Ads 468x60px

tiistai 6. syyskuuta 2016

Tietoturvaguruksi Cyber Academyssa

Heipsan,
Minä olen myös uusi kasvo KPMG:llä!

Valmistuin vuonna 2014 lakiekonomiksi Vaasan yliopistosta ICT-juridiikan linjalta. Jottei valmistumisen jälkeen olisi ollut “liikaa” vapaa-aikaa työelämän ohella, päädyin sitten vielä jatko-opiskelijaksi. Tällä hetkellä väitöskirjaprojektini Vaasan yliopiston talousoikeudellisen informaation tutkimusryhmässä on puolessa välissä, tutkimusaiheenani on organisaatioiden tietoturva ja lainsäädäntö. Taustastani johtuen, hakeminen KPMG:n Cyber Academyyn oli luonteva uravalinta ja mahdollisuus, jonka ohitse en voinut kulkea.

Olen onnellinen valinnoistani, sillä tällä hetkellä olen unelmaduunissani. Kuulun cyber-yksikössämme hallinnolliseen tietoturvatiimiin. Työtehtävät ovat vaihtelevia ja minusta tuntuu, että jokainen päivä on erilainen. Työn ohella on myös paljon koulutuksia, jotka tukevat työssä oppimista. Lisäksi meillä on mahdollisuus suorittaa ammattisertifikaatteja. Ja mikä parasta: Työyhteisö on huikea. Täällä on hyvä yhteishenki ja työnteossa on pilke silmäkulmassa, minkä takia työpaikalla viihtyy hyvin. Työkavereiden kanssa on kiva viettää aikaa myös vapaa-ajallakin, itse olen ehtinyt jo muun muassa osallistumaan työporukan Tallinnan reissulle.

Kolme viikkoa on mennyt nopeasti. Odotan innolla syksyn tuomia uusia haasteita ja toivon oppivani paljon uutta ja kehittyväni ajan kuluessa oikeaksi kyberguruksi!

perjantai 2. syyskuuta 2016

EU:n tietosuoja-asetus ja tietoturvallisuuden johtaminen, osa 2

Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

2. Osa Tietosuojariskien hallinta tietoturvallisuuden keinoin

Kuten edellisessä blogikirjoituksessa avattiin, tietosuoja-asetuksen lähtökohtana on riskiperustaisuus, jonka mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaava turvallisuustaso. Jokaisen henkilötietoja käyttävän, keräävän ja käsittelevän yrityksen ja organisaation tulee siis toteuttaa tietosuojauhasta riskiarvio, jossa arvioidaan luonnollisille henkilöille tapahtuvia fyysisiä, aineellisia tai aineettomia vahinkoja, kuten ”omien henkilötietojen valvomiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoitumisen luvaton kumoutuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa.” Lainaus on tietosuoja-asetuksen perustelusta ja osoittaa, että torjuttava riski henkilön oikeuksiin ja vapauksiin kohdistuvana on laaja ja vaatii hyvän perusturvallisuustason toteutuakseen.

Tietosuoja-asetuksen määritelmä tarkoittaa ”’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin”. Riskin toteutuminen aiheuttaa siis henkilötiedon tietoturvaloukkauksen ja mahdollisia aineellisia, aineettomia tai taloudellisia seurauksia luonnolliselle henkilöille.

Tietosuojariskiä arvioitaessa on otettava huomioon, että riskiarvio tulee ulottaa koskemaan kaikkia niitä henkilön yksilöiviä tietoja, joista yksilö on suoraan tai epäsuorasti tunnistettavissa. Lisäksi tietoturvaloukkaukseksi katsotaan tilanne, jossa tahattomasti ja vahingossa käsitellään henkilötietoja väärin. Ennaltaehkäisy ja suojamekanismien toteuttaminen ei ole yksinkertaista kun suojataan mitä tahansa asiaa vahingon tapahtumiselta. Voisi ajatella, että tehokkainta on toteuttaa vankka tietosuoja- ja tietoturvataso niihin henkilötietoryhmiin ja käsitteleviin järjestelmiin, joissa eniten henkilötietoja käsitellään tai joissa käsitellään arkaluonteista henkilötietoa. Olennaiseen osaan nousee tietoturvallisuuden kokonaisarkkitehtuuri sekä se, miten paljon organisaatiossa toimintaa pyöritetään organisaation ulkopuolisella tai epävirallisella ”varjo-IT:llä” ja henkilötietojen käsittelyä tapahtuu keskitetyn hallinnan ulkopuolella.

Toisaalta mikäli henkilöstö ymmärtää henkilötietojen käsittelyn hyvät käsittelytavat, on ohjeistettu ja koulutettu huolellisesti, ymmärtää riskit ja tahallinen väärinkäytös on sanktioitu työsopimuksessa ja kirjallisissa pelisäännöissä, tahattoman vahingon riski pienenee vaikka henkilötietoja valuisikin virallisten järjestelmien puolelle. Tärkeintä tällöinkin on varmistaa, kenellä on pääsy henkilötietoon ja miten tieto on suojattu ulkopuolisilta sekä miten saadaan tietoa siitä, että henkilötietoon pyritään tai sitä käytetään oikeudettomasti.

Edellä mainituista tietoturvaloukkausesimerkeistä on syytä nostaa esiin vielä henkilötietojen häviäminen kun ajatellaan mukana kannettavia mobiililaitteita. Niitä ei yleensä ole otettu mukaan organisaation normaaliin päätelaitehallintaan, mutta uhka tiedon vuotamiselle esimerkiksi älypuhelimen kautta saattaa olla jopa suurempi kuin organisaation sisäverkosta. Puhelimessa kulkevat mukana yhteystiedot ja sähköpostit sekä niihin asennetaan sovelluksia, joiden valmistajasta tai henkilötietojen käsittelymaista ei ole tietoa puhumattakaan siitä, että joku lukisi käyttöehdot...

Uhan arviointi ja suojakeinojen toteuttaminen on balanssin löytämistä riskin toteutumisen aiheuttamien menetysten ja suojakeinojen kustannusten välillä. On päätettävä (ja kirjallisesti dokumentoitava), miten paljon riskiä yritys tai organisaatio sietää, mitä riskejä torjutaan ja mitä hyväksytään, ja kuka päätöksen on tehnyt. Jäännösriskiä voidaan seurata tiheämmällä aikavälillä kuin niitä, jotka ovat jo hallinnassa esimerkiksi organisaation kehitysohjelman kautta. Henkilötietojen ja tietosuojauhkien ollessa kyseessä on tärkeää, että johto tietää tilanteen tosiaikaisesti, jotta mahdollisen tietoturvaloukkauksen tapahtuessa siihen voidaan reagoida ja vaikutukset toiminnalle jäävät mahdollisimman vähäisiksi. Siksi riskiarvion yhteydessä on syytä pohtia myös raportointiprosessia ja jatkuvuuden hallintaa.

Eikä riskeistä ja tietoturvaloukkauksista puhuttaessa voi unohtaa ilmoitusvelvollisuuden toteuttamisen prosessia. Mikäli tapahtuu henkilötietoon kohdistuva korkea tietoturvaloukkaus, siitä tulee ilmoittaa valvontaviranomaiselle sekä henkilölle, jonka tietoja loukkauksen kohteena on. Ennaltaehkäisynä mahdollisille sanktioille ja vahingonkorvauksille toimii ainoastaan määrämuotoinen ja hallittu tietosuojan ja tietoturvallisuuden hallintamalli, joka kattaa koko organisaation tietosuoja- ja henkilörekisteriarkkitehtuurin. 


Blogitekstien seuraava kolmas osa keskittyy tietoturvaloukkauksen tunnistamiseen ja henkilötietojen suojaamiseen, neljäs osa tulee pureutumaan kumppaneihin ja tietojen siirtoon, ja viimeisessä viidennessä osassa tarkastellaan tietosuojan testaamista, seurantaa ja valvontaa.

EU:n tietosuoja-asetus ja tietoturvallisuuden toteuttaminen

Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

1. Osa Henkilötiedot ja tietojen suojaaminen

Huhtikuussa tapahtunut EU:n tietosuoja-asetuksen hyväksyntä on uutisoitu usealla rintamalla ja siitä keskustellaan paljon alan ammattilaisten kesken. Mutta kun olen keskustellut henkilötiedoista, tietosuojasta tai henkilötietojen turvaamisesta tuttavieni, pk-yrittäjien, yritysten tai julkishallinnon työntekijöiden kanssa, on tullut eteen tilanteita, joissa henkilötietojen käsittelyyn liittyviä velvollisuuksia tai yksityisten ihmisten oikeuksia ei tunnisteta eikä niiden ymmärretä koskevan myös omaa yritystä tai organisaatiota.

Henkilötietoja ovat sekä voimassaolevan henkilötietolain että uuden tietosuoja-asetuksen näkökulmasta kaikki ne tiedot, joista yksittäinen ihminen on tunnistettavissa joko suoraan tai epäsuorasti. Henkilötietoja ovat siten esimerkiksi asiakastiedot, sähköpostin yhteystietolistat, Web-kyselyn tulokset, sopimuskumppanien tiedot silloin kun kyseessä on yksittäinen henkilö, tietoliikenteeseen tallentuvat IP-osoitteet, auton rekisterinumerot tai kameravalvonnan kuvat tunnistettavista henkilöistä yksityisalueilla.

Tietosuoja-asetus asettaa velvoitteita edellä mainittujen henkilötietojen keräämiselle ja käsittelylle sekä yksityisten henkilöiden oikeuksien toteuttamiselle, mutta tietosuoja-asetus on myös tietoturvalaki, joka velvoittaa suojaamaan henkilötiedot riittävällä tasolla. Asetuksen artiklat 32–34 käsittelevät henkilötietojen ja käsittelyn turvallisuutta ja velvoittavat kaikkia henkilötietojen kanssa tekemisissä olevia suojaamaan henkilötietoa sekä tunnistamaan tietoturvaloukkauksia riippumatta siitä onko käsittelevä organisaatio tai yritys pieni tai suuri.

Asetuksen lähtökohtana on riskitietoisuus, jonka mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava henkilötietoja uhkaavaa riskiä vastaava turvallisuustaso. Jotta henkilötietoja voi suojata tietosuojariskiä vastaan, on keskeistä tunnistaa, mistä henkilötietoa löytyy ja mitä henkilötietoa toiminnassa itse kerättynä tai muualta luovutettuna käsitellään. Organisaatioissa yleisesti on tiedossa keskeiset asiakasrekisterit ja niihin kerätyt henkilötiedot tai oman henkilöstön tiedot ja niistä muodostetut rekisterit, mutta henkilötiedon tunnistaminen vaikeutuu pian kun puhutaan pilvipalveluista, kumppaneista tai liiketoiminnan muista tarpeista tukitoimintojen ulkopuolelta. Tunnistamatonta tietoa ei voi suojata ja tietoturvaloukkauksen riski onkin suuri siellä, missä henkilötietoa ei tiedetä olevan. Tärkeää olisi päästä puuttumaan tietosuojariskin torjuntaan jo silloin kun uutta palvelua tai järjestelmää mietitään ennen sen käyttöönottoa. Seuraavassa kuvassa on pyritty avaamaan esimerkinomaisesti henkilötietojen suojaamisessa tietoturvallisuuden keinoin huomioitavia seikkoja asetuksen vaatimusten täyttämiseksi.




Blogitekstien toisessa osassa tarkastellaan tietosuojariskiä ja sen hallintaa tietoturvallisuuden keinoin. Osa kolme keskittyy henkilötietojen suojaamiseen ja neljäs osa pureutuu kumppaneihin ja tietojen siirtoon. Viimeisessä viidennessä osassa tarkastellaan vielä testaamista, seurantaa ja valvontaa.

tiistai 30. elokuuta 2016

Juridiikan ja kyberturvallisuuden risteyskohdassa KPMG Cyber Academyssa


Olen Antti-Pekka Manninen, yksi kymmenestä Cyber Academy -ohjelmassa elokuussa aloittaneesta uudesta KPMG:läisestä. Olen opiskellut Turun yliopistossa oikeustiedettä sekä valtio-oppia, ja maisteriksi ensiksi mainitusta valmistun tänä syksynä. Opiskelujeni ohella pari viime vuotta olen ollut harjoitteluissa ja työtehtävissä laajasti teknologiaan sekä turvallisuuteen liittyvien teemojen ympärillä, joten hakeutuminen kyberturvallisuuteen keskittyvään Graduate -ohjelmaan oli minulle luonnollinen valinta.

Aloitin KPMG Cyberin tietosuojatiimissä 15.8. ja kahden ensimmäisen viikon perusteella jatkossa minua tulevat erityisesti työllistämään yrityksille tehtävät EU:n tietosuoja-asetuksen vaatimuksenmukaisuuden arvioinnit. Tietosuojatiimin tehtävissä yhdistyvät mielenkiintoisesti puhtaat tietosuojakysymykset, joissa kysymys on perusoikeusrelevantista henkilötietojen suojasta, ja toisaalta tietojen suojaamiseen liittyvät teknologiset ja hallinnolliset vaatimukset: kaikki tietenkin liiketoimintalähtöisesti ja asiakkaan tarpeiden mukaisesti.

Erityisen tyytyväinen olen ollut siihen, että olen päässyt nopeasti työtehtäviin käsiksi. Tähän mennessä tehtäväni ovat koostuneet erinäisistä selvitystehtävistä, mutta ensimmäiset asiakastapaamiset ja työmatkatkin ovat jo tiedossa, ja odotan innolla varsinaiseen asiakastyöhön kiinnipääsemistä.

Tietosuojakysymykset ovat erityisesti juridiseen taustaani sopivia, mutta kaikille Graduate-ohjelmaan osallistuville räätälöity yhteinen koulutusohjelma mahdollistaa perehtymisen myös tietoturvakysymyksiiin, niin hallinnolliselta kuin tekniseltäkin puolelta, mm. erinäisten tietoturvan ammattisertifikaattien suorittamiseen valmentavien koulutuksien kautta. Kantavana mentaliteettinani onkin käyttää harjoitteluaika tehokkaasti hyödyksi ja saada kokemusta mahdollisimman laajalta tehtäväskaalalta.

Harjoitteluni aikana toivon syventäväni tietojani tietosuoja- ja tietoturvakysymyksistä sekä kehittyväni asiantuntijaksi, joka kykenee toimimaan sujuvasti juridiikan ja IT:n rajapinnoilla.

A-P
Vasemmalta Joonas Karhunen, Antti-Pekka Manninen, Wanda Wallgren, Jenna Andersson

perjantai 26. elokuuta 2016

Cyber Academy - Kyberturvallisuuden paraatipaikalle

Olen aloittanut opintoni vuonna 2010 Helsingissä Haaga-Heliassa. Ilmailusta ammatti – haaveiden kariuduttua päätin lähteä seuraamaan toisenlaista urapolkua, joka johdatti minut numeroiden parissa laskentatoimen pääaineesta tilintarkastajan tehtäviin, Helsingistä Hollantiin ja Jyväskylään, ja lopulta tietojärjestelmätieteen puolelle. Tradenomin tutkintoni saatoin loppuun Jyväskylän ammattikorkeakoulussa vuonna 2014, jolloin olin jo puolisen vuotta opiskellut Jyväskylän Yliopiston kauppakorkeakoulun puolella, josta valmistun tänä syksynä kauppatieteiden maisteriksi. Graduni kirjoitin äitiyslomani aikana ja uudenlaiset urasuunnitelmat tilintarkastuksen ulkopuolelta alkoivat kiinnostaa. KPMG:n järjestämä cyberakatemia tuntui luontevalta jatkolta ja mielenkiintoiselta mahdollisuudelta.
Tällä hetkellä koen, että olen juuri siellä, missä minun pitääkin olla. Kuulun osaksi identiteetin- ja pääsynhallinnan, IAM:n, tiimiä, jossa suoritan seuraavan puolen vuoden aikana harjoittelujaksoni. Ensimmäinen viikko on kulunut melko lailla uusien kasvojen ja nimien opetteluun sekä upean uuden toimiston kiertämiseen Helsingin keskustassa. KPMG:llä pääsen varmasti paraatipaikalle seuraamaan kyberturvallisuuden kehitystä ja kehittämään omaa osaamistani ja asiantuntijastatustani.

Vasemmalta Hannamari Sivonen, Antti-Pekka Manninen, Jenna Andersson ja Magnus Israel.

tiistai 9. elokuuta 2016

VAHTI-ohje toiminnan jatkuvuuden hallinnasta julkaistu

Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä VAHTI on kesän aikana julkaissut jatkuvuuden hallintaa käsittelevän ohjeen VAHTI 2/2016: Toiminnan jatkuvuuden hallinta.

Ohjeen tavoitteena on tehostaa ja yhdenmukaistaa jatkuvuuden hallintaa julkisessa hallinnossa. Vaikka ohje on suunnattu julkishallinnon toimijoille ja julkishallintoon palvelusopimussuhteessa oleville yrityksille, soveltuu se hyvin käytettäväksi myös kaikkien muidenkin organisaatioiden jatkuvuuden hallinnan kehittämiseen.

torstai 28. heinäkuuta 2016

Vieraskynä: sote-uudistuksen yhteydessä tehdään päätöksiä sote-henkilötietojen tietosuojasta


Sosiaali- ja terveyspalveluiden henkilötietojen käsittelyä koskevat linjaukset julkistettiin 29. kesäkuuta osana hallituksen sosiaali- ja terveydenhuollon uudistuksen ja maakuntien perustamisen alustavia lakiluonnoksia. Sote-uudistuksen tavoitteena on nykyaikaistaa palveluja ja parantaa julkisen talouden kestävyyttä sekä luoda edellytykset sosiaali- ja terveydenhuollon tulevaisuuden mallille. Uudistuksen myötä Suomeen perustetaan 18 itsehallinnollista maakuntaa, joiden vastuulle 1.1.2019 alkaen siirtyvät muun muassa julkiset sosiaali- ja terveyspalvelut.

Henkilötietojen käsittelystä on säädetty järjestämislain luonnoksessa. Sen mukaan maakunta olisi henkilötietolain mukainen rekisterinpitäjä maakunnan järjestämisvastuulle kuuluvassa toiminnassa syntyvien henkilötietojen osalta. Palveluiden tuottamisesta vastaavien yhtiöiden, yhteisöjen ja ammatinharjoittajien olisi tallennettava asiakas- ja potilastiedot maakunnan asiakas- ja potilasrekisteriin valtakunnallisia tietojärjestelmäpalveluja käyttäen. Tiedot olisivat siten kootusti Kantapalveluissa ja kaikkien maakunnan palveluntuottajien saatavilla, millä varmistettaisiin tiedonkulku asiakkaiden ja potilaiden käyttäessä lakiluonnosten mukaista palveluiden valinnanvapautta.

Rekisterinpidon keskittäminen maakunnille antaa erinomaisen mahdollisuuden kehittää korkealaatuisia tietosuoja- ja tietoturvakäytäntöjä, joihin voidaan sitouttaa kaikki maakunnalle palveluita tuottavat toimijat. Lakiluonnosten mukainen yhteistyöalueiden muodostaminen sekä palveluiden kokoaminen suurempiin kokonaisuuksiin edelleen laajentavat hyviksi todettujen toimintamallien soveltamismahdollisuuksia. Keskitetyn järjestelmän sujuva toiminta edellyttää kuitenkin maakunnilta henkilötietojen käsittelyä ja tietosuojaa koskevaa ammattitaitoa ja resursseja.

Uudistuksen myötä henkilötietojen käsittelyä koskevat sopimukset saattavat saada hyvinkin keskeisen aseman. Jos nimittäin maakunnista säädetään sote-järjestelmän ainoat rekisterinpitäjät, silloin muun muassa palveluntuottajat olisivat henkilötietojen käsittelijöiden asemassa käsitellessään tietoja maakuntien lukuun. Maakunnilla olisi velvollisuus ohjeistaa yksityiskohtaisesti henkilötietojen käsittelijöiden toimintaa, mikä edellyttäisi käytännössä tietosuojakysymysten arviointia kunkin palveluntuottajan osalta erikseen. Lisäksi rekisterinpitäjän ja henkilötietojen käsittelijän tulisi myös tehdä henkilötietojen käsittelystä sopimus, jonka yleiset sisältövaatimukset on määritelty 25.5.2018 alkaen sovellettavassa EU:n yleisessä tietosuoja-asetuksessa.

Sopimukset antaisivat myös mahdollisuuden turvata yksittäisen asiakkaan tai potilaan henkilötietojen käsittelyä koskevien palveluodotusten toteutuminen. Koska asiakas tai potilas on sote-mallissa käytännössä tekemisissä oman palveluntuottajansa eikä maakunnan kanssa, hän saattaa odottaa myös rekisteröidyn oikeuksiin liittyvää palvelua palveluntuottajaltaan. Sopimuksissa voitaisiin määritellä palveluntuottajalle rekisteröidyn oikeuksien toteuttamista tukevia tehtäviä, jotka palveluntuottaja suorittaisi maakunnan puolesta. Maakunta olisi kuitenkin rekisterinpitäjänä henkilötietojen käsittelystä kokonaisvastuussa EU:n yleisen tietosuoja-asetuksen osoitusvelvollisuuden periaatteen mukaisesti.

Alustavat lakiluonnokset ovat luettavissa osoitteessa www.alueuudistus.fi. Lakiluonnokset on tarkoitus koota hallituksen esitykseksi ja lähettää lausunnolle elokuussa 2016.

Kirjoittaja:
Charlotta Henriksson
Legal Counsel, VT, Senior Manager, KPMG:n lakipalveluiden tietosuojajuridiikkaryhmän vetäjä