FiComin lausunto tietoturvamääräyksen uudistuksesta

Liikenne- ja viestintävirasto on pyytänyt FiComilta lausuntoa määräyksestä teletoiminnan tietoturvasta ja sen perustelumuistiosta. FiCom kiittää mahdollisuudesta lausua ja toteaa seuraavaa:

FiComin keskeiset viestit:

  • Määräys tulisi antaa vasta sen jälkeen, kun NIS2:n aiheuttamat muutostarpeet ja vaikutukset tietoturvamääräyksen sisältöön on ehditty arvioimaan.
  • ENISA:n määrittelemiin tietoturvan osa-alueisiin valittu lähestymistapa ei ole tietoturvan parantamisen kannalta kannatettava.
  • Teleyrityksen kannalta on keskeistä, että se voi päättää käyttämänsä tietoturvaviitekehyksen (esim. ISO27001 tms.) ja että myös muihin kuin ENISAn tietoturvaviitekehyksiin voidaan tukeutua.
  • Dokumentointivelvoitteet aiheuttavat merkittävää ja suhteetonta työtä ja hallinnollista taakkaa teleyrityksille ja toimittajille. Jatkotyössä vaatimuksia tulee arvioida SVPL 243.2 §:n ja hallintolain 6 §:n suhteellisuusperusteiden mukaisesti.
  • BGP-reititysprotokollan vaatimuksilla ei havaita olevan turvallisuutta vahvistavaa vaikutusta tai muitakaan tietoturvahyötyjä. Vaatimuksilla voi sitä vastoin olla negatiivisia vaikutuksia tietoturvaan.
  • SVPL:ssä Traficomille ei ole delegoitu määräyksenanto-oikeutta internetyhteyspalvelun irtikytkemiseksi. Lisäksi määräyksen jatkovalmistelussa tulisi tarkastella, missä määrin luvuissa 4–6 mainitut (suodatus)toimenpiteet liittyvät häiriötilanteisiin ja häiriötilanteita koskevan määräyksen 66 soveltamisalaan.
  • Asiakkaan tunnistamista koskeva kohta ja sen perustelut ovat parantuneet edellisistä versioista, ja ne kohdistuvat nyt asianmukaisiin toimintoihin ja palveluihin. Kannatettava ja tarkoituksenmukainen ratkaisu oli siirtää eräät aiemmissa luonnoksissa olleet velvoitteet erillisessä jatkohankkeessa käsiteltäväksi. Lisäksi SMTP-liikenteen suodatusta koskevasta muutoksesta luopuminen on kannatettava.
  • Määräyksen voimaantulosta ja erityisesti siihen liittyvistä siirtymäajoista on syytä jatkaa keskusteluja, kun koko määräyksen sisältö on tiedossa.

On epäselvää, vastaako määräys sen tavoitteita tietoturvan parantamisesta

 Määräyksen mukaan sen tavoitteena on:

  1. edistää yleisten viestintäverkkojen ja -palvelujen tietoturvaa,
  2. turvata sähköisen viestinnän luottamuksellisuutta ja yksityisyyden suojan toteutumista sekä
  3. varmistaa, että tietoturvan toteuttaminen teleyrityksissä on kattavaa, suunnitelmallista ja tehokasta.

Määräyksessä lähestymistavaksi on valittu kahdeksankohtainen tietoturvajaottelu, joka perustuu suoraan Euroopan kyberturvallisuusvirasto ENISA:n määrittelemiin tietoturvan osa-alueisiin. Lähestymistapaa perustellaan muun muassa sillä, että velvoitteiden toteuttamisessa voidaan suoraan tukeutua ENISA:n määrittelemiin ja suosittelemiin tietoturvakontrolleihin. Tällöin vaatimusten noudattamisen dokumentointi teleyrityksissä ja niiden valvonta viranomaisen näkökulmasta ovat molemmat yksinkertaisempia verrattuna siihen, että teleyritysten olisi laadittava samoista tai samankaltaisista velvoitteista dokumentaatio eri tavalla jaoteltua määräystä vasten.  Tämä aiheuttaisi ylimääräistä työtä (s.10). Lisäksi valittua lähestymistapaa perustellaan monikansallisten teleyritysten kannalta muun muassa sillä, että menettelyllä vältetään eriävien kansallisten vaatimusten muodostumista ja edistetään myös mahdollisuuksia saman dokumentaation hyödyntämiseen eri maissa.

Teleyritykset eivät pidä valittua lähestymistapaa parhaana mahdollisena nimenomaan tietoturvan parantamisen kannalta. Kyseessä on ENISAn suuntaviivoja koskeva suositus, jota ei sellaisenaan tulisi implementoida kansallisesti velvoittavaksi. Olennaista on, että teleyritys voi päättää käyttämänsä tietoturvaviitekehyksen (esim. ISO27001 tms), ja myös muihin kuin ENISAn tietoturvaviitekehyksiin voidaan tukeutua. Yritykselle on keskistä tietää, voiko se hyödyntää esim. mainittua dokumentaatiota, vai vaaditaanko vaikkapa auditoinneissa jotain muuta dokumentaatiota, mikä voisi olla tuplatyötä.

Esimerkiksi määräyksessä M72 on hyvä lähestymistapa vastaavaan asiaan, eikä siinä ole lukittaudu tiettyyn tietoturvaviitekehykseen.

4.1 Tietoturvallisuuden hallinnan standardi 

Tunnistuspalveluntarjoajan on noudatettava tunnistusjärjestelmän tietoturvallisuuden hallinnassa ISO/IEC 27001 -standardia tai muuta yleisesti tunnettua vastaavaa tietoturvallisuuden hallinnan standardia. Tietoturvallisuuden hallinta voi perustua myös useamman standardin yhdistelmään.

Valitun lähestymistavan perustelut eivät ole erityisen painavia, jos sillä ei koeta saavutettavan tavoitteita tietoturvan parantamisesta ja ne eivät vastaa kysymykseen miksi näin on tehtävä. Perusteena ei myöskään voi olla valvonnan yksinkertaistaminen ja helpottaminen viranomaisen näkökulmasta. Asiaa tulee lähestyä uhkan ja sen vaikuttavuuden sekä riskiarvioinnin kautta. Tällöin tunnistetaan, mitä suojataan ja poikkeustapauksissa myös se, miten suojataan. Epäselvää on, onko suositusta viety vastaavalla tavalla muiden EU-maiden velvoittaviin säädöksiin – millä lähestymistapaa välillisesti perustellaan – vai onko Suomi tässä omassa kategoriassaan.

Lisäksi ongelmaksi muodostuu se, että määräysluonnoksessa ei ole lainkaan huomioitu NIS2:sta tulevia velvoitteita ja sitä, miten NIS2 tulee vaikuttamaan määräyksen sisältöön. Määräyksen tulisi ennemmin perustua NIS2:een kuin suositusluontoisiin suuntaviivoihin. NIS2 voi aiheuttaa uusia muutostarpeita myös tietoturvamääräykseen. Ei ole tarkoituksenmukaista, että määräystä joudutaan muuttamaan hyvin pian sen jälkeen, kun se on tullut voimaan. Myös hallinnollinen taakka lisääntyy, jos velvoitteet muuttuvat heti, kun edelliset on saatu voimaan. Olisikin perusteltua antaa tietoturvamääräys vasta sen jälkeen, kun NIS2:n aiheuttamat muutostarpeet ja vaikutukset tietoturvamääräyksen sisältöön on ehditty arvioimaan.

Vaikutustenarvioinnista

 Perustelumuistiossa myönnetään useassa kohdassa, että yksityiskohtaisuus lisääntyy ja teleyrityksille aiheutu lisäkustannuksia ja/tai vaikutuksia. Luonnoksessa on merkittävässä määrin lisätty esimerkiksi vaativia ja raskaita dokumenttivelvoitteita, jotka aiheuttavat merkittävää ja suhteetonta työtä ja hallinnollista taakkaa teleyrityksille ja toimittajille. Esimerkkinä tästä ovat mm. 3GPP-standardointiin liittyvät dokumentointivaatimukset määräyksen kohdassa 10, jonka mukaan turvallisuustoiminnon tai ­mekanismin toteuttamatta jättäminen 2 alakohdan perusteella ja toteuttamatta jättämisen perusteet tulee dokumentoida kunkin turvallisuusvaatimuksen osalta erikseen. Jatkotyössä vaatimuksia tulee arvioida SVPL 243.2 §:n ja hallintolain 6 §:n suhteellisuusperusteiden mukaisesti.

Ehdotus sisältää myös teknisesti joko hyvin vaikeasti toteutettavia tai jopa mahdottomia vaatimuksia. Nämä koskevat muun muassa yhteenliittämisrajapintojen suojaamista määräysluonnoksen kohdassa 17. Toisin kuin perusteluissa (s. 19) todetaan, ehdotetuilla muutoksilla ei ole BGP-reititysprotokollan turvallisuutta vahvistavaa vaikutusta tai muitakaan tietoturvahyötyjä.  Ehdotukset aiheuttavat teknisiä muutoksia, jotka jopa vaarantavat liikennettä. Tällainen on esim. BGP-reititystä koskeva kohta, jossa reittipreferenssi tuottaa lisää prefix-listoja, joiden konfigurointi on yksi konfiguroitava kohta lisää. Muutos lisää kompleksisuutta, joka puolestaan tuottaa aina ylimääräisiä riskejä. Lisäksi voidaan mainita esim. 17.1 kohdan reitityspoikkeamien havainnointi, joka olisi merkittävä uusi toiminnallisuusvaatimus. Lisäksi alakohta 17.6 on teknisesti mahdoton vaatimus.

Soveltamisalasta

 Perusteluiden mukaan Liikenne- ja viestintävirasto arvioi määräyksen valmistelun aikana tarvetta ulottaa soveltamisalan laajennus viranomaisverkkojen lisäksi esimerkiksi sellaisiin paikallisiin matkaviestinverkkoihin, jotka eivät olisi yleisiä viestintäverkkoja, tai ns. kriittisiin erillisverkkoihin, jotka on määritelty viestintäverkon kriittisistä osista annetussa määräyksessä. Työryhmäkäsittelyn aikana tälle ei kuitenkaan ilmennyt selkeää tarvetta.

On jossain määrin erikoinen ratkaisu, jos yksi erityisverkko (viranomaisverkko) kuuluu viraston harkinnan mukaan kohdan 17.1 soveltamisalan piiriin, mutta muut verkot, jotka yhteenliitetään yleiseen viestintäverkkoon tai yleisesti saatavilla olevaan viestintäpalveluun, eivät kuulu. Tätä viraston tekemää tarveharkintaa tulee avata enemmän.

Määräyksenanto-oikeudesta ja toimenpiteiden suhde häiriötilannemääräykseen 66

Määräysluonnoksen 23 kohta koskee internetyhteyspalvelun irtikytkemistä. Sähköisen viestinnän palvelulaissa (SVPL 273 §) on nimenomainen säännös irtikytkemisestä muun muassa palvelun osalta. Säännöksen 3 momentin mukaan Liikenne- ja viestintävirasto voi 1 momentissa tarkoitetussa tapauksessa päättää korjaustoimenpiteistä sekä verkon, palvelun tai laitteen irrottamisesta. Pykälässä ei ole delegoitu virastolle määräyksenantovaltuutta, vaan päätösoikeus. Koska kyseessä on irtikytkentään liittyvä lain erityissäännös, ja siitä puuttuu irtikytkemistä koskeva määräyksenantovaltuus, tulee esityksen jatkovalmistelussa ilmoittaa, mihin kohta 23 perustuu. SVPL 272 §, jossa säädetään toimenpiteistä tietoturvan toteuttamiseksi ja jossa on määräyksenantovaltuus, ei sitä vastoin ole irtikytkemiseen oikeuttavaa toimenpidettä, joten säännöstä ja siihen liittyvää määräyksenantovaltuutta tulee tulkita suppeasti. Myös perusteluissa viitataan 273 §:n irtikytkentäoikeuteen.

Lisäksi määräyksen jatkovalmistelussa tulisi tarkastella, missä määrin luvuissa 4–6 mainitut (suodatus)toimenpiteet liittyvät häiriötilanteisiin ja M 66 häiriötilanteita koskevan määräyksen soveltamisalaan.

Muuta

 Asiakkaan tunnistamista koskeva kohta ja sen perustelut ovat parantuneet edellisistä versioista. Nyt ne kohdistuvat asianmukaisiin toimintoihin ja palveluihin. Kohdan vaatimukset ovat kohtuullisesti toteuttavissa nyt esitetyssä muodossa.

Hyvä ja tarkoituksenmukainen ratkaisu oli siirtää eräät aiemmissa luonnoksissa olleet velvoitteet, esimerkiksi tietoturvahäiriöiden hallintaa, jatkuvuudenhallintaa, sekä monitorointia koskevat asiat, käsiteltäväksi erillisessä jatkohankkeessa. Lisäksi SMTP-liikenteen suodatusta koskevasta muutoksesta luopuminen on positiivista ja kannatettava.

Riskienkäsittelynprosessin tulokset on säilytettävä vähintään kolmen vuoden ajan tai kolmelta viimeisimmältä käsittelykerralta aiemman yhden käsittelykerran sijaan. Tätä perustellaan sillä, että aiempi yhden käsittelykerran dokumentaatio ei ole ollut riittävää riskienhallinnan jatkuvuuden toteamiseksi. Toisaalta ISO/IEC 27005 standardissa vaatimus kohdistuu kahteen käsittelykertaan. Perusteluiden mukaan useampien käsittelykertojen tulosten säilyttämisestä ei aiheudu ratkaisevasti enempää lisätyötä. Velvoite ja perustelut, jossa velvoitteen tunnistetaan aiheuttavan lisätyötä, mutta ei merkittävästi, on hallintolain 6 §:n suhteellisuusperiaatteen vastainen, joten tulisi pitäytyä enintään standardin mukaisessa vaatimuksessa.

Määräyksen voimaantulosta ja erityisesti siihen liittyvistä siirtymäajoista on syytä jatkaa keskusteluja, kun koko määräyksen sisältö on tiedossa. Alustavien näkemysten mukaan tarvittava siirtymäaikojen pituus vaihtelee velvoitteittain noin 6–12 kuukauteen, jos esitys olisi pääpiirteissään nykyisessä muodossa.

Perusteluiden sivulla 18 todetaan, että 4G- ja 5G-verkon automaattinen valvonta on tuotu uutena velvoitteena määräykseen. Missä kohtaa määräystä tämä on, vai onko se jäänyt edellisestä versiosta näkyville?

kyberturvallisuussääntelytietoturvaviestintäverkot

Marko Lahtinen, lakiasioiden päällikkö, FiCom ry