Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 16.10.2013: Katsaus EU:n kyberturvallisuuteen - johtava asiantuntija Pekka Ristimäki, Valtiokonttori, Valtion IT-palvelukeskus
3. Määritelmiä ja lyhenteitä
Kyberympäristö
Sähköisessä muodossa olevan tiedon käsittelyyn tarkoitettu, yhdestä tai useammasta tietojärjestelmästä
muodostuva toimintaympäristö.
Kyberuhka
Kyberuhka tarkoittaa sellaista kyberympäristöön vaikuttavaa tekoa tai tapahtumaa, joka toteutuessaan vaarantaa
jonkin kyberympäristöstä riippuvaisen toiminnon.
Kyberympäristöön kohdistuvat uhkat ovat tietoturvauhkia, jotka toteutuessaan vaarantavat tietojärjestelmän
oikeanlaisen tai tarkoitetun toiminnan.
Kyberturvallisuus
Kyberturvallisuus pitää sisällään kaikki sellaiset toimenpiteet, joiden avulla voidaan ennakoivasti hallita ja
tarvittaessa sietää erilaisia kyberuhkia ja niiden vaikutuksia.
Euroopan verkko- ja tietoturvavirasto (ENISA)
EU:n verkko- ja tietoturvallisuuden osaamiskeskus. ENISA laatii ohjeita ja suosituksia tietoturvallisuuden hyviksi
käytännöiksi. Avustaa EU:n jäsenvaltioita unionia koskevan lainsäädännön täytäntöönpanossa ja pyrkii
parantamaan Euroopan elintärkeiden tieto- ja viestintätekniikan infrastruktuurien sietokykyä.
Computer Emergency Response Team (CERT)
Tässä yhteydessä tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi,
ratkaisu sekä tietoturvauhkista tiedottaminen. Kansallisia CERT-organisaatioita on ympäri maailmaa ja ne toimivat
yhteistyössä keskenään. Kansallinen tietoturvaviranomainen on CERT.FI, EU-tasoinen CERT (CERT-EU) aloitti
toimintansa vuonna 2012.
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013
5. ENISA annual incident report 2012
viestintäverkot ja -palvelut
”Jäsenvaltioiden on varmistettava, että yleisiä viestintäverkkoja tai yleisesti
saatavilla olevia sähköisiä viestintäpalveluja tarjoavat yritykset ilmoittavat
toimivaltaiselle kansalliselle sääntelyviranomaiselle kaikki sellaiset
turvallisuuden loukkaukset tai eheyden menetykset, joilla on ollut
huomattava vaikutus verkkojen tai palvelujen toimintaan. ”
(Artikla 13a Direktiivi 200/140/EY)
”Teleyrityksen on ilmoitettava ilman aiheetonta viivästystä Viestintävirastolle
verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja
sellaisista niihin kohdistuvista tietoturvauhkista, joista teleyritys on
tietoinen” ( SVTSL 21§ )
Operaattori => Viranomainen => ENISA
=> Komissio
Enisa annual incident reports 2012
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013
6. ENISA annual incident report 2012
79 vakavaa poikkeamaa raportoitiin (huomattava vaikutus verkkojen tai
palvelujen toimintaan)
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013
7. ENISA annual incident report 2012
- esimerkkejä raportoiduista tapahtumista
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013
12. EU:n kyberturvallisuusstrategia ja säädöksiä
2004 ENISA:n toiminta
käynnistyy
Komissio tiedonanto
30.3.2009: ”Euroopan
suojaaminen laajoilta
tietoverkkohyökkäyksiltä ja –
häiriöiltä”
Komissio 6.6.2001:
” Verkko- ja tietoturva:
Ehdotus eurooppalaiseksi
lähestymistavaksi”
2000
2012 CERT EU:n toiminta
käynnistyy
2005
23.11.2001: Euroopan
neuvoston
tietoverkkorikollisuutta
koskeva yleissopimus
(Budapestin sopimus)
16.4.2013 EU-parlamentti
hyväksyy ENISA:lle uuden
7 vuoden kauden
2010
Komissio 7.2.2013: ” Euroopan
unionin
kyberturvallisuusstrategia:
Avoin, turvallinen ja vakaa
verkkoympäristö”
Ehdotus toimenpiteistä
yhteisen korkeatasoisen
verkko- ja tietoturvan
varmistamiseksi koko
unionissa (”kyberdirektiivi”)
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013
2015
13. EU:n kyberturvallisuusstrategia
Viisi strategista painopistealuetta:
1. Verkon vakaus
2. Verkkorikollisuuden huomattava vähentäminen
3. Yhteiseen turvallisuus- ja puolustuspolitiikkaan (YTPP) liittyvän
verkkopuolustuspolitiikan ja valmiuksien kehittäminen
4. Kyberturvallisuuteen liittyvien teollisten ja teknologisten voimavarojen
kehittäminen
5. Johdonmukaisen kansainvälisen verkkotoimintapolitiikan luominen
Euroopan unionille sekä EU keskeisten arvojen edistäminen
Strategiassa komissio edellyttää (”komissio pyytää”) eri toimijoilta, kuten
jäsenvaltiot, toimenpiteiden käynnistämistä näillä eri painopistealueilla.
Edistymistä arvioidaan 2/2014.
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013
14. EU:n kyberturvallisuusstrategia
Roolit ja vastuut
EP3R: The European Public-Private Partnership for Resilience (yhteistyöfoorumi, työryhmiä)
EC3 (Europol): European Cybercrime Centre. Focal point in the EU’s fight against cybercrime
CEPOL: European Police College (yhteistyö, koulutus, tutkimus)
Eurojust: Tukee jäsenvaltioita (tutkinta ja syyttäminen) usean maan alueelle liittyvissä tapauksissa.
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013
15. 7.2.2013 Ehdotus
EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI
- toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko
unionissa
Tavoitteet
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013
16. Linkkejä
ENISA
CERT EU
EU kyberturvallisuusstrategia
EU Ehdotus toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan
varmistamiseksi koko unionissa (”kyberdirektiivi”)
Kansallinen kyberturvallisuusstrategia ja taustamuistio
CERT.FI
Homeland Security (DHS)
NSA
Spamhaus palvelunestohyökkäys 2013
Hyökkäys saksalaista sähköyhtiötä vastaan 2012
Hyökkäykset suomalaisia mediataloja vastaan 2012
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013
17. Kiitos!
Johtava asiantuntija Pekka Ristimäki
Valtiokonttori, Valtion IT-palvelukeskus
etunimi.sukunimi(at)valtiokonttori.fi
VIP-asiakaspäivä, Pekka Ristimäki
16.10.2013