Tietojen käsittelyluokitus Traffic Light Protocol uudistui

Traffic Light Protocol (TLP) on jo vuosien ajan ollut de facto -standardi CERT-toimijoiden yhteistyössä. Se on herrasmiessopimus arkaluontoisia tietoja koskevien käsittelysääntöjen ilmaisemisesta. TLP:stä on 31.8.2016 julkaistu ensimmäinen laajaan valmisteluun perustuva määrittely CERT:ien yhteistyöjärjestö FIRST:n toimesta. Viestintävirasto on alkanut noudattaa FIRST:n TLP-standardimääritelmää omassa tiedonvaihdossaan ja on julkaissut sitä noudattelevan tietoturvaohjeen.

TLP:stä on eri yhteistyöryhmissä vuosien saatossa kehittynyt hieman toisistaan poikkeavia versioita. Käsittelyluokkien nimet RED, AMBER, GREEN ja WHITE ovat samat, mutta tulkinta siitä, millä välineillä ja miten laajalle minkäkin luokan tietoja on soveliasta jakaa, vaihtelee. Väärinkäsitysten vaara on siis ilmeinen.

FIRST:n standardimääritelmä

Kansainvälinen CERT-toimijoiden yhteistyöjärjestö Forum of Incident Response and Security Teams (FIRST) tarttui toimeen ja alkoi koota TLP:stä määritelmää, joka olisi mahdollisimman laajasti hyväksytty. Valmistelua tehtiin avoimessa työryhmässä (TLP-SIG), johon osallistui useita muitakin tietoturva-alan yhteisöitä.

Työryhmä sai työnsä päätökseen kesällä 2016 ja viimeisen lausuntojakson jälkeen 31.8.2016 määritelmä sai FIRST:n standardin statuksen. Määritelmää ei ole käsitelty varsinaisissa kansainvälisiä standardeja määrittelevissä organisaatioissa, joten sillä ei edelleenkään ole varsinaista kansainvälisen standardin asemaa.

Keskeisin muutos ja suurin kiistelyn aihe tietoturvayhteisössä liittyy TLP:AMBER-luokan määrittelyyn. Alkuperäisessä US-CERT:n kirjoittamassa määritelmässä sanotaan, että TLP:AMBER-merkittyä tietoa saa jakaa saman tiedonvaihtoryhmän sisällä sekä vastaanottajan omassa organisaatiossa. Kyseinen määritelmä on kuitenkin koettu kohtuuttoman tiukaksi nykymaailmassa, jossa useimmat organisaatiot toimivat verkottuneesti ja alihankkijoiden ja yhteistyökumppaneiden palveluihin nojaten. Jotta jokin organisaatio voisi reagoida tietoturvauhkaa koskevaan tietoon, sen täytyy usein jakaa se yhteistyökumppaneilleen, jotka toimivat organisaation puolesta.

Niinpä FIRST:n standardimääritelmän mukaan TLP:AMBER-tietoa saa jakaa myös niille yhteistyökumppaneille, asiakkaille ja sidosryhmille, joiden panosta tarvitaan jaetussa tiedossa tarkoitetun tietoturvauhan torjumiseen ja siltä suojautumiseen. TLP:AMBER-merkinnän lisäksi tiedon lähde saa antaa tiedon jakamiselle ja käsittelylle tarkempia ja tiukempia rajoituksia. Tiedon vastaanottajien on noudatettava myös niitä.

Suhde muihin TLP-määritelmiin

FIRST:n standardimääritelmä ei kumoa muita TLP-määritelmiä. TLP on edelleen yhteistyöryhmäkohtainen herrasmiessopimus ja tarkoitettu helpottamaan jakelurajoitteiden ja käsittelysääntöjen tiivistä ilmaisemista. FIRST:n piirissä tehdyn määrittelytyön tavoitteena on kuitenkin, että eri yhteistyöryhmät alkaisivat käyttää mahdollisimman yhdenmukaisesti kirjoitettua ja tulkittua määritelmää. Yleensä ihmiset ja organisaatiot toimivat samanaikaisesti useissa yhteistyöryhmissä, joten usean hienovaraisesti toisistaan eroavan määritelmän käyttäminen johtaa väistämättä inhimillisiin virheisiin.

Ennen FIRST:n TLP-standardin julkaisua jaettuja TLP-merkittyjä tietoja tulee käsitellä jakamishetkellä kyseisessä kontekstissa noudatetun TLP-määritelmän mukaisesti. TLP:ssä on luokkien tulkinnasta riippumatta kyse tiedon luovuttajan ja vastaanottajan välisestä luottamuksesta. Vastaanottajan tulee käsitellä saamaansa tietoa siten, kuin luovuttaja toivoo. Aiemmissakin TLP-määritelmissä pääsääntö on ollut, että jos vastaanottaja ei ole täysin varma, haluaisiko luovuttaja jakaa tietoa jollekin taholle, niin vastaanottajan tulee kysyä alkuperäiseltä tiedonlähteeltä ennen tiedon luovuttamista edelleen.

Viestintäviraston julkaisu Yhteistyöryhmien tiedonvaihtokäytäntöjä

Viestintävirastolla (sen CERT-FI- ja Kyberturvallisuuskeskus-yksiköissä) on vuodesta 2010 lähtien ollut verkkosivuilla suomenkielinen tulkinta TLP:stä. Se on nyt päivitetty vastaamaan FIRST:n TLP-standardimääritelmää. Samalla asiakirja otettiin osaksi Viestintäviraston julkaisusarjaa ja sen nimeksi vaihdettiin Yhteistyöryhmien tiedonvaihtokäytäntöjä. Julkaisu käsittelee myös Chatham House -sääntöjä.

Viestintäviraston julkaisut (J-sarja) kuvaavat viestintäalaan liittyvien asioiden tilaa ja voivat sisältää neuvoja parhaiden käytäntöjen käytöstä. Julkaisuilla ei ole säädännöllistä velvoittavuutta.

Lisätietoja

Päivityshistoria

Asiasanat: Tietoturva , NCSC-FI , Tietosuoja , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248