Finanssialan toimijoiden tietoturvallisuutta tarkastellaan useassa eri vaiheessa – sääntely tiukentuu todennäköisesti entisestään

Riittävä tietoturvan taso on noussut viime aikoina esille yhteiskunnallisessa keskustelussa. Tietoturvallisuudella tarkoitetaan järjestelyjä, joilla pyritään varmistamaan tiedon luottamuksellisuus, eheys ja saatavuus¹.

Finanssialan tietoturvaa koskevista vaatimuksista säädetään laeissa ja Finanssivalvonnan määräyksissä ja ohjeissa

Tietoturvallisuuden valvonta on olennainen osa finanssialan palveluntarjoajien operatiivisten riskien² valvontaa, joka kuuluu Finanssivalvonnan perustehtäviin. Useissa erityislaeissa on asetettu tietoturvallisuutta koskevia vaatimuksia, joita finanssialan toimijoiden on noudatettava. Esimerkiksi luottolaitoslaissa edellytetään, että luottolaitoksella on oltava menetelmät operatiivisten riskien tunnistamiseksi, arvioimiseksi ja hallitsemiseksi. Luottolaitoksella on oltava riittävät, turvalliset ja toimintavarmat maksu-, arvopaperi- ja muut tietojärjestelmät. Luottolaitoksella on oltava myös varautumis- ja jatkuvuussuunnitelmat liiketoiminnan vakaviin häiriöihin varautumiseen, toiminnan jatkuvuuden turvaamiseen sekä häiriötilanteissa aiheutuvien vahinkojen rajoittamiseen.

Finanssivalvonnalle on annettu useassa erityislaissa toimivaltuus antaa tarkempia määräyksiä ja ohjeita valvottaviensa riittävästä tietoturvallisuuden tasosta.³

Tietoturvan tasoa tarkastellaan jo ennen toiminnan aloittamista

Toiminta finanssialalla on luvanvaraista. Vain sääntelyn asettamat vähimmäisvaatimukset täyttävät hakijat voivat saada luvan toiminnan harjoittamiseen. Lupaedellytyksiin sisältyy operatiivisten riskien hallintaa koskevia vaatimuksia, jotka hakijan on osoitettava täyttävänsä ennen kuin lupa voidaan myöntää. Usein hakijat osoittavat täyttävänsä tietoturvallisuuteen liittyvät vaatimukset hankkimalla ulkopuolisen riippumattoman arvioijan lausunnon tietoturvasta (auditointi).

Luvan myöntämisen jälkeen toimijasta tulee Finanssivalvonnan valvottava, jolloin toimija kuuluu jatkuvan valvonnan piiriin. Finanssivalvonta voi tehdä toimijasta valvojan arvion (riskiarvion), jossa voidaan tarkastella myös tietoturvavaatimusten toteutumista. Valvojan työkalupakkiin kuuluu myös tarkastusten tekeminen ja ulkoistusten arviointi, kun kyseessä on merkittävä IT-ulkoistus.

Tietoturva on huomioitava myös tilanteissa, joissa palvelujen tarjonta lopetetaan. Suunnitelmaa palvelujen tarjonnan lopettamisen tai palvelujen siirron varalta vaaditaan usein jo siinä vaiheessa, kun haetaan lupaa toiminnan käynnistämiseksi.

Tietoturvan taso Suomessa yleisesti ottaen hyvä – vika- ja häiriöilmoitukset arvokasta lisätietoa valvojalle

Suomalaiset finanssialan yritykset ovat yleensä pärjänneet hyvin vertailuissa, joissa arvioidaan kyberturvallisuuden tasoa.⁴ Tästä huolimatta on muistettava, että sataprosenttista tietoturvaa ei ole olemassa. Tietoturvan ylläpitäminen edellyttää jatkuvaa kehitystyötä ja tietoturvan huomioimista kattavasti kaikissa prosesseissa.

Finanssivalvonta saa tilannetietoa valvottavilta erilaisten ilmoitusten muodossa, sillä useassa eri sääntelyssä asetetaan valvottaville velvollisuus ilmoittaa toimintansa vioista ja häiriöistä Finanssivalvonnalle. Häiriöilmoituksia hyödynnetään valvonnassa monin tavoin. Niistä voidaan tehdä yksittäisiä valvottavia koskevia havaintoja sekä poimia ilmiöitä, joita useat valvottavat kohtaavat. Vika- ja häiriöilmoituksista tehdään myös anonymisoituja koonteja, joita toimitetaan eteenpäin eurooppalaisille valvontaviranomaisille. Ilmoitusten koonti mahdollistaa ilmiöiden seurannan myös Euroopan tasolla.

Tiukentuvaa sääntelyä näköpiirissä

Euroopan komissio julkaisi 24.9.2020 laajan digitaalisen rahoituksen paketin, joka sisältää muun muassa finanssialan digitaalista toimintavarmuutta koskevan asetusluonnoksen (Digital Operational Resilience Act, DORA). Asetusehdotus toisi toteutuessaan mm. velvoitteen ICT-toiminnan tietoturvatestauksiin ja merkittäville rahoitusmarkkinatoimijoille velvoitteen kattavaan penetraatiotestaukseen eli järjestelmän testaamisen tietoturvariskin varalta. Ulkoistuksia koskevaa valvontaa tiukennettaisiin entisestään. Lisäksi ehdotetaan kriittisille ulkoistuskumppaneille omaa valvontakehikkoa, jolloin merkittävät IT-palveluntarjoajat tulisivat myös finanssivalvojien toimivallan ulottuviin.

Samaan aikaan EU:n verkko- ja turvallisuusdirektiiviä⁵ (nk. NIS-direktiivi) tarkastellaan uudelleen. On mahdollista, että tietoturvavaatimukset laajenevat tätäkin kautta. Liikenne- ja viestintäministeriö on puolestaan perustanut työryhmän selvittämään keinoja yhteiskunnan kriittisten toimialojen tietoturvan ja tietosuojan parantamiseksi.⁶

¹ Luottamuksellisuudella tarkoitetaan sitä, että tieto on vain sen käyttöön oikeutettujen käytettävissä eikä se paljastu muille. Eheydellä tarkoitetaan, että tietoa ei ole muutettu luvatta tai että se ei ole muuttunut vahingossa ja että mahdolliset muutokset voidaan todentaa. Saatavuudella tarkoitetaan sitä, miten tieto, tietojärjestelmä tai palvelu on hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. Saatavuus pitää sisällään myös sen, että on olemassa tarvittavat varajärjestelyt vika- ja häiriötilanteiden varalta.
² Operatiivisella riskillä tarkoitetaan tappionvaaraa, joka aiheutuu
• riittämättömistä tai epäonnistuneista sisäisistä prosesseista
• henkilöstöstä
• järjestelmistä
• ulkoisista tekijöistä.
³ Ks. esimerkiksi Määräykset ja ohjeet 8/2014, Operatiivisen riskin hallinta rahoitussektorin valvottavissa
⁴ ks. esim. Johdon ohjaus on ratkaisevaa yrityksen kyberkestävyyden kannalta - Huoltovarmuuskeskus 
⁵ https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016L1148
⁶ https://www.lvm.fi/-/tyoryhma-selvittamaan-keinoja-yhteiskunnan-kriittisten-toimialojen-tietoturvan-ja-tietosuojan-parantamiseksi-1241272