• Lausunnonantajia: 7
    Pyydetään lausumaan luonnoksesta
      • Pyydetään lausumaan luonnoksesta
      • Microsoft Oy, Karppinen Juha
        Päivitetty:
        2.2.2023
        • Suomessa pitäisi myös pystyä arvioimaan ratkaisuja suoraan NATO vaatimuslistaa vasten. Erityisesti kun halutaan hyödyntää pilvipalveluita UNCLASSIFIED- tai RESTRICTED-luokitellun tiedon tallennus- tai käsittelypaikkana. Myös KATAKRI arviointikehikkoa tulisi kehittää yhteneväksi NATO-säännöstön kanssa. Suomella ei pitäisi olla omia arviointikehikkoja ja sääntöjä, vaan meidän tulisi yhtenäistää nykyiset turvaluokittelut NATO-luokittelun kanssa.
      • Valtori, Tieto- ja digiturvallisuusyksikkö
        Päivitetty:
        2.2.2023
        • Ohessa organisaatiomme koostetut havainnot asiakirjaan liittyen: Yleisesti tässä dokumentissa sanotaan, varsinkin teknisessä osuudessa, että vaatimukset ovat pääpiirteittäin yhteneväisiä. Kuitenkin useassa kohdassa kerrotaan, että NATOn vaatimuksissa on muutamia tarkennuksia. Näitä tarkennuksia ei kuitenkaan avata, paitsi kohdassa I-06 ensimmäisessä kappaleessa. Tätä liitettä tulisi tarkentaa näiden vaatimusten osalta. Liitteeseen tulisi tuoda NATOn tarkentavat vaatimukset, mutta mikäli näitä ei tähän voida tuoda esim. tietoturvan takia, niin liitteessä tulisi tehdä maininta mistä nämä vaatimukset saisi. Lisäksi jokaisessa kohdassa, missä näitä vaatimuksia ei voida tarkasti avata, tulisi ilmoittaa, että kohtaan sisältyy vielä vaatimuksia, mitä tietoturvasyistä ei tähän voida kirjoittaa. Liitteen johdannossa olisi hyvä mainita, mikäli kaikkia vaatimuksia (ja näihin sitten erillinen merkintä), ei voi avata. Tarkennuksia: F04: Toinen kappale: Organisaation toimitilojen ulkopuolella on kuitenkin mahdollista perustaa tilapäinen hallinnollinen alue NATO RESTRICTED -luokan tiedon käsittelyyn, esimerkiksi etätyötä varten. -> Kuka tämän tilan voi perustaa (organisaatio vs. työntekijä), minne tämän tilan voi perustaa (koti, tietty huone vs. koti yleisesti), julkinen kulkuväline, mökki, hotellihuone, auto jne. Miten tämä tila tulisi perustaa hallinnollisesti, asiakirja koskien yksittäistä tilaa vai riittääkö yleinen etätyöohjeistus, missä annetaan reunaehdot tilalle. Kolmas kappale: Tietojen käsittelyssä on huomioitava lisäksi toiminta työskentelytaukojen aikana, jolloin paperiasiakirjat ja päätelaitteet on turvallisuusluokan perusteella sijoitettava soveltuvalle turvallisuusalueelle ja/tai säilytysyksikköön tauon ajaksi. -> Miten päätelaitetta/papereita tulee säilyttää esim. autossa, kotona tai hotellihuoneessa? Se ei voi olla aina välittömässä valvonnassa. Mikä on edellytys säilytysyksikölle? Taulukon alla enimmäinen kappale: NATO RESTRICTED-luokan tiedon käsittely ja säilytys turvallisuusalueiden ulkopuolella on mahdollista, mikäli perustetaan tilapäinen hallinnollinen alue, joka täyttää Katakrin F-05-vaatimukset ja tiedon käsittelijä: • kuljettaa tietoja F-08.1 mukaisesti • on sitoutunut noudattamaan Suojelupoliisin tai Pääesikunnan ja päätelaitteen osalta Traficomin NCSA-toiminnon antamissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä sen varmistamiseksi, että pääsy tietoihin on suojattu sivullisilta: -> Miten työasemaa kuljetetaan, sillä viranomaisen hyväksymää salausta (F-08.1 K3) ei taida olla käytettävissä? Silti tässä on pieni ristiriita. Työasemassa ei saa kuljettaa Restricted -luokan tietoa kuin salattuna, mutta kirjekuoressa saa kuljettaa paperimuodossa olevia dokumentteja. Ja mitkä ovat korvaavat toimenpiteet? Taulukon alla viimeinen lause: TEMPEST-riskien arviointi: Arvioitaessa tiedon käsittelyä päätelaitteessa ja turvallisuusalueiden sijaintia on riittävässä määrin otettava huomioon myös I-14- kohdassa käsiteltävä TEMPEST-riski, jota voidaan yleensä pienentää muuttamalla tiedon käsittelypaikan sijaintia kiinteistössä. _ -> Millä tasolla TEMPEST-riski tulee ottaa huomioon? Kansallisesti TLIV-tiedon käsittelyssä ei tarvitse ottaa huomioon TEMPEST-riskiä. Tuleeko TEMPEST-riskien käsittelyssä käyttää Naton omaa TEMPEST-vaatimuksia ohjaavaa SDIP -dokumenttia (SECAN and Information Publication (SDIP) – 27/1, NATO TEMPEST Requirements and Evaluation Procedure). Ko. dokumentissa määritellään mm. laitteiden väliset etäisyydet jne. Taulukko: KATAKRI 2020:N JA NATON TURVALLISUUSALUEIDEN RINNASTUS – PERUSTAMISTARVE JA KÄYTTÖTARKOITUS NATO Administrative Zone, alueen käyttötarkoitus: Alue, jolla voidaan käsitellä ja säilyttää enintään NATO RESTRICTED-luokan tietoa siten, että tiedot säilytetään soveltuvassa lukitussa toimistokalusteessa. -> Voiko työaseman jättää työpisteelle esim. ruokailun ajaksi (tietysti näyttö lukittuna), vai pitääkö se laittaa soveltuvaan lukittuun toimistokalusteeseen? Mikä on sovelutuva säilytysratkaisu esim. etätyössä/hotellihuoneessa? Taulukon jälkeinen teksti: * Turva-alueen (NATO Class I Security Area vastaava) perustamisessa tulee toteuttaa muiden turva-alueen (F-06) vaatimusten lisäksi seuraavat vaatimukset Katakri 2020:sta: -> Listatut asiat ovat käsittääksemme heikennyksiä Katakri vaatimuksia vasten. Taulukon jälkeinen teksti: * Turva-alueen (NATO Class I Security Area vastaava) perustamisessa tulee toteuttaa muiden turva-alueen (F-06) vaatimusten lisäksi seuraavat vaatimukset Katakri 2020:sta: toinen pallo: Turva-alueen vierailijoilla on oltava erityisen luvan (F-06.3) ja Nato PSC:n lisäksi saattaja, paitsi jos on varmistettu, ettei vierailijoilla ole pääsyä turvallisuusluokiteltuihin tietoihin (F-06.4) -> Ristiriita F-06.4 kohdan 1 kanssa: Muilla kuin niillä henkilöillä, joille on myönnetty itsenäinen pääsyoikeus tilaan (vierailijoilla) on aina oltava saattaja. Kohta on heikennys Katakrin vaatimuksiin. Tekstin lause antaa vieraalle mahdollisuuden tulla ilman saattajaa alueelle, mikäli hänellä ei ole suoraa pääsyä turvallisuusluokiteltuihin tietoihin. F-08.1 - Tietojen välitys postilla ja kuriirilla: -> Vaatimuksessa kohta 6. - Kansainvälisiä turvallisuusluokiteltuja tietoja koskevat vaatimukset on varmistettava tapauskohtaisesti Suojelupoliisilta tai Pääesikunnasta. Eikö tämän ohjeen tulisi ohjeistaa tämä, jolloin tämä ohje on turha, vai pitääkö jokaisen tiedonvälitystarpeen yhteydessä varmistaa vaatimus tapauskohtaisesti SUPO:sta tai PE:stä? Lisäksi toteutusesimerkkejä kohdassa 6. Tieto toimitetaan ko. turvallisuusluokiteltuun tietoon oikeutetun organisaation henkilön toimesta jatkuvan valvonnan alaisuudessa vastaanottajalle. Vaihtoehtoisesti toimitus ko. turvallisuusluokalle hyväksytyn menettelyn mukaisesti. Toteutusesimerkin kohdan 6 jälkimmäinen lause mahdollistaa TLIII rinnastettavan NATO CONFIDENTIAL -tiedon lähettämisen esim. kirjattuna kirjeenä (mikäli organisaatio on tällaisen toimenpiteen hyväksynyt) tai jollain muulla organisaation hyväksymällä menettelytavalla, mikä voi olla huomattavakin heikennys vaatimuksiin. Kohta 7. Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä. Tulisiko vaatimukseen lisätä, että sisäiseen postin käsittelyketjun henkilöstöllä tulee olla voimassa oleva PSC ko. tiedolle I-01 - Verkon rakenteellinen turvallisuus: Tämän lisäksi on rajoitettu, millaisia laitteita voi käyttää verkkolaitteina. Virtualisoituihin ympäristöihin kohdistuu selkeitä teknologiaperustaisia tarkennuksia esimerkiksi fyysisestä erottelusta. :-> Mitkä nämä tarkennukset ovat? I-02 - Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt ko. turvallisuusluokan sisällä: Vyöhykkeistämiseen ja suodatussäännöstöihin kohdistuu erityisesti teknologiavalintaan liittyviä tarkennuksia. : -> Teknologiavalintaan liittyvät tarkennukset tulee kirjata tähän, sillä teknologiavalinnat ovat jo järjestelmän hankinta ja suunnitteluvaiheessa monesti tehtäviä päätöksiä. I-02 - Tietoliikenneverkon vyöhykkeistäminen ja suodatussäännöstöt ko. turvallisuusluokan sisällä: Lisäsuojaustarpeet liittyvät erityisesti näiden palveluiden erotteluun ja turvalliseen konfiguraatioon, mitkä tulee huomioida järjestelmäkohtaisessa turvallisuusvaatimusmäärittelyssä.: -> Mitkä nämä lisäsuojaustarpeet ovat? I-06 - Pääsyoikeuksien hallinnointi: Lisäksi tulee huomioida, että pääkäyttäjien turvallisuusselvitystodistuksen (PSC, Personnel Security Clearance) tason tulee lähtökohtaisesti olla korkeampi kuin järjestelmässä käsiteltävän tiedon luokka.: -> Tarkoittaako tämä sitä, että mikäli järjestelmässä käsitellään NATO SECRET -luokan tietoa, niin pääkäyttäjillä tulee olla NATO COSMIT TOP SECRET -tasoinen PSC? Edellyttääkö tämän tasoinen PSC Turvallisuusselvityslain (726/2014) 20 § mukaista Laajaa turvallisuusselvitystä? I-06 - Pääsyoikeuksien hallinnointi: Lisäksi tietojärjestelmien käyttäjiin ja korotettuihin käyttäjätunnuksiin kohdistuu muodollisia hyväksyntävaatimuksia muun muassa käytäntöihin sitoutumisen ja vastuiden hyväksynnän osalta.: -> Mitkä nämä muodolliset hyväksyntävaatimukset ovat? I-08 - Järjestelmäkovennus: Tämä näkyy esimerkiksi turvallisen käynnistyksen (secure boot) käyttövaatimuksena sekä tunnussäilöjen ja mekanismien (credential stores and mechanisms) kovennusvaatimuksena. Kantaa otetaan myös esimerkiksi virtuaalikoneiden mallipohjien (template) sekä tallennusverkkoympäristöjen (SAN, Storage Area Network) suojaamiseen. Kovennustoteutuksissa käsitellään myös ohjelmistojen eheydestä ja autenttisuudesta varmistumista, suorituksen rajoittamista unohtamatta. Kantaa otetaan myös turvallisuusluokitellun tiedon käsittelyyn sekä käsittelyn suojaamiseen käytettävien käyttöjärjestelmien hyväksymiseen. : -> Mitkä nämä muodolliset hyväksyntävaatimukset ovat? Viimeistä lausetta tulisi tarkentaa. I-09 - Haittaohjelmasuojaus: -> Määrityksissä otetaan kantaa myös tallennusmedioiden käytön tekniseen rajoittamiseen kaikkien turvallisuusluokkien ympäristöissä: -> Miten tekninen rajoittaminen tulee toteuttaa? Onko se mahdollisesti kokonaan kielletty? Jo suunnittelun perustaksi tarvitaan tarkempaa tietoa mahdollisista teknisistä rajoitusvaatimuksista. I-10 - Turvallisuuteen liittyvien tapahtumien jäljitettävyys: Kerättävien tallenteiden (lokitietojen) tietosisältöön kohdistuu määrityksiä, erityisesti käyttäjiin ja käyttäjätunnuksiin liittyen. : -> Määritykset tulisi listata. I-11 - Poikkeamien havainnointikyky ja toipuminen: Poikkeamien havainnointikykyyn kohdistuu osin merkittäviäkin täydentäviä määrityksiä.: -> Määritykset tulisi listata. I-12 - Salausratkaisut: Tulee kuitenkin huomioida, että Naton turvallisuusluokitellun tiedon suojaamisessa tulee käyttää Naton turvallisuusluokitellun tiedon suojaamiseen hyväksyttyjä salausratkaisuja.: -> Tuleeko erillinen NATO:n COMSEC -toimintaa ohjaava dokumentaatio, mikä antaa selkeät vaatimukset NATO COMSEC -materiaalin käsittelylle ja hallinnoinnille (vrt. Nato Comsec materiaalin käsittely SDIP)? Kansallinen salausteknisen materiaalin käsittelyohje ei ole riittävä dokumentti NATOn COMSEC -vaatimusten täyttämiseksi. I-13 - Ohjelmistojen suojaaminen verkkohyökkäyksiltä: Tulee kuitenkin huomioida, että Naton turvallisuusluokiteltua tietoa käsitteleviin ympäristöihin on mahdollista tuoda vain testattuja tai erikseen hyväksyttyjä ohjelmistoja. -> Kuka vastaa testauksesta tai hyväksynnästä? Mille tasolle hyväksyntä tulee ulottaa? Mistä saa listan hyväksytyistä ohjelmistoista? I-14 - Hajasäteily (TEMPEST) ja elektroninen tiedustelu: Hajasäteilysuojausten osalta tulee noudattaa Naton vaatimuksia, jotka ovat valtaosin yhdenmukaisia esimerkiksi EU:n turvallisuusluokiteltuun tietoon kohdistuvien suojausvaatimusten kanssa. : -> Tuleeko tässä kohdassa noudattaa SECAN and Information Publication (SDIP) – 27/1, NATO TEMPEST Requirements and Evaluation Procedures -dokumenttia kaikessa laajuudessaan? Kansallinen Tempets-vaatimus ei täytä NATOn SDIP - 27:n vaatimuksia, esim. kansallinen vyöhyke 0 etäisyys 20 m kun taas NATOn vaatimus samalla tasolla 1 m. I-15 - Tiedon sähköinen välitys: Määrityksissä otetaan lisäksi kantaa tietojen menetyksen ehkäisyyn (DLP, Data Loss Prevention) käytettäviin menettelyihin.: -> menettelyt tulisi avata.: Muutoshallintaan kohdistuu myös muodollisia tarkennuksia, joissa otetaan kantaa esimerkiksi turvallisuusvaikutusanalyysin rooliin tavanomaisten muutoshallintatoimenpiteiden osana. Kantaa otetaan myös tietojenkäsittely-ympäristöön tuotavien uusien tai muutettujen laitteistojen tarkastusprosessiin. : -> Millä tasolla turvallisuusvaikutusanalyysi tulee tehdä? Minkälainen tarkastusprosessi tulee toteuttaa? Tuleeko esim. uuden reitittimen (mikä ostetaan rikkoutuneen tilalle) tarkastamiselle jotain erityisiä vaatimuksia? I-17 - Fyysinen turvallisuus: Tallennusmedioihin ja turvallisuusluokiteltua aineistoja käsitteleviin laitteistoihin kohdistuu lisäksi useampi tarkennus, jotka koskevat muun muassa turvallisuusluokkamerkintöjä ja rekisteröintiä. :-> Mitkä nämä tarkennukset ovat? I-18 - Etäkäyttö ja etähallinta: -> Tätä vaatimusta tulisi tarkentaa. Mitkä ovat perusteet esim. valvotulle pisteelle? Onko se valvottu piste vaikka koti ja siellä tietty huone? I-19 - Ohjelmistohaavoittuvuuksien hallinta: -> Nämä tarkennukset tulisi avata tähän ohjeeseen ja antaa tarkat aikamääreet? I-20 - Varmuuskopiointi: Varmuuskopiointiin kohdistuvat vaatimukset ovat pääpiirteittäin yhteneviä.: -> Mitkä ovat eroavaisuudet? I-21 - Sähköisessä muodossa olevien turvallisuusluokiteltujen tietojen tuhoaminen: Sähköisessä muodossa olevien turvallisuusluokiteltujen tietojen tuhoamisen vaatimukset ovat pääpiirteittäin yhteneviä. -> Mitkä ovat eroavaisuudet?
      • Elinkeinoelämän keskusliitto EK, Lainsäädäntö ja hallinto , Rajamäki Markku
        Päivitetty:
        2.2.2023
        • Kiitämme lausuntomahdollisuudesta. Viittaamme lausuttavana olevan liitteen yksityiskohtaisten havaintojen osalta Finnish Information Security Cluster (FISC) - Kyberala ry:n ja Puolustus- ja Ilmailuteollisuus PIA ry:n asiassa jo antamiin lausuntoihin. Haluamme lisäksi kiinnittää huomiota kahteen asiaan liittyvään yleisempään asiaan: 1. Näemme Ilmailu- ja Puolustusteollisuus PIA ry:n tavoin, että Katakrin keskeisin haaste on, että se käsittää kansainvälisesti vertaillen melko kovia vaatimuksia kohdeyritysten kannalta. Vaatimukset eivät kaikilta osin ole tarkoituksenmukaisia ja niiden täyttäminen edellyttää monesti mittavaa taloudellista resurssointia. Käytännössä Katakrin vaatimustasoa edellyttävät viranomaiset eivät kaikissa tapauksissa itsekään täytä kaikkia vaatimuksia. Erityisesti, kun pu-hutaan kansainvälisestä liiketoiminnasta, Katakria käytetään toisinaan kriteerinä suomalaisten yritysten turvallisuustason arvioinnissa ja tällöin suomalaiset yritykset eivät ole kilpailullisesti samassa asemassa ulkomaisten kilpailijoidensa kanssa. On toivottavaa, että NATO-jäsenyys tulee jossain määrin helpottamaan tilannetta, mutta vielä parempi olisi, jos saataisiin aikaan kansainvälinen, kaikkialla mahdollisimman samalla tavalla tulkittava turvallisuuskriteeristö, jota sovellettaisiin myös puolustusyhteistyöhön liittyvien käyttötapausten ulkopuolella. Myös asiaan liittyvä viranomaistuki on tärkeää, tässä yhteydessä esimerkiksi auditoinnit ja turvallisuusselvitykset; niiden on oltava saatavilla riittävän nopeasti silloin, kun niille on tarve. Kun yritysten hallinnollista taakkaa kasvatetaan velvoitteilla, tulee samalla huolehtia tähän liittyvän viranomaistoiminnan resurssoinnista ja tehokkuudesta niin, että koko lainsäädännön yhteiskunnallisiin tavoitteisiin päästään, eikä kasvanut panostus toimintaan näyttäydy ennen kaikkea yritysten hallinnollisen taakan lisääntymisenä. 2. Lausuttavana olevan liitteen valossa näyttää siltä, että suuria vaatimustasoeroja Katakrin ja NATO:n turvallisuusvaatimusten välillä ei ole. Tämä ei sulje pois sitä, että yksityiskohtien osalta jatkossa voi tulla käytännön tulkintaristiriitatilanteita. Toivomme, että näissä voitaisiin olla joustavia ja keskittyä siihen, että vaadittu turvallisuuden taso täyttyy, mutta ymmärrettäisiin se, että useimmissa tapauksissa taso voidaan saavuttaa eri keinoilla, joiden pitäisi olla toimijan valittavissa. Vaativalle osapuolelle olennaista tulee olla tietyn turvallisuustason saavuttaminen, ei se, millä keinoilla se on saavutettu. Kunnioittavasti Elinkeinoelämän keskusliitto EK Lainsäädäntö ja hallinto Tommi Toivola Johtaja
      • Puolustusvoimat, Pääesikunnan määrätty turvallisuusviranomainen (PE DSA)
        Päivitetty:
        2.2.2023
        • Pääesikunnan määrätty turvallisuusviranomaisella (PE DSA) ei ole lausuntoon lisättävää tai korjattavaa. Olemme osallistuneet omien lakisääteisten tehtävien mukaisesti valmistelutyöhön ja vaikuttaneet jo valmisteluvaiheessa tarvittavilta osin sisältöön. PE DSA toteaa tämän liitteen selkeyttävän KATAKRI 2020 sisältö NATO-turvallisuusvaatimusten osalta. PE DSA toteaa edelleen, että liitteen toimivuus ja sisältö on hyvä arvioida turvallisuusviranomaisten toimesta NATO jäsenyyden varmistumisen ja käytännön kokemusten jälkeen.
      • Puolustus- ja Ilmailuteollisuus PIA ry
        Päivitetty:
        1.2.2023
        • Puolustus- ja ilmailuteollisuus PIA ry kiittää mahdollisuudesta lausua em. asiassa. Dokumentin johdannossa asetetaan tavoitteiksi, että dokumentti yhdessä Katakri 2020 dokumentin kanssa tukee julkishallinnon ja elinkeinoelämän organisaatioita, jotka tulevat käsittelemään Naton tietoa. Edelleen dokumentin keskeisenä tehtävänä on Naton tiedon suojaamisen edellyttämien turvallisuustoimenpiteiden täyttymisen arvioinnin tukeminen. Katakri 2020/Liite IV täyttää hyvin sille johdannossa asetetut tavoitteet. Dokumentti on selkeästi koostettu ja Katakri 2020 dokumenttia hyvin täydentävä. Dokumentissa sivutaan myös NATO UNCLASSIFIED jakelurajoitteisen, mutta turvaluokittelemattoman, tiedon suojaamista. Usein käytännössä juuri NATO UNCLASSIFIED tiedon tapauskohtainen tulkinta tuo käytännön haasteita toimintaan, mutta ei toki niinkään auditoinnin käytänteisiin. Katakri 2020/Liite IV:n suurin haaste on itse Katakri sekä viranomaisten resurssit auditointiin ja erityisesti henkilöturvallisuusselvitysten tekoon. Katakri 2020 asettaa käytännössä yrityksille vaatimuksia, joita viranomaiset eivät itsekään täytä. Vaatimukset ovat osin epätarkoituksenmukaisia ja niiden täyttäminen vaatii yrityksiltä huomattavaa taloudellista resursointia. Koska Katakria käytetään toisinaan myös kriteerinä puolustus- ja turvallisuushankinnoissa, asettaa se suomalaiset yritykset epäedulliseen kilpailuasemaan kansainvälisiin yrityksiin nähden. Lisäksi Nato jäsenyyden myötä on nähtävissä teollisuuden ja muun elinkeinoelämän aikaisempaa suurempi tarve käsitellä kansainvälisen tietoturvalainsäädännön mukaista suojattavaa tietoa. Tämä ilmenee mm lisääntyvänä osallistumisena etenkin Naton ja teollisuuden kansainväliseen yhteistyöhön. Auditoinnin ohjeiden näin täydentyessä on toivottavaa, että sekä auditointien että etenkin tarvittavien henkilöturvallisuusselvitysten aikaansaaminen olisi nykyistä merkittävästi nopeampaa. Aliresursoidut ja hitaat viranomaisprosessit voivat heikentää suomalaisten yritysten osallistumismahdollisuuksia Naton toimintaan. Tuija Karanko, pääsihteeri Tapio Halkola, erityisasiantuntija
      • Finnish Information Security Cluster (FISC) – Kyberala ry, Lisätietoja lausunnon antajalta.
        Päivitetty:
        1.2.2023
        • Finnish Information Security Cluster – Kyberala ry on Teknologiateollisuus ry:n toimialayhdistys, joka edustaa Suomessa toimivaa kyber- ja tietoturvallisuusalaa. Kiitämme mahdollisuudesta lausua asiasta. Kiinnitämme huomiota seuraaviin kohtiin: 1. Jakelurajoitetun tiedon suojaaminen NATO UNCLASSIFIED jakelurajoitteen osalta Nato-liitteessä (sivu 1) todetaan ”Tällaista tietoa käsittelevällä henkilöllä tulee olla viranomaisen hyväksymä, työtehtävään liittyvä tiedonsaantitarve ja hänen tulee ymmärtää asiakirjan jakelurajoitteisuuden merkitys.” Käsittääksemme edellä mainittu muotoilu on Julkisuuslain vastainen, sillä viranomaisen asiakirja tulee julkiseksi, jollei asiakirjan julkisuudesta taikka salassapidosta tai muusta tietojen saantia koskevasta rajoituksesta erikseen laissa säädetä ja kun asia, jota se koskee, on viranomaisessa käsitelty loppuun. Tämä koskee myös virkamiesten omaa julkisuusperiaatteen mukaista oikeutta. Mikäli asiakirjassa esitetty tieto julkisuuslain mukaan salassa pidettävä, tulee asiakirja tai tietoon liittyvän asiakirjarekisteriin merkitä asianmukaisesti asiakirjojen turvallisuusluokittelu. Vain salassa pidettävän tiedon saantioikeutta voidaan rajoittaa. 2. Fyysinen turvallisuus Yksityisten yritysten kannalta Katakri 2020 (F-osio) on jossain määrin epätarkoituksenmukainen. Modernien, ja ylikansallisesti toimivien yritysten toimitilat eivät useinkaan täytä Katakri 2020 vaatimuksia, eikä tiloja ole edes suunniteltu jatkuvaan ja pysyvään lähityöskentelyyn. Työtä tehdään, ja tuotantoprosesseja hallitaan lähes paikasta riippumatta. Haasteeksi muodostuu ajatus siitä, että tiedon tulisi sijaita tietyssä täsmällisessä paikassa ja että siihen pystytään kohdistamaan hallintatoimia perustuen sen fyysiseen sijaintiin. Kehittyvä, moderni yritystoimintaympäristö ei ole yhteensopiva tämän perusolettamuksen kanssa. Tämä tarkoittaa sitä, että esim. Naton turvallisuusluokitellun tiedon käsittelylle voi syntyä merkittäviä sivukustannuksia, jotka vaikuttavat merkittävästi hyödykkeen hintaan tai poistaa kokonaan halun osallistua hankintaprosessiin. Koska Naton tavoitteena on myös aktivoida ja hyödyntää PK-sektorin yrityksiä laajasti tulee muistaa, että niillä ei ole resursseja, eikä se ole järkevääkään, tehdä toimitiloihin sellaisia rakenteellisia muutoksia mitä Katakri 2020 supistavasti tulkittuna edellyttäisi. Monissa tapauksissa se voisi edellyttää kokonaan uusia tiloja. Tiedon katsotaan jo nyt olevan jatkuvassa liikkeessä, mm. kun sitä siirrettään, katsellaan tai muuten prosessoidaan eri käyttöpaikoissa. Vaatimukset tulisi näin kohdistaa suojattavan tiedon luottamuksellisuuden varmistamiseen kulkipa tieto missä tahansa. Fyysisen sijainnin ja verkkoteknisten kontrollisen sijaan tulee keskittyä itse tiedon suojaamiseen modernin tietoturvan keinoin. Kriteeristö olettaa, että ns. ”tilapäinen hallinnollinen alue” on jonkinlainen poikkeus pääsääntöön sen sijaan, että se olisi lähtökohta käyttötilanteille ainakin matalampien suojaustason tietojen käsittelylle. Lisäksi turva-aluetta ja verkkokomponentteja (palvelimet, verkon hallintalaitteet tai muut verkkolaitteet) koskevien vaatimusten osalta todetaan, että ns. pilviteknologiaan perustuvaa tietojenkäsittelyä pidetään yhä yleistyvämpänä sekä perustelluimpana ratkaisuna kustannustehokkaille ja nopeaa kehittämistä mahdollistaville tietojenkäsittelytarpeille. Pilviteknologialla tarkoitetaan ratkaisuja, jossa ohjelmistot, laitteistot, kapasiteetti ja resurssit siirtyvät käytettäväksi internet-yhteyden välityksellä. KATAKRIa ei pidetä yhteensopivana jatkuvasti kehittyvien pilvipalveluiden kanssa ratkaisujen kanssa. Pieniin, irrallisiin ja verraten monimutkaisiin ympäristöihin nojautuminen haittaavat palveluiden kehittämistä, lisäävät monimutkaisuutta sekä erehdyksen riskiä. Lisäksi auditointien kannalta on oleellista, että korvaavia kontrolleja sovelletaan tosiasiassa viisaasti ja tästä aiheutuva jäännösriski arvioidaan oikein. Asiakirjassa tulisikin korostaa ja täsmentää aiempaa selvemmin, että ”Fyysinen turvallisuus on vain yksi osa-alue, jonka ratkaisuja tulee tukea ja jonka ratkaisuja voi kompensoida muiden turvallisuuden osa-alueiden kuten I-osa-alueen turvallisuusratkaisujen avulla.” Ks. vastaavasti myös kohta Tekninen tietoturvallisuus, I-18. 3. Taulukko 1 Taulukon *-merkillä olevassa lisäyksessä todetaan: ”NATO RESTRICTED-luokan tiedon käsittely ja säilytys turvallisuusalueiden ulkopuolella on mahdollista, mikäli perustetaan tilapäinen hallinnollinen alue, joka täyttää Katakrin F-05-vaatimukset ja tiedon käsittelijä: • kuljettaa tietoja F-08.1 mukaisesti • on sitoutunut noudattamaan Suojelupoliisin tai Pääesikunnan ja päätelaitteen osalta Traficomin NCSA-toiminnon antamissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä sen varmistamiseksi, että pääsy tietoihin on suojattu sivullisilta” Luettelossa tulisi mainita selvästi, ovatko kummatkin ehdot yhtä aikaa sovellettavia vai toisilleen vaihtoehtoisia. Mainita voitaisiin tehdä lisäämällä ensimmäiseen ehtoon joko ja- tai tai-sana (…tietoja F-08.1 mukaisesti, ja/tai). 4. Tekninen tietoturvallisuus Hyväksyntäprosessin osalta asiakirja ei kuvaa lainkaan, mitä ”turvallisuustestauksella” tarkoitetaan. Asiaa olisi syytä kuvata tarkemmin vähintään kuvailevalla tasolla siten, että siitä ilmenee millaisesta ja kenen suorittamasta ”testauksesta” on kyse. Lisäksi PKI-infrastruktuuri olisi hyvä kuvata tai määritellä hieman tarkemmin, varsinkin, kun lyhenne ”PKI” sisältää jo termin ”infrastruktuuri” ensimmäisen alkukirjaimen. I-12 Salausratkaisujen osalta tulisi lisätä osio, jossa todetaan, että ”EU:n ja NATO:n välisen toistensa hyväksymien salausratkaisujen keskinäisen tunnustamisen sopimuksen mukaisesti Naton turvallisuusluokitellun tiedon suojaamisessa voidaan käyttää EU:n turvallisuusluokitellun tiedon suojaamiseen hyväksyttyjä salausratkaisuja.”
      • Kullberg Harri
        Päivitetty:
        28.1.2023
        • Koska näissä tiedonjaku menetelmissä on mittava määrä sellaista tietoa mitä evätään kansalaisilta, ja tiettyyn pisteeseen asti, syystäkin, mutta oma mielipiteeni on se että tietojen vaihto esim., vapaasti Nato maiden kesken ei ole sallittavaa. Ylipäätään Suomen on pyrittävä kaikissa toiminnoissa mitä liittyy Suomelle arkaluontoiseen materiaaliin, pitämään ne tarkasti suojeltuna ja siten edistää ja säilyttää Suomi itsenäisenä. Aivan samaa periaatetta on noudatettava yksittäisen Suomen kansalaisen kohdalla. Hänen tietojaan ei saa luovuttaa tai asentaa sellaiseen data säilytykseen missä tietojen hakkeroiminen on mahdollista.
  • Lausunnonantajia: 0
    Kyselyosio