• Remissinstanser: 0
    Yleiset säännökset (Luku 1)
    • Remissinstanser: 5
      Soveltamisala (2 §)
        • Pitäisikö vaatimuksia asettaa eri tasoisina (erilaisille) teleyrityksille? Jos kyllä, niin miten jaottelu mielestänne tulisi toteuttaa?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Vaatimusten ei tule olla eri tasoisia eri yrityksille. Jaottelu tulee tehdä palvelu ja tietosisältökohtaisesti.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Lähtökohtaisesti kannatamme samoja vaatimuksia kaikille teleyrityiksille. Mahdollinen jaottelu eri tasoisille vaatimuksille voitaisiin perustelluissa erityistapauksissa tehdä teknologianeutraalisti erilaisten toimijoiden tarjoamien palveluiden kriittisyyden perusteella. Velvoittavia vaatimuksia voitaisiin täydentää suosituksilla, joissa otettaisiin huomioon eri kokoisten toimijoiden resurssit. Suositusten laatimisen tueksi olisi hyödyllistä kehittää entisestään yhteistyöfoorumeita, joissa isommat teleyritykset, viranomaiset ja muut toimialan yritykset voivat jakaa kokemuksiaan. Viranomaisen julkaisemat suositukset parhaista käytännöistä voisivat toimia tukena velvoitteiden noudattamiseen. Työryhmissä voitaisiin laatia myös kyberturvallisuuden ”huoneen taulu” tukemaan vaatimusten ja ohjeistusten impelentoinnissa etenkin pienempiä toimijoita ajatellen.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Vaatimukset tulisi pyrkiä asettamaan riskiperusteisesti teleyrityksen kokoon ja toimintaan nähden ja mm. palveluiden kriittisyyden mukaan.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Ei.
        • Suomen Erillisverkot Oy, Junttila Kari
          Uppdaterad:
          18.8.2022
          • "Teleyritykselle määräyksen 3 luvun 9 §:n 1 momentissa määrätyt velvoitteet koskevat myös viranomaisverkkoa siltä osin kuin viranomaisverkko yhteen liitetään yleiseen viestintäverkkoon." - Kun viranomaisten kriittinen langaton viestintä on siirtynyt yleisiin televerkkoihin, on tärkeää varmistaa, ettei yleiseen viestintäverkkoon liitetyn viranomaisverkon toiminta ei vaarannu.
    • Remissinstanser: 2
      Määritelmät (3 §)
        • Ovatko määritelmät olleet riittävän kattavia ja toimivia?
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Voimassa olevan määräyksen 67 määritelmät ovat mielestämme olleet toimivia. Määrittelyjen tulisi yhtäältä olla tarkkarajaisia, mutta samalla huomioida teknologianeutraalius ja teknologian nopea kehitys. Liikenne- ja viestintävirasto on tässä tasapainoilussa on onnistunut hyvin. Implementoinnin tueksi voitaisiin antaa suosituksia parhaista käytännöistä
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Yhteisötilaajan rooli, määritelmä ja vastuut tässä esityksessä on hyvä ajantasaistaa. Yhteisötilaaja-käsite on hyvä, mutta sen kytkös teletoiminnan vastuisiin ja velvoitteisiin on vaillinainen.
  • Remissinstanser: 0
    Kaikkien verkkojen ja palvelujen yleiset vaatimukset (Luku 2)
    • Remissinstanser: 4
      Tietoturvallisuuden huomioiminen (4 §)
        • Ovatko vaatimukset mielestänne liian ylätasoisia? Jos ovat, miltä osin niitä mielestänne tulisi tarkentaa?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Eivät ole liian ylätasoisia.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Voimassa olevan määräyksen 67 määritelmät ovat mielestämme olleet toimivia. Määrittelyjen tulisi yhtäältä olla tarkkarajaisia, mutta samalla huomioida teknologianeutraalius ja teknologian nopea kehitys. Liikenne- ja viestintävirasto on tässä tasapainoilussa on onnistunut hyvin.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Vaatimuksien vieminen liian syvälle teknisesti on epätoivottu tilanne, johon sisältyy liiketoiminnallinen riski. Valitut ratkaisut riittävän turvallisuuden rakentamiselle tulee olla teleyrityksen itsensä valittavissa. Määräyksen olisi hyvä pysyä riittävän ylätasolla, eikä keskittyä yksittäisiin teknisiin vaatimuksiin. Täsmennykset ovat lähtökohtaisesti hyviä, mutta tärkeintä on mihin muotoon vaatimus lopulta tulee ja minkälaiseen toimintaan se ajaa. Suositukset ja ohjeet ovat monesti toimivampi tie.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Ei. Yleinen ymmärrys tietoturvan merkityksestä on televerkoissamme riittävän hyvä.
        • Verkon liikenteen ja rajapintojen suojaaminen: olisiko mielestänne tarpeen edellyttää teleyrityksiltä signalointi- ja käyttäjäliikenteen suojaamista salaamalla liikenne aina kun se on teknisesti mahdollista?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei kaikkea liikennettä. Asiakkaan tarpeen mukaan.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Lähtökohtaisesti kannatamme liikenteen salaamista aina kun se on teknisesti mahdollista. Toisaalta teleyrityksille olisi hyvä jäädä mahdollisuus arvioida onko mm. lisäkustannuksia aiheuttava liikenteen salaus täysin välttämätöntä kaikissa tapauksissa. Salausteknologioiden hyödyntäminen on yleistynyt viimeisen kymmenen vuoden aikana niin paljon, että määräyksessä ei välttämättä ole tarpeen edellyttää liikenteen suojaamista salaamalla velvoittalla määräyksellä. Määräyksen sijaan viranomainen voisi antaa suosituksen parhaista käytännöistä.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Verkon rajapintojen hyödyntämisessä tulisi keskitettyä enemmän tunnistamaan miten rajapintaa käytetään kuin siihen mitä tietoa rajapinnan yli lähetetään/vastaanotetaan.
        • Matkaviestinverkon infrastruktuurin toteutukset pilvipalveluissa (esim. miten eri pilvipalveluratkaisut tulisi huomioida määräyksessä?)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Tarkemmat tulkinnat ovat tarpeen pilvipalveluiden roolista yleisessä teletoiminnassa.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Eri palvelumallit (PaaS, IaaS, SaaS) ja kutakin mallia koskevien vastuiden jakautuminen käyttäjän, pilvipalvelun toimittajan ja mahdollisen kolmannen osapuolen (esim. ulkoistettu ohjelmistokehitys) välillä sekä rajoitukset tietoihin pääsyyn tulisi huomioida. tulisi huomioida. Yleisesti ottaen pilvipalvelutoteutuksia koskevat suositukset ovat joustavampi tapa ottaa huomioon erilaisten palvelumallien erot ja nopean kehityksen. Myös EU-tason sääntelykehityksen ja suositusten huomiominen kansallisissa määräyksissä tai suosituksissa on tärkeää. Suosituksena Pitukri voisi toimia lähtökohtana eri toimijoiden pilvipalveluiden turvallisuuden arvioinnissa. Sitä voitaisiin siis hyödyntää laajemmin elinkeinoelämän tarpeisiin ja pilvipalveluntarjoajien omaehtoisen turvallisuustyön tukena.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • EU:n ajamat hankkeet EU:n kansalaisten ja yritysten tietopääoman pitämisessä EU:n kansallisvaltioiden alueella on riittävää myös matkaviestinverkon infrastruktuurin toteutuksille Suomessa.
        • Alihankintaturvallisuuden huomiointi (toimitusketjut, ohjelmistot, tukipalvelut)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Telealan yritykset ottava laajasti huomioon alihankintaturvallisuuteen liittyviä tekijöitä sekä sopimusperusteisesti että omasta aloitteestaan. Alihankintaturvallisuuden huomiointi osana riskienhallintaa on tärkeää. Alihankintaturvallisuuden huomionti voisi olla tehokkainta toteuttaa suositusten pohjalta, sillä kyseessä on hyvin laaja kokonaisuus. Alihankintaturvallisuuden keskeisiä elementtejä ovat mielestämme: Standardien ja sertifikaattien edellyttäminen ja yhtenäiset sertifikaatit, joita noudatetaan Toiminnan jatkuvuuden ja toimitusketjun kypsyystason ja resilienssin huomionti Avoimuus ja teleyrityksen tai kolmannen osapuolen toteuttama auditointi ja muu valvonta Toimialayhteistyö ja tehokas yhteistyö yksityisen sektorin toimijoiden sekä viranomaisten välillä Haavoittuvuuden hallinnan kypsyys ja tehokkuus Turvahäiriöhistoria
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • ”Pääurakoitsija” (lue:teleyritys) on tilivelvollinen edustamansa verkon turvallisuuden toimeenpanosta. ”Alihankkija” (lue: myös yhteisötilaaja ajoin) on tilivelvollinen teleyrityksen verkon käytön turvallisuuden toiminnasta oman vastuualueensa roolissa televerkon käyttäjänä/tilaajana.
        • Verkon virtualisointi (Trust domains, VNF erottelu, hyökkäysvektoreiden minimointi, virtualisointiympäristön verkonhallinta, HMEE, alustan luotettavuuden todentaminen.)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Aiheita olisi hyvä tarkastella yhdessä.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Tuovat lisää tarpeetonta monimutkaisuutta teleyrityksille ja yhteisötilaajille. Suosituksia virtualisoinnista ei tulisi antaa, vaan jokainen teleyritys ja yhteisötilaaja tekee virtualisointipäätöksiään omien riskien hallinnan kautta.
        • Pääsynhallintavelvoitteiden laajentaminen ja täsmentäminen (laajentaminen ohjelmistojen/laitteiden oikeuksiin (SBA-turvallisuus), Automaattinen avaintenhallinta)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta sääntelylle. Suosituksena voisi esittää esimerkkejä.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Pääsynhallintavelvoitteiden sijaan lisäpanostusta tulisi kohdentaa luonnollisten henkilöiden sähköisen identiteetin käytön kehittämiseen. Pääsynhallinta on vain väline päästä tekemään jotain jonnekin.
        • Erilaisten lokien tallentaminen ja suojaaminen
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Lokien tallentamisajasta, lokien fyysisestä sijainnista ja suojauksen käytännöistä voisi olla hyödyllistä tarkentaa suosituksia.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Velvoittavat säädökset lokien tallentamisen ja suojaamisen osalta tulisi perustua EU-tason sääntelyyn. Kansallisella tasolla suositus olisi nähdäksemme mielekkäämpi vaihtoehto.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Tallentamista ja suojaamista olennaisempaa on määritellä milloin lokitiedot tuhotaan.
        • Miten määräyksessä tulisi huomioida reunalaskentayksiköiden suojaaminen?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Suojaamisessa tulisi keskittyä tietoturvan toimenpiteisiin. Tarkemmat tulkinnat ovat tarpeen pilvipalveluiden roolista yleisessä teletoiminnassa.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Reunalaskentayksiköiden yleistymisen etuja ovat ydintoimintojen korkeampi käytettävyys turvallisuuteen liittyvänä näkökohtana. Reunalaskennan avulla on mahdollista käsitellä tiettyjä toimintoja paikallisesti. Tämä mahdollistaa mm. suuremman kapasiteetin ydintoiminnoissa sekä pienemmän latenssin. Reunalaskentayksiöiden osalta myös fyysiseen suojaamiseen tulee kiinnittää huomiota.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • -
        • Käyttöoikeusrekisteri: Käyttöoikeuksien ylläpito ja dokumentointivelvoitteen laajentaminen ja täsmentäminen (sisältäen tahot (henkilöt), joilla on teleyrityksen henkilöstön lisäksi järjestelmänvalvojan oikeus käyttää laitteistoa tai ohjelmistoa)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Reunalaskentayksiköiden osalta painopiste voisi olla enemmän loogisessa suojaamisessa. Käyttöoikeusrekisteri on yksi lopputulema hyvin hoidetusta pääsynhallinnasta ei itseisarvo. Pikemminkin pitäisi keskittyä siihen, että pääsynhallintamalli on olemassa ja dokumentoitu ja siihen liittyvät kontrollit on kuvattu ja samalla mallilla mennään myös reunoilla.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Korotettujen käyttövaltuuksien elinkaaren hallintaa ja ohjeistusta tulee terävöittää, koska nämä käyttövaltuudet kiinnostavat eninten rikollisia tai muita kyberin avulla tietoa itselleen hankkivia.
    • Remissinstanser: 3
      Riskien hallinta (5 §)
        • Tulisiko riskienhallinnan seurantasyklit määritellä joiltain osin tai kokonaan esimerkiksi kriittisten toimintojen/järjestelmien osalta? (Nykyisin teleyritys voi itse määrittää sopivat seurantasyklit.)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Säännöllinen ja aktiivinen riskienhallinta on toimivan tietoturvan peruskivi, mutta käytännössä riskienhallintaprosessit ovat eri yrityksissä erilaisia ja sykelihin perustuva tarkastelu voi olla monessa yrityksessä jo vanhentunutta ajattelua. Riskienhallinta tulisi rakentaa toimintaan sisälle jatkuvaksi prosessiksi jolloin ei ole tarvetta ”säännöllisille riskityöpajoille”. Niin sanottu ”säännöllinen riskienhallinta” jää usein compliance-toimenpiteeksi ja auditoijalle esitettäväksi todisteeksi sen sijaan, että se toimisi aitona työkaluna.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Itsevalvonta on riittävää, kunhan riskin realisoituessa valvova viranomainen voi tarkastaa viimeisimmän riskirekisterin ja tehdä siitä lausunnon sitä tarvitseville. Tämä pätee sekä korkean että matalan riskin ympäristöihin.
        • Tulisiko edellyttää riskienhallinnan tulosten dokumentointia useammalta käsittelykerralta? (Nykyisin vain viimeinen käsittelykerta on dokumentoitava.)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Ei tulisi. Sen sijaan, voisi vaatia kvantitatiivista näyttöä riskienhallinnan prosessin toimivuudesta.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Riskien hallinnan tulosten tulee perustua haavoittuvuuksiin, jonka tilannekuvaa teleyritys ylläpitää ja raportoi pyydettäessä viranomaisille (esim. LVM).
    • Remissinstanser: 2
      Tietoaineistot (6 §)
        • Ovatko tietoaineistojen luokitusjärjestelmää ja luokitteluun liittyvää käsittelymenettelyä koskevat vaatimukset ajan tasalla? Tuovatko esimerkiksi pilviratkaisut uusia haasteita?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Kyllä. Tarkemmat tulkinnat ovat tarpeen pilvipalveluiden roolista yleisessä teletoiminnassa.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Pilviratkaisujen käyttö tuo mukanaan runsaasti mahdollisuuksia mutta myös joitakin haasteita, kuten kaikki uudet teknologiat. Haasteiden tunnistamiseen ja haasteisiin liittyviä ratkaisuja on tässä vaiheessa tehokkaampaa etsiä viranomaisten ja toimialan yritysten yhteistyöhön pohjautivien suositusten kautta. Alan standardeja, sertifikaatteja ja yhteisiä eurooppalaisia vaatimuksia tulisi käyttää turvallisuuden perustana yksittäisten kansallisen tason määräysten sijaan.
        • Onko mielestänne ollut selvää, mitä tietoaineistoja velvoite koskee?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
    • Remissinstanser: 4
      Hallintaverkon ja hallintayhteyksien liikenne (8 §)
        • Mitä tarpeita yleisesti ottaen näette hallintaverkon ja hallintayhteyksien liikenteen turvallisuusvaatimuksien parantamiseksi?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Turvallisuusvaatimuksia voitaisiin täydentää suosituksella, jossa huomioitaisiin esimerkiksi: rajoitettu käyttöoikeus, omat tilit, erilliset laitteisto- ja verkkotunnelit, valvonta, binääriallekirjoitusten varmistus sekä tapauskotaisesti myös lähdekoodin testaus ja todentaminen.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Tulevaisuudessa dedikoitujen hallintaverkkojen rooli tulee todennäköisesti pienenemään ja paikasta riippumaton työskentely kasvamaan. Tästä syystä vaatimuksilla tulisi ohjata suuntaan, jossa keskeisimmät kriteerit pääsylle tarkastetaan ja niihin liittyviin kontrolleihin keskitytään (ref: ZTNA). Lisäksi hallintatoimenpiteitä tekee enemmän ja enemmän automaatio, ei ihminen.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Hallintaverkot ja yhteydet tulisi eriyttää teleyritysten tuotanto- ja asiakasverkoista (ns. Out-of-Band hallintayhteys operoitavaan kohteeseen).
        • Tulisiko mielestänne asetusmuutoksien lokitusta koskeva suositus muuttaa velvoittavaksi? Tulisiko suosituksen tai velvoitteen mukaista tallennusaikaa pidentää esimerkiksi yhteen vuoteen?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Lokien osalta on tärkeää tunnistaa mihin lokeja tarvitaan. Lokeja tulee säilyttää vaatimustenmukaisuus mielessä, mutta niitä myös tarvitaan tutkinnassa ja tietoturvan valvonnassa. Loki on instrumentti, jolla on oma roolinsa useassa asiassa, mutta voi synnyttää myös itsessään haasteita. Vaatimuksen tulisi tähdätä lopputulokseen, ei osatekijään. Lisäksi epäsuoria vaatimuksia lokien tallentamiseen löytyy lainsäädännöstä jo nyt (GDPR, LSVP).
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Kyllä. Sekä teleyrityksen itsensä, yhteisötilaajien ja asiakkaiden kannalta minimi lokitusaika on 12kk. Tämä on myös teleyrityksen omaa toimintaa suojaava toimenpide.
        • Tulisiko hallintaverkon erottamista tai verkonhallintaan käytettävien työasemien liikennöinnin rajoittamista koskeva suositus muuttaa velvoittavaksi? Jos kyllä, mitä velvoitteiden tulisi edellyttää?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Hallintaverkon kriittiset osat tulisi pitää eriytettynä esim. Esimerkiksi kiristyshaittaohjelma- skenaarion näkökulmasta, jos yrityksen muu toiminta/ympäristö on vaarantunut, ei hallintaverkkoihin tule päästä vaikuttamaan. Eriyttämisessä voisi ottaa mallia esimerkiksi OT-ympäristöissä käytetyistä malleista. Verkkojen hallinnan voi toteuttaa niin monella eri tavalla, että tarkkaa vaatimusta voi olla erittäin vaikea kirjata ja voi pahimmassa tapauksessa huonontaa tietoturvaa. Ohje/suositus sen sijaan voisi toimia. Varsinkin vanhakantainen ajatusmalli, jossa hallintaa tehdään erillisissä, verkoissa erillisillä laitteilla ja erillisistä tiloista pitäisi häivyttää sillä se ei istu nykyisiin toimintamalleihin.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • -
        • Tulisiko jatkossa vaatia keskitettyä lokienhallintaa? Jos kyllä, minkä toimintojen osalta?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Ei tulisi. Tarveperusteisesti keskittyisin lopputulokseen mitä keskitetyllä lokienhallinnalla yritetään saavuttaa. Kts. edellinen kommentti lokienhallinnasta.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • -
        • Tulisiko jatkossa vaatia lokienhallintapolitiikan laatimista ja ylläpitoa?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Ei tulisi. Ennemmin keskittyisin lopputulokseen mitä yritetään saavuttaa. Kts. edellinen kommentti lokienhallinnasta. Politiikka on yksi työkalu yrityksen oman toiminnan johtamiseen. Saman voi saada aikaan vaihtoehtoisilla tavoilla.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Kyllä, jollei sitä ole todennettu.
        • Tulisiko mielestänne lokitusten tarkkuustaso määritellä?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Kannatamme sen määrittelemistä, mitä lokeja kerätään, ja onko lokitus esimerkiksi keskitetty, vai miten kerääminen tulisi rajoittaa. Lisäksi kustannustehokkuusnäkulma tulisi ottaa huomioon huomioon
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • -
  • Remissinstanser: 4
    Rajapintojen erityiset vaatimukset (Luku 3)
      • Tulisiko mielestänne teleyrityksiltä edellyttää signalointirajapintojen suojaamista (esim. SS7, Diameter & HTTP/2)? Jos kyllä, mitä toimenpiteitä tulisi edellyttää?
      • Telia Finland Oyj
        Uppdaterad:
        7.9.2022
        • Ei tarvetta tarkemmalle sääntelylle. Työryhmätyöskentelyssä olisi asiasta kuitenkin hyvä keskustella.
      • Elisa Oyj
        Uppdaterad:
        31.8.2022
        • Ajatus on hyvä, mutta pitäisimme itse vaatimuksen tässä ylätasolla ilman yksittäisiä teknisiä vaatimuksia. Tällä hetkellä Traficom on antanut vahvan suosituksen SS7 signaloinnin suojaamisesta teknisellä tasolla ja tätä suositusta voisi täsmentää yhdessä teleoperaattoreiden kanssa vastaamaan käytännön realiteetteja.
      • Jokela Petri
        Uppdaterad:
        30.8.2022
        • Signalointirajapinnoista tulee poistaa mahdollisuus käyttää PSTN/PLMN numeroa, jota ei ole rekisteröity käyttöön minkään operaattorin toimesta.
      • Suomen Erillisverkot Oy, Junttila Kari
        Uppdaterad:
        18.8.2022
        • " 9 § Yhteenliittämis- ja asiakasrajapintojen häiriöiden estäminen ja niiltä suojautuminen Teleyrityksen on pidettävä huolta, että sen viestintäverkon tai -palvelun komponentit eivät aiheuta häiriötä muiden teleyritysten viestintäverkoille tai -palveluille. Teleyrityksellä on oltava tarkoituksenmukaiset mekanismit näiden häiriöiden estämiseksi. " - Teleyrityksiltä tulee edellyttää kaikkia niitä toimenpiteitä, joilla varmistetaan kriittisen viestinnän häiriöttömyys yleisissä televerkoissa.
    • Remissinstanser: 2
      IP-liikenteen estäminen yhteenliittämisrajapinnoissa (11 §)
        • Tulisiko vaatimusta tarkentaa esimerkiksi reunareitittimillä BGP-istuntojen suojausta koskevilla vaatimuksilla, RPKI:n käyttöönottoon velvoittamisella tai liian tarkkojen reittimainostusten, väärennettyjen reittimainostusten ja erityiseen käyttöön varattujen osoiteavaruuksien suodattamisvelvollisuudella?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Tärkeämpää kuin BGP-istuntojen salaustekniikan suhteen on täsmentää prosesseja joilla AS-numeroita (Autonomous System) myönnetään niitä pyytäville.
  • Remissinstanser: 0
    Internetyhteyspalvelujen erityiset vaatimukset (Luku 4)
    • Remissinstanser: 3
      Internetyhteyspalvelujen liikennöinnin eriyttäminen (13 §)
        • Vastaavatko vaatimuksen perustelut nykytilaa? Onko olemassa uudenlaisia tapoja toteuttaa liikenteen erottelua? Pitäisikö mielestänne velvoite laajentaa palvelusta riippumattomaksi?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei tarvetta tarkemmalle sääntelylle.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • -
        • Viipalointi (esim. viipaleiden eriyttäminen, vertikaalien pääsynhallinta). Miten määräyksessä tulisi mielestänne huomioida viipaloinnin turvallisuuskysymykset?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Työryhmätyöskentelyssä olisi asiasta kuitenkin hyvä keskustella.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Yksittäisissä teknisissä vaatimuksissa on oma riskinsä. Ylätasolla voidaan viitata olemassa oleviin kehyksiin kuten GSMA standardit ja suositukset tai NESAS.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • -
    • Remissinstanser: 3
      Kuluttajaliittymistä lähtevän sähköpostiliikenteen ohjaus (14 §)
        • Onko SMTP-liikenteen rajoittaminen määräyksen kuvaamalla tavalla mielestänne jatkossakin tarpeellista? (perustelkaa näkemyksenne)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Teleyrityksen on estettävä kuluttajaliittymistä lähtevä rajoittamaton SMTP-liikenne muuten kuin sovittujen lähtevälle SMTP-liikenteelle tarkoitettujen palvelimien kautta.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • On tarpeellista. Nimenomaan liittymästä Internetiin porttiin 25 suuntautuvan liikenteen estäminen vähentää roskapostin ja sitä kautta haitallisen liikenteen määrää merkittävästi.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • SMTP-liikenteen rajoittamiseen tulisi lisätä DNS-tietueidem tehokkaampi käyttövaatimus: Sender Policy Framework (SPF) auktorisoidun lähettäjän auktorisoidun IP-osoitteen käyttämiseksi, DMARC-tietueen (Domain-based Authentication, Reporting, and Conformance) asettaminen sähköpostidomainin haittapostituksen käsittelyä varten (vähintään fi-domainin alidomainille) ja DKIM-tietueen (DomainKeys Identified Mail) sähköpostiliikenteen eheyden varmistamiseksi. Jos joku vaatii SMTP-postinvälitystä sekä kulutta- että yhteisötilaajana, tämä taho pystyy varmasti selvittämäään itselleen miten postinvälityksen turvallisuus yo. menetelmillä toteutetaan.
        • Jos ei, miten rajoitusta tulisi mielestänne muuttaa? Tulisiko rajoitus poistaa kokonaan tai osittain?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Liikenteen rajoittamista on syytä jatkaa suodatuksen tehokkuuden ja asiakkaille koituvan minimaalisen haitan vuoksi. Vaikka suorat SMTP-yhteydet kotikoneilta ovatkin jo hiukan muinaishistoriaa voidaan näitä vielä valitettavasti käyttää tehokkaasti roskapostittamiseen. Mielestämme muutokselle tämän osalta ei ole tarvetta.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Ks. Edellä.
        • Pidättekö perusteltuna kehittää määräystä niin, että teleyrityksen tulisi kuluttajan pyynnöstä poistaa rajoitus liittymästä?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Asiaan perehtyneet harrastajat osaavat käyttää palvelimiltaan suojattuja yhteyksiä joita portin 25 esto ei koske. Erillisten omilla säännöillään toimivien kuluttajaliittymien tekeminen ei ole hallinnallisesti tai kustannuksiltaan järkevää muutamaa käyttäjää varten.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Ei. Rajoituksen on määritellyt viranomainen ja syystä.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Oletusarvoisesti rajoitus tulisi olla päällä teleyrityksen kuluttaja- ja yhteisötilaajille.
        • Pidättekö perusteltuna laajentaa rajoitusta määräyksessä muihinkin kuin kuluttajaliittymiin?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Tälle ei ole havaittu tarvetta.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Voi olla perustelua laajentaa yritysliittymiin, tosin rajoitukset eivät voi olla samoja tietenkään. Rajoituksia voisi asettaa palveluille, joilla ei ole käytännössä laillista ja järkevää käyttötapausta ja/tai laajentaa nykyisiä rajoituksia yritysliittymiin, mutta siten, että asiakas saa halutessaan kytkettyä pois mikäli on tarvetta ajaa esimerkiksi palvelinohjelmistoja.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Kyllä. Ks. Edellä.
    • Remissinstanser: 3
      Haitallisen liikenteen suodatusvelvollisuus (15 §)
        • Pitäisikö mielestänne velvoite laajentaa palvelusta riippumattomaksi, tai laajentaa muihinkin palveluihin (kuten SMS/MMS)?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Tätä voidaan tarkastella
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Pidämme tarpeellisena laajentaa palvelusta riippumattomaksi esimerkiksi mobiilihaittaohjelmatapausten takia, jotka hyödyntävät SMS/MMS palvelua. Suunta palvelusta riippumattomaan on oikea sen sijaan, että yksittäisiä tekniikoita lisätään vaatimuksen piiriin. SMS/MMS on muutenkin jo Traficomin alaisen yhteistyöryhmän käsittelyssä ja lopputuleman voi olettaa vaikuttavan myös tähän. Suosittelemme jatka-maan määrittelyä em. työryhmässä.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Kyllä. Tiedustelulakien myötä, tietosuojaviranomaiset, tietosuojavaltuutetun toimisto ja eduskunnan tiedusteluvaltuutettu pystyvät omilla omillaan ottamaan vastuun yksityisyyden suojan loukkaus- tai selvityspyyntöihin mikäli velvoitetta laajennettaisiin.
        • Pidättekö tarpeellisena palvelunestohyökkäysten torjuntavelvoitteen tarkentamista? Mitä velvoitteen viestintäverkon suojaamiseksi palvelunestohyökkäyksiltä tulisi näkemyksenne mukaan sisältää? (havainnointi ja torjunta verkon sisältä ja ulkoa)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Havainnointi ja verkon toiminnan turvaaminen hyökkäystilanteissa.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Kyllä. Palvelunestohyökkäysten torjunta on ilman ohjeistusta jolloin ensimmäinen vaihe on vahvistaa havainnointikyvyn lisäämistä ja hyökkäysyrityksiin liittyvien tapahtumien tiedonvaihtoa uhrin ja viranomaisten välillä unohtamatta tilastointia jatkokehitystyötä varten.
        • Onko porttisuodatusten nykytila mielestänne oikea? Tulisiko joitain suosituksessa olevia suodatuksia nostaa määräykseen? Perustelkaa näkemyksenne. (Ks. myös suositus 312/2020 S.)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Tarvetta muutoksiin ei tämän osalta ole.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Porttisuodatus tulisi muuttaa porttitilastoiksi (portit >1024). DNS over HTTPS on hyvä esimerkki siitä, miten yhden portin taakse piilotetaan muuta,
        • Miten mielestänne suodatusvelvollisuutta pitäisi kehittää vastaamaan paremmin nykyisiä haasteita erityisesti salatun liikenteen osalta? (DNS over HTTPS ym.)
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Salattu liikenne on salattua ja siihen on vaikea puuttua. Jos tähän on jotain ajatuksia niin kuulemme siitä mielellämme
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Kyllä. Salatun DNS-liikenteen purku ja suodattimien tulee mahdollistaa. DNS-liikennettä ei ole koskaan suunniteltu salattavaksi, joten sitä periaatetta kannattaa noudattaa vaikka jotkut teknologiayhtiöt ovat asiasta toista mieltä.
        • SMS/MMS-liikenteen suodatuskyvykkyysvelvoitteen lisääminen?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Tätä voidaan tarkastella.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Kyllä. Traficomin ja operaattoreiden yhteistyöryhmä kartoittaa tällä hetkellä mahdollisuuksia eri teknisiin toteutuksiin. Työryhmän loppupäätelmät on hyvä odotella ennen kuin aletaan määrittämään varsinaisia velvoitteita.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Kyllä, mikäli teleyritykset eivät varmenna omissa rajapinnoissaan (ennen viestin lähettämistä) SMS/MMS yhdyskäytävän kautta tulevia vastaanottajien PLMN numeroa.
    • Remissinstanser: 4
      Internetyhteyspalveluliittymän irtikytkeminen (16 §)
        • Vastaavatko vaatimuksen perustelut nykytilaa?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Mielestämme ei ole kovinkaan tarkoituksenmukaista alkaa sulkemaan asiakkaiden laajakaistoja siksi, että siellä olevassa laitteessa on haavoittuvuus. Asiakkaan informoimista varten olisi kylläkin hyvä olla perusteet selvittää, kenen käytössä laite/ip-osoite on.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Yhteyspalveluliittymön omistaja ja operaattori ovat vastuussa yhteiskäytöstä. Toistuva liittymän väärinkäyttö tulee johtaa irtikytkentään niin että jokainen uusi väärinkäyttö tuo kaksi kertaa pidemmän irtikytkentäajan kuin edellinen väärinkäyttötapahtuma.
        • Tulisiko irtikytkemistä lievemmistä toimenpiteistä määrätä nykyistä tarkemmin?
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Sääntelyä voisi tarkentaa ilmoitusten antamisen osalta, mm. huomioiden tietoturvan uhka ja uhan kriittisyys
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Ei. Suomessa on nettiyhteyksiä jo paljon, joten lievät väärinkäytökset tuovat saman irtikykentäajan kuin vakavammat väärinkäytökset. Tämä siksi, että malli tulee olla yksinkertainen jotta teleoperaattoria ei rasiteta tarpeettomasya asiakaspalvelutyöstä väärinkäyttötilanteissa.
        • Tulisiko velvoitteessa (irtikytkeminen ja sitä lievemmät toimenpiteet) huomioida tilanteet, joissa haitallista liikennettä ei ole vielä havaittu, mutta asiakasliittymään on liitetty laite tai ohjelmisto, jonka haavoittuvuuden hyväksikäyttö olisi mahdollista?
        • Huawei Technologies Oy (Finland) Co. Ltd
          Uppdaterad:
          31.8.2022
          • Tulisi huomioida. Tietoturvauhan kriittisyyden arviointi on tärkeää, ja asiakasta tulisi informoida tämän arvioinnin perusteella. Toimenpiteet ja niiden lievyystaso riippuu siis uhan vakavuudesta, ja jos kyseessä on kriittinen uhka, niin toimenpiteiden tulee olla nopeita.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Yleisesti todettakoon, että on parempi, että haavoittuva palvelu kytketään irti verkosta ennen kuin hyökkääjä saa sen haltuunsa ja aiheuttaa asiakkaalle tai verkkoon häiriötä. Toisaalta asiakkaan lähiverkossa olevien haavoittuvuuksien metsästäminen aiheuttaa teleoperaattoreille merkittäviä lisäkustannuksia. Lisäksi ne haavoittuvuudet, joihin tulisi reagoida pitäisi määritellä tosi tarkasti, ettei aleta sulkemaan liittymiä vähäpätöisistä haavoittuvuuksista. Lopulta asiakkaalla on vapaus päättää mitä päätelaitetta käyttää ja päivittääkö sitä vai jättääkö päivittämättä. Esimerkiksi miten todetaan, riittävällä varmuudella, yksittäisen asiakasliittymälaitteen haavoittuvuuden olevan hyväksikäytettävissä? Entä missä vaiheessa tehdään toimenpiteitä liittymälle, jos haavoittuvaa laitetta ei ole paikattu? Heti kun päivitys on tarjolla vai viikon kuluttua vai kuukauden kuluttua? Saastuttava liittymä on selkeä raja, jolloin toimenpiteet on perusteltuja, mutta jos sitä rajaa siirtää haavoittuvaisiin laitteisiin niin ollaan hyvin nopeasti veteen piirrettyjen viivojen äärellä.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Ei. Jokainen joka haluaa yhteiskäyttöoperaattoriksi oppii irtikytkentäajoilla korjaamaan omat haavoittuvuutensa palvelussaan.
  • Remissinstanser: 2
    Sähköpostipalvelujen erityiset vaatimukset (Luku 5)
      • Nykyinen määräys ei sisällä juurikaan vaatimuksia koskien sähköpostipalveluiden yleistä tietoturvallisuutta tai sähköpostin välittämiseen liittyvää luotettavuuden ja eheyden parantamista. Toimenpiteitä on kuitenkin esitetty määräyksen perustelumuistion puolella.

        Mikä on näkemyksenne siitä, tulisiko joitakin vaatimuksia tästä sisällyttää määräyksen uuteen versioon, esimerkiksi velvoittamalla turvallisuutta parantavien protokollien, menetelmien tai standardien, kuten DMARCin, DKIMin, SPFn, DANEn tai MTA-STSn käyttöön?
      • Elisa Oyj
        Uppdaterad:
        31.8.2022
        • DMARC, DKIM, SPF voisivat olla vahvasti suositeltuja, mahdollisesti sidottuna postiosoitteen domai-nin käyttäjämäärään. Poikkeuksia kuitenkin tarvitaan mm. asiakkaiden omien domainien vuoksi. DANE, MTA-STS liian teknisesti raskaita vaatimuksiksi.
      • Jokela Petri
        Uppdaterad:
        30.8.2022
        • Kyllä. Olen jo edellä esittänyt ne.
    • Remissinstanser: 3
      Sähköpostipalvelujen erityinen suodatusvelvollisuus (18 §)
        • Onko suodattamistoimenpiteistä koitunut jotain erityisiä haasteita?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei.
        • Elisa Oyj
          Uppdaterad:
          31.8.2022
          • Lähes kaikilla automaattisilla suodatuksilla on jossain määrin false-positiveja, joista aiheutuu säännöllisen satunnaisia ongelmia yksittäisten asiakkaiden viestien kulkuun. DKIM/SPF/DMARC kaikki aiheuttavat postin uudelleenvälitys-palvelussa (viesti välitetään eteenpäin toiseen osoitteeseen) ongelmia. DKIM-forwardointia on hyväksikäytetty roskapostituksessa saamaan viestille parempi maine - “DKIM forward spamming”. Roskapostitusestoja joudutaan tekemään usein, ja laajoille IP-avaruuksille, ei ole mahdollista tiedottaa kaikkia lähettäjätahoja asiasta.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Kyllä. Tietosuojaasetukset ja lait eivät salli tehokasta haittasähköpostiliikenteen suodatusta, koska haittapostittajat tietävät miten tietosuojaa kannattaa käyttää hyväksi haittapostituksissa. Kirjattu kirje sähköpostina Suomen sisällä kansalaiselta toiselle (esim. Kansalaisten ja viranomaisten välinen sähköpostiliikenne) on saantosuhteeltaan tehokkaampi väline haittasähköpostituksen vähentämiseksi.
        • Määräyksen perustelumuistiossa on esitelty kattavasti eri menetelmiä sähköpostin suodatuksen toteuttamiseksi. Puuttuuko näistä jotain?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei. Määräykseen kirjatut velvoitteet jonkun tietyn tekniikan käytöstä voi olla haastavaa, mutta toki pyrkimys sähköpostin turvallisuuden parantamiseksi on tavoiteltavaa.
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Ei. Niitä on jo valitettavasti siinä liikaa ja ne eivät ole tehokkaita tulevaisuutta ajatellen.
  • Remissinstanser: 0
    Asiakkaille tiedottaminen (Luku 6)
    • Remissinstanser: 2
      Yleinen tiedotusvelvollisuus tietoturvatoimenpiteistä (21 §)
        • Vaatiko Viestintäviraston suositus "Kansainvälisesti toteutetun palvelun tietoturvasta tiedottamisesta"(205/2014 S) mielestänne ajantasaistamista?
        • Telia Finland Oyj
          Uppdaterad:
          7.9.2022
          • Ei vaadi,
        • Jokela Petri
          Uppdaterad:
          30.8.2022
          • Kyllä. Siviili- ja sotilastiedustelulakien voimaantulon myötä Suomessa suositus 205/2014 S on vanhentunut.
  • Remissinstanser: 4
    Mahdolliset muut huomionne
      • Tähän voitte kirjoittaa mahdolliset muut huomionne määräykseen tai sen soveltamiseen liittyen.
      • Telia Finland Oyj
        Uppdaterad:
        7.9.2022
        • Osallistumme mielellämme määräysuudistusta valmistelevaan työryhmätyöskentelyyn.
      • Huawei Technologies Oy (Finland) Co. Ltd
        Uppdaterad:
        31.8.2022
        • Pidämme määräyksen päivittämistä hyvänä ja ajankohtaisena hankkeena. Kyberturvallisuusympäristö ja uhkakuvat ovat jatkuvassa muutoksessa. Teknologiaratkaisujen ja käyttötarkoitukset kehittyvät myös nopeasti, mutta voimassaoleva määräys on kestänyt hyvin aikaa. Toivomme nyt ajantasaistettavalle määräykselle myös pitkää käyttöikää. Kansallisella tasolla suositukset ovat merkittävässä roolissa tietoturvan kehittämisessä. Suositusten laatimisessa viranomaisten ja yksityisen sektorin yhteistyö on keskeistä parhaiden tuloksien saavuttamiseksi. Suomessa on perinteisesti onnistuttu hyvin tässä tärkeässä yhteistyössä. Velvoittavissa määräyksissä on tärkeää ottaa huomioon EU-tason sääntely ja kansallisten määräyksien vaikutukset mm. kustannustehokkuuden ja unionin sisämarkkinan toimivuuden kannalta.
      • Jokela Petri
        Uppdaterad:
        30.8.2022
        • Määräyksessä on paljon korjattavaa, joten toivon että muutosten välttämättömyys televerkkoissa tunnustetaan jotta tahaton tai joskus myös jopa tarkoituksenmukainen kyberriskien siirto yhdeltä toiselle saadaan vähenemään.
      • Suomen Erillisverkot Oy, Junttila Kari
        Uppdaterad:
        18.8.2022
        • Yleisenä huomiona voidaan todeta, että tämän määräyksen tavoitteet ovat nykyisessä turvallisuuspoliittisessa tilanteessa erittäin tärkeitä. Yleisen teletoiminnan tulee myös omalta osaltaan vahvistaa viranomaisten viestinnän luottamuksellisuutta, eheyttä sekä saatavuutta. Useat viranomaisten kriittiset palvelut käyttävät tiedonsiirtoon julkisia televerkkoja.