Viestintäverkkojen ja -palveluiden toimivuuden ja tietoturvallisuuden häiriönhallinta

Bachelor thesis Finnish OPEN
Paananen, Rauli (2017)
  • Publisher: Laurea-ammattikorkeakoulu

Yhteiskunnassa on käynnissä voimakas kaiken mahdollisen digitalisoiminen ja esimerkiksi kaikkia viranomaisia koskee velvollisuus sähköistää keskeiset palvelunsa kuluttajien saataville. Sähköinen asiointi, palveluiden kasvava määrä ja kuluttajien siirtyminen mobiili- ja verkkopalveluihin luo markkinoille uusia innovaatioita ja tuo kansalaisille arjen sujuvuutta hoitaa päivittäisiä asioitaan, ajasta ja paikasta riippumatta. Toisaalta yhteiskunnan toimivuus on entistä haavoittuvampi ja alttiimpi erilaisille tietoturvauhille ja häiriöille. Tietoverkkorikollisuus on voimakkaassa kasvussa, viestintäverkkojen fyysiset komponentit vikaantuvat ja laiterikot ovat aina mahdollisia, joiden lisäksi hätä- ja turvallisuusliikenne voi kärsiä radiohäiriöistä. Viestintävirasto on keskeisessä roolissa varmentamassa yllä kuvattua digitaalista yhteiskunnan muutosta. Viestintäviraston lakisääteisiin tehtäviin kuuluu muun muassa varmistaa radiotaajuuksien riittävän häiriötön käyttö, turvata viestintäverkkojen ja -palveluiden toimintavarmuutta ja huolehtia siitä, että teleyritykset hoitavat palvelunsa tietoturvallisesti. Tämän opinnäytetyön kvalitatiivisen ja toiminnallisen tutkimuksen tarkoituksena on lisätä ymmärrystä Viestintäviraston häiriönhallinnasta ja mallintaa viraston kahden eri toimialan, Kyberturvallisuuskeskus ja Taajuushallinto, nykyistä häiriönhallintaprosessia, tulkita valmiina olevia ohjeistuksia ja löytää häiriöhallinnalle yhteismitallinen käsittelytapa ja raportointi. Tutkimuksella on myös eksploratiivinen eli etsinnällinen tavoite jonka yhtenä tarkoituksena on kehittää Viestintäviraston kyberturvallisuuden varmistaminen -prosessia. Prosessin on tarkoitus olla osa viraston kehittyvää toimintaa ja tutkimuksen avulla voidaan löytää jatkotutkimuskysymyksiä häiriönhallinnasta. Opinnäytetyön tietoperusta pohjautuu pääsääntöisesti julkisiin asiakirjoihin, asiaa koskevaan lainsäädäntöön, kansainvälisen televiestintäliiton Radio-ohjesääntöön sekä Viestintäviraston määräyksiin ja ohjeistuksiin. Tiedonkeruu suoritettiin strukturoidun ja teemahaastattelun yhdistelmänä. Työssä haastateltiin Viesintäviraston Taajuushallinnon asiantuntijoita. Kyberturvallisuuskeskuksen osalta tietopohja perustuu osin opinnäytetyön kirjoittajan kokemukseen. Opinnäytetyön tutkimuksen perusteella voidaan todeta, että viestintäverkkojen ja -palveluiden toimivuuden ja tietoturvallisuuden häiriönhallintaan liittyvät prosessit eivät ole riittävän yhtenäisiä Viestintävirastossa. Häiriöhallintaan liittyvä ohjeistus on riittävää toimi-alakohtaisesti, mutta ohjeistusta, häiriöhallintaan liittyvää termistöä ja menettelytapoja tulisi yhtenäistää laadukkaamman lopputuloksen varmentamiseksi. Toimintatapojen osalta erityisesti Taajuushallinnossa menettely oli jossain määrin henkilöriippuvaista, joka saattaa muodostaa pullonkaulan ja riskin häiriöiden ratkaisemisessa. Tutkimuksen perusteella olisi syytä kyberturvallisuuden varmistaminen-prosessin avulla luoda yhtenäinen ohjeisto Viestintävirastoon. Laadullisesti varmistettu prosessi on erityisen tärkeä niissä tilanteissa, joissa Viestintävirasto raportoi häiriöistä sidosryhmilleen. Incident Management as a Means to Ensure the Functionality and Information Security of Communications Networks and Services The digitalisation of our society is rapid and, for example, all public authorities must make their key services available to consumers electronically. Electronic access to services, the increasing number of services and consumers switching to mobile and online services create new innovations in the markets and improve the daily lives of citizens as they can access services regardless of time and place. On the other hand, the society’s functioning is increasingly vulnerable to various information security threats and incidents. Cybercrime is on the rise, physical components of communications networks fail, equipment breaks down, and distress and safety communication may suffer from radio interference. The Finnish Communications Regulatory Authority (FICORA) has an important role in securing the evolution of the digital society described above. FICORA's statutory duties include ensuring sufficiently interference-free use of radio spectrum, securing the operational reliability of communications networks and services, as well as monitoring the information security of telecommunications operators’ services. The purpose of the qualitative and functional research carried out is to increase the under-standing of FICORA's incident management and to model the current incident management process in two of FICORA's divisions, the National Cyber Security Centre Finland (NCSC-FI) and Spectrum Management, as well as to interpret the existing guidelines and to propose a uniform approach and reporting system for incident management. The research is also partly exploratory: one objective is to improve FICORA's process of ensuring cyber security. The process is intended to be included in the development of FICORA's activities. The framework of reference covers public documents and legislation on the matter, the Radio Regulations of the International Telecommunication Union (ITU) as well as FICORA's regulations and guidelines. The research data was gathered by combining structured and focused interview techniques. Specialists in Spectrum Management were interviewed. Based on the research, it can be concluded that FICORA’s incident management processes related to the functionality and information security of communications networks and services are not sufficiently uniform. Each division has adequate guidelines on incident management but guidelines, terminology and procedures should be harmonised to ensure a high-quality outcome. In Spectrum Management, in particular, the procedures are somewhat dependent on a person, which may become a bottleneck and a risk in incident management. The research indicates that there is a need for creating uniform guidelines in FICORA using the process of ensuring cyber security. A process of assured quality is especially critical when FICORA reports incidents to its stakeholders.
Share - Bookmark

  • Download from
    Theseus via Theseus (Bachelor thesis, 2017)
  • Cite this publication