat ITSEC-sertifiointien
vastavuoroisen hyväksynnän allekirjoittajamaiden lisäksi USA, Kanada, Australia ja
Uusi-Seelanti – jatkossa mahdollisesti myös Japani, Korea ja Israel. Suomi (VM) osallistuu
CCRA MG:n (Common Criteria Recognition Arrangement Management Group) työsken-
telyyn.
Viranomaisten kriittisiä tietojärjestelmiä ja tärkeysluokiteltuja virastoja ja laitoksia varten
tulee olla olemassa operatiivinen viranomainen, joka arvioisi viranomaisia varten ja
heidän tilaamanaan laitteiden ja järjestelmien tietoturvallisuutta ja hoitaisi sertifiointi-
toiminnan (CCB, QCB) valvontaa. Sen toimintakenttä sisältäisi silloin seuraavia tehtäviä:
§ tieto- ja telejärjestelmien elementtien sekä kokonaisten järjestelmien, jatkossa
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
18
myös kokonaisten palvelujen ja muiden toimintojen tietoturvallisuuden valvonta
§ tuki tietoturvallisuustason arvioinneille
§ tuki tietoturvallisuuden kehittämiselle
§ tuki hankintojen valmisteluille
§ tuote- ja markkinavalvonta
§ tuki Suomessa tehtävälle laite- ja järjestelmäkehitykselle
§ perustutkimus
§ sertifiointijärjestelmän normistojen tekninen analysointi
§ tulosten välittäminen käyttäjille sekä laitteiden ja järjestelmien valmistajille
§ normistojen kehitysnäkymien jatkuva seuranta osana perustutkimusta
Suomessa ei ole toistaiseksi tämän tason sertifioijia. Kotimaisten testaus- ja sertifiointi-
laitosten lisäksi voidaan tukeutua muiden maiden päteväksi todettujen laitosten antamiin
sertifikaatteihin.
Tästä sektorista vastaavan viranomaisen tehtävänä olisi edustaa Suomea kansainvälisessä
yhteistyössä sekä koota alaan liittyvää osaamista ja kokemuksia. Eri maissa tämä
toiminto on yleensä annettu saman viranomaisen tehtäväksi, joka vastaa
tietoliikenneturvallisuu-destakin.
3.3 Tietoturvaloukkausten ja muiden ongelmien havainnointi ja ratkaiseminen
(ns. CERT- toiminnot)
Tietoturvallisuuden ajankohtaisia tapahtumia, loukkauksia ja muita ongelmia sekä
niiden ratkaisuja maailmanlaajuisesti ja jatkuvasti seuraavaa ja tietoturvallisuuden
”neuvonanta-jien” organisaatiota kutsutaan nimellä CERT. CERT on lyhenne termistä
Computer Emergency Response Team.
Tehtävänään CERT -viranomainen
§ toteuttaa valtakunnallista tapahtumaseurantaa, dokumentointia ja tilastointia
§ muodostaa ja ylläpitää tilannekuvaa informaatiouhkista ja –operaatioista sekä
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
19
tiedottaa tehokkaasti havainnoistaan
§ antaa suosituksia, neuvontaa ja ohjeistusta tietoturvallisuuden kehittämiseksi
§ suorittaa tietoturvaratkaisujen tutkimista, testaamista ja kehittämistä
§ antaa ennalta ehkäisevää konsultointia ja varoittamista tietoturvaongelmissa
§ antaa nopeasti ja tehokkaasti apua välittömien ongelmien ratkaisemisessa eli
järjestää tapahtumien tunnistamisen, rajaamisen, eristämisen ja torjunnan sekä
niiden tutkinnan
§ muodostaa hyvät yhteydet laite-, verkko- ja ohjelmistotoimittajiin sekä poliisiin ja
muihin viranomaisiin sekä koordinoi tietoturvallisuusyhteistyötä
§ seuraa ja analysoi informaatiouhkiin liittyvää kansainvälistä ja muuta kehitystä
§ hoitaa kansainväliset viranomaisyhteydet CERT –toiminnassa.
CERT -toiminto muodostuu siis toisaalta ongelmien havaitsemiseen ja toisaalta niiden
välittömään ratkaisemiseen liittyvistä toimista. Keskeisenä tavoitteena on pidetty infor-
maatiouhan realistisen tilannekuvan muodostamista ja ylläpitoa sekä ennaltaehkäisevä
turvallisuustoimintaa. CERT -toimintaan on liitetty myös torjuntatoimenpiteet eli
erilaisten tietoturvaloukkausten monitorointi ja jäljittäminen, rajaaminen ja estäminen,
rikostutkinta, turvajärjestelmien aukkojen korjaaminen, elintärkeiden verkkojen suojaa-
minen sekä hyökkäysten dokumentointi ja niistä varoittaminen. Toiminnan luonteesta ja
eri tahojen moninaisuudesta johtuen tätä tehtäväaluetta on vaikea osoittaa jollekin
määrä-tylle viranomaiselle. Toiminnon järjestämisen tulee perustua hajautettuun
yhteistyö-malliin, jossa ovat mukana sekä julkisen että yksityisen sektorin toimijat.
Kokonaisuuden hallinta edellyttää koordinointia ja yhteensovittamista.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
20
4. Ehdotus tietoturvallisuuden toimintojen ja hallinnon
järjestämiseksi
4.1 Toteuttamisperiaatteet
Projektiryhmän esityksen keskeinen lähtökohta on, ettei maahan perusteta tietoturvalli-
suutta varten uusia viranomaisorganisaatiota, mutta varautuminen tietoteknisiä uhkia
vastaan on meilläkin organisoitava. Kehittämisen kohteena olevat tietoturvallisuuden
viranomaistoiminnot tulee hoitaa laajentamalla ja täsmentämällä niiden olemassa olevien
viranomaisten tehtäviä, joille se luontevimmin soveltuu ja joilla on jo entuudestaan niihin
liittyvää toimintaa ja asiantuntemusta. Lisäksi viranomaisten yhteis-toimintaa on tehos-
tettava ja työnjakoa selkeytettävä. On siis tavallaan valittu pienelle valtiolle sopiva
hajautettu kehittämismalli.
Tietoturvallisuuden kaikille eri toiminnolle on osoitettava vastuuviranomaiset, jotka
huolehtivat yleisestä ohjauksesta, norminannosta ja kansainvälisten viranomaisyhteyk-
sien hoitamisesta sekä toisaalta teknisistä asiantuntijatehtävistä, kuten testaukseen,
hyväksymiseen, neuvontaan ja seurantaan liittyvästä operatiivisesta toiminnasta.
Olennaisena on pidetty sitä, että luodaan reaaliaikaista, normaaliaikana tapahtuvaa
toimintaa, koska informaatiouhkat ja –operaatiot ovat tämän päivän todellisuutta.
Edelleen on lähdetty siitä, että viranomaisohjaus ja regulointi toteutetaan joustavasti ja
kevyellä organisaatiolla. Markkinaehtoiselle toiminnalle jätetään tilaa ja tuetaan sen
edellytyksiä tarvittaessa julkisen vallan toimenpitein.
Talouden verkottuminen edellyttää yhteistyön laajentamista ja tehostamista eri toimi-
joiden välillä. On luotava tavallaan tietoturvallisuusalan yhteistyöverkosto. Tarvittaisiin
eri tahoista laajasti koostuva tietoturvallisuusasioita käsittelevä neuvottelukuntatyppinen
elin. Tällaisen periaatteessa muodostaa PTS:n tietojärjestelmäjaosto toimikuntineen.
Valtionhallinnon sisäistä yhteistyötä on kehitettävä, jotta saavutettaisiin parempi tiedon-
vaihto, koordinaatio ja valmistelu (VM/VAHTI). Elinkeinoelämän ja valtion välille on
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
21
luotava toimiva yhteistyömalli, joka perustuu yhteisille intresseille. Julkisen vallan
kannalta parannetaan koko yhteiskunnan turvallisuutta ja jatkuvuutta, yritysten
kannalta saavutetaan korkeampi sisäinen turvallisuustaso, joka parantaa samalla myös
liiketoimin-nan harjoittamisen yleisiä edellytyksiä.
Ongelmana on ollut löytää maasta riittävää tietoturvallisuusalan teknistä asiantunte-
musta. Maahan on rakennettava tämän alan ennalta ehkäisevään neuvontaan ja suojaus-
tekniseen tukeen, tilanneseurantaan ja raportointiin, informaatiouhkien tunnistamiseen,
torjuntaan ja analysointiin sekä ongelmien ratkaisemiseen kykenevä asiantuntija-
keskittymä. Uusiin toimintoihin liittyviä palveluja on myös kunnallis-hallinnon ja
yksityisen elinkeinoelämän voitava hyödyntää.
Suojautumisjärjestelmien luomisessa on kuitenkin lähdettävä siitä, että suojaustekniikka
kulkee aina “hyökkäysteknologian” jäljessä ja täydellinen suojaus tulee äärimmäisen
kalliiksi. Esimerkiksi korkeatasoiset testauslaitteet ovat erittäin kalliita. On tavallaan
löydettävä optimi kustannusten ja turvallisuustason välille.
Henkilöresurssien tarpeeseen vaikuttaa puolestaan se, miten laajat ja yksityiskohtaiset
vaatimukset sekä testaus-, tarkastus-, sertifiointi- ja valvontatehtävät tietoturvallisuuden
kehittämiselle asetetaan.
4.2 Kehittämiskeinot
Tietoturvallisuuden kehittämiskeinoja ovat periaatteessa säädöksiin perustuva sääntely,
julkisen vallan suosituksiin, ohjeisiin ja määräyksiin perustuva ohjaus sekä markkina-
ehtoinen turvallisuustoiminta.
Valtiovarainministeriö selvitti vuonna 1998 tietoturvallisuutta koskevan lain tarvetta,
mutta aika ei ollut vielä kypsä. Hallinnon lausunnot esitykseen olivat lähes
poikkeuksetta myönteisiä; yksityinen sektori oli lausunnoissaan varauksellisempi lain
tarpeellisuudesta peläten mahdollisten velvoitteiden aiheuttamia tietojärjestelmien
lisäkustannuksia. EU:n tietoturvallisuutta koskevat direktiivit tulevat joka tapauksessa
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
22
ohjaamaan kehitystä myös meillä. Valtionhallinnon kriittisten järjestelmien
turvallisuuden tulisi perustua suhteellisen vahvaan normiohjaukseen. Tähän saakka
tietoturvallisuuden kehittäminen on perustunut valtioneuvoston periaatepäätöksiin ja
niiden perusteella toteutettuun ohjaukseen. Vaikka periaatepäätökset ovatkin
valtioneuvoston tahdonilmauksia, normeina ne ovat luonteeltaan suosituksia.
Erillislakeja on sen sijaan olemassa ja ne sisältävät tietoturvallisuusvelvoitteita. Tele-
viestinnän puolella tietoturvallisuuden kehittämisen perusta on em. laki yksityisyyden
suojasta televiestinnässä ja teletoiminnan tietoturvasta (565/1999). Telehallintokeskus on
antanut lain perusteella tarkempia määräyksiä. Telemarkkinalaki (566/99) sisältää tele-
operaattorien varautumisvelvoitteen. Henkilötietolaki (523/99) määrittelee vaatimukset
rekisterinpitäjille tietoturvallisuuden toteuttamisesta. Viranomaisia koskeva hyvä tiedon-
hallintapa ja siihen liittyvät velvoitteet on määritelty laissa viranomaisten toiminnan
julkisuudesta (621/99) sekä sen perusteella annetussa asetuksessa viranomaisten
toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/99).
Yksityisen sektorin toimijoiden tietoturvallisuuden kehittäminen voisi enemmänkin
tukeutua markkinoiden suorittamaan ohjaukseen. Tietoturvallisuus on yritystasolla
kuitenkin nähtävä niiden toiminnan jatkuvuuteen ja asiakkaiden palvelukykyyn vaikut-
tavana kilpailukykytekijänä. Tähän perustuukin yritysmaailmassa jatkuvasti yleistynyt
laatusertifiointi, joka on nyt laajentumassa tietoturvallisuuden alueelle. Tässä työssä
voitaisiin tulevaisuudessa käyttää hyväksi myös PTS:n tärkeysluokiteltuja yrityksiä ja
niihin luotua valmiuspäällikköjärjestelmää.
4.3 Hallinnolliset vastuut ja viranomaistoiminnan kehittäminen
4.3.1 Tietoliikenneturvallisuus
Tietoliikenneturvallisuuden vastuuministeriö on liikenneministeriö (LM), jonka yleisenä
tehtävänä on teletoiminnan ohjaus ja kehittäminen yksityisyyden suojasta televiestin-
nässä ja teletoiminnan tietoturvasta annetun lain, TTsL ( 565/1999 ) periaatteiden mukai-
sesti. Liikenneministeriölle kuuluu myös yleisten televerkkojen ja niissä tarjottujen palve-
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
23
lujen tietoturvallisuuden edistäminen yhteistyössä Telehallintokeskuksen, tietosuoja-
viranomaisten, teleyritysten, teleteollisuuden ja käyttäjiä edustavien yhteisöjen kanssa.
Telehallintokeskus (THK) antaa teknisiä määräyksiä ja ohjeita teleyritysten toiminnasta,
telepäätelaitteiden, - verkkojen ja -palveluiden varustamisesta riittävän tietoturvallisuus-
tason mukaisesti sekä valvoo yleisiä telepalveluja tarjoavien teleyritysten tietoturvalli-
suutta. Lisäksi THK:n tehtäviin kuuluu valvoa teleyritysten varautumista poikkeus-
oloihin sekä sitä, että teleyritykset tiedottavat tietoturvallisuusriskeistä ja niiden torjun-
nasta telepalveluidensa käyttäjille.
THK on telealan tekninen asiantuntijaviranomainen ja sille jo nykyisin kuuluu yleinen
tietoliikenteen tietoturvallisuustoiminnan ohjaus ja valvonta. Sen vuoksi nykyisen
operatiivisen toiminnan jatkeeksi on luontevaa ja tarkoituksenmukaista kytkeä tieto-
liikenneturvallisuuden syventäminen COMSEC-toiminnan alueelle. THK:n roolia ja
resursseja tulee kehittää siten, että sinne muodostuu sellainen asiantuntijakeskittymä,
joka pystyy arvioimaan ja valvomaan tietoliikenneturvallisuutta sekä antamaan sitä
koskevaa ohjeistusta ja asiantuntijatukea yhteiskunnan kriittisten tietojärjestelmien
turvaamiseksi.
Apunaan se voi käyttää - kuten nykyisinkin tapahtuu - erilaisia yhteistyö- ja asian-
tuntijaryhmiä sekä mahdollisuuksien mukaan muita erityisviranomaisia, joissa on
esimerkiksi salausasiantuntemusta. Näin voidaan varmistaa, että tavoitteeksi asetettu,
riittävä tietoliikenneturvallisuuden taso toteutuu yhteiskunnan kriittisissä tietojärjes-
telmissä. Se ei siis itse suorita varsinaista testaus- ja sertifiointitoimintaa, vaan se käyttää
arvioinnissa hyväkseen sellaisten teknisten laboratorioiden, asiantuntijaelinten ja
sertifiointilaitosten tuloksia (evaluation facilities, evaluation bodies, sertification bodies),
jotka on asianmukaisesti tehtäväänsä akkreditoitu. Vaikka testauksessa ja tutkimuksessa
tukeudutaan yksityisen sektorin toimijoihin, edellyttää salaustekniikan tuntemus joka
tapauksessa lisäpanostusta THK:ssa, jotta se voi arvioida ja hyödyntää testi- ja tutkimus-
tuloksia. Silloin se voi myös paremmin seurata alan kehitystä ja järjestää asiantuntija-
foorumeita.
Jo nykyään THK seuraa ja valvoo tietoturvallisuusuhkia varmistumalla siitä, että tele-
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
24
yritykset ja erilaiset palvelun tuottajat huolehtivat lain mukaisen tietoturvallisuuden
toteuttamisesta yleisessä televerkossa. Se valvoo teleoperaattoreita kaikkien operaatto-
reiden käyttäjien osalta, ja julkishallinto on yksi tärkeä palvelujen käyttäjä. Lisäksi THK
hoitaa COMSEC-viranomaisena kansainväliset viranomaisyhteydet EU:ssa, OECD:ssa ja
muissa tietoliikenneturvallisuutta käsittelevissä kansainvälisissä organisaatioissa.
Viranomaistoiminnan ja siihen liittyvän valvonnan ohella THK seuraa alan markkina-
ehtoista toimintaa. Vuoden 2000 huhtikuusta lähtien telepäätelaitteille ei enää tarvita
ulkopuolisen tarkastuslaitoksen antamaa tyyppihyväksyntää. Laitevalmistajien on
vastattava laitteiden vaatimuksenmukaisuudesta antamalla niistä vaatimuksenmukai-
suusvakuutuksen eli että tuotteet vastaavat niille asetettuja turvallisuus- ja muita teknisiä
vaatimuksia. Laitteiden olennaiset vaatimukset on esitetty EU:n direktiivissä ja sen
perusteella laadituissa harmonisoiduissa standardeissa. Komission erikseen päättäessä
laitteille voidaan asettaa mm. tietoturvaan ja tietosuojaan liittyviä vaatimuksia.
Toistaiseksi tällaisia vaatimuksia ei ole asetettu. THK on uudessa järjestelmässä tuote- ja
markkinavalvonnasta vastaava viranomainen, joka valvoo laitteiden vaatimusten-
mukaisuutta. Tarvittaessa se voi käyttää hyväkseen niitä sertifiointiorganisaatioita, jotka
on asianmukaisesti tehtäväänsä akkreditoitu. Monessa tapauksessa on kuitenkin pakko
luottaa hyvin pitkälle valmistajan antamaan vakuutukseen.
THK:n kehittäminen edellä mainittuun suuntaan edellyttää sen tehtävistä annetun
lainsäädännön tarkistamista ja henkilöresurssien vahvistamista.
Hallintomalli on esitetty pääpiirteissään oheisessa kuviossa (1).
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
25
TietojärjestelmäjaostoTietojärjestelmäjaosto
COMSEC -toimintaTietoliikenneturvallisuus
LM
THK
EB, EF, CBYhteistyö- ja
asiantuntijaryhmät
Valmistajat/toimittajat
OperaattoritPalveluntuottajat
Käyttäjät
TestaustoimintaSertifiointitoiminta
Valvonta COMSEC-viranomainen
Viranomaistoiminta ja valvonta
Markkinaehtoinen toimintaKansainväliset
viranomaisyhteydet
Tuote- ja markkinavalvonta
Kuvio 1
4.3.2 Tietojärjestelmien turvallisuus
Tietotekniikan (laitteistot, ohjelmistot ja palvelut) turvallisuusratkaisujen testaukselle,
hyväksymiselle ja valvonnalle ei ole samalla tavoin osoitettavissa selkeää operatiivista
vastuuviranomaista kuin tietoliikennealalla. Tämä on vaikeuttanut ratkaisun hakemista
tämän sektorin viranomaistoimintojen hoitamiselle.
Valtionvarainministeriön (VM) ja sen hallinnon kehittämisosaston tehtävänä on valtion
tietohallinnon yleisohjaus ja yhteensovittaminen valtioneuvoston ohjesäännön
(1522/1995) ja valtionhallinnon tietohallinnosta annetun asetuksen (155/88) mukaan. VM
vastaa niiden perusteella tietoturvallisuustyön yleisohjauksesta ja yhteensovittamisesta
sekä antaa valtionhallinnolle siihen liittyviä ohjeita ja suosituksia.
VM on asettanut laajasti hallinnon asiantuntemusta edustavan valtionhallinnon tieto-
turvallisuuden johtoryhmän (VAHTI), jonka tehtävänä on koordinoida, yhteensovittaa
ja kehittää koko valtionhallinnon tietoturvallisuudelle asetettuja tavoitteita, toiminta-
linjoja ja ohjeistusta. Se on toiminut lähes 20 vuotta ja se on tuottanut tietoturvallisuuden
ohjeistusta, jota on sovellettu ministeriöissä, virastoissa ja laitoksissa. VAHTIn toiminta ei
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
26
ole ulottunut kunnallishallintoon eikä yksityiseen elinkeinoelämään.
Valtioneuvosto teki periaatepäätöksen valtionhallinnon tietoturvallisuudesta 11.11.1999
ja periaatepäätöksen valtionhallinnon tietohallinnon kehittämisestä 2.3.2000. Niiden
mukaan VM:n vastuuta tietohallinnon yleisestä ohjauksesta ja yhteensovittamisesta sekä
organisoinnista vahvistetaan. VM voi antaa myös tarvittaessa määräyksiä ja ohjeita
muun muassa tietojen ja tietojärjestelmien perusrakenteiden tietoturvallisuudesta. Niitä
valmisteltaessa kuullaan ministeriöitä ja niiden alaista hallintoa. Edelleen valtioneuvosto
asettaa määräajaksi valtiovarainministeriön johdolla toimivan ministeriöiden virkamies-
johdon edustajista koostuvan Valtion tietohallinnon johtoryhmän (VATI). VAHTI
asetetaan sen alaiseksi valmisteluelimeksi.
Tietohallinnon kehittämistä koskevan päätöksen mukaan valtion tietohallinnon järjestä-
mistä ja ohjausta koskeva uusi laki tulee valmistella vuoden 2000 loppuun mennessä.
VM:n ja valtioneuvoston kanslian työnjakoa valtioneuvostotason tietohallinnossa on
myös tarkoitus muuttaa ja suunnittelua varten on asetettu työryhmä 31.3.2000.
VM:n lisäksi myös muilla ministeriöillä ja organisaatioilla on tällä hetkellä tietoturval-
lisuuteen liittyviä ohjaus- ja valvontatehtäviä. Näitä ovat valtioneuvoston kanslia,
sisäasiainministeriö, liikenneministeriö, tietosuojalautakunta ja tietosuojavaltuutetun
toimisto. Tämän ohella Valtiontalouden tarkastusvirasto voi suorittaa valtionhallinnon
tiedonkäsittelyyn ja tietohallinnon ohjaukseen sekä virastojen ja laitosten tietoturvalli-
suuteen liittyviä tarkastuksia (831/94). Sillä on tärkeä tehtävä nimenomaan ministeriöi-
den toimia valvovana, eduskunnan alaisena erityisviranomaisena 1.1.2001 alkaen.
Yleisten hallinnon periaatteiden mukaisesti jokaisen ministeriön on omalla hallinnon-
alallaan vastattava myös tietoturvallisuuden ohjauksesta, kehittämisestä ja valvonnasta
osana tietohallintoa. Viime kädessä ministeriöiden velvollisuutena on tietoturvallisuus- ja
tietosuoja-asioissa aktiivisesti informoida, ohjata sekä seurata ja valvoa alaisensa hallin-
non tietoturvallisuustoimenpiteitä. Niiden tehtävänä on myös hallinnonalansa lainsää-
dännön kehittäminen ja tietoturvallisuutta koskevien tarkempien ohjeiden antaminen.
Tämän pohjalle on siten rakennettava tietojärjestelmien turvallisuuteen liittyvät uudet
järjestelyt.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
27
Turvallisuustoiminta voidaan jakaa kahteen linjaan: toisaalta markkinaehtoiseen,
yritysten ja muiden vapaaehtoisten toimijoiden suorittamaan tietoturvallisuus-
järjestelmien sertifiointitoimintaan osana niiden laatujärjestelmien kehittämistä sekä
toisaalta julkisen hallinnon ja muun yhteiskunnan kriittisten tietojärjestelmien suo-
jaamiseen. Tavoitteena on kriittisten tietojärjestelmien turvallisuuden kehittäminen koko
yhteiskunnassa. Yhteiskunnan toiminnan kannalta kriittisiä tietojärjestelmiä on sekä
julkisessa hallinnossa että yksityisen sektorin puolella. Toisaalta vähemmän tärkeitä
tietojärjestelmiä, joilta ei tarvitse edellyttää korkeaa tietoturvallisuustasoa, löytyy sekä
julkisen että yksityisen sektorin piiristä.
A) Markkinaehtoinen toiminta
Markkinaehtoista laatujärjestelmien sertifiointitoimintaa on harjoitettu Suomessa jo
kymmenkunta vuotta. Järjestelmien sertifiointi on perustunut ISO:n hyväksymiin
standardeihin. Uusin tulokas järjestelmäsertifiointien alueella on tietoturvallisuus-
järjestelmien sertifiointi. Tämä perustuu Suomessa toistaiseksi brittiläiseen BS 7799-
standardiin. Suomessa BS 7799-sertfioinnin kehitystyö alkoi viime vuoden lopulla, jolloin
SFS-Sertifiointi Oy käynnisti sertifiointimallin pilot-projektin. Projektin jälkeen serti-
fiointia voivat hakea muutkin kuin projektiin osallistuneet yritykset. Tämä edellyttää
kuitenkin, että kansallinen akkreditointiviranomainen, Mittatekniikan keskus, toteaa
sertifioijan päteväksi.
BS 7799-standardi on laaja turvallisuusjärjestelmän kehittämismalli, joka ottaa kantaa
muun muassa lainsäädännön, viranomaismääräysten ja muiden alakohtaisten tieto-
turvallisuusmääräysten kehittymisen seurantaan ja noudattamiseen organisaatiossa. Se
on tarkoitettu sovellettavaksi yritystasolla. Sertifiointiin tähtäävällä yrityksellä tuleekin
olla selkeä toiminnan turvallisuustavoite, johon tulee sisältyä myös yhteiskunnan
asettamat tietoturvallisuuteen liittyvät odotukset ja velvoitteet. Sen vuoksi sillä on
yhtymäkohtia yritysten valmiussuunnitteluun ja poikkeusoloihin varautumiseen, jota
PTS:n toiminnassa edellytetään tärkeysluokitelluilta yrityksiltä.
Euroopan alueella sen kanssa kilpaileva turvallisuusjärjestelmän kehittämismalli on
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
28
saksalaisen BSI:n perusturvatasomalli (IT-Grundschutzhandbuch). Niiden suurin ero on
kuitenkin siinä, että BSI:n malli sisältää huomattavan määrän teknisiin yksityiskohtiin
meneviä suosituksia ja vaatimuksia. BS 7799 on tässä mielessä lähempänä ISO:n
järjestelmätason malleja, koska sen sisältämät vaatimukset kohdistuvat organisaation
toimintaperiaatteisiin ja yritys ratkaisee tekniset yksityiskohdat omien tietoteknisten
ratkaisujen ja prosessien pohjalta. BSI:n mallin sovellusalue onkin lähinnä
tuotesertifiointi, johon sitä on käytettykin.
Myös ITSEC ja Common Criteria on tarkoitettu tuotesertifiointia varten, eivätkä ne siten
sovellu kokonaisten tietoturvallisuusjärjestelmien sertifiointiin.
BS 7799 näyttää tällä hetkellä leviävän CC:n ohella hyvin nopeasti käyttöön useissa
maissa. Onkin todennäköistä, että BS 7799 ja CC tulevat hyvin pian muodostamaan
toisiaan täydentävän standardiparin, joiden pohjalta kansainvälisen tason tietoturvalli-
suutta jatkossa kehitetään.
Yleistyessään tietoturvallisuusjärjestelmien sertifiointi parantaa tietoturvallisuuden tasoa
yksityisen sektorin toimijoiden piirissä ja on viranomaisten näkökulmasta hyödyllistä
toimintaa. Julkisen hallinnon tehtävänä on silloin sertifiointiorganisaatioiden akkredi-
tointi sekä toiminnan vaatimustenmukaisuuden hallinnollinen valvonta.
B) Yhteiskunnan kriittisten tietojärjestelmien suojaaminen
Kriittisten julkisen hallinnon – sekä valtion että kunnallishallinnon – tietojärjestelmien
turvaominaisuuksien testaus, hyväksyntä ja valvonta voivat perustua myös hyvin
pitkälle markkinaehtoiseen järjestelmään, jota julkisen hallinnon organisaatiot voivat
käyttää hyväkseen. Mikäli jokin sertifiointiorganisaatio, joka on asianmukaisesti
akkreditoitu, hankkii lisäpätevyyden (qualifying/compliant) ITSEC MRA tai CCRA
hallintokomitealta, joissa molemmissa Suomella on edustus (VM), hyväksytään kyseisen
sertifiointielimen myöntämät laatusertifikaatit kaikissa sopimusmaissa. Mikäli Suomeen
tulee sertifiointielin, joka haluaa vastavuoroisen hyväksynnän piiriin, vie Suomen
edustaja ao. hallintokomiteassa asian komitean käsittelyyn.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
29
Valtion kriittisten tietojärjestelmien tietoturvallisuutta varten tulisi ehkä luoda tilin-
tarkastustyyppinen menettely. VM antaisi normit ja kriteerit, joiden perusteella minis-
teriöt omilla hallinnonaloillaan velvoitettaisiin varmistumaan normien mukaisesta
tietoturvallisuuden tasosta alaisessaan hallinnossa. Hankinnat perustettaisiin valtionkin
osalta sertifiointiin. Tämä menettely soveltuu myös siihen, että valtionhallinnon kriittiset,
tärkeysluokitellut käyttäjät haluavat testata oma-aloitteisesti tiettyjä tuotteita ja palveluja
sertifioiduissa elimissä. Myös kunnallishallinnolle tulee voida asettaa joitakin uusia
velvoitteita.
Samanaikaisesti myös yksityisen sektorin markkinaehtoista tietoturvallisuuden testaus-
ja sertifiointitoimintaa on pyrittävä tukemaan ja edistämään. Erityisesti tämä koskee yksi-
tyisten yritysten hoitamia koko yhteiskunnan toiminnan kannalta elintärkeitä tietojärjes-
telmiä. PTS:n organisaation muodostamaa laajaa yhteistyöverkostoa tulee käyttää
nykyis-tä enemmän myös tämän toiminnan edistämiseen, sillä tärkeysluokiteltujen
yritysten valmiuspäälliköt (n. 1300) laativat varautumissuunnitelmat normaaliaikojen
perus-turvallisuuden ja eri tekijöiden (mm. atk- ja tietoliikennejärjestelmien turvaaminen)
kehittämistoimenpiteiden pohjalta.
Joka tapauksessa tarvitaan kuitenkin operatiivinen viranomainen, joka teknisenä asian-
tuntijaorganisaationa arvioi, edistää ja seuraa tietojärjestelmien tietoturvallisuutta ja
tietoliikenneturvallisuutta ja niihin liittyvää sertifiointitoimintaa sekä antaa näitä koske-
vaa asiantuntijatukea. Tieto- ja viestintäteknologian konvergenssin seurauksena perin-
teisen tietojenkäsittelyn, tietoverkkojen ja tietoliikenteen rajat hämärtyvät. Nämä muo-
dostavat tänä päivänä toisistaan riippuvaisen infrastruktuurin, jonka tietoturvallisuutta
on tarkasteltava kokonaisuutena. Tämän vuoksi ei ole tarkoituksenmukaista jakaa
myöskään siihen liittyvää viranomaisvastuuta. Länsimaissa viranomaisvastuu QCB-
toiminnasta onkin yleensä annettu COMSEC-viranomaisen tehtäväksi.
Tämän alueen hallintomallin tulisi olla suhteellisen kevyt ja joustava. Perusratkaisu
perustuu seuraavaan rakenteeseen.
Kukin viranomainen on ensisijaisessa vastuussa omaan toimintaan liittyvästä
tietoturvallisuudesta.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
30
Valtiovarainministeriö vastaa tietoturvallisuuden yleisohjauksesta, norminannosta ja
kansainvälisestä viranomaisyhteistyöstä. Sitä avustaa asiantuntijaorganisaationa VAHTI.
Ministeriöt kehittävät, seuraavat ja valvovat tietoturvallisuustoimenpiteitä omilla
hallinnonaloillaan.
Valtiontalouden tarkastusvirasto voi tarkastaa ja valvoa sille laissa säädetyn
tarkastusoikeuden puitteissa, että ministeriöt ja muut viranomaiset toteuttavat niille
kuuluvia tietoturvallisuustehtäviä.
Telehallintokeskuksesta tulee kehittää jatkossa asiantuntijaorganisaatio, joka antaa
teknistä tukea yhteiskunnan kriittisten tietojärjestelmien ja tietoliikenteen
turvallisuusratkaisujen toteuttamisessa. Jo nykyään olemassa olevan lainsäädännön
perusteella THK antaa tarvittaessa teknisiä määräyksiä teleyritysten toiminnasta sekä
telelaitteiden, televerkkojen ja telepalveluiden varustamisesta lain edellyttämällä tavalla
sekä valvoo lain ja sen nojalla annettujen säädösten noudattamista. Jatkossa se tulisi
valvomaan myös hallinnollisesti tietoturvallisuuden sertifiointiorganisaatioiden
toimintaa.
Yhteiskunnan kriittisten tietojärjestelmien kannalta keskeisiä ovat EU:n hyväksymät
sertifiointilaitokset, joiden on 4 vuoden välein osoitettava pätevyytensä hoitaa
kriteeristön mukaista sertifiointitoimintaa. THK hoitaisi myös toimintaan liittyvät
teknisluontoiset kansainväliset viranomaisyhteydet.
Tietojärjestelmien turvallisuuteen liittyvät tehtävät sopisivat hyvin yhteen muidenkin
THK:lle suunnitteilla olevien tehtävien kanssa. Valmisteilla olevan sähköistä
allekirjoitusta koskevan lain mukaan THK valvoisi sähköisiin allekirjoituksiin liittyvien
varmennepalveluiden tarjoajien toiminnan lain mukaisuutta. On vielä epävarmaa,
nimetäänkö THK myös laitokseksi (designated body, DB), joka arvioi, onko alle-
kirjoituksen luomisväline (älykortti & kortinlukija tai ohjelmisto) direktiivin tarkoit-
tamassa mielessä turvallinen. Direktiivin mukaan ainoastaan vaatimukset täyttävä laitos
voi todeta turvallisuuden. Jäsenvaltion ei ole pakko nimetä tällaista laitosta.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
31
Sertifiointitoiminnassa on järkevää yhteistyön kehittäminen yksityisen sektorin kanssa ,
jolloin voidaan hyödyntää akkreditoitujen laboratorioiden testituloksia myös julkisen
sektorin laite-, järjestelmä- ja palveluntarjoajavalinnoissa. Aivan samoin kuin COMSEC-
toiminnan kehittäminen, myös tämä edellyttää taloudellista panostusta. THK:lla on
oltava osaamista ja lisäresursseja, jotta se voisi valvoa niitä tahoja, jotka sertifioivat
tietojärjestelmiä ja palveluja, osallistua mahdollisesti tutkimukseen ja testaukseen sekä
antaa niihin liittyvää neuvontaa ja asiantuntijatukea.
Hallintomalli on esitetty pääpiirteissään oheisessa kuviossa (2).
Sertifioijat (esim. SFS)
CB
Tietojärjestelmien turvallisuus(CB/QCB/CCB-toiminta)
Ministeriöt
MRACCRA
KTM/MIKES
VAHTI
ElinkeinoelämäJulkishallinto
(valtionhallinto)
Viranomaistoiminta Kriittiset tietojärjestelmät Markkinaehtoinen toiminta
Akkreditointi
Laatusertifiointi
Tietoturvallisuus-järj. sertifiointi
(BS7799)
Hallintokomitea
Kuvio 2
Tekninenasiantuntijatuki
Tekninenasiantuntijatuki
ValvontaSeuranta
VTV
THK
QCB
CCB
VM
Tekninenasiantuntijatuki
Tarkastustoiminta
YleisohjausNorminantoKv. yhteistyö
TietojärjestelmäjaostoTietojärjestelmäjaosto
4.3.3 CERT- toiminnot
CERT -toiminta on erittäin tärkeä koko yhteiskunnan toiminnan kannalta. On tärkeää,
että on olemassa reaaliaikaiset järjestelmät tietoturvaloukkausten ja –uhkien havain-
nointiin, varoittamiseen, torjuntaan ja toipumiseen sekä valtakunnalliseen tilanne-
seurantaan, analysointiin ja tiedottamiseen.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
32
CERT -toiminta on laajemman kontaktipinnan luomiseksi tarkoituksenmukaisinta jakaa
kolmen hallinnonalan kesken: sisäasiainministeriön (poliisi), liikenneministeriön (THK) ja
kauppa- ja teollisuusministeriön (puolustustaloudellinen suunnittelukunta /Huolto-
varmuuskeskus).
Sisäasiainministeriön ohjaus- ja valvontavastuulle kuuluu alue- ja paikallishallinnon
ietoturvallisuuden kehittäminen sekä turvallisuusviranomaisten (poliisi ja pelastustoimi)
toiminta. Poliisin (keskusrikospoliisi, KRP) tehtäviin kuuluu jo nyt rikollisen toiminnan
seuraaminen, torjuntatoimenpiteet ja tutkinta. Tietoturvallisuuden alalla näitä ovat mm.
vaaran aiheuttaminen tietojenkäsittelylle (virusten levitys), tietomurrot, viestintä-
salaisuuden rikkominen ja yritysvakoilu. Suojelupoliisi (SUPO) taas vastaa valtakunnan
sisäistä ja ulkoista turvallisuutta vaarantavien tapahtumien torjunnasta ja tutkinnasta.
Poliisille tulevien CERT -toimintojen organisoimisessa nähdään järkeväksi jakaa tehtävät
siten, että SUPO hoitaisi varsinaiset CERT -toiminnot ja KRP vastaisi rikostutkinnasta.
SUPO vastaisi näin ollen seuraavista tehtävistä
§ liittyminen mukaan kansainväliseen CERT -toimintaan
§ kansainväliset viranomaisyhteydet CERT -toiminnassa
§ ennaltaehkäisevä neuvonta
§ vastaanotettujen tietoturvaloukkausten käsittely sekä niihin liittyvä konsultointi,
arviointi ja neuvonta
§ tapahtumien tunnistaminen, rajaaminen ja eristäminen
§ tietoturvaloukkausten ohjaaminen tarvittaessa tutkintaan
§ tietoturvaloukkauksista varoittaminen
§ tiedottaminen
§ tietoturvaloukkausten tutkiminen, suojausmenetelmien testaaminen ja
kehittäminen
§ tietokantojen päivitys ja ylläpito.
KRP vastaisi puolestaan seuraavista tehtävistä
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
33
§ rikollisen toiminnan seuraaminen ja jäljittäminen
§ rikostutkinta, tarvittaessa poliisiorganisaatioiden (koti- ja ulkomaiset) yhteistyönä
§ tietokantojen päivitys ja ylläpito.
Tapahtuminen tunnistaminen, rajaaminen ja eristäminen, tapahtumien tutkinta ja
dokumentointi sekä raportointi niin kuin myös ennaltaehkäisyyn (salaamiseen,
suojaukseen yms. turvallisuusteknisiin järjestelmiin) liittyvä neuvonta, konsultointi ja
varoittaminen ovat hyvin poliisille sopivia tehtäviä.
Tärkeä toimintamuoto, jonka kehittäminen sopii periaatteessa poliisille, on ns. red team-
toiminto, joka hoitaisi yhteiskunnan kriittisten tietojärjestelmien turvallisuustarkastusta,
koulutusta ja järjestelmien hyökkäyksellistä testausta . Tällaista toimintaa on jo syntynyt
kaupalliselta pohjalta mm. kansainvälisten tilintarkastustoimistojen auditointiyksiköissä
ja yksityisissä tietotekniikkayrityksissä (esim. Nixu Oy Suomessa).
Kauppa- ja teollisuusministeriön hallinnonalalla toimivat taloudellista varautumista
suunnitteleva ja koordinoiva puolustustaloudellinen suunnittelukunta ja sen työtä
tukeva poikkihallinnollinen erityisviranomainen, Huoltovarmuuskeskus (HVK). Niiden
tehtävänä on kehittää julkishallinnon ja elinkeinoelämän yhteistyötä taloudellisessa
varautumisessa, yhteensovittaa julkishallinnon varautumistoimia sekä hoitaa huolto-
varmuuden kehittämiseen ja ylläpitoon liittyvät operatiiviset viranomaistehtävät.
Huoltovarmuuskeskuksen tehtäviin kuuluu myös yhteiskunnan kriittisen infrastruk-
tuurin varmistaminen ja siihen liittyvien teknisten varajärjestelmien kehittäminen ja
rahoitus.
CERT -toiminnon kannalta PTS:n muodostama laaja organisaatio tarjoaisi valmiin
kontaktipinnan yhteiskunnan toiminnan kannalta kriittisin tahoihin ja toimijoihin
erityisesti yksityisellä sektorilla. Lisäksi varautumistyössä on syntynyt suuri määrä
turvallisuuteen liittyvää ohjeistusta ja muuta aineistoa, josta on hyötyä järjestelmän
toteuttamisessa.
Huoltovarmuuskeskuksen organisoimana tulisi toteutettavaksi seuraavat tehtävät:
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
34
§ valtakunnallinen tapahtumatiedon keruu ja sen systematisointi
§ tilastointi ja tietokantojen ylläpito
§ tilannekuvan luominen ja ylläpito uhkista ja tapahtumista sekä niistä
tiedottaminen
§ neuvonta ja ohjeistus (turvallisuussuunnittelu, turvallisuuskäytännöt)
§ kansainvälisen ja muun informaatiouhkiin liittyvän kehityksen seuranta ja
analysointi
§ tietoturvallisuusyhteistyön koordinointi elinkeinoelämässä (PTS:n kautta)
§ osallistuminen kansainväliseen CERT -toimintaan.
Liikenneministeriön alaiselle Telehallintokeskukselle kuuluu CERT -toimintaa sivuavia
tehtäviä. THK:n tulee sekä oma-aloitteisesti että sille tehtyjen ilmoitusten perusteella
kerätä tietoa sekä valvoa televiestinnässä ilmeneviä tietoturvallisuusuhkia ja myös sitä,
että teleyritykset tiedottavat uhkista.
THK:n tehtävänä on lisäksi valvoa televiestinnän ja siihen liittyvien tunnistamistietojen
luottamuksellisuutta. Valvonta kattaa myös sen, etteivät teleyritykset luovuta tunnista-
mistietoja lain vastaisesti. Poliisi ja muut hätäilmoituksia vastaanottavat viranomaiset
saavat teleyrityksiltä tunnistamistietoja niissä tilanteissa kuin TTsL:n 18§:ssä on säädetty.
THK:n rooli liittyy siis tältä osin poliisin tiedonsaantivaltuuksiin sekä televiestinnän
luottamuksellisuutta loukkaavien tietoturvallisuusuhkien valvontaan.
CERT -toiminnan kannalta THK:lla on tärkeä merkitys telealalla tapahtuvien tieto-
turvaloukkausten havainnoinnissa ja tiedonkeruussa sekä tietoturvallisuusuhkien
ennaltaehkäisyssä, valvonnassa ja niistä tiedottamisessa. Jatkossakin tietoturva-
loukkausten havainnointi ja tiedonkeruu voisi perustua esim. teleoperaattoreilta
pyydettyihin lokitietoihin, ei aktiiviseen verkkojen valvontaan analysaattoreilla.
CERT -toiminta pitää sisällään kaksi tärkeää käytännön ulottuvuutta: tapahtuma-
seurannan ja tietokannan sekä menetelmätietokannan, joiden perusteella voidaan
kehittää ja luoda torjunta-, rajaamis- ja suojautumistoimenpiteitä. Niiden luominen ja
ylläpito tulisi jakaa kahdelle taholle: poliisille ja PTS/HVK:lle. PTS:n organisaation
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
35
asiantuntijaverkosto on tässä tärkeä. VTV:lla on myös tähän liittyvää tietämystä
valtionhallinnon osalta. Myös VAHTI voisi omalta osaltaan olla tietojen kokoaja ja
toimittaja nimenomaan valtionhallinnon tietoturvallisuutta koskevan tilannekuvan
muodostamiseksi. Se tarvitsee myös CERTin muodostaman valtakunnallisen
tilannekuvan toimintansa perusteeksi.
Tärkeä yhteistyötaho tapahtumaseurannassa voisi olla yliopistojen kansainvälinen CERT
-organisaatio, jonka Suomen osuutta hoitaa FUNET. Sitä operoi CSC-Tieteellinen
laskenta Oy. Koska sinne päätyvät myös sellaiset tapahtumatiedot, jotka eivät tule
poliisiviranomaisten tietoon, on luotava pysyvä järjestely “valtiollisen” ja “kaupallisen”
CER T-organisaation välille. Ruotsissa on tiedon saannin helpottamista varten esitetty
oman lainsäädännön säätämistä. Virustietokantojen osalta tärkeitä yhteistyöosapuolia
ovat viruksentorjuntaohjelmistoja valmistavat yritykset, joilla on kattavaa seurantaa
(esim. F-Secure Oyj). Myös yhteydet puolustusvoimien tietotekniikkatoimialaan ja
tiedusteluun ovat tärkeitä.
Keskeinen tehtävä CERT -toimintojen järjestämisessä on tietokantojen ja toimivien
yhteyksien rakentaminen eri osapuolten välille. HVK:n roolina olisi kerätä tapahtuma-
tieto eri osapuolilta ja luoda järjestelmä valtakunnallisen tilannekuvan ylläpitämistä ja
uhkista tiedottamista varten. Toiminta eri osapuolten välillä on syytä aluksi aloittaa
kokeiluluontoisena. Se edellyttää resurssien kohdentamista näihin toimintoihin.
CERT –toiminnan valmistelua, yhteydenpitoa ja seurantaa varten on tarpeen perustaa eri
viranomaisosapuolten edustajista ja asiantuntijoista koostuva poikkihallinnollinen CERT
-toiminnan yhteistyöryhmä (CERT-YTR). Siihen kuuluisivat ainakin THK:n, KRP:n,
SUPOn, PV:n ja HVK:n edustajat. Ulkoasianministeriö (UM) ja VM ovat tässä yhteydessä
myös tärkeitä yhteistyötahoja.
Oheisessa kuviossa (3) on kuvattu CERT -toiminnan osapuolet ja tiedonkulku.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
36
Tietojärjestelmäjaosto
CERT-toimintaOsapuolet ja tiedonkulku
PE
THKYTR
KRPSUPO
Korkeakoulut, HIIT(vast.)Viranomaiset
(VTV)VM/VAHTIUM
TAPMEN
TeleoperaattoritPalveluntuottajat
Kansainväliset yhteydet• Tapahtumaseuranta, tilannekuvan ylläpito, tiedottaminen
• Tietoturvaloukkausten tunnistaminen, rajaaminen, torjunta ja tutkinta
• Kriittisen infrastruktuurin varmistaminen
PTS/HVK
Kuvio 3
Tieto
järje
stelm
ät
(elin
keinoe
läm
ä)
4.3.4 Yhteistyön kehittäminen ja koordinointi
Kokonaisvaltaisesta turvallisuuspoliittisesta näkökulmasta keskeinen informaatiouhkiin
liittyvää varautumista koordinoiva elin on em. puolustusministeriön turvallisuus- ja
puolustusasian komitea (TPaK).
Hajautettu tietoturvallisuuden kehittämismalli edellyttää yhteistyöfoorumin luomista
alan vastuuviranomaisten, operaattoreiden, toimittajien ja osaajien välille. Tähän
tietojärjestelmäjaosto toimikuntineen (tiedonkäsittely-, tiedonsiirto- ja joukkoviestintä-
toimikunta) PTS:n organisaatiossa tarjoaa mahdollisuuden, jolloin ei tarvitse perustaa
myöskään uusia neuvottelukuntatyyppisiä elimiä.
PTS:n tietojärjestelmäjaoston toiminnan päätarkoitus on sähköisen tiedonsiirron ja –
käsittelyn sekä joukkoviestinnän tekninen turvaaminen ja valmiussuunnittelun
edistäminen siten, että niiden varassa olevat yhteiskunnan tärkeät toiminnot kyetään
hoitamaan tarkoituksenmukaisella tavalla myös poikkeusoloissa. Tavoitteena on siis
varmistaa yhteiskunnan tietotekniikkainfrastruktuurin käytettävyyttä, mikä kuuluu
tietoturvallisuuden piiriin.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
37
Tietojärjestelmän roolia olisi näin luontevaa laajentaa koskemaan myös tietoturvalli-
suussektoria, erityisesti uusien toimintojen koordinointia, tiedonvaihtoa ja asiantuntija-
valmistelua sekä kehittämistoimintaa. Samalla sen kokoonpanoa on muutettava katta-
vammaksi koskemaan mm. kaikkia vastuuministeriöitä (kuten SM). Se on hyödyllistä ja
välttämätöntä senkin vuoksi, että eri tietoturvallisuuden toimintojen tehtävänmääritte-
lyjen välille on vaikea vetää tarkkaa rajaa ja näiden toimintojen hoitamisessa tarvitaan
joka tapauksessa yhteistyötä julkishallinnon ja elinkeinoelämän välillä.
4.4 Resurssitarve ja rahoitus
Osapuolet, joille tässä raportissa on esitetty lisätehtäviä, ovat arvioineet sitä, mitä
muutoksia ne merkitsevät niiden toimintaedellytyksiin. Eräissä tapauksissa ne
merkitsevät lainsäädännön muuttamista. Tämä on kussakin tapauksessa erikseen
selvitettävä. Telehallintokeskuksen tehtäviä ollaankin parhaillaan kehittämässä. Myös
poliisilakiin voidaan tarvita joitakin muutoksia. Samoin rikoslakia (pakkokeinolaki
450/87, 5a luku) tulisi kehittää siten, että mahdollistaisi nykyistä paremmin telekuun-
telun ja –valvonnan myös tietoverkoissa (Internet). Laki huoltovarmuuden turvaamisesta
(1390/92) ja asetus Huoltovarmuuskeskuksesta (1391/92) mahdollistavat puolestaan sen,
että Huoltovarmuuskeskus voi osallistua yhteiskunnan turvallisuuden kannalta välttä-
mättömien huoltovarmuushankkeiden rahoitukseen valtionhallinnon piirissä.
Tietoturvallisuuteen liittyvien tehtävien laajentaminen merkitsee väistämättä myös
lisääntyviä resurssitarpeita. Telehallintokeskus on nettobudjetoitu keskusvirasto, joka
rahoittaa toimintansa alan yrityksiltä ja käyttäjiltä perittävillä maksuilla. THK:lla ei ole
nykyisin mahdollisuutta panostaa tietoliikenteen ja tietojärjestelmien asiantuntijatuen
kehittämiseen. Myöskin uuden alueen osaamisperustan luominen vie aikaa ja vaatii
pitkäjänteistä rekrytointi- ja koulutusohjelmaa. LM:n on huolehdittava siitä, että THK:lle
osoitetaan tarvittavia lisäresursseja.
Myös poliisin (KRP, SUPO) sekä HVKn resurssitarpeet kasvavat uusien tehtävien myötä.
Poliisin on kehitettävä monitorointia, jäljittämistä, salauksen purkua ja esitutkintaa
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
38
(deskien ja ilmoituspisteiden luominen, virtuaalisoluttauminen, tietokannat, rekrytointi,
materiaali- ja toimintamenot). HVK:n on perustettava CERT:iin liittyvät yhteydet,
mekanismit ja tietokannat.
THK, KRP, SUPO ja HVK ovat arvioineet, että toimintojen järjestämiseen liittyvät
lisätehtävät aiheuttavat kokonaisrahoitustarpeen, joka on vuositasolla noin 14 - 15
mmk:n luokkaa. Mitään budjettivarauksia ei ole tehty ja rahoituksen hoitaminen on
selvitettävä erikseen.
Arvioissa ei ole otettu kantaa siihen, mikä osuus rahoituksesta on järjestettävissä toimin-
toja uudelleen suuntaamalla ja mikä maksuperusteisesti. VM ei ole omalta osaltaan arvi-
oinut tässä selvityksessä esille tulleiden toimintojen vahvistamiseen liittyvää resurssien
tarvetta.
4.5 Jatkotoimenpiteet
Jatkotoimenpiteinä projektiryhmä esittää:
§ loppuraportti esitetään tietojärjestelmäjaostolle
§ hyväksyttyään raportin jaosto luovuttaa sen liikenneministeriölle
§ liikenneministeriö pyytää siitä lausunnot tärkeimmiltä hallinnon ja
elinkeinoelämän tahoilta
§ lausuntokierroksen jälkeen asia käsitellään turvallisuus- ja puolustusasiain
komiteassa
§ lopuksi raportti viedään hallituksen käsiteltäväksi
§ rahoitusselvitysten jälkeen vastuuministeriöt varautuvat budjeteissaan
lisääntyviin tehtäviin.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
39
5. Yhteenveto
Tietojärjestelmien turvallisuuden kasvava merkitys on meilläkin selvästi tiedostettu sekä
hallinnossa että yritysmaailmassa. Yrityksissä se nähdään tänä päivänä tärkeänä kilpai-
lukykytekijänä, jopa toiminnan jatkuvuuden elinehtona. Yhteiskunnan kannalta se
nähdään kansalliseen turvallisuuteen vaikuttavana tekijänä, joka on eräissä maissa
johtanut mittaviin varautumistoimiin. Niissä toimintaa kutsutaankin yhteiskunnan
kriittisten infrastruktuurien turvaamiseksi. Tietoturvallisuuden kehittämiseen ja
suojautumisjärjestelmien luomiseen informaatiouhkien varalle on Suomessakin lisättävä
voimavaroja osana kokonaisvarautumista.
Tavoitteena on kehittää yhteiskunnan toimivuuden kannalta kriittisten tietojärjestelmien
turvallisuutta ja toimintaedellytyksiä. Teknistyneessä ja verkottuneessa yhteiskunnassa
ei enää voida erottaa toisistaan varautumista normaaliajan häiriöihin ja poikkeusoloihin.
Kehittämällä varautumistoimenpiteitä kriittisten tietojärjestelmien informaatiouhkiin
kohoaa tietoturvallisuuden yleinen taso samalla koko yhteiskunnassa.
Esityksen keskeinen periaate on, ettei maahan perusteta tietoturvallisuutta varten uusia
viranomaisorganisaatiota. Uudet viranomaistoiminnot tulee hoitaa laajentamalla ja
täsmentämällä olemassa olevien viranomaisten tehtäviä. Lähtökohtana on silloin ollut
nykyisen toiminnan luonne sekä tietoturvallisuuteen liittyvä tekninen ja muu asian-
tuntemus.
On haluttu luoda hajautettu toimintamalli, joka perustuu yhteistoiminnan tehostamiseen
sekä valtionhallinnon sisällä että sen ja elinkeinoelämän välillä. Samalla on pyritty
selkeyttämään tehtäviä ja työnjakoa. Markkinaehtoiselle toiminnalle ja joustaville
toimintamalleille on jätetty tilaa. Tärkeiden elinkeinoelämän toimijoiden tietoturvalli-
suuden edistämisessä tulee käyttää nykyistä tehokkaammin hyväksi PTS:n
organisaatiota ja sen piirissä tapahtuvaa yritysten valmiussuunnittelutoimintaa.
Pidettiin tärkeänä, että erityisesti valtionhallinnon kriittisten tietojärjestelmien tieto-
turvallisuusominaisuuksille asetetaan velvoitteita, joiden toteuttamisesta kunkin
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
40
ministeriön omalla hallinnonalallaan pitäisi varmistua yleisohjauksesta vastaavan
ministeriön antamien normien nojalla. Samanaikaisesti myös yksityisen sektorin
markkinaehtoista tietoturvallisuuden testaus- ja sertifiointitoimintaa on pyrittävä
tukemaan ja edistämään. Sitä varten on luotu toimiva, kansainvälinen rakenne ja
menettelytavat, johon Suomen valtionhallinto osallistuu. Myös kriittisten julkisen
hallinnon tietojärjestelmien turvaominaisuuksien testaus, hyväksyntä ja valvonta voivat
perustua hyvin pitkälle markkinaehtoiseen järjestelmään.
Operatiivista viranomaistoimintaa tietoturvallisuuden alalla on pyrittävä kehittämään.
Ongelmana on ollut, ettei maasta löydy riittävää tietoturvallisuusteknistä asian-
tuntemusta. On rakennettava tämän alan ennalta ehkäisevään neuvontaan ja suojaus-
tekniseen tukeen, tilanneseurantaan ja raportointiin, informaatiouhkien tunnistamiseen,
torjuntaan ja analysointiin sekä ongelmien ratkaisemiseen kykenevä asiantuntija-
keskittymä. Uusiin toimintoihin liittyviä palveluja on myös kunnallishallinnon ja
yksityisen elinkeinoelämän voitava hyödyntää.
Suomesta puuttuvat lähes kokonaan tietoliikenneturvallisuuteen (COMSEC), tieto-
järjestelmien turvallisuuteen (CCB, QCB) sekä tietoturvaloukkausten ja ongelmien
havaitsemiseen ja ratkaisemiseen (CERT) liittyvät operatiiviset toiminnot. Maahan on
vähitellen luotava monipuolinen, teknisesti orientoitunut asiantuntijakeskittymä, joka
kykenee tarvittaessa avustamaan, arvioimaan ja valvomaan näiden uusien tietoturvalli-
suustoimintojen kehittämistä käyttäen tarvittaessa hyväkseen yksityisen sektorin
toimijoita. Perusedellytykset niiden järjestämiselle ovat olemassa.
Tietoliikenneturvallisuuden yleisohjauksesta ja norminannosta vastaava ministeriö on
liikenneministeriö. Valtionvarainministeriön tehtävänä on valtion tietohallinnon yleis-
ohjaus ja yhteensovittaminen, jossa sen roolia on vahvistettu. Valtiovarainministeriö
vastaa myös valtionhallinnon tiedonkäsittelyn tietoturvallisuustyön yleisohjauksesta ja
yhteensovittamisesta sekä antaa valtionhallinnolle siihen liittyviä ohjeita ja suosituksia.
Ministeriöt kehittävät, seuraavat ja valvovat tietoturvallisuustoimenpiteitä omilla
hallinnonaloillaan.
Telehallintokeskuksen roolia ja tehtäviä on kehitettävä operatiivisena tietoturvallisuus-
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
41
viranomaisena siten, että se teknisenä asiantuntijaorganisaationa kykenee arvioimaan,
edistämään ja seuraamaan tietoliikenteen ja tietojärjestelmien tietoturvallisuutta ja siihen
liittyvää sertifiointitoimintaa sekä antamaan asiantuntijatukea yhteiskunnan kriittisten
tietojärjestelmien turvaamiseksi. Se ei itse suorita varsinaista testaus- ja sertifiointi-
toimintaa, vaan se käyttää arvioinnissa hyväkseen sellaisten teknisten laboratorioiden,
asiantuntijaelinten ja sertifiointilaitosten tuloksia, jotka on asianmukaisesti tehtäväänsä
akkreditoitu. Sille on osoittava tähän toimintaan riittävät voimavarat.
CERT -toiminta on erittäin tärkeä koko yhteiskunnan toiminnan kannalta. On tärkeää,
että on olemassa reaaliaikaiset järjestelmät tietoturvaloukkausten ja –uhkien havain-
nointiin, varoittamiseen, torjuntaan ja toipumiseen sekä valtakunnalliseen tilanne-
seurantaan, analysointiin ja tiedottamiseen.
CERT -toiminta on laajemman kontaktipinnan luomiseksi tarkoituksenmukaisinta jakaa
kolmen hallinnonalan kesken: sisäasiainministeriön (poliisi), liikenneministeriön (THK) ja
kauppa- ja teollisuusministeriön (puolustustaloudellinen suunnittelukunta /Huolto-
varmuuskeskus).
Poliisille tulisivat tietoturvaloukkausten ja ongelmien monitorointi, tunnistaminen,
rajaaminen ja eristäminen, tapahtumien tutkinta, dokumentointi ja raportointi sekä myös
ennaltaehkäisyyn (salaamiseen, suojaukseen yms. turvallisuusteknisiin järjestelmiin)
liittyvä neuvonta, konsultointi ja varoittaminen.
THK:n tehtävänä olisi telealalla tapahtuvien tietoturvaloukkausten havainnointi ja
tiedonkeruu sekä tietoturvallisuusuhkien ennaltaehkäisy, valvonta ja niistä tiedotta-
minen. Keskeinen tehtävä CERT -toimintojen järjestämisessä on realistisen valtakunna-
llisen tilannekuvan luominen informaatiouhkista. HVK:n roolina olisi kerätä tapahtuma-
tieto eri osapuolilta ja luoda järjestelmä valtakunnallisen tilannekuvan muodostamista,
ylläpitämistä ja uhkista tiedottamista varten sekä tietoturvallisuusyhteistyön koordi-
nointi elinkeinoelämässä PTS:n organisaation kautta.
CERT –toiminnan valmistelua, yhteydenpitoa ja seurantaa varten on tarpeen perustaa eri
viranomaisosapuolten edustajista ja asiantuntijoista koostuva poikkihallinnollinen CERT
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
42
-toiminnan yhteistyöryhmä (CERT-YTR). Siihen kuuluisivat ainakin THK:n, KRP:n,
SUPOn, PV:n ja HVK:n edustajat. UM ja VM ovat tärkeitä yhteistyötahoja.
Vaikka Suomi edustaa tietoturvallisuutta koskevan sääntelyn osalta muihin maihin
verrattuna hyvää kansainvälistä tasoa, on tarpeen erikseen selvittää, mitä muutos- tai
kehittämistarpeita esitetyt uudet toiminnot ja niiden resurssointi edellyttää olemassa
olevaan lainsäädäntöön.
Työryhmä ei ryhtynyt yksityiskohtaisesti selvittämään rahoituskysymyksiä, vaan katsoo,
että rahoitukseen liittyvät järjestelyt on erikseen selvitettävä ao. ministeriöissä.
Tietoturvallisuuden kehittämistä ja sen edellyttämää yhteistyötä varten tarvitaan julkisen
hallinnon ja yksityisen elinkeinoelämän yhteinen foorumi. Puolustustaloudellisen
suunnittelukunnan tietojärjestelmäjaosto toimikuntineen muodostaa arvovaltaisen
asiantuntijaelimen, joka soveltuu tähän tehtävään. Sen toimenkuvaa on laajennettava
normaaliaikaisen tietoturvallisuuden kehittämisen alueelle ja Huoltovarmuuskeskuksen
resursseja on vahvistettava sen toimintaa tukevana viranomaisena.
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
43
LIITE
Luettelo käytetyistä lyhenteistä
BSI British Standards Institute (Englanti)
BSI Bundesamt fur Sicherheit in der Informationstechnik (Saksa)
CA Certificate Authority = varmenneviranomainen CB Cerfication Body = elin tai organisaatio, joka suorittaa
sertifiointitoimintaa
CC Common Criteria -kriteeristö CCB Compliant Cerfication Body = Common criteria -kriteeristön mukainen
kansainvälisen hyväksynnän piirissä oleva sertifiointielin
CCRA MG Common Criteria Recognition Arrangement Management Group
CERT Computer Emergency Response Team
CIAO Critical Infrastructure Assurance Office (USA) COMSEC Communications Security = tietoliikenneturvallisuus
EB, EF Evaluation body, evaluation facility = testilaboratorio, arviointielin
EMAS Eco-management Audit Scheme
HVK Huoltovarmuuskeskus
ISACs Information Sharing Analysis Centers (USA)
ITSEC Information Technology Security Evaluation Criteria
ITSEC MRA Mutual recognition Agreement of Information Technology Secu-
rity Evaluation Certificates
Tietojärjestelmien tietoturvallisuuden hallinnolliset järjestelyt PTS/TIHA-työryhmä 15.05.2000
44
KRP Keskusrikospoliisi
MIKES Mittatekniikan keskus
NISCC National Infrastructure Security Coordination Centre (Englanti)
NIPC National Infrastructure Protection Center (USA)
PTS Puolustustaloudellinen suunnittelukunta
QCB Qualifying Certification Body = päteväksi todennettu sertifiointilaitos SS, MI5 The Security Service (Englanti) SIS, MI6 Secret Intelligence Service (Englanti)
SUPO Suojelupoliisi
THK Telehallintokeskus
TTP Trusted third party = luotettu kolmas osapuoli
TPaK Turvallisuus- ja puolustusasian komitea
UTVA Hallituksen ulko- ja turvallisuuspoliittinen valiokunta
VAHTI Valtionhallinnon tietoturvallisuuden johtoryhmä
VATI Valtion tietohallinnon johtoryhmä
Puolustustaloudellinen suunnittelukunta
2000