Tulostusversio

3/2009

Lyhyesti tietoturvasta 3/2009

ENISAlle etsitään uutta suuntaa

EU:n verkko- ja tietoturvavirasto ENISA on toiminut vuodesta 2004 alkaen, ja hiljattain sen toimikautta jatkettiin vuoteen 2012 asti. Virastolla on edessään muutosten aika: uusi pääjohtaja aloittaa lokakuussa, ja viraston tehtäviä on määrä uudistaa ensi vuonna.

Uusi pääjohtaja Udo Helmbrecht esitteli näkemyksiään viraston tulevaisuudesta syyskuussa Arjen tietoyhteiskunnan neuvottelukunnan seminaarissa. Hän on aiemmin toiminut Saksan liittotasavallan tietoturvavirasto BSI:n pääjohtajana.

Helmbrechtin mukaan ENISAsta tulisi tehdä EU:n tietoturvaosaamisen keskus, jota EU-maat ja yritykset arvostavat. Hänen visiossaan ENISA kuuntelee entistä enemmän yritysmaailman näkemyksiä ja toisaalta tiivistää suhteita muihin eurooppalaisiin instituutioihin.

Hän myös korosti kolmannen sektorin roolia. Kansalaisten ja yritysten tietoturvatietoutta tulee entisestään parantaa ja järjestöt voisivat olla mukana ENISAn neuvonta- ja valistustyössä nykyistä enemmän.

EU-maissa tietoturvaosaamisen tasossa on suuria eroja, Helmbrecht totesi. Tietoturvan keskimääräistä tasoa on nostettava ilman, että hyvien maiden taso laskee.

EU:n viestintäministerit sopivat keväällä ENISAn mandaatin uudistamisesta. Seminaarissa aloitettiin kansallinen keskustelu siitä, mitä Suomi odottaa ENISAlta. Selväksi kävi, että alan suomalaiset toimijat pitävät viraston sijaintia Kreetan saarella hankalana, koska se on kaukana Brysselistä ja muista valtakeskittymistä. Viraston asiantuntijoiden on vaikea verkostoitua alan muiden toimijoiden kanssa.

Seminaarin perusteella viraston toimenkuvaan ollaan jossakin määrin pettyneitä. Sinänsä arvokkaana pidettyä tietoturvatiedottamista ei pidetä riittävänä tehtävänä, vaan virastolta toivotaan strategista näkemystä Euroopan tietoturvan tulevaisuudesta. ENISAsta ei toivota tietoturvatoiminnan keskipistettä vaan tehokasta verkoston osasta.

Komissio antaa ehdotuksensa ENISAn jatkosta ensi keväänä. EU:n puheenjohtajamaa Ruotsin odotetaan ottavan viraston tulevaisuuden esille jo joulukuussa viestintäministerien kokouksessa.

-----

Valtion varmenneinfra VIPiin?

Valtion varmenneosaamista halutaan ylläpitää mutta keskittää se yhteen paikkaan. Tämä käy ilmi valtion varmennetoiminnan uudelleenjärjestämistä pohtivan työryhmän väliraportista.

Tällä hetkellä sosiaali- ja terveydenhuollon valvontavirasto Valviralla ja Väestörekisterikeskuksella on molemmilla omat varmenneinfrastruktuurinsa. Työryhmä ehdottaa, että infrastruktuuri keskitetään valtion IT -palvelukeskukseen. Keskittäminen poistaisi nykyiset päällekkäisyydet ja varmistaisi varmenneosaamisen säilymisen.

Väliraportissa esitetään valtion varmennetuotannolle kahta vaihtoehtoista mallia. Ensimmäisen mukaan valtio tarjoaisi tulevaisuudessa varmennepalveluja pelkästään julkiselle hallinnolle; valtion virastoille ja kunnille, terveydenhuollon ammattilaisten varmentamiseen sekä biopassin allekirjoittamiseen.

Toisessa vaihtoehdossa varmennepalveluja tarjottaisiin myös kansalaisten tunnistamiseen julkishallinnon ja yritysten verkkopalveluissa. Kummassakin mallissa varmentajia voisi olla useita.

Väestörekisterikeskuksen tarjoamaa kansalaisvarmennetta ollaan ajamassa alas. Väliraportin mukaan riskinä on, että yritykset eivät tuo markkinoille uusia vahvoja tunnistuspalveluja ja nykyisten kustannukset kohoavat kohtuuttomiksi.

Raportissa luetellaan myös muita mahdollisia tilanteita, joissa valtio saattaisi palata kansalaisvarmenteen tarjoajaksi. Jos turvallisuustilanne kiristyisi, valtion roolia vahvan tunnistuspalvelun tuottajan voitaisiin pitää nykyistä tärkeämpänä. EU:ssa ei ole toistaiseksi yhteistä näkemystä tunnistusratkaisuista. Mikäli kuitenkin esimerkiksi palveludirektiivin toimeenpanossa päädytään vaatimaan laatuvarmenteen tasoista tunnistamista, ei sitä Suomessa ainakaan vielä tarjoa yksikään yritys.

Väliraporttia varten kuultiin alan toimijoita. Kuultavien mukaan julkishallinnon tulisi pidättyä kilpailemasta infrastruktuuripalveluista kaupallisten palvelujen kanssa ja keskittyä tuottamaan tärkeitä mutta liiketaloudellisesti kannattamattomia palveluja.

----

Phishingiä myös luotetuilla sivustoilla

Tähän asti netinkäyttäjiä on opastettu varmistamaan, että sähköpostin tai verkkopankkisivuston oikeassa alalaidassa näkyy lukon kuva. Sitä on totuttu pitämään merkkinä SSL-protokollalla suojatusta, turvallisesta sivustosta.

SSL-suojattu sivusto voi kuitenkin olla rikollisten tekosia. Tietoturvayhtiö Symantec uutisoi hiljattain havaitsemistaan tietojenkalasteluyrityksistä. Niissä verkkorikolliset olivat murtaneet nettipalvelimia, joilla on oikea SSL-varmenne. Näin he pystyivät luomaan SSL-tunnuksin varustettuja valesivustoja. Asiasta kertoi Suomessa IT-viikko.

Huijauksen voi havaita esimerkiksi tarkistamalla sivuston sertifikaatin tai katsomalla, onko sivulla laajennetusta varmenteesta kertovaa tunnusta. Sen merkiksi osoitekentän viereen ilmestyy vihreä palkki, missä kerrotaan, kenelle varmenne on myönnetty.

Tuoreimmat selainversiot edellyttävät suojatuilta sivuilta laajennettua varmennetta mutta vanhemmat versiot eivät mahdollista sen käyttöä.

----

Toimikunta varmistaa viestintäverkot

Liikenne- ja viestintäministeriö on asettanut pysyvän virkamiestoimikunnan, jonka tehtävänä on varmistaa yhteiskunnan toiminnan kannalta kriittisten viestintäverkkojen toiminta.

Tavoitteena on yhteistyössä varmistaa riittävät ja kattavat toimet, jotka viestintäsektorilla on tehtävä huoltovarmuuden turvaamiseksi. Tarkoitus on myös minimoida päällekkäiset toimenpiteet.

Toimikunta on jatkoa aiemmalle työryhmälle, joka muun muassa esitti, että valtiolle hankittaisiin pysyvään omistukseen tai hallintaan yhteiskunnan toiminnan kannalta kriittisimpiä kiinteiden verkkojen osia.

Toimikunta perustuu kesäkuussa julkistettuun työryhmäraporttiin. Tietoverkkojen toimintavarmuutta poikkeusoloissa pohtineen työryhmän ehdotuksesta valmistellaan myös lainmuutoksia. Liikenne- ja viestintäminiteriö laatii esityksiä laeista, joilla vähennetään normaaliajan vakavien häiriötilojen aiheuttamia riskejä tieto- ja viestintäjärjestelmille.

-----

 

Lapsipornon estolaki ongelmallinen

Apulaisoikeusasiamies Jukka Lindstedt pitää lakia lapsipornografian estotoimista ongelmallisen tulkinnanvaraisena. Ongelmat liittyvät lain säännöksiin, eivät niinkään sen soveltamiseen.

Laki velvoittaa keskusrikospoliisin ylläpitämään luetteloa lapsipornografiaa sisältävistä nettisivustoista. Keskusrikospoliisi antaa luettelosta tietoja teleyrityksille, jotka puolestaan päättävät vapaaehtoisesti, mitä ne saamiensa tietojen perusteella tekevät.

Saadun selvityksen mukaan jotkut teleyritykset ovat jättäneet asiakkaalle mahdollisuuden jättää lapsipornosivustojen suodatus käyttämättä. Toiset yritykset eivät ole ottaneet sitä lainkaan käyttöön.

Apulaisoikeusasiamiehen mukaan laissa on jätetty monia tärkeitä kysymyksiä käytännön soveltajan ratkaistavaksi. Erityisesti kotimaisten sivustojen asema, suodatuksen tarkkuus ja linkityksen merkitys on jätetty laissa avoimiksi.

Lisäksi apulaisoikeusasiamies katsoi, että olisi perusteita myös sille ratkaisulle, että estolistalle joutuminen olisi saatettavissa tuomioistuimen ratkaistavaksi.

Oikeusasiamiehelle tehtiin yli 30 kantelua lapsipornon estolaista ja sen soveltamisesta.

Lue myös

Lyhyesti tietosuojasta 3/2009 »
Lyhyesti väitöstutkimuksista 3/2009 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.