• Lausunnonantajia: 0
    Yleiset säännökset (Luku 1)
    • Lausunnonantajia: 5
      Soveltamisala (2 §)
        • Pitäisikö vaatimuksia asettaa eri tasoisina (erilaisille) teleyrityksille? Jos kyllä, niin miten jaottelu mielestänne tulisi toteuttaa?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Vaatimusten ei tule olla eri tasoisia eri yrityksille. Jaottelu tulee tehdä palvelu ja tietosisältökohtaisesti.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Lähtökohtaisesti kannatamme samoja vaatimuksia kaikille teleyrityiksille. Mahdollinen jaottelu eri tasoisille vaatimuksille voitaisiin perustelluissa erityistapauksissa tehdä teknologianeutraalisti erilaisten toimijoiden tarjoamien palveluiden kriittisyyden perusteella. Velvoittavia vaatimuksia voitaisiin täydentää suosituksilla, joissa otettaisiin huomioon eri kokoisten toimijoiden resurssit. Suositusten laatimisen tueksi olisi hyödyllistä kehittää entisestään yhteistyöfoorumeita, joissa isommat teleyritykset, viranomaiset ja muut toimialan yritykset voivat jakaa kokemuksiaan. Viranomaisen julkaisemat suositukset parhaista käytännöistä voisivat toimia tukena velvoitteiden noudattamiseen. Työryhmissä voitaisiin laatia myös kyberturvallisuuden ”huoneen taulu” tukemaan vaatimusten ja ohjeistusten impelentoinnissa etenkin pienempiä toimijoita ajatellen.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Vaatimukset tulisi pyrkiä asettamaan riskiperusteisesti teleyrityksen kokoon ja toimintaan nähden ja mm. palveluiden kriittisyyden mukaan.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Ei.
        • Suomen Erillisverkot Oy, Junttila Kari
          Päivitetty:
          18.8.2022
          • "Teleyritykselle määräyksen 3 luvun 9 §:n 1 momentissa määrätyt velvoitteet koskevat myös viranomaisverkkoa siltä osin kuin viranomaisverkko yhteen liitetään yleiseen viestintäverkkoon." - Kun viranomaisten kriittinen langaton viestintä on siirtynyt yleisiin televerkkoihin, on tärkeää varmistaa, ettei yleiseen viestintäverkkoon liitetyn viranomaisverkon toiminta ei vaarannu.
    • Lausunnonantajia: 2
      Määritelmät (3 §)
        • Ovatko määritelmät olleet riittävän kattavia ja toimivia?
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Voimassa olevan määräyksen 67 määritelmät ovat mielestämme olleet toimivia. Määrittelyjen tulisi yhtäältä olla tarkkarajaisia, mutta samalla huomioida teknologianeutraalius ja teknologian nopea kehitys. Liikenne- ja viestintävirasto on tässä tasapainoilussa on onnistunut hyvin. Implementoinnin tueksi voitaisiin antaa suosituksia parhaista käytännöistä
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Yhteisötilaajan rooli, määritelmä ja vastuut tässä esityksessä on hyvä ajantasaistaa. Yhteisötilaaja-käsite on hyvä, mutta sen kytkös teletoiminnan vastuisiin ja velvoitteisiin on vaillinainen.
  • Lausunnonantajia: 0
    Kaikkien verkkojen ja palvelujen yleiset vaatimukset (Luku 2)
    • Lausunnonantajia: 4
      Tietoturvallisuuden huomioiminen (4 §)
        • Ovatko vaatimukset mielestänne liian ylätasoisia? Jos ovat, miltä osin niitä mielestänne tulisi tarkentaa?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Eivät ole liian ylätasoisia.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Voimassa olevan määräyksen 67 määritelmät ovat mielestämme olleet toimivia. Määrittelyjen tulisi yhtäältä olla tarkkarajaisia, mutta samalla huomioida teknologianeutraalius ja teknologian nopea kehitys. Liikenne- ja viestintävirasto on tässä tasapainoilussa on onnistunut hyvin.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Vaatimuksien vieminen liian syvälle teknisesti on epätoivottu tilanne, johon sisältyy liiketoiminnallinen riski. Valitut ratkaisut riittävän turvallisuuden rakentamiselle tulee olla teleyrityksen itsensä valittavissa. Määräyksen olisi hyvä pysyä riittävän ylätasolla, eikä keskittyä yksittäisiin teknisiin vaatimuksiin. Täsmennykset ovat lähtökohtaisesti hyviä, mutta tärkeintä on mihin muotoon vaatimus lopulta tulee ja minkälaiseen toimintaan se ajaa. Suositukset ja ohjeet ovat monesti toimivampi tie.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Ei. Yleinen ymmärrys tietoturvan merkityksestä on televerkoissamme riittävän hyvä.
        • Verkon liikenteen ja rajapintojen suojaaminen: olisiko mielestänne tarpeen edellyttää teleyrityksiltä signalointi- ja käyttäjäliikenteen suojaamista salaamalla liikenne aina kun se on teknisesti mahdollista?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei kaikkea liikennettä. Asiakkaan tarpeen mukaan.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Lähtökohtaisesti kannatamme liikenteen salaamista aina kun se on teknisesti mahdollista. Toisaalta teleyrityksille olisi hyvä jäädä mahdollisuus arvioida onko mm. lisäkustannuksia aiheuttava liikenteen salaus täysin välttämätöntä kaikissa tapauksissa. Salausteknologioiden hyödyntäminen on yleistynyt viimeisen kymmenen vuoden aikana niin paljon, että määräyksessä ei välttämättä ole tarpeen edellyttää liikenteen suojaamista salaamalla velvoittalla määräyksellä. Määräyksen sijaan viranomainen voisi antaa suosituksen parhaista käytännöistä.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Verkon rajapintojen hyödyntämisessä tulisi keskitettyä enemmän tunnistamaan miten rajapintaa käytetään kuin siihen mitä tietoa rajapinnan yli lähetetään/vastaanotetaan.
        • Matkaviestinverkon infrastruktuurin toteutukset pilvipalveluissa (esim. miten eri pilvipalveluratkaisut tulisi huomioida määräyksessä?)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Tarkemmat tulkinnat ovat tarpeen pilvipalveluiden roolista yleisessä teletoiminnassa.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Eri palvelumallit (PaaS, IaaS, SaaS) ja kutakin mallia koskevien vastuiden jakautuminen käyttäjän, pilvipalvelun toimittajan ja mahdollisen kolmannen osapuolen (esim. ulkoistettu ohjelmistokehitys) välillä sekä rajoitukset tietoihin pääsyyn tulisi huomioida. tulisi huomioida. Yleisesti ottaen pilvipalvelutoteutuksia koskevat suositukset ovat joustavampi tapa ottaa huomioon erilaisten palvelumallien erot ja nopean kehityksen. Myös EU-tason sääntelykehityksen ja suositusten huomiominen kansallisissa määräyksissä tai suosituksissa on tärkeää. Suosituksena Pitukri voisi toimia lähtökohtana eri toimijoiden pilvipalveluiden turvallisuuden arvioinnissa. Sitä voitaisiin siis hyödyntää laajemmin elinkeinoelämän tarpeisiin ja pilvipalveluntarjoajien omaehtoisen turvallisuustyön tukena.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • EU:n ajamat hankkeet EU:n kansalaisten ja yritysten tietopääoman pitämisessä EU:n kansallisvaltioiden alueella on riittävää myös matkaviestinverkon infrastruktuurin toteutuksille Suomessa.
        • Alihankintaturvallisuuden huomiointi (toimitusketjut, ohjelmistot, tukipalvelut)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Telealan yritykset ottava laajasti huomioon alihankintaturvallisuuteen liittyviä tekijöitä sekä sopimusperusteisesti että omasta aloitteestaan. Alihankintaturvallisuuden huomiointi osana riskienhallintaa on tärkeää. Alihankintaturvallisuuden huomionti voisi olla tehokkainta toteuttaa suositusten pohjalta, sillä kyseessä on hyvin laaja kokonaisuus. Alihankintaturvallisuuden keskeisiä elementtejä ovat mielestämme: Standardien ja sertifikaattien edellyttäminen ja yhtenäiset sertifikaatit, joita noudatetaan Toiminnan jatkuvuuden ja toimitusketjun kypsyystason ja resilienssin huomionti Avoimuus ja teleyrityksen tai kolmannen osapuolen toteuttama auditointi ja muu valvonta Toimialayhteistyö ja tehokas yhteistyö yksityisen sektorin toimijoiden sekä viranomaisten välillä Haavoittuvuuden hallinnan kypsyys ja tehokkuus Turvahäiriöhistoria
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • ”Pääurakoitsija” (lue:teleyritys) on tilivelvollinen edustamansa verkon turvallisuuden toimeenpanosta. ”Alihankkija” (lue: myös yhteisötilaaja ajoin) on tilivelvollinen teleyrityksen verkon käytön turvallisuuden toiminnasta oman vastuualueensa roolissa televerkon käyttäjänä/tilaajana.
        • Verkon virtualisointi (Trust domains, VNF erottelu, hyökkäysvektoreiden minimointi, virtualisointiympäristön verkonhallinta, HMEE, alustan luotettavuuden todentaminen.)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Aiheita olisi hyvä tarkastella yhdessä.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Tuovat lisää tarpeetonta monimutkaisuutta teleyrityksille ja yhteisötilaajille. Suosituksia virtualisoinnista ei tulisi antaa, vaan jokainen teleyritys ja yhteisötilaaja tekee virtualisointipäätöksiään omien riskien hallinnan kautta.
        • Pääsynhallintavelvoitteiden laajentaminen ja täsmentäminen (laajentaminen ohjelmistojen/laitteiden oikeuksiin (SBA-turvallisuus), Automaattinen avaintenhallinta)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta sääntelylle. Suosituksena voisi esittää esimerkkejä.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Pääsynhallintavelvoitteiden sijaan lisäpanostusta tulisi kohdentaa luonnollisten henkilöiden sähköisen identiteetin käytön kehittämiseen. Pääsynhallinta on vain väline päästä tekemään jotain jonnekin.
        • Erilaisten lokien tallentaminen ja suojaaminen
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Lokien tallentamisajasta, lokien fyysisestä sijainnista ja suojauksen käytännöistä voisi olla hyödyllistä tarkentaa suosituksia.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Velvoittavat säädökset lokien tallentamisen ja suojaamisen osalta tulisi perustua EU-tason sääntelyyn. Kansallisella tasolla suositus olisi nähdäksemme mielekkäämpi vaihtoehto.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Tallentamista ja suojaamista olennaisempaa on määritellä milloin lokitiedot tuhotaan.
        • Miten määräyksessä tulisi huomioida reunalaskentayksiköiden suojaaminen?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Suojaamisessa tulisi keskittyä tietoturvan toimenpiteisiin. Tarkemmat tulkinnat ovat tarpeen pilvipalveluiden roolista yleisessä teletoiminnassa.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Reunalaskentayksiköiden yleistymisen etuja ovat ydintoimintojen korkeampi käytettävyys turvallisuuteen liittyvänä näkökohtana. Reunalaskennan avulla on mahdollista käsitellä tiettyjä toimintoja paikallisesti. Tämä mahdollistaa mm. suuremman kapasiteetin ydintoiminnoissa sekä pienemmän latenssin. Reunalaskentayksiöiden osalta myös fyysiseen suojaamiseen tulee kiinnittää huomiota.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • -
        • Käyttöoikeusrekisteri: Käyttöoikeuksien ylläpito ja dokumentointivelvoitteen laajentaminen ja täsmentäminen (sisältäen tahot (henkilöt), joilla on teleyrityksen henkilöstön lisäksi järjestelmänvalvojan oikeus käyttää laitteistoa tai ohjelmistoa)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Reunalaskentayksiköiden osalta painopiste voisi olla enemmän loogisessa suojaamisessa. Käyttöoikeusrekisteri on yksi lopputulema hyvin hoidetusta pääsynhallinnasta ei itseisarvo. Pikemminkin pitäisi keskittyä siihen, että pääsynhallintamalli on olemassa ja dokumentoitu ja siihen liittyvät kontrollit on kuvattu ja samalla mallilla mennään myös reunoilla.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Korotettujen käyttövaltuuksien elinkaaren hallintaa ja ohjeistusta tulee terävöittää, koska nämä käyttövaltuudet kiinnostavat eninten rikollisia tai muita kyberin avulla tietoa itselleen hankkivia.
    • Lausunnonantajia: 3
      Riskien hallinta (5 §)
        • Tulisiko riskienhallinnan seurantasyklit määritellä joiltain osin tai kokonaan esimerkiksi kriittisten toimintojen/järjestelmien osalta? (Nykyisin teleyritys voi itse määrittää sopivat seurantasyklit.)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Säännöllinen ja aktiivinen riskienhallinta on toimivan tietoturvan peruskivi, mutta käytännössä riskienhallintaprosessit ovat eri yrityksissä erilaisia ja sykelihin perustuva tarkastelu voi olla monessa yrityksessä jo vanhentunutta ajattelua. Riskienhallinta tulisi rakentaa toimintaan sisälle jatkuvaksi prosessiksi jolloin ei ole tarvetta ”säännöllisille riskityöpajoille”. Niin sanottu ”säännöllinen riskienhallinta” jää usein compliance-toimenpiteeksi ja auditoijalle esitettäväksi todisteeksi sen sijaan, että se toimisi aitona työkaluna.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Itsevalvonta on riittävää, kunhan riskin realisoituessa valvova viranomainen voi tarkastaa viimeisimmän riskirekisterin ja tehdä siitä lausunnon sitä tarvitseville. Tämä pätee sekä korkean että matalan riskin ympäristöihin.
        • Tulisiko edellyttää riskienhallinnan tulosten dokumentointia useammalta käsittelykerralta? (Nykyisin vain viimeinen käsittelykerta on dokumentoitava.)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Ei tulisi. Sen sijaan, voisi vaatia kvantitatiivista näyttöä riskienhallinnan prosessin toimivuudesta.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Riskien hallinnan tulosten tulee perustua haavoittuvuuksiin, jonka tilannekuvaa teleyritys ylläpitää ja raportoi pyydettäessä viranomaisille (esim. LVM).
    • Lausunnonantajia: 2
      Tietoaineistot (6 §)
        • Ovatko tietoaineistojen luokitusjärjestelmää ja luokitteluun liittyvää käsittelymenettelyä koskevat vaatimukset ajan tasalla? Tuovatko esimerkiksi pilviratkaisut uusia haasteita?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Kyllä. Tarkemmat tulkinnat ovat tarpeen pilvipalveluiden roolista yleisessä teletoiminnassa.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Pilviratkaisujen käyttö tuo mukanaan runsaasti mahdollisuuksia mutta myös joitakin haasteita, kuten kaikki uudet teknologiat. Haasteiden tunnistamiseen ja haasteisiin liittyviä ratkaisuja on tässä vaiheessa tehokkaampaa etsiä viranomaisten ja toimialan yritysten yhteistyöhön pohjautivien suositusten kautta. Alan standardeja, sertifikaatteja ja yhteisiä eurooppalaisia vaatimuksia tulisi käyttää turvallisuuden perustana yksittäisten kansallisen tason määräysten sijaan.
        • Onko mielestänne ollut selvää, mitä tietoaineistoja velvoite koskee?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
    • Lausunnonantajia: 4
      Hallintaverkon ja hallintayhteyksien liikenne (8 §)
        • Mitä tarpeita yleisesti ottaen näette hallintaverkon ja hallintayhteyksien liikenteen turvallisuusvaatimuksien parantamiseksi?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Turvallisuusvaatimuksia voitaisiin täydentää suosituksella, jossa huomioitaisiin esimerkiksi: rajoitettu käyttöoikeus, omat tilit, erilliset laitteisto- ja verkkotunnelit, valvonta, binääriallekirjoitusten varmistus sekä tapauskotaisesti myös lähdekoodin testaus ja todentaminen.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Tulevaisuudessa dedikoitujen hallintaverkkojen rooli tulee todennäköisesti pienenemään ja paikasta riippumaton työskentely kasvamaan. Tästä syystä vaatimuksilla tulisi ohjata suuntaan, jossa keskeisimmät kriteerit pääsylle tarkastetaan ja niihin liittyviin kontrolleihin keskitytään (ref: ZTNA). Lisäksi hallintatoimenpiteitä tekee enemmän ja enemmän automaatio, ei ihminen.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Hallintaverkot ja yhteydet tulisi eriyttää teleyritysten tuotanto- ja asiakasverkoista (ns. Out-of-Band hallintayhteys operoitavaan kohteeseen).
        • Tulisiko mielestänne asetusmuutoksien lokitusta koskeva suositus muuttaa velvoittavaksi? Tulisiko suosituksen tai velvoitteen mukaista tallennusaikaa pidentää esimerkiksi yhteen vuoteen?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Lokien osalta on tärkeää tunnistaa mihin lokeja tarvitaan. Lokeja tulee säilyttää vaatimustenmukaisuus mielessä, mutta niitä myös tarvitaan tutkinnassa ja tietoturvan valvonnassa. Loki on instrumentti, jolla on oma roolinsa useassa asiassa, mutta voi synnyttää myös itsessään haasteita. Vaatimuksen tulisi tähdätä lopputulokseen, ei osatekijään. Lisäksi epäsuoria vaatimuksia lokien tallentamiseen löytyy lainsäädännöstä jo nyt (GDPR, LSVP).
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Kyllä. Sekä teleyrityksen itsensä, yhteisötilaajien ja asiakkaiden kannalta minimi lokitusaika on 12kk. Tämä on myös teleyrityksen omaa toimintaa suojaava toimenpide.
        • Tulisiko hallintaverkon erottamista tai verkonhallintaan käytettävien työasemien liikennöinnin rajoittamista koskeva suositus muuttaa velvoittavaksi? Jos kyllä, mitä velvoitteiden tulisi edellyttää?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Hallintaverkon kriittiset osat tulisi pitää eriytettynä esim. Esimerkiksi kiristyshaittaohjelma- skenaarion näkökulmasta, jos yrityksen muu toiminta/ympäristö on vaarantunut, ei hallintaverkkoihin tule päästä vaikuttamaan. Eriyttämisessä voisi ottaa mallia esimerkiksi OT-ympäristöissä käytetyistä malleista. Verkkojen hallinnan voi toteuttaa niin monella eri tavalla, että tarkkaa vaatimusta voi olla erittäin vaikea kirjata ja voi pahimmassa tapauksessa huonontaa tietoturvaa. Ohje/suositus sen sijaan voisi toimia. Varsinkin vanhakantainen ajatusmalli, jossa hallintaa tehdään erillisissä, verkoissa erillisillä laitteilla ja erillisistä tiloista pitäisi häivyttää sillä se ei istu nykyisiin toimintamalleihin.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • -
        • Tulisiko jatkossa vaatia keskitettyä lokienhallintaa? Jos kyllä, minkä toimintojen osalta?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Ei tulisi. Tarveperusteisesti keskittyisin lopputulokseen mitä keskitetyllä lokienhallinnalla yritetään saavuttaa. Kts. edellinen kommentti lokienhallinnasta.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • -
        • Tulisiko jatkossa vaatia lokienhallintapolitiikan laatimista ja ylläpitoa?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Ei tulisi. Ennemmin keskittyisin lopputulokseen mitä yritetään saavuttaa. Kts. edellinen kommentti lokienhallinnasta. Politiikka on yksi työkalu yrityksen oman toiminnan johtamiseen. Saman voi saada aikaan vaihtoehtoisilla tavoilla.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Kyllä, jollei sitä ole todennettu.
        • Tulisiko mielestänne lokitusten tarkkuustaso määritellä?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Kannatamme sen määrittelemistä, mitä lokeja kerätään, ja onko lokitus esimerkiksi keskitetty, vai miten kerääminen tulisi rajoittaa. Lisäksi kustannustehokkuusnäkulma tulisi ottaa huomioon huomioon
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • -
  • Lausunnonantajia: 4
    Rajapintojen erityiset vaatimukset (Luku 3)
      • Tulisiko mielestänne teleyrityksiltä edellyttää signalointirajapintojen suojaamista (esim. SS7, Diameter & HTTP/2)? Jos kyllä, mitä toimenpiteitä tulisi edellyttää?
      • Telia Finland Oyj
        Päivitetty:
        7.9.2022
        • Ei tarvetta tarkemmalle sääntelylle. Työryhmätyöskentelyssä olisi asiasta kuitenkin hyvä keskustella.
      • Elisa Oyj
        Päivitetty:
        31.8.2022
        • Ajatus on hyvä, mutta pitäisimme itse vaatimuksen tässä ylätasolla ilman yksittäisiä teknisiä vaatimuksia. Tällä hetkellä Traficom on antanut vahvan suosituksen SS7 signaloinnin suojaamisesta teknisellä tasolla ja tätä suositusta voisi täsmentää yhdessä teleoperaattoreiden kanssa vastaamaan käytännön realiteetteja.
      • Jokela Petri
        Päivitetty:
        30.8.2022
        • Signalointirajapinnoista tulee poistaa mahdollisuus käyttää PSTN/PLMN numeroa, jota ei ole rekisteröity käyttöön minkään operaattorin toimesta.
      • Suomen Erillisverkot Oy, Junttila Kari
        Päivitetty:
        18.8.2022
        • " 9 § Yhteenliittämis- ja asiakasrajapintojen häiriöiden estäminen ja niiltä suojautuminen Teleyrityksen on pidettävä huolta, että sen viestintäverkon tai -palvelun komponentit eivät aiheuta häiriötä muiden teleyritysten viestintäverkoille tai -palveluille. Teleyrityksellä on oltava tarkoituksenmukaiset mekanismit näiden häiriöiden estämiseksi. " - Teleyrityksiltä tulee edellyttää kaikkia niitä toimenpiteitä, joilla varmistetaan kriittisen viestinnän häiriöttömyys yleisissä televerkoissa.
    • Lausunnonantajia: 2
      IP-liikenteen estäminen yhteenliittämisrajapinnoissa (11 §)
        • Tulisiko vaatimusta tarkentaa esimerkiksi reunareitittimillä BGP-istuntojen suojausta koskevilla vaatimuksilla, RPKI:n käyttöönottoon velvoittamisella tai liian tarkkojen reittimainostusten, väärennettyjen reittimainostusten ja erityiseen käyttöön varattujen osoiteavaruuksien suodattamisvelvollisuudella?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Tärkeämpää kuin BGP-istuntojen salaustekniikan suhteen on täsmentää prosesseja joilla AS-numeroita (Autonomous System) myönnetään niitä pyytäville.
  • Lausunnonantajia: 0
    Internetyhteyspalvelujen erityiset vaatimukset (Luku 4)
    • Lausunnonantajia: 3
      Internetyhteyspalvelujen liikennöinnin eriyttäminen (13 §)
        • Vastaavatko vaatimuksen perustelut nykytilaa? Onko olemassa uudenlaisia tapoja toteuttaa liikenteen erottelua? Pitäisikö mielestänne velvoite laajentaa palvelusta riippumattomaksi?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • -
        • Viipalointi (esim. viipaleiden eriyttäminen, vertikaalien pääsynhallinta). Miten määräyksessä tulisi mielestänne huomioida viipaloinnin turvallisuuskysymykset?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Työryhmätyöskentelyssä olisi asiasta kuitenkin hyvä keskustella.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Yksittäisissä teknisissä vaatimuksissa on oma riskinsä. Ylätasolla voidaan viitata olemassa oleviin kehyksiin kuten GSMA standardit ja suositukset tai NESAS.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • -
    • Lausunnonantajia: 3
      Kuluttajaliittymistä lähtevän sähköpostiliikenteen ohjaus (14 §)
        • Onko SMTP-liikenteen rajoittaminen määräyksen kuvaamalla tavalla mielestänne jatkossakin tarpeellista? (perustelkaa näkemyksenne)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Teleyrityksen on estettävä kuluttajaliittymistä lähtevä rajoittamaton SMTP-liikenne muuten kuin sovittujen lähtevälle SMTP-liikenteelle tarkoitettujen palvelimien kautta.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • On tarpeellista. Nimenomaan liittymästä Internetiin porttiin 25 suuntautuvan liikenteen estäminen vähentää roskapostin ja sitä kautta haitallisen liikenteen määrää merkittävästi.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • SMTP-liikenteen rajoittamiseen tulisi lisätä DNS-tietueidem tehokkaampi käyttövaatimus: Sender Policy Framework (SPF) auktorisoidun lähettäjän auktorisoidun IP-osoitteen käyttämiseksi, DMARC-tietueen (Domain-based Authentication, Reporting, and Conformance) asettaminen sähköpostidomainin haittapostituksen käsittelyä varten (vähintään fi-domainin alidomainille) ja DKIM-tietueen (DomainKeys Identified Mail) sähköpostiliikenteen eheyden varmistamiseksi. Jos joku vaatii SMTP-postinvälitystä sekä kulutta- että yhteisötilaajana, tämä taho pystyy varmasti selvittämäään itselleen miten postinvälityksen turvallisuus yo. menetelmillä toteutetaan.
        • Jos ei, miten rajoitusta tulisi mielestänne muuttaa? Tulisiko rajoitus poistaa kokonaan tai osittain?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Liikenteen rajoittamista on syytä jatkaa suodatuksen tehokkuuden ja asiakkaille koituvan minimaalisen haitan vuoksi. Vaikka suorat SMTP-yhteydet kotikoneilta ovatkin jo hiukan muinaishistoriaa voidaan näitä vielä valitettavasti käyttää tehokkaasti roskapostittamiseen. Mielestämme muutokselle tämän osalta ei ole tarvetta.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Ks. Edellä.
        • Pidättekö perusteltuna kehittää määräystä niin, että teleyrityksen tulisi kuluttajan pyynnöstä poistaa rajoitus liittymästä?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Asiaan perehtyneet harrastajat osaavat käyttää palvelimiltaan suojattuja yhteyksiä joita portin 25 esto ei koske. Erillisten omilla säännöillään toimivien kuluttajaliittymien tekeminen ei ole hallinnallisesti tai kustannuksiltaan järkevää muutamaa käyttäjää varten.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Ei. Rajoituksen on määritellyt viranomainen ja syystä.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Oletusarvoisesti rajoitus tulisi olla päällä teleyrityksen kuluttaja- ja yhteisötilaajille.
        • Pidättekö perusteltuna laajentaa rajoitusta määräyksessä muihinkin kuin kuluttajaliittymiin?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Tälle ei ole havaittu tarvetta.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Voi olla perustelua laajentaa yritysliittymiin, tosin rajoitukset eivät voi olla samoja tietenkään. Rajoituksia voisi asettaa palveluille, joilla ei ole käytännössä laillista ja järkevää käyttötapausta ja/tai laajentaa nykyisiä rajoituksia yritysliittymiin, mutta siten, että asiakas saa halutessaan kytkettyä pois mikäli on tarvetta ajaa esimerkiksi palvelinohjelmistoja.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Kyllä. Ks. Edellä.
    • Lausunnonantajia: 3
      Haitallisen liikenteen suodatusvelvollisuus (15 §)
        • Pitäisikö mielestänne velvoite laajentaa palvelusta riippumattomaksi, tai laajentaa muihinkin palveluihin (kuten SMS/MMS)?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Tätä voidaan tarkastella
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Pidämme tarpeellisena laajentaa palvelusta riippumattomaksi esimerkiksi mobiilihaittaohjelmatapausten takia, jotka hyödyntävät SMS/MMS palvelua. Suunta palvelusta riippumattomaan on oikea sen sijaan, että yksittäisiä tekniikoita lisätään vaatimuksen piiriin. SMS/MMS on muutenkin jo Traficomin alaisen yhteistyöryhmän käsittelyssä ja lopputuleman voi olettaa vaikuttavan myös tähän. Suosittelemme jatka-maan määrittelyä em. työryhmässä.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Kyllä. Tiedustelulakien myötä, tietosuojaviranomaiset, tietosuojavaltuutetun toimisto ja eduskunnan tiedusteluvaltuutettu pystyvät omilla omillaan ottamaan vastuun yksityisyyden suojan loukkaus- tai selvityspyyntöihin mikäli velvoitetta laajennettaisiin.
        • Pidättekö tarpeellisena palvelunestohyökkäysten torjuntavelvoitteen tarkentamista? Mitä velvoitteen viestintäverkon suojaamiseksi palvelunestohyökkäyksiltä tulisi näkemyksenne mukaan sisältää? (havainnointi ja torjunta verkon sisältä ja ulkoa)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Havainnointi ja verkon toiminnan turvaaminen hyökkäystilanteissa.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Kyllä. Palvelunestohyökkäysten torjunta on ilman ohjeistusta jolloin ensimmäinen vaihe on vahvistaa havainnointikyvyn lisäämistä ja hyökkäysyrityksiin liittyvien tapahtumien tiedonvaihtoa uhrin ja viranomaisten välillä unohtamatta tilastointia jatkokehitystyötä varten.
        • Onko porttisuodatusten nykytila mielestänne oikea? Tulisiko joitain suosituksessa olevia suodatuksia nostaa määräykseen? Perustelkaa näkemyksenne. (Ks. myös suositus 312/2020 S.)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Tarvetta muutoksiin ei tämän osalta ole.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Porttisuodatus tulisi muuttaa porttitilastoiksi (portit >1024). DNS over HTTPS on hyvä esimerkki siitä, miten yhden portin taakse piilotetaan muuta,
        • Miten mielestänne suodatusvelvollisuutta pitäisi kehittää vastaamaan paremmin nykyisiä haasteita erityisesti salatun liikenteen osalta? (DNS over HTTPS ym.)
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Salattu liikenne on salattua ja siihen on vaikea puuttua. Jos tähän on jotain ajatuksia niin kuulemme siitä mielellämme
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Kyllä. Salatun DNS-liikenteen purku ja suodattimien tulee mahdollistaa. DNS-liikennettä ei ole koskaan suunniteltu salattavaksi, joten sitä periaatetta kannattaa noudattaa vaikka jotkut teknologiayhtiöt ovat asiasta toista mieltä.
        • SMS/MMS-liikenteen suodatuskyvykkyysvelvoitteen lisääminen?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Tätä voidaan tarkastella.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Kyllä. Traficomin ja operaattoreiden yhteistyöryhmä kartoittaa tällä hetkellä mahdollisuuksia eri teknisiin toteutuksiin. Työryhmän loppupäätelmät on hyvä odotella ennen kuin aletaan määrittämään varsinaisia velvoitteita.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Kyllä, mikäli teleyritykset eivät varmenna omissa rajapinnoissaan (ennen viestin lähettämistä) SMS/MMS yhdyskäytävän kautta tulevia vastaanottajien PLMN numeroa.
    • Lausunnonantajia: 4
      Internetyhteyspalveluliittymän irtikytkeminen (16 §)
        • Vastaavatko vaatimuksen perustelut nykytilaa?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Mielestämme ei ole kovinkaan tarkoituksenmukaista alkaa sulkemaan asiakkaiden laajakaistoja siksi, että siellä olevassa laitteessa on haavoittuvuus. Asiakkaan informoimista varten olisi kylläkin hyvä olla perusteet selvittää, kenen käytössä laite/ip-osoite on.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Yhteyspalveluliittymön omistaja ja operaattori ovat vastuussa yhteiskäytöstä. Toistuva liittymän väärinkäyttö tulee johtaa irtikytkentään niin että jokainen uusi väärinkäyttö tuo kaksi kertaa pidemmän irtikytkentäajan kuin edellinen väärinkäyttötapahtuma.
        • Tulisiko irtikytkemistä lievemmistä toimenpiteistä määrätä nykyistä tarkemmin?
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Sääntelyä voisi tarkentaa ilmoitusten antamisen osalta, mm. huomioiden tietoturvan uhka ja uhan kriittisyys
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Ei. Suomessa on nettiyhteyksiä jo paljon, joten lievät väärinkäytökset tuovat saman irtikykentäajan kuin vakavammat väärinkäytökset. Tämä siksi, että malli tulee olla yksinkertainen jotta teleoperaattoria ei rasiteta tarpeettomasya asiakaspalvelutyöstä väärinkäyttötilanteissa.
        • Tulisiko velvoitteessa (irtikytkeminen ja sitä lievemmät toimenpiteet) huomioida tilanteet, joissa haitallista liikennettä ei ole vielä havaittu, mutta asiakasliittymään on liitetty laite tai ohjelmisto, jonka haavoittuvuuden hyväksikäyttö olisi mahdollista?
        • Huawei Technologies Oy (Finland) Co. Ltd
          Päivitetty:
          31.8.2022
          • Tulisi huomioida. Tietoturvauhan kriittisyyden arviointi on tärkeää, ja asiakasta tulisi informoida tämän arvioinnin perusteella. Toimenpiteet ja niiden lievyystaso riippuu siis uhan vakavuudesta, ja jos kyseessä on kriittinen uhka, niin toimenpiteiden tulee olla nopeita.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Yleisesti todettakoon, että on parempi, että haavoittuva palvelu kytketään irti verkosta ennen kuin hyökkääjä saa sen haltuunsa ja aiheuttaa asiakkaalle tai verkkoon häiriötä. Toisaalta asiakkaan lähiverkossa olevien haavoittuvuuksien metsästäminen aiheuttaa teleoperaattoreille merkittäviä lisäkustannuksia. Lisäksi ne haavoittuvuudet, joihin tulisi reagoida pitäisi määritellä tosi tarkasti, ettei aleta sulkemaan liittymiä vähäpätöisistä haavoittuvuuksista. Lopulta asiakkaalla on vapaus päättää mitä päätelaitetta käyttää ja päivittääkö sitä vai jättääkö päivittämättä. Esimerkiksi miten todetaan, riittävällä varmuudella, yksittäisen asiakasliittymälaitteen haavoittuvuuden olevan hyväksikäytettävissä? Entä missä vaiheessa tehdään toimenpiteitä liittymälle, jos haavoittuvaa laitetta ei ole paikattu? Heti kun päivitys on tarjolla vai viikon kuluttua vai kuukauden kuluttua? Saastuttava liittymä on selkeä raja, jolloin toimenpiteet on perusteltuja, mutta jos sitä rajaa siirtää haavoittuvaisiin laitteisiin niin ollaan hyvin nopeasti veteen piirrettyjen viivojen äärellä.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Ei. Jokainen joka haluaa yhteiskäyttöoperaattoriksi oppii irtikytkentäajoilla korjaamaan omat haavoittuvuutensa palvelussaan.
  • Lausunnonantajia: 2
    Sähköpostipalvelujen erityiset vaatimukset (Luku 5)
      • Nykyinen määräys ei sisällä juurikaan vaatimuksia koskien sähköpostipalveluiden yleistä tietoturvallisuutta tai sähköpostin välittämiseen liittyvää luotettavuuden ja eheyden parantamista. Toimenpiteitä on kuitenkin esitetty määräyksen perustelumuistion puolella.

        Mikä on näkemyksenne siitä, tulisiko joitakin vaatimuksia tästä sisällyttää määräyksen uuteen versioon, esimerkiksi velvoittamalla turvallisuutta parantavien protokollien, menetelmien tai standardien, kuten DMARCin, DKIMin, SPFn, DANEn tai MTA-STSn käyttöön?
      • Elisa Oyj
        Päivitetty:
        31.8.2022
        • DMARC, DKIM, SPF voisivat olla vahvasti suositeltuja, mahdollisesti sidottuna postiosoitteen domai-nin käyttäjämäärään. Poikkeuksia kuitenkin tarvitaan mm. asiakkaiden omien domainien vuoksi. DANE, MTA-STS liian teknisesti raskaita vaatimuksiksi.
      • Jokela Petri
        Päivitetty:
        30.8.2022
        • Kyllä. Olen jo edellä esittänyt ne.
    • Lausunnonantajia: 3
      Sähköpostipalvelujen erityinen suodatusvelvollisuus (18 §)
        • Onko suodattamistoimenpiteistä koitunut jotain erityisiä haasteita?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei.
        • Elisa Oyj
          Päivitetty:
          31.8.2022
          • Lähes kaikilla automaattisilla suodatuksilla on jossain määrin false-positiveja, joista aiheutuu säännöllisen satunnaisia ongelmia yksittäisten asiakkaiden viestien kulkuun. DKIM/SPF/DMARC kaikki aiheuttavat postin uudelleenvälitys-palvelussa (viesti välitetään eteenpäin toiseen osoitteeseen) ongelmia. DKIM-forwardointia on hyväksikäytetty roskapostituksessa saamaan viestille parempi maine - “DKIM forward spamming”. Roskapostitusestoja joudutaan tekemään usein, ja laajoille IP-avaruuksille, ei ole mahdollista tiedottaa kaikkia lähettäjätahoja asiasta.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Kyllä. Tietosuojaasetukset ja lait eivät salli tehokasta haittasähköpostiliikenteen suodatusta, koska haittapostittajat tietävät miten tietosuojaa kannattaa käyttää hyväksi haittapostituksissa. Kirjattu kirje sähköpostina Suomen sisällä kansalaiselta toiselle (esim. Kansalaisten ja viranomaisten välinen sähköpostiliikenne) on saantosuhteeltaan tehokkaampi väline haittasähköpostituksen vähentämiseksi.
        • Määräyksen perustelumuistiossa on esitelty kattavasti eri menetelmiä sähköpostin suodatuksen toteuttamiseksi. Puuttuuko näistä jotain?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei. Määräykseen kirjatut velvoitteet jonkun tietyn tekniikan käytöstä voi olla haastavaa, mutta toki pyrkimys sähköpostin turvallisuuden parantamiseksi on tavoiteltavaa.
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Ei. Niitä on jo valitettavasti siinä liikaa ja ne eivät ole tehokkaita tulevaisuutta ajatellen.
  • Lausunnonantajia: 0
    Asiakkaille tiedottaminen (Luku 6)
    • Lausunnonantajia: 2
      Yleinen tiedotusvelvollisuus tietoturvatoimenpiteistä (21 §)
        • Vaatiko Viestintäviraston suositus "Kansainvälisesti toteutetun palvelun tietoturvasta tiedottamisesta"(205/2014 S) mielestänne ajantasaistamista?
        • Telia Finland Oyj
          Päivitetty:
          7.9.2022
          • Ei vaadi,
        • Jokela Petri
          Päivitetty:
          30.8.2022
          • Kyllä. Siviili- ja sotilastiedustelulakien voimaantulon myötä Suomessa suositus 205/2014 S on vanhentunut.
  • Lausunnonantajia: 4
    Mahdolliset muut huomionne
      • Tähän voitte kirjoittaa mahdolliset muut huomionne määräykseen tai sen soveltamiseen liittyen.
      • Telia Finland Oyj
        Päivitetty:
        7.9.2022
        • Osallistumme mielellämme määräysuudistusta valmistelevaan työryhmätyöskentelyyn.
      • Huawei Technologies Oy (Finland) Co. Ltd
        Päivitetty:
        31.8.2022
        • Pidämme määräyksen päivittämistä hyvänä ja ajankohtaisena hankkeena. Kyberturvallisuusympäristö ja uhkakuvat ovat jatkuvassa muutoksessa. Teknologiaratkaisujen ja käyttötarkoitukset kehittyvät myös nopeasti, mutta voimassaoleva määräys on kestänyt hyvin aikaa. Toivomme nyt ajantasaistettavalle määräykselle myös pitkää käyttöikää. Kansallisella tasolla suositukset ovat merkittävässä roolissa tietoturvan kehittämisessä. Suositusten laatimisessa viranomaisten ja yksityisen sektorin yhteistyö on keskeistä parhaiden tuloksien saavuttamiseksi. Suomessa on perinteisesti onnistuttu hyvin tässä tärkeässä yhteistyössä. Velvoittavissa määräyksissä on tärkeää ottaa huomioon EU-tason sääntely ja kansallisten määräyksien vaikutukset mm. kustannustehokkuuden ja unionin sisämarkkinan toimivuuden kannalta.
      • Jokela Petri
        Päivitetty:
        30.8.2022
        • Määräyksessä on paljon korjattavaa, joten toivon että muutosten välttämättömyys televerkkoissa tunnustetaan jotta tahaton tai joskus myös jopa tarkoituksenmukainen kyberriskien siirto yhdeltä toiselle saadaan vähenemään.
      • Suomen Erillisverkot Oy, Junttila Kari
        Päivitetty:
        18.8.2022
        • Yleisenä huomiona voidaan todeta, että tämän määräyksen tavoitteet ovat nykyisessä turvallisuuspoliittisessa tilanteessa erittäin tärkeitä. Yleisen teletoiminnan tulee myös omalta osaltaan vahvistaa viranomaisten viestinnän luottamuksellisuutta, eheyttä sekä saatavuutta. Useat viranomaisten kriittiset palvelut käyttävät tiedonsiirtoon julkisia televerkkoja.