Tietosuoja 4/2009 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

7 Kaipaako kuluttaja tietosuojaa. s. 24 haasteet kasvavat s. tietoturvAn jA tietosuojAn erikoislehti 4/2009 | 13 e TIETOTURVAN Sähköiset asiakirjat suojaan s. 20 AsiAkAstiedot tietotilinpäätös perusrekisterit lex nokiA rekrytointi. 26 Sormenjälki korvaa kohta kortit s
7 yksityisyys: onko vainajan tiedoilla suojaa. 38 sähköinen liiketoiMintA: 26 28 30 32 34 38 40 42 45 46 Monta mieltä markkinoijasta sertifioitua tietosuojaa koko eu:ssa omat tiedot haltuun henkilörekisterit: tiedonkeruu riippuu virasta perustavanlaatuista tietoa s. 20 Onko vainajan tiedoilla suojaa? tunnistAMinen: diskoon sormenjäljellä? hyvät käytännöt: tietotilinpäätös kertoo tietosuojan ja -turvan laadusta sähköiset kokoukset tulevat kuntiin TIETOTURVA TEETTää yHä ENEmmäN TöITä Haittaohjelmat paljastavat tietoturvan ja lainsäädännön aukot. 49 Sisällys 3 pääkirjoitus: lisää lyhenteitä! lex nokiA: Sormenjäljellä jonon ohi Biometriset tunnisteet yleistyvät yrityksissä, mutta pelisäännöt puuttuvat. 4 7 8 12 14 17 18 20 23 24 vastaus käytännön tarpeisiin tietoturvA: tietoturvaa kaikilla tasoilla ei vain identiteetin turvaksi luokittelu lujittaa tietoturvaa proFiili: valtion it-palvelukeskus Apua tietoturvallisuuden kehittämiseen enisAa tarvitaan entistä enemmän tuumasta toimeen s. Ratkaisuja etsitään viranomaisten ja yritysten yhteistyöllä. s. 26 kAnnen kuvA: eric lerAillez t i etot u rvan ja t i etoS u ojan er iko iSlehti. Muutosta ilmassa lyhyesti tietosuojAvAltuutetun kAnnAnottojA: työntekijöiden henkilötietojen käsittely yritysjärjestelyissä tietosuojan hakemisto 2009 Kuka pelkää suoramarkkinoijaa? Kuluttajat eivät aina kaipaa tietosuojaa. s
NCSA:n voi sanoa olevan puuttuva palanen kansainvälisten tietoturvavaatimusten työkentässä. Tietoturva tuntuu rakentuvan akronyymeille. Se keskittyy kansainvälisen turvaluokitellun tiedon käsittelyn tietoturvavaatimuksiin. NCSA ei siis ole ensimmäinen viraston hittilyhenne. vuosikerta | issn 0786-5767 pAinopAikkA Forssan kirjapaino oy, Forssa Lisää lyhenteitä! Taas on aika kääntää seuraava sivu Suomen tietoturvateoksesta: Viestintävirastossa aloittaa vuoden 2010 alussa uusi NCSA-yksikkö. irtonumero 13 euroa. Suomi on leimallisesti esiintynyt tietoturvan mallimaana, mutta puutteitakin on todettu. Annanpa tämän "lyhenteistä menestystarinaksi" -reseptin myös jaettavaksi eteenpäin Tietosuojan tuleviin sisältöihin ja toki myös lukijakunnalle. 21. 0440 235 939 Bouser oy, jukka tiainen jukka.tiainen@bouser.fi puh. Mikäli peruutus ei saavu määräaikaan mennessä, laskutetaan tilaajan saamat lehdet. lehti ilmestyy neljästi vuodessa. Menestysresepti on siis luotu, vaikka se onkin kovin vaikeasti luettavissa. Mutta: lisää kolmen-kuuden kirjaimen lyhenteitä, ja maailma pelastuu. Työ vaikuttaa myös merkittävästi yritysten kilpailukyvyn turvaamiseen, kun tietoturvatuotteille tulevaisuudessa myönnetään sertifiointeja. tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. kAApo kAMu tie totu rva n ja ti e toSuoja n e r i ko i S le h t i 4/2009 tietoSUOJA 3. osoitetietoja ei käytetä muussa kuin stellatum oy:n omassa toiminnassa. NSCA:n tavoitteena on turvata Suomen mahdollisuudet osallistua kansainväliseen yhteistyöhön tasavertaisesti. FICORAn (Finnish Communications Security Authority, Viestintävirasto) ensimmäisiä aluevaltauksia oli TIHAprojektien (tietoturvallisuuden hallinnolliset järjestelyt) myötä syntyneet CERT-tehtävät (Computer Emergency Response Team). Entistä Parempaa Uutta Vuotta Tietosuojan Parissa (EPUVTP)! Timo Lehtimäki Viestintäviraston verkot ja turvallisuus -tulosalueen johtaja AsiAkAsrekisteri rekisterikuvaus ja -seloste ovat nähtävissä stellatum oy:n tiloissa purotie 1 B, 00380 helsinki. yhteydenotot tulee tehdä kirjallisina ja allekirjoitettuina em. | jukka ihanus, toimitusjohtaja, stellatum oy | eija kara, ylitarkastaja, tietosuojavaltuutetun toimisto | Anna lauttamus-kauppila, viestintäjohtaja, viestintävirasto | timo lehtimäki, johtaja, viestintävirasto | nora elers, viestintäjohtaja, Ficom ry | Anu talus, euasiantuntija, tietosuojalautakunta | eila ratasvuori, hallintojohtaja, helsingin kaupunki | Ahti saarenpää, professori, lapin yliopisto toiMituskuntA eija kara, ylitarkastaja, tietosuojavaltuutetun toimisto | lauri karppinen, it-erityisasiantuntija, tietosuojavaltuutetun toimisto | Ari husa, tietoturvaasiantuntija, viestintävirasto | Anne lappalainen, tiedotuspäällikkö, viestintävirasto | Anna lauttamus-kauppila, viestintäjohtaja, viestintävirasto | päivi Männikkö, toimitussihteeri, stellatum oy kustAntAjA stellatum oy, purotie 1 B, 00380 helsinki tilAukset jA osoitteenMuutokset tilaajapalvelu/tietosuoja,pl 115, 30101 Forssa puhelin 03 4246 5340, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi ilMoitusMArkkinointi jA -vArAukset ds & M Marketing oy, deeli kentala deeli.kentala@dsm.fi puh. Yksikön työntekijöiden nimikkeissä saattavat vilahdella termit CISA, CISSP... Sen tehtävät aukenevat nekin lyhenteiden kautta: NDA, SAA, CAA... kestotilauksena tilattu lehti tulee tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai lopettaa tilauksen. Strategiasta puhuttiin edelläkävijänä jopa globaalisti ja olivatpa mainitut lyhenteetkin alalla "kuuminta hottia". tilauksen voi keskeyttää ennen tilausjakson loppua. tilausehdot löytyvät lehden jokaisesta numerosta. tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. NSA-toiminta on Suomessa hajautettu DSA-toimijoille (Designated Security Authority, määrätyt turvallisuusviranomaiset). 09 682 0400, Faksi 09 682 1515 tilAushinnAt suoMessA 2009 kestotilaus 47 euroa (laskutusväli 12 kuukautta). Uuden yksikön tehtäviin palaamme varmasti lehden sivuilla tulevana vuonna. Määräaikaistilaus 50 euroa (kesto 12 kuukautta). Nykyisin Suomi on "tuulikaappimaa": Kyläillä voi, mutta päätöksentekoon ja tietovirtoihin ei pääse täysipainoisesti mukaan, ellei täytä kansainvälisiä tietoturvallisuusvaatimuksia. NCSA kuuluu ulkoministeriön vastuulla olevaan NSA-toimintaan (National Security Authority, kansallinen turvallisuusviranomainen). Muistellaanpa vielä Suomen ensimmäisen tietoturvastrategian aikoja vuonna 2003, jolloin CIIP-asiat (Critical Information Infrastructure Protection) ja TIKU (tilannekuva) nostivat päätään tietoturvakentässä ja CERT-FI-yksikön tehtävissä. Lyhenteiden listalle ei siis näy loppua. Pääkirjoitus 49 tietoturvAn jA tietosuojAn erikoislehti julkAisijAt tietosuojavaltuutetun toimisto tietosuojalautakunta viestintävirasto päätoiMittAjA Anna lauttamus-kauppila, viestintävirasto anna.lauttamus-kauppila@ficora.fi toiMituspäällikkö eija kara, tietosuojavaltuutetun toimisto eija.kara@om.fi toiMitussihteeri päivi Männikkö, stellatum oy paivi.mannikko@stellatum.fi tAitto Maria laiho, Business to Business Mediat oy maria.laiho@bbm.fi toiMitusneuvosto reijo Aarnio, tietosuojavaltuutettu, pj. seuraava numero ilmestyy 18.3.2010. Akuuttina asiana on noussut esille kansallisen tietoturvallisuusviranomaisen eli NCSA:n (National Communication Security Authority) tehtävät. NCSA:n tehtäviin kuuluvat tuotteiden ja tietojärjestelmien tietoturvavaatimusten hyväksymiset sekä salausmenetelmien ja avaimistojen hallinnointi. peruutus on tehtävä vähintään kaksi viikkoa ennen uuden tilausjakson alkamista. Tuolloin suunnittelupöydälle jäivät vielä COMSEC-tehtävät (Communications Security) ja QCB-tehtävät (Qualified Certification Body). tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Menestystarinaan odotetaan jatkoa NCSA:lta
lex nokia Vastaus käytännön tarpeisiin 4 tietoSUOJA 4/2009 Sähköisen viestinnän tietosuojalain uudet säännökset tarjoavat lisätyökaluja yrityssalaisuuksien turvaamiseen ja väärinkäytöksiltä suojautumiseen. Viime kädessä kysymys on sekä yritysten toimintaedellytysten että työntekijöiden ja käyttäjien viestintämahdollisuuksien turvaamisesta. t i etot u rvan ja t i etoS u ojan er iko iSlehti
Yhteisötilaajalla on käytössään myös muita tietohallinnollisia keinoja väärinkäytösten selvittämisessä, kuten käyttäjätietolokien tarkastaminen sekä järjestelmien teknisessä ylläpidossa kerätyt tiedot. Sähköpostin ja internetin käytön valvonnassa on esimerkiksi työnantajan näkökulmasta kysymys työnjohdollisista ja tietoturvallisuuteen liittyvistä asioista, kun vastaavasti työntekijöiden näkökulmasta on kysymys yksityisyydensuojasta ja viestinnän luottamuksellisuudesta. Sähköisen viestinnän tietosuojalain muutoksella yritettiin vastata ennen kaikkea yritysten tarpeisiin. Lain muutoksella välttämättömäksi havaittu tunnistamistietojen käsittely lisättiin tietoturvallisuuden työkalupakkiin. Ennakkoilmoitus kertoo, että yhteisötilaaja on kiinnittänyt erityistä huomiota tietoturva-asioihin. Tunnistamistiedot osa selvitystä Uudet säännökset antavat yhteisötilaajalle mahdollisuuden käsitellä tunnistamistietoja viestintäsalaisuutta rikkomatta, jos tarkoituksena on torjua viestintäverkkojen ja palveluiden väärinkäyttöä sekä yrityssalaisuuksien paljastamista. Käsittelyoikeuden perusteella voidaan selvittää, kuka on käyttänyt tietoyhteiskunnan palvelua, viestintäverkkoa tai viestintäpalvelua luvattomasti tai paljastanut yrityssalaisuuden. tie totu rva n ja ti e toSuoja n e r i ko i S le h t i 4/2009 tietoSUOJA 5. Tunnistamistiedoista käy ilmi myös esimerkiksi se, millä nettisivustoilla kukin surffaa. Kerättyjä tietoja on jo aiemmin käytetty muuan muassa yrityssalaisuuksien vuotojen selvittämiseen ja ohjeiden vastaisen toiminnan valvontaan. Teksti: Raisa Leivonen | Kuva: ScanStockPhoto SähköiSen vieStinnän tietOSUOJALAin pykälissä 13 ak säädetään yhteisötilaajan oikeudesta käsitellä tunnistamistietoja väärinkäytöstapauksissa. Tunnistamistietoja ovat esimerkiksi tiedot viestin lähettäjästä ja vastaanottajasta, yhteyden kestosta, reitityksestä, ajankohdasta sekä siirretyn tiedon määrästä. Internetin ja sähköpostin käytön valvonta sekä tunnistamistietojen käsittely eivät ole uusia asioita. Todellisuudessa tunnistamistietojen käsittely on kuitenkin usein välttämätöntä tietoverkossa ja viestintäpalvelussa havaittujen poikkeamien selvittämiseksi. Vastuullisen selvittämiseksi Käytännössä tunnistamistiedot auttavat etenkin väärinkäytöksistä vastuussa olevien henkilöiden selvittämisessä. Ensisijaisesti väärinkäytöstilanne onkin pyrittävä estämään ja selvittämään muiden kuin tunnistamistietojen avulla
3. Tunnistamistietojen käsittelyoikeuksien käyttöönotto edellyttää sitä, että yhteisötilaaja tarkistaa tietoturvallisuutensa tason. Tunnistamistietojen käsittely on usein välttämätöntä havaittujen poikkeamien selvittämiseksi. Lex nOkiA Tunnistamistietojen avulla voidaan varmistaa tietoverkon käytöstä annettujen ohjeiden noudattamista. nimeä JA kOULUtA tUnniStAmiStietOJen käSitteLiJät 4. Tietosuojavaltuutetulle tehtävä ennakkoilmoitus osoittaa, että yhteisötilaaja on kiinnittänyt erityistä huomioita tietoturva-asioihin. 5 ASkeLtA Lex nOkiAn käyttöön kun yritys päättää ryhtyä torjumaan viestintäverkon tai -palvelun luvatonta käyttöä sekä suojaamaan yrityssalaisuuksia ottamalla käyttöön tunnistamistietojen käsittelyoikeudet, on muistettava lain edellyttämät ennakkotoimenpiteet: 1. vArmiStA tietOtUrvASi tASO kirJOittAJA 2. OhJeiStA käyttäJiä rAiSA LeivOnen toimii tarkastajana tietosuojavaltuutetun toimistossa ja kuuluu sähköisen viestinnän tietosuojalain tunnistamistietojen käsittelyn valvontaryhmään. Lain edellyttämistä ennakkotoimenpiteistä on myös muuta hyötyä: Selkeät ohjeet viestintävälineiden käytöstä ja tunnistamistietojen käsittelystä lisäävät sekä käyttäjien että ylläpitäjien oikeusturvaa. t i etot u rvan ja t i etoS u ojan er iko iSlehti. tiedOtA ASiAStA (yt-menetteLy) Selkeät ohjeet viestintävälineiden käytöstä ja tunnistamistietojen käsittelystä lisäävät oikeusturvaa. 6 tietoSUOJA 4/2009 5. Tunnistamistietoja voidaan tarvita myös todistusaineistoksi väärinkäytöksen esitutkintaan saattamiseksi tai oikeusvaateen tueksi. Ilmoitus on yhteistyökumppaneille selkeä viesti siitä, mitä yrityssalaisuuksien suojaaminen yhteisötilaajalle merkitsee. lex nokiaan liittyviä kysymyksiä voi lähettää osoitteeseen valvonta.tietosuoja@om.fi lisäksi tietosuojavaltuutetun toimiston puhelinneuvonta auttaa lakiin liittyvissä kysymyksissä. AiheeStA enemmän tietosuojavaltuutetun toimiston opas yhteisötilaajan oikeus käsitellä tunnistamistietoja väärinkäytöstapauksissa: www.tietosuoja.fi/46871.htm tietosuojavaltuutetun toimisto koordinoi hanketta, jonka tarkoituksena on laatia käytännönläheinen ohje lex nokia -säännösten soveltamisesta tietohallinnossa. tee iLmOitUS tietOSUOJAvALtUUtetULLe tämän jälkeen yrityksellä on oikeus käsitellä tunnistamistietoja laissa säädettyjä tarkoituksia varten
Valmisteilla olevan asetuksen on määrä lujittaa erityisesti salassa pidettävien asiakirjojen turvaamista. Valtionhallinnon tietoturvaan kohdistuu entistä enemmän vaatimuksia. Tuolloin internetissä julkaistiin noin 80 000 käyttäjätunnusta ja salasanaa. Omat haasteensa tuo lainsäädäntö, joka ei ole pysynyt haittaohjelmakehityksen perässä. ENISAn uuden pääjohtajan näkemyksiä viraston tulevaisuudesta esitellään sivulla 17. Joulukuussa 2008 hyväksyttyä strategiaa aletaan toteuttaa hallinnon ja yritysten yhteistyöllä. Pykälät eivät kaikilta osin sovellu vakoiluohjelmien toimintatapaan. tietoturva TIETOTURVAA kaikilla tasoilla Teksti: Päivi Männikkö | Kuva: ScanStockPhoto Tiedon turvallinen säilyttäminen ja siirtäminen nähdään entistäkin haastavampana. Yhteinen visio tietoturvan kehittämisestä lisäisi luottamusta sähköisiin palveluihin. Ratkaisuja etsitään viranomaisten ja yritysten yhteistyöllä. tUhAnSien SUOmALAiSten identiteettiin tuli särö kaksi vuotta sitten. Tiedon suojaamisen haasteisiin vastataan valtionhallinnossa uudella asetuksella. EU:n verkko- ja tietoturvavirasto. Salasanamurto muistuttaa siitä, että tunnistautumiseen tarvittavat tiedot eivät siedä kompromissejä. Tietoturvan tasoa yhtenäistetään hankkeella, jossa yksiköt määrittelevät tarvitsemansa tietoturvan tason ja toteuttavat sen edellyttämät muutokset. VIPin tietoturvapalveluja käydään läpi sivuilla 1416. Salasanamurrosta ja lainsäädännön haasteista kerrotaan sivuilla 811. Ne oli kerätty erilaisista verkkopalveluista niiden heikkouksia hyödyntämällä. Tietoturvastrategian toimenpideohjelmaa tarkastellaan sivuilla 1819. tie totu rva n ja ti e toSuoja n e r i ko i S le h t i 4/2009 tietoSUOJA 7. ENISAn näkemyksen mukaan tietoturvan tasoa tulisi yhtenäistää eurooppalaisella tietoturvastrategialla. Tietoturvatasoihin liittyvien velvoitteiden täyttämisessä auttaa Valtion IT-palvelukeskus VIP. Turvallisen tiedonsiirron edellytykset ja vastuukysymykset mietityttävät niin hallintoa kuin yrityksiäkin. Asetus antaisi myös mahdollisuuden siirtää erittäin salaista tietoa sähköisesti. Identiteetin lisäksi ne suojaavat muutakin, esimerkiksi liiketoimintaa. Muun muassa näihin kysymyksiin aiotaan pureutua kansallisen tietoturvastrategian toimenpideohjelmassa. Valtionhallinnon tietoturvallisuusasetuksesta kerrotaan tarkemmin sivuilla 1213. Tiedonsiirrosta meiltä muualle tekee haasteellisen sekin, että eri maiden tietoturvakulttuureissa on eroja. Strategian toimenpideohjelman hankkeista kahdeksan käynnistettiin marraskuussa, yksi alkaa ensi keväänä
Niin sanottu salasanamurtotapaus on tästä karu muistutus. Salasanat suojaamattomista palveluista Vuoden 2007 syksyllä internetissä julkaistiin noin 80 000 käyttäjätunnusta ja salasanaa. Pykälien soveltamisongelmia voi tulla, jos tietoja ei ole suojattu, ja murto on tehty vakoiluohjelmalla. Tällaisissa tiedoissa ei tulisi puhua perinteisestä salassapidosta tai julkisuudesta vaan henkilökohtaisesta tiedosta. Toisen henkilön tietojen hankinnan ja hallussapidon kriminalisointia ei myös ole pidetty tarkoituksenmukaisena, koska näiden tietojen lailliseen hankkimiseen on laajat mahdollisuudet. Esimerkiksi kaupparekisteristä ja rajoitetummin väestötietojärjestelmästä voi hankkia muiden henkilötietoja. Jos salaisuus on muiden tiedossa, on tunnistamisjärjestelmä rikottu ja se tulisi korjata. hyöty eikä yksityisyyden loukkaaminen. 8 tietoSUOJA 4/2009 t i etot u rvan ja t i etoS u ojan er iko iSlehti. Tämän takia vaadittiin, että paljastuneet käyttäjätunnukset ja salasanat pidettäisiin yleisesti saatavilla. Viestintäviraston CERTFI-yksikkö tiedotti tapauksesta yleisölle ja palveluntarjoajille salasanojen vaihtamiseksi ja lisävahinkojen välttämiseksi. Kun tällaisen ilmiön kriminalisointia on arvioitu, on todettu, että toisen henkilön tietojen väärinkäyttö on jo nyt rangaistavaa: se voidaan tuomita esimerkiksi petoksena tai väärennyksenä. Asiakkaat puolestaan voisivat ryhtyä muihin tarpeellisiksi katsomiinsa toimiin, mikäli he olivat esimerkiksi käyttäneet samoja tunnuksia muissakin palveluissa. identiteettivArkAUdeLLA tArkOitetAAn yleisesti toisen henkilön tietojen luvatonta käyttämistä. Tällaisia tietoja ovat esimerkiksi henkilökohtaiset käyttäjätunnukset ja salasanat. Tässä mielessä henkilötiedot etenkin nimi ja henkilötunnus ovat pikemminkin yhteisiä hyödykkeitä kuin yksilön tai jonkun yhteisön yksinomaisessa määräysvallassa olevia tietoja. SQL-Injection-tyyppisellä tekotavalla hyödyntämällä tietokantatoimintojen haavoittuvuuksia. Tekijäksi paljastui nuori henkilö, joka oli kerännyt nämä tiedot erilaisista verkkopalveluista ns. Tietosuojan näkökulmasta taas pidettiin parempana sitä, että murron kohteina olleet palveluntarjoajat ilmoittaisivat asiakkailleen tietovuodosta ja ryhtyisivät tarpeellisiin toimiin tunnusten väärinkäytön estämiseksi. Kansalaisten keskeinen huoli oli, olivatko heidän tunnuksensa paljastuneet. tietoturva Teksti: Heikki Partanen | Kuvitus: Jean Hin/Corbis/SKOY muutaman vuoden takainen salasanamurto osoittaa, kuinka henkilötiedoiksi katsottavat tunnukset suojaavat yksityisyyden lisäksi myös liiketoimintaa. Käyttäjätunnuksella henkilö yksilöidään ja salasanalla hänet todennetaan; toisin sa- Kun käyttäjätunnuksia kerätään esimerkiksi vakoiluohjelmalla, tavoitteena on yleensä taloudellinen noen tunnistaminen perustuu siihen, että vain henkilö itse tietää salasanan. Kuitenkin tietoyhteiskunnan kehitys ja erityisesti etäasiointiin liittyvä tunnistaminen on johtanut siihen, että jotkut henkilötiedot tulisi suojata kaikilta ulkopuolisilta. Myös näiden tunnisteiden myöntäminen on enemmänkin yhteisöllinen toimi kuin yksilöstä it- sestään lähtevä, identiteetin rakentamiseen liittyvä teko
tie totu rva n ja ti e toSuoja n e r i ko i S le h t i 4/2009 tietoSUOJA 9
Salasanatapauksessa voidaan näin ollen ainakin väittää, että murtaja ei tiedonhankinnallaan loukannut yksityisyyttä. Henkilörekisteririkoksen tunnusmerkistön täyttymisen kannalta olennaista oli, käsittelikö murtaja henkilötietoja ja loukkasiko hän käyttäjien yksityisyyttä. Tietosuojavaltuutettu ehdotti myös henkilörekisteririkoksen tunnusmerkistöä. Salasanamurtotapauksessa tekijällä ei ollut asiallista yhteyttä käyttäjätunnusten omistajiin, joten hänen tiedonhankintaansa voi arvioida henkilötietolain vastaisena ryhtymisenä henkilötietoihin. Tapauksen esitutkinta johti syytteen nostamiseen tekijää vastaan. Viimeksi mainitun rikoksen tunnusmerkistö oli juuri syyskuussa 2007 muuttunut siten, että se kattoi käyttäjätunnusten ja salasanojen hallussapidon ja levittämisen. Henkilörekisteririkos kohdistuu yksilöön Lain mukaan useissa henkilötietoihin liittyvissä rikosepäilyissä syyttäjän on kuultava tietosuojavaltuutettua ennen syytteen nostamista. Kun käyttäjätunnuksia kerätään esimerkiksi vakoiluohjelmalla, tavoitteena on yleensä taloudellinen hyöty eikä yksityisyyden loukkaaminen. Poliisi tutki käyttäjätunnusten ja salasanojen levittämistä vaaran aiheuttamisena tietojenkäsittelylle. Lisäksi on otettava huomioon käyttäjätunnusten ammattimaisen hankinnan luonne. Tekijä tuomittiin kuitenkin luvattomasta käytöstä, vahingonteosta, tietojärjestel- mäpetoksesta sekä vaaran aiheuttamisesta tietojenkäsittelylle. Tällaista tiedonhankintaa voidaan pitää toisen henkilön tunnistamistietojen luvattoman käytön valmisteluna. Vahinkoja pyritään 10 tietoSUOJA 4/2009 t i etot u rvan ja t i etoS u ojan er iko iSlehti. Tätä perusteltiin sillä, että rikoslain pykälät vaaran aiheuttamisesta tietojenkäsittelylle ja tietoverkkorikosvälineen hallussapidosta koskevat ensisijaisesti tunnusten levittä- Käyttäjätunnusten ja salasanojen paljastuminen muille rikkoo jo sellaisenaan niiden tarkoitusta. mistä ja toissijaisesti niihen hallussapitoa. Henkilöä tarkemmin kuvaavaa tietoa sai vasta kirjautumalla tunnuksilla niitä vastaavaan palveluun. Tiedonhankinta ei kuitenkaan ole tietojenkäsittelyrauhan rikkomisena kriminalisoitua. Jos näin ei ole, kyse voi olla henkilörekisteririkoksesta. Niihin perustuva tunnistaminen voi silti erityisesti yhteisöpalveluissa jäädä niin heikoksi, ettei palveluntarjoaja voi yhdistää tunnuksia tiettyyn henkilöön. Käräjäoikeus hylkäsi syyttäjän ensisijaisesti ajamat tietomurtoa koskevat syytekohdat sillä perusteella, että tietomurron tunnusmerkistön edellyttämästä suojauksesta ja sen murtamisesta ei ollut näyttöä. Lisäksi tunnukset ja salasanat eivät tässä tilanteessa kertoneet kovin paljon omistajistaan. Tunnistamiseen käytettäviä tunnuksia ja salasanoja voi pitää tiettyä henkilöä koskevina tietoina. Lausunnoissaan tietosuojavaltuutettu pyrkii arvioimaan henkilötietoihin kohdistuvia tekoja kolmivaiheisesti lähtien tiedonhankinnan laillisuudesta päätyen käsittelyn ja käytön laillisuuden kautta tietojen levittämisen laillisuuteen. Henkilötietolain mukaan rekisterinpitäjän käsittelemien henkilötietojen tulee olla tarpeellisia käsittelyn tarkoituksen kannalta
Näin ollen se ei kovin hyvin sovellu tällaiseen tunnistamiseen liittyvään tiedollisen infrastruktuurin suojaamiseen. Vakoiluohjelmien toiminta huomioon Ihmisillä alkaa olla käyttäjätunnuksia ja salasanoja mitä erilaisimpiin palveluihin tai tietoresursseihin. aiheuttamaan lähinnä palveluntarjoajalle. Näiden säännösten tulisi vastata haittaohjelmakehitystä siten, että ne soveltuisivat vakoiluohjelmien toimintatapaan. Siksi olisi mielestäni perusteita muuttaa rikoslain pykäliä vaaran aiheuttamisesta tietojenkäsittelylle ja tietoverkkorikosvälineen hallussapidosta. Tästä syystä tällaisen tiedollisen infrastruktuurin suojaamista ei voi tehokkaasti tehdä kotirauhan rikkomiseen liittyvillä säännöksillä, kuten vakoiluohjelman asentamisella kotikoneelle salaista tarkkailua varten tai henkilörekisteririkoksella, jonka piirteenä on henkilötietojen laiton käsittely yksityisyyden loukkaamiseksi. Luvatonta henkilötietojen käyttöä voitaisiin rajoittaa esimerkiksi parantamalla tunnistamisen tasoa. Paljon muutakin on tehtävissä henkilötietojen luvattoman käytön ehkäisemiseksi ja rajoittamiseksi sekä tietovuodoista selviytymiseksi. Tietovuodoista selviytymistä helpottaisi se, että rekisterinpitäjät ylipäänsä huomaisivat tietovuodot, korjaisivat viat ja tiedottaisivat vuodosta asianosaisille mahdollisimman kohdennetusti. Henkilörekisteririkosnimikkeen tarkoituksena on suojata yksityisyyttä ja hyvittää yksilölle aiheutuvaa vahinkoa. Käyttäjätunnusten ja salasanojen paljastuminen muille rikkoo jo sellaisenaan näiden tietojen tarkoitusta. tällaisten väärinkäytösten torjunnassa olisi olennaista, että poliisilla olisi selkeä toimivalta estää vakoiluohjelmien keräämien tietojen välittäminen ulkomaille. Väärinkäyttöä voi ehkäistä Rikosoikeudellisia keinoja pidetään yleisesti viimekätisinä keinoina puuttua vahingollisiin tai ei-toivottuihin ilmiöihin. Henkilötietojen väärinkäyttöä voitai- siin ehkäistä rajoittamalla henkilötietojen saatavuutta esimerkiksi kaupparekisteristä. Näin ollen tunnukset ja salasanat suojaavat erilaisia oikeushyviä eivätkä pelkästään yksityisyyttä. Maksulliset verkkopalvelut voivat edellyttää käyttäjätunnuksia ja salasanoja, ja sähköpostitilikin on suojattu tunnuksin. Henkilötietojen suojaamiseksi henkilörekisterit tulee suojata ulkopuolisilta. Nämä kysymykset näyttävät olevan EU:ssä esillä muun muassa arvioitaessa tietomurtojen ilmoituspakon tarvetta ja identiteettivarkauksien kriminalisointia. Vakoiluohjelmat lasketaan useimmiten liikkeelle Suomen rajojen ulkopuolelta. Siksi kirJOittAJA ylitarkastaja heikki PArtAnen työskentelee tietosuojavaltuutetun toimistossa. Tietoja ei voi suojata tehokkaasti kotirauhan rikkomiseen liittyvillä pykälillä. tie totu rva n ja ti e toSuoja n e r i ko i S le h t i 4/2009 tietoSUOJA 11
Säilyvätkö kuriiri ja paperiposti jatkossakin. Kalevi Hyytiän mukaan uhka tunnistetaan: "Maailmanlaajuisessa verkossa uhka on kaikkialla yhtä suuri: Jokainen työasema on löydettävissä, ja selkokielinen viesti internetissä on täysin suojaton. Siinä jäljitettävyys ja sen varmistaminen, että viesti päätyy oikealle henkilölle, on helpompi toteuttaa." Tietosuojakin huomioitu Tietoturvallisuusasetuksen valmistelu on kestänyt suhteellisen kauan, jo kuusi vuotta useine lausuntokierroksineen. Korkean tason kansainväliset sähköiset yhteydet kiinnostavat usein ulkopuolisiakin. "Henkilötietolainsäädännöstä tulee melko paljon vaatimuksia tietojen käsittelysäännöille. Kuitenkin, jos tieto kulkee esimerkiksi optista kuitua myöten, josta ei ole minkäänlaisia yhteyksiä ulos, ei siihen pystytä murtautumaan." Tietojen siirto ulkomaille sisältää omat riskinsä, kun on pakostakin tukeuduttava osin myös julkisiin palveluihin. Valmistelu työryhmässä on ottanut aikansa, ja se on suuri askel eteenpäin," Hyytiä pohtii. Myös Tietosuojavaltuutetun toimisto on osallistunut asetuksen valmisteluun. Hän on osallistunut tietoturvallisuusasetuksen valmisteluun. Esimerkiksi EU on uusimassa tietoturvasääntöjään tältä osin", Wallin kertoo. Asetuksen ohella julkaistava VAHTIn uusi ohje salassa pidettävien asiakirjojen käsittelystä koskee lähinnä valtionhallintoa, mutta siinä esitettyjä periaatteita tulee noudattaa kaikessa viranomaisen toimeksiantoon pohjautuvassa työssä. "Kyseessä on laaja säädös, joka sisältää hyvin paljon huomioon otettavia yksityiskohtia. "Julkisissakin verkoissa voidaan tietoa toisinaan siirtää, kun se on vahvasti salattua", Hyytiä sanoo. tie totu rva n ja ti e toSuoja n e r i ko i S le h t i 4/2009 tietoSUOJA 13. Selkokielinen viesti suojaton Huippusalaisten asiakirjojen liikennettä seurataan monilta tahoilta. "Vaikka sähköistä tiedonsiirtoa ollaankin nyt avaamassa, ehdot ovat ymmärtääkseni melkoisen kovat. Salatut ja turvatut lähiverkot tulevat mahdollistamaan myös salassa pidettävien asiakirjojen sähköisen siirtämisen, kertoo puolustusvoimien tietoturvapäällikkö Kalevi Hyytiä. Myös asetusehdotus tähtää siihen, että mahdollisessa sähköisessä siirrossa käytettävät välineet olisivat parasta käytettävissä olevaa tekniikkaa," Wallin korostaa. sesti. "Esimerkiksi erittäin salaista ja salaista tietoa voidaan tietyin rajauksin käsitellä erikseen nimetyissä korkean tietoturvatason verkoissa, joihin ei ole yhteyttä muista tietoverkoista." "Myös kuriiria ja paperimuotoista postia tullaan käyttämään varmasti tulevaisuudessakin paljon. Niiden huolellinen mukaanotto asetuksen ja ohjeiden valmistelussa on ollut iso työ ja uskon, että se näin laajasti huomioituna yhtenäistää henkilötietojen käsittelyä valtionhallinnossa," Hyytiä arvioi. Esimerkiksi länsivaltojen vakoilujärjestelmä Echelon on keskittynyt nimenomaan sähköisen viestinnän seurantaan
Kaikkien hallinnon organisaatioiden on täytettävä vähintään perustason vaatimukset. Profiili: valtion it-palvelukeskus Teksti: Kimmo Rousku | Kuva: Jyrki Vesa APUA TIETOTURVALLISUUdEN Valtion IT-palvelukeskus ohjaa ja opastaa valtionhallintoa tietoturvallisuudessa. vALtiOkOnttOriSSA vUOden 2009 alussa aloittanut Valtion IT-palvelukeskus eli VIP kehittää ja tuottaa valtion yhteisiä IT-palveluja. Osana tätä toimintaa VIPin tietoturvapalvelut-ryhmä tarjoaa palveluita hallinnon tietoturvallisuuden kehittämiseen. KEHITTämISEEN Vähintään perustason tietoturvaa Valtiovarainministeriössä toimiva Valtion IT-toiminnan johtamisyksikkö on vastannut kahden merkittävän valtionhallinnon tietoturvallisuutta kehittävän hankkeen toteuttamisesta. kuvassa vasemmalta ylhäältä johtava asiantuntija kimmo rousku, palvelupäällikkö tapani puisto sekä tietoturva-asiantuntijat kimmo janhunen, Mervi virtanen ja erja kinnunen. 14 tietoSUOJA 4/2009 t i etot u rvan ja t i etoS u ojan er iko iSlehti. Jos perustaso ei riitä organisaation toiminnan tai suojattavien kohteiden suojaamiseen, on mahdollista valita korotettu tai korkea taso, jotka sisältävät perustasoa vaativampia menetelmiä tietoturvallisuuden varmistamiseen. Varautumista tehostetaan ICT-varautumisen tavoitteena on varmistaa toimintojen jatkuvuus sekä mahdollistaa vipin tietoturvapalvelujen väkeä. Organisaatiossa käsiteltävien tietojen luonne määrää sen tietoturvatason, jota organisaatiossa sekä sen toimittajayhteistyössä ja alihankintajärjestelyissä on noudatettava. Tietoturvatasot määrittävät perustason, joka jokaisen hallinnon organisaation tulee saavuttaa niin organisaation oman toiminnan kuin tietoaineistojen ja -järjestelmien suojaamisessa. Tavoitteena on varmistaa hallinnossa käsiteltävien tietojen turvallisuus. Nämä ovat tietoturvatasojen (TTT 2007-2008) ja ICT-varautumisen (eVARE 2008-2010) kehittämishankkeet. Tämä mahdollistaa myös toimimisen ns. inhouse-yksikkönä, jolloin asiakkaiden ei tarvitse kilpailuttaa VIPin palveluita, vaan VIP järjestää, hankkii ja tuottaa niitä koko valtionhallinnon puolesta
Organisaatio voi tilata asiantuntijapalveluista auditoijan, joka tekee hallinnollisen ja/tai teknisen tietoturva-auditoinnin valittuun kohteeseen. Se on tietoturva-asioiden oppimisympäristö ja materiaalipankki. Auditoinnilla selvitetään, miten hyvin esimerkiksi organisaatio, sen tietojärjestelmä tai verkkopalvelu saavuttaa tietoturvatasojen tai ICT-varautumisen vaatimukset. Koska auditoinneissa löytyy yleensä jotain korjattavaa, VIP tarjoaa apua myös korjaustoimenpiteisiin. Hallinnossa on käytössä vaihtelevia menetelmiä ja työvälineitä riskienarvioinnin toteuttamiseksi. Jotta suojattavien kohteiden helppokäyttöisyys ja tietoturvallisuus saadaan tasapainoon, tarvitaan riskienarviointia. Organisaatio voi auditoinnin jälkeen itsekin korjata tai pyytää omien palveluidensa käyttöpalveluja tuottavaa toimittajaa korjaamaan poikkeamat. Väärin toteutettuna tietoturva voi tehdä palvelunestohyökkäyksen organisaation omaa toimintaa vastaan. Lisäksi työkalupakkiin tuotetaan valmiita malleja, asiakirjoja ja muita hyödyllisiä sähköisiä työvälineitä tietoturvatasojen ja ICT-varautumisen tueksi. Tietoturva perustuu riskienarviointiin Tietoturvallisuuden ylläpitämisen ja kehittämisen tulisi perustua säännölliseen riskienarviointiin. Usein todetaan, että tietoturvallisuus heikentää tekniikan käytettävyyttä. tietoturvatasot ja ict-varautuminen tulevat koskemaan valtionhallinnon ohella myös muiden organisaatioiden (kuten kunnat, yritykset ja yhteisöt) kanssa tehtävää yhteistyötä sekä palvelujen toimittajia ja heidän alihankkijoitaan. julkishallinnon yhtenäinen ja koordinoitu varautuminen erityistilanteisiin kustannustehokkaasti ja yhtenäisesti. VIP-tietoturvapalvelut tuottaa yhtei- Työkalupakista parhaat käytännöt Asiantuntijapalveluiden ohella VIP-tietoturvapalvelut tuottavat sähköisiä palveluita. Tällaisia ovat esimerkiksi www-portaali, jonka työnimenä on Tietoturvallisuuden tie totu rva n ja ti e toSuoja n e r i ko i S le h t i 4/2009 tietoSUOJA 15. VIPistä voi myös tilata tietoturvakonsultin korjaamaan löytyneitä poikkeamia. VIPin tietoturvallisuuden asiantuntijapalvelut toteutetaan käyttämällä ulkopuolisia, sertifioituja ja turvaselvitettyjä asiantuntijoita, jotka hankitaan hyödyntämällä valtion yhteishankintayksikkö Hanselin voimassa olevia puitesopimuksia. työkalupakki. Konsultin voi tilata myös avustamaan esimerkiksi uuden ohjeistuksen tai prosessin tuottamisessa tai organisaation tietoturvallisuuden hallintajärjestelmän kehittämisessä. Normaalisti organisaatioissa on pyritty varautumaan jokapäiväisiin normaalioloissa tapahtuviin häiriötilanteisiin, mutta nyt varautumista laajennetaan koskemaan koko toimintaverkostoa sekä ottamaan paremmin huomioon poikkeusolojen edellyttämät vaatimukset. Asiantuntijoilta apua auditointiin Valtionhallinnon organisaatiot saavat VIPistä käyttöönsä asiantuntija-apua ja sähköisiä palveluita, joiden avulla tietoturvatasoihin ja ICT-varautumiseen liittyvät velvoitteet ovat helpommin saavutettavissa. Oppimisympäristön yhtenä keskeisenä hankkeena toteutetaan sähköinen peruskäyttäjien tietoturvakurssi, jonka päätteeksi käyttäjä voi suorittaa omaa osaamistaan mittaavan kokeen
Jotta tietojärjestelmä, verkkopalvelu tai muu organisaation toiminnan kannalta tärkeä suojattava kohde osataan sijoittaa oikealle tietoturvatasojen tai ICT-varautumisen edellyttämälle tasolle, täytyy huomioida useita vaatimuksia. VIPin tietoturvapalvelut kehittää työvälinettä helpottamaan tätä arviointityötä. Sen avulla tason valitseminen voitaisiin tehdä luotettavasti, nopeasti ja yhtenäisesti kaikilla hallinnonaloilla. palveluntuottajana toimivalle Fujitsulle on myönnetty uusittujen vaatimusten mukainen tietoturvasertifikaatti (Bs 7799-2:2002-standardi). tällä hetkellä virtulla voi tunnistautua valtiokonttorin rondoja travel-palveluihin. tUnniStAminen virtu mahdollistaa kertakirjautumisen (single sign on, sso). korjausten todentamisen jälkeen virasto hyväksytään virtuun. ennen virtuun liittymistä organisaatiot auditoidaan valtionhallinnon tietoturvatasojen korotetun tason vaatimusten mukaisesti. tänä vuonna vetuMAn kautta kulkee yli 400 000 tunnistus- verkkomaksu tai allekirjoitustapahtumaa. kuitenkin alkuvaiheessa virtuun liittymiseen riittää tietoturvan perustaso. virtu vähentää erillisten käyttäjätunnusten tarvetta sekä säästää aikaa, vaivaa ja rahaa. tunnistuspalvelimen hankkiminen on alkuvaiheessa viraston oma tehtävä. vetuMA on kansalaisten verkkotunnistamis- ja maksamispalvelu. Auditoinnissa organisaatio rajataan koskemaan virtun kannalta keskeisiä toimintoja. yhteisen tunnistuspalvelun perustaminen virtun yhteyteen tullee ajankohtaiseksi ensi vuonna. jos auditointituloksista ei löydy vakavia poikkeamia tietoturvan perustasosta, virasto hyväksytään virtun käyttäjäksi. sitä voi myös käyttää kertakirjautumisessa viraston omiin palveluihin. Helppokäyttöisyys ja tietoturvallisuus saadaan tasapainoon riskienarvioinnilla. hALLinnOn tUnniStAmiSPALveLUt kASvAvAt valtion it-palvelukeskus on kehittänyt vetuMA- ja virtu-palvelut helpottamaan julkishallinnon arkea. Lähetä sähköpostia osoitteeseen tietoturva.vip@valtiokonttori.fi kirJOittAJA johtava asiantuntija kimmO rOUSkU työskentelee valtion it-palvelukeskuksen tietoturvapalveluissa. ulkopuoliset tietoturva-auditoijat ovat tarkastaneet vetuMA-palvelun tietoturvallisuuden vuosina 2006 ja 2008. jos poikkeamia löytyy, esimerkiksi vip-tietoturvapalvelu voi auttaa virastoa korjaussuunnitelman tekemisessä ja sen toteuttamisessa. virkamiehen tunnistamisen luottamusverkosto eli virtu-palvelu on valmiina käyttöön ja ensimmäisiä virastoja odotetaan sen käyttäjiksi. virtu-palvelun operaattori on tieteen tietotekniikan keskus csc, joka huolehtii virtu-ympäristön teknisestä toiminnasta ja tarjoaa asiantuntijaresurssit palvelulle. vetuMA-palvelussa käytetään tietoliikenteen ssl-salausta, osapuolten identiteetti varmistetaan, ja viestien eheys taataan käyttäen jaettuun salaisuuteen perustuvaa turvatarkisteen laskentaa. palvelun avulla voidaan myös hakea tunnistuksen yhteydessä henkilön perustiedot väestötietojärjestelmästä. vetuMA on ollut käytössä elokuusta 2006 alkaen ja sitä käyttää noin 60 julkishallinnon organisaatiota. siihen voivat liittyä ne julkishallinnon organisaatiot, jotka tarvitsevat sähköisissä asiointipalveluissa kansalaisen tunnistamista, verkkomaksamista tai sähköistä allekirjoitusta. sen sähköisen työvälineen niille organisaatioille, joilla ei ole käytettävissään tarvittavia työkaluja vuosikellonsa mukaiseen tietoturvallisuuden riskien arvioimiseen. virtun avulla virastojen henkilökunta voi jatkossa kirjautua virastonsa henkilökohtaisilla tunnisteilla (käyttäjätunnus salasana, virkakortti) myös valtion yhteisiin tietojärjestelmiin. käyttövaltuuksien hallinta on joko viraston tai palveluntuottajan tehtävä. palvelu on kilpailutettu uudelleen tänä vuonna ja toimittajaksi on valittu nykyinen toimittaja, Fujitsu services oy. lisätietoja: vetuma@valtiokonttori.fi virtu@valtiokonttori.fi Tapani Puisto Kirjoittaja on VIPin palvelupäällikkö. 16 tietoSUOJA 4/2009 t i etot u rvan ja t i etoS u ojan er iko iSlehti. Samalla työvälineellä voidaan tutkia vaatimuksia myös aihepiireittäin, etsiä esimerkiksi kaikki sopimuksia tai kouluttamista koskevat vaatimukset. Onko sinulla toiveita tai ideoita siitä, miten VIP voi parantaa valtionhallinnon tietoturvallisuutta. Samalla VIP pyrkii kehittämään uusia apuvälineitä tietoturvavaatimusten ja toimintaverkoston hallintaan
Kehittynyt verkko- ja tietoturvakulttuuri lujittaa Euroopan sisämarkkinoita, tarjoaa EU:n kansalaisille turvallisuuden tunnetta ja vahvistaa heidän luottamustaan tieto- ja viestintäteknologian mahdollisuuksiin. Virasto tukee niitä päämääriä, joita EU on kirjannut tietoturvastrategioihinsa. ENISA on jo avustanut jäsenvaltioita CERT-toiminnan perustamisessa ja se on myös tulevaisuudessa valmis tarjoamaan tietämyksensä niiden käyttöön. Olen ottanut pääjohtajan tehtävän vastaan ENISAssa siinä vakaassa käsityksessä, että Euroopan komissio, parlamentti ja neuvosto tarvitsevat päätöksenteossaan verkko- ja tietoturvakysymyksiin erikoistuneen viraston asiantuntemusta. Samalla, kun teknologia jatkuvasti kehittyy, myös siihen liittyvät riskit ja uhat kasvavat. Erityistä huomiota on kiinnitettävä yhteiskunnallisesti tärkeisiin kysymyksiin, kuten henkilötietojen suojaan ja alaikäisten netinkäyttöön. Siksi menestys edellyttää luottamusta. monenlaisia toimintatapoja ENISA on arvioinut toimia, joilla jäsenvaltiot varmistavat julkisten verkkojensa turvallisuutta ja sietokykyä. Siksi ENISA aikoo asettaa itselleen uusia painopistealueita. Pitäkää siis mielessä työmme verkko- ja tietoturvallisuuden varmistajana ja surfailkaa valppaasti ja turvallisesti. Uhkina ovat myös bottiverkot, verkkourkinta ja vakoilu. Tällaisia alueita voivat olla esimerkiksi esineiden internet, läsnä-äly, sosiaaliset verkostot, pilvilaskenta, palveludirektiivi, verkko- ja tietoturvamarkkinoiden seuranta ja laajamittainen sähköisen henkilöllisyyden pilottihanke. Haittatoiminnot toteutetaan taitavasti, järjestelmällisesti ja hajautetusti eri puolilla maailmaa. Sen on rohkaistava hallituksia, elinkeinoelämää ja kansalaisjärjestöjä yhteistyöhön, joka edistää tavallisten kansalaisten etuja. Arviointi osoitti, että valtiot suhtautuvat riskeihin eri tavoin ja niiden valmiuksissa on eroja. Uudessa työssäni haluan varmistaa, että virasto tekee kaikkensa Euroopan tietoturvallisuuden kehittämiseksi. Viraston on toiminnassaan nojattava jäsenvaltioiden luottamukseen. EU:n strategia tarpeen ENISA katsoo, että jokaisen jäsenvaltion on laadittava itselleen selkeä tietoturvastrategia, jossa määritellään yksityiskohtaisesti eri organisaatioiden tehtävät ja vastuut. Verkko- ja tietoturva-ala kehittyy nopeasti. tämään "sähköistä maalaisjärkeä", jolla he voivat torjua verkossa vaanivia vaaroja. Tavalliset kansalaiset, liikeyritykset ja hallitukset joutuvat yhä useammin identiteettivarkauksien ja palvelunestohyökkäysten kohteiksi. Kansalaisia onkin rohkaistava kehit- Toimikautta pidennettävä ENISAn vuonna 2012 päättyvää toimikautta on ehdottomasti pidennettävä, sillä sen ratkaistavaksi tulee jatkuvasti yhä enemmän tietoturvakysymyksiä. päähän ulottuvasta eurooppalaisesta strategiasta olisi hyötyä muun muassa seuraavilla alueilla: Elinkeinoelämän, viranomaisten ja kansalaisten on voitava myös tulevaisuudessa käyttää internet-yhteyksiä ja -palveluja turvallisesti ja vaivattomasti. Siksi on erittäin tärkeää varmistaa Euroopan viestintäja tietojärjestelmien turvallisuus ja toimivuus. Joillakin mailla on yksi tai useampi CERT-/CSIRT-toimija, jota ylläpitää valtio tai jokin muu kansallinen taho. Niiden välistä luottamusta on vahvistettava, jotta ne voisivat paremmin ymmärtää ongelmia ja reagoida niihin asianmukaisesti. yhä enemmän haittatoimintaa Globaali tietoliikenne on monitahoinen kokonaisuus, jonka rakenteisiin kohdistuu järjestelmällisiä hyökkäyksiä. Näistä on erityisesti mainittava i2010 ja turvallisen tietoyhteiskunnan strategia. Ongelmana on myös se, että viranomaiset ja yksityiset tahot eivät tee riittävästi yhteistyötä arkaluontoisissa asioissa tai jaa tietoa keskenään. Nyt ENISAa tarvitaan entistä enemmän. Kansalaiset hyödyntävät sähköisiä palveluja ainoastaan, jos he pitävät niitä turvallisina. tietoturva Teksti: Udo Helmbrecht ENISAa tarvitaan entistä enemmän Euroopan verkko- ja tietoturvavirasto ENISA toivoo kansallisten tietoturvastrategioiden rinnalle eurooppalaista strategiaa. eUrOOPAn verkkO- JA tietOtUrvAvirAStO ENISAa perustettaessa vuonna 2004 ei osattu ennakoida, missä määrin sen tehtävät ja vastuut lisääntyisivät vuosien mittaan. Riskitekijöitä ovat verkkojen ja tietojärjestelmien monimutkaisuus, yhteen liitettyjen tuotteiden ja palveluiden laajuus sekä julkisten ja yksityisten sidosryhmien lukuisuus. Ne voivat merkittävässä määrin vaarantaa eurooppalaisten markkinoiden toimivuuden. Selkeistä tavoitteista ja 5-10 vuoden kirJOittAJA tie totu rva n ja ti e toSuoja n e r i ko i S le h t i 4/2009 tietoSUOJA 17. Ne testaavat säännöllisesti valmiuksiaan ja reagointijärjestelmiään ja pyrkivät myös ennakoimaan uhkia hyvillä käytännöillä ja teknisillä parannuksilla (joista esimerkkinä mainittakoon DNS-nimipalvelun turvalaajennus). Sen lisäksi alalle tarvitaan myös Euroopan kattava strategia. Euroopassa on kuitenkin edelleen maita, joilla ei ole virallista CERT-toimintaa. Näiden toimijoiden kyky luoda yhä uusia hyökkäysmenetelmiä on hämmästyttävä, ja kuten tiedämme, ongelma pahenee koko ajan
Tietoturvapäivänä helmikuussa pidettiin julkinen strategiaseminaari ja työpaja. Nämä otetaan huomioon hankkeiden työssä. Toimenpideohjelmaa on valmisteltu Arjen tietoyhteiskunnan neuvottelukunnan tietoturvallisuusryhmässä. Hankkeiden loppuraportit valmistuvat helmikuun 2011 loppuun mennessä, jolloin tietoturvaryhmän mandaatti päättyy. Se myös raportoi vuosittain työn etenemisestä Arjen tietoyhteiskunnan neuvottelukunnalle ja hallitukselle. Tämä onnistuu vain, jos teemme tätä työtä yhdessä. Ryhmään kuuluu yli 20 julkisen ja yksityisen sektorin tietoturvavaikuttajaa. Näiden painopisteiden mukaisesti toimenpideohjelmaan on koottu yhdeksän kärkihanketta. Tervetuloa mukaan! kirJOittAJA neuvotteleva virkamies mAri herrAnen on Arjen tietoyhteiskunnan neuvottelukunnan tietoturvallisuusryhmän puheenjohtaja. Ohjelma sinetöitiin laajalla lausuntokierroksella kesä-elokuussa. Hankkeet käynnistettiin marraskuussa yhtä hanketta lukuun ottamatta. Toimenpideohjelmalla on rajapintoja myös muiden ohjelmien kanssa. Toimenpiteiden yhteensovittamisesta vastaa Arjen tietoyhteiskunnan tietoturvaryhmä. Hankkeiden toteutuksessa haetaan synergioita ja huomioidaan tarkasti mahdollisuudet tuottaa lisäarvoa. Tavoitteena on luoda suomalaisille (kansalaiset, yritykset, viranomaiset ja muut toimijat) turvallinen arki tietoyhteiskunnassa. häneltä voi kysyä lisätietoja tai ilmoittautua mukaan hankkeisiin: mari.herranen@lvm.fi AiheeStA enemmän tietoturvastrategian toimenpideohjelmasta liikenne- ja viestintäministeriön verkkosivuilla: www.lvm.fi/web/fi/tiedote/view/985412 Arjen tietoyhteiskunnan neuvottelukunnan tietoturvaryhmästä: www.arjentietoyhteiskunta.fi/tietoturva Hallinto ja yritykset yhteistyössä Sekä strategia että toimenpideohjelma on laadittu ja toteutetaan vahvalla julkisen ja yksityisen sektorin yhteistyöllä: se on ohjelman menestyksen kannalta keskeinen tekijä. 18 tietoSUOJA 4/2009 t i etot u rvan ja t i etoS u ojan er iko iSlehti. Valmistelu on toteutettu mahdollisimman avoimesti. Strategia ja toimenpideohjelma keskittyvät muutamiin alan asiantuntijoiden keskeisimpinä pitämiin kehittämiskohteisiin. Toimenpideohjelman toteutus on haastavaa. Otakantaa.fi-sivustolla käytiin julkinen keskustelu. Strategia pannaan täytäntöön tämän vuoden marraskuussa alkaneella toimenpideohjelmalla. Toimenpideohjelmalla halutaan saada mahdollisimman konkreettisia tuloksia. Strategiassa on kolme painopistettä: tietoyhteiskunnan perustaidot, tietoihin liittyvä riskienhallinta sekä kilpailukyky ja kansainvälinen verkostoituminen. Ministeri Suvi Lindén totesi toimenpideohjelman käynnistämistilaisuudessa, että kansallinen tietoturvastrategia ja toimenpideohjelma ovat avainasemassa, kun suomalaista tietoturvaosaamista ja -yhteistyötä kehitetään eteenpäin. yhdeksän hanketta Ohjelmalla toteutetaan kansallista tietoturvastrategiaa käynnistämällä muutama keskeinen ja tietoturvaa ratkaisevasti Suomessa edistävä hanke. Jokaisella hankkeella on vetäjä sekä muut osallistuvat tahot. tietoturva Teksti: Mari Herranen TUUmASTA TOImEEN Kansallinen tietoturvastrategia on edennyt toimenpidevaiheeseen. vALtiOneUvOStOn PeriAAtePäätöS kAnSALLiSekSi tietoturvastrategiaksi hyväksyttiin joulukuussa 2008. Hankkeille luodaan vetovastuullisten johdolla mittarit, joiden avulla toteutumista seurataan
vauhditetaan kansallisen tietoliikenneturvallisuusviranomaisen (national communications security Authority, ncsA) perustamista suomeen. Kansallinen ja kansainvälinen yhteistyö liikenne- ja viestintäministeriö mUUt hAnkkeet 8. selvitetään vaikutusmahdollisuuksia kansainvälisten standardien kehitystyöhön ja kv. selvitetään tieto- ja viestintäpalveluiden toimivuuden turvaamisen edistämistä. kartoitetaan nykyiset mittaustavat. lisäksi kehitetään tietoturvapäivä-konseptia ja selvitetään pk-sektorin omaa tietoturvahanketta. etsitään ncsA:n erityisesti jatkossa tarvitsema rahoitus. viestien jalkauttamiseksi laaditaan oma viestintäsuunnitelma. standardien laajamittaisen hyödyntämisen edistämistä. Riskienhallinta kartoitetaan riskienhallintatyökaluja ja edistetään niiden käyttöönottoa. Foorumia hyödynnetään tiedonvaihtokanavana erityisesti eu:n tietoturvapolitiikasta ja verkko- ja viestintäviraston enisAn toiminnasta. yritysten kilpailukyky ja NCSA viedään suomalaista tietoturvaosaamista maailmalle. selvitetään vaihtoehtoiset mallit suomen kansainvälisten tieto- ja viestintäliikenneyhteyksien turvaamiseksi mm. parannetaan tiedonvaihtoa kansallisella foorumilla ja pohditaan toimia kansallisen yhteistyön tehostamiseksi. Lähitulevaisuuden tietoturva-trendit kartoitetaan lähitulevaisuuden tietoturvauhkia, jotka liittyvät mm. hAnkkeen nimi SiSäLtö vAStUUtAhO PerUStAidOt ArJen tietOyhteiSkUnnASSA 1. Arvioidaan erillisen tietoturvaohjelman perustamista. Mitataan sekä strategian onnistumista että tietoturvan kehitystä yleensä. selvitetään palveluntarjoajien vastuiden, oikeuksien ja velvollisuuksien nykytila. hanke alkaa keväällä 2010. merikaapelissa, operaattoriyhteistyöllä, kansainvälisellä yhteistyöllä sekä satelliittiyhteyksin. Tietoturvatietoisuuden lisääminen selvitetään arjen tietoyhteiskunnassa tarvittavat perustaidot ja niiden pohjalta valmistellaan tietoturvaviestejä kaikille keskeisille väestöryhmille. sen pohjalta tehdään ehdotus parhaiksi käytännöiksi. tämän pohjalta tehdään ehdotus käytettävistä menetelmistä ja mekanismeista. uusiin teknologioihin, palveluihin, tuotantomalleihin ja yritysrakenteisiin. Tietoturvallisuuden mittaaminen oulun yliopisto hankkeet ovat jo käynnissä lukuun ottamatta hanketta 2, joka aloitetaan ensi keväänä. tie totu rva n ja ti e toSuoja n e r i ko i S le h t i 4/2009 tietoSUOJA 19. Toimintavarmuus Ficom ry kiLPAiLUkyky JA kAnSAinväLinen verkOStOyhteiStyö 5. viestintävirasto 2. sitrA 9. huoltovarmuuskeskus 4. selvitetään riskienhallinnan ja palvelujen jatkuvuuden koulutuksen edistämistä erityisesti pk-yrityksille. vtt viestintävirasto 7. Osaamisen vienti ja osallistuminen standardien kansainväliseen kehitystyöhön 6. Palveluntarjoajan oikeudet ja velvollisuudet keskuskauppakamari tietOihin Liittyvien riSkien hALLintA JA tOimintAvArmUUS 3. pyritään vaikuttamaan siihen, että tietoturvavalmiuksia kehitetään joka koulutusasteella
Hansson muistuttaa, että tunnistekoodi voidaan sekä säilyttää että siirtää salatussa muodossa. Pelisäännöt puuttuvat Hanssonin mukaan biometriikan riskeistä tulisi tiedottaa enemmän. Viranomaiskäyttöön alun perin tarkoitut biometriset tunnisteet yleistyvät yrityksissäkin. tunnistaminen diskoon SORmEN Roskikseen joutavat VIP-passit, eikä portsarin tunteminenkaan enää auta siellä, missä oikea paikka jonossa selviää sormenjälkitunnisteesta. Pitäisi esimerkiksi säätää edellytykset biometrisiä tunnisteita sisältävien rekisterien perustamiselle ja määritellä niille tarkat turvatasot. "Asiaa on tietysti vaikea ennakoida, mutta 20 tietoSUOJA 4/2009 t i etot u rvan ja t i etoS u ojan er iko iSlehti. Lainsäädäntö asiasta on miltei olematonta. tOiStAiSekSi diSkOOn PääSee vielä perinteisin keinoin, mutta kuntosaleilla sormenjälkitunnistaminen on jo arkipäivää. "Yleisesti ottaen biometristen tunnisteiden yksityinen käyttö pitää sisällään riskin, että tiedot päätyvät vääriin käsiin, etenkin, kun tilanne on oikeudellisesti sääntelemätön." Hanssonin mielestä biometristen tunnisteiden käytön leviämisen riskejä ei vielä riittävästi tiedosteta. Biometriikan viranomaiskäyttöä koordinoivan hankkeen kehittämispäällikkö mika Hansson suhtautuu varauksellisesti vahvojen biometristen tunnisteiden käytön laajenemiseen yrityksissä. Lisäksi tarvittaisiin yhteisiä pelisääntöjä. Viranomaisen näkökulmasta kehityksessä on riskinsä. "Järjestelmät, joissa biometristen tunnisteiden rekistereitä ei tarvita, voitaisiin ottaa käyttöön vapaammin, koska niiden riskit ovat paljon pienemmät, joissakin tapauksissa lähes olemattomat." Miten todennäköistä on, että koko laaja ja monimuotoinen yksitynen sektori saadaan sekä omaksumaan biometristen tunnisteiden käytön edellyttämät tietoturvakäytännöt että panostamaan niihin riittävästi. Biometrinen tunniste, kuten sormenjälki on rekistereissä yleisimmin muunnettuna koodiriviksi, jota on helppo teknisesti säilyttää, kopioida ja siirtää. Lähivuosina biometrisen tunnistamisen odotetaan yleistyvän muissakin palveluissa