Suomeen syntyy uusi tietoturvaviranomainen
0
Hallitus on vahvistanut lisäbudjetissaan vuodelle 2010 uusia varoja myös liikenne- ja viestintäministeriön toimialalle. Yksi pieni osa 35,5 miljoonan euron lisäpotista on uuden tietoliikenteen turvallisuusviranomaisen perustaminen Viestintävirastoon. Suomen NCSA saa ensi vuodesta alkaen tehtäviä tärkeiden tietojen suojaamisessa.
Kokonaan uutta virastoa ei siis luoda, vaan Viestintävirastolle annetaan uusia vastuualueita.
Kansallinen tietoliikenteen turvallisuusviranomainen (NCSA, national communications security agency) sijoittuisi amerikkalaisessa mallissa kansallisen turvallisuusviranomaisen (NSA, national security agency) alaisuuteen.
Suomessa ei kuitenkaan ole yhtä keskitettyä turvallisuusvirastoa, vaan tehtävät on hajautettu dsa-mallilla (designated security agency) kolmelle toimijalle; Suojelupoliisille (Supo), Puolustusvoimille ja Pääesikunnalle. Uudesta NCSA-yksiköstä tulee neljäs osa-alue, johon kootaan tietoverkkoihin ja salaukseen liittyvää osaamista.
Kolme henkilötyövuotta 2010
Fyysisesti Viestintäviraston sisälle sijoittuvan turvallisuusyksikön perustamiseen on varattu ensi vuodeksi 650 000 euroa, Se tarkoittaa kolmea henkilötyövuotta ja yleisiä perustamiskuluja. Tulevina vuosina rahoitusta on tarkoitus lisätä, vaikkei varoja olekaan vielä lyöty lukkoon.
Suomen NCSA keskittyy tiedon ja tietoliikenteen suojaamiseen kansainvälisessä yhteydenpidossa esimerkiksi EU:n ja NATO-maiden kanssa.
“Virastoa konsultoidaan, kun turvaluokiteltua tietoa käsitellään. Suomessa pitää olla taho, joka arvioi, ovatko tietojärjestelmät asianmukaisesti toteutettuja, salaukset riittävät ulkomaisen tahon ja Suomen välillä sekä onko avainten hallinta hoidettu asiallisesti", sanoo Viestintäviraston Verkot ja turvallisuus -tulosalueen johtaja Timo Lehtimäki Tietokoneelle.
Hajautettu malli pysyy Suomessa, koska ulkoministeriöllä ei ole resursseja hoitaa koko pakettia yksin. Esimerkiksi Supon vastuulla pysyvät henkilöturvallisuuteen liittyvät tehtävät.
Tehtävänä kansainvälisen tiedonvälityksen suojaaminen
Lehtimäki kertoo, että NCSA:n vastuulle tulevat tietojärjestelmien tarkastukset, tuotesertifiointien hallinta ja salausavainten varmistaminen.
Tarkoituksena on kansainvälisten intressien suojaaminen esimerkiksi NATO:n rauhakumppanuuden hankkeissa ja EU-tiedonvaihdossa, tai kun suomalainen yritys vie salaisia tietoja käsitteleviä ohjelmistojaan maailmalle.
Uusi viranomainen valvoo, että suomalaiset tuotteet täyttävät kansainväliset tietoturvamääräykset. Se voi tarkoittaa esimerkiksi salausten ja varmennusten toteuttamista asianmukaisesti.
NCSA-yksikköön siirtyy lisäksi tehtäviä, joita pääesikunta on tähän asti hoitanut.
Lehtimäki myöntää, ettei kolme henkeä pysty hoitamaan koko työtaakkaa, joten yhteistyötä tehdään Viestintäviraston verkkouhkia torjuvan Cert-fi-yksikön sekä muiden dsa-toimintojen, eli Puolustusvoimien, Pääesikunnan ja Supon kanssa.
