Kyberturvallisuuden ABC - kuinka päästä alkuun | Traficom
Siirry pääsisältöön
Liikenne- ja viestintävirasto

Kyberturvallisuuden ABC - kuinka päästä alkuun

Tälle sivulle kootaan tietoa siitä, kuinka ilmailuorganisaatio pääsee alkuun kyberturvallisuuden hallinnan kehittämisessä ja mitkä ovat sen keskeisimät elementit.

Kuvituskuva

Alussa voi olla haastavaa hahmottaa, mitä ilmailun kyberturvallisuus tarkoittaa oman organisaation toimintojen näkökulmasta. Organisaatioiden toiminnoissa ja niiden potentiaalisissa vaikutuksissa ilmailun turvallisuuteen on eroja. Oleellista on, että kukin organisaatio arvioi ja tunnistaa ilmailun kyberturvallisuuden merkityksen omassa toiminnassaan. Arvioinnin lopputulos voi vaihdella organisaatiokohtaisesti. Lopputulos voi olla se, että organisaatiolla ei ole tai on vain vähän ilmailun kyberturvallisuuden näkökulmasta kriittisiä järjestelmiä, toimintoja tai riskejä. Toisaalta lopputulos voi olla myös se, että organisaatio huomaa kyberturvallisuuden olevan merkittävässä osassa sen toiminnoissa ja järjestelmissä ja tunnistaa tarpeen lähteä kehittämään kyberturvallisuuden hallintaansa. 

Apua ja ohjeita tunnetuista ja yleisesti käytetyistä viitekehyksistä

Kyberturvallisuuden hallintaan on olemassa hyviä käytäntöjä, viitekehyksiä ja standardeja. Näitä ovat mm. ISO 27000-sarja, NIST Cyber Security Framework, Cybersecurity Capability Maturity Model (C2M2)muut teollisuusstandardit ja Kybertur­val­li­suus­keskuksen julkaisema ja ylläpitämä Kybermittari. Ilmailun sektorikohtaisia standardeja kehitään mm. EUROCAEn toimesta. Viitekehyksiä hyödyntämällä oman organisaation toimintaa on hyvä lähteä kartoittamaan ja arvioimaan, ja kokonaisuus selkiytyy. 

Kuten ilmailun kyberturvallisuuden sääntelyn-alasivulla kuvataan, ilmailun kyberturvallisuuden sääntely on voimakkaasti kehittyvässä ja uudistuvassa vaiheessa. Part-IS-sääntelyn julkaisu ja sovellettavaksi tulo tulee yhtenäistämään vaatimuksia ja saattamaan ilmailun toimijat nykyistä kattavammin vaatimusten piiriin. Alla olevassa ohjeistuksessa annetaan viittauksia nyt voimassa oleviin vaatimuksiin ja vinkkejä eri viitekehysten ko. asiaa ohjeistaviin kohtiin. Traficom ei edellytä minkään tietyn viitekehyksen käyttöä. Ohjeistus kuvaa kuitenkin keskeisiä elementtejä, joiden olemassa oloa ja toteutusta Traficom valvoo organisaatioiden kyberturvallisuuden hallinnassa. 

Kuvan alla olevista alasvetovalikoista löytyy lisätietoa kyberturvallisuudenhallinnan osa-alueista (tunnista, suojaa, havainnoi, reagoi, palaudu). Kukin organisaatio huolehtii tietoturvanhallinnan kokonaisuudestaan omien tarpeidensa ja eri yhteiskunnan sektoreilta tulevan lainsäädännön pohjalta. Teksteissä kuvatut tietoturvanhallinnan toiminnot kuvaavat tietoturvanhallintaa ilmailun näkökulmasta (lentoturvallisuus, ilmailun turvaaminen ja häiriönsietokyky).

Ilmailun organisaatioiden kyberturvallisuudenhallinnan kokonaisuus on sitä, että organisaatio pystyy tuottamaan strategiansa ja tavoitteidensa mukaisesti keskeiset palvelunsa ja toimintonsa turvallisesti. Organisaation toimintaan liittyvät, ilmailun turvallisuuteen tai turvaamiseen vaikuttavat tietoturvariskit ovat hallinnassa, ja mahdollisista organisaatioon kohdistuvista tietoturvatapahtumista kyetään palautumaan turvallisesti ja hallitusti.

Mitä tunnistamisella tarkoitetaan

Tunnistamisen kokonaisuuteen kuuluvat:

  • Omaisuuden/suojattavien kohteiden hallinta (asset management): organisaation ilmailuun liittyvän aineellisen ja aineettoman omaisuuden kartoittaminen ja jaottelu ilmailun kyberturvallisuuden hallinnan näkökulmasta: tieto/informaatio, henkilöstö, osaamiset, laitteet, järjestelmät, joita organisaatiolla on, joita se tarvitsee strategianmukaisen toimintansa toteuttamiseen ja joita sen on tarpeen suojata.
  • Toimintaympäristö (business environment): ymmärrys organisaation liiketoimintaympäristöstä ja toiminnan tavoitteista. Tätä tietoa hyödynnetään organisaation kyberturvallisuuden hallinnassa mm. tarvittavien roolien määrittelyssä ja tehtäessä riskienhallinnan päätöksiä. 
  • Hallintajärjestelmä (governance): kyberturvallisuuspolitiikan, menettelyjen, prosessien ja vastuiden määrittely ja kuvaaminen
  • Riskienarviointi (risk assessment): suojattavien kohteiden heikkouksien sekä organisaation toimintaan kohdistuvien kyberturvallisuusuhkien tunnistaminen eri tietolähteitä hyödyntäen, riskien arviointi ja hallintatoimenpiteiden tunnistaminen ja priorisointi.
  • Riskienhallintastrategia (risk management strategy): riskienhallinnan prosessien määrittely ja käyttö sekä hyväksyttävän riskitason määrittely (risk tolerance / risk appetite/ acceptable risk level).
  • Toimitus- ja alihankintaketjujen ja muiden ulkoisten riippuvuuksien riskienhallinta (supply chain risk management): organisaation prosessit, joilla se tunnistaa, arvioi ja hallitsee toimitus- ja alihankintaketjujen riskejä ja varmistaa, että ne pysyvät riskienhallintastarategiassa määritellyllä hyväksyttävällä tasolla. 

Mitä ilmailun lainsäädäntö tällä hetkellä edellyttää tunnistamisen osalta

  • Poimintoja Komission täytäntöönpanoasetuksesta (EU) 2019/1583, kohdasta 1.7:
    ”1.7 Siviili-ilmailun kriittisten tieto-ja viestintätekniikkajärjestelmien ja kriittisen datan määrittäminen ja suojaaminen kyberuhkilta
    1.7.1 Asianomaisen viranomaisen on varmistettava, että lentoaseman pitäjät, lentoliikenteen harjoittajat ja kansallisessa siviili-ilmailun turvaohjelmassa määritellyt yksiköt määrittävät siviili-ilmailussa käytettävät kriittiset tieto- ja viestintätekniset järjestelmänsä ja kriittisen datansa ja suojaavat ne kyberhyökkäyksiltä, jotka voisivat vaikuttaa siviili-ilmailun turvaamiseen.
    1.7.2 Lentoaseman pitäjien, lentoliikenteen harjoittajien ja yksiköiden on määritettävä siviili-ilmailussa käytettävät, 1.7.1 kohdassa kuvatut kriittiset tieto- ja viestintätekniset järjestelmänsä ja kriittinen datansa turvaohjelmas-saan tai muussa asiaankuuluvassa asiakirjassa, johon turvaohjelmassa viitataan. Turvaohjelmassa tai muussa asiaankuuluvassa asiakirjassa, johon turvaohjelmassa viitataan, on esitettävä yksityiskohtaisesti toimenpiteet, joilla varmistetaan, että kyberhyökkäyksiltä voidaan 1.7.1 kohdassa kuvatusti suojautua, ne voidaan havaita, niihin voidaan reagoida ja niistä voidaan palautua.
    1.7.3 Yksityiskohtaiset toimenpiteet, joilla tällaisia järjestelmiä ja tällaista dataa suojataan laittomilta teoilta, on määritettävä ja ne on laadittava ja toteutettava lentoaseman pitäjän, lentoliikenteen harjoittajan tai muun asianomaisen yksikön tekemän riskinarvioinnin mukaisesti."
     
  • Poimintoja Euroopan parlamentin ja neuvoston direktiivistä (EU) 2016/1148 (NIS-direktiivi) sekä ilmailulaista, jolla se on kansallisesti implementoitu:
    NIS-direktiivi: 16 art
    Turvallisuusvaatimukset ja poikkeamien ilmoittaminen
    1.   Jäsenvaltioiden on varmistettava, että digitaalisen palvelun tarjoajat määrittävät ja toteuttavat asianmukaiset ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet hallitakseen riskejä, joita kohdistuu niiden verkko- ja tietojärjestelmien turvallisuuteen, joita nämä digitaalisen palvelun tarjoajat käyttävät tarjotessaan liitteessä III tarkoitettuja palveluja unionissa. Näillä toimenpiteillä on varmistettava riskiin suhteutettu verkko- ja tietojärjestelmien turvallisuuden taso uusin tekniikka huomioon ottaen, ja niissä on otettava huomioon seuraavat seikat:
    a) järjestelmien ja tilojen turvallisuus;
    b) poikkeamien käsittely;
    c) liiketoiminnan jatkuvuuden hallinta;
    d) seuranta, tarkastukset ja testaukset;
    e) kansainvälisten standardien noudattaminen.
     
  • Ilmailulaki, 128 a § (23.11.2018/965):
    "Velvollisuus huolehtia viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta
    Lennonvarmistuspalvelun tarjoajan sekä yhteiskunnan toiminnan kannalta merkittävän lentoaseman pitäjän on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta."

Mitä suojaamisella tarkoitetaan

Suojaamisen kokonaisuuteen kuuluvat:

  • Identiteetin- ja pääsynhallinta (Identity Management, Authentication and Access Control): pääsy organisaation laitteisiin tai tiloihin (fyysiseen infraan) ja laitteisiin, ohjelmistoihin tai tietoon suojattavissa kohteissa on rajoitettu vain valtuutetuille käyttäjille, toiminnoille ja laitteille. Pääsynhallinta on jatkuvaa ja pohjautuu riskienarviointiin ja organisaation tavoitteisiin. Organisaatio arvioi luvattomasta pääsystä fyysiseen infraan, toimintoihin tai järjestelmiin aiheutuvia riskejä ja toteuttaa ja vahvistaa suojauskeinoja sen mukaisesti. 
  • Tietoturvatietoisuus, -opastus ja -koulutus (Awareness and Training): organisaatio kouluttaa, ohjeistaa ja viestii organisaation henkilöstölle sekä tarvittavalla tasolla organisaation sidosryhmille, alihankkijoille ja kumppaneille ilmailun tietoturvanhallinnasta ja sen tärkeydestä. Koulutus ja ohjeistus on suunnitellaan riittäväksi suhteessa henkilön työtehtäviin ja vastuisiin, ja pitää sisällään politiikat ja käytännöt, toimintatavat ja pelisäännöt.
  • Tietoturva (Data Security): organisaation hallussa oleva ja käyttämä tieto ja tietovarannot suojataan organisaation riskistrategian mukaisesti ja varmistetaan tiedon ja tietovarantojen luottamuksellisuus, eheys ja saatavuus.
  • Suojaamisen prosessit ja menettelyt (Information Protection Processes and Procedures): Suojattavien kohteiden suojaamiseksi on määritelty ja otettu käyttöön tietoturvapolitiikka, prosessit ja menetelmät. Organisaation tietoturvapolitiikassa määritellään tavoitteet, viitekehys, roolit, vastuut, johdon sitoutuminen ja toimintojen organisointi.

Mitä havainnoimisella tarkoitetaan

Havainnoinnin kokonaisuuteen kuuluvat:

  • Kyberhäiriöt ja tapahtumat (Anomalies and Events): Kyberhäiriöt havaitaan ja niiden mahdolliset vaikutukset ilmailuun ymmärretään.
  • Tietoturvan jatkuva valvonta (Security Continuous Monitoring): ilmailulle kriittisiä tietojärjestelmiä ja suojattavia kohteita monitoroidaan, jotta voidaan havaita kybertapahtumat ja varmistaa suojaavien toimenpiteiden tehokkuus.  
  • Havainnointiprosessit (Detection Processes): Havainnointiprosesseja ja menetelmiä ylläpidetään ja testataan, jotta varmistetaan tietoisuus epänormaalista toiminnasta.

Mitä reagoimisella tarkoitetaan

Reagoinnin kokonaisuuteen kuuluvat:

  • Suunnittelu (Response Planning): Organisaatiolla on määriteltynä ja käytössä tietoturvatapahtumien ja häiriötilanteiden hallintaan poikkeamanhallintaprosessit ja menetelmät. Organisaatiolla on käytössä myös tarvittavat jatkuvuussuunnitelmat kriittisten toimintojen osalta.
  • Koordinointi (Communications): Reagointitoimenpiteet koordinoidaan tarvittavien sisäisten ja ulkoisten sidosryhmien kanssa, ja edellä mainittu otetaan huomioon toimintojen suunnittelussa ja harjoittelussa.
  • Tietoturvatapahtumien ja häiriötilanteiden analysointi (Analysis): tapahtumat ja häiriötilanteen analysoidaan tehokkaan ja vaikuttavan reagoinnin varmistamiseksi. 
  • Vaikutusten rajaaminen (Mitigation): reagointitoimenpiteet suunnitellaan ja toteutetaan niin, että tapahtumien ja häiriötilanteiden vaikutukset saadaan pysäytettyä ja rajattua, niiden potentiaaliset riskit lentoturvallisuudelle tai ilmailun turvaamiselle ovat hallinnassa ja tilanne saadaan ratkaistua.
  • Toiminnan kehittäminen (Improvements): tapahtumista saatuja oppeja hyvistä käytännöistä ja parannettavista asioista hyödynnetään toiminnan kehittämisesä, mukaan lukien strategiat, prosessit ja menetelmät. 

Mitä palautumisella tarkoitetaan

Mitä palautumisen kokonaisuuteen kuuluu:

  • Palautumissuunnitelma (Recovery Planning): Palautumisprosessi ja -menetelmät on suunniteltu, toteutettu ja ylläpidetty, jotta varmistetaan järjestelmien ja suojattavien kohteiden palauttaminen tietoturvapoikkeamist.
  • Parantaminen (Improvements): Palautumissuunnitelmia ja -prosesseja parannetaan sisällyttämällä niihin opittuja asioita.
  • Koordinointi (Communications): Palauttamistoiminnot on koordinoitu sisäisten ja ulkoisten kumppanien kanssa.

Yleisesti tunnettuja ja käytettyjä viitekehyksiä

  • Kyberturvallisuuskeskuksen Kybermittari
  • UK CAA:n Cyber Security Critical Systems Scoping Guidance
  • NISTin Cybersecurity framework
  • EUROCAEn ED-201A Aeronautical information system security framework guidance
  • Eurocontrolin ATM cybersecurity maturity model

Lisää ohjeistusta löydät Traficomin ilmailun kyberturvallisuuden Ohjeita sekä kysymykset & vastaukset-osio-sivulta.

Sivu on viimeksi päivitetty