Kyberturvallisuus osana Suomen ilmailun turvallisuudenhallintaa | Traficom
Siirry pääsisältöön
Liikenne- ja viestintävirasto

Kyberturvallisuus osana Suomen ilmailun turvallisuudenhallintaa

Kyberturvallisuus on osa ilmailujärjestelmän kokonaisturvallisuutta.

Kuvituskuva

Ilmailun kansallisella turvallisuudenhallinnalla vastataan monimuotoisen ilmailujärjestelmän haasteisiin. Sen avulla myös vahvistetaan Suomen ilmailujärjestelmän sietokykyä suhteessa siihen kohdistuviin uhkiin ja järjestelmän sekä toimintaympäristön muutoksiin. Toimivat turvallisuudenhallinnan rakenteet ylläpitävät saavutettua, korkeaa turvallisuus-tasoa ja varmistavat toiminnan turvallisuuden myös akuuteissa tilanteissa, kuten koronapandemian ollessa käynnissä. Suomen ilmailun turvallisuudenhallinta kuvataan tarkemmin Suomen ilmailun turvallisuusohjelma, -suunnitelma ja suorituskykymittarit-sivulla.

Tällä sivulla keskitytään kuvaamaan kansallisen tason turvallisuudenhallinnan elementit kyberturvallisuuden osalta sekä kuvaamaan, millä mekanismeilla ja yhteistyöllä sitä toteutetaan. Turvallisuuden perustan muodostavat hyvä turvallisuuskulttuuri, tehokas tiedonkulku toimijoiden ja viranomaisten välillä sekä tiedon pohjalta tehdyt toimenpiteet tunnistettujen turvallisuusriskien hallitsemiseksi. Yhteinen tavoite on turvallinen lentomatka ja matkustajien luottamus lentoliikennejärjestelmään. Suomen ilmailujärjestelmän kyberturvallisuuden perusta muodostuu siitä, että sekä ilmailuviranomainen että toimijat huolehtivat kyberturvallisuudesta oman toimintansa ja vastuidensa osalta ja tekevät aktiivista ja luottamuksellista yhteistyötä toiminnan jatkuvaksi parantamiseksi. 

Kyberturvallisuustyötä tehdään lisäksi koko liikennejärjestelmän tasolla ja laajemmin koko Suomen yhteiskunnan tasolla. Kyberturvallisuuteen liittyviä kansallisia ohjelmia ja -strategioita on koottu Ohjeita sekä kysymykset & vastaukset-osio-sivulle.

Ilmailun osalta kyberturvallisuuden kehitystä ohjaavat Kansainvälinen siviili-ilmailujärjestön ICAOn kyberstrategia ja toimeenpano-ohjelma sekä EU-tasolla kyberstrategia, -suunnitelma sekä teemaan liittyvät konseptipaperit ja tiekartat (roadmap). Nämä on koottu Ohjeita sekä kysymykset & vastaukset-osio -sivulle.

Alla on Suomen ilmailun turvallisuuspolitiikka, joka on julkaistu Suomen ilmailun turvallisuusohjelman (FASP, versio 8.0) luvussa 1.1. Turvallisuuspolitiikka kuvaa kansallisen tason sitoutumisen ilmailun turvallisuuteen ja turvaamiseen. Turvallisuuspolitiikka kattaa koko kansallisen tason ilmailujärjestelmän. Turvallisuuden osalta se kuvaa ilmailun kokonaisturvallisuutta, jonka yksi osa on kyberturvallisuus. 

"Kansainvälisessä siviili-ilmailussa on yhteisin sopimuksin ja säädöksin asetettu tur­vallisuus ja ilmailun turvaaminen korkeimmaksi päämääräksi. Suomen siviili-ilmailuviranomainen Traficom sitoutuu ylläpitämään ja kehittämään ilmailun kan­sal­lista turvallisuusohjelmaa. Erityisen tärkeänä Traficom pitää sitä, että lento­tur­vallisuus ja kansa­lais­ten luottamus lentoliikennejärjestelmään säilyvät hyvänä. Luottamuksen perus­pila­reita ilmailujärjestelmässä ovat turvallisuus, ilmailun tur­vaaminen, kyberturvallisuus, terveysturvallisuus ja ympäristöystävällisyys. Osa­puolten on myös huolehdittava taloudellisuudesta, luotettavuudesta ja täs­mäl­li­syy­­destä osana sujuvia matkaketjuja sekä tukemassa Suomen saavutettavuutta. Lisäksi on varmistettava uusien teknologioiden ja toimintamallien turvallinen in­teg­rointi ilmailu­järjes­telmään inhimillisten tekijöiden vahvuudet ja rajoitukset sekä teknologia huomioon ottaen. Osapuolten on varmistettava toiminnan turvallisuus myös toimintaympäristön voimakkaissa muutostilanteissa ja huolehdittava tehokkaasta muutoksen- ja riskienhallinnasta.

Suomen ilmailussa noudatetaan ICAOn ja EU:n vaa­ti­muksia. Traficom määrittelee Suomen ilmailulle strate­giset turval­lisuus­tavoitteet ja hyväksyttävän turvallisuus­tason, joka ottaa huomioon EU-tason turvallisuus­tavoitteet sekä paikalliset olo­suh­­teet ja Suomen ilmailun riskienhallinnan kautta nousseet turvallisuusteemat. Traficomin ja ilmailun toi­mi­­joiden on pyrittävä saavuttamaan määritellyt tavoit­teet ja turvallisuustaso käytännön toiminnassaan.

Turvallisuudenhallinnan ja hyvän turvallisuuskulttuurin jatkuva kehittäminen, ris­ki- ja suorituskykyperusteinen lähestymistapa sekä toimijoiden vastuu oman toi­min­tansa turvallisuudesta ovat Suomen ilmailuturvallisuuden kulmakiviä. Traficom valvoo ja edistää edellä mainittujen toteutumista.

Traficom varmistaa ja edistää just culture-ilmapiirin toteutumista. Suomen il­mailu­järjestelmässä just culture-ilmapiiri pitää sisällään kaikkien osapuolten osal­ta hyväksyttävien ja ei-hyväksyttävien toimintatapojen määrit­telyn ja viestimisen, luottamuksellisen ja oikeudenmukaisen ilmapiirin edistämisen sekä just culture-periaatteiden noudatta­misen käytännössä. Tämä kattaa myös ei-hyväksyttävään toimintaan puuttumisen poikkeama-asetuksen artiklan 16 kohdan 10 mukaisissa tapauksissa. Traficom edistää hyvää raportointikulttuuria ja varmistaa poikkeamatietojen luottamuksellisuuden ja asianmukaisen käytön sekä tietolähteen suojelun poikkeama-asetuksen artiklojen 15 ja 16 mukaisesti.

Traficom ylläpitää ilmailun viranomaistehtäviin tarvittavan asiantun­temuksen tehtä­vi­en edellyttämällä tasolla. Tätä tuetaan jatkuvan koulutuksen ja kansain­välisen yhteistyön avulla."

Suomen ilmailun strategiset turvallisuustavoitteet

Suomen ilmailun strategiset turvallisuustavoitteet on kuvattu FASPin versio 8.0 luvussa 1.2. sekä FASPin liitteessä 2. Kyberturvallisuus sisältyy osana kokonaisturvallisuutta moneen strategiseen turvallisuustavoitteeseen. Erityisesti kyberturvallisuus on mainittu alla olevissa Suomen ilmailun strategisissa turvallisuustavoitteissa:

  • Suomen ilmailun keskeiset uhat (turvallisuus, ilmailun turvaaminen, kyberturvallisuus, terveysturvallisuus) on tunnistettu ja käsitellään toimijoiden turvallisuudenhallinnassa. Työssä huomioidaan myös Suomen erityisolosuhteet, kuten talvi.
  • Suomen ilmailun riskienhallinta (turvallisuus, ilmailun turvaaminen, kyberturvallisuus, terveysturvallisuus) on systemaattista, vaikuttavaa ja jatkuvasti kehittyvää.
  • Kyberriskienhallinta on osa ilmailun turvallisuusriskien hallintaa Traficomissa ja toimijoilla. 

Suomen ilmailun turvallisuuden suorituskykymittarit ja -tavoitteet

Strategisten turvallisustavoitteiden toteutumis­ta seurataan määritettyjen ja julkaistujen suorituskykymittarien ja niille asetettu­jen suorituskykytavoitteiden avulla (FASP liite 2). Kansallisia tavoitteita ja mittaristoa päivitetään kyberturvallisuudenkin osalta säännöllisesti osana riski- ja suorituskykyperusteista turvallisuudenhallintaa. 11.1.2024 julkaistiin versio 6.0 FASPin liitteestä 2, Suomen ilmailun turvallisuuden suorituskykytavoitteet ja -mittarit. Se on ollut voimassa 1.2.2024 lähtien. Voimassa olevat kyberturvallisuuden suorituskykytavoitteet ovat:

  • SSP-SPI- KYBER-1
    • Mittari: Suorituskyky Kyberturvallisuuden hallinnan osa-alueella: Tunnista (Identify)
    • Tavoite: Suomessa kyberriskienhallinta on osa ilmailun turvallisuusriskien hallintaa Traficomissa ja toimijoilla sisältäen:
      • Toimijoilla on käytössä prosessi kyberturvallisuuden kannalta kriittisten toimintojen ja järjestelmien tunnistamiseen ja määrittelyyn.
      • Toimijoilla on käytössä kriittisten toimintojen ja järjestelmien riskienhallinnan prosessi: riskit on arvioitu ja tarvittavat riskienhallinnan toimenpiteet on määritelty ja toteutettu.
  • SSP-SPI- KYBER-2
    • Mittari: Suorituskyky Kyberturvallisuuden hallinnan osa-alueella: Suojaudu (Protect)
    • Tavoite: Suomessa kyberriskienhallinta on osa ilmailun turvallisuusriskien hallintaa Traficomissa ja toimijoilla:
      • Toimijoilla on käytössä fyysisen ympäristön ja verkkoympäristön suojaamisen sekä käyttöoikeuksien hallinnan menettelyt suojattavien kohteiden (ilmailun kyberturvalli-suuden kannalta kriittiset toiminnot ja järjestelmät) osalta.
  • SSP-SPI- KYBER-3
    • Mittari: Suorituskyky Kyberturvallisuuden hallinnan osa-alueella: Havainnoi (Detect)
    • Tavoite: Toimijoilla on käytössään kattava kyberturvallisuuden tilannekuva:
      • Toimijat kykenevät tunnistamaan ilmailun kyberturvallisuuden kannalta poikkeavan toi-minnan ja sen mahdolliset vaikutukset ilmailun turvallisuudelle tai turvatoiminnoille.
  • SSP-SPI- KYBER-4
    • Mittari: Suorituskyky Kyberturvallisuuden hallinnan osa-alueella: Reagoi (Respond)
    • Tavoite: Toimijoilla on kyky reagoida kyberturvallisuustapahtumiin:
      • Toimijat kykenevät rajaamaan havaittujen kyberturvallisuustapahtumien vaikutukset niin, että niiden potentiaaliset riskit lentoturvallisuudelle tai ilmailun turvaamiselle ovat hallinnassa.
      • Toimijat koordinoivat reagointitoimenpiteet tarvittavien sisäisten ja ulkoisten sidosryhmien kanssa.
      • Toimijat ovat määritelleet poikkeamanhallintaprosessit ja operatiivisen toiminnan jatkuvuussuunnitelmat (ERP) myös kyberturvallisuustapahtumien hallintaan.
  • SSP-SPI- KYBER-5
    • Mittari: Suorituskyky Kyberturvallisuuden hallinnan osa-alueella: Palaudu (Recover)
    • Tavoite: Toimijoilla on kyky palautua kyberturvallisuustapahtumista hallitusti:
      • Toimijoilla on suunnitelmat turvalliselle palautumiselle kyberturvallisuustapahtu-mista niin, että lentoturvallisuudelle tai ilmailun turvaamiselle aiheutuvat riskit ovat hallinnassa.
      • Toimijat päivittävät suunnitelmia toteutuneista tilanteista saatujen kokemusten pohjalta.
      • Toimijat koordinoivat palautumistoimenpiteet tarvittavien sisäisten ja ulkoisten si-dosryhmien kanssa.

Yllä kuvat suorituskykytavoitteet on päivitetty yhteistyössä ilmailun keskeisten toimijoiden kanssa.

Traficom on sitoutunut laajaan ja yhteistyöhön perustuvaan toimintaan ilmailun teollisuuden ja toimijoiden kanssa varmistaakseen ilmailun kyberturvallisuuden jatkuvasti muuttuvassa toimintaympäristössä. Ilmailun kansallisen turvallisuuden­hallinnan yhteistyötä tehdään yhteistyössä ilmailun strategisten toimijoiden kanssa, ja sen osia ovat:

  • Ilmailun kyberriskipaja­työ
  • Ilmailun kyberturvallisuuden tilannekuvatyö
  • Työ strategisten turvallisuustavoitteiden ja suorituskykymittariston päivittämisessä ja tavoitteisiin pääsemisessä.

Ilmailun kyberriskipajatyössä muodostetaan ja ylläpidetään, osana kansallista ilmailun riskiehallinnan prosessia (katso FASP luku 2.6), kansallista ilmailun kyberturvallisuuden riskikuvaa. Tulokset hyödyttävät valvonnan, tie-dottamisen ja neuvonnan kautta kaikkia ilmailun toimijoita. 

Ilmailuviranomainen hyödyntää omassa työssään Kyberturvallisuuskeskuksen kehittämää ja ylläpitämää Kybermittaria organisaatioiden kyberturvallisuuden hallin­nan suorituskyvyn arvioimiseen. Kybermittari on suunniteltu kaikentyyppisille ja -kokoisille organisaatioille ja mahdol­lis­taa yhdenmukaisen lähestymisen kyber­turvallisuuteen. Ilmailun toimialaan koh­dis­tet­tuna, Kybermittarin käyttö varmistaa samalla yhdenmukaisen lähestymisen ilmailun eri alueilla; lentoturvallisuus, ilmai­lun turvaaminen, ilmailun resilienssi. Organisaatioille kybermittarin käyttö on vapaaehtoista, mutta suositeltavaa.

Sivu on viimeksi päivitetty