Verkkojen ja palvelujen tietoturva

Tietoturvallisuudella tarkoitetaan tietoliikenne-, laitteisto-, ohjelmisto-ja tietoaineistotoiminnan turvallisuutta, joilla turvataan verkkojen ja palvelujen eheys, luottamuksellisuus ja käytettävyys. Viraston valvomia teleyritysten yleisiä viestintäverkkoja ovat sekä kiinteät että langattomat kohde- ja joukkoviestinnän verkot. Muiden sähköisen viestinnän välittäjien ja yhteisötilaajien valvonta painottuu tietosuojaan. Erityisiä tietoturvavalvonnan kohderyhmiä ovat toimijat, jotka käsittelevät kansainvälistä turvaluokiteltua ja viranomaisten tietoa.

Tällä sivulla kerrotaan toimijoiden lakisääteisten velvoitteiden ohjauksesta ja valvonnasta.

Lain, määräysten, suositusten ja valvontapäätösten ohella tietoturvallisuuden ohjauksessa avainasemassa ovat yhteistyö ja tiedonvaihto.

Tietoa yhteistyöhön ja tiedonvaihtoon keskittyvistä Viestintäviraston Kyberturvallisuuskeskuksen tietoturvapalveluista löytyy Kyberturvallisuus-osiosta.

Teletoiminnan tietoturva

Verkko- ja viestintäpalvelujen tietoturvallisuudesta säädetään laissa. Viestintävirasto tarkentaa lakia tarvittaessa sitovilla teknisillä määräyksillä. Viestintävirasto valvoo, että verkko- ja viestintäpalvelut täyttävät lakien ja määräysten vähimmäisvaatimukset. Lakien ja teknisten määräysten lisäksi Viestintävirasto laatii suosituksia, ohjeita ja työryhmäraportteja. Osana teknistä ohjausta Viestintävirasto seuraa tarvittaessa kansainvälisiä standardointiryhmiä ja muuta kansainvälistä kehitystä.

Viestintäviraston valvonnan piiriin kuuluvia sähköisiä viestintäverkkoja ja niissä tarjottavia yleisiä viestintäpalveluja ovat muun muassa

  • kiinteät ja langattomat puhelin- ja dataverkot
  • puhelinpalvelu
  • teksti- ja multimediaviestit
  • internetyhteyspalvelu eli laajakaistapalvelut eri tekniikoilla (muun muassa xDSL, kaapelimodeemi, ethernet/valokuitu, mobiilidata, WiMax, WLAN)
  • internet-yhteyden päällä tarjottavat sähköposti-, VoIP- ja pikaviestintäpalvelut
  • maanpäälliset televisio- ja radioverkot
  • kaapelitelevisio- ja IPTV
  • televisio- ja radio-ohjelmistojen lähetys ja jakelu joukkoviestintäverkoissa

Tekniseen valvontaan liittyvät velvoitteet koskevat tavallisesti verkon tai palvelun toteutustapaa. Ne voivat koskea esimerkiksi tietoturvatoimenpiteitä kuten liikenteen suodattamista.

Valvontakyselyt teleyrityksille

Viestintävirasto tekee teleyrityksille kirjallisia kyselyitä, joilla selvitetään, miten yritykset toteuttavat säännösten ja määräysten vaatimukset omassa toiminnassaan. Kyselyt ovat yksityiskohtaisia ja ne rajataan tavallisesti joihinkin aihealueisiin. Vastausten perusteella Viestintävirasto voi

  • antaa teleyritykselle tietoa hyvistä käytännöistä
  • velvoittaa teleyritystä korjaustoimenpiteisiin
  • kohdistaa valvontaa ja neuvontaa
  • arvioida määräysten muutostarpeita
  • tuottaa yleistä julkista tietoa verkoista ja palveluista

Tekniset tarkastukset

Teknisen tarkastuksen tarkoituksena on varmistaa, että teleyrityksen viestintäverkot ja -palvelut on toteutettu säännösten vaatimalla tavalla. Tarkastus voi olla yleistarkastus tai siinä voidaan keskittyä rajattuun asiakokonaisuuteen.

Tarkastus voidaan tehdä tarvittaessa myös yksittäisen valituksen selvittämiseksi. Tarkastuksista sovitaan yleensä etukäteen. Teleyritykseltä voidaan pyytää ennakkoselvityksiä ennen tarkastusta. Tietoturvallisuuteen liittyvän tarkastuksen Viestintävirasto voi myös teettää valitsemallaan riippumattomalla asiantuntijalla.

Tarkastustoiminnan kohteina ovat sekä varsinaiset palveluntuotantoon käytettävät että palveluntuotantoa tukevat järjestelmät. Tarkastuksesta laaditaan pöytäkirja ja tarvittaessa teleyritys velvoitetaan erikseen päätöksellä korjaustoimenpiteisiin.

Valvontapäätökset

Viestintävirasto voi selvittää teleyritysten toimintaa oma-aloitteisesti tai tehdyn valituksen perusteella. Selvityksen perusteella Viestintävirasto voi velvoittaa teleyrityksen korjaamaan toimintansa tai menettelynsä.

Viestintävirasto ei voi velvoittaa päätöksellään korjaamaan yksittäisen asiakkaan viestintäpalvelua tietyssä ajassa. Päätöksellä voidaan ainoastaan ratkaista, onko teleyrityksen toiminta säännösten mukaista ja tarvittaessa kieltää säännöstenvastainen toiminta tai äärimmillään velvoittaa teleyritys irrottaman tietoturvahäiriöitä aiheuttava laite tai liittymä yleisestä verkosta. Sen sijaan asiakkaalla voi olla oikeus vakiokorvaukseen tai hyvitykseen sopimusrikkomuksen takia. Korvauksia koskevat riidat ratkaisee yleinen tuomioistuin. Kuluttaja-asiakkaat voivat kääntyä myös kuluttajariitalautakunnan puoleen.

Tietoturvallisuutta koskevista Viestintäviraston päätöksistä voi valittaa hallinto-oikeuteen. Päätöstä on noudatettava muutoksenhausta huolimatta, ellei hallinto-oikeus toisin määrää.

Teleyritysten ilmoitusvelvollisuus tietoturvahäiriöistä

Teleyrityksille on säädetty laissa velvollisuus ilmoittaa oma-aloitteisesti Viestintävirastolle viestintäverkkojen tai -palvelujen merkittävistä tietoturvaloukkauksista ja uhkista Ilmoittamisvelvollisuus koskee sekä viestintäverkko- että viestintäpalveluyrityksiä.

Teleyritysten antamia tietoja käytetään tietoturvaloukkausten selvityksen ja häiriötilanteiden tilannekuvan lisäksi säännösten kehittämistyössä. Teleyritysten antamia tietoja käytetään myös teleyritysten järjestelmien seurantaan.

Ilmoitusvelvollisuus

Viranomaisverkot

Viranomaisverkoilla tarkoitetaan valtion johtamiseen ja turvallisuuteen, maanpuolustukseen, yleiseen järjestykseen ja turvallisuuteen, rajaturvallisuuteen, pelastustoimintaan, meripelastustoimintaan, hätäkeskustoimintaan, maahanmuuttoon, ensihoitopalveluun tai väestönsuojeluun liittyvien tarpeiden vuoksi rakennettua viestintäverkkoa.

Koska viranomaisverkkojen käyttäjäpiiri on ennalta rajattu, niiden toiminta ei ole yleistä teletoimintaa.

Viranomaisverkot voidaan liittää teleyritysten yleisiin viestintäverkkoihin. Tällöin niitä koskevat tietoyhteiskunta perusteella vaatimukset olla aiheuttamatta tietoturvahäiriöitä yleiseen viestintäverkkoon ja -palveluihin.

Ks. myös viranomaisverkkojen toimivuuden sääntelystä

Kansainvälistä turvaluokiteltua sekä viranomaisten tietoa käsittelevät toimijat

Viestintävirasto vastaa kansainvälistä turvaluokiteltua tietoa käsittelevien tietojärjestelmien hyväksymisestä. Hyväksyntämenettelyn piiriin kuuluvat valtionhallinnon järjestelmät niiltä osin, kun ne liittyvät kansainvälisten tietoturvallisuusvelvoitteiden täyttämiseen sekä sellaiset kansainvälisiin tarjouskilpailuihin osallistuvien yritysten järjestelmät, joille edellytetään kansallisen tietoturvaviranomaisen hyväksyntää. Hyväksyntäprosessiin liittyvä tarkastustoiminta on maksullista ja hyväksyntä on voimassa erikseen määritettävän ajan.

Kansainvälistä turvaluokiteltua tietoa käsittelevien toimijoiden velvoitteista säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa.

Lisäksi Viestintäviraston tehtävänä on arvioida viranomaisen pyynnöstä näiden tietojärjestelmien tai tietoliikennejärjestelyjen tietoturvallisuuden vaatimuksenmukaisuutta. Valtionhallinnon viranomaiset saavat käyttää tietojärjestelmiensä ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnissa vain Viestintävirastoa tai sen hyväksymää arviointilaitosta

Viranomaisten tietoa käsitteleviin toimijoihin kohdistuvista velvoitteista säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa.

Laki sähköisen viestinnän palveluista (917/2014) 29 luku Viestintäverkkojen ja palvelujen laatuvaatimukset , 33 luku Tietoturvan ja häiriöiden hallinta sekä häiriöistä ilmoittaminen ja 35 luku Varautuminen

Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004)

Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011)


Asiasanat: Internet , Puhelin , Radio , Televisio , Tietoturva , Laajakaista , Matkapuhelin , Mobiililaajakaista , Tietosuoja , Valvonta

Päivitetty 29.05.2018

LinkedIn Print