Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Palvelut > Yleistä > CERT-FI palvelukuvaus

CERT-FI palvelukuvaus

VIESTINTÄVIRASTON CERT-FI-YKSIKÖN PALVELUKUVAUS

1.YLEISTÄ

CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaloukkauksia käsittelevä viranomainen.

Palvelukuvauksessa kuvataan CERT-FI:n toimintaa ja tarjoamia palveluita. Palvelukuvaus pohjautuu Internet Engineering Task Forcen (IETF) tietoturvaloukkausten käsittelylle asettamiin edellytyksiin (RFC 2350).

1.1 Toimivalta

CERT-FI toimii Viestintävirastossa omana hallinnollisena tulosyksikkönään. Viranomaisena CERT-FI:n toimivalta tulee laeista ja asetuksista.

Viestintävirasto on liikenne- ja viestintäministeriön alainen virasto, jonka tehtäviin kuuluu viestintähallinnosta annetussa laissa osoitettujen tehtävien hoitaminen. Nämä tehtävät sisältävät viestintämarkkinalaissa, sähköisen viestinnän tietosuojalaissa ja viestintähallinnosta annetussa asetuksessa kuvatuilla tavoilla tiedonkeruun verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista uhkista, tällaisten tilanteiden selvittämisen sekä tietoturva-asioista tiedottamisen. Lisäksi CERT-FI valvoo osaltaan teletoiminnan tietoturvaa.

Huoltovarmuuskeskus on työ- ja elinkeinoministeriön hallinnonalan laitos, jonka tehtävänä on maan huoltovarmuuden ylläpitämiseen ja kehittämiseen liittyvä suunnittelu ja operatiivinen toiminta. Huoltovarmuuden turvaamisesta annetun lain tarkoituksena on turvata väestön toimeentulon, maan talouselämän ja maanpuolustuksen kannalta välttämättömät taloudelliset toiminnot myös poikkeusoloissa. Viestintävirasto ja Huoltovarmuuskeskus ovat sopineet huoltovarmuuden turvaamisesta annetun lain nojalla tietoturvapalvelujen tuottamisesta Suomeen sijoittuneille huoltovarmuuskriittisille toimijoille CERT-FI:n toimesta.

1.2 Tehtävät ja rahoitus

CERT-FI:n tehtävänä on selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia. Lisäksi sen tehtävänä on kerätä tietoa tällaisista tapahtumista ja tiedottaa tietoturva-asioista yleensä.

Tietoturvaloukkauksella tarkoitetaan tilannetta, jossa organisaation, yrityksen, yhteisön tai yksityisen henkilön tietojärjestelmän tietojen käytettävyyteen, eheyteen tai luottamuksellisuuteen vaikutetaan oikeudettomasti. Tällaista toimintaa voi olla esimerkiksi toisen henkilön tai organisaation tietojärjestelmän toimivuuden tahallista vaikeuttamista tai estämistä. Tietoturvaloukkaukseksi voidaan myös tulkita tilanne, jossa organisaation, yrityksen, yhteisön tai käyttäjän tietojärjestelmiä tai tietoja käytetään ilman käyttäjän lupaa.

Toiminta tähtää yleisten viestintäverkkojen ja viestintäpalveluiden turvallisen ja häiriöttömän toiminnan varmistamiseen sekä yhteiskunnan elintärkeiden toimintojen turvaamiseen. Huoltovarmuuskeskuksen kanssa solmitun sopimuksen mukaisesti CERT-FI vastaa osaltaan huoltovarmuuden kannalta elintärkeiden teknisten järjestelmien toimivuuden turvaamisesta.

CERT-FI:n toiminta rahoitetaan pääasiallisesti Huoltovarmuuskeskuksen Viestintävirastolle tietoturvapalveluiden tuottamisesta maksamalla maksulla ja teleyrityksiltä perittävällä vuotuisella tietoturvamaksulla.

1.3 Asiakaskunta

CERT-FI:n lakisääteisistä tehtävistä ja rahoitusmallista johtuen sen ensisijaisia asiakkaita ovat teleyritykset ja huoltovarmuuden turvaamisen kannalta kriittiset elinkeinoelämän toimijat. Teleyrityksiä ovat verkko- tai viestintäpalvelua tarjoavat toimijat. Sopimuksen piiriin kuuluvia huoltovarmuuskriittisiä toimijoita ovat puolestaan Suomeen sijoittuneet energiayritykset, teollisuus-, pankki- ja vakuutusyhtiöt, valtakunnallisten kauppaketjut sekä muut yhteiskunnan elintärkeiden toimintojen kannalta keskeiset yritykset. Palveluiden piiriin kuuluvat huoltovarmuuskriittiset yritykset ovat valikoituneet Huoltovarmuuskeskuksen ja Viestintäviraston tekemien kohdentamisratkaisujen, CERT-FI:n omien selvitysten sekä tietoturvaloukkausten selvittämiseen liittyvien toimenpiteiden yhteydessä.

Palveluita tarjotaan kuitenkin käytettävissä olevien resurssien puitteissa myös valtionhallinnolle, kansalaisille ja muille yhteisöille.

2 CERT-FI:N PALVELUT

CERT-FI tarjoaa asiakaskunnalleen sille laissa osoitettujen tehtävien ja Huoltovarmuuskeskuksen kanssa solmitun sopimuksen mukaisia palveluita. Palvelut voidaan jaotella laajemmalle toimijajoukolle tarjottaviin yleisiin palveluihin ja rajatummalle asiakasryhmälle tarjottaviin kohdistettuihin palveluihin.

Palveluita tarjotaan pääsääntöisesti Viestintäviraston virastoajan puitteissa. Virastoaika alkaa arkisin kello 8.00 ja päättyy 16.15.

2.1 CERT-FI:n yleiset palvelut

CERT-FI:n tarjoamat yleiset palvelut kuvataan karkealla tasolla seuraavassa taulukossa:

Asiakaspalvelu

CERT-FI ottaa vastaan sekä kansallisia että kansainvälisiä ilmoituksia suomalaisia toimijoita koskevista tietoturvaloukkauksista tai niiden uhkista. Ilmoituksen saatuaan CERT-FI tukee käytettävissä olevin keinoin tietoturvaloukkauksen kohteeksi joutuneen mahdollisuuksia tietoturvaloukkauksesta toipumiseen.

Ilmoituksia vastaanotetaan ja käsitellään pääsääntöisesti virka-aikana. Teleyrityksille ja huoltovarmuuskriittisille toimijoille palvelua tarjotaan kuitenkin kiiretilanteissa ympärivuorokautisesti.

CERT-FI avustaa ja neuvoo erityisesti seuraavien tapausten käsittelyyn liittyvissä kysymyksissä:

  • tietoturvaloukkausepäilyn tai tietoturvauhan todentaminen
  • tietoturvaongelman laajuuden ja vakavuuden selvittäminen
  • tapahtuman alkuperäisen syyn tai mahdollistajan selvittäminen
  • yhteydenotto muihin tapahtumaan osallisiin
  • yhteydenotto muihin tapauksen selvittämisessä välttämättömiin tahoihin
  • avustaminen muiden viranomaisten kanssa asioinnissa
  • asianmukaisten tiedotteiden laatiminen
  • tietoturvaongelman vaikutuksen rajaamiseen tähtäävien toimenpiteiden ohjaaminen
  • tietojärjestelmän turvaaminen tunnetuilta tietoturvauhilta
  • jatkotoimenpidesuunnitelman laatiminen.

CERT-FI kerää tilastollista aineistoa tapausten selvittämisen yhteydessä saatujen tietojen pohjalta. Tietoja käytetään myös soveltuvin osin kansallisen tietoturvallisuuden tilannekuvan tuottamiseen.

Kansallinen tietoturvallisuuden tilannekuva

CERT-FI ylläpitää kansallista tietoturvallisuuden tilannekuvaa. Tilannekuvapalvelun tehtävänä on tuottaa ajantasaista tietoa siitä, minkä tyyppisiin tietoturvauhkiin CERT-FI:n asiakkaiden on syytä varautua. Tilannekuvan tuottamiseksi CERT-FI vastaanottaa ja kerää tietoa tietoturvatilanteeseen vaikuttavista tapahtumista ja ilmiöistä. Tietojen pohjalta synnytetään arvio Suomeen ja suomalaisiin kohdistuvasta uhkasta.

Tilannekuvatieto jaetaan julkisina tiedotteina ja varoituksina tai kohdennetusti vain niille, joita asia koskee. Jakelun laajuuteen vaikuttaa paitsi vaatimukset tietojen salassapidolle myös arvio jakelun vaikuttavuudesta.

Julkista tilannekuvaa jaetaan CERT-FI:n verkkosivuilla www.cert.fi varoitusten, Tietoturva nyt! -artikkelien, haavoittuvuustiedotteiden ja neljä kertaa vuodessa julkaistavien tilannekatsausten muodossa.

CERT-FI varoitus -kategoriassa julkaistaan tiedote, kun muuttunut tilanne edellyttää konkreettisia toimia tieto- ja viestintäjärjestelmien suojaamiseksi tietoturvallisuutta vaarantavaa uhkaa vastaan. Tietoturva nyt! -verkkopäiväkirjassa CERT-FI-yksikön päivystäjät tarkastelevat vapaamuotoisemmin ajankohtaisia tietoturvakysymyksiä. Haavoittuvuudet -kategoriassa julkaistaan tiedotteita CERT-FI:n tietoon tulleista merkittävistä virheistä, jotka voivat vaikuttaa tietoteknisen järjestelmän eheyteen, saatavuuteen tai järjestelmän sisältävän tiedon luotettavuuteen.

CERT-FI-tiedotejakelut ovat tilattavissa myös RSS-syötteinä:

Varoitukset: http://www.cert.fi/rss/varoitukset.xml
Tietoturva nyt! http://www.cert.fi/rss/tietoturvanyt.xml
Haavoittuvuustiedotteet http://www.cert.fi/rss/haavoittuvuudet.xml

Erityisesti peruskäyttäjien kannalta merkittävistä tiedotteista laaditaan lyhennetty versio myös Yleisradion Teksti-TV:n sivulle 848. Lisäksi CERT-FI julkaisee neljännesvuosittain tietoturvallisuuden tilannekatsauksen, jossa käsitellään merkittävimmät kansalliseen ja kansainväliseen tietoturvallisuuteen vaikuttavista tapahtumat ja arvioidaan lähitulevaisuuden näkymiä.

Kohdennettua tilannekuvaa jaetaan teleyrityksille ja huoltovarmuuskriittisille yrityksille toimialakohtaisten postituslistojen ja muiden luottamuksellisten jakelukanavien avulla. Kohdennettua tilannekuvaa jaetaan Valtioneuvoston antaman toimeksiannon mukaisesti myös valtionhallinnon toimijoille.

Haavoittuvuuskoordinointi

CERT-FI on esisijainen suomalainen haavoittuvuuskoordinoija. Työn tarkoituksena on ratkaista haavoittuvuuksia ennaltaehkäisevästi helpottaen tiedon välittämistä sekä korjausprosessin hallittua etenemistä. Toiminnalla pyritään ennaltaehkäisemään tiedon hallitsemattomasta julkaisemisesta aiheutuvat vahingot. Koordinoijana Viestintävirasto toimii yhteistyössä haavoittuvuuden löytäjän, haavoittuvan tuotteen valmistajan sekä tuotteiden käyttäjäkunnan kanssa.

Koordinointiprojektien yhteydessä saadaan usein tärkeää tietoa haavoittuvista tuotteista ja niiden käyttökohteista. Projektien tulokset palvelevat Viestintäviraston tilannekuvapalveluita ja tukevat yhteiskunnan elintärkeiden toimintojen turvaamista. Erityisesti niin sanottuja nollapäivähaavoja hyödynnetään rutiininomaisesti myös kohdistetuissa hyökkäyksissä.

Seminaarit

CERT-FI järjestää teleyrityksille ja huoltovarmuuskriittisille toimijoille koulutustilaisuuksia ja seminaareja ajankohtaisista tietoturva-aiheista. Merkittävimpiä vuotuisia tapahtumia ovat huoltovarmuuskriittisille yrityksille järjestettävä CIP-seminaari ja teleyritysten tietoturvaloukkausten käsittelyprosesseihin painottuva Abuse-seminaari. Lisäksi CERT-FI järjestää haavoittuvuuksien hallintaan ja tietoturvalliseen ohjelmointiin liittyviä tilaisuuksia.

CERT-FI:n henkilöstön osallistuu aktiivisesti erilaisiin kansallisiin ja kansainvälisiin koulutustilaisuuksiin ja seminaareihin henkilöstön riittävän ammattitaidon turvaamiseksi ja parhaiden kansainvälisten käytäntöjen siirtämiseksi suomalaisten toimijoiden hyödynnettäviksi.

CERT-FI:n työntekijät ovat käytettävissä resurssitilanteen salliessa luennoitsijoina alan seminaareissa ja tapahtumissa. Tyypillinen luennon aihe on tietoverkkojen tietoturvatilanteen ajankohtaiskatsaus.

Tiedonvaihtoverkostot (NSIE)

CERT-FI osallistuu aktiivisesti sen toimintaa tukevien kansainvälisten ja kansallisten tiedonvaihtoverkostojen toimintaan. CERT-FI pyrkii myös kehittämään teleyritysten ja huoltovarmuuskriittisten yritysten välistä tiedonvaihtoa ajankohtaisista tietoturva-aiheista ja parhaista käytännöistä. Pääasiallinen väline tiedonvaihtoon ovat toimialakohtaiset postituslistat ja erilaiset tiedonvaihtoryhmät.

Kansallisesti CERT-FI toimii puheenjohtajana CERT-työryhmässä, jonka jäseninä ovat huoltovarmuuskriittisten yritysten osoittamat edustajat. Vastaavasti CERT-FI toimii sihteerinä energiatoimialan e-CIP-tiedonvaihtoryhmässä. CERT-FI:n aktiivisena tavoitteena on perustaa vastaavia tiedonvaihtoryhmiä myös muille toimialoille.

Kansainvälisesti CERT-FI toimii aktiivisesti muun muassa epävirallisessa EGC (European Government CERTs) ryhmittymässä. Lisäksi CERT-FI toimii Suomen edustajana muun muassa eurooppalaisen teollisuusautomaation tietoturvaan liittyviä aiheita käsittelevässä E-SCSIE-työryhmässä (European SCADA and Control Systems Information Exchange).

Kohdistetut hyökkäykset

CERT-FI toimii kohdistettujen hyökkäysten ensisijaisena yhteyspisteenä Suomessa. Kokemuksensa perusteella Viestintävirasto arvioi hyökkäyksen vakavuuden ja sen muille toimijoille muodostaman uhan. Mahdollisuuksien mukaan CERT-FI myös selvittää haittaohjelman toimintaperiaatteita. Saatujen tietojen avulla tiedotetaan uhkan kohteena olevia toimijoita uhkasta ja näiden käytettävissä olevista suojautumistoimenpiteistä.

Asianomistajarikoksissa Viestintävirasto kehottaa hyökkäyksen kohteeksi joutunutta toimijaa tekemään rikosilmoituksen poliisille. Poikkeuksellisissa ja vakavuusasteeltaan merkittävissä tapauksissa Viestintävirasto kehottaa ilmoituksen tekijää kääntymään asiassa myös Suojelupoliisin puoleen. CERT-FI ei luovuta ilmoituksen tehneen toimijan tietoja ilman nimenomaista suostumusta.

Haittaohjelmien hyökkäysmenetelmien analysoiminen

CERT-FI tarjoaa asiakkailleen mahdollisuuksien mukaan haittaohjelmien analysointiapua. Haittaohjelmien toimintaperiaatteiden ymmärtäminen on välttämätöntä haittaohjelman käyttämän hyökkäysvektorin tunnistamiseksi ja niiden aiheuttamien tietoturvauhkien hallitsemiseksi. Lisäksi CERT-FI:n käytettävissä on laajat kansainvälisistä tietoturvatoimijoista muodostuvat yhteistyöverkostot, joita voidaan hyödyntää haittaohjelmia analysoitaessa.

Muut huoltovarmuutta tukevat palvelut

CERT-FI osallistuu aktiivisesti erilaisten ylikansallisten organisaatioiden laatimien parhaita käytäntöjä ja yhteistyömenetelmiä kuvaavien dokumenttien valmisteluun. Tällaisia dokumentteja ovat esimerkiksi ENISA:n (European Network and Information Security Agency) laatimat parhaita käytäntöjä kuvaavat asiakirjat. Lisäksi CERT-FI vastaa Suomen osalta kansainvälisen Meridian-yhteistyöryhmittymän ylläpitämän CIIP Directoryn päivittämisestä (Critical Information Infrastructure Protection).

CERT-FI pyrkii aktiivisilla toimenpiteillä parantamaan suomalaisten yritysten varautumista teollisuusautomaation tietoturvaan kohdistuviin uhkiin. Aihealuetta tuodaan esiin sekä järjestettävissä koulutustilaisuuksissa että CERT-FI:n verkkosivuilla.

2.2 Rajatuille kohderyhmille tarjottavat palvelut

Kaikille toimijoille tarjottavien yleisten palveluiden lisäksi CERT-FI tarjoaa erityisasiakkailleen näiden tarpeita vastaavia räätälöityjä palveluita. Palveluita kehitetään ja muokataan jatkuvasti vastaamaan paremmin toimijoiden tarpeita.

Teleyritykset

CERT-FI ylläpitää sektorin toimijoiden tiedonvaihtoa varten CERT-FI-CIP-NSP-postituslistaa. Listan on tarkoitettu teleyritysten tietoturva-aiheisiin keskittyvään keskusteluun ja tiedottamiseen. Listalle hyväksytään sektoria edustavien yritysten tietoturvallisuudesta vastaavia henkilöitä ja rooliosoitteita hakemuksen perusteella. Lisäksi CERT-FI ylläpitää teleyritysten edustajille suunnattua IRC-keskustelukanavaa.

CERT-FI vastaa teleyrityksille annettavien tietoturvamääräysten valmistelemisesta Viestintävirastossa. Lisäksi CERT-FI tarjoaa teleyrityksille apua lainsäädännön ja määräysten tulkitsemisessa käytännön ongelmatilanteissa antamalla tarvittavia ohjeita, tulkintoja ja suosituksia.

Pankki- ja vakuutusyhtiöt

CERT-FI ylläpitää sektorin toimijoiden tiedonvaihtoa varten CERT-FI-CIP-FINANSSI-postituslistaa. Listan on tarkoitettu pankki- ja vakuutusalan tietoturva-aiheisiin keskittyvään keskusteluun ja tiedottamiseen. Listalle hyväksytään sektoria edustavien yritysten tietoturvallisuudesta vastaavia henkilöitä ja rooliosoitteita hakemuksen perusteella.

Sähköisen viestinnän tietosuojalain mukaan teleyrityksellä, lisäarvopalvelun tarjoajalla ja yhteisötilaajalla sekä niiden lukuun toimivalla on oikeus ryhtyä laissa määriteltyihin välttämättömiin toimiin tietoturvasta huolehtimiseksi muun muassa viestintäpalvelujen kautta laajamittaisesti toteutettavien maksuvälinepetosten valmistelun ehkäisemiseksi. Välttämättömät toimenpiteet voivat sisältää esimerkiksi tietoliikenteen estämisen petoksen valmisteluun käytettävään verkko-osoitteeseen. Säännös ei velvoita teleyrityksiä ryhtymään mihinkään toimenpiteisiin.

Viestintävirasto voi tarvittaessa antaa asianosaisille toimijoille ohjeita ja neuvoja säännöksen soveltumisesta tiettyyn käytännön tilanteeseen. Erittäin merkittävissä tai kokonaan uudentyyppisissä tilanteissa Viestintävirasto voi harkintansa mukaan antaa teleyrityksille suosituksen liikenteen rajoitustoimenpiteiden käynnistämisestä.

CERT-FI osallistuu yhtenä Suomen edustajista eurooppalaisen finanssialan tietoturvallisuuteen keskittyvän FI-ISAC-tiedonvaihtoryhmän työskentelyyn.

CERT-FI tekee yhteistyötä Finanssivalvonnan, Finanssialan keskusliiton, Suomen pankin kanssa ja toimintaan liittyvien poolien kanssa.

Energiayritykset

CERT-FI ylläpitää sektorin toimijoiden tiedonvaihtoa varten CERT-FI-CIP-ENERGIA-postituslistaa. Listan on tarkoitettu energia-alan tietoturva-aiheisiin keskittyvään keskusteluun ja tiedottamiseen. Listalle hyväksytään sektoria edustavien yritysten tietoturvallisuudesta vastaavia henkilöitä ja rooliosoitteita hakemuksen perusteella.

CERT-FI toimii aktiivisesti energiayritysten luottamukselliseen tiedonvaihtoon tarkoitetussa e-CIP-tiedonvaihtoryhmässä. Lisäksi CERT-FI vastaa työryhmän sihteerin tehtävistä. CERT-FI osallistuu erityisesti SCADA-järjestelmien tietoturvaan painottuvan kansainvälisen E-SCSIE-tiedonvaihtoryhmän työskentelyyn pyrkien kokoamaan ryhmän jäseniltä saatavaa luottamuksellista tietoa tietoturvauhkista sekä muuta toimintaa tukevaa materiaalia suomalaisten yritysten käyttöön.

CERT-FI tekee yhteistyötä Energiamarkkinaviraston, säteilyturvakeskuksen ja toimintaan liittyvien poolien kanssa.

Logistiikka

CERT-FI ylläpitää sektorin toimijoiden tiedonvaihtoa varten CERT-FI-CIP-LOGISTIIKKA-postituslistaa. Listan on tarkoitettu kaupan ja liikenteen tietoturva-aiheisiin keskittyvään keskusteluun ja tiedottamiseen. Listalle hyväksytään sektoria edustavien yritysten tietoturvallisuudesta vastaavia henkilöitä ja rooliosoitteita hakemuksen perusteella.

CERT-FI tekee yhteistyötä Elintarviketurvallisuusviraston, Elintarviketeollisuusliitto Ry:n ja toimintaan liittyvien poolien kanssa.

Teollisuusyritykset

CERT-FI ylläpitää sektorin toimijoiden tiedonvaihtoa varten CERT-FI-CIP-TEOLLISUUS-postituslistaa. Listan on tarkoitettu kriittisen perusteollisuuden tietoturva-aiheisiin keskittyvään keskusteluun ja tiedottamiseen. Listalle hyväksytään sektoria edustavien yritysten tietoturvallisuudesta vastaavia henkilöitä ja rooliosoitteita hakemuksen perusteella.

Muut huoltovarmuuskriittiset toimijat

CERT-FI ei tällä hetkellä tarjoa erityispalveluita muille huoltovarmuuskriittisille organisaatioille.

Viranomaisyhteistyö

CERT-FI ylläpitää viranomaisten tiedonvaihtoa varten CERT-FI-CIP-GOVCERT-postituslistaa. Listan on tarkoitettu valtionhallinnon tietoturva-aiheisiin keskittyvään keskusteluun ja tiedottamiseen. Listalle hyväksytään valtionhallinnon tietoturvallisuudesta vastaavia henkilöitä ja rooliosoitteita hakemuksen perusteella.

CERT-FI kutsuu koolle vuonna 2000 julkaistussa Puolustustalouden suunnittelukunnan Tietojärjestelmien tietoturvallisuuden hallinnollisia järjestelyitä koskevassa raportissa edellytetyn CERT–viranomaistyöryhmän (CERT-VTR). Työryhmä on tarkoitettu valtiohallinnon toimijoiden tietoturva-aiheisen tiedon vaihtoon. Neljä kertaa vuodessa kokoontuvan ryhmän puheenjohtajana toimii Viestintävirasto. Lisäksi CERT-FI ylläpitää CERT-VTR-työryhmän jäsenille postituslistaa ja IRC-keskustelukanavaa sekä kutsuu koolle viikoittaisen tiedontasaustilaisuuden.

Lisäksi CERT-FI toimittaa valtionhallinnolle neljä kertaa vuodessa yleisöltä salassa pidettävää tietoa sisältävän tietoturvan tilannekatsauksen viranomaisversion. Katsauksessa käsitellään merkittävimmät kansalliseen ja kansainväliseen tietoturvallisuuteen vaikuttavista tapahtumat ja arvioidaan lähitulevaisuuden näkymiä.

3. CERT-FI:LLE LUOVUTETTUJEN TIETOJEN LUOTTAMUKSELLISUUS

Viranomaisena CERT-FI noudattaa Suomessa voimassaolevia lakeja. Kaikki Viestintävirastolle tehdyt ilmoitukset käsitellään luottamuksellisesti, eikä ilmoituksen tekijään liittyviä tietoja luovuteta kolmansille tahoille ilman tämän antamaa nimenomaista suostumusta.

CERT-FI:n oikeus saada tietoturvaloukkausten tekemiseen käytettyjä viestejä ja niihin liittyviä tunnistamistietoja perustuu sähköisen viestinnän tietosuojalain 33 §:n 3 momenttiin, jonka mukaan Viestintävirastolla on oikeus saada laissa säädettyjen tehtävien hoitamiseksi tunnistamistiedot ja viestit merkittävien tietoturvaloukkausten tai -uhkien selvittämiseksi. Edellytyksenä on lisäksi, että Viestintäviraston arvion mukaan on syytä epäillä tiettyjen laissa yksilöityjen rikosten tunnusmerkistöjen täyttyvän.

Sähköisen viestinnän tietosuojalain mukaan Viestintävirastolla on oikeus käsitellä saamiaan tietoja ainoastaan laissa säädettyjen tehtäviensä hoitamiseksi. Laissa todetaan nimenomaisesti, että Viestintäviraston saamat tiedot luottamuksellisista viesteistä ja tunnistamistiedoista on pidettävä salassa. Muilta osin tietojen salassapidosta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa.

4. YHTEYSTIEDOT

Sähköposti: cert@ficora.fi
Puhelin: (09) 6966 510
Fax: (09) 6966 515
WWW-sivut: http://www.cert.fi/
CERT-FI-yksikön puhelinluettelo: http://www.ficora.fi/index/yhteystiedot/Puhelinluettelo/verkotjaturvallisuus/certfi.html

Postiosoite:
Viestintävirasto
CERT-FI
PL 313
00181 HELSINKI

Käyntiosoite:
Itämerenkatu 3 A, 5. krs., Helsinki

5. SALAUSAVAIMET

CERT-FI:lle lähetettävä arkaluontoinen materiaali on syytä suojata asianmukaisella salausmenetelmällä. Ensisijaisesti materiaalin salaamista suositellaan CERT-FI:n PGP-avaimilla. Lisäksi CERT-FI:n työntekijöillä on käytössään X.509 virkavarmenteet, jotka mahdollistavat S/MIME -salatun viestinnän.

CERT-FI:n rooliavaimet löytyvät osoitteesta:
http://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html
Henkilökohtaiset PGP-avaimet ja X.509 virkavarmenteet löytyvät osoitteesta:
http://www.cert.fi/palvelut/yhteystiedot/henkilokohtaiset_avaimet.html

6. LAINSÄÄNTÖ

CERT-FI:n toimintaan soveltuva keskeinen lainsäädäntö:

- Laki viranomaisen toiminnan julkisuudesta 621/1999 muutoksineen http://www.finlex.fi/fi/laki/ajantasa/1999/19990621
- Sähköisen viestinnän tietosuojalaki 516/2004 muutoksineen
http://www.finlex.fi/fi/laki/ajantasa/2004/20040516
- Viestintämarkkinalaki 393/2003 muutoksineen http://www.finlex.fi/fi/laki/ajantasa/2003/20030393
- Henkilötietolaki 523/1999 muutoksineen http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
- Valtioneuvoston asetus viestintähallinnosta 60/2004 ja sen muutos 761/2006.

Sivua päivitetty 25.01.2011   Tulostusversio Tulostusversio