Skip to content

Tietoturva

Verkkotunnusvälittäjän on huolehdittava toimintansa tietoturvasta.

Tietoturvasta huolehtiminen on välittäjän lakisääteinen velvollisuus, josta säädetään sähköisen viestinnän palveluista annetun lain 170.1 §:n kohdassa 6 sekä GDPR artiklassa 32.

Tietoturvalla tarkoitetaan sähköisen viestinnän palveluista annetun lain 3.1 §:n 28 kohdan mukaan hallinnollisia ja teknisiä toimia tietojen luottamuksellisuuden, eheyden ja saatavuuden turvaamiseksi.

Verkkotunnusmääräyksen 68 luvussa neljä kuvataan vähimmäisvaatimukset tietoturvan hallinnoinnille, jotka verkkotunnusvälittäjän tulee toteuttaa toiminnassaan.

Verkkotunnusmääräyksen perustelut ja soveltaminen tarkentaa konkreettisemmin, miten tietoturvavaatimuksia tulee soveltaa käytännössä.

Välittäjän ilmoitusvelvollisuus tietoturvahäiriöistä

Verkkotunnusvälittäjän on ilmoitettava välitystoimintaan kohdistuvista tietoturvauhkista ja -loukkauksista.

Tietoturvaloukkauksista ilmoitetaan Traficomin asiointilomakkeella, joka löytyy sisäänkirjautuneen välittäjän www-käyttöliittymässä vasemmasta navigaatiosta.

Välittäjän on ilmoitettava viipymättä Traficomille, jos sen verkkotunnusten välitystoimintaan kohdistuu

  • merkittävä tietoturvaloukkaus
  • uhka merkittävästä tietoturvaloukkauksesta tai tapahtumasta, joka estää tai häiritsee toimintaa olennaisesti.

Samalla on myös ilmoitettava häiriön tai sen uhan

  • arvioitu kesto
  • vaikutukset
  • korjaustoimenpiteet
  • toimenpiteet, joilla häiriön toistuminen pyritään estämään.

Traficomille annettavassa merkittävää tietoturvahäiriötä koskevassa ilmoituksessa tulee mahdollisuuksien mukaan selvittää häiriön tai uhan syy ja kuvata, miten häiriö on aiheutunut.

Tietoturvahäiriöstä on ilmoitettava välittömästi

Häiriöilmoitus on tehtävä 24 tunnin kuluessa siitä, kun häiriötilanne on tullut välittäjän tietoon.

Esimerkiksi tilanteessa, jossa verkkotunnusvälittäjän järjestelmään on tunkeuduttu, on välttämätöntä, että valvova viranomainen saa asiasta viipymättä tiedon. Vaarana on, että tunkeutuja voi päästä vapaasti muuttamaan kyseisen välittäjän hallinnoimien verkkotunnusten tietoja, kuten esimerkiksi nimipalvelimia. Uhka voi koskea laajaakin asiakasmäärää riippuen välittäjän asiakaskunnasta.

Jos kaikkia ilmoituksessa esitettyjä tietoja ei ole saatavilla ja tilannetta on tutkittava tarkemmin, tehdään viimeistään 24 tunnin kuluessa ns. alustava ilmoitus, jota täydennetään mahdollisimman pian, viimeistään kuitenkin kolmen (3) päivän kuluttua alustavasta ilmoituksesta.

Jos tutkimuksista huolimatta verkkotunnusvälittäjä ei pysty antamaan kaikkia tietoja kolmen päivän kuluessa alustavasta ilmoituksesta, on ilmoitettava kyseisessä määräajassa käyttöön saadut tiedot ja perusteltava, miksi loput tiedot ilmoitetaan määräajan jälkeen.

Merkittävät tietoturvaloukkaukset

Merkittävistä välittäjätoimintaan kohdistuvista tietoturvaloukkauksista on ilmoitettava Traficomille.

Tietoturvaloukkausten vaikutukset voivat kohdistua tietojen tai tietojärjestelmien luottamuksellisuuteen, eheyteen tai saatavuuteen.

Luottamuksellisuus: Tiedot ja käyttäjätunnuksiin liittyvät todentamistiedot ovat vain niihin oikeutettujen tahojen tiedossa.

Eheys: Tietoja ei ole mahdollista muuttaa oikeudettomasti. Sivullisten ei ole mahdollista vaikuttaa tietojärjestelmien toimintaan.

Saatavuus: Palvelu ja sen sisältämät tiedot ovat siihen oikeutettujen tahojen saatavissa.

Tietoturvaloukkausten merkittävyyden arviointi

Tietoturvaloukkauksen tai muun tapahtuman merkittävyyttä arvioitaessa on kiinnitettävä huomiota tapauksen haitallisiin vaikutuksiin tai tietoturvauhan vakavuuteen. Merkittävänä voidaan pitää aina sitä, että tietoturvahäiriö kohdistuu johonkin seuraavista suojattavista kohteista:

  • verkkotunnusvälittäjän omiin palveluihin ja palvelujen tuotantoon käytettäviin tieto- ja viestintäjärjestelmiin
  • verkkotunnusvälittäjän asiakkaiden tietoturvaan, henkilötietojen suojaan tai yrityssalaisuuksien suojaan
  • Traficomin hallinnoimaan Suomen fi-juureen (joko suoraan tai välillisesti verkkotunnusvälittäjään kohdistuneen tietoturvaloukkauksen seurauksena).

Merkittävänä voidaan myös pitää usein toistuvaa, poikkeuksellisen pitkäkestoista tai tahalliselta vaikuttavaa toimintaa, jolla on negatiivisia vaikutuksia verkkotunnusvälittäjän kykyyn huolehtia välitystoimintansa tietoturvasta. Lisäksi merkittävänä voidaan pitää sitä, että häiriötä ei ole mahdollista poistaa pelkillä verkkotunnusvälittäjän omilla toimenpiteillä.

Ilmoitusvelvollisuuteen kuuluvia tietoturvaloukkaustyyppejä

Alla oleva luettelo ilmoitettavista tietoturvaloukkaustyypeistä ei ole tyhjentävä, vaan sen on tarkoitus kuvata ilmoituskynnyksen vakavuustasoa. Harkinnan mukaan myös vähäisemmistä tietoturvaloukkauksista ja niiden uhkista kannattaa ilmoittaa Traficomille.

Traficomille ilmoitettavia merkittäviä tietoturvahäiriöitä ovat esimerkiksi:

  • tietomurrot verkkotunnusvälittäjän tietojärjestelmiin
  • oikeudeton pääsy verkkotunnusvälittäjän järjestelmään
  • verkkotunnusvälittäjän järjestelmässä oleva tietoturvaa vaarantava haavoittuvuus tai konfiguraatiovirhe.
  • sisäänkirjautumistunnusten päätyminen kolmannen osapuolen tietoon
  • Traficomin järjestelmiin käytettävien sisäänkirjautumistunnusten päätyminen ulkopuolisille.

Oikeudettomat muutokset

  • mahdollisuus oikeudettomasti muuttaa verkkotunnusvälittäjän hallinnoimien verkkotunnusten tietoja
  • verkkotunnusvälittäjän oman henkilöstön oikeudettomasti suorittamat muutokset Traficomin verkkotunnusrekisteriin
  • oikeudeton pääsy verkkotunnusvälittäjän asiakkailleen tarjoamaan itsepalveluportaaliin, jonka avulla asiakkaat voivat itse ylläpitää verkkotunnustensa tietoja.

Palvelunestohyökkäykset

  • jos verkkotunnusvälittäjän järjestelmä lamaantuu ja/tai asiakkaiden pääsy järjestelmään estyy tai
  • järjestelmän häiriö vaikuttaa Traficomin järjestelmän toimintaan.

Suositus vapaaehtoisista ilmoituksista

Traficom suosittelee, että verkkotunnusvälittäjät ilmoittavat harkintansa mukaan Traficomille myös merkittävää vähäisemmistä tietoturvaloukkauksista ja niiden uhkista. Näillä tiedoilla voi olla merkitystä Traficomin muiden tietoturvatehtävien hoitamisen kannalta.

Traficomilla on oikeus ryhtyä välttämättömiin toimiin fi-verkkotunnuksia hyödyntämällä toteutettavien yleisiin viestintäverkkoihin tai -palveluihin taikka niiden käyttäjiin kohdistuvien merkittävien tietoturvaloukkausten havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi. Traficom voi ryhtyä näihin toimiin verkkotunnuksen käyttäjää kuulematta.

Traficomin suorittamat välttämättömät toimet voidaan kohdistaa fi-juuren nimipalvelintietoihin ja ne voivat käsittää:

  • verkkotunnukseen suuntautuvan liikenteen estämisen tai rajoittamisen
  • verkkotunnukseen suuntautuvan liikenteen ohjaamisen toiseen verkko-osoitteeseen
  • muut näihin rinnastettavat tekniset toimenpiteet.