Lausunto Katakri 2020 -luonnoksesta
Ulkoministeriö 16.10.2020 04.40/UM/7798
Elinkeinoelämän keskusliitto EK (”EK”) kiittää lausuntomahdollisuudesta ja toteaa Katakri 2020 -luonnoksesta seuraavaa:
Yleistä
Auditointikriteeristön soveltamisen kohteena tyypillisesti olevien yritysten kannalta on erittäin kannatettavaa, että turvallisuusauditointikriteeristöä on kehitetty edelleen siihen suuntaan, että siinä todetaan yksittäisten, usein melko teknisten vaatimusten asemesta turvallisuuden tavoitetila ja annetaan esimerkkejä, millaisilla turvallisuustoimilla tavoitetilaan on mahdollista päästä. Toteutusesimerkit eivät ole sitovia, ja ne ovat korvattavissa myös muilla vastaavan tasoisilla suojauksilla. Kannatamme tätä vaatimusten esittämisen mallia; On pyrittävä mahdollisimman pitkälle välttämään teknisiä, yksityiskohtaisia vaatimuksia, koska usein ne vanhenevat teknologioiden kehittyessä ja ovat lisäksi tyypillisesti joustamattomia soveltamisen kohteena olevien yritysten kannalta.
Kysymys turvaluokiteltujen tietojen käsittelyn alueellisista rajoituksista on merkityksellinen ja jatkuva haaste puolustusalan, turvallisuuden ja tekniikan aloilla toimiville yrityksille. Monikansallisissa ympäristöissä toimivien yritysten sääntelyvaikutusten ja kannattavuuteen liittyvien seikkojen vuoksi on perusteltua huomioida yleinen tietojärjestelmien siirtyminen kohti pilviratkaisuja. Tällä muutoksella on vaikutuksia myös salassa pidettävää tietoa koskevissa hankkeissa. Toisen maan viranomaisten aiheuttamaa tietoturvariskiä turvaluokiteltujen tietojen käsittelylle ko. maassa sijaitsevissa pilviympäristöissä ei ole esityksessä käsitelty riittävästi. Yritystoimintaa koskevaa tietoturvallisuuden toimintaympäristön muutosta ohjaavat yhä voimakkaammin työn tuottavuuteen liittyvät vaatimukset liikkuvasta työnteosta sekä tietoverkoissa käytettävien sovellusten siirtymisestä datakeskuksiin (pilveen).
Siten yritysten on tältä osin ja myös yleisesti itse saatava päättää turvallisuustoimiensa sisältö ja näin halutun turvallisuustason tavoittelemisen tapa mahdollisimman pitkälle myös niissä tilanteissa, joissa suojattavana on viranomaistieto.
Katakrin rakenne (s. 3)
Luonnoksessa todetaan: ”Vaatimuksissa tai toteutusesimerkeissä ei kuvata kaikkiin ympäristöihin tai erikoistapauksiin riittäviä suojauksia. Esimerkiksi käsiteltäessä sellaisia turvallisuusluokiteltuja tietoja, joiden voidaan olettaa olevan poikkeuksellisen ulkopuolisen kiinnostuksen kohteena, vähimmäissuojauksia on perusteltua täydentää lisäsuojauksilla.”
Katsomme, että vähimmäissuojausten täydentäminen uhka-arvion perusteella on hyvä ja tärkeä periaate, mutta esimerkkinä annettu viittaus on epämääräinen ja jättää sen avoimeksi, kenen tehtävänä arvion tekeminen on. Selkeämpi määritelmä olisi esim. ”…tietoja, joiden toimivaltainen viranomainen on arvioinut olevan poikkeuksellisen ulkopuolisen kiinnostuksen kohteena…”
Katakrin käyttö (mm. s. 4)
Katakrin 2015 versiossa oli selkeästi esitetty kriteeristön käyttötapa julkisten hankintojen yhteydessä. Julkisissa hankinnoissa on tästä huolimatta edelleen viitattu Katakriin tietoturvallisuuden vaatimuksina, joten Katakrin käyttötapoja olisi syytä edelleen painottaa vastaavasti myös nyt lausuttavana olevassa versiossa.
Ehdotamme sivulle 4 lisättäväksi Katakri 2015 mukaisen kannanoton Katakri 2020:n käytöstä: ”Katakria ei ole tarkoitettu käytettäväksi sellaisenaan julkisen hankinnan turvallisuusvaatimuksena. Julkisessa hankinnassa tarkat turvallisuusvaatimukset tulisi määrittää erikseen ottaen huomioon hankintaa koskevat riskit ja erityistarpeet. Yksittäiseen hankkeeseen voi sisältyä muitakin kuin Katakriin koottuja salassa pidettävän tiedon käsittelyä ja suojaamista koskevia vaatimuksia. Näiden vaatimusten toteutumista ei arvioida Katakrin avulla, vaan kohdeorganisaatio sitoutuu noudattamaan niitä sopimusperusteisesti.”
Toisena asiana Katakrin soveltamisalasta luonnoksen sivulla 4 todetaan: ”Katakrin tuetuissa käyttötapauksissa (L 726/2014, L 588/2004, L 1406/2011) turvallisuusluokitellun tiedon käsittelyn tulee tapahtua kokonaisuudessaan Suomen lainsäädännön piirissä. Poikkeuksena kansainväliseen viranomaisyhteistyöhön liittyvät erityistapaukset, joissa muun muassa toimivalta- ja tarkastusvastuista on kyseisten maiden turvallisuusviranomaisten kesken erikseen sovittu, ja käsiteltävät tiedot on luovutettavissa kyseisen kansainvälisen viranomaisyhteisön jäsenmaille.”
Lisäksi Teknisen tietoturvallisuuden osa-alueen johdantotekstissä todetaan: ”Turvallisuusluokitellun tiedon sähköisen käsittelyn suunnittelussa ja arvioinnissa on huomioitava myös lainsäädäntöjohdannaiset riskit*.
”Katakrin tuetuissa käyttötapauksissa toimivaltaisen viranomaisen hyväksyntä edellyttää tyypillisesti sitä, että sähköinen käsittely-ympäristö on kokonaisuudessaan Suomen lainsäädännön alaisuudessa.”
”Arvioitaessa viranomaisen turvallisuusluokitellun tiedon käsittely-ympäristöä, osa ympäristöstä voi olla toteutettuna pilviteknologiaa hyödyntäen. Pilviteknologian käyttö ei kuitenkaan muuta keskeisiä riskejä eikä niiden pienentämiseen käytettävien vähimmäissuojausten tarpeellisuutta tai velvoittavuutta. Pilvipalveluihin liittyvien erityisriskien ja vähimmäissuojausten suhdetta on käsitelty yksityiskohtaisemmin Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen julkaisemassa Pilvipalveluiden turvallisuuden arviointikriteeristössä (PiTuKri).”
Sääntely on monessa valtiossa pitkälle kehittynyttä yritystoiminnan oikeuksien turvaamiseksi. Siten yrityksillä on laajasti oikeuksia, joista osaa voidaan pitää perusoikeuksien tasoisena, ja jotka ovat tasapainottava tekijä turvallisuusviranomaisten toimivallan määrittämisessä. Näihin oikeuksiin liittyvällä valtion turvaamisvelvoitteella on suoraa vaikutus viranomaisten mahdollisuuksiin murtaa yksityisen hallussa olevien turvaluokiteltujen tietojen luottamuksellisuus. Nämä tosialliset lainsäädäntöjohdannaiset riskit tulisi arvioida valtiokohtaisesti sen sijaan, että käsittely-ympäristöt rajataan yksioikoisesti kaikissa tilanteissa (esim. TL IV) Suomen valtion rajojen sisäpuolelle. Katakri 2020 -versio vaikuttaa edelleen sisältävän epätäsmällisen ja nykyaikaiseen digitaaliseen ympäristöön heikosti soveltuvan käsityksen tietoaineistoon kohdistuvien lainsäädäntöjohdannaisten riskien rajoittumisesta yksinomaan Suomen valtiorajojen sisälle. Voitaneen myös todeta, että joidenkin valtioiden turvallisuus- ja tiedusteluviranomaisten toimivalta oman valtion oikeudenkäyttöpiirin ulkopuolella saattaa olla jopa valtion sisäistä toimivaltaa laajempi.
Vaikka Katakri 2020 sisältää viittauksen PiTuKriin ja pilviteknologian hyödyntämismahdollisuuksiin, ehdotamme myös Katakri 2020 -versioon sisällytettävän kannanoton siitä, että tietyissä tilanteissa viranomaisen turvallisuusluokiteltu tieto sähköisessä käyttöympäristössä voidaan sijoittaa Suomen oikeudenkäyttöpiirin ulkopuolelle. Tämän mahdollistamiseksi Katakri 2020 -versioon sisältyvien riskinhallintakeinojen (erityisesti Tekninen tietoturvallisuus) lisäksi tulisi sisällyttää vaatimus arvioida ko. toisen valtion lainsäädäntöjohdannaisten riskien tosiasiallinen vaikutus informaation luottamuksellisuuden vaarantumiselle, kun perusteltu tarve käsittely-ympäristön sijoittamisesti toisen valtion alueelle on olemassa. Lainsäädäntöjohdannaisen riskin arviointi voidaan toteuttaa oikeudellista riskinarviointimallia hyväksikäyttäen. Mikäli riskin todennäköisyys todetaan vähäiseksi, tai olemattomaksi, tulisi
sähköisen käyttöympäristöön sisältyvän tietovarannon voida sijaita myös toisen valtion alueella.
Ehdotamme selkeyttävien kirjauksien lisäämistä Katakri 2020 -versioon seuraavien huomioiden mukaisesti.
Käyttötapaus 1:
Pääsy tietojärjestelmään toisen valtion oikeudenkäyttöpiiristä käsin, kun viranomaisen turvallisuusluokiteltu tieto sähköisessä käyttöympäristössä on Suomen lainsäädännön piirissä (eli tietoaineisto sijaitsee tosiallisesti Suomessa).
Johtaako Katakri 2020:n tulkinta tällöin siihen, että sinänsä luvallinen tiedon käsittely luvallisen henkilön toimesta päätelaitteelta, joka sijaitsee käsittelyhetkellä toisen valtion alueella, olisi kielletty?
Huomautettakoon, että alkuvuodesta 2020 mm. Yhdysvaltojen toimivaltainen viranomainen päätti lieventää tiettyjen ITAR-sääntelyn (International Traffic in Arms Regulations) alaisten tietojen käsittelyn toisen valtion oikeudenkäyttöpiirissä, kun tieto on salattu ns. päästä-päähän -menettelyllä. Käsittelysäännön muutos tarkoittaa käytännössä sitä, että ko.
tilanteessa tiedon ei katsota poistuneen tiedon omistajavaltion alueelta.
Ehdotamme, että Katakri 2020 -versioon kirjataan selkeä tulkintaohje sen mahdollistamiseksi, että viranomaisen turvallisuusluokiteltuun tietoon oikeutetun henkilön hyväksytyssä sähköisessä käyttöympäristössä tapahtuva tietojen käsittely on mahdollista myös toisen valtion alueelta.
Käyttötapaus 2:
Viranomaisen turvallisuusluokiteltu tieto sähköisessä käyttöympäristössä on tarpeen sijoittaa Suomen oikeudenkäyttöpiirin ulkopuolelle (eli tietoaineisto sijaitsisi tosiallisesti toisen maan alueella). Käyttötapaus viittaa käytännössä tilanteisiin, jossa monikansallisen yrityksen tuotantoon liittyvä käyttöympäristö sijaitsee toisen valtion alueella olevassa
konesalissa joko yksityisenä ”pilvipalveluna” tai ns. julkisena pilvipalveluna.
Ehdotamme, että Katakri 2020 -versiossa määriteltäisiin, milloin tai millaisen harkinnan perusteella tämä olisi mahdollista.
Osioon Turvallisuusjohtaminen (T) liittyvät kommentit vaatimuskohdittain
Vaatimus T-06 (s. 11):
Luonnoksen Vaatimus-kohdassa todetaan: ”c) Turvallisuusluokitellut tiedot on suojattu teknisiltä ja fyysisiltä vahingoilta.”
Yleistä-kohdassa todetaan: ”Organisaatiolla tulee olla varmuus siitä, että käsiteltävä tieto tai järjestelmä on suojattu fyysisiltä vahingoilta kuten tulipalot, vesivahingot tai ilkivalta sekä sähköisiä menetelmiä käyttäen aiheutetuilta fyysisiltä vahingoilta kuten laitteiden rikkoutuminen.”
Katakri 2020 versiossa toiminnan jatkuvuuden hallinnan yllä kuvattua vaatimusta ei ole esitetty yhtä selkeästi kuin Katakri 2015 version vaatimuksessa F-08.
Katakri 2015 F-08 vaatimuksessa esitetyt kriittisten palvelin- ja laitetilojen toimintavaatimukset puuttuvat 2020 versiosta. Esimerkiksi LVIautomaationhallinnan etäkäytön ja olosuhdesensoreiden vaatimukset puuttuvat kokonaan, vaikka kiinteistöautomaatiojärjestelmiin liittyvät haavoittuvuudet ovat yleisesti hyvin tiedossa.
Ehdotamme kriittisten palvelin- ja laitetilojen toimintavaatimusten lisäämistä Katakri 2020 versioon siten kuin ne on kirjattu 2015 versiossa vaatimuksessa F-08.
Osioon Fyysinen turvallisuus (F) liittyvät kommentit vaatimuskohdittain
Luonnoksessa (osa-alueen johdantoteksti, s. 19) todetaan:
”F-osa-alueen tekstissä käytettävällä termillä ”viranomainen” viitataan luovutettavan ja auditoinnin perusteena olevan turvallisuusluokitellun tiedon omistajaan, jonka on turvallisuusluokitteluasetuksen (1101/2019, 6 §) mukaan ennakolta varmistuttava siitä, että auditoinnin kohteelle luovutettavien turvallisuusluokiteltujen tietojen salassapidosta ja suojaamisesta huolehditaan asianmukaisesti. Käytännössä termi ”viranomainen” tarkoittaa Katakria käyttävää auditoijaa. Viranomaisella tarkoitetaan kuitenkin Suojelupoliisia tai Pääesikuntaa, mikäli fyysisten turvatoimien tavoitteiden täyttymisen arviointi kuuluu osaksi niiden lakisääteisiä tehtäviä (KvTituL 588/2004, 4 §; 726/2014, 9 § & 39 §).”
Termin ”viranomainen” kuvaus on epäselvä, koska viitataan samalla termillä useaan toimijaan. Ehdotamme läpi koko dokumentin käytettäväksi selkeitä, varsinaisen toimijan kuvauksia. Esim. luokitellun tiedon omistaja, Auditoija, Suojelupoliisi, Pääesikunta.
F-02 (s. 21-22):
Johdanto-kohdassa todetaan: ”Riskien arvioinnissa tulee huomioida sekä tiedon haltijan että viranomaisen näkemys riskeistä ja valittujen turvatoimien riittävyydestä ja viranomaisen on hyväksyttävä fyysisiin turvatoimiin liittyvä jäännösriski.”
Mihin sana ”viranomainen” viittaa tässä tapauksessa? Käsiteltävän tiedon omistajaan vai auditoijaan?
Tiedonhallintalain mukaan tietojen omistaja vastaa tiedonhallintasuunnitelmaan kuuluvasta riskiarvioinnista ja tietoturvatoimenpiteiden riittävyydestä.
F-03 (s. 23):
Kohdassa olisi hyvä painottaa sitä, että tekniset turvallisuusjärjestelmät
ovat nykyään tietojärjestelmiä, jolloin niiden tietoturvallisuuteen tulisi
panostaa, jotta ei synny tilannetta, jossa turvajärjestelmästä tulee hyökkäyskanava. Hallintajärjestelmien osalta tulisi huomioida mm. käytettävät verkot, etäyhteydet ja ulkoistukset.
Kohdassa ei ole mainintaa turvajärjestelmien ns. blackout-testauksesta
virransyötön häiriöiden varalta. Ehdotamme lisättäväksi maininnan
siitä.
F-05.2 (s. 32):
Vaatimus: ”Ainoastaan viranomaisen asianmukaisesti valtuuttamilla henkilöillä on itsenäinen pääsy alueelle. Viranomaisen on määriteltävä alueen pääsyoikeuksien ja avainhallinnan menettelyt ja roolit.”
Katakri 2020 F-05.2 ja F-05.3 mukaan hallinnolliselle alueelle pääsee itsenäisesti vain sellainen henkilö, joka on viranomaisen valtuuttama.
Mihin ”viranomainen” viittaa tässä tapauksessa? Toimittaja tuottaa palvelua, jonka turvallisuus arvioidaan Katakrin mukaisesti. Milloin tarvitaan lisäksi erikseen, yksittäisten henkilöiden osalta, viranomaisen hyväksyntä?
Ehdotamme kohdan muutettavaksi muotoon, jossa toimittajan oma vastuuhenkilö voi myöntää pääsyoikeudet F-05.2 periaatteiden mukaisesti.
F-05.7 (s. 36):
Yleistä-kohdassa mainittujen lisäksi olisi hyvä huomioida elektroniset laitteet laajemmin, esim. älysormukset ja -vaatteet, kuulokkeet jne.
F-05.8 (s. 37):
Lukittavista toimistokalusteista todettua olisi hyvä tarkentaa. Toimistokalusteita on monenlaisia ja kevyimmissä on yleensä numeroyhdistelmälukko, johon saatavilla geneerinen master-avain.
F-06.2 (s. 40):
Käytettävistä tunnisteiden salausteknologioista todettua olisi hyvä tarkentaa.
F-06.7 (S. 45):
Yleistä-kohdassa todetaan: ”Alueen tunkeutumisen ilmaisujärjestelmän
hallinta tulee olla organisaation omassa hallinnassa.”
Sitä vastoin vaatimuksissa F-06.2 (ja F-05.2) todetaan: ”Kulunvalvontajärjestelmän hallinta voi olla ulkoistettu, jos se on hyvin hallinnoitu”
Ulkoistetun hallintapalvelun osalta väärinkäytöksen riski kohdistuisi kuitenkin todennäköisemmin tilan kulunvalvontaan kuin tilaan tunkeutumiseen. Lisäksi, mikäli kulunvalvontajärjestelmä ja tunkeutumisen ilmaisujärjestelmän toimintoja on integroitu (esim. kulunvalvontajärjestelmällä ohjataan tunkeutumisen ilmaisujärjestelmän toimintaa) tai kulunvalvontaan sekä tunkeutumisen ilmaisuun käytetään yhtä järjestelmää, ko. järjestelmän hallinnan ulkoistaminen estyy tunkeutumisen ilmaisujärjestelmään esitettyjen vaatimusten vuoksi.
Ehdotamme kohtaa muutettavaksi siten, että tunkeutumisen ilmaisujärjestelmän hallinta voitaisiin ulkoistaa samoin edellytyksin kuin kulunvalvontajärjestelmän hallinta.
F-06.9 (s. 47):
Yleistä-kohdassa mainittujen lisäksi olisi hyvä huomioida elektroniset laitteet laajemmin, esim. älysormukset ja -vaatteet, kuulokkeet jne.
Osion Tekninen tietoturvallisuus (I) liittyvät kommentit vaatimuskohdittain
Yleinen kommentti: Osiossa käytetään jossain määrin sekaisin termejä turvallisuus ja tietoturvallisuus.
I-01 (s. 59)
Yleistä-kohdassa todetaan: ”Huom: Turvallisuusluokan ylitys hallintaliikenteen (vrt. I-04) osalta edellyttää toimivaltaisen viranomaisen ko. turvallisuusluokalle hyväksymää yhdyskäytäväratkaisua. Käytännössä hallintaliikenne rajataankin lähes poikkeuksetta turvallisuusluokittain.”
Toteutusesimerkkejä: ”Turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla turvallisuuskriittisten alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.”
Olisiko syytä selvyyden vuoksi täsmentää, että em. toteutusesimerkki ei päde hallintaliikenteeseen?
I-06 (s. 70):
Kohdassa ”Tarkastusoikeuden ottaminen huomioon teknisessä toteutuksessa” todetaan: ”b) Luotettavaan loogiseen erotteluun (esim. hyväksytysti salatut virtuaalikoneet levyjärjestelmän asiakaskohtaisesti dedikoiduilla levyillä, ja tiedon/tietoliikenteen hyväksytty salaus yhteiskäyttöisillä verkkolaitteilla) perustuvat menetelmät soveltuvat turvallisuusluokille IV ja III.”
Ehdotamme tarkennettavaksi, tarkoitetaanko asiakaskohtaisesti dedikoidulla levyllä turvatasolle hyväksytystä jaetusta levyjärjestelmästä dedikoitua virtuaalilevyä?
I-20 (s. 99):
Vaatimus-kohdassa todetaan: ”Turvallisuusluokiteltua tietoa sisältävät varmuuskopiot suojataan niiden elinkaaren ajan vähintään vastaavan tasoisilla menetelmillä, kuin millä alkuperäinen tieto on suojattu.”
Toteutusesimerkki-kohdassa todetaan: ”6) Varmuuskopioista on rekisterit ja varmuuskopioiden käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai tietoon (esimerkiksi dokumentin osaksi). (Vrt. I-18)”
Pyydämme tarkentamaan, viittaako sana ”tieto” samaan asiaan vaatimuksessa ja toteutusesimerkissä?
_____________________________________________________________________________________
* ”Lainsäädäntöjohdannaisilla riskeillä viitataan eri maiden lainsäädännössä oleviin mahdollisuuksiin velvoittaa palveluntarjoajat toimimaan yhteistyössä kyseisen maan viranomaisten kanssa, ja tarjoamaan esimerkiksi suora tai epäsuora pääsy palvelun asiakkaiden turvallisuusluokiteltuihin tietoihin. Lainsäädäntöjohdannaiset riskit voivat ulottua sekä turvallisuusluokitellun tiedon fyysiseen sijaintiin että muun muassa toisesta maasta käsin hallintayhteyksien kautta toteutettavaan tietojen luovutukseen. Lainsäädäntöjohdannainen tietojen luovuttaminen ja tutkimusoikeus on useissa maissa rajattu koskevaksi poliisia sekä tiedusteluviranomaisia.”