Tulostusversio

3/2014

”Yhteistyössä on voimaa”

Teksti: Päivi Männikkö
Kuvat: Olli Häkämies
 Asta Sihvonen-Punkan kuva
Viestintävirasto valvoo teleyritysten varautumista esimerkiksi myrskyjen aiheuttamiin verkkohäiriöihin. ”Tänä kesänä oli Helena-myrsky, mutta se ei ollut yhtä kauhea kuin se Asta”, Viestintäviraston pääjohtaja Asta Sihvonen-Punkka muistelee.

 

Luottamus viestintäverkkojen ja -palvelujen turvallisuuteen on kokenut kovia kolauksia viime vuosina. Viestintäviraston pääjohtaja Asta Sihvonen-Punkka luottaa viranomaisten ja yritysten yhteistyön voimaan tietoturvan parantamisessa.

7. huhtikuuta 2014 tietoturvapiireissä kohistiin jälleen uudesta viheliäisestä haavoittuvuudesta. Heartbleediksi nimetty haavoittuvuus oli lähtöisin avoimen lähdekoodin Open SSL -ohjelmistokirjastosta, jota käytetään salattujen verkkoyhteyksien tuottamiseen.

Suomessa Heartbleed työllisti muiden haavoittuvuuksien tapaan muun muassa Viestintävirastoa ja sen vuoden alussa toimintansa aloittanutta Kyberturvallisuuskeskusta.

Viestintäviraston pääjohtajan Asta Sihvonen-Punkan mukaan tapaus Hearbleed osoitti, että viraston tietoturvapalvelujen uudelleenorganisointi on parantanut kyberturvallisuuden tilannekuvaa ja nopeuttanut tietoturvauhkiin reagointia.

”Meidän asiantuntijamme hyödynsivät paitsi CERT-FI:n saamia tietoja, myös niitä tietoja, mitä oli saatu NCSA-FI:n tekemissä tarkastuksissa”, Sihvonen-Punkka kertoo.

Järjestelmien tietoturvallisuutta arvioivan NCSA-FI:n asiantuntijat tiesivät omalta osaltaan, millaiset tahot Suomessa käyttävät haavoittunutta Open SSL -kirjastoa.

Tietoturvatoiminnot yhteen yksikköön

Kyberturvallisuuskeskus sai alkunsa tammikuussa 2013 valmistuneesta kansallisesta kyberturvallisuusstrategiasta, jossa päätettiin antaa Viestintävirastolle lisärahoitusta keskusta varten. Miljoonan euron rahoitus kuluvalle vuodelle vastaa käytännössä kuutta henkilötyövuotta.

Erillisen kuuden hengen yksikön asemesta virastossa päätettiin niputtaa uudet resurssit yhteen olemassa olleiden tietoturvatoimintojen kanssa. Niitä ovat tietoturvapoikkeamia selvittävä CERT-FI, vaatimuksenmukaisuuden arviointeja tekevä NCSA-FI sekä viestintäverkkojen toimintavarmuuden ja varautumisen valvonta. Uudessa keskuksessa työskentelee yli 50 henkilöä.

Keskus tekee tiivistä yhteistyötä esimerkiksi huoltovarmuuden kannalta kriittisten toimialojen kanssa.

”Me toimitamme tiedot viestintäverkkojen ja -palvelujen ongelmista. Yritykset ja niiden tietoturva-asiantuntijat analysoivat mahdolliset vaikutukset toimialallaan.”

Yritysten lisäksi yhteistyö valtionhallinnon suuntaan tehostui vuoden 2013 lopulla, kun Viestintävirasto ja valtiovarainministeriö solmivat sopimuksen valtionhallinnolle tarjottavista CERT-palveluista. Teleyritykset ja huoltovarmuuden kannalta kriittiset yritykset ovat olleet CERT-palvelujen piirissä jo useita vuosia.

”Valtionhallinnon CERT-palvelujen tuottaminen on ollut tavoitteemme jo monta vuotta”, Sihvonen-Punkka sanoo.

Valtion CERT-palvelujen rahoitus on järjestetty tälle vuodelle, mutta ensi vuoden rahoitus on vielä varmistumatta.

Snowden-paljastukset vahvistivat valvontaa

5. kesäkuuta 2013 brittiläinen The Guardian julkaisi ensimmäisen uutisen, jonka lähteenä oli USA:n turvallisuusviranomaisen NSA:n alihankkijoilla työskennellyt Edward Snowden. Hänen vuotamiinsa tietoihin pohjautuvista paljastuksista lähtien viestinnän luottamuksellisuus ja tietoturvallisuus ovat nousseet puheenaiheiksi joka puolella maailmaa.

Skandaalin jälkimainingeissa yksi Viestintäviraston valvontatyön painopisteistä on ollut viestintäverkkojen ja -palvelujen turvallisuus. Virasto on yhdessä teleyritysten kanssa selvittänyt, onko määräyksissä ja ohjeissa päivittämisen tarvetta. Kotimaisilta laitevalmistajilta on pyydetty ja saatu vakuutukset siitä, että niiden laitteissa ei ole urkinnan mahdollistavia ns. takaportteja.

Niin ikään Viestintävirasto pyysi teleyrityksiltä tietoja siitä, missä maissa nämä tuottavat palvelujaan ja miten ne huolehtivat tarjoamiensa palveluiden tietoturvallisuudesta.

”Silloin tuli esiin, että vaikka palvelun osapuolena oli suomalainen teleyritys ja vaikka asiakas luuli ostavansa palvelun Suomesta, palvelu tai osa siitä saatettiin toteuttaa muualla”, Asta Sihvonen-Punkka sanoo.

Kesäkuussa julkaistun suosituksen mukaan teleyrityksen tulisi kertoa asiakkailleen, missä sen tarjoamat palvelut toteutetaan. Näin käyttäjä voi itse arvioida viestintäänsä kohdistuvia uhkia. Suositus tulee voimaan vuoden 2015 alussa, mutta sen noudattaminen on vapaaehtoista. Keskeiset teleyritykset ovat kuitenkin osallistuneet suosituksen valmisteluun ja näin sitoutuneet siihen.

Suosituksen rinnalle saattaa tulla järeämpiäkin työkaluja, mikäli eduskunta hyväksyy tietoyhteiskuntakaaren esitetyssä muodossa. Kaari laajentaisi Viestintäviraston toimivaltaa koskemaan myös Suomen rajojen ulkopuolella toimivia palveluntarjoajia siltä osin kuin ne tarjoavat palveluja suomalaisille asiakkaille.

Apuna murtotutkinnassa

Snowden-kohun jälkeen Suomea ravisteli tieto ulkoministeriön tietoverkkoon kohdistuneesta tietomurrosta. Esitutkinnassa selvisi, että epäilty vakoilu oli jatkunut vuosia ja että kyse oli oikeastaan kahdesta erillisestä tapauksesta.

Tieto ensimmäisestä tapauksesta tuli ulkomailta, sillä Suomessa ei ole viranomaista, jolla olisi toimivalta ja resurssit tunnistaa poikkeavaa verkkoliikennettä. Viestintävirastossa tietoturvaloukkausten ja niiden uhkien selvittely kuuluu päivittäiseen rutiiniin. Miksi siellä ei havaittu murtoja?

”Me emme millään tavoin tutki, mitä tietoverkoissa liikkuu”, Sihvonen-Punkka korostaa ja vertaa Ruotsiin, jossa puolustusministeriön alaisella siviiliorganisaatiolla (FRA, Försvarets radioanstalt), on oikeus verkkotiedusteluun FRA-lain perusteella.

Ulkoministeriön tietomurtojen tutkinnassa Viestintävirasto on antanut asiantuntija-apua. Yleensäkin virasto astuu kuvaan mukaan silloin, kun sille ilmoitetaan havaitusta tietoturvauhasta. Poikkeamista ilmoittaminen on vapaaehtoista muille kuin teleyrityksille. Ne ilmoittivat virastolle viime vuonna 37 tietoturvaloukkauksesta.

”Tähän verrattuna me saamme aivan valtavan määrän vihjeitä ja ilmoituksia Autoreporterin kautta”, Sihvonen-Punkka huomauttaa.

Autoreporter kokoaa automaattisesti suomalaisia verkkoja koskevia haittaohjelma- ja tietoturvaloukkaushavaintoja ja raportoi niistä verkkojen ylläpitäjille. Viime vuonna palveluun tuli jopa 250 000 ilmoitusta poikkeamista.

”Tämä selittää pitkälti sen, miksi Suomessa tietoverkot ovat niin puhtaat.”

----

Asta Sihvonen-Punkka

  • Viestintäviraston pääjohtaja 2011–
  • Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelimen (BEREC) varapuheenjohtaja 2014
  • Energiamarkkinaviraston ja sen edeltäjän Sähkömarkkinakeskuksen ylijohtaja 1998–2011
  • kauppatieteiden lisensiaatti

Lue myös

Verkkotunnukset välittäjien haltuun »
Myrsky pakottaa varautumaan »
Asta Sihvonen-Punkka ja sosiaalinen media »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.