saitti/docs/domain-fi/tietoturva.md

# Tietoturva

Verkkotunnusvälittäjän on huolehdittava toimintansa tietoturvasta.

Tietoturvasta huolehtiminen on välittäjän lakisääteinen velvollisuus, josta
säädetään sähköisen viestinnän palveluista annetun lain 170.1 §:n kohdassa 6
sekä GDPR artiklassa 32.

Tietoturvalla tarkoitetaan sähköisen viestinnän palveluista annetun lain 3.1
§:n 28 kohdan mukaan hallinnollisia ja teknisiä toimia tietojen
luottamuksellisuuden, eheyden ja saatavuuden turvaamiseksi.

Verkkotunnusmääräyksen 68 luvussa neljä kuvataan vähimmäisvaatimukset
tietoturvan hallinnoinnille, jotka verkkotunnusvälittäjän tulee toteuttaa
toiminnassaan.

Verkkotunnusmääräyksen perustelut ja soveltaminen tarkentaa konkreettisemmin,
miten tietoturvavaatimuksia tulee soveltaa käytännössä.

## Välittäjän ilmoitusvelvollisuus tietoturvahäiriöistä

Verkkotunnusvälittäjän on ilmoitettava välitystoimintaan kohdistuvista
tietoturvauhkista ja -loukkauksista.

Tietoturvaloukkauksista ilmoitetaan Traficomin asiointilomakkeella, joka löytyy
sisäänkirjautuneen välittäjän www-käyttöliittymässä vasemmasta navigaatiosta.

Välittäjän on ilmoitettava viipymättä Traficomille, jos sen verkkotunnusten
välitystoimintaan kohdistuu

- merkittävä tietoturvaloukkaus
- uhka merkittävästä tietoturvaloukkauksesta tai tapahtumasta, joka estää tai
  häiritsee toimintaa olennaisesti.

Samalla on myös ilmoitettava häiriön tai sen uhan

- arvioitu kesto
- vaikutukset
- korjaustoimenpiteet
- toimenpiteet, joilla häiriön toistuminen pyritään estämään.

Traficomille annettavassa merkittävää tietoturvahäiriötä koskevassa
ilmoituksessa tulee mahdollisuuksien mukaan selvittää häiriön tai uhan syy ja
kuvata, miten häiriö on aiheutunut.

**Tietoturvahäiriöstä on ilmoitettava välittömästi**

Häiriöilmoitus on tehtävä 24 tunnin kuluessa siitä, kun häiriötilanne on tullut
välittäjän tietoon.

Esimerkiksi tilanteessa, jossa verkkotunnusvälittäjän järjestelmään on
tunkeuduttu, on välttämätöntä, että valvova viranomainen saa asiasta viipymättä
tiedon. Vaarana on, että tunkeutuja voi päästä vapaasti muuttamaan kyseisen
välittäjän hallinnoimien verkkotunnusten tietoja, kuten esimerkiksi
nimipalvelimia. Uhka voi koskea laajaakin asiakasmäärää riippuen välittäjän
asiakaskunnasta.

Jos kaikkia ilmoituksessa esitettyjä tietoja ei ole saatavilla ja tilannetta on
tutkittava tarkemmin, tehdään viimeistään 24 tunnin kuluessa ns. alustava
ilmoitus, jota täydennetään mahdollisimman pian, viimeistään kuitenkin kolmen
(3) päivän kuluttua alustavasta ilmoituksesta.

Jos tutkimuksista huolimatta verkkotunnusvälittäjä ei pysty antamaan kaikkia
tietoja kolmen päivän kuluessa alustavasta ilmoituksesta, on ilmoitettava
kyseisessä määräajassa käyttöön saadut tiedot ja perusteltava, miksi loput
tiedot ilmoitetaan määräajan jälkeen.

## Merkittävät tietoturvaloukkaukset

Merkittävistä välittäjätoimintaan kohdistuvista tietoturvaloukkauksista on
ilmoitettava Traficomille.

Tietoturvaloukkausten vaikutukset voivat kohdistua tietojen tai
tietojärjestelmien luottamuksellisuuteen, eheyteen tai saatavuuteen.

Luottamuksellisuus: Tiedot ja käyttäjätunnuksiin liittyvät todentamistiedot
ovat vain niihin oikeutettujen tahojen tiedossa.

Eheys: Tietoja ei ole mahdollista muuttaa oikeudettomasti. Sivullisten ei ole
mahdollista vaikuttaa tietojärjestelmien toimintaan.

Saatavuus: Palvelu ja sen sisältämät tiedot ovat siihen oikeutettujen tahojen
saatavissa.

## Tietoturvaloukkausten merkittävyyden arviointi

Tietoturvaloukkauksen tai muun tapahtuman merkittävyyttä arvioitaessa on
kiinnitettävä huomiota tapauksen haitallisiin vaikutuksiin tai tietoturvauhan
vakavuuteen. Merkittävänä voidaan pitää aina sitä, että tietoturvahäiriö
kohdistuu johonkin seuraavista suojattavista kohteista:

- verkkotunnusvälittäjän omiin palveluihin ja palvelujen tuotantoon käytettäviin
  tieto- ja viestintäjärjestelmiin
- verkkotunnusvälittäjän asiakkaiden tietoturvaan, henkilötietojen suojaan tai
  yrityssalaisuuksien suojaan
- Traficomin hallinnoimaan Suomen fi-juureen (joko suoraan tai välillisesti
  verkkotunnusvälittäjään kohdistuneen tietoturvaloukkauksen seurauksena).

Merkittävänä voidaan myös pitää usein toistuvaa, poikkeuksellisen pitkäkestoista
tai tahalliselta vaikuttavaa toimintaa, jolla on negatiivisia vaikutuksia
verkkotunnusvälittäjän kykyyn huolehtia välitystoimintansa tietoturvasta.
Lisäksi merkittävänä voidaan pitää sitä, että häiriötä ei ole mahdollista
poistaa pelkillä verkkotunnusvälittäjän omilla toimenpiteillä.

## Ilmoitusvelvollisuuteen kuuluvia tietoturvaloukkaustyyppejä

Alla oleva luettelo ilmoitettavista tietoturvaloukkaustyypeistä ei ole
tyhjentävä, vaan sen on tarkoitus kuvata ilmoituskynnyksen vakavuustasoa.
Harkinnan mukaan myös vähäisemmistä tietoturvaloukkauksista ja niiden uhkista
kannattaa ilmoittaa Traficomille.

Traficomille ilmoitettavia merkittäviä tietoturvahäiriöitä ovat esimerkiksi:

- tietomurrot verkkotunnusvälittäjän tietojärjestelmiin
- oikeudeton pääsy verkkotunnusvälittäjän järjestelmään
- verkkotunnusvälittäjän järjestelmässä oleva tietoturvaa vaarantava
  haavoittuvuus tai konfiguraatiovirhe.
- sisäänkirjautumistunnusten päätyminen kolmannen osapuolen tietoon
- Traficomin järjestelmiin käytettävien sisäänkirjautumistunnusten päätyminen
  ulkopuolisille.

Oikeudettomat muutokset

- mahdollisuus oikeudettomasti muuttaa verkkotunnusvälittäjän hallinnoimien
  verkkotunnusten tietoja
- verkkotunnusvälittäjän oman henkilöstön oikeudettomasti suorittamat muutokset
  Traficomin verkkotunnusrekisteriin
- oikeudeton pääsy verkkotunnusvälittäjän asiakkailleen tarjoamaan
  itsepalveluportaaliin, jonka avulla asiakkaat voivat itse ylläpitää
  verkkotunnustensa tietoja.

Palvelunestohyökkäykset

- jos verkkotunnusvälittäjän järjestelmä lamaantuu ja/tai asiakkaiden pääsy
  järjestelmään estyy tai
- järjestelmän häiriö vaikuttaa Traficomin järjestelmän toimintaan.

## Suositus vapaaehtoisista ilmoituksista

Traficom suosittelee, että verkkotunnusvälittäjät ilmoittavat harkintansa mukaan
Traficomille myös merkittävää vähäisemmistä tietoturvaloukkauksista ja niiden
uhkista. Näillä tiedoilla voi olla merkitystä Traficomin muiden
tietoturvatehtävien hoitamisen kannalta.

Traficomilla on oikeus ryhtyä välttämättömiin toimiin fi-verkkotunnuksia
hyödyntämällä toteutettavien yleisiin viestintäverkkoihin tai -palveluihin
taikka niiden käyttäjiin kohdistuvien merkittävien tietoturvaloukkausten
havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi.
Traficom voi ryhtyä näihin toimiin verkkotunnuksen käyttäjää kuulematta.

Traficomin suorittamat välttämättömät toimet voidaan kohdistaa fi-juuren
nimipalvelintietoihin ja ne voivat käsittää:

- verkkotunnukseen suuntautuvan liikenteen estämisen tai rajoittamisen
- verkkotunnukseen suuntautuvan liikenteen ohjaamisen toiseen
  verkko-osoitteeseen
- muut näihin rinnastettavat tekniset toimenpiteet.
fi domain registrar documentation incoming 2025-01-25 23:23:03 +02:00			`# Tietoturva`

			`Verkkotunnusvälittäjän on huolehdittava toimintansa tietoturvasta.`

			`Tietoturvasta huolehtiminen on välittäjän lakisääteinen velvollisuus, josta`
			`säädetään sähköisen viestinnän palveluista annetun lain 170.1 §:n kohdassa 6`
			`sekä GDPR artiklassa 32.`

			`Tietoturvalla tarkoitetaan sähköisen viestinnän palveluista annetun lain 3.1`
			`§:n 28 kohdan mukaan hallinnollisia ja teknisiä toimia tietojen`
			`luottamuksellisuuden, eheyden ja saatavuuden turvaamiseksi.`

			`Verkkotunnusmääräyksen 68 luvussa neljä kuvataan vähimmäisvaatimukset`
			`tietoturvan hallinnoinnille, jotka verkkotunnusvälittäjän tulee toteuttaa`
			`toiminnassaan.`

			`Verkkotunnusmääräyksen perustelut ja soveltaminen tarkentaa konkreettisemmin,`
			`miten tietoturvavaatimuksia tulee soveltaa käytännössä.`

			`## Välittäjän ilmoitusvelvollisuus tietoturvahäiriöistä`

			`Verkkotunnusvälittäjän on ilmoitettava välitystoimintaan kohdistuvista`
			`tietoturvauhkista ja -loukkauksista.`

			`Tietoturvaloukkauksista ilmoitetaan Traficomin asiointilomakkeella, joka löytyy`
			`sisäänkirjautuneen välittäjän www-käyttöliittymässä vasemmasta navigaatiosta.`

			`Välittäjän on ilmoitettava viipymättä Traficomille, jos sen verkkotunnusten`
			`välitystoimintaan kohdistuu`

			`- merkittävä tietoturvaloukkaus`
			`- uhka merkittävästä tietoturvaloukkauksesta tai tapahtumasta, joka estää tai`
			`häiritsee toimintaa olennaisesti.`

			`Samalla on myös ilmoitettava häiriön tai sen uhan`

			`- arvioitu kesto`
			`- vaikutukset`
			`- korjaustoimenpiteet`
			`- toimenpiteet, joilla häiriön toistuminen pyritään estämään.`

			`Traficomille annettavassa merkittävää tietoturvahäiriötä koskevassa`
			`ilmoituksessa tulee mahdollisuuksien mukaan selvittää häiriön tai uhan syy ja`
			`kuvata, miten häiriö on aiheutunut.`

			`Tietoturvahäiriöstä on ilmoitettava välittömästi`

			`Häiriöilmoitus on tehtävä 24 tunnin kuluessa siitä, kun häiriötilanne on tullut`
			`välittäjän tietoon.`

			`Esimerkiksi tilanteessa, jossa verkkotunnusvälittäjän järjestelmään on`
			`tunkeuduttu, on välttämätöntä, että valvova viranomainen saa asiasta viipymättä`
			`tiedon. Vaarana on, että tunkeutuja voi päästä vapaasti muuttamaan kyseisen`
			`välittäjän hallinnoimien verkkotunnusten tietoja, kuten esimerkiksi`
			`nimipalvelimia. Uhka voi koskea laajaakin asiakasmäärää riippuen välittäjän`
			`asiakaskunnasta.`

			`Jos kaikkia ilmoituksessa esitettyjä tietoja ei ole saatavilla ja tilannetta on`
			`tutkittava tarkemmin, tehdään viimeistään 24 tunnin kuluessa ns. alustava`
			`ilmoitus, jota täydennetään mahdollisimman pian, viimeistään kuitenkin kolmen`
			`(3) päivän kuluttua alustavasta ilmoituksesta.`

			`Jos tutkimuksista huolimatta verkkotunnusvälittäjä ei pysty antamaan kaikkia`
			`tietoja kolmen päivän kuluessa alustavasta ilmoituksesta, on ilmoitettava`
			`kyseisessä määräajassa käyttöön saadut tiedot ja perusteltava, miksi loput`
			`tiedot ilmoitetaan määräajan jälkeen.`

			`## Merkittävät tietoturvaloukkaukset`

			`Merkittävistä välittäjätoimintaan kohdistuvista tietoturvaloukkauksista on`
			`ilmoitettava Traficomille.`

			`Tietoturvaloukkausten vaikutukset voivat kohdistua tietojen tai`
			`tietojärjestelmien luottamuksellisuuteen, eheyteen tai saatavuuteen.`

			`Luottamuksellisuus: Tiedot ja käyttäjätunnuksiin liittyvät todentamistiedot`
			`ovat vain niihin oikeutettujen tahojen tiedossa.`

			`Eheys: Tietoja ei ole mahdollista muuttaa oikeudettomasti. Sivullisten ei ole`
			`mahdollista vaikuttaa tietojärjestelmien toimintaan.`

			`Saatavuus: Palvelu ja sen sisältämät tiedot ovat siihen oikeutettujen tahojen`
			`saatavissa.`

			`## Tietoturvaloukkausten merkittävyyden arviointi`

			`Tietoturvaloukkauksen tai muun tapahtuman merkittävyyttä arvioitaessa on`
			`kiinnitettävä huomiota tapauksen haitallisiin vaikutuksiin tai tietoturvauhan`
			`vakavuuteen. Merkittävänä voidaan pitää aina sitä, että tietoturvahäiriö`
			`kohdistuu johonkin seuraavista suojattavista kohteista:`

			`- verkkotunnusvälittäjän omiin palveluihin ja palvelujen tuotantoon käytettäviin`
			`tieto- ja viestintäjärjestelmiin`
			`- verkkotunnusvälittäjän asiakkaiden tietoturvaan, henkilötietojen suojaan tai`
			`yrityssalaisuuksien suojaan`
			`- Traficomin hallinnoimaan Suomen fi-juureen (joko suoraan tai välillisesti`
			`verkkotunnusvälittäjään kohdistuneen tietoturvaloukkauksen seurauksena).`

			`Merkittävänä voidaan myös pitää usein toistuvaa, poikkeuksellisen pitkäkestoista`
			`tai tahalliselta vaikuttavaa toimintaa, jolla on negatiivisia vaikutuksia`
			`verkkotunnusvälittäjän kykyyn huolehtia välitystoimintansa tietoturvasta.`
			`Lisäksi merkittävänä voidaan pitää sitä, että häiriötä ei ole mahdollista`
			`poistaa pelkillä verkkotunnusvälittäjän omilla toimenpiteillä.`

			`## Ilmoitusvelvollisuuteen kuuluvia tietoturvaloukkaustyyppejä`

			`Alla oleva luettelo ilmoitettavista tietoturvaloukkaustyypeistä ei ole`
			`tyhjentävä, vaan sen on tarkoitus kuvata ilmoituskynnyksen vakavuustasoa.`
			`Harkinnan mukaan myös vähäisemmistä tietoturvaloukkauksista ja niiden uhkista`
			`kannattaa ilmoittaa Traficomille.`

			`Traficomille ilmoitettavia merkittäviä tietoturvahäiriöitä ovat esimerkiksi:`

			`- tietomurrot verkkotunnusvälittäjän tietojärjestelmiin`
			`- oikeudeton pääsy verkkotunnusvälittäjän järjestelmään`
			`- verkkotunnusvälittäjän järjestelmässä oleva tietoturvaa vaarantava`
			`haavoittuvuus tai konfiguraatiovirhe.`
			`- sisäänkirjautumistunnusten päätyminen kolmannen osapuolen tietoon`
			`- Traficomin järjestelmiin käytettävien sisäänkirjautumistunnusten päätyminen`
			`ulkopuolisille.`

			`Oikeudettomat muutokset`

			`- mahdollisuus oikeudettomasti muuttaa verkkotunnusvälittäjän hallinnoimien`
			`verkkotunnusten tietoja`
			`- verkkotunnusvälittäjän oman henkilöstön oikeudettomasti suorittamat muutokset`
			`Traficomin verkkotunnusrekisteriin`
			`- oikeudeton pääsy verkkotunnusvälittäjän asiakkailleen tarjoamaan`
			`itsepalveluportaaliin, jonka avulla asiakkaat voivat itse ylläpitää`
			`verkkotunnustensa tietoja.`

			`Palvelunestohyökkäykset`

			`- jos verkkotunnusvälittäjän järjestelmä lamaantuu ja/tai asiakkaiden pääsy`
			`järjestelmään estyy tai`
			`- järjestelmän häiriö vaikuttaa Traficomin järjestelmän toimintaan.`

			`## Suositus vapaaehtoisista ilmoituksista`

			`Traficom suosittelee, että verkkotunnusvälittäjät ilmoittavat harkintansa mukaan`
			`Traficomille myös merkittävää vähäisemmistä tietoturvaloukkauksista ja niiden`
			`uhkista. Näillä tiedoilla voi olla merkitystä Traficomin muiden`
			`tietoturvatehtävien hoitamisen kannalta.`

			`Traficomilla on oikeus ryhtyä välttämättömiin toimiin fi-verkkotunnuksia`
			`hyödyntämällä toteutettavien yleisiin viestintäverkkoihin tai -palveluihin`
			`taikka niiden käyttäjiin kohdistuvien merkittävien tietoturvaloukkausten`
			`havaitsemiseksi, estämiseksi, selvittämiseksi ja esitutkintaan saattamiseksi.`
			`Traficom voi ryhtyä näihin toimiin verkkotunnuksen käyttäjää kuulematta.`

			`Traficomin suorittamat välttämättömät toimet voidaan kohdistaa fi-juuren`
			`nimipalvelintietoihin ja ne voivat käsittää:`

			`- verkkotunnukseen suuntautuvan liikenteen estämisen tai rajoittamisen`
			`- verkkotunnukseen suuntautuvan liikenteen ohjaamisen toiseen`
			`verkko-osoitteeseen`
			`- muut näihin rinnastettavat tekniset toimenpiteet.`