Tulostusversio

4/2010

Tietoturva: SUPO selvittää yritysten luotettavuutta

Teksti: Lotta Lampela

Suojelupoliisin rooli organisaatioturvallisuuden asiantuntijana kasvoi, kun yritysten turvallisuusselvitysten teko siirtyi pääesikunnalta sen vastuulle.

Liike-elämässä ja viranomaistoiminnassa kansainväliseen yhteistyöhön liittyy usein eri syistä suojattaviksi määriteltyjen tietojen vaihtoa. Silloin pyritään solmimaan sopimuksia sen takaamiseksi, että vastapuoli huolehtii, etteivät ulkopuoliset pääse sopimuskumppanin tietoon käsiksi.

Valtiollisella tasolla Suomi on ollut kansainvälisten luokiteltujen tietojen suojaamista koskevien sopimusten osapuolena jo pitkään, muun muassa Naton rauhankumppanuuden perusteella vuodesta 1994 alkaen. Lisäksi Suomi on solminut lukuisia kahdenvälisiä tietoturvallisuussopimuksia.

Puuttuva lainsäädäntö ja viranomaiskoneisto saatiin vuonna 2004, kun laki kansainvälisistä tietoturvallisuusvelvoitteista tuli voimaan. Laissa kansallisen turvallisuusviranomaisen (National Security Authority, NSA) tehtävät osoitettiin ulkoasiainministeriölle. Suojelupoliisi puolestaan nimettiin yhdeksi määrätyistä turvallisuusviranomaisista (Designated Security Authority, DSA) puolustusministeriön ja pääesikunnan ohella.

Viranomaisten osaamisen perusteella oli luontevaa, että suojelupoliisin vastuulle annettiin kansainvälisen velvoitteen perusteella tehtävät henkilöturvallisuusselvitykset. Niitä ja niiden perusteella annettavia todistuksia tarvitaan muun muassa silloin, kun suomalaisvirkamiehet osallistuvat EU:ssa luokiteltujen tietojen käsittelyyn.

Pääesikunnan vastuulle annettiin puolestaan kansainvälisten sopimuskumppanien pyynnöstä tehtävät yritysturvallisuusselvitykset, sillä pääesikunnalla oli ennestään kokemusta puolustusvoimien alihankkijoiden taustaselvityksistä.

Työnjaosta uusi sopimus

Laki oli ehtinyt olla voimassa muutaman vuoden, kun kävi ilmi, että pääesikunnan voimavarat jouduttiin varaamaan puolustusvoimien omiin hankintoihin liittyviin selvityksiin. Laki mahdollistaa viranomaisten välisestä työnjaosta sopimisen, joten pääesikunta ja suojelupoliisi alkoivat neuvotella ulkomaankauppaa käyviä suomalaisia yrityksiä koskevien selvitysten siirtämisestä suojelupoliisille.

Yhteisöturvallisuustehtävä sopi suojelupoliisin tehtäväkenttään erinomaisesti, koska sen lakisääteisiin tehtäviin kuuluu neuvoa ja ohjeistaa yhteiskunnallisesti tärkeitä toimijoita turvallisuusriskien tiedostamisessa ja niihin varautumisessa.

Suojelupoliisi ja pääesikunta sopivat siirrosta heinäkuussa 2009. Asiantila sai vastikään juridisen vahvistuksen, kun uudistettu laki kansainvälisistä tietoturvallisuusvelvoitteista tuli voimaan marraskuun alussa. Siinä yhteisöturvallisuusselvitysten tekeminen nimetään suojelupoliisin tehtäväksi.

Lakiuudistus myös valtuutti Viestintäviraston toimimaan tietoturvallisuusviranomaisena (National Communications Security Authority, NCSA) teknistä tietoturvallisuutta ja tietoliikenteen turvallisuutta koskevissa tapauksissa.

Työnjaon uudistumisesta huolimatta turvallisuusviranomaiset tekevät jatkuvasti yhteistyötä turvallisuuskysymyksissä. Kansainvälisistä tietoturvallisuusvelvoitteista annettu laki myös velvoittaa viranomaiset siihen − pienessä maassa viranomaisten tiivis ja joustava yhteistyö on toiminnan ehdoton edellytys ja myös kansallinen vahvuutemme.

Eniten selvityksiä turva-alan yrityksistä

Yhteisöturvallisuusselvitystä tehdessään suojelupoliisi toimii ulkopuolisena arvioijana eli auditoijana. Siksi selvitystehtävä on sijoitettu turvallisuusyksikön lausuntotoimistoon, erilleen viraston operatiivisesta toiminnasta.

Suurin osa yhteisöturvallisuusselvityksen kohteista on turvallisuusalan yrityksiä. Selvityksiä tehdään myös valtionhallinnon toimijoista esimerkiksi silloin, kun on kyse erilaisista EU:n turvallisuustutkimuksia koskevista hankkeista.

Mittava selvitys jakaantuu neljään eri osa-alueeseen; fyysiseen, hallinnolliseen, henkilöstö- ja tietoturvallisuuteen. Jos ulkomainen sopimuskumppani pyytää selvittämään myös suomalaisen yrityksen tietojärjestelmien turvallisuutta, suojelupoliisi pyytää tämän osa-alueen arviota Viestintäviraston NCSA-FI-yksiköltä. Auditoinnissa sovelletaan kansallista turvallisuusauditointikriteeristöä (KATAKRI).

Selvityksen kesto riippuu pitkälti yrityksen aktiivisuudesta edistää turvallisuuttaan. Kun sopimuskumppanin tarpeen mukainen turvallisuustaso on saavutettu, yritys antaa suojelupoliisille sitoumuksen ylläpitää kyseinen taso sopimuskumppanin tarpeiden edellyttämän ajan.

Suojelupoliisi alkaa todennäköisesti valtion maksuperustelain mukaisesti periä omasta osuudestaan vakiomääräisen maksun. Viestintävirasto veloittaa jo omista palveluistaan tuntiperusteisesti. Tulevaisuudessa tavoitteena on laskuttaa yhteisöturvallisuusselvityksistä yksi vakiomääräinen maksu.

Ulkoistaminen lisää selvitystarvetta

Odotettavissa on, että luokitellun ulkomaankaupan selvityspyynnöt lisääntyvät. Samaan aikaan vastaavien selvitysten tarpeeseen on havahduttu myös Suomessa.

Viime vuosina monia valtionhallinnon perinteisesti hoitamia tehtäviä on ulkoistettu yrityksille. Julkishallinnon ja elinkeinoelämän yhteistyö yhä kriittisemmillä aloilla aiheuttaa merkittäviä turvallisuushaasteita. Niihin vastaaminen on tähän asti ollut paljolti toimintojaan ulkoistavan viranomaisen turvallisuuspäällikön ammattitaidon varassa. Tietyissä valtion turvallisuuden ja yhteiskunnan toiminnan kannalta merkittävimmissä turvallisuushankkeissa on välttämöntä selvittää viranomaisen sopimuskumppanin organisaatioturvallisuus.

Lakiuudistus selkeyttäisi oikeustilaa

Laki turvallisuusselvityksistä on parhaillaan oikeusministeriön työryhmän uudistettavana. Uudistuksessa on tarkoitus tehdä mahdolliseksi yrityskumppanien luotettavuuden selvittäminen myös kansallisten viranomaisten pyynnöstä silloin, kun yritys saa viranomaisen kanssa tekemänsä sopimuksen nojalla viranomaisen luokiteltua tietoa. Uudistetussa laissa myös määriteltäisiin selvityksen tekemisen perusteet ja siitä vastaava viranomainen. Toteutuessaan tämä olisi merkittävä parannus nykytilaan verrattuna.

Lakiuudistuksessa pyritään huomioimaan mahdollisimman hyvin viranomaisten ja elinkeinoelämän eri osapuolten tarpeet ja huolet. Erityisesti on korostettu sitä, että turvallisuutta parannettaessa on samalla huolehdittava siitä, ettei kenenkään perustuslailla suojattuihin oikeuksiin puututa enempää kuin on välttämätöntä. Tietosuojavaltuutetun ja muiden laillisuusvalvojien tarkastuksissa suojelupoliisin on todettu voimassa olevan turvallisuusselvityslain aikana onnistuneen tässä hyvin.

Tietoturvasta ja tietosuojasta huolehtiminen on vastuullinen tehtävä, joka vaatii sekä aikaa että ammattitaidon jatkuvaa kehittämistä. Uudistukset tulevat väistämättä vaatimaan suojelupoliisille ja muille viranomaisille lisää voimavaroja lisääntyneiden tehtävien hoitamiseen. Vain siten voidaan taata laadukas ja tehokas menettely, josta suojelupoliisi on nykyisen turvallisuusselvityslain aikana tullut tunnetuksi.

---

Yhteisöturvallisuusprosessin vaiheet

  • aloituskokous: turvallisuusluokituksesta sopiminen
  • auditointikierrokset: 1-3 kertaa
  • turvallisuussitoumuksen antaminen
  • yhteisöturvallisuustodistuksen (FSC) myöntäminen
  • ylläpito: voimassa määräajan
  • prosessi kestää noin 6 kuukautta

---

[KIRJOITTAJA]

Lotta Lampela on suojelupoliisin lausuntotoimiston päällikkö.

Lue myös

Tietoturva: Auditointi on mahdollisuus, ei uhka »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.