Tulostusversio

3/2012

Lyhyesti tietoturvasta 3/2012

Euroopan komissio pyytää viranomaisilta, yrityksiltä ja kansalaisilta näkemyksiä verkko- ja tietoturvallisuuden parantamisesta. Komissiota kiinnostavat erityisesti kokemukset tietoverkkouhkista ja näkemykset EU:n toiminnasta uhkien torjunnassa.

Kuuleminen liittyy komission valmistelemaan lainsäädäntöehdotukseen verkko- ja tietoturvallisuudesta. Tarkoituksena on parantaa etenkin kriittisen infrastruktuurin valmiuksia torjua tietoverkkoihin kohdistuvia hyökkäyksiä.

Komission harkinnassa on, että riskienhallinnasta ja tietoturvauhkista ilmoittamisesta tulisi pakollista kaikille kriittisen infrastruktuurin ja internetin toiminnan kannalta tärkeille organisaatioille. Tällä hetkellä nämä toimenpiteet ovat EU:n lainsäädännössä pakollisia vain teleyrityksille.

Komission kyselyyn voi vastata netissä lokakuun 15. asti.

---

EU:n toimielinten oma tietoturvayksikkö CERT-EU jatkaa toimintaansa pysyvästi. EU:n verkkoturvallisuuden vahvistamiseksi perustettu CERT-EU todettiin vuoden kokeilun jälkeen tarpeelliseksi pysyvänä yksikkönä.

CERT-EU:n perustamisesta päätettiin keväällä 2010 hyväksytyssä Euroopan digitaalistrategiassa. Siinä kehotetaan myös kaikkia jäsenvaltioita perustamaan omat CERT-ryhmänsä.

Lyhenne CERT tulee sanoista Computer Emergency Response Team. CERT-ryhmät ovat asiantuntijayksiköitä, jotka tutkivat ja torjuvat tietoverkkouhkia.

Digitaalistrategian tavoitteena on, että tämän vuoden loppuun mennessä EU:ssa on kansallisten ja valtiollisten CERT-ryhmien verkosto.

---

Valtiot pyrkivät viimeiseen asti salaamaan puolustusvoimiensa aseistukseen ja osaamiseen liittyvät tiedot. Saksassa salaisuuksien verhoa kuitenkin raotettiin keväällä, kun viranomaiset myönsivät liittopäivien puolustusvaliokunnalle, että Saksan armeijalla on toiminnassa oleva kybersodankäyntiyksikkö. Asiasta kertoo USA:n armeijan lehti Stars & Stripes.

Lehden mukaan tiedossa on ollut, että Saksan puolustusvoimilla on kyky puolustaa maan kriittisiä tietoverkkoja, mutta uutta on, että sillä on myös hyökkäyskyky. Lehti siteeraa liittopäivien asiakirjaa, jonka mukaan vuonna 2006 perustettu salainen kybersodankäyntiyksikkö on testannut kykyjään laboratorio-olosuhteissa.

Paljastus kybersodankäyntiyksiköstä tuli lehden mukaan yllätyksenä sekä hallituksen että opposition kansanedustajille. Liittopäiväedustajia askarrutti, onko maan puolustusvoimien johdolla edes toimivaltaa päättää iskuista ulkomaisiin tietoverkkoihin ilman liittopäivien hyväksyntää.

---

Tietotekniikkarikokset ovat suomalaisille tuttuja, mutta niiden selvittämisessä ei hevin turvauduta poliisiin. Tämä selvisi Tietoyhteiskunnan kehittämiskeskuksen (TIEKE) ja Itä-Uudenmaan poliisilaitoksen tekemästä tietotekniikkarikoskyselystä. Kyselyyn tuli 1 201 vastausta pääosin nuorilta ja työikäisiltä suomalaisilta.

Yleisimmin kohdattu tietotekniikkarikos oli nettikiusaaminen, kuten perättömien tietojen levittäminen kohteesta tai hänen nimissään. Kiusaamisen kohteeksi oli joutunut lähes joka kolmas.

Valtaosa tietotekniikkarikoksen uhreista ei ollut tehnyt tapahtuneesta rikosilmoitusta. Yleisin selitys tälle oli se, ettei tapahtunutta oltu pidetty rikoksena, tai vahinko oli koettu vähäiseksi. Kuitenkin vastaajista lähes neljännes jätti ilmoittamatta, koska ei luottanut poliisin kykyyn ratkaista tietotekniikkarikoksia.

Runsas viidennes oli jättänyt rikosilmoituksen tekemättä, koska ei ollut halunnut joutua mahdollisen tutkinnan ja oikeusprosessin osapuoleksi.

---

Tietoturvallisuuden hallintajärjestelmiä käsittelevät suomennetut standardit on julkaistu käsikirjana. Kuusi standardia sisältävä käsikirja on tarkoitettu tietoturvallisuuden hallintajärjestelmien suunnitteluun, toteutukseen, auditointiin ja kehittämiseen.

Alan kansainvälinen standardisointityö jatkuu yhä. Tietoturvallisuuden hallintajärjestelmien 27000-standardiperheen aiemmin julkaistuja asiakirjoja päivitetään ja uusia on tekeillä.

Suomesta työtä seuraa ja siihen osallistuu Suomen Standardisoimisliitto SFS:n seurantaryhmä 307.

---

Valtion virastojen ja laitosten tietoturva on parantunut mutta niistä merkittävällä osalla tietoturvassa on vielä kohtalaisia puutteita. Edelleenkin muutama organisaatio on vailla tietoturvavastaavaa. Riskikartoitus puuttuu joka neljänneltä organisaatiolta ja tietoturvan kehittämissuunnitelma kolmannekselta.

Toisaalta osassa organisaatioista tehdään kattavasti erinomaista tietoturvatyötä.

Tiedot käyvät ilmi valtiovarainministeriön julkaisemasta Tietoja valtion tietohallinnosta 2011 -raportista, joka perustuu vuosittaiseen valtion virastoille ja laitoksille suunnattuun kyselyyn. Kyselyyn vastasivat kaikki valtionhallinnon 79 organisaatiota.

Tietoturvahyökkäyksiä ja haittaohjelmia koskevat havainnot ovat lisääntyneet edellisestä vuodesta ja aiheuttaneet enemmän toimenpiteitä. Merkittäviä järjestelmien käyttökatkoja ei kuitenkaan esiintynyt.

Lue myös

Lyhyesti tietoturvasta 3/2012 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.