Mikko Soikkeli: Viranomaisten kyberturvallisuus edellyttää lainsäädännön kehittämistä
Viranomaisten toiminta tieto- ja kyberturvallisuudessa kaipaa lainsäädännön ja yhteistyön kehittämistä, selkeyttämistä ja yhdenmukaistamista. Listasin neljä huomiota, joita tulisi arvioida.
1. Kyberturvallisuus selkeästi lainsäädäntöön
Kyberturvallisuus perustuu tietoturvallisuuteen, mutta siinä suojattavia kohteita ovat tiedon lisäksi ihmiset, kaikenlaiset verkkoon kytketyt laitteet, yhteiskunnan kannalta elintärkeät toiminnot sekä kansallinen kriittinen infrastruktuuri. Lainsäädännöstä puuttuu tällä hetkellä kyberturvallisuus käsitteenä, ja sääntely kohdistuu lähinnä tietoturvallisuuteen. Digitaalinen turvallisuus lisää osaltaan käsitekirjoa sisältymättä sekään lainsäädäntöön.
Viranomaisten on noudatettava lakia tarkoin, mutta nyt he joutuvat toimimaan käsitteellisesti epäselvässä tilanteessa. Lakiin kirjattu käsitteistö auttaisi viranomaisia toimimaan yhdenmukaisesti sekä julkisuusperiaatteen että salapitovelvoitteen ja erilaisten kohteiden suojaamisen varmistamiseksi. Salassapito ja kohteiden suojaaminen on yhä vaikeampaa jatkuvasti kehittyvien uhkien ja lisääntyvien teknisten haavoittuvuuksien takia. Uusien teknologioiden mukana tulee luonnollisesti taas uusia käsitteitä.
Turvallisuusviranomaiset toteuttavat toimenpiteitä, joilla he pyrkivät mm. varmistamaan yhteiskunnan elintärkeiden toimintojen turvaamisen myös tietoverkoissa. Tiedustelulait velvoittavat tiedusteluviranomaiset yhteistyöhön ja määrittävät kansallisen turvallisuuden tasolla myös kyberturvallisuutta, vaikka sitä ei käsitteenä mainitakaan.
2. Poikkihallinnollisuus edellyttää hyvää koordinaatiota
Viranomaisten välistä yhteistyötä tulisi tarkastella kokonaisvaltaisesti, ei vain hallinnonalojen näkökulmista. Strategisella tasolla tieto- ja kyberturvallisuuden toimivalta jakautuu kaikille ministeriöille toimialansa puitteissa perustuslain ja valtioneuvoston ohjesäännön perusteella. Yleistä toimivaltaa on liikenne- ja viestintäministeriöllä, valtiovarainministeriöllä ja ulkoministeriöllä. Laajoissa häiriötilanteissa valtioneuvoston kanslialla on koordinointivastuu.
Yhdysvaltalaisen tutkimuksen perusteella kyberturvallisuuden poikkihallinnollinen luonne voi johtaa epäselvyyteen, mille viranomaiselle toimivalta kuuluu, ja tämä voi johtaa kilvoitteluun toimivallasta. Koska sääntely hajautuu eri toimialoja edustaville ministeriöille, kokonaisuuden hallinta edellyttää vahvaa koordinaatiota. Suomessa tehdyn selvityksen perusteella poikkihallinnollista yhteistyötä pidetään hyödyllisenä, mutta vaikeana.
Kokonaisuuden integrointi ei onnistu ja koordinaatiopyrkimyksiä vastustetaan, koska eri hallinnonalat painottavat kyberturvallisuutta eri tavoin. Epävarmuus ja byrokratia lisääntyvät, ja eri toimialat vetoavat olemassa olevaan sääntelyyn. Lopputuloksena voi olla lainsäädäntö, joka ei sovellu sellaisenaan mihinkään yksittäiseen tilanteeseen. Oikeusministeriön selvityksen perusteella eri toimialojen säännökset ovat epäselviä tai niitä ei ole lainkaan.
3. Viranomaisten välisen yhteistyön toimittava
Jaetun vastuun ja toimivaltainen viranomainen -periaatteen takia viranomaisten välisen yhteistyön on toimittava. Yhteistoiminnan perusteet ovat säänneltyjä, mikä koskee erityisesti salassa pidettävän tiedon vaihtoa ja virka-apua toisille viranomaisille. Säädökset on kirjoitettava täsmällisesti ja tarkkarajaisesti. Tämä näkyy esimerkiksi sähköisen viestinnän palveluista annetun lain hyvin täsmällisinä ja yhteistoimintaa rajaavinakin kirjauksina tiedon luovuttamisesta ja virka-avusta.
TUVE-laki ja -asetus määrittävät varsin yksityiskohtaisesti vaatimukset palveluille, jotka ulkoisen arvioitsijan edellytetään arvioivan.
Viranomaisten välistä yhteistyötä korostaa myös palveluiden käyttöön liittyvä sääntely. TORI-laki ja sen rinnalla TUVE-laki velvoittavat viranomaisia yhteisten palveluiden ja palveluntuottajien käyttöön ja samalla kytkevät toisiinsa viranomaisia, joiden toiminnan perusluonne poikkeaa tosistaan merkittävästi.
TORI-laki ei määrittele käytännön tasolla tietoturvallisuusvaatimuksia, vaikka lain perusteluissa sellaisia tavoitteellisena pidetäänkin. TUVE-laki ja -asetus määrittävät varsin yksityiskohtaisesti vaatimukset palveluille, jotka ulkoisen arvioitsijan edellytetään arvioivan. Tämä on käytännössä ainoa tapa osoittaa eri käyttäjäorganisaatioille yhdenmukaisesti vaatimustenmukaisuuden täyttyminen.
Tietojärjestelmien ja tietoliikenneratkaisujen vaatimustenmukaisuuden arviointia säätelee arviointilaki. Nykyinen tilanne, jossa arviointi on viranomaisen omassa harkinnassa kansallisissa ratkaisuissa ja käytettävä kriteeristö on arviointia pyytävän viranomaisen itse valittavissa, ei ole paras mahdollinen.
4. Riski uhista ja haavoittuvuuksista on yhteinen
Tietoturvavalvonta on tärkeää uhkien ja haavoittuvuuksien havaitsemissa, mutta toteutukseen ja tiedonvaihtoon liittyy rajoitteita. Käytännön toimivaltaisena toteuttajana toimi yleensä palveluntuottaja tai hänen lukuunsa toimiva alihankkija. Turvallisuusverkkotoiminnassa Valtorille on määrätty erityinen palveluntuottajien koordinaatio- ja asiakasviestintävelvoite tietoturvauhkilta suojautumisessa.
Kaikkiin käyttäjäorganisaatioihin kytkeytyvät kaikki ne uhat, jotka muutoin saattaisivat koskea vain tiettyjä viranomaisia.
Tiedonhallintalain mukaisesti viranomaisen tulee selvittää olennaiset riskit ja mitoittaa tietoturvallisuustoimenpiteet riskiarvion perusteella, mikä käytännössä vaikuttaa olevan haasteellista. Koska viranomainen käyttää yhteisiä palveluja lain velvoittamana, muodostuu kaikille palveluja käyttäville yhteinen riski yhteisten palveluntuottajien ja niiden alihankkijoiden tekniseen ympäristöön ja henkilöstöön liittyvistä haavoittuvuuksista. Yhteistä riskiä tulisi hallita yhteiseen riskiarvioon perustuen yhdenmukaisin toimintatavoin.
Samalla tavalla kaikkiin käyttäjäorganisaatioihin kytkeytyvät kaikki ne uhat, jotka muutoin saattaisivat koskea vain tiettyjä viranomaisia. Unohtaa ei voi myöskään muiden viranomaisten teknisten ratkaisujen ja henkilöstön muodostamaa riskiä.
Mikko Soikkeli toimii puolustusministeriön tietohallintojohtajana. Kirjoitus perustuu hänen Jyväskylän yliopistossa laatimaansa kyberturvallisuuden pro gradu -tutkielmaan.
Lue lisää vierasblogeja:
Janne Koivukoski: Virve ja Krivat – säteilyvalvonnan ja viranomaisyhteistyön kulmakivet
Anna-Maija Karjalainen: Virve 2.0 näyttää mallia maailmalla
Rauli Paananen: Tehdään kyberturvallisuudesta kansalaistaito ja vientituote