Katsaus EU:n kyberturvallisuuteen

Johtava asiantuntija Pekka Ristimäki Valtiokonttori, Valtion IT-palvelukeskus

VIP-asiakaspäivä, Pekka Ristimäki 16.10.2013

Sisältö

• Määritelmiä • ”Kybertapahtumia” • EU:n kyberturvallisuusstrategia ja säädöksiä

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

Määritelmiä ja lyhenteitä Kyberympäristö

Sähköisessä muodossa olevan tiedon käsittelyyn tarkoitettu, yhdestä tai useammasta tietojärjestelmästä muodostuva toimintaympäristö.

Kyberuhka

Kyberuhka tarkoittaa sellaista kyberympäristöön vaikuttavaa tekoa tai tapahtumaa, joka toteutuessaan vaarantaa jonkin kyberympäristöstä riippuvaisen toiminnon.

Kyberympäristöön kohdistuvat uhkat ovat tietoturvauhkia, jotka toteutuessaan vaarantavat tietojärjestelmän oikeanlaisen tai tarkoitetun toiminnan.

Kyberturvallisuus

Kyberturvallisuus pitää sisällään kaikki sellaiset toimenpiteet, joiden avulla voidaan ennakoivasti hallita ja tarvittaessa sietää erilaisia kyberuhkia ja niiden vaikutuksia.

Euroopan verkko- ja tietoturvavirasto (ENISA)

EU:n verkko- ja tietoturvallisuuden osaamiskeskus. ENISA laatii ohjeita ja suosituksia tietoturvallisuuden hyviksi käytännöiksi. Avustaa EU:n jäsenvaltioita unionia koskevan lainsäädännön täytäntöönpanossa ja pyrkii parantamaan Euroopan elintärkeiden tieto- ja viestintätekniikan infrastruktuurien sietokykyä.

Computer Emergency Response Team (CERT)

Tässä yhteydessä tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen. Kansallisia CERT-organisaatioita on ympäri maailmaa ja ne toimivat yhteistyössä keskenään. Kansallinen tietoturvaviranomainen on CERT.FI, EU-tasoinen CERT (CERT-EU) aloitti toimintansa vuonna 2012.

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

”Kybertapahtumia”

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

ENISA annual incident report 2012 viestintäverkot ja -palvelut

”Jäsenvaltioiden on varmistettava, että yleisiä viestintäverkkoja tai yleisesti saatavilla olevia sähköisiä viestintäpalveluja tarjoavat yritykset ilmoittavat toimivaltaiselle kansalliselle sääntelyviranomaiselle kaikki sellaiset turvallisuuden loukkaukset tai eheyden menetykset, joilla on ollut huomattava vaikutus verkkojen tai palvelujen toimintaan. ” (Artikla 13a Direktiivi 200/140/EY) ”Teleyrityksen on ilmoitettava ilman aiheetonta viivästystä Viestintävirastolle verkkopalvelun ja viestintäpalvelun merkittävistä tietoturvaloukkauksista ja sellaisista niihin kohdistuvista tietoturvauhkista, joista teleyritys on tietoinen” ( SVTSL 21§ )

Operaattori => Viranomainen => ENISA => Komissio

Enisa annual incident reports 2012

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

ENISA annual incident report 2012 79 vakavaa poikkeamaa raportoitiin (huomattava vaikutus verkkojen tai palvelujen toimintaan)

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

ENISA annual incident report 2012 - esimerkkejä raportoiduista tapahtumista

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

ENISA annual incident report 2012

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

ENISA annual incident report 2012

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

ENISA annual incident report 2012

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

Kesäkuu 2013

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

EU:n kyberturvallisuusstrategia ja säädöksiä

2000 2005 2010 2015

Komissio 6.6.2001: ” Verkko- ja tietoturva: Ehdotus eurooppalaiseksi lähestymistavaksi”

23.11.2001: Euroopan neuvoston tietoverkkorikollisuutta koskeva yleissopimus (Budapestin sopimus)

Komissio tiedonanto 30.3.2009: ”Euroopan suojaaminen laajoilta tietoverkkohyökkäyksiltä ja –häiriöiltä”

2004 ENISA:n toiminta käynnistyy

2012 CERT EU:n toiminta käynnistyy

Komissio 7.2.2013: ” Euroopan unionin kyberturvallisuusstrategia: Avoin, turvallinen ja vakaa verkkoympäristö”

Ehdotus toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa (”kyberdirektiivi”)

16.4.2013 EU-parlamentti hyväksyy ENISA:lle uuden

7 vuoden kauden

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

EU:n kyberturvallisuusstrategia

Viisi strategista painopistealuetta: 1. Verkon vakaus 2. Verkkorikollisuuden huomattava vähentäminen 3. Yhteiseen turvallisuus- ja puolustuspolitiikkaan (YTPP) liittyvän verkkopuolustuspolitiikan ja valmiuksien kehittäminen 4. Kyberturvallisuuteen liittyvien teollisten ja teknologisten voimavarojen

kehittäminen 5. Johdonmukaisen kansainvälisen verkkotoimintapolitiikan luominen

Euroopan unionille sekä EU keskeisten arvojen edistäminen

Strategiassa komissio edellyttää (”komissio pyytää”) eri toimijoilta, kuten jäsenvaltiot, toimenpiteiden käynnistämistä näillä eri painopistealueilla. Edistymistä arvioidaan 2/2014.

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

EU:n kyberturvallisuusstrategia Roolit ja vastuut

EP3R: The European Public-Private Partnership for Resilience (yhteistyöfoorumi, työryhmiä) EC3 (Europol): European Cybercrime Centre. Focal point in the EU’s fight against cybercrime CEPOL: European Police College (yhteistyö, koulutus, tutkimus) Eurojust: Tukee jäsenvaltioita (tutkinta ja syyttäminen) usean maan alueelle liittyvissä tapauksissa.

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

7.2.2013 Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI - toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa

Tavoitteet

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

Linkkejä

ENISA

CERT EU

EU kyberturvallisuusstrategia

EU Ehdotus toimenpiteistä yhteisen korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko unionissa (”kyberdirektiivi”)

Kansallinen kyberturvallisuusstrategia ja taustamuistio

CERT.FI

Homeland Security (DHS)

NSA

Spamhaus palvelunestohyökkäys 2013

Hyökkäys saksalaista sähköyhtiötä vastaan 2012

Hyökkäykset suomalaisia mediataloja vastaan 2012

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki

Kiitos!

Johtava asiantuntija Pekka Ristimäki

Valtiokonttori, Valtion IT-palvelukeskus

etunimi.sukunimi(at)valtiokonttori.fi

16.10.2013 VIP-asiakaspäivä, Pekka Ristimäki