Useille erityyppisille toimijoille säädetään velvollisuus huolehtia tarjoamiensa verkkojen ja palvelujen tietoturvasta sekä oikeuksia tämän toteuttamiseen. Tietoturvasääntely koskee teleyrityksiä, viestinnän välittäjiä, yhteisötilaajia, verkkotunnusvälittäjiä ja NIS-direktiivin mukaisia digitaalisia palveluita eli pilvipalveluita, verkon markkinapaikkoja ja hakukoneita. Velvoitteet säädetään pääosin laissa sähköisen viestinnän palveluista ja niitä tarkennetaan määräyksillämme. Ohjaamme ja valvomme tietoturvavelvoitteiden noudattamista.
Tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan tiedon
- luottamuksellisuus eli se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla,
- eheys eli se, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut sekä
- käytettävyys eli se, että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.
Digitaalisten palveluntarjoajien velvollisuudet
Tällä sivulla kerrotaan teleyrityksen, yhteisötilaajan ja muun viestinnän välittäjän sekä näiden asiakkaan eli tilaajan tietoturvaoikeuksista ja velvollisuuksista. NIS-direktiviin tarkoittamien digitaalisten palvelujen tarjoajien velvollisuuksista kerrotaan tarkemmin NIS-direktiivi -sivulla.
Teleyritysten, yhteisötilaajien ja muiden viestinnän välittäjien oikeudet ja velvollisuudet
Viestinnän välittäjällä tarkoitetaan laissa teleyrityksiä, yhteisötilaajia ja muita viestinnän välittäjiä. Kaikkien näiden on huolehdittava palvelujensa, viestien, välitystietojen ja sijaintitietojen tietoturvasta, kun ne välittävät sähköisiä viestejä. Yhteisötilaajan velvollisuuksia on rajattu siten, että ne eivät koske koko yhteisötilaajan palvelua vaan ainoastaan sen käyttäjien viestien, välitystietojen ja sijaintitietojen käsittelyä.
Tietoturvatoimenpiteet on suhteutettava uhan vakavuuteen, toimenpiteistä aiheutuviin kustannuksiin ja käytettävissä oleviin teknisiin mahdollisuuksiin torjua uhka.
Traficomin Kyberturvallisuuskeskus on valtuutettu laissa tarkentamaan määräyksellä kaikkia viestinnän välittäjiä koskevia tietoturvavaatimuksia ja teleyritysten häiriöilmoitusvaatimuksia. Traficomin antamat määräykset ovat osa toimijoita velvoittavaa lainsäädäntöä. Ne koskevat teleyrityksiä normaalioloissa, normaaliolojen häiriötilanteissa ja poikkeusoloissa.
Suunnittelu- ja ylläpitovelvollisuus
Lisäksi lain mukaan yleiset viestintäverkot ja -palvelut eli teleyritysten verkot ja palvelut sekä niihin liitettävät viestintäverkot ja -palvelut on suunniteltava, rakennettava ja ylläpidettävä mm. siten, että:
- sähköinen viestintä on tekniseltä laadultaan hyvää ja tietoturvallista,
- ne kestävät normaalit odotettavissa olevat ilmastolliset, mekaaniset, sähkömagneettiset ja muut ulkoiset häiriöt sekä tietoturvauhat,
- niihin kohdistuvat merkittävät tietoturvaloukkaukset ja -uhat sekä niiden toimivuutta merkittävästi häiritsevät viat ja häiriöt voidaan havaita,
- kenenkään tietosuoja, tietoturva tai muut oikeudet eivät vaarannu
- ne eivät aiheuta kohtuuttomia sähkömagneettisia tai muita häiriöitä taikka tietoturvauhkia
Toimenpiteissä täytyy huomioida
- toiminnan turvallisuus,
- tietoliikenneturvallisuus,
- laitteisto- ja ohjelmistoturvallisuus ja
- tietoaineistoturvallisuus.
Oikeudet ylläpidossa ja tietoturvauhkien ja -häiriöiden hallinnassa
Kaikki tietoturvatoimenpiteet on toteutettava huolellisesti ja ne on mitoitettava suhteessa torjuttavan häiriön vakavuuteen. Toimenpiteitä toteutettaessa ei saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa enempää kuin on välttämätöntä tietoturvasta huolehtimisen tavoitteiden turvaamiseksi. Toimenpiteet on lopetettava, jos niiden toteuttamiselle ei enää ole laissa säädettyjä edellytyksiä.
Lain mukaan viestinnän välittäjillä ja niiden lukuun toimivilla voi olla lain mukaan oikeus välttämättömiin tietoturvatoimenpiteisiin seuraavilla perusteilla:
- viestintäverkkojen tai niihin liitettyjen palvelujen sekä tietojärjestelmien tietoturvalle haittaa aiheuttavien häiriöiden havaitseminen, estäminen, selvittäminen ja esitutkintaan saattaminen,
- viestin lähettäjän tai viestin vastaanottajan viestintämahdollisuuksien turvaaminen, tai
- viestintäpalvelujen kautta laajamittaisesti toteutettavien rikoslain 37 luvun 11 §:ssä tarkoitettujen maksuvälinepetosten valmistelun ehkäiseminen.
Lain tarkoittamat välttämättömät toimet voivat käsittää seuraavia:
- viestin sisältöä koskeva automaattinen selvittäminen,
- viestien välittämisen ja vastaanottamisen automaattinen estäminen tai rajoittaminen,
- tietoturvaa vaarantavien haitallisten tietokoneohjelmien automaattinen poistaminen viesteistä, ja
- muut edellä 1–3 kohdassa tarkoitettuihin rinnastettavat teknisluonteiset toimenpiteet.
Jos viestintäverkko, viestintäpalvelu tai laite aiheuttaa merkittävää haittaa tai häiriötä viestintäverkolle, viestintäpalvelulle, viestintäverkkoon liitetylle muulle palvelulle, laitteelle, viestintäverkon käyttäjälle tai muulle henkilölle, teleyrityksen tai muun viestintäverkon tai laitteen haltijan on välittömästi ryhdyttävä toimenpiteisiin tilanteen korjaamiseksi ja tarvittaessa irrotettava viestintäverkko, viestintäpalvelu tai laite yleisestä viestintäverkosta.
Teletoiminnan tietoturvamääräys
Virasto on antanut teknisen määräyksen 67 teletoiminnan tietoturvasta. Määräyksessä 67 määrätään:
- tietoturvatoimenpiteistä kaikissa teleyrityksen viestintäverkoissa ja -palveluissa,
- rajapintojen erityisistä tietoturvavaatimuksista,
- internetyhteyspalvelujen erityisistä vaatimuksista,
- sähköpostipalvelujen erityisistä vaatimuksista ja
- tietoturvatiedottamisesta asiakkaille.
Teletoiminnan häiriöilmoitukset ja niitä koskeva määräys
Lain mukaan teleyrityksen on ilmoitettava viipymättä Traficomille, käytännössä sen Kyberturvallisuuskeskukselle, jos sen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus. Teleyrityksen on ilmoitettava asiasta myös tilaajalle ja käyttäjälle.
Virasto on antanut teknisen määräyksen 66 teletoiminnan häiriötilanteista (Ulkoinen linkki), jossa mm. tarkennetaan teleyrityksen velvoitteita tietoturvaloukkausten tai sellaisten uhkien käyttäjätiedottamisesta sekä Traficomille ilmoittamisesta.
Teleyritykset ovat lisäksi velvollisia ilmoittamaan Traficomille sekä tilaajille ja henkilöille kaikista henkilötietojen tietoturvaloukkauksista. Ilmoittamisesta säädetään Euroopan komission asetuksessa 611/2013 (Ulkoinen linkki).
Teleyritys voi tehdä ilmoitukset Kyberturvallisuuskeskukselle asiointipalvelussamme.
Kyberturvallisuuskeskuksen suositukset ja neuvonta
Velvoittavien säännösten lisäksi Kyberturvallisuuskeskus on antanut erityisesti teleyrityksille useita suosituksia viestintäverkkojen ja -palvelujen tietoturvasta. Lisäksi keskus julkaisee jatkuvasti tilastoja ja tiedotteita ajankohtaisista tietoturvailmiöistä ja -uhkista sekä neuvoja niistä toipumiseen ja niiltä suojautumiseen.
Asiakkaan eli tilaajan oikeudet ja velvollisuudet
Tilaajalla eli oikeus- tai luonnollisella henkilöllä, joka on muuta kuin teletoimintaa varten tehnyt sopimuksen viestintäpalvelun tai lisäarvopalvelun toimittamisesta on oikeus vaatia, että teleyritysten tarjoamat verkot ja palvelut ovat tietoturvallisia. Laissa kuitenkin myös edellytetään, että tilaaja ylläpitää yleiseen viestintäverkkoon liitettävää laitetta tai järjestelmää teleyrityksen antamien ohjeiden mukaisesti siten, ettei se vaaranna yleisen viestintäverkon ja -palvelun tietoturvallisuutta.
Tilaajan täytyy siis huolehtia omien laitteidensa tietoturvasta. Ohjeita ja neuvoja tähän saa paitsi teleyrityksiltä myös laitevalmistajilta. Lisäksi ajankohtaisia tietoja saa seuraamalla Kyberturvallisuuskeskuksen varoituksia ja tiedotteita tietoturvauhkista ja neuvoja niistä toipumiseen ja niiltä suojautumiseen.
Verkkotunnusvälittäjien oikeudet ja velvollisuudet
Verkkotunnusvälittäjillä tarkoitetaan sähköisen viestinnän palveluista annetun lain mukaan verkkotunnusvälitysilmoituksen tehneitä toiminnanharjoittajia.
Verkkotunnusmääräys
Virasto on antanut teknisen määräyksen 68 verkkotunnustoiminnasta (Ulkoinen linkki).
Verkkotunnusmääräys koskee fi- ja ax-päätteisiä verkkotunnuksia sekä niiden välittämistä ja hallinnointia. Määräyksessä 68 määrätään muiden velvollisuuksien lisäksi verkkotunnusvälittäjän tietoturvavelvoitteista. Näihin kuuluvat:
- fi-verkkotunnusrekisterin EPP (Extensible Provisioning Protocol) -rajapinnan erityiset tietoturvavaatimukset
- verkkotunnusvälittäjien tietoturvan hallinta
- ilmoittaminen tietoturvan häiriötilanteista eli toimivuutta tai tietoturvaa häiritsevistä tai uhkaavista tilanteista verkkotunnusrekisteriä hallinnoivalle viranomaiselle.
Lisätietoja verkkotunnusvälittäjän velvollisuuksista Verkkotunnusvälittäjän oppaasta. (Ulkoinen linkki)
Katso esite verkkotunnusvälittäjän tietoturvavelvoitteista.