Ohjeita sekä kysymykset & vastaukset-osio

Alla on linkkejä Kyberturvallisuuskeskuksen sivuille. Niiltä löytyy paljon hyödyllistä ohjeistusta.

• Kyberturvallisuuskeskuksen etusivu
• Ohjeet ja oppaat organisaatioille ja yrityksille
• Ohjeet soveltamiseen: NIS2 - Euroopan unionin kyberturvallisuusdirektiivi
• NIS-direktiivin mukainen tietoturvailmoitus ja muuta NIS-ohjeistusta
• Kybermittari sekä tiedote
• Yhteistyöryhmien tiedonvaihtokäytäntöjä

Alla on linkkejä sivustoille, joilta löytyy tietoa ilmailun ja myös muiden toimialojen ajankohtaisista tietoturvatapahtumista:

• Eurocontrolin EATM-CERT (European Air Traffic Management Computer Emergency Response Team)
• ECCSA (European Confederation of Search & Selection Associations)

Alle on koottu Euroopan Unionin lentoturvallisuusvirasto EASAn ja EU:n komission ohjemateriaalia ja linkkejä:

• EASAn
• EASAn
• EASAn
• EASAn
• EASAn Cybersecurity community-sivuilla ohje:
• EASAn
• Euroopan komission Liikenteen kyberturvallisuutta koskeva välineistö suomeksi ja englanniksi

Iso-Britannian siviili-ilmailuviranomaisen (UK CAA) sivuilta löytyy ohjemateriaalia ilmailun organisaatioille. Niistä erityisesti alla oleva ohjeistus on hyödyllinen, sillä se tarjoaa yhtenäisen menetelmän kriittisten toimintojen ja järjestelmien tunnistamiseen ja arviointiin.

Euroopan unionin verkko- ja tietoturvaviraston (ENISA) tehtävänä on toimia Euroopan Unionin verkko- ja tietoturvan asiantuntijakeskuksena. ENISAn sivuilta löytyy paljon ohjemateriaalia, joista alla muutamia, ilmailua tai liikennejärjestelmää koskevia:

• ENISA Threat Landscape 2022
• ENISA Transport Threat Landscape
• Threat Landscape for Supply Chain Attacks
• ENISAn nettisivut englanniksi
• ENISAn nettisivut suomeksi

Ilmailun osalta globaalia kyberturvallisuuden kehitystä ohjaavat Kansainvälinen siviili-ilmailujärjestön ICAOn kyberturvallisuusstrategia ja toimeenpano-ohjelma:

• ICAOn kyberturvallisuussivut
• ICAOn kyberturvallisuusstrategia (Cybersecurity Strategy)
• ICAOn kyberturvallisuusstrategian toimeenpano-ohjelma (Cybersecurity Action Plan)
• ICAOn ohjemateriaalia

Ilmailun osalta kyberturvallisuuden kehitystä EU-tasolla ohjaavat EU:n kyberstrategia, -suunnitelma
sekä teemaan liittyvät konseptipaperit ja tiekartat (roadmap):

• EU:n kyberturvallisuusstrategia (The EU's Cybersecurity Strategy for the Digital Decade)
• EU:n turvallisuusunionistrategia (The EU Security Union Strategy)
• EASA Artificial Intelligence Roadmap 2.0
• EASA Concept Paper First usable guidance for Level 1 machine learning applications - Proposed Issue 01

Alla on Suomen kansallisen tason kyberturvallisuustyötä ohjaavia dokumentteja, sekä linkkejä sivustoille, joista löytyy lisätietoa:

• Päivitetyn  
• Valtioneuvoston periaatepäätös tietoturvan ja tietosuojan parantamiseksi yhteiskunnan kriittisillä toimialoilla
• Tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla: Työryhmän loppuraportti
• Linkki Turvallisuuskomitean sivuille

Tähän osioon päivitetään ilmailun kyberturvallisuudesta usein kysyttyjä kysymyksiä ja niiden vastauksia. 

Ilmailun turvaamisen (aviation security) sääntelyn (EU) 2019/1583 käytäntöön viemiseen liittyviä kysymyksiä:

1. Keitä ilmailun organisaatioita kyseinen sääntely velvoittaa?
   Vastaus: Asetus koskee lentoaseman pitäjiä, lentoliikenteen harjoittajia (AOC-organisaatiot) ja kansallisessa siviili-ilmailun turvaohjelmassa määriteltyjä yksiköitä. Jälkimmäisiin kuuluvat asetuksessa (EC) 300/2008 määritellyt tunnetut lähettäjät (known consignor), valvotut edustajat (regulated agent) ja valvotut toimittajat (regulated supplier). 
2. Miten organisaatiomme kannattaisi lähteä liikkeelle asetuksen velvoitteiden toteuttamisessa?
   Vastaus: Asetus edellyttää, että organisaatiot tunnistavat ja määrittävät siviili-ilmailussa käytettävät kriittiset tieto- ja viestintätekniset järjestelmänsä ja kriittisen datansa ja suojaavat ne kyberhyökkäyksiltä, jotka voisivat vaikuttaa siviili-ilmailun turvaamiseen. Käytännössä, aluksi organisaation on hyvä kuvata menetelmä, jolla se tunnistaa ja arvioi ilmailun turvaamisen kannalta kriittiset järjestelmänsä ja datan. Organisaation on pyydettäessä kyettävä esittämään dokumentoitu menettely ilmailuviranomaiselle. "Tunnistaminen" on ensimmäinen toimenpide tietoturvanhallinnassa (tunnistaminen, suojaaminen, havaitseminen, reagointi, palautuminen). 
3. Velvoittaako kyseinen sääntely meitä, jos meillä ei ole ilmailun turvaamisen kannalta kriittisiä järjestelmiä?
   Vastaus: Jos tällä hetkellä organisaatiolla ei ole ilmailun turvaamisen kannalta kriittisiä järjestelmiä, sääntelyn vaikutukset ovat erittäin vähäisiä. Organisaation toimintaympäristö (liiketoiminta, kumppanit, järjestelmien rajapinnat jne.) on kuitenkin jatkuvassa muutoksessa, joten tilanne kriittisten järjestelmienkin osalta voi muuttua. Organisaation on jatkuvasti tiedostettava tilanteensa ja täytettävä sääntelyn velvoitteet kriittisten järjestelmiensä osalta.
4. Olemme ISO 27001-sertifioitu yritys ja meillä on tietoturvallisuuspolitiikka. Lisäksi meillä on yleinen ohjeistus tietoturvaan. Täyttääkö tämä vaatimuksen ilmailun kannalta kriittisten järjestelmien tunnistamisesta, suojaamisesta, tapahtumien havaitsemisesta, reagoimisesta ja palautumisesta, sekä kaikkien näiden todentamisesta?
   Vastaus: Jos ISO 27001-sertifioinnin laajuus kattaa myös ilmailun kannalta kriittiset järjestelmät ja tämä voidaan todentaa, se on vahva lähtökohta vaatimusten täyttämiselle ja todentamiselle, jota viranomainen valvoo ja arvioi. Keskeistä kuitenkin on, että organisaatiolla on kuvattu ja todennettavissa oleva prosessi (ilmailun kannalta kriittisten järjestelmien tunnistamiseksi, suojaamiseksi, tapahtumien havaitsemiseksi, niihin reagoimiseksi ja niistä palautumiseksi), jonka se voi esittää ulkopuoliselle tarkastelijalle. Prosessin on kuvattava riittävällä tarkkuudella, miten organisaatio esim. tunnistaa kriittisiä järjestelmiä. Tietoturvasertifikaatti tai -politiikka eivät yksin riitä kuvaamaan prosessia.