Sähköisen viestinnän palvelulaki on viestintäverkkojen turvallisuussääntelyn ydin

Viestintäverkkojen kattavalla turvallisuus- ja varautumissääntelyllä on Suomessa pitkät perinteet. Sähköisen viestinnän palvelulaissa (SVPL) on kokonaiset omat lukunsa – noin kaksikymmentä pykälää ja niiden alla useita momentteja – jotka liittyvät vahvasti verkkojen tietoturvaan.

Kansallinen turvallisuus on laissa huomioitu monessa kohdassa. Siinä esimerkiksi määritellään, millä edellytyksillä matkaviestinverkkojen toimilupia ja radiolupia voidaan myöntää. Melko tuoretta sääntelyä on luku, joka keskittyy pelkästään viranomaisverkon ja viranomaisviestintään liittyvien palvelujen tarjoamiseen. Lisäksi julkisen hallinnon turvallisuusverkkotoiminnasta on oma lakinsa, jolla on liittymäkohtia myös sähköisen viestinnän palvelulakiin.

Liikenne- ja viestintävirasto Traficom on antanut SVPL:n nojalla puolenkymmentä määräystä ja suositusta viestintäverkkojen tietoturvasta. Nämä muodostavat säädöskehikon, joka teleyrityksen on otettava huomioon suunnitellessaan, rakentaessaan ja ylläpitäessään verkkoja.

Yksi suomalainen erikoispiirre on viestintäverkkojen varmistamista koskeva määräys, joka esimerkiksi velvoittaa teleyrityksiä huolehtimaan tukiasemien sähkönsyötöstä akustojen tai generaattoreiden avulla sähkökatkosten aikana. Samassa määräyksessä on varauduttu myös mahdollisiin GPS-häiriöihin niin, että kellosignaali, jota tarvitaan mobiiliverkoille välttämättömään aikasynkronointiin, on tuotava tukiasemiin kiinteän verkon, käytännössä kuituverkon, kautta GPS-satelliittien sijaan.

Sähköisen viestinnän palvelulaki uudistui vajaa kaksi vuotta sitten. Uudistuksen yhteydessä säädettiin uusi pykälä, joka koskee viestintäverkon kriittisissä osissa käytettäviä laitteita, ja lisäksi Traficom antoi asiaa koskevan määräyksen. Sääntelyä valmisteltiin laajassa yhteistyössä viranomaisten ja teleoperaattorien kanssa. Verkkojen kriittisten osien sääntely koskee sekä kiinteää että mobiiliverkkoa, mutta sen pääpaino on mobiiliverkoissa, etenkin 5G-verkon kriittisissä osissa. Säännös ja sitä koskeva määräys ovat dynaamisia ja hyvin aikaa kestäviä. Niissä on huomioitu pragmaattisella ja yhteensovitetulla tavalla sekä kansallinen että verkkojen turvallisuus, verkkotekniikka ja toimintaympäristö palveluiden jatkuvuuden kannalta.

Muuta kansallista ja EU-sääntelyä

Parhaillaan eduskunnassa on hybridivaikuttamiseen liittyen vireillä valmiuslain osittaisuudistus. Siinä yhtenä vaikuttamisen kohteena mainitaan viestintäverkot kriittisen infrastruktuurin osana. Valmiuslaissa on myös kokonaan oma lukunsa sähköisten tieto- ja viestintäjärjestelmien toimivuuden turvaamisesta.

Osana kansallista turvallisuutta ovat siviili- ja sotilastiedustelua koskevat säännökset. Tiedustelusääntely on toimivaa ja osoittanut tarpeellisuutensa.  Se mahdollistaa valikoidun tiedustelutiedon jakamisen myös teleyrityksille.

Tiedustelulaissa on kuitenkin joitain valuvikoja tietoturvallisuuden sekä viestintäverkkojen ja -palveluiden toimivuuden kannalta. Tällaisia ovat muun muassa viranomaisten oikeus asettaa omia laitteitaan tai ohjelmistojaan teleyrityksen verkkoihin näiden tietämättä. Tämä on huomattava uhka palveluiden häiriöttömyydelle ja tietoturvallisuudelle. Verkkojen turvallisuus ei saa vaarantua missään tilanteissa.

Kaikille avoimesta viranomaisen verkkopalvelusta saatavilla olevat merikaapelien tarkat sijaintiedot eivät myöskään lisää kyberturvallisuutta. Päinvastoin – merikaapeleiden sijaintitietojen täydellinen ja kontrolloimaton avoimuus on todella huolestuttavaa, vaikka avoimuusedellytys perustuisikin direktiiviin. Olisi paikallaan pikaisesti tarkastella direktiiviä ja selvittää myös, miten kansallisella sääntelyllä merikaapeleiden sijaintitietoja voitaisiin suojata ja niiden turvallisuutta parantaa.

Tieto- ja verkkoturvallisuusdirektiivin uudistus, 5G-kyberturvallisuuden työkalupakin uudistus ja avoimen radioverkon (ORAN) turvallisuutta koskeva raportti ovat uutta tietoturvaa koskevaa EU-sääntelyä ja ohjeistusta. Vaikka kaksi viimeksi mainittua eivät ole velvoittavia, niillä on kuitenkin käytännössä vaikutusta verkkojen kyberturvallisuuteen.

EU:n komissio julkaisi viime vuonna vuoteen 2030 ulottuvan digikompassin ja sitä koskevan ohjelmaehdotuksen. Näissä on mukana myös kyberturvallisuutta koskevia toimia ja tavoitteita. Parhaillaan Suomessa valmistellaan EU:n kompassiin perustuvaa kansallista digikompassia, jossa on vahvasti tunnistettu kyberturvallisuuden merkitys ja korostettu sen tärkeyttä. Kansallinen hanke voi tuoda mukanaan myös uutta lainsäädäntöä.

Sääntelyn lisäksi tarvitaan viranomaisten ja elinkeinoelämän yhteistyötä

Suomessa viestintäverkkojen tietoturvasääntely on lähtökohtaisesti kunnossa, eikä lisäsääntelylle muutamaa aiemmin mainittua esimerkkiä lukuun ottamatta ole suurempia tarpeita. Pelkkä sääntely ja velvoitteiden täytäntöönpano ei kuitenkaan riitä – tarvitaan myös kaikkien alan toimijoiden yhteistyötä.

Suomen vahvuutena onkin yksityisen ja julkisen sektorin luottamuksellinen yhteistyö. Viranomaisten rooli on koordinoida asioita eri hallinnonalojen välillä ja luoda yhteinen kuva kyberturvallisuuden tilanteesta. Yrityksillä taas on kyky suojata tietojärjestelmiä ja -infraa kyberhäiriöiltä ja -hyökkäyksiltä.

Teleyrityksillä on vahvaksi muodostunut luottamus Traficomin Kyberturvallisuuskeskuksen asiantuntevaan toimintaan, ja yhteistyö Kyberturvallisuuskeskuksen kanssa on tiivistä ja jatkuvaa. Kybervarautumisen ytimenä tulee jatkossakin olla yksityisen ja julkisen sektorin yhteistyön vahvistaminen. Yritysten tulee kertoa myös heikot signaalit ja havainnot viranomaisille, mutta tiedon pitää kulkea molempiin suuntiin mutkattomasti. Mitä varhaisemmassa vaiheessa yrityksillä on tieto mahdollisista uhkista, sitä vahvemmin ne pystyvät niihin varautumaan.

Marko Lahtinen, lakiasioiden päällikkö, FiCom ry