Kansainväliset tietoturvallisuusvelvoitteet, suomalaisen teknologian jarru vai boosteri
Kun kirjoittaa Googlen hakuun ”kansainväliset tietoturvallisuusvelvoitteet”, kärkiosumat näyttäisivät tulevan pääosin Finlex-palveluun ja aikaan ennen vuotta 2010. Siitä voi saada käsityksen, että aihe olisi 2010-luvulla ollut kehittämisen suhteen paitsiossa, mutta tosiasiassa se oli merkittävää edistyksen aikaa.
Suomella on ollut jonkinlaisia tietoon liittyviä salassapitovelvoitteita toista valtiota kohtaan läpi koko olemassaolonsa ajan, mutta ennen nykyistä informaation nopeutta ja moninaisuutta pääsääntönä riitti, ettei puhunut sivu suunsa ja muisti lukita kassakaapin. Tieto oli vain yhdessä paikassa ja yhdessä dokumentissa.
Taas siinä tarkoituksessa missä kansainväliset tietoturvallisuusvelvoitteet nykyisin ymmärretään, päädytään usein puolustusteollisuuden piiriin kuuluvaan teknologiaan tai monikäyttöiseen erikoisteknologiaan, jonka jokin käyttötapa voi tavalla tai toisella liittyä sodankäyntiin. 2000-luvun alussa tehty ryhtiliike sai kuitenkin potkunsa avaruusteknologiasta.
Ken tuntee historian, ymmärtää myös nykyisyyden: aloitetaan siis Galileosta.
Euroopan Avaruusjärjestön Galileo-paikannusjärjestelmän kehitystyö alkoi 1998 ja Suomelle oli siten EU:n jäsenmaana tarjoutumassa tilaisuus osallistua korkean teknologian hankkeeseen. Suomalaisille yrityksille oli jo suunniteltu hankkeessa roolia saksalaisten yritysten alihankkijoina.
Galileon tarjouskilpailut aloitettiin 2004, mutta pääsyn arkaluonteiseen tietoon olivat kuitenkin saamassa vain niiden maiden yritykset, jotka olivat sitoutuneet kaikkiin tietoturvallisuusjärjestelyihin. Suomessa ei tuolloin vielä ollut yksiselitteistä lainsäädäntöä siitä, kuinka toisessa valtiossa arkaluontoiseksi luokiteltua tietoa tulisi käsitellä suomalaisissa yrityksissä.
Näin oli päässyt käymään, vaikka jo 1994 olimme tehneet turvallisuussopimuksen Naton kanssa koskien PfP-yhteistyötä (Partnership for Peace) ja toisen Länsi-Euroopan Unionin (WEU) kanssa 1997. Näiden lisäksi olimme hankkineet 64 kappaletta F-18 hävittäjiä USA:sta vuonna 1992, ja Suomi tietenkin oli sitoutunut valtiona pitämään salassa tätä lentokalustoa koskevan arkaluonteiset tiedot.
Vielä erikoisemmalta tilanne näyttää siitä lähtökohdasta, että julkisuuslaki ja -asetus tulivat voimaan 1.12.1999, joten vielä koko 1990-luvun, viimeistä kuukautta lukuun ottamatta, Suomessa oli yhä voimassa julkisuuslain edeltäjä: laki yleisten asiakirjain julkisuudesta vuodelta 1951. Sen päävalmistelijana oli toiminut K.J. Ståhlberg ja työ oli aloitettu jo 1939. Toki tähän oli tehty matkan varrella joitain tarkennuksia.
Myöskään henkilöiden turvallisuusselvityksistä säätävää lakia ei ollut vielä 1990-luvulla. Se valmisteltiin 2000-luvun alussa ja tuli voimaan 2002.
Nopea lakivalmistelu
Kiire tulee ennemmin tai myöhemmin, Suomessa se tuli Galileon myötä. Laki kansainvälisistä tietoturvallisuusvelvoitteista valmisteltiin muutamassa kuukaudessa keväällä 2004 ja se tuli voimaan 1.7.2004.
Mikä tästä uudesta laista teki niin erikoisen, että juuri sellainen tarvittiin? Insinöörilogiikalla olen päätynyt käsitykseen, että oleellisia syitä tähän ovat ainakin nämä neljä.
Ensinnäkin: julkisuuslakia ei sovelleta yrityksiin, joten oli olennaista säätää uuden lain soveltamisen piiriin myös yritykset, koska juuri siitä Galileo-hankkeessa oli kysymys.
Toiseksi: jo Naton ja WEU:n kanssa tehdyissä turvallisuussopimuksissa oli velvoite, että Suomen tuli ilmoittaa vastapuolelle sellainen kansallinen turvallisuusviranomainen, joka oli nimetty valvomaan näiden luovuttaman tiedon salassapitoa. Tämä tehtävä ei kuitenkaan aiemmin perustunut lakiin. Kansalliseksi turvallisuusviranomaiseksi säädettiin nyt ulkoministeriö.
Kolmanneksi: julkisuuslain päällimmäinen idea on viranomaisten asiakirjojen mahdollisimman laaja julkisuus, kun taas laissa kansainvälisistä tietoturvallisuusvelvoitteista on lähtökohtana toisen valtion luovuttaman tiedon salassapito. Kummallekin on hyvät perusteet.
Neljänneksi: julkisuuslaissa sääntelyn kohde on ”viranomaisen asiakirja”, kun taas laissa kansainvälisistä tietoturvallisuusvelvoitteista kohteena on ”erityissuojattava tietoaineisto”, jonka piirin määritellään asiakirjat ja materiaalit sekä asiakirjoista ja materiaaleista saatavissa olevat tiedot ja edelleen näiden perusteella tuotetut asiakirjat ja materiaalit. Jälkimmäinen on paljon lähempänä käsitettä ”information”, mikä on yleinen termi Suomen sittemmin tekemissä turvallisuussopimuksissa.
Laki kansainvälisistä tietoturvallisuusvelvoitteista oli siis täsmälaastari tilanteessa, jossa haluttiin mahdollistaa suomalaisten yritysten osallistuminen Galileo-hankkeeseen.
Tiivistäen voidaan sanoa, että Suomen ja suomalaisten yritysten maine toisen valtion arkaluontoisen tiedon salassa pysymiseksi lepäsi 2004 alkaen kolmen tukijalan varassa: salassapito- ja vaitiolovelvollisuus, henkilöiden luotettavuuden arviointimenettely ja kansallisen turvallisuusviranomaisen valvontavastuu.
Lainsäädännön kehittyminen kohti 2020-lukua
Vuonna 2010 astui voimaan valtion virastoja koskeva tietoturva-asetus, jonka käytännön tulkinta kirjattiin jo asetuksen valmistelun kuluessa kansalliseen turvallisuusauditointikriteeristöön (Katakri). Katakrin ideana oli antaa nuotit yritysten tilojen, hallinnon ja tietojärjestelmien auditointiin siten, että tiedot saivat yrityksessä saman suojan, minkä asetus edellytti virastoilta.
Kriteeristön taustalla oli EK:n aktiivisuus ja sisäisen turvallisuuden ohjelman toinen vaihe vuosille 2007–2011, jonka yhtenä erityistavoitteena oli nimenomaan suomalaisten yritysten kilpailukyvyn vahvistaminen.
Katakria on tämän jälkeen päivitetty kolme kertaa, viimeksi vuonna 2020. Uusimman päivityksen taustalla on edellä mainitun tietoturva-asetuksen kumoaminen 2019, jolloin sen tarkoitus kirjattiin lakiin julkisen hallinnon tiedonhallinnasta.
Henkilöiden turvallisuusselvitysten oleellisin yrityksille näkyvä kehitysaskel on ollut selvityksen muuttuminen tarvekohtaisesta määräaikaiseksi alkaen 2015, minkä oli tarkoitus myös vähentää selvitysten vuosittaista määrää, ja siten tehdä tähän käytetyn työn resursoinnista ennustettavampaa myös yrityksissä. Muutos edellytti myös sen, että laissa on kirjattuna menettelyt siitä, kuinka nuhteettomuuden ja luotettavuuden seuranta toteutuu selvityksen voimassa olon ajan.
Samalla lakiuudistuksella otettiin yritysten kannalta toinenkin iso kehitysaskel, kun kotimaan yritysturvallisuusselvitys oli vihdoin muotoiltuna laissa. Tämä edistää yritysten valmiutta myös kansainvälisten tietoturvallisuusvaatimusten näkökulmasta, koska ulkomaan FSC-todistuksen myöntäminen perustuu juuri kotimaan yritysturvallisuusselvitykseen. Ja se, että koko protokolla on nyt laissa, on myös viranomaistoiminnan avoimuuden näkökulmasta erityisen hyvä asia.
Bittien rooli papereiden kustannuksella on ymmärrettävästi kasvanut vuoden 2004 jälkeen oleellisesti, minkä vuoksi 2010 lakimuutoksessa tietojärjestelmien auditointi kirjattiin silloisen Viestintäviraston tehtäväksi. Nyttemmin Traficom ja sen akkreditoimat arviointilaitokset tekevät tietojärjestelmien auditoinnit, ja töitä epäilemättä riittää.
Mitä yritys itse voi tehdä
Yritys ei voi itse hakea itsestään yritysturvallisuusselvitystä, vaan sen hakee se virasto, joka on aikeissa luovuttaa yritykselle turvallisuusluokiteltua, vähintään luottamuksellista tietoa. Mutta jos yritys on jollain aikavälillä tähtäämässä mukaan tarjouskilpailuun, jossa yhteistyön edellytyksenä voi olla FSC-todistus, sen on hyvä ennalta tunnistaa vähintään menettelyn isot linjat. Ja myös se, että vaikka kyseessä ei sinällään ole standardi tai sertifikaatti, prosessissa on samoja piirteitä.
Jos tämä koko aihe on yritykselle aivan uusi, eivätkä turvallisuusluokitellun tiedon säilytys- ja käsittelyvaatimukset yrityksessä ole tuttuja, kannattaa aivan aluksi perehtyä lopussa oleviin linkkeihin ja sen jälkeen arvioida millaisia investointeja turvarakentaminen ja hallinnollisten prosessien kehittäminen yrityksessä edellyttäisi.
Jos yrityksellä jo on kotimaan voimassa oleva yritysturvallisuustodistus jollekin tasolle, ollaan jo varsin pitkällä. Vaikka todistuksen laajuus ja luokitus olisivatkin loivemmasta päästä, joka tapauksessa itse prosessi on jo tuttu, ja siten on myös mahdollista tunnistaa mahdolliset lisäinvestointitarpeet.
Jos taas yrityksellä jo on FSC-todistus, kannattaa silloin tällöin tarkastaa sen päiväys. FSC-todistus nojaa kotimaan yritysturvallisuusselvitykseen, joka taas on voimassa enintään viisi vuotta kerrallaan. Jos kotimaan todistuksen voimassaolo on jo päättynyt, FSC-todistuksen jatko voi edellyttää toimenpiteitä. Se ei kuitenkaan ole samanlainen automaatio, kuin uuden passin hakeminen poliisilta, vaan uusiminen voi sekin edellyttää uuden tarveharkinnan.
Hyödylliset viranomaisten linkit:
Turvallisuusviranomaisten käsikirja yrityksille
Pekka Ylitalo
Kirjoittaja on evp-insinöörieverstiluutnantti, joka palveli 20 vuotta Pääesikunnassa osallistuen yritysturvallisuusselvitysmallin käyttöönottoon 2015-19.