Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Sähköisen viestinnän tietoturva

Sähköisen viestinnän palveluista annetussa laissa säädetään viestinnän välittäjiä ja lisäarvopalveluntarjoajia koskeva velvollisuus huolehtia verkkojensa ja palvelujensa tietoturvasta. Velvollisuuksia tarkennetaan viraston määräyksillä. Liikenne- ja viestintävirastossa valvomme tietoturvavelvoitteiden noudattamista.

Tällä sivulla

Tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan tiedon

  • luottamuksellisuus eli se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla,
  • eheys eli se, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut sekä
  • käytettävyys eli se, että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.
EU:n kyberturvallisuusdirektiivistä kerrotaan tarkemmin NIS2-direktiivi-sivulla

Teleyritysten, yhteisötilaajien ja muiden viestinnän välittäjien velvollisuudet

Velvollisuus huolehtia välitystietojen ja viestien tietoturvasta

Viestinnän välittäjillä tarkoitetaan teleyrityksiä ja yhteisötilaajia sekä sellaisia muita viestinnän välittäjiä, jotka välittävät sähköistä viestintää muutoin kuin henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin. Kaikkien näiden on huolehdittava palvelujensa, viestien, välitystietojen ja sijaintitietojen tietoturvasta, kun ne välittävät sähköisiä viestejä. Yhteisötilaajan kohdalla velvollisuus koskee kuitenkin ainoastaan sen käyttäjien viestien, välitystietojen ja sijaintitietojen käsittelyä. Tietoturvatoimenpiteet on suhteutettava uhan vakavuuteen, toimenpiteistä aiheutuviin kustannuksiin ja käytettävissä oleviin teknisiin mahdollisuuksiin torjua uhka.

Liikenne- ja viestintävirasto on valtuutettu laissa tarkentamaan määräyksellä kaikkia viestinnän välittäjiä koskevia tietoturvavaatimuksia ja teleyritysten häiriöilmoitusvaatimuksia. Liikenne- ja viestintävirasto voi myös antaa tarkempia määräyksiä viestintäverkkojen, erityisesti niiden kriittisten osien, teknisestä määrittelystä. Liikenne- ja viestintäviraston antamat määräykset ovat osa toimijoita velvoittavaa sääntelyä. Ne koskevat teleyrityksiä normaalioloissa, normaaliolojen häiriötilanteissa ja poikkeusoloissa.

Suunnittelu- ja ylläpitovelvollisuus

Lain mukaan yleiset viestintäverkot ja -palvelut eli teleyritysten verkot ja palvelut sekä niihin liitettävät viestintäverkot ja -palvelut on suunniteltava, rakennettava ja ylläpidettävä mm. siten, että:

  • sähköinen viestintä on tekniseltä laadultaan hyvää ja tietoturvallista,
  • ne kestävät normaalit odotettavissa olevat ilmastolliset, mekaaniset, sähkömagneettiset ja muut ulkoiset häiriöt sekä tietoturvauhat,
  • niihin kohdistuvat merkittävät tietoturvaloukkaukset ja -uhat sekä niiden toimivuutta merkittävästi häiritsevät viat ja häiriöt voidaan havaita,
  • kenenkään tietosuoja, tietoturva tai muut oikeudet eivät vaarannu
  • ne eivät aiheuta kohtuuttomia sähkömagneettisia tai muita häiriöitä taikka tietoturvauhkia. 

Toimenpiteissä täytyy huomioida

  • toiminnan turvallisuus,
  • tietoliikenneturvallisuus,
  • laitteisto- ja ohjelmistoturvallisuus ja
  • tietoaineistoturvallisuus.

Viestinnän ja välitystietojen käsittely tietoturvatoimenpiteiden yhteydessä

Viestinnän välittäjillä on oikeus tietyin edellytyksin käsitellä välitystietoja ja viestintää tietoturvasta huolehtimiseksi.

Lain mukaan viestinnän välittäjillä ja niiden lukuun toimivilla voi olla lain mukaan oikeus välttämättömiin tietoturvatoimenpiteisiin seuraavilla perusteilla:

  1. viestintäverkkojen tai niihin liitettyjen palvelujen sekä tietojärjestelmien tietoturvalle haittaa aiheuttavien häiriöiden havaitseminen, estäminen, selvittäminen ja esitutkintaan saattaminen,
  2.  viestin lähettäjän tai viestin vastaanottajan viestintämahdollisuuksien turvaaminen, tai
  3. viestintäpalvelujen kautta laajamittaisesti toteutettavien rikoslain 37 luvun 11 §:ssä tarkoitettujen maksuvälinepetosten valmistelun ehkäiseminen.

Lain tarkoittamat välttämättömät toimet voivat käsittää seuraavia:

  1. viestin sisältöä koskeva automaattinen selvittäminen,
  2. viestien välittämisen ja vastaanottamisen automaattinen estäminen tai rajoittaminen,
  3. tietoturvaa vaarantavien haitallisten tietokoneohjelmien automaattinen poistaminen viesteistä, ja
  4. muut edellä 1–3 kohdassa tarkoitettuihin rinnastettavat teknisluonteiset toimenpiteet.

Laissa säädetään edellytyksistä, joilla viestiä voidaan käsitellä manuaalisesti. Viestin tyypin, muodon tai muun vastaavan seikan perusteella on ilmeistä, että viesti sisältää haitallisen tietokoneohjelman tai käskyn. Jos automaattisella sisällön selvittämisellä ei pystytä turvaamaan yllä tarkoitettujen tavoitteiden toteutumista, yksittäisen viestin sisältöä saa käsitellä manuaalisesti. Manuaalisesta viestin sisällön käsittelystä on ilmoitettava viestin lähettäjälle ja vastaanottajalle, jollei ilmoittamisella todennäköisesti vaaranneta tavoitteiden toteutumista.

Kaikki tietoturvatoimenpiteet on toteutettava huolellisesti ja ne on mitoitettava suhteessa torjuttavan häiriön vakavuuteen. Toimenpiteitä toteutettaessa ei saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä tietoturvasta huolehtimisen tavoitteiden turvaamiseksi. Toimenpiteet on lopetettava, jos niiden toteuttamiselle ei enää ole laissa säädettyjä edellytyksiä. Mikäli kyse on internetyhteyspalvelusta, tulee liikenteenhallintatoimenpiteissä ottaa lisäksi huomioon EU:n asetus avoimesta internetistä.

Liittymän tai laitteen irtikytkeminen

Jos viestintäverkko, viestintäpalvelu tai laite aiheuttaa merkittävää haittaa tai häiriötä viestintäverkolle, viestintäpalvelulle, viestintäverkkoon liitetylle muulle palvelulle, laitteelle, viestintäverkon käyttäjälle tai muulle henkilölle, teleyrityksen tai muun viestintäverkon tai laitteen haltijan on välittömästi ryhdyttävä toimenpiteisiin tilanteen korjaamiseksi ja tarvittaessa irrotettava viestintäverkko, viestintäpalvelu tai laite yleisestä viestintäverkosta.

Teletoiminnan tietoturvamääräys

Virasto on antanut teknisen määräyksen teletoiminnan tietoturvasta (Ulkoinen linkki), jossa tarkennetaan teleyritysten velvollisuuksia huolehtia viestintäverkkojen ja ‑palveluiden tietoturvasta. 

Määräyksessä määrätään:

  • yleisistä tietoturvavaatimuksista kaikissa viestintäverkoissa ja -palveluissa,
  • viestintäverkkojen ja -palvelujen rajapintojen erityisistä vaatimuksista,
  • internetyhteyspalvelujen erityisistä vaatimuksista,
  • tekstiviesti- ja multimediaviestipalvelujen erityisistä vaatimuksista ja 
  • sähköpostipalvelujen erityisistä vaatimuksista. 
  • asiakkaan tunnistamisesta

Teleyrityksen ilmoitukset henkilötietojen tietoturvaloukkauksista sekä tietoturva- ja toimivuushäiriöistä

Lain mukaan teleyrityksen on ilmoitettava viipymättä Liikenne- ja viestintävirastolle, jos sen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus tai on tapahtunut henkilötietojen tietoturvaloukkaus. Teleyritysten ilmoitukset käsitellään viraston Kyberturvallisuuskeskuksessa. Teleyrityksen on ilmoitettava asiasta myös tilaajalle ja käyttäjälle. Lisäarvopalveluntarjoajan on ilmoitettava tietoturvaloukkaustilanteista käyttäjälleen.

Virasto on antanut teknisen määräyksen teletoiminnan häiriötilanteista , jossa mm. tarkennetaan teleyrityksen velvoitteita tietoturvaloukkausten tai sellaisten uhkien käyttäjätiedottamisesta sekä virastolle ilmoittamisesta. Teleyritykset ovat lisäksi velvollisia ilmoittamaan kaikista henkilötietojen tietoturvaloukkauksista Liikenne- ja viestintävirastolle sekä tyypillisesti myös tilaajille ja henkilöille. 

Ilmoittamisesta säädetään komission asetuksessa 611/2013 (Ulkoinen linkki)
Teleyritys voi tehdä ilmoitukset Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselle asiointilomakkeella (Ulkoinen linkki)

Kyberturvallisuuskeskuksen suositukset ja neuvonta

Velvoittavien säännösten lisäksi Kyberturvallisuuskeskus on antanut erityisesti teleyrityksille useita suosituksia viestintäverkkojen ja -palvelujen tietoturvasta. Lisäksi keskus julkaisee jatkuvasti tilastoja ja tiedotteita ajankohtaisista tietoturvailmiöistä ja -uhkista sekä neuvoja niistä toipumiseen ja niiltä suojautumiseen. Liikenne- ja viestintävirasto on antanut teleyrityksille muun muassa suosituksen internetyhteyspalvelun tiettyjen tietoliikenneporttien suodattamisesta  

Liikenne- ja viestintäviraston suosituksia ja ohjeistuksia voit hakea viraston verkkosivuilta (Ulkoinen linkki)

Asiakkaan eli tilaajan velvollisuudet

Viestintäpalveluiden käyttäjillä on tärkeä rooli viestintäverkkojen tietoturvallisuuden varmistamisessa. Laissa edellytetäänkin, että tilaaja ylläpitää yleiseen viestintäverkkoon liitettävää laitetta tai järjestelmää teleyrityksen antamien ohjeiden mukaisesti siten, ettei se vaaranna yleisen viestintäverkon ja -palvelun tietoturvallisuutta. Tilaajan täytyy siis huolehtia omien laitteidensa tietoturvasta. Ohjeita ja neuvoja tähän saa paitsi teleyrityksiltä myös laitevalmistajilta. Lisäksi ajankohtaisia tietoja saa seuraamalla Kyberturvallisuuskeskuksen varoituksia ja tiedotteita tietoturvauhkista ja neuvoja niistä toipumiseen ja niiltä suojautumiseen.

Päivitetty