CSC ottaa lausunnossaan kantaa viestintäverkkojen ja tietojärjestelmien riskienhallintaan

CSC on antanut lausunnon Suomen hallituksen esitykseen Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta.

Viestintäverkkojen ja tietojärjestelmien riskit hallintaan, poikkeuksista ilmoitus

Hallitus esittää, että tietoyhteiskuntakaareen lisättäisiin säännökset yhteiskunnan toiminnan kannalta keskeisten palveluntarjoajien velvollisuudesta huolehtia käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta, sekä velvollisuudesta ilmoittaa tietoturvallisuuteen liittyvistä merkittävistä poikkeamista valvovalle viranomaiselle sekä tietyissä tapauksissa yleisölle.

Velvoitteet koskisivat verkossa toimivan markkinapaikan tarjoajaa, hakukonepalvelun tarjoajaa sekä pilvipalvelun tarjoajaa. Laeissa ei määriteltäisi tarkemmin, miten riskienhallinnasta olisi huolehdittava, vaan tältä osin toimijalla olisi mahdollisuus valita liiketoimintaansa, järjestelmiinsä ja muuhun riskienhallintaansa parhaiten sopivat menetelmät tietoturvariskien hallitsemiseksi.

Lisäksi hallituksen esityksessä säädettäisiin valvovien viranomaisten oikeudesta tehdä tietoturvallisuuteen liittyvien velvoitteiden valvonnassa tarvittavaa yhteistyötä ja vaihtaa tarvittaessa salassa pidettäviä tietoja. Valvoville viranomaisille säädettäisiin myös velvoite ilmoittaa tarvittaessa tietoturvallisuuteen liittyvistä häiriöistä toisille EU:n jäsenvaltioille, mikäli häiriöllä on merkittävä vaikutus keskeisten palvelujen tarjoamiseen kyseisessä jäsenvaltiossa.

Kuva: ThinkStock

CSC painottaa riskienhallintaa

Hallitusohjelman mukainen digitalisaation edistäminen edellyttää, että keskeisten IT-palveluiden toimintakyky on varmistettu joustavalla ja tehokkaalla tavalla kaikissa olosuhteissa. CSC toteaa lausunnossaan, että on erittäin perusteltua päivittää ja uudistaa luetteloa yhteiskunnan toiminnan kannalta keskeisistä palveluista. On myös perusteltua, että tietoyhteiskuntakaaren velvoitteet kattavat arkipäivän IT-palveluiden toimittajat. Merkittävät katkot kansalaisten, yritysten sekä julkishallinnon päivittäisissä IT-palveluissa aiheuttavat vakavia häiriötä koko maalle.

CSC peräänkuuluttaa myös riskienhallintaa ja riskienhallinnan tiettyjä vähimmäiskriteereitä, jotta tietoturvallisuus tietoyhteiskuntakaaressa voidaan varmistaa.

– Valtion nykyisten turvallisuusvaatimusten tavoite on hyvä, mutta säädökset ja ohjeistus ovat pirstaleisia, jäykkiä sekä hankalasti toteutettavissa. Vaatimuksia on useita satoja ja ne ovat keskenään päällekkäisiä. Riskienhallinta on hyvä lähtökohta tietoturvallisuuden varmistamiselle. On kuitenkin tärkeää asettaa riskienhallinnalle tiettyjä vähimmäiskriteerejä, jotka sisältävät myös riskien riittävän kattavan tunnistamisen, niiden lieventämisen sekä lieventämistoimenpiteiden vastuuttamisen. Hyvät tietoturvakäytännöt (esim. VAHTI) ovat hyvä referenssi sille, mikä on riittävä riskienhallinta. Palveluntarjoaja voi osoittaa toimivansa hyvien tietoturvakäytäntöjen mukaisesti esimerkiksi sertifioimalla tietoturvallisuutensa hallinnan, toteaa CSC:n tietoturvapäällikkö Urpo Kaila.

Luottamukselliselle tiedolle varmistusmekanismeja, pienet toimijat mukaan

CSC katsoo, että tietoyhteiskuntakaareen esitettyihin muutoksiin tulee lisätä varmistusmekanismeja estämään salassa pidettävien tietojen asiatonta paljastumista.

Kaila toteaa lisäksi, että tietoyhteiskuntakaaressa tulisi olla edellytys salassa pidettävien tietojen jakamiselle EU:n jäsenvaltioiden kesken, etteivät valtion tai yritysten luottamuksellinen tieto tai kansalaisten tietosuoja vaarannu.

CSC:n mukaan turvallisuusvaatimusten soveltaminen tulee myös toteuttaa joustavasti siten, etteivät ne estä pienempien toimijoiden kehittymistä tai pääsyä markkinoille. Samoin suojaamistoimenpiteet tulee suhteuttaa suojattavan kohteen merkitykseen mahdollisen tietovuodon tai palvelukatkon tapahtuessa.

EU:n verkko- ja tietoturvadirektiivi tuli voimaan elokuussa 2016 ja jäsenvaltioiden on saatettava säännökset osaksi kansallista lainsäädäntöä kesään 2018 mennessä.

CSC pyrkii aktiivisesti osallistumaan yhteiskunnalliseen keskusteluun sekä vaikuttamaan kansallisiin ja kansainvälisiin toimintaedellytyksiin, joilla on keskeistä merkitystä yhtiön tai sen sidosryhmien kannalta. CSC antaa lausuntoja muun muassa lakiehdotuksiin ja mietintöihin. Vaikuttamistyön keskeinen tavoite on suomalaisen tutkimuksen kilpailukyvyn edistäminen.

– Vastaamalla lausuntopyyntöihin CSC haluaa jakaa omaa erityisasiantuntemustaan tutkimuksen, koulutuksen sekä koko Suomen hyväksi, sanoo CSC:n ohjelmajohtaja Irina Kupiainen.

Lue lausunto kokonaisuudessaan täältä.
Kaikki CSC:n lausunnot löytyvät kootusti täältä.