Kansallisen tietoturvastrategian toimenpideohjelma

Liikenne- ja viestintäministeriö on pyytänyt (lausuntopyyntö 9.6.2009) Keskuskauppakamarin lausuntoa luonnoksesta toimenpideohjelmaksi, jolla toteutetaan valtioneuvoston periaatepäätös kansallisesta tietoturvastrategiasta. Keskuskauppakamari lausuu asiasta seuraavan.

Yleistä

Tietoturvastrategia on kansallisesti ja kansainvälisesti merkittävä aloite tietoturvan kehittämiseksi. Tieto- ja viestintäverkkojen sekä näihin liittyvien palvelujen turvallisuuden edistäminen ja kansalaisten tietoturvaosaamisen parantaminen on erittäin tärkeää. Tietoturvastrategiaa koskevien näkemysten osalta Keskuskauppakamari viittaa liikenne- ja viestintäministeriölle 3.11.2008 antamaansa lausuntoon.

Strategian täytäntöönpano on haastavaa mutta mielenkiintoista. Toimenpideohjelmaluonnoksessa ministeriö on hahmotellut tietoturvastrategiaan sisältyvän kolmen painopistealueen alle kymmenen hanketta. Hankkeiden yhteydessä on lueteltu niiden toteuttamiseen mahdollisesti osallistuvia tahoja. Keskuskauppakamari osallistuu mielellään tietoturvastrategian täytäntöönpanoon.

Toimenpideohjelman toteuttamista helpottaisi, jos hankkeiden tulos- ja vaikuttavuustavoitteet olisivat konkreettisempia ja käytännönläheisempiä. Hankkeiden lukumäärää voisi karsia toimenpideohjelman tehostamiseksi.

Hankkeet 1 (Tietoturvatietoisuuden lisääminen) ja 2 (Tietoturvapäivän kehittäminen)

Hankkeissa 1 ja 2 käsiteltäisiin jossain määrin päällekkäisiä asioita. Hankkeiden yhdistämistä voisi harkita päällekkäisen työn välttämiseksi.

Keskuskauppakamari on ollut säännöllisesti ja aktiivisesti mukana Kansallinen tietoturvapäivä -hankkeessa jo usean vuoden ajan. On erittäin tärkeää, että yrityksille suunnattua tietoturva-aineistoa kehitetään jatkuvasti ja kehittämiseen varataan myös riittävästi resursseja. Keskuskauppakamari osallistuu mielellään hankkeisiin 1 ja 2 siinä laajuudessa kuin Keskuskauppakamari on jo ollut mukana Kansallinen tietoturvapäivä -hankkeessa.

Hanke 3 (Palveluntarjoajan vastuut, oikeudet ja velvollisuudet)

Tietoturvastrategiassa on esitetty, että tietoturvavaatimukset lisätään osaksi jokaista tarjouspyyntöä. Tietoturva on tyypillisesti palvelu- tai järjestelmäsidonnaista. Soveltuva tietoturvataso ja sen mukaiset suojauskeinot on harkittava erikseen kussakin tilanteessa. Niiden käyttöönottoa koskevien kannustimien tulee olla ensisijaisesti kaupallisia.

Hankkeella näyttäisi olevan joitain yhtymäkohtia hankkeen 4 kanssa ainakin siltä osin, että hankkeessa 4 syntyvät tulokset voivat olla hyödynnettävissä myös hankkeessa 3. Hankkeen 3 otsikkoa voisi täsmentää siten, että hankkeessa on tarkoitus tarkastella tietoturvaan liittyviä vastuita, oikeuksia ja velvollisuuksia.

Julkisilla hankinnoilla on suuri merkitys usean yrityksen liiketoiminnalle. Siten on tärkeää, että elinkeinoelämä on laajasti edustettuna hankkeessa 3. Keskuskauppakamari osallistuu mielellään tämän hankkeen toteuttamiseen luonnoksessa esitetyllä tavalla.

Hanke 4 (Tietoihin liittyvien riskien tunnistaminen ja tietojen suojaamiseen liittyvien vaatimusten tunnistaminen)

Hankkeen tavoitteeksi voisi ottaa yritystoimintaa palvelevien tietoturvakriteeristöjen luomisen. Hankkeeseen läheisesti liittyvää työtä on tehty eri puolilla. Hankkeen aluksi tulisi arvioida muualla tehty työ, kuten Kansallinen tietoturvapäivä -hankkeen puitteissa laadittu yrityksen tietoturvaopas, VTT:n puitteissa laadittu työvälinesarja ja kansallisen yritysturvallisuutta edistävän yhteistyöryhmän rikostorjunnan toimintamalli, sekä niiden käyttökelpoisuus tässä yhteydessä. Lisäksi hankkeen yhteydessä voisi korostaa riittävän tiedottamisen tärkeyttä. Hankkeen piirissä syntynyt tieto on kyettävä viemään tehokkaasti käytäntöön.

Yritysturvallisuus- ja tietoturvakriteerejä luotaessa on huomioitava liiketoimintanäkökulma. Kriteerien tulisi olla sisällöltään selkeitä, yhteismitallisia ja auditoitavissa. Kriteerejä laadittaessa tulee huomioida myös pienten ja keskisuurten yritysten tarpeet ja resurssit esimerkiksi luomalla turvallisuusmaturiteetiltaan alkuvaiheen yrityksille kriteeristö, jota voidaan käyttää soveltuvin osin muun muassa yritysten sopimusneuvottelujen vaatimusmäärittelyissä, turvallisuustietoisuuden edistämisessä ja muussa riskienhallintatyössä.

Keskuskauppakamari osallistuu mielellään tämän hankkeen toteuttamiseen luonnoksessa esitetyllä tavalla.

Hanke 8 (Yritysten kilpailukyky ja NCSA)

Keskuskauppakamari kannattaa kansallisen tietoliikenneturvallisuusviranomaisen (NCSA) perustamista Suomeen. Kansainvälisissä tarjouskilpailuissa vaaditaan kansallisen tietoliikenneturvallisuusviranomaisen lausunto järjestelmien tai tuotteiden turvallisuustasosta. NCSA:n perustamisen yhtenä tavoitteena on parantaa kotimaisten tietoturvatoimijoiden mahdollisuuksia turvaluokituksia vaativien töiden tarjouskilpailuissa.

Keskuskauppakamari kannattaa NCSA-toiminnon sijoittamista olemassa olevien viranomaistoimintojen, kuten Viestintäviraston CERT-FI -yksikön, yhteyteen. Toiminnan rahoitus tulisi kattaa budjettivaroista, ei yrityksiltä perittävillä maksuilla.

Lopuksi Keskuskauppakamari kiinnittää huomiota siihen, että tietoturvastrategian mukaan Suomen tulee kehittää omaa kansallista sääntely-ympäristöään yritysten kannalta yksinkertaisempaan ja ennustettavampaan suuntaan. Strategiassa todettu sääntelyn keventäminen ja lainsäädännön ennustettavuuden lisääminen ovat tärkeitä asioita. Uudistusten tulee tukea tietoyhteiskunnan kehitystä ja yritystoimintaa. Tämä tärkeä kohta strategiaa näyttää jääneen toimenpideohjelmassa vähäiselle huomiolle. Sopivassa kohtaa toimenpideohjelmaa voisi myös kiinnittää huomiota yhteiskunnallisesti merkittävien perusrekisterien tietoturvaan ja tietosuojaan erityisesti tietoja luovutettaessa.

• Lausunnon saaja = Liikenne- ja viestintäministeriö
• Lausunnon päivä = 24.7.2009
• kirjoittaja = Jaakko Turunen
• titteli = Lakimies

• Lausunnon päivä: 24.7.2009

Jaa linkki Tulosta