Tulostusversio

3/2010

Profiili: BSI

Teksti: Jussi Tuormaa

"Kassandran eli oikeaan osuvan ennustajan rooli ei riitä meille", sanoo Saksan tietoturvaviraston BSI:n johtaja Michael Hange. Virasto pyrkii myös torjumaan tietoturvauhkia ennalta.

Saksan liittovaltion tietoturvaviraston BSI:n vuorokauden ympäri päivystävä valvontakeskus on taas kertonut valtion tietojärjestelmiin kohdistuvien tietoturvauhkien ja verkkorikollisuuden kasvusta.

BSI:n päätehtävä on suojella valtiota sen tietojärjestelmiin ja kriittisiin infrastruktuureihin kohdistuvilta hyökkäyksiltä, sabotaasilta ja vakoilulta. Julkisen hallinnon ohella se kantaa kuitenkin huolta myös saksalaisten yritysten ja kansalaisten tietoturvasta.

"Me pyrimme myös menestyksellisesti torjumaan tietoturvauhkia niin ylimmällä valtiotasolla kuin myös yritysten ja kansalaisten kanssa", johtaja Michael Hange toteaa.

Tehtävän merkitys on kasvanut: Samalla kun yhteiskunta on kehittynyt yhä riippuvaisemmaksi tietotekniikasta, sitä on myös yhä helpompi haavoittaa tietotekniikalla. Tietokone- ja verkkorikolliset iskevät tietojärjestelmien turva-aukkoihin yhä ammattimaisemmin ja nopeammin.

Hyvä maine muuallakin

BSI:n päällikkötehtävissä toiminut Michael Hange valittiin viraston johtajaksi viime lokakuussa. Hänen edeltäjänsä Udo Helmbrecht siirtyi silloin Euroopan verkko- ja tietoturvaviraston ENISAn johtoon. Eurooppalaisen tietoturvan avaimet näyttävät olevan vahvasti saksalaisissa käsissä.

"BSI on kyllä monissa maissa hyvässä maineessa", Hange toteaa.

Hän myöntää virastonsa olevan haluttu yhteistyökumppani ja viittaa siihen, että sen toiminta ja palvelut ovat myös kansainvälisesti tunnettuja ja vakuuttavia.

Toisaalta maailmanlaajuisten tietoverkkojen oloissa saksalaisetkin voivat selviytyä tehtävistään parhaiten yhteistyössä muiden maiden vastaavien organisaatioiden kanssa. Yhteistyökykyisyys tietoturva-asioissa kertoo hänen mukaansa paljon kyseisen tietoyhteiskunnan kehittyneisyydestä.

BSI on sekä valtiollisista tietoturvatehtävistään vastuussa oleva tiukka viranomainen että tiimityötä ja asiakaspalvelua korostava organisaatio, joka tarjoaa kohderyhmille räätälöityjä palveluja.

"Informaatio on ilmaista, auditointi ja sertifiointi maksavat", Michael Hange kiteyttää.

Perusturva vaatii omaakin vastuuta

BSI:n ehkä tunnetuin tuote Perusturva (Grundschutz) julkistettiin vuonna 1994. Se on suuri joukko standardoituja tietoturvatoimia, jotka on tarkoitettu suojaamaan erityisesti valtionhallinnon mutta myös yritysten ja jopa yksityishenkilöiden tietotekniikan käyttöä.

Tätä suosittua opasta, joka on saavuttanut Saksan julkishallinnossa standardin aseman, ajankohtaistetaan ja täydennetään virastossa koko ajan havainnoimalla uusimpia uhkakuvia, tekemällä niiden perusteella uusia riskianalyysejä ja johtamalla niistä toimenpideohjeita.

Perusturva on kasvanut viiden mapin paksuiseksi käsikirjaksi, joka käsittää noin 1 500 BSI:n standardeihin perustuvaa turvatoimenpidettä.

"Pienelläkin vaivalla saadaan suuria tuloksia", korostaa Michael Ruck perusturvaohjeista vastaavasta yksiköstä.

"Näillä standardoiduilla organisatorisilla ja teknisillä turvatoimilla organisaatiot saavuttavat jo 80 tapauksessa 100:sta riittävän tietoturvan".

BSI:n perusturva on rakennettu siten, että erikokoiset organisaatiot erilaisine tietojärjestelmineen voivat koota siitä itselleen sopivat rakennuspalikat. Sen hyödyntämiseen on kehitetty myös ohjelmisto, jonka on lisensoinut 11 000 organisaatiota.

Perusturvan ylläpitäjät saavat Ruckin mukaan koko ajan hyödyllistä palautetta käyttäjiltä. Se on herättänyt myös kansainvälistä kiinnostusta: Ruotsin varautumisviranomainen Krisberedskapsmyndigheten on käännättänyt BSI:n standardit itselleen, ja Viron tietohallintovirasto RIA on käännättänyt käyttöönsä perusturvan pääpiirteet.

Tietoisuus lisää turvaa

BSI:n johtaja Michael Hange korostaa tietoturvatietoisuuden merkitystä. Ohjeilla tietoturvaa voidaan lisätä asteittain käyttäjien tietoisuudesta ja tunnollisuudesta riippuen. BSI kutsuukin tietotekniikan käyttäjiä usein tietoturvatalkoisiin.

Uusin hanke on saastuneiden koneiden muodostamien bottiverkkojen vastaisen keskuksen perustaminen yhdessä Saksan nettipalveluyritysten edunvalvojan kanssa. Keskus tulee varoittamaan netinkäyttäjiä henkilötietojensa joutumisesta vääriin käsiin ja myös opastamaan tietokoneiden puhdistamisessa haittaohjelmista.

Taannoin BSI joutui myös puuttumaan nettiselaimen tietoturva-aukkoon. Kun amerikkalaisyritys ei ollut toimittanut ajoissa haavoittuvuuden paikkaavaa ohjelmistoa, saksalaisviranomainen suositteli suorin sanoin surffaajille muiden selainten käyttöä.

BSI:n suositus yllätti amerikkalaisyrityksen ja synnytti Michael Hangen mukaan väärinkäsityksiä ulkomailla:

"Emme luonnollisestikaan halunneet kieltää mitään tuotetta vaan vain puuttua siinä ilmenneeseen tietoturva-aukkoon.”

Tiukkoja testejä ja omia sertifiointeja

Tietoturva-aukkoihin puuttuminen on BSI:n viranomaisvelvollisuus. Saksan liittovaltion hallinnossa saa käyttää vain BSI:n omilla testeillään tarkistamia laitteita ja ohjelmistoja. Näin varmistetaan, että hallinnon käyttämät laitteet ja ratkaisut täyttävät vaadittavan tietoturvatason.

Viime vuonna BSI varoitti gsm-verkon turva-aukoista. Samalla se sertifioi matkapuhelimen käyttöliittymään sujautettavan salaussirukortin. Toistaiseksi uusi tekninen ratkaisu toimii vain yhden valmistajan tietyissä malleissa.

Hange kehuu näppärää ratkaisua. Tähän asti matkapuhelimen salauksessa on käytetty aina käytöltään hankalampaa erillistä salauslaitetta.

Viime aikojen tärkeimpiä kansallisia tietoturvaratkaisuja on Saksassa ollut sähköinen henkilökortti. BSI on ollut mukana testaamassa korttia ja nyt varmistettuaan sen näyttää hankkeelle vihreää valoa. Kortti on tarkoitus saattaa kansalaisten käyttöön ensi marraskuussa.

Lainmuutos lisäsi toimivaltaa

BSI määrittelee toimintansa kolmella eri tasolla: Suhteessa liittovaltion hallintoon se on itsenäinen ja ennakoiva toimija, yritysten kanssa se tekee yhteistyötä ja kansalaisille se tiedottaa tietoturvasta.

Viraston asema valtion tietoturvan vaalijana vahvistui viime vuoden kesällä, kun uusi laki antoi BSI:lle sen vaatimia lisävaltuuksia. Se saa nyt suodattaa kaiken viranomaisten ja kansalaisten välisen sähköpostiliikenteen ja puuttua siinä paljastuviin tietoturvauhkiin, kuten haittaohjelmiin, ennen kuin mitään pahempaa ehtisi tapahtua.

Laki sai tietosuojavaltuutetut ja nettiaktivistit takajaloilleen. He varoittavat, että laki mahdollistaa virastolle henkilötietojen urkinnan ja väärinkäytön. BSI puolestaan on vakuuttanut, että automatisoidut suodatinmenetelmät säilyttävät henkilötiedot anonyymeina ja vain rikoksista epäiltävien henkilöllisyys voidaan paljastaa.

---

Bundesamt für Sicherheit in der Informationstechnik

  • Saksan liittovaltion ja julkisen hallinnon it-turvapalvelujen keskus ja kansainvälisesti saksalaisten tietoturvaetujen edustaja.
  • Perustettu 1991.
  • Noin 500 työntekijää, vuosibudjetti noin 60 miljoonaa euroa.
  • Valvoo liittovaltion viranomaisverkkoja (CERT-Bund, IVBB).
  • Tiedottaa tietotekniikan käytön vaaroista ja turvallisista ratkaisuista.
  • Arvioi viranomaisten it-alustojen ja -infrastruktuurien tietoturvariskejä ja varmistaa kriittiset infrastruktuurit.
  • Kehittää tietoturvasovelluksia; salausmenetelmiä ja -laitteita, biometriikkaa, testauslaitteita ja mittausvälineitä.
  • Testaa ja sertifioi tarjolla olevien it-järjestelmien, -komponenttien, -tuotteiden ja palvelujen tietoturvallisuutta.
  • Hyväksyy testaus- ja auditointipaikkoja ja valvoo niiden laatua.

Lue myös

Profiili: BSI tekee yhteistyötä CERT-FI:n kanssa »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.