Suomennos: Effi ry 7.3.2013
Alkuperäinen asiakirja päivätty Amsterdamissa 11.10.2012
Alkuperäinen asiakirja https://www.bof.nl/live/wp-content/uploads/20121011-Consultation-Improving-NIS-in-EU-BoF.pdf
Julkinen konsultaatio verkko- ja tietoturvan (NIS) parantamisesta Euroopassa
Euroopan komissiolle Bits of Freedom -järjestöltä
Hyvä lukija,
Bits of Freedom -järjestö pitää arvokkaana tätä mahdollisuutta osallistua julkiseen konsultaatioon verkko- ja tietoturvan (network and information security, NIS) parantamisesta Euroopassa. Annoimme vastauksemme verkkokyselyyn mutta haluamme lähettää Teille lisäkommentteja tämän kirjeen muodossa.
Kyberturvallisuuden parantaminen Euroopassa
Stuxnet ja Diginotar ovat esimerkkejä vakavista tietoturvaloukkauksista, jotka ovat ravistelleet Eurooppaa muutaman viime vuoden aikana. Euroopan ja sen jäsenvaltioiden tullessa yhä riippuvaisemmiksi tieto- ja viestintäteknologiaa (information and communications technology, ICT) sisältävistä järjestelmistä ne samalla tulevat yhä haavoittuvaisemmiksi näitä järjestelmiä vastaan kohdistettaville hyökkäyksille. Kyberturvallisuus on näin ollen korkealla tärkeysjärjestyksessä Euroopan poliittisessa agendassa.
Täytyy kuitenkin ymmärtää, että jos keskitymme liiallisesti tämänkaltaisiin hyökkäystapauksiin, kyberturvallisuuspolitiikka muotoutuu tunnereaktioiden pohjalta: hypimme tietoturvaloukkauksesta toiseen emmekä pysähdy laatimaan rakenteellisia ratkaisuja. Samalla Internetin vapaus on uhattuna esimerkiksi silloin, kun joku ehdottaa laajaa Internet-liikenteen seurantaa, ja vaarana on 21. vuosisadan tärkeimmän infrastruktuurin, Internetin, tuhoaminen.
Bits of Freedom -järjestö uskoo, että Eurooppa ansaitsee paremman kyberturvan. Olemme myös vakuuttuneita, että älykkäillä ja keskitetyillä toimenpiteillä voidaan merkittävästi parantaa kyberturvallisuuttamme. Kerromme tästä alla.
Euroopan kyberturvallisuuspolitiikan perusperiaatteet
- Kyberturvallisuus on henkilökohtaista turvallisuutta. Kyberturvallisuuspolitiikka keskittyy usein elintärkeiden infrastruktuurien kuten voimalaitosten ja vesilaitosten suojeluun. Mutta kyberturvallisuuteen liittyy myös toinen tärkeä aihe: kansalaisten ja heidän arvokkaimpien ja intiimeimpien tietojensa suojelu. Olisi katastrofi, jos miljoonien eurooppalaisten arkaluonteiset ja arvokkaat tiedot (kuten viestintä-, lääkintä- tai paikkatiedot) paljastettaisiin tahattomasti.
- Kyberturvallisuuden täytyy kunnioittaa perusoikeuksia. Toistuvasti ehdotetut kyberturvallisuustoimenpiteet vaikuttavat usein perusoikeuksiimme. Esimerkiksi “Internetin sammutusnappula” rajoittaisi perusoikeutta viestinnän vapauteen. Internet-liikenteen massavalvonta rajoittaa yksityisyyttämme vakavasti. Sellaiset toimenpiteet ovat siis mahdottomia hyväksyä: Euroopan ihmisoikeustuomioistuin on eri tapauksissa antanut päätöksen, että perusoikeuksien syvintä ydintä ei saa loukata. Seurauksena tästä täytyy uusien kyberturvallisuustoimenpiteiden tarpeellisuus, suhteellisuusperiaatteeseen sopivuus, päätöksenteon läheisyysperiaatteeseen sopivuus ja tehokkuus aina osoittaa etukäteen. Tämä tarkoittaa, että toimenpiteet täytyy räätälöidä sitä ongelmaa varten, joka niillä yritetään ratkaista.
- Kyberturvallisuus vaatii läpinäkyvyyttä. Kyberturvallisuuspolitiikalla voi olla kauaskantoisia yhteiskunnallisia vaikutuksia muun muassa perusoikeuksiin ja Internetin toimintaan liittyen. Juuri tästä syystä kyberturvallisuuspolitiikan julkinen valvonta on välttämätöntä ja läpinäkyvyys tällä alueella on pakollista. Politiikan täytyy perustua todellisiin ja todistettavissa oleviin uhka- ja riskianalyyseihin (niin ennen politiikan käyttöönottoa kuin myös säännöllisesti sen jälkeen) ja sen täytyy keskittyä siihen täsmälliseen riskiin, johon sen väitetäänkin olevan kohdistettu.
- Täydellistä kyberturvallisuutta ei ole olemassa. Vaikka kyberturvallisuus on tärkeä päämäärä politiikkaa laadittaessa, täydellistä turvaa ei ole olemassa. Turvallisuus yleisesti on määritelmänsä mukaan kustannus-hyöty-analyysin tulos. Kyberturvallisuuden alueella tässä analyysissa otetaan huomioon se, että jo pieni ihmisryhmä suhteellisen vähällä rahalla voi aiheuttaa valtavaa vahinkoa esimerkiksi valmistamalla kehittyneitä haittaohjelmia kuten Stuxnet. Tietysti riskejä voidaan ehkäistä mahdollisuuksien rajoissa tarjoamalla perustason turvallisuustoimenpiteet, hajauttamalla riskejä mahdollisimman paljon ja tarjoamalla varamekanismeja. Kuitenkin meidän tulee hyväksyä, että milloinkaan kaikkia kyberturvallisuusriskejä ei voida poissulkea, koska ehkäisemisen kustannukset ovat yksinkertaisesti liian korkeat (mitattuina sekä euroina että vaikutuksena, joka ehkäisytoimenpiteillä olisi perusoikeuksiimme).
Modernin kyberturvallisuuspolitiikan kahdeksan toimenpidettä
- Kyberturvallisuuspolitiikan täytyy keskittyä henkilökohtaiseen turvallisuuteen. Muutamien viime vuosien aikana Euroopan ja kansallisen tason lainsäädäntö ovat enenevässä määrin vaatineet miljoonien eurooppalaisten arkaluonteisten tietojen (kuten sormenjälkien, autojen rekisterinumeroiden, puhelin- ja sähköpostiliikennetietojen ja paikkatietojen) keskitettyä tallentamista. Pääsyä rajoittavat tekijät tällaiseen tietoon ovat usein riittämättömät, kuten voidaan nähdä tilanteesta Alankomaissa, jossa televiestintäpalvelujen käyttäjien tiedot ovat helposti lainvalvontaviranomaisten saatavilla ja niitä kysytään lähes kolme miljoonaa kertaa vuodessa. Tämän täytyy muuttua: periaatteet kuten kerättävän tiedon minimointi ja hajauttaminen voivat estää tietomurtoja siitä yksinkertaisesta syystä, että vaarantuvaa tietoa ei ole tai sitä ei ole riittävästi. Hallitusten täytyy näin ollen myös tallentaa ihmisistä vähemmän tietoja: tallentamisen tarpeellisuus ja käyttötarkoitus täytyy aina todistaa etukäteen. Lisäksi tiedot täytyy tuhota, kun tallentaminen ei ole enää tarpeellista. Hallitusten täytyy edelleen rajoittaa pääsyä henkilötietoihin niin paljon kuin mahdollista ja toteuttaa IT-järjestelmissään periaatteet “suunnittele turvallisuutta silmälläpitäen” (security by design) ja “suunnittele yksityisyyttä silmälläpitäen” (privacy by design). Rajoittaakseen haavoittuvuuksien määrää hallitusten täytyy huolehtia, että IT-järjestelmien terve monimuotoisuus säilyy, kun tuotteita ja palveluita ostetaan. Tässä kappaleessa mainitut periaatteet soveltuvat yhtä hyvin yksityiseen sektoriin: on rajoitettava yritysten suorittamaa yksityisten tietojen tallennusta ja yritysten pääsyä näihin tietoihin, ja järjestelmien turvallisuutta on parannettava.
- Kyberturvallisuus vaatii sijoitusta tietämykseen ja kapasiteettiin, ei uusiin auktoriteetteihin. Vastaukset kyberhyökkäyksiin ovat usein riittämättömiä johtuen tietämyksen ja kapasiteetin puutteesta. Euroopan ja sen jäsenvaltioiden täytyy siis investoida useampiin ihmisiin, joilla on asian vaatimaa osaamista, sekä nykyisen henkilökunnan kouluttamiseen. Esimerkiksi hallitusten täytyy houkutella töihin enemmän teknisen taustan omaavaa henkilökuntaa ja varmistaa, että lainvalvontaviranomaiset koulutetaan digitaalisen rikostutkinnan keinoihin. Investoinnit asiaankuuluvaan kouluopetukseen ja tieteelliseen tutkimukseen ovat myös välttämättömiä, jotta tietämystä kyberturvallisuudesta voidaan entisestään parantaa sekä suojata tulevaisuudessa.
- Internetin käyttäjillä täytyy olla keinot itsensä suojelemiseen. Euroopan ja sen jäsenvaltioiden täytyy varmistaa, että Internetin käyttäjät (mukaan lukien useat organisaatiot julkisella ja yksityisellä sektorilla) pystyvät suojaamaan itseään kyberuhkia vastaan. Työkalut ja tuki, jotka ovat tällä hetkellä tarjolla Internet-käyttäjille, ovat usein riittämättömiä. Samaan aikaan monia tietoturvaloukkauksia aiheutuu perustason haavoittuvuuksista, jotka voitaisiin ehkäistä perusturvallisuustoimenpiteillä kuten säännöllisillä ohjelmistopäivityksillä. Ensimmäiset askelet kyberturvallisuuteen ovat siis koulutus näihin toimenpiteisiin, kyberturvallisuusteknologian kuten salausohjelmistojen ja anonymisointitekniikoiden käytön julkinen edistäminen ja turvallisten ohjelmistojen kehitys. Tämä tarkoittaa, että Eurooppa tai sen jäsenvaltiot eivät saa vaatia “takaovia” salaustekniikoiden ohittamiseen eivätkä saa tukea sellaisten ohitustekniikoiden kehittämistä.
- Euroopan ja sen jäsenvaltioiden täytyy näyttää oikeaa esimerkkiä. Hallinnan puute tai suuri riippuvuus kolmansista osapuolista tietojen hallinnassa aiheuttaa merkittävän turvallisuusriskin ja heikentää kyberturvallisuuspolitiikan uskottavuutta. Eurooppa ja sen jäsenvaltiot tarvitsevat näin ollen lisää tietämystä ja kapasiteettia ICT-alueella, jotta ne voivat hallita omia infrastruktuurejaan ja voivat paremmin arvioida suunniteltujen toimintatapojen seurauksia ja riskejä.
- Kyberturvallisuuden ulkoistamisen täytyy olla vain poikkeus. Euroopalla ja sen jäsenvaltioilla on tärkeä rooli turvallisen tietoyhteiskunnan takaamisessa. Tämän takaaminen pysyy niiden tehtävän ytimessä. Juuri sen takia, että suuret yhteiskunnalliset intressit ovat vaakalaudalla, täytyy hallitusten välttää luottamasta liikaa yritysten itsesääntelyyn tai julkisen ja yksityisen sektorin yhteistyöhön. Tämä tarkoittaa, että Eurooppa ja sen jäsenvaltiot voivat kutsua avukseen yksityisiä tahoja kyberturvallisuuden alueella vain, jos ne (i) osoittavat tarpeen etukäteen, (ii) muotoilevat yhteistyön ehdot, (iii) toimivat täysin läpinäkyvästi tähän yhteistyöhön liittyen ja (iv) – kun kyse on perusoikeuksista – takaavat parlamentaarisen valvonnan.
- Tiedonjakoa toteutuneista tietoturvariskeistä täytyy tehostaa. Julkiset ja yksityiset organisaatiot ovat turvallisuutensa takaamisessa osittain riippuvaisia tiedoista, joita ne saavat muilta: ne voivat paremmin suojata tietojärjestelmänsä soveltamalla informaatiota, joka koskee tunnettuja uhkia ja haavoittuvuuksia. Euroopan ja sen jäsenvaltioiden täytyy julkisesti edistää sellaisen tiedon jakamista esimerkiksi käyttämällä informaatioalustoja haavoittuvuuksien, hyökkäyksissä havaittujen säännönmukaisuuksien ja saastuneiden IP-osoitteiden jakamiseen. Milloin mahdollista, sellaiset tiedot täytyy jakaa julkisesti. Näihin järjestelmiin täytyy olla rakennettuina turvatoimintoja, jotka estävät henkilökohtaisten tietojen jakamisen, tiedon väärinkäytön ja virheet jaetussa tiedossa. Euroopan ja sen jäsenvaltioiden täytyy myös varmistaa, että tietoteknologioissa oleviin haavoittuvuuksiin liittyvä tietämys julkistetaan niin aikaisin kuin mahdollista. Lisäksi niiden täytyy julkisesti edistää haavoittuvuuksista raportointia luonnostelemalla ohjeet haavoittuvuuksien vastuulliseen paljastamiseen.
- Tietomurrot ja turvallisuusloukkaukset täytyy ilmoittaa. Tietomurrot ja turvallisuusloukkaukset johtavat identiteettipetoksiin ja tietoteknologiaa kohtaan tunnetun luottamuksen vähenemiseen. Euroopan, sen jäsenvaltioiden ja yksityisten tahojen täytyy siis olla lain voimalla velvoitettuja raportoimaan asianosaisille henkilötietoihin kohdistuneet oikeudettomat pääsyt. Tarvitaan tietomurrot ja turvallisuusloukkaukset luetteleva julkinen rekisteri, joka sallii julkisten ja yksityisten tahojen oppia menneistä virheistä ja luoda näkemyksiä nykyisiin uhkiin.
- Valvovien viranomaisten täytyy pystyä toimimaan tehokkaasti. Euroopan tietosuojaviranomaiset valvovat henkilötietojen suojelua. Muut valvontaviranomaiset kuten Alankomaiden kansallinen kyberturvallisuuskeskus NCSC (Suomessa kansallinen tietoturvaviranomainen CERT-FI) keskittyvät lisäämään puolustuskykyä digitaalisessa toimintaympäristössä. Näiden viranomaisten täytyy pystyä määrittämään, aiheuttaako tietty kyberloukkaus merkittävää riskiä tietoyhteiskunnallemme, ja pystyä tarvittaessa vastaamaan ripeällä ja tehokkaalla tavalla. Tämä tarkoittaa, että näillä viranomaisilla täytyy olla riittävä budjetointi ja valtaoikeudet. Lisäksi (kansainvälistä) yhteistyötä valvontaviranomaisten välillä täytyy edistää.
Tietoja Bits of Freedom -järjestöstä
Bits of Freedom on alankomaalainen sähköisten oikeuksien järjestö, joka keskittyy yksityisyydensuojaan ja viestinnän vapauteen digitaaliaikana. Taistelemme sellaisen Internetin puolesta, joka on avoin kaikille, jossa kaikki voivat jatkaa tiedon jakamista, jossa yksityinen viestintä säilyy yksityisenä ja jossa laillinen tieto säilyy saavutettavissa. Yhdistämme laajan laillisen ja teknisen kokemuksen, rakentavaa julkista vaikuttamista milloin se on mahdollista, sekä nopeaa toimintaa milloin se on tarpeen. Olemme aktiivisia sekä kansallisella että Euroopan tasolla ja olemme eräitä European Digital Rights Initiativen (EDRi) perustajia ja jäseniä.
(Lähin vastaava järjestö Suomessa on Effi ry.)
Uskomme, että olemme antaneet teille riittävästi informaatiota. Älkää epäröikö ottaa yhteyttä, mikäli haluatte keskustella tämän julkaisun sisällöstä laajemmin. (Suomea ja suomenkielistä versiota koskevissa kysymyksissä effi@effi.org.)
Vilpittömästi Teidän,
Simone Halink
Bits of Freedom