Etusivu: Traficom
Etusivu: Traficom
Valikko

Valvonta on yksi ilmailun kyberturvallisuuden hallinnan keinoista.

Valvonnan tavoitteet

Valvonta on yksi keinoista, jolla toteutetaan Suomen ilmailun turvallisuuspolitiikkaa ja varmistetaan, että kansalais­ten luottamus lentoliikennejärjestelmään ja sen kokonaisturvallisuuteen säilyy hyvänä. 

Ilmailun kyberturvallisuuden osalta valvonnalla varmistetaan, että Suomen ilmailun toimijat täyttävät kyberturvallisuuden hallinnalle asetetut vaatimukset ja että toimijoiden suorituskyky sen osalta on hyväksyttävällä tasolla. 

Kokonaisturvallisuus = safety + security + resilience.

Vaatimuksenmukaisuuden varmistaminen

Valvonnan pohjana on aina vaatimuksenmukaisuuden varmistaminen. Valvonnassa varmistetaan, että toimijat täyttävät EU-säädöksistä ja kansallisistä säädöksistä tulevat velvoitteet (kts. tarkemmin sivu Ilmailun kyberturvallisuutta koskeva lainsäädäntö ). Osittain samoja velvoitteita tulee useammasta lainsäädännöstä erityisesti sen jälkeen, kun sekä Part-IS, NIS että AVSEC-IR-sääntely ovat sovellettavana. Traficom ottaa tämän huomioon valvonnan suunnittelussa ja toteutuksessa. Päällekkäisiä valvontatoimia vältetään. Esimerkiksi auditoinneissa samaa asiakokonaisuutta koskevien velvoitteiden täyttyminen auditoidaan yhdellä ja samalla kerralla. Näin säästetään sekä toimijoiden että viranomaisten resursseja.

Riski- ja suorituskykyperusteisuus

Viranomaisen suorittama ilmailun valvonta on riski- ja suorituskykyperusteista (kts. FASP luku 2.6 sekä luku 3), näin on myös kyberturvallisuuden osalta. Riski- ja suorituskykyperusteisuus tarkoittaa sitä, että Traficomilla on velvolli-suus seurata ilmailun riskitasoa - myös kyberturvallisuuden osalta - sekä velvollisuus seurata ja arvioida toimijoiden suorituskyvyn tasoa. Kuten lentoturvallisuudessa, kyberturvallisuudessakin on kyse arvojen tasopainosta: turvalli-suudesta, taloudellisuudesta ja toiminnan jatkuvuudesta. Tarvittava kyberturvallisuuden hallinnan taso määritellään suhteessa kyberturvallisuusriskeihin ja varmistetaan keinot, joilla nuo riskit pidetään hallinnassa. 

Viranomaistoimenpiteitä toteutetaan riski- ja suorituskykyperusteisesti niin valvonnassa kuin turvallisuuden edistä-misessä. Valvonnan taajuuteen, kohdentamiseen, painopisteisiin tai sisältöön vaikuttavat sekä kyseiseen toimintaan kohdistuvat riskit ja niiden arvioitu taso että kyseisen toimijan suorituskyky. Auditoinnit ovat tärkeä valvontakeino toimijan senhetkisen suorituskyvyn arvioimiseksi. Sen lisäksi Traficom seuraa jatkuvasti toimijoiden suorituskykyä muun viranomaistyön kautta. Esimerkiksi toimijoiden turvallisuudenhallinta- ja tietoturvanhallintajärjestelmien jatkuvasti tuottama tieto (esimerkiksi tieto poikkeamista ja niihin reagoinnista) on samalla tärkeä osoitus hallintajärjestelmien toimivuudesta. Valvonnalla varmistetaan, että ilmailun toimijoiden kyberriskien hallinnan suorituskyky on hyväksyttävällä tasolla.

Jatkuva parantaminen

Riski- ja suorituskykyperusteisuus auttaa viranomaista kohdentamaan toimenpiteitä oikea-aikaisesti, oikein mitoi­tetusti ja kohdistetusti sekä tehokkaasti. Viranomaisen ja toimijoiden kyvyk­käällä kyberriskien hallinnalla varmis-tetaan Suomen ilmailujärjestelmän osalta lentoturvallisuus, ilmailun turvaaminen ja järjestelmän resilienssi toimin-taympä­ristön muutoksia ja yllättäviä tilanteita vastaan. Resilienssi tarkoittaa tässä yhteydessä ilmailujärjestelmän häiriön­sietokykyä. Tavoitteena on viranomaisten ja toimijoiden suorituskyvyn jatkuva parantaminen. Nykyaikaisessa viranomaistyössä ns. perinteisten valvontatoimien ohella aktiivinen tietojen vaihto ja yhteistyö toimijoiden kanssa on tärkeää yhteisten turvallisuus- ja suorituskykytavoitteiden saavuttamiseksi. 

Vaatimuksenmukaisuuden ja suorituskyvyn arviointi

Ilmailuviranomainen hyödyntää omassa työssään Kyberturvallisuuskeskuksen kehittämää ja ylläpitämää Kybermittaria (Ulkoinen linkki) organisaatioiden kyberturvallisuuden hallin­nan suorituskyvyn arvioimiseen. Kybermittari on suunniteltu kaikentyyppisille ja -kokoisille organisaatioille ja mahdol­lis­taa yhdenmukaisen lähestymisen kyber­turvallisuuteen sekä suorituskyvyn jatkuvan parantamisen. Ilmailun toimialaan koh­dis­tet­tuna, Kybermittarin käyttö varmistaa samalla yhdenmukaisen lähestymisen ilmailun eri alueilla: lentoturvallisuus, ilmai­lun turvaaminen sekä ilmailun resilienssi. Organisaatioille kybermittarin käyttö on vapaaehtoista, mutta suositeltavaa.

Keskeisiä ilmailun kyberturvallisuuden valvontatoimenpiteitä ovat auditoinnit (vaatimuksenmukaisuuden ja suorituskyvyn arviointi), itsearvioinnit ja turvallisuuskeskustelut. 

Päivitetty