Etusivu: Traficom
Etusivu: Traficom
Valikko

Kyberturvallisuus on tärkeä osa raideliikenteen kokonaisturvallisuutta.

Mitä kyberturvallisuudella tarkoitetaan?

Kyberturvallisuus on tavoitetila, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan. Kyberturvallisuuteen kuuluvat toimenpiteet, joilla voidaan ennakoivasti hallita ja tarvittaessa sietää erilaisia kyberuhkia ja niiden vaikutuksia. Kybertoimintaympäristön toiminnan häiriytyminen aiheutuu usein toteutuneesta tietoturvauhkasta, joten kyberturvallisuuteen pyrittäessä tietoturva on keskeinen tekijä. Tietoturvan lisäksi kyberturvallisuuteen pyritään muun muassa toimenpiteillä, joiden tarkoituksena on turvata häiriytyneestä kybertoimintaympäristöstä riippuvaiset fyysisen maailman toiminnot. Siinä missä tietoturvalla tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta, kyberturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin.

Raideliikenteen kyberturvallisuudella tarkoitetaan, että raideliikennejärjestelmän toimijat tunnistavat ja hallitsevat kyberturvallisuuteen kohdistuvia riskejä, jotka voivat vaikuttaa raideliikenteen turvallisuuteen, fyysisen maailman toimintoihin tai toimintavarmuuteen.

Traficomin tehtävä raideliikenteen kyberturvallisuudessa

Liikenne ja viestintävirasto Traficomin tehtävät raideliikenteen kyberturvallisuudessa jakaantuvat kahteen kokonaisuuteen:

Traficom osallistuu lisäksi raideliikenteen kyberturvallisuuden kehittämiseen myös esimerkiksi Liikenne- ja viestintäministeriön vuodet 2022-2026 kattavassa Liikenneturvallisuusstrategiassa (Ulkoinen linkki) linjatuin tavoin.

Raideliikennelain 169 §

Kyberturvallisuutta raideliikennejärjestelmässä säädellään EU:n verkko- ja tietojärjestelmien turvallisuutta koskevassa NIS-direktiivissä (EU:n verkko- ja tietoturvadirektiivi (Ulkoinen linkki), (EU) 2016/1148). Direktiivin tavoite on, että kyberturvallisuusuhkat tunnistetaan, niiltä suojaudutaan riskienhallinnan keinoin, riskienhallinta dokumentoidaan ja merkittävistä häiriöistä ilmoitetaan viranomaisille. NIS-direktiivin rautatieliikennettä koskevat velvoitteet on saatettu kansallisesti voimaan raideliikennelain 169 §:ssä. Pykälän mukaan valtion rataverkon haltijan (Väylävirasto) ja liikenteenohjauspalvelun tarjoajan (Fintraffic Raide Oy) on huolehdittava käyttämiinsä viestintäverkkoihin ja tietojärjestelmiin kohdistuvien riskien hallinnasta ja ilmoitettava merkittävistä häiriöistä Liikenne- ja viestintävirasto Traficomille. Velvollisuus hallita riskejä koskee kaikkia Väyläviraston ja Fintraffic Raide Oy:n käyttämiä viestintäverkkoja ja tietojärjestelmiä, jotka ovat raideliikenteen palvelujen jatkuvuuden tai häiriötilanteiden kannalta keskeisiä, ja ovat raideliikenteen turvallisuuden kannalta merkittäviä tai joihin kohdistuvat häiriöt voisivat aiheuttaa riskin raideliikenteen turvallisuudelle.

Riskiarviossa edellytetään kaikkien uhkatekijöiden huomioimista, olivat ne sitten luonnon tai ihmisen aiheuttamia, onnettomuuksia tai tahallaan aiheutettuja. Riskienhallinnan vähimmäistason osalta Traficom on antanut suosituksen kyberturvallisuuden edistämisestä raideliikenteessä, jonka mukaan NIS-toimijoiden tulisi toimia ISO/IEC 27001:2022 mukaisesti tai ylittää Kyberturvallisuuskeskuksen Kybermittarin tavoitetaso 2. Traficomin ohjeessa raideliikenteen häiriöiden ilmoittamisesta (Ulkoinen linkki) on tarkennettu, milloin ja miten kyberturvallisuuteen liittyvistä häiriöistä ilmoitetaan. Kaikki raideliikenteen toimijat voivat ilmoittaa kaikista kyberturvallisuuden häiriöistä sähköisellä lomakkeella. (Ulkoinen linkki)

EU:n NIS2 direktiivi (Ulkoinen linkki)julkaistiin 27.12.2022. NIS2 direktiivi asettaa raideliikennejärjestelmän toimijoille aikaisempaa tarkemmin määritellyt kyberturvallisuuden riskienhallintavelvoitteet ja täsmentää toimivaltaisten viranomaisten valvontavelvollisuuksia ja -toimivaltuuksia. Suomessa Liikenne ja -viestintäministeriö (LVM) vastaa NIS2 direktiivin kansallisesta täytäntöönpanosta. NIS2 direktiivin velvoitteet tulee saattaa Suomessa osaksi kansallista lainsäädäntöä 16.10.2024 mennessä. NIS2 direktiivistä voi lukea lisää täältä.  (Ulkoinen linkki)

Traficomin määräys valmiussuunnittelun järjestämisestä liikennejärjestelmässä

Kyberturvallisuus on osa toimintavarmuutta ja varautumista. Kyberturvallisuus ei ole Traficomin valmiussuunnittelumääräyksen keskiössä, mutta Traficomin valmiussuunnittelumääräyksessä (Ulkoinen linkki) on myös kyberturvallisuuden liittyviä vaatimuksia. Määräyksen soveltamisen helpottamiseksi on myös annettu ohje (Ulkoinen linkki). Tavoitetasolla 1 toimittaessa kybertoimintaympäristöä uhkaavat tapahtumat tulee pystyä tunnistamaan ja torjumaan. Tavoitetasolla 2 on kuvattava, kuinka liikenteenohjauksen varajärjestelmiä ja laitteita käytetään ilman ulkoisia tietoliikenneyhteyksiä. Tavoitetasolla 3 on kuvattava liikenteenohjauspaikkojen laitteet, välineet ja varaviestiyhteydet, joita voidaan käyttää, vaikka viestintäverkot eivät ole toimintakykyisiä. Määräyksen mukaan rataverkon haltijan tulee valmiussuunnitelmassa kuvata kyberturvallisuusympäristö siltä osin, kun se on tarpeen rautatieliikenteen varmistamiseksi normaaliolojen häiriötilanteissa tai poikkeusoloissa. Liikenteenohjauspalvelun tarjoajan on kuvattava, kuinka normaaliolojen häiriötilanteissa ja poikkeusoloissa pystytään tarjoamaan. Lisäksi sekä rataverkon haltijan että liikenteenohjauspalvelun tarjoajan on tunnistettava ja kuvattava toiminnan jatkuvuuden kannalta välttämättömät kriittiset toiminnot ja palvelut sekä se, kuinka oman toiminnan ylläpitämisen kannalta kriittisen materiaalin (ml. data) saatavuus varmistetaan.

Suositus kyberturvallisuuden edistämisestä raideliikenteessä

Traficom päivitti suositusta kyberturvallisuuden edistämisestä raideliikenteessä (Ulkoinen linkki)tammikuussa 2023. Suosituksen tarkoituksena on edistää raideliikenteen kyberturvallisuuden kokonaisvaltaista kehittämistä ja toiminnan jatkuvuuden varmistamista. Suositus johdattaa lukijan kyberturvallisuuden edistämiseen, havainnollistaa raideliikennejärjestelmän kyberuhkien moninaisuutta sekä sisältää konkreettiset suositukset raideliikennejärjestelmän toimijoiden kyberturvallisuuden tasosta. Kaikkien raideliikennetoimijoiden tulisi toteuttaa suosituksessa esitetyt kyberturvallisuuden hallintakeinot, noudattaa ISO/IEC 27001:2022 tietoturvallisuuden hallintastandardia tai ylittää Kyberturvallisuuskeskuksen Kybermittarin tason 1. Yhteiskunnan kriittisten toimijoiden (NIS-toimijoiden) suositetaan ylittävän Kybermittarin tason 2.

Päivitetty