Laissa sähköisen viestinnän palveluista säädetään teletoiminnan eli viestintäverkkojen ja -palvelujen toimivuutta, varmistamista, varautumista ja häiriöiden hallintaa koskevat velvoitteet. Velvoitteita tarkennetaan määräyksillämme. Ohjaamme ja valvomme velvoitteiden noudattamista. Sääntelyn tavoite on edistää verkkojen ja palvelujen teknistä toimivuutta, luotettavuutta, tietoturvallisuutta ja häiriöttömyyttä.
Sääntelyllä ja Kyberturvallisuuskeskuksen ohjaus- ja valvontatoiminnalla pyritään siihen, että viestintäverkot ja -palvelut ovat toimintavarmoja ja riittävästi varmistettuja. Toinen perustavoite on, että häiriöt pystytään nopeasti havaitsemaan ja korjaamaan eli palautumaan varautumisen avulla normaaliin toimintaan.
Vaatimukset käsittelevät kokonaisuutena:
- Toimivuutta eli järjestelmien kykyä toimia niihin kohdistettujen odotusten ja määrittelyjen mukaisesti.
- Varmistamista eli teknisluonteisia toimenpiteitä, joilla ehkäistään yksittäisten viestintäverkon ja -palvelun osien vikaantumisen vaikutuksia loppukäyttäjille tarjottavien verkkojen ja palvelujen toimintaan.
- Varautumista eli toimintaa, jolla varmistetaan etukäteisvalmisteluin ja -toimenpitein tehtävien mahdollisimman häiriötön hoitaminen kaikissa olosuhteissa. Varautuminen toteutetaan arvioimalla toiminnan jatkuvuuteen kohdistuvat riskit, minkä perusteella suunnitellaan ja toteutetaan jatkuvuuden turvaaminen.
- Häiriöiden hallintaa eli viestintäverkkojen ja -palvelujen toimivuutta ja tietoturvaa häiritsevien tilanteiden ennalta ehkäisemistä, havainnoimista, vaikutusten vähentämistä ja poistamista sekä näistä tilanteista toipumista.
Säädetyt vaatimukset
Lain mukaan yleiset viestintäverkot ja -palvelut sekä niihin liitettävät viestintäverkot ja -palvelut on suunniteltava, rakennettava ja ylläpidettävä mm. siten, että:
- sähköinen viestintä on tekniseltä laadultaan hyvää,
- ne kestävät normaalit odotettavissa olevat ilmastolliset, mekaaniset, sähkömagneettiset ja muut ulkoiset häiriöt,
- niiden toimintavarmuutta voidaan seurata,
- niiden toimivuutta merkittävästi häiritsevät viat ja häiriöt voidaan havaita,
- pääsy hätäpalveluihin on turvattu myös verkon häiriötilanteissa mahdollisimman luotettavasti, ja että
- ne toimivat mahdollisimman luotettavasti myös valmiuslaissa tarkoitetuissa poikkeusoloissa ja normaaliolojen häiriötilanteissa.
Palvelun toimivuuteen kohdistuvat laatuvaatimukset on suhteutettava viestintäverkkojen ja -palvelujen käyttäjämäärään, maantieteelliseen alueeseen, jota ne palvelevat, sekä niiden merkitykseen käyttäjille.
Lain mukaan jos viestintäverkko, viestintäpalvelu tai laite aiheuttaa merkittävää haittaa tai häiriötä viestintäverkolle, viestintäpalvelulle, viestintäverkkoon liitetylle muulle palvelulle, laitteelle, viestintäverkon käyttäjälle tai muulle henkilölle, teleyrityksen tai muun viestintäverkon tai laitteen haltijan on välittömästi ryhdyttävä toimenpiteisiin tilanteen korjaamiseksi ja tarvittaessa irrotettava viestintäverkko, viestintäpalvelu tai laite yleisestä viestintäverkosta.
Traficomin Kyberturvallisuuskeskus on tarkentanut edellä kuvailtuja lain vaatimuksia useilla teknisillä määräyksillä:
- hätäliikenteen teknisestä toteutuksesta ja varmistamisesta
- metallijohtimisten tilaajayhteyksien ja niihin kytkettyjen viestintäverkkolaitteiden teknisistä ominaisuuksista
- viestintäverkon sähköisestä suojaamisesta
- viestintäverkkojen ja -palvelujen varmistamisesta sekä viestintäverkkojen synkronoinnista
- teletoiminnan häiriötilanteista
Määräykset
Lakia tarkentavat Liikenne- ja viestintävirasto Traficomin antamat määräykset ovat osa toimijoita velvoittavaa lainsäädäntöä. Laki ja määräykset koskevat teleyrityksiä normaalioloissa, normaaliolojen häiriötilanteissa ja poikkeusoloissa.
Suositukset
Velvoittavien säännösten lisäksi Kyberturvallisuuskeskus on antanut useita suosituksia viestintäverkkojen ja -palvelujen toimintavarmuudesta, varmistamisesta ja varautumisesta sekä häiriöiden hallinnasta.
Häiriönhallinta on havaitsemista, korjaamista ja oppimista
Varmistamis- ja varautumisvaatimuksista huolimatta kaikki viestintäverkot ja -palvelut vikaantuvat joskus.
Lakia tarkentavassa teletoiminnan häiriötilanteita koskevassa Traficomin määräyksessä 66 asetetaan teleyrityksille velvoitteet mm. erilaisten häiriötilanteiden havainnoinnista ja hallinnasta eli käytännössä verkon- ja palvelunvalvonnasta. Määräys edellyttää, että
- teleyritykset valvovat jatkuvasti viestintäverkkojaan ja -palvelujaan niiden toimintaa häiritsevien tai uhkaavien tilanteiden havaitsemiseksi ja ennaltaehkäisemiseksi
- teleyrityksillä on oltava tarkoituksenmukaiset ja dokumentoidut järjestelmät ja menettelytavat sisäisten ja ulkoisten häiriöilmoitusten, ohjelmistohälytysten, laitehälytysten, laitetilahälytysten ja muiden viestintäverkon tai -palvelun valvontatietojen vastaanottamiseen ja analysointiin
- teleyritysten on laadittava ja ylläpidettävä dokumentoidut menettelyohjeet viestintäverkkojen ja -palvelujen toimivuutta häiritsevien tai uhkaavien tilanteiden selvittämiseksi sekä niiden vaikutusten minimoimiseksi ja poistamiseksi ilman aiheetonta viivästystä.
Häiriöilmoitukset tukevat valvontaa ja käyttäjien tiedonsaantia
Teleyrityksen on ilmoitettava Kyberturvallisuuskeskukselle, jos sen palveluun kohdistuu tai sitä uhkaa merkittävä tapahtuma, joka estää viestintäpalvelun toimivuuden tai häiritsee sitä olennaisesti. Teleyritysten on tiedotettava viipymättä myös tilaajille ja käyttäjille viestintäverkkojen ja -palvelujen merkittävistä toimivuushäiriöistä. Kyberturvallisuuskeskus on tarkentanut lain ilmoitusvelvollisuuksia määräyksellä 66. Vaatimuksilla edistetään tiedonsaantia häiriötilanteista.
Kyberturvallisuuskeskus muodostaa toimivuushäiriöilmoitusten ja loppuraporttien perusteella tilannekuvaa kotimaisten viestintäverkkojen ja -palvelujen toimivuudesta. Keskus välittää tilannetietoa valtionhallinnolle ja esimerkiksi julkaisee säännöllisesti verkkosivuillaan tilastotietoa ja katsauksia sekä tapauskohtaisia tiedotteita toimivuushäiriöistä.
Kyberturvallisuuskeskuksen valvomassa säädännössä ei kuitenkaan ole asetettu teleyrityksille nimenomaisia velvoitteita toimivuushäiriöiden enimmäismääristä tai -kestoista eikä virastolle ole annettu laissa toimivaltaa määrätä tällaisesta. Kyberturvallisuuskeskus ei siksi voi edellyttää teleyritystä korjaamaan vikaantunutta palvelua jossakin tietyssä ajassa. Keskus valvoo sitä, että teleyrityksellä ylipäätään on olemassa tekniset keinot ja kyvykkyys häiriöiden havaitsemiseen ja korjaaviin toimenpiteisiin.
Toimintavarmuussääntelyllä tasapainoa odotusten ja edellytysten välille
Varmistamista ja varautumista koskevat toimintavarmuusvaatimukset on katsottu tarpeellisiksi laajasti käytettyjen viestintäpalvelujen (esim. matkaviestinpalvelun) toimivuuden turvaamiseksi myös häiriötilanteissa. Erityisesti kuluttajille viestintäpalvelujen toimintavarmuuden arviointi on vaikeaa ja viestintäpalvelujen markkinointi ja ostopäätökset perustuvat tavallisesti pääasiassa palvelun hintaan. Kuluttajilla on kuitenkin oikeus edellyttää, että heidän ostamansa viestintäpalvelut ovat tekniseltä laadultaan hyviä ja toimivia. Koska kuluttajilla ei ole juurikaan mahdollisuutta vaikuttaa ostamiensa viestintäpalvelujen toimintavarmuuteen, on näistä huolehdittava säädösteitse.
Samaan aikaan kuitenkin huomionarvoista on se, että toimivuutta, varmistamista ja varautumista koskevien vaatimusten toteuttaminen tuottaa kustannuksia, jotka viime kädessä vaikuttavat viestintäpalvelujen loppukäyttäjähinnoitteluun.
Vaatimustasojen määrittelyssä pyritäänkin löytämään tasapaino näiden näkökulmien välillä. Käytännössä teknisten vaatimusten asettamisessa arvioidaan useita eri tekijöitä ja kuullaan toimialaa. Vaatimustaso määräytyykin käytännössä niin odotusten, edellytysten kuin seurausten kokonaisarviointina. Kyberturvallisuuskeskus seuraa jatkuvasti viestintäverkkojen ja -palvelujen toimivuuden turvaamiseen liittyvää teknistä kehitystä ja arvioi määräysten ja suositusten muutostarpeita ja -edellytyksiä.
Yhteistyö
Viestintäverkkojen ja -palvelujen häiriöttömyyttä edistävää työtä Kyberturvallisuuskeskus tekee yhdessä niin kansallisella kuin kansainvälisellä tasolla useiden eri toimijoiden kanssa.
Keskuksen vetämänä esimerkiksi toimii Häiriötilanteiden yhteistoimintaryhmä HÄTY, jonka tehtävänä on yhteistyössä teleyritysten, sähköyhtiöiden, urakoitsijoiden ja viranomaisten kesken varautua ennalta erilaisiin häiriötilanteisiin.
Pohjoismaisten sisarvirastojensa kanssa Kyberturvallisuuskeskus tekee yhteistyötä niin kutsutun Nordic NIS eli Nordic Network and Information Security -ryhmän puitteissa. Käytännössä virastojen kesken vaihdetaan tietoja erilaisista häiriöistä ja niihin varautumisesta sekä kerätään ja jaetaan oppeja sääntelyn kehittämisestä ja noudattamisen valvonnasta.
Euroopan tason yhteistyö
Euroopan tasolla tällaista työtä tehdään Euroopan verkko- ja tietoturvavirasto ENISA:n televiranomaistyöryhmässä, jonka tavoitteena on tehostaa Euroopan unionin ja sen jäsenvaltioiden ja yritysten valmiuksia ehkäistä ja torjua verkko- ja tietoturvaongelmia sekä puuttua niihin. Osana tätä työtä toimitamme komissiolle ja ENISA:lle vuosittain tiivistelmäraportin teleyrityksiltä vastaanottamistamme toimivuushäiriöilmoituksista. Lisäksi Kyberturvallisuuskeskuksesta nimetty henkilö toimii nimettynä yhteyshenkilönä (NLO, National Liaison Officer) ENISA:n ja Suomen välillä sekä ENISA:n johtoryhmän Suomen varajäsenenä (varsinaisen jäsenen tullessa liikenne- ja viestintäministeriöstä).