Tietoturva Nyt!
Tällä viikolla kerromme mm. juuri julkaistusta EU:n kyberkestävyyssäädöksestä sekä varautumisesta erilaisiin häiriötilanteisiin.
Tällä viikolla katsauksessa käsiteltäviä asioita
EU:n kyberkestävyyssäädös on julkaistu
Kyberkestävyyssäädös (EU) 2024/2847 (Cyber Resilience Act, CRA) asettaa EU:ssa kyberturvallisuuden vähimmäisvaatimukset internetiin kytkettäville tuotteille ja ohjelmistoille. CRA parantaa yhteiskunnan turvallisuutta vaatimalla valmistajilta haavoittuvuuksien ilmoittamista ja asettamalla tuotteille olennaiset kyberturvallisuusvaatimukset. Valmistajan olisi ilmoitettava tuotteelle tukijakso, jonka aikana korjataan tuotteessa ilmenneet haavoittuvuudet.
Asetuksen mukaisten turvallisuusvaatimusten täyttyminen on jatkossa markkinoille pääsyn edellytys EU:ssa. Tuotteeseen kiinnitetty CE-merkintä kertoisi näiden vaatimusten toteutumisesta. Asetus kattaa esimerkiksi IoT-laitteet, turvakamerat, televisiot ja ohjelmistot kuten pelit, tekstinkäsittelyohjelmat, käyttöjärjestelmät ja salasananhallintatyökalut. CRA ei koske pilvipalveluja, lääkinnällisiä laitteita tai jo säädeltyjä ajoneuvoja ja lentokoneita.
Velvoitteet voimaan vaiheittain
Ilmoitettuja laitoksia koskevia velvoitteita sovelletaan 11.6.2026. Tämän jälkeen ilmoitetut laitokset voivat hakeutua CRA:n mukaiseksi ilmoitetuksi laitokseksi.
Haavoittuvuuksista ilmoittamista koskevia velvoitteita sovelletaan 11.9.2026. Raportointivelvoite koskee kaikkia EU:n markkinoilla olevia soveltamisalaan lukeutuvia tuotteita, ei ainoastaan ensimmäistä kertaa markkinoille tuotavia tuotteita.
Tuotteen tietoturvaominaisuuksia koskevia vaatimuksia sovelletaan 11.12.2027. EU:n markkinoille saatetut tuotteet on suunniteltava, kehitettävä ja tuotettava kyberkestävyyssäädöksessä olevien olennaisten kyberturvallisuusvaatimusten mukaisesti.
Varautumisen merkitys tuli näkyväksi kuluneella viikolla
Kulunut viikko on osoittautunut varautumisen tärkeyden, kun Suomea kohtasin kaksi hyvin erilaista digitalisoituneen yhteiskunnan poikkeamaa. Maanantaina uutisoitiin C-Lion1-merikaapelin katkeamisesta ja keskiviikkona Suomeen saapui etelästä voimakas myrsky. Kaikkiaan suomalaisen yhteiskunnan kriisinkestävyys on hyvällä tasolla. Tästä huolimatta häiriöillä voi olla verrattaen lyhytkestoisia paikallisia vaikutuksia. Jari-myrskyn aikana Suomessa on ollut kymmeniä tuhansia sähköttömiä kotitalouksia, ja sähkökatkot voivat pitkäkestoisina aiheuttaa ongelmia esimerkiksi mobiiliyhteyksiin.
Yhteiskunnan varautumisen ohella myös jokaisen meistä olisi hyvä varautua yllättäviin tilanteisiin. Miten itse kykenet toimimaan pitkittyneessä häiriötilanteessa, jossa esimerkiksi alueellisesti matkapuhelimissa ei ole kuuluvuutta? Tiedätkö, miten saat läheisiisi yhteyden häiriötilanteessa, tai mistä saat ajantasaista viranomaistietoa? Sisäministeriö julkaisi maanantaina Häiriö- ja kriisitilanteisiin varautuminen -oppaan, joka kokoaa monien toimijoiden varautumistietoa ja ohjeet yhteen paikkaan Suomi.fi-verkkopalveluun. Traficom on ollut mukana oppaan tuottamisessa.
(Ulkoinen linkki)Varayhteydet varmistavat toiminnan jatkuvuuden häiriötilanteessa
Traficom järjesti tiistaina 19.11. yhdessä muiden viranomaisten ja Cinian kanssa tiedotustilaisuuden Suomen ja Saksan yhdistävän kaapelivaurion selvityksen tilanteesta. Tilaisuudessa viranomaiset kertoivat, ettei kaapelin katkeamisella ole ollut näkyviä vaikutuksia Suomen tietotoliikenneyhteyksiin maailmalle, eikä yhteiskunnan huoltovarmuus ole vaarantunut. Suomen yhteydet maailmalle eivät ole yhden kaapelin varassa. Lisäksi kaapelin katkeamisen kaltaisiin häiriötilanteisiin on varauduttu ja niitä on harjoiteltu. Kun yhteys katkeaa, liikenne siirtyy varayhteydelle ja toimii normaalisti.
Viranomaiset muistuttivat, että Suomen sisällä ja Suomesta maailmalle on useita yhteyksiä tietoliikenteen toiminnan varmistamiseksi. Tietoliikennettä kotimaisissa ja kansainvälisissä yhteyksissä voidaan uudelleen reitittää esimerkiksi laitteistojen tai yhteyksien vikaantuessa ja huoltotöiden yhteydessä. Tätä kaikkea tehdään operaattorien välisenä yhteistyönä rutiininomaisesti. Varautumisessa on keskeisintä, että tärkeimmät järjestelmät ovat kahdennettuja ja reittivarmistettuja.
Tiedotustilaisuudessa viranomaiset toivat esiin, että kaapeleita katkeaa aika-ajoin, sillä esimerkiksi merikaapelit ovat alttiina sään ja merenkulun aiheuttamille vahingoille. Oleellista on se, että ongelmat havaitaan ja korjaaviin toimenpiteisiin ryhdytään. Näin on toimittu myös tällä viikolla. Katkennutta merikaapelia selvitetään laajassa viranomaisten ja Cinian yhteistyössä. Keskusrikospoliisi on aloittanut esitutkinnan merikaapelin katkeamisesta.
Ajankohtaiset huijaukset
Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.
Toimi näin, jos tulit huijatuksi
- Ota viipymättä yhteys pankkiisi, jos olet tehnyt huijauksen perusteella maksun, rikollinen on päässyt verkkopankkiisi tai saanut maksukorttitietosi käsiinsä.
- Tee rikosilmoitus poliisille. Voit tehdä sähköisen rikosilmoituksen verkossa. (Ulkoinen linkki)
- Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle.
- Ohjeet tietovuodon uhrille (Ulkoinen linkki)
Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 15.11.-21.11.2024). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.