Kyberhyökkäykset ovat osa sodankäynnin keinovalikoimaa. Venäjän aloitettua hyökkäyssodan Ukrainaa vastaan helmikuussa Finanssivalvonta reagoi kyberturvallisuustilanteen heikentymisen uhkaan ennakoivasti tiiviissä yhteistyössä muiden viranomaisten kanssa. Lisäksi Finanssivalvonta paransi omaa varautumistaan, jatkoi kybervarautumiseen liittyviä tarkastuksia ja teema-arvioita ja osallistui kyberhyökkäystilannetta simuloivaan harjoitukseen.

Kyberriskien hallinta on ollut yhtenä painopistealueena pankkien operatiivisten riskien valvonnassa viime vuosina. Eri valvottavasektorien ICT- ja tietoturvariskien hallintaa on kartoitettu laajasti teema-arvioissa jo ennen sodan syttymistä.

Viranomaisten ja alan toimijoiden yhteistyö tiivisti tiedonvaihtoa

Eri viranomaisten kyberasiantuntijoista koottiin yhteistyöryhmä hyvin pian sodan alettua. Valtiovarainministeriön vetämässä ryhmässä ovat edustettuina myös Kyberturvallisuuskeskus, Huoltovarmuuskeskus, sosiaali- ja terveysministeriö, Suomen Pankki, Finanssivalvonta ja Rahoitusvakausvirasto. Yhteistyöryhmässä on jaettu tietoja kybertilanteesta ja -hyökkäyksistä ja luotu kanavat vakavista uhista viestimistä varten.

Finanssivalvonta osallistuu myös normaalioloissa huoltovarmuustyöhön finanssialan toimijoiden ja viranomaisten yhteisissä rahoitusalan poolissa ja vakuutusalan poolin työryhmissä. Kyberuhkien arviointi ja niihin varautuminen on tärkeä osa tätä työtä.

Häiriötilanteisiin varauduttiin myös omassa toiminnassa

Finanssivalvonnan omia jatkuvuussuunnitelmia päivitettiin ottamaan huomioon kiristynyt geopoliittinen tilanne ja kyberriskien lisääntyminen. Työ jatkuu vuonna 2023. Lisäksi luotiin ohjeet erilaisiin häiriötilanteisiin, kuten mahdollisiin sähkö- ja tietoliikennekatkoihin varautumiseksi. Finanssivalvonnan valmiussuunnitelmaa päivitetään vuonna 2023.

Valvottavien ICT- ja tietoturvariskien hallintaa tarkastettiin

Finanssivalvonta kehotti maaliskuun alussa valvottaviaan varmistamaan, että sekä niiden omat että ulkoistuskumppaneiden suojaukset erilaisia kyberuhkia vastaan ovat ajan tasalla. Valvottavia ohjattiin varmistamaan ICT-ympäristöihinsä kohdistuvien tietoturvapoikkeamien nopea havainnointi ja välitön reagointikyky kybertapahtumiin tai -häiriöihin.

Finanssivalvonta teki tarkastuksia ja teema-arvioita valvottavien ICT- ja tietoturvariskien hallinnasta. Kaksi vuonna 2022 aloitettua tarkastusta jatkuvat vuoden 2023 puolelle ja päättyvät vuoden ensimmäisellä kvartaalilla. Sijoituspalveluyrityksille tehtiin teema-arvio samasta aiheesta. Tarkastuksilla selvitetään yksityiskohtaisesti yksittäisen valvottavan tilannetta. Teema-arvioilla puolestaan selvitetään laajemman valvottavajoukon tilannetta yleensä itsearvioihin perustuen, ja niiden perusteella voidaan tarvittaessa kohdistaa muita valvontatoimia, esimerkiksi tarkastuksia.

TIETO22-harjoitus testasi yhteistoimintaa kyberhäiriötilanteessa

Finanssivalvonta osallistui valtakunnalliseen TIETO22-harjoitukseen, jossa oli mukana noin 120 organisaatiota. Harjoituksen keskiössä oli finanssialan kyberturvallisuus: siinä testattiin ja harjoiteltiin yhteistyön sujuvuutta kuvitteellisessa laajasti yhteiskunnan toimijoihin ja erityisesti pankkimaailmaan kohdistuvassa kyberhyökkäystilanteessa.

Rahoitussektorin toimintoja pyritään turvaamaan myös vakavissa häiriötilanteissa

Finanssivalvonta osallistui huoltovarmuustilijärjestelmän luomiseen sekä lakiesityksen valmisteluvaiheessa että itse järjestelmää rakennettaessa. Rahoitusvakausviraston ylläpitämä huoltovarmuustilijärjestelmä muodostuu huoltovarmuustilipalvelusta ja korttimaksamisen huoltovarmuuspalvelusta. Päivittäismaksamisen varajärjestelyihin kuuluu lisäksi pankkien välinen selvitysjärjestelmä, josta vastaa Suomen Pankki. Järjestelmien avulla pystytään tarvittaessa hoitamaan pankin peruspalvelut, kuten käteisen rahan nostaminen, korttimaksaminen ja tilisiirrot vakavassa häiriötilanteessa. Huoltovarmuustilijärjestelmä voidaan ottaa käyttöön valtioneuvoston päätöksellä tilanteessa, jossa pankki ei kykene käyttämään keskeisten maksupalveluiden edellyttämiä järjestelmiään vakavan häiriötilanteen tai poikkeusolojen vuoksi.

Kyberhyökkäysten uhan lisääntyessä myös EU haluaa vahvistaa rahoitusalan tietojärjestelmien turvallisuutta. Digitaalista häiriönsietokykyä koskevasta EU-säädöksestä (DORA) saavutettiin poliittinen yhteisymmärrys vuonna 2022 ja se tuli voimaan tammikuussa 2023. DORA edesauttaa varmistamaan, että Euroopan rahoitusalan toimintoja pystytään pitämään yllä vakavissakin häiriötilanteissa.