Viestintäverkkojemme turvallisuutta sääntelevät lukuisat lait

Viestintäverkkojen turvallisuus- ja varautumissääntelyllä on Suomessa pitkät perinteet. Se on myös hyvin kattavaa: pelkästään sähköisen viestinnän palvelulaissa (SVPL) on kokonaiset omat lukunsa – noin kaksikymmentä pykälää ja niiden alla useita momentteja – jotka liittyvät verkkojen tietoturvaan.

Myös kansallinen turvallisuus on SVPL:ssä huomioitu monessa kohdassa. Siinä esimerkiksi määritellään, millä edellytyksillä matkaviestinverkkojen toimilupia ja radiolupia voidaan myöntää. Lisäksi julkisen hallinnon turvallisuusverkkotoiminnasta on oma lakinsa, jolla on liittymäkohtia myös sähköisen viestinnän palvelulakiin.

Vajaa kaksi vuotta sitten uudistettuun sähköisen viestinnän palvelulakiin säädettiin uusi pykälä, joka koskee viestintäverkon kriittisissä osissa käytettäviä laitteita. Lisäksi Liikenne- ja viestintävirasto Traficom antoi asiaa koskevan määräyksen. Sääntelyä valmisteltiin laajassa yhteistyössä viranomaisten ja teleoperaattorien kanssa.

Verkkojen kriittisten osien sääntely koskee sekä kiinteää että mobiiliverkkoa, mutta sen pääpaino on mobiiliverkoissa, etenkin 5G-verkon kriittisissä osissa. Säännös ja sitä koskeva määräys ovat dynaamisia ja hyvin aikaa kestäviä. Niissä on huomioitu pragmaattisella ja yhteensovitetulla tavalla sekä kansallinen että verkkojen turvallisuus, verkkotekniikka ja toimintaympäristö palveluiden jatkuvuuden kannalta.

Samassa yhteydessä lakiin lisättiin maininta verkkoturvallisuuden neuvottelukunnasta, joka arvioi kokonaisvaltaisesti kansallisen turvallisuuden toteutumista viestintäverkoissa. Neuvottelukunnan tehtävänä on seurata viestintäverkkojen ja teknologian kehittymistä ja verkkoturvallisuutta koskevan lainsäädännön soveltamiskäytäntöä sekä käsitellä ja esittää suosituksia.

Traficom on antanut SVPL:n nojalla puolenkymmentä määräystä ja suositusta viestintäverkkojen tietoturvasta. Nämä muodostavat säädöskehikon, joka teleyrityksen on otettava huomioon suunnitellessaan, rakentaessaan ja ylläpitäessään verkkoja. Yksi suomalainen erikoispiirre on viestintäverkkojen varmistamista koskeva määräys, joka esimerkiksi velvoittaa teleyrityksiä huolehtimaan tukiasemien sähkönsyötöstä akustojen tai generaattoreiden avulla sähkökatkosten aikana. Määräys osoittaa konkreettisella tasolla varautumissääntelyn pitkät perinteet, ja näinä aikoina varautumista koskeva määräys lienee ajankohtaisempi kuin koskaan.

Lait laadittava huolellisesti – verkkojen turvallisuutta ei saa vaarantaa

 Tuorein kansallinen säädöshanke liittyi valmiuslain osittaisuudistukseen, joka koski niin sanottua hybridivaikuttamista. Heinäkuussa voimaan tulleessa muutoksessa lain poikkeusolojen määritelmää täydennettiin niin, että siinä otetaan entistä kattavammin huomioon erilaiset hybridiuhat. Muutos mahdollistaa valmiuslain käyttöönoton tietyissä tapauksissa nykyistä helpommin.

Yhtenä vaikuttamisen kohteena valmiuslaissa mainitaan viestintäverkot kriittisen infrastruktuurin osana.  Laissa on myös kokonaan oma lukunsa sähköisten tieto- ja viestintäjärjestelmien toimivuuden turvaamisesta. Lisäksi on käynnistetty myös valmiuslain kokonaisuudistus, jota koskeva hallituksen esitys on tarkoitus antaa eduskunnalle viimeistään syysistuntokaudella 2025. ­

Osana kansallista turvallisuutta ovat siviili- ja sotilastiedustelua koskevat säännökset. Tiedustelusääntely on toimivaa ja osoittanut tarpeellisuutensa.  Se mahdollistaa valikoidun tiedustelutiedon jakamisen myös teleyrityksille.

Tiedustelulaissa on kuitenkin joitain valuvikoja tietoturvallisuuden sekä viestintäverkkojen ja -palveluiden toimivuuden kannalta. Tällaisia ovat muun muassa viranomaisten oikeus asettaa omia laitteitaan tai ohjelmistojaan teleyrityksen verkkoihin näiden tietämättä. Tämä on huomattava uhka palveluiden häiriöttömyydelle ja tietoturvallisuudelle. Verkkojen turvallisuus ei saa vaarantua missään tilanteissa.

Liiallinen avoimuus ei ole hyvästä

Sääntelyllä, kuten esimerkiksi merikaapeleiden suojaamisvaatimuksilla, pyritään yleensä vahvistamaan ja parantamaan verkkojen turvallisuutta. Joskus sääntely voi toimia myös toisin päin. Niin sanotun INSPIRE-direktiivin ja sen nojalla annetun lain perusteella Suomessa on saatavilla vesistöissä olevien kaapelien tarkat sijaintiedot kaikille avoimesta viranomaisen ylläpitämästä verkkopalvelusta. Tämä ei todellakaan lisää kyberturvallisuutta. Päinvastoin – kaapeleiden sijaintitietojen täydellinen ja kontrolloimaton saatavuus on todella huolestuttavaa, vaikka avoimuusedellytys perustuisikin direktiiviin.

Direktiivi ja siihen perustuva kansallinen laki mahdollistaisivat kuitenkin paikkatietojen salassa pitämisen muun muassa yleisen turvallisuuden tai maanpuolustuksen etujen suojaamiseksi. On hämmentävää, että tätä kansallista poikkeusmahdollisuutta Suomessa ei ole käytetty – toisin kuin muissa jäsenvaltioissa, joissa vastaavaa palvelua ei ole avoimesti saatavilla. Asia on laajasti tiedossa sekä poliittisilla päättäjillä että virkamieskunnalla, joten toimintaa ei voi perustella direktiivin vaatimuksilla tai tietämättömyydellä.

Myös EU-sääntelyä runsaasti

Tieto- ja verkkoturvallisuusdirektiivin uudistus (NIS 2), CER, 5G-kyberturvallisuuden työkalupakin uudistus ja avoimen radioverkon (ORAN) turvallisuutta koskeva raportti ovat uutta tietoturvaa koskevaa EU-sääntelyä ja ohjeistusta. Vaikka kaksi viimeksi mainittua eivät ole velvoittavia, niillä on kuitenkin käytännössä vaikutusta verkkojen kyberturvallisuuteen.

Näiden lisäksi Euroopan komissio antoi syyskuussa 2022 Cyber Resilience Actin (CRA), ehdotuksen kyberkestävyyssäädökseksi. Sen tarkoituksena on varmistaa, että laitteissa ja ohjelmistoissa on aiempaa vähemmän haavoittuvuuksia ja että valmistajat ottavat turvallisuusnäkökohdat vakavasti tuotteen koko elinkaaren ajan. Markkinoille saisi jatkossa tuoda vain tuotteita ja ohjelmistoja, jotka täyttävät asetuksen vaatimukset.

Ehdotus lisää turvallisuutta alueilla, joihin tietoturvasääntely ei ole vielä kohdistunut. CRA on tärkeä osa säädösketjua, jossa kriittisen infrastruktuurin direktiivi (CER Critical Entities Resilience Directive) turvaa huoltovarmuuskriittisten toimijoiden sekä palveluiden ja verkko- ja tietoturvadirektiivi (NIS 2) taas verkko- ja pilvipalvelutoimijoiden resilienssiä.

Sääntelyn lisäksi tarvitaan viranomaisten ja elinkeinoelämän yhteistyötä

 Suomessa viestintäverkkojen tietoturvasääntely on lähtökohtaisesti kunnossa, eikä lisäsääntelylle muutamaa aiemmin mainittua esimerkkiä lukuun ottamatta ole suurempia tarpeita. Pelkkä sääntely ja velvoitteiden täytäntöönpano ei kuitenkaan riitä – tarvitaan myös kaikkien alan toimijoiden yhteistyötä.

Suomen vahvuutena onkin yksityisen ja julkisen sektorin luottamuksellinen yhteistyö. Viranomaisten rooli on koordinoida asioita eri hallinnonalojen välillä ja luoda yhteinen kuva kyberturvallisuuden tilanteesta. Yrityksillä taas on kyky suojata tietojärjestelmiä ja -infraa kyberhäiriöiltä ja -hyökkäyksiltä.

Teleyrityksillä on vahvaksi muodostunut luottamus Traficomin Kyberturvallisuuskeskuksen asiantuntevaan toimintaan, ja yhteistyö Kyberturvallisuuskeskuksen kanssa on tiivistä ja jatkuvaa. On hienoa, että valtion talousarvioissa vuodelle 2023 osoitettiin Kyberturvallisuuskeskukselle lisärahoitusta.

Kybervarautumisen ytimenä tulee jatkossakin olla yksityisen ja julkisen sektorin yhteistyön vahvistaminen. Yritysten tulee kertoa myös heikot signaalit ja havainnot viranomaisille, mutta tiedon pitää kulkea molempiin suuntiin mutkattomasti. Mitä varhaisemmassa vaiheessa yrityksillä on tieto mahdollisista uhkista, sitä vahvemmin ne pystyvät niihin varautumaan.