Tietoturvallisuus
Finanssialan toimijoiden tietoturvallisuutta tarkastellaan useassa eri vaiheessa. Tietoturvallisuudella tarkoitetaan järjestelyjä, joilla pyritään varmistamaan tiedon luottamuksellisuus, eheys ja saatavuus1.
Finanssialan tietoturvaa koskevista vaatimuksista säädetään laeissa ja Finanssivalvonnan määräyksissä ja ohjeissa
Tietoturvallisuuden valvonta on olennainen osa finanssialan palveluntarjoajien operatiivisten riskien2 valvontaa, joka kuuluu Finanssivalvonnan perustehtäviin. Useissa erityislaeissa on asetettu tietoturvallisuutta koskevia vaatimuksia, joita finanssialan toimijoiden on noudatettava. Esimerkiksi luottolaitoslaissa edellytetään, että luottolaitoksella on oltava menetelmät operatiivisten riskien tunnistamiseksi, arvioimiseksi ja hallitsemiseksi. Luottolaitoksella on oltava riittävät, turvalliset ja toimintavarmat maksu-, arvopaperi- ja muut tietojärjestelmät. Luottolaitoksella on oltava myös varautumis- ja jatkuvuussuunnitelmat liiketoiminnan vakaviin häiriöihin varautumiseen, toiminnan jatkuvuuden turvaamiseen sekä häiriötilanteissa aiheutuvien vahinkojen rajoittamiseen.
Finanssivalvonnalle on annettu useassa erityislaissa toimivaltuus antaa tarkempia määräyksiä ja ohjeita valvottaviensa riittävästä tietoturvallisuuden tasosta.3
Tietoturvan tasoa tarkastellaan jo ennen toiminnan aloittamista
Toiminta finanssialalla on luvanvaraista. Vain sääntelyn asettamat vähimmäisvaatimukset täyttävät hakijat voivat saada luvan toiminnan harjoittamiseen. Lupaedellytyksiin sisältyy operatiivisten riskien hallintaa koskevia vaatimuksia, jotka hakijan on osoitettava täyttävänsä ennen kuin lupa voidaan myöntää. Usein hakijat osoittavat täyttävänsä tietoturvallisuuteen liittyvät vaatimukset hankkimalla ulkopuolisen riippumattoman arvioijan lausunnon tietoturvasta (auditointi).
Luvan myöntämisen jälkeen toimijasta tulee Finanssivalvonnan valvottava, jolloin toimija kuuluu jatkuvan valvonnan piiriin. Finanssivalvonta voi tehdä toimijasta valvojan arvion (riskiarvion), jossa voidaan tarkastella myös tietoturvavaatimusten toteutumista. Valvojan työkalupakkiin kuuluu myös tarkastusten tekeminen ja ulkoistusten arviointi, kun kyseessä on merkittävä IT-ulkoistus.
Tietoturva on huomioitava myös tilanteissa, joissa palvelujen tarjonta lopetetaan. Suunnitelmaa palvelujen tarjonnan lopettamisen tai palvelujen siirron varalta vaaditaan usein jo siinä vaiheessa, kun haetaan lupaa toiminnan käynnistämiseksi.
1 Luottamuksellisuudella tarkoitetaan sitä, että tieto on vain sen käyttöön oikeutettujen käytettävissä eikä se paljastu muille. Eheydellä tarkoitetaan, että tietoa ei ole muutettu luvatta tai että se ei ole muuttunut vahingossa ja että mahdolliset muutokset voidaan todentaa. Saatavuudella tarkoitetaan sitä, miten tieto, tietojärjestelmä tai palvelu on hyödynnettävissä haluttuna aikana ja vaaditulla tavalla. Saatavuus pitää sisällään myös sen, että on olemassa tarvittavat varajärjestelyt vika- ja häiriötilanteiden varalta.
2 Operatiivisella riskillä tarkoitetaan tappionvaaraa, joka aiheutuu
• riittämättömistä tai epäonnistuneista sisäisistä prosesseista
• henkilöstöstä
• järjestelmistä
• ulkoisista tekijöistä.
3 Ks. esimerkiksi Määräykset ja ohjeet 8/2014, Operatiivisen riskin hallinta rahoitussektorin valvottavissa