Traficomin Kyberturvallisuuskeskus on kansallinen tietoturvaviranomainen, jonka tehtäviin kuuluu ennakoida, lisätä tietoisuutta ja torjua suomalaiseen yhteiskuntaan kohdistuvia kyberuhkia yhteistyössä yhteiskunnan eri sektorien kanssa. Kansallisena tietoturvaviranomaisena tuemme koko yhteiskunnan kyberturvallisuutta.
Salaus- ja tuoteturvallisuusarvioinnin vuosi 2024
Kyberturvallisuuskeskuksen turvallisuusviranomaistehtäviin kuuluu salaustuotteiden ja turvallisuuskriittisten tuotteiden hyväksyntä EU- ja Nato-turvallisuusluokitellun tiedon suojaamiseen ja käsittelyyn. Julkisia hyväksyntöjä myönnetään tuotteille, jotka täyttävät kansainvälisen turvallisuusluokitellun tiedon suojaamiseen vaaditut turvallisuusominaisuudet.
EU- ja Nato-hyväksyntöjen tavoittelu kiinnostaa tällä hetkellä laajasti kotimaista yrityskenttää. Kiinnostusta ovat kasvattaneet Nato-jäsenyyden ja muuttuneen turvallisuustilanteen myötä auenneet liiketoimintamahdollisuudet sekä teknologian nopea kehittyminen. Tämä näkyy Kyberturvallisuuskeskuksessa moninkertaistuneena arviointipyyntöjen määränä. Eturintamassa tuotteiden arviointipyyntöjen osalta ovat olleet erilaiset salauslaitteet ja yhdyskäytävätuotteet.
Ensimmäinen Traficomin tekemä salaustuotehyväksyntä Naton turvallisuusluokitellun tiedon suojaamiseksi valmistui kesäkuussa. Työn alla on parhaillaan useiden tuotteiden kansallisia ja Nato- sekä EU-arviointeja. Arvioinnin kesto on tyypillisesti useita kuukausia. Työssä toimitaan yhteistyössä tuotteen toimittajan ja tiedossa olevien käyttäjien kanssa, parhaassa tapauksessa aikaisesta kehitysvaiheesta valmiin tuotteen toimintavarmuustestaukseen ja säännöllisiin muutosten tarkastuksiin. Arviointia tehdään lähtökohtaisesti viranomaisten, kuten Puolustusvoimien tarpeesta, ja tarvittaessa priorisointia pyydetään käyttäjiltä. Arviointityön aikataulutuksessa huomioidaan myös yrityskentän tasapuolinen kohtelu.
Arviointi on pitkäjänteistä ja laajaa asiantuntijuutta vaativaa työtä. Siitä vastaavat Kyberturvallisuuskeskuksessa kokeneet, tuoteturvaan erikoistuneet tietoturva-asiantuntijat ja kryptologit. Nato-jäsenyyden myötä he ovat omaksuneet kansainväliset arviointikriteerit ja hyväksyntämenettelyt osaksi päivittäistä työtään kansallisten arviointitehtävien ja lausuntojen rinnalle. Turvallisuusvaatimuksia arvioidaan ja testataan esimerkiksi salausalgoritmien, toimintavarmuuden sekä ohjelmisto- ja laiteturvallisuuden osalta. Huomiota kiinnitetään myös nykyisessä geopoliittisessa turvallisuustilanteessa ajankohtaiseen toimitusketjujen turvallisuuteen, kuten komponenttien alkuperään ja kehitysprosessin suojaamiseen tuotetta kehittävässä yrityksessä.
Nato- ja EU-kriteeristöt ja niiden tuotteille asettamat turvallisuusvaatimukset ovat tuotteiden valmistajille usein uusia, samoin kuin hyväksynnän menettelyt. Tapauskohtainen neuvonta, ohjeet ja infotilaisuudet ovat tärkeä osa Kyberturvallisuuskeskuksen elinkeinoelämää ja toisia turvallisuusviranomaisia tukevaa työtä.
Kvantinkestävä kyberturvallisuus
Kyberturvallisuuden tulevaisuuden uhkista yksi on kvanttikoneiden kehityksen myötä kehittyvä kyky purkaa tietoliikenteen ja tiedostojen salauksia. Riippuen arvioita tekevästä tahosta tämän uhan arvioidaan toteutuvan lähivuosina, arviot vaihtelevat kymmenestä viiteentoista vuoteen.
Vuonna 2024 NIST (National Institute of Standards and Technology) julkaisi ensimmäiset hyväksytyt kvanttiturvalliset algoritmit. Kyberturvallisuuskeskus päivitti Suomen kansalliset kryptografiset vahvuusvaatimukset niiden mukaiseksi ja julkaisi ohjeen kvanttisiirtymän toteuttamisesta organisaatioille.
Kvanttiuhkaa torjumaan sekä julkisten organisaatioiden että yksityisten yritysten on otettava käyttöön kvantinkestävät salausratkaisut. Ohjelmistojen ja salausta toteuttavien laitteiden valmistajien on siirryttävä valmistamaan niitä. Kvanttisiirtymä tulee tehdä mahdollisimman pian kartoittamalla tällä hetkellä käytössä olevat palvelut, suunnittelemalla siirtymä ja turvattomiksi jäävien palveluiden suojaaminen muilla tavoilla ja toteuttamalla suunnitellut toimenpiteet. Kyberturvallisuuskeskuksen lisäksi vastaavaa ohjeistusta Suomessa ovat julkaisseet muun muassa Huoltovarmuuskeskus huoltovarmuuskriittisten toimijoiden osalta ja kansainvälisesti sekä Euroopan Unioni että useat valtiot.
Kansallisen koordinointikeskuksen vuosi 2024
Kansalliselle koordinointikeskukselle myönnettiin vuosille 2023–2024 Digitaalinen Eurooppa -ohjelmasta rahoitusta lakisääteisen toiminnan käynnistämiseen sekä rahoitustuen edelleen myöntämiseen kyberturvallisuutta parantaviin hankkeisiin. Nyt tuo projekti on tulossa onnistuneesti päätökseensä ja kansallinen koordinointikeskus on toimiva ja aktiivinen osa EU:n laajuista koordinointikeskusten verkostoa. Koordinointikeskus kykenee tarjoamaan Suomen kyberturvallisuuskentälle verkostoitumismahdollisuuksia, tietoa ja ohjeita EU-rahoituksesta sekä rahoitustukea tietoturvaratkaisujen kehittämiseen.
Vuonna 2024 koordinointikeskus myönsi rahoitustukea yhteensä 37 yritykselle modernien tietoturvaratkaisujen ja -innovaatioiden käyttöönottoon. Tukea myönnettiin vuoden aikana yhteensä 1,5 miljoonaa euroa yksittäisten tuettujen yritysten tukisummien vaihdellessa noin 6 600 ja 60 000 euron välillä. Rahoitustuella vahvistetaan ensisijaisesti pk-yritysten omia valmiuksia sekä Suomen kansallista kapasiteettia ja infrastruktuuria kyberhyökkäyksiltä suojautumiseen.
Koordinointikeskus järjesti itse tai yhteistyössä kumppanien kanssa useita tapahtumia vuonna 2024. Kesällä järjestettiin hakemuskoulutusta kyberturvallisuuden EU-rahoitushakuihin liittyen sekä webinaari- että läsnäkoulutuksina. Syyskuussa koordinointikeskus yhdessä kumppanien kanssa isännöi Helsingissä kansainvälistä kyberturvallisuuden EU-rahoitushakujen kumppanuustapahtumaa. Tapahtumassa kuultiin alan asiantuntijoiden puheenvuoroja ja paneelikeskusteluja. Tapahtuma tarjosi myös tilaisuuden esittää omia projekti-ideoitaan, kuulla muiden esityksiä, löytää kumppaneita sekä verkostoitua laajemminkin.
Omien tapahtumien lisäksi koordinointikeskus oli myös aktiivisesti mukana muissa tapahtumissa. Koordinointikeskuksen henkilöstö oli mukana alkuvuoden Tietoturva 2024 -tapahtumassa sekä syksyn Cyber Security Nordic -messuilla kertomassa koordinointikeskuksen toiminnasta sekä etenkin EU-rahoitusmahdollisuuksista kyberturvallisuuden alalle. Lisäksi koordinointikeskus tuki erilaisten tapahtumien järjestelyissä, kuten Kyberturvallisuuskeskuksen ja poliisin Assembly-yhteisosaston toteuttamisessa sekä Hack the Networks -hackathonin mahdollistamisessa.
Koordinointikeskuksen tehtäviin kuuluu myös kansallisen osaamisyhteisön kokoaminen ja kehittäminen. Osaamisyhteisön tavoitteena on koota yhteen keskeiset julkisen, yksityisen ja kolmannen sektorin toimijat sekä kehittää ja tukea toimijoiden välistä yhteistyötä kyberturvallisuuden tutkimuksen, kehittämisen ja innovoinnin mahdollistamiseksi ja parantamiseksi. Osaamisyhteisö kasvoi vuonna 2024 ylittäen loppuvuonna sadan jäsenen rajapyykin. Osaamisyhteisön jäsenet vastaanottavat kuukausittain uutiskirjeen, jonka kautta on mahdollista saada ensikäden tietoa esimerkiksi erilaisista kyberturvallisuusalan rahoitushauista, koordinointikeskuksen sekä muiden alan toimijoiden järjestämistä tapahtumista sekä EU-vaikuttamisesta. Tutustu osaamisyhteisöön ja liity mukaan täällä. (Ulkoinen linkki)
Koordinointikeskus tukee suomalaisia organisaatioita kyberturvallisuuden kehittämisessä myös alkavana vuonna.
Kansallinen koordinointikeskus (NCC-FI)
Oletko kiinnostunut kuulemaan lisää EU-rahoitushauista, kaipaat tukea hakemuksen valmistelussa tai hankekumppaneiden löytämisessä? Kyberturvallisuuskeskuksen kansallinen koordinointikeskus (NCC-FI) auttaa mielellään hakuihin liittyvissä kysymyksissä! Ota yhteyttä Kyberturvallisuuskeskuksen kansalliseen koordinointikeskukseen: ncc-fi@traficom.fi
EUn Kansallinen kyberturvallisuussertifioinnin viranomainen (NCCA)
Vuonna 2024 julkaistiin ensimmäinen kyberturvallisuusasetuksen (Cybersecurity Act, CSA) mukainen EU:n kyberturvallisuuden sertifiointijärjestelmä, EUCC (Common Criteria based European candidate Cybersecurity Certification Scheme). EUCC-järjestelmän avulla ICT-tuotteille voidaan hankkia kyberturvallisuussertifikaatti, joka hyväksytään kaikkialla EU:ssa.
Kyberturvallisuuskeskus toimii Suomessa kansallisena kyberturvallisuussertifioinnin viranomaisena, vastaten kyberturvallisuussertifiointien valvonnasta ja korkean varmuustason sertifikaattien myöntämisestä. Keskus on valmistautunut tuleviin kyberturvallisuussertifiointeihin vuoden 2024 aikana kehittämällä valvontakäytäntöjä ja jakamalla tietoa kyberturvallisuussertifiointeihin liittyen. Keskus on myös osallistunut aktiivisesti EU:n kyberturvallisuussertifiointijärjestelmien säädösvalmisteluun.
Pilvipalveluita ja 5G-verkkoja koskevien sertifiointijärjestelmien osalta valmistelutyö jatkuu vuonna 2025.
Luotettava aika- ja sijaintitieto on yhteiskunnan tukipilari
Yhteiskunta on yhä riippuvaisempi satelliittipaikannusjärjestelmien tuottamasta aika- ja sijaintitiedosta. Eurooppalaisen Galileo-paikannusjärjestelmän julkisesti säännellyn satelliittipalvelun (Public Regulated Service, PRS) tarkoitus on tuottaa varmistettua ja jatkuvaa aika- ja sijaintitietoa kaikissa olosuhteissa viranomaisille ja huoltovarmuuden kannalta tärkeille yrityksille. PRS-palvelun tulevia käyttäjiä Suomessa ovat esimerkiksi poliisi, Tulli, Puolustusvoimat, pelastustoimi, teleyritykset ja pankit sekä energiasektori ja liikenne- ja logistiikka-ala. Luotettava aika- ja sijaintitieto sai tukevan maaperän marraskuussa 2020, kun hallituksen talouspoliittinen ministerivaliokunta linjasi, että PRS-palvelu otetaan käyttöön Suomessa. Työ palvelun ulottamiseksi käyttäjätahoihin on käynnissä yhdessä PRS-palvelun tarjoajien, Suomen Erillisverkot Oy:n ja Puolustusvoimien kanssa.