Ads 468x60px

maanantai 27. helmikuuta 2017

Oletteko uudistaneet vartijan toimintaohjeet?



Oletteko uudistaneet vartijan toimintaohjeet?
Alla oleva blogikirjoitus koskettaa erityisesti turvallisuusalan elinkeinoluvanhaltijoita (entiset vartioimisliikkeet), mutta myös turvallisuusjohtajien pitäisi huomioida asia.

Uusi laki yksityisistä turvallisuuspalveluista (1085/2015) astui voimaan vuoden alusta
2017. Vartijalla on nyt aikaisemmasta poiketen oikeus estää henkilön pääsy vartioimisalueelleen
muun muassa sen vuoksi, että on ilmeistä, ettei estettävällä henkilöllä toimeksiantajan
asettamien ehtojen perusteella ole oikeutta oleskella vartioimisalueella.  Myös vartijan
kiinniotto-oikeutta koskevaa sääntelyä on uudistettu siten, että vartija voi poliisin luvalla
vapauttaa tunnistamansa henkilön, eikä häntä vapauttamisen vuoksi tarvitse enää vartioida,
kunnes poliisi on tullut paikalle. Tällä menettelyllä on tarkoitus helpottaa esimerkiksi
päivittäistavarakauppojen näpistelijöihin liittyviä ongelmia (määrällisesti paljon, vartiointi vie
paljon resurssia).
           
Pääsyn estäminen edellyttää, että vartioimisliikkeelle toimeksiannon antanut yritys tai
esimerkiksi kunnan- tai valtionhallinnon yksikkö on ohjeistanut sen, milloin pääsy on
estettävä. Esimerkiksi yritysten tuotekehitysyksiköihin ei yleensä ole pääsyä kuin henkilöillä,
joilla on nimenomainen, henkilökohtainen kulkulupa. Päivittäistavarakauppaankin pääsy
voitaisiin estää esimerkiksi päihtyneeltä henkilöltä tai muilla sellaisilla perusteilla, jotka eivät
ole syrjiviä. Pääsyn estäminen ja vartijan muut toimivaltuudet yms. uudistetussa laissa säädellyt asiat ovat vartioimisalueesta- tai kohteesta riippuen oikeudellisesti monitahoisia. Paras lopputulos olisi saavutettavissa, jos kohdekohtaiset ohjeet tehdään yhteistyössä toimeksiantajan ja vartioimisliikkeen edustajan kanssa.

Vartioimisliikkeillä tulee olla yleiset toimintaohjeet ja tarvittaessa (esim. edellä mainitun
pääsyn estämisen kriteereiden määrittämiseksi) kohdekohtaiset toimintaohjeet (laki yksityisistä turvallisuuspalveluista 82.1 §). Viimekädessä vartijoiden toimenpiteiden
lainmukaisuutta voidaan viranomaisvalvonnassa arvioida heidän saamiaan
toimintaohjeita vasten. Yleisistä toimintaohjeista vastaa lähtökohtaisesti turvallisuusalan
elinkeinoluvanhaltija. Koska vastaava hoitaja on kuitenkin velvoitettu huolehtimaan lain
noudattamisesta yleisesti, voitaneen esimerkiksi viranomaisvalvonnassa pitää moitittavana sitä, jos yleisiä toimintaohjeita ei ole ohjeen keskeistä sisältöä, vartijan toimivaltuuksia, koskevan
lainsäädännön muututtua uudistettu. Pääsyn estämistä ja kiinniotetun henkilön vapauttamista koskevan sääntelyn muututtua myös tarve kohdekohtaisille ohjeille on erilaisten
vartioimisalueiden ja kohteiden kirjon vuoksi merkittävästi kasvanut. Ajan kuluessa erittäin suurella todennäköisyydellä joku vartijan toimenpiteiden kohteena oleva henkilö tulee nostamaan jutun siitä, kun hänen pääsynsä kohteeseensa estetään.

Turvallisuusalan elinkeinoluvanhaltijalle voitaisiin tuomita lain 105.1 §:n 3 kohdan perusteella sakkorangaistus turvallisuuspalvelurikkomuksesta, mikäli edellä mainittuja toimintaohjeita ei ole laadittu. Luonnollisesti vielä ei ole tiedossa olevaa oikeuskäytäntöä tai viranomaisohjeita siitä, rinnastetaanko toimintaohjeiden uudistamisen laiminlyöminen toimintaohjeiden keskeisen sisällön osalta lakimuutoksen vuoksi toimintaohjeiden laadinnan laiminlyömiseen.  

Lisätietoja:

Vesa Ellonen
p. 020 760 3125
vesa.ellonen@kpmg.fi

torstai 9. helmikuuta 2017

Euroopan komissio ehdottaa parannuksia sähköisen viestinnän tietosuojaan

Komissio on ehdottanut uutta Euroopan Unionin (”EU”) lainsäädäntöä sähköisen viestinnän tietosuojadirektiivin (2002/58 EY) uudistamiseksi.

Direktiivin korvaajaksi ehdotetun sähköisen viestinnän tietosuoja-asetuksen on tarkoitus yhdenmukaistaa sähköisen viestinnän lainsäädäntöä EU:n yleisen tietosuoja-asetuksen – yleisessä keskustelussa käytetyllä lyhenteellä ilmaistuna ”GDPR:n” – mukaiseksi sekä täydentää EU:n tietosuojakehystä. EU:n tietosuojalainsäädännön uudistus on osa EU:n digitaalisten sisämarkkinoiden strategiaa, jolla pyritään synnyttämään aidot ja kilpailukykyiset digitaaliset sisämarkkinat ja niin toimien tukemaan jäsenvaltioiden kilpailukykyä ja taloudellista kasvua. Kuten GDPR, myös ehdotettu sähköisen viestinnän tietosuoja-asetus tulisi olemaan suoraan sovellettavaa oikeutta kaikissa EU:n jäsenvaltioissa. Komission mukaan asetusmuotoinen säännös takaa sen, että kaikki palvelujen käyttäjät ja yritykset EU:ssa hyötyvät samantasoisesta suojasta sähköisessä viestinnässään.

Sähköisen viestinnän tietosuoja-asetuksen lisäksi komissio on ehdottanut uusia tiukempia sääntöjä EU:n toimielimille. Tällaisilla määräyksillä on tarkoitus varmistaa, että EU:n toimielimissä yksityisyyden suojaamisesta huolehditaan yleistä tietosuoja-asetusta vastaavasti.

Uudistuksen tavoitteena on yksityisyyden turvaamiseksi laajentaa tietosuojasääntelyn soveltamisalaa siten, että sääntelyn piiriin kuuluisivat perinteisten teleoperaattoreiden lisäksi jatkossa kaikki sähköisten viestintäpalveluiden tarjoajat. Sähköisen viestinnän tietosuoja-asetuksen yksityisyyttä suojaavia säännöksiä sovellettaisiin jatkossa esimerkiksi Facebook Messengerin, WhatsAppin sekä Skypen kaltaisiin sähköisiä viestintäpalveluja tarjoaviin toimijoihin. Tietosuojavaltuutettu Reijo Aarnio on asiaa koskevassa lausunnossaan korostanut näiden uudenlaisten perinteisistä teleoperaattoripalveluista eroavien viestintämuotojen ja -palveluiden huomioon ottamista.
Ehdotetulla sähköisen viestinnän tietosuoja-asetuksella pyritään turvaamaan sähköisen viestinnän sisällön ja viestintään kytkeytyvien metatietojen luottamuksellisuus. Metatietojen voidaan laajasti määritellä olevan tietoa tiedostosta tai tiedoston sisällöstä, kuten teknisiä tietoja, liitännäistietoja ja sisältöä kuvailevia tietoja. Metatietojen käsittely on sallittua vain silloin, kun käsittely on välttämätöntä esimerkiksi tilatun viestintäpalvelun, tietoturvan, laskutuksen tai lakisääteisten palvelun laatua koskevien vaatimusten toteuttamiseksi. Käyttäjän suostumuksen perusteella metatietoja voidaan käsitellä myös muihin tarkasti määriteltyihin tarkoituksiin; kuitenkin vain silloin, kun metatietoja ei voida esimerkiksi tarjotun palvelun toteuttamisen vuoksi käsitellä anonyymeinä. Mikäli käyttäjä ei ole antanut suostumustaan tällaisten viestintätietojen metatietojen käsittelyyn, eikä niiden säilyttäminen ole edellä mainittujen käsittelytarkoitusten toteuttamiseksi  tarpeen, ne olisi pääsääntöisesti anonymisoitava tai poistettava. Toisaalta, mikäli metatietojen käsittelyyn olisi annettu suostumus, teleoperaattoreilla olisi enemmän mahdollisuuksia käyttää tietoja ja tarjota lisäpalveluita, mikä luo uusia liiketoimintamahdollisuuksia. Itse viestinnän sisältöä voitaisiin ehdotuksen mukaan käsitellä pääasiassa vain kaikkien viestinnän osapuolienantamalla suostumuksella ja mikäli palvelua tai sen osaa ei voida tuottaa ilman tällaisen sisällön käsittelyä.
Ehdotetulla sähköisen viestinnän tietosuoja-asetuksella on tarkoitus keventää evästeiden käyttöä koskevia sääntöjä. Uusien sääntöjen myötä evästeiden hallintaa koskevat asetukset, ja näin ollen yksityisyyden suojaan kohdistuvat riskit, olisivat paremmin käyttäjiensä hallinnassa. Tarkoituksena on, että käyttäjien on jatkossa helpompi hyväksyä ja hylätä sähköisiä tunnisteita.  Asetusehdotuksen mukaan käyttäjän suostumusta ei kuitenkaan edellytettäisi, jos kyseessä ovat niin kutsutut ei-tungettelevat evästeet, kuten paremman käyttökokemuksen varmistavat tai kävijämäärän laskentaan tarkoitetut verkkosivustojen evästeet. Ehdotuksella on myös tarkoitus parantaa suojaa roskapostilta kieltämällä ei-toivottu sähköinen viestintä viestintävälineestä riippumatta, mikäli käyttäjät eivät ole antaneet suostumustaan tällaiselle viestinnälle.
Uudistus liittyy tiiviisti GDPR:ään, sillä viestinnässä ja viestintätietojen käsittelyssä on korostumassa yhä voimakkaammin henkilötietojen käsittely. Henkilötiedot ovatkin hyvin olennainen osa viestintää ja perinteisten henkilötietojen, kuten nimen ja osoitteen ohella myös yhä moninaisemmat tunnisteet tunnistetaan henkilötiedoiksi. Esimerkiksi tuoreehkon EU-tuomioistuimen ratkaisun mukaan myös dynaaminen IP -osoite voi olla henkilötieto. Tietosuojavaltuutettu Reijo Aarnio on huomauttanut, että tällä hetkellä ehdotuksen suhde muuhun lainsäädäntöön kuten tietoyhteiskunnan palveluiden tarjoamista koskevaan lainsäädäntöön aiheuttaa eri toimijoissa tarpeetonta epätietoisuutta. Kun useimmiten viestintään liittyvissä oikeudellisissa kysymyksissä on myös kysymys henkilötietojen käsittelystä, epäselvä tilanne eri säännösten välillä voi johtaa jopa tarpeettomaan kahdenkertaiseen lainvalvontamekanismiin. Aarnion lausunnon mukaan ehdotettujen säännösten suhdetta GDPR:ään ja muuhun sääntelyyn tulisikin selventää.
Komission tavoitteena on, että ehdotetut sähköisen viestinnän tietosuojasäännökset hyväksyttäisiin viimeistään 25. toukokuuta 2018 eli samana päivänä jona GDPR:n määräyksiä aletaan soveltamaan. Näin ollen sähköisen viestinnän tietosuoja-asetuksen säätämistyö tullee etenemään vauhdilla.

Asetusehdotus on luettavissa täältä.
Komission lehdistötiedote on luettavissa täältä.
Tietosuojavaltuutetun lausunto on luettavissa täältä.

Kirjoittanut Emma Swahne ja Krista Oinonen.

tiistai 13. joulukuuta 2016

Onko yrityksesi valmistautunut ilmoitusvelvollisuuteen tietoturvaloukkauksissa?



Uusi EU-direktiivi haastaa yritykset suojaamaan kriittisen infrastruktuurin

Toukokuussa 2018 unionin laajuisesti tulee sovellettavaksi kaksi erillistä, mutta laajemmin samaan kokonaisuuteen kuuluvaa säädöstä: yleinen tietosuoja-asetus (General Data Protection Regulation eli GDPR) sekä verkko- ja tietoturvadirektiivi (Network and Information Security Directive eli NISD). Asetus koskee kaikkia organisaatioita, jotka keräävät tai käsittelevät henkilöstönsä ja/tai asiakkaidensa henkilötietoja. Verkko- ja tietoturvadirektiivi puolestaan koskee digitaalisten palvelujen tuottajia sekä kansallisia keskeisten palveluiden tarjoajia, eli pitkälti kaikkia digitaalisen tai fyysisen infrastruktuurin toimijoita.
Säädöspaketti noudattaa EU:n digitaalisten sisämarkkinoiden logiikkaa, sekä unionin kyberturvallisuusstrategian tavoitteita ja taustalla on nähtävissä vahva poliittinen tahtotila. Tätä ilmentää myös molempiin säädöksiin sisältyvä sanktiouhka. Vaikka sanktiouhka voikin vaikuttaa suurimmalta ”kannustimelta” vaatimuksenmukaisuuden toteuttamiseksi, kannattaa säädösten asettamat vaatimukset nähdä yrityksissä myös mahdollisuutena. Ottamalla kokonaisvaltainen ja riskiperustainen lähestyminen tietoturvaan ja tietosuojaan voidaan organisaatioissa saavuttaa sekä säästöjä että turvallisuutta.


IT-riskienhallinnan uusi sääntely kannattaa nähdä yhtenä pakettina

Sääntelykokonaisuus lisää IT-riskienhallintaan kohdistuvaa pakottavaa sääntelyä merkittävästi. Monen organisaation huomio on keskittynyt lähestyvään vaatimuksenmukaisuusharjoitukseen, mutta vaarana on, että tietosuojaa ja tietoturvaa tehdään osastorajojen mukaisissa siiloissa, huomioimatta kokonaiskuvaa. Usein GDPR ja NISD nähdään tavoitteiltaan toisistaan täysin erillisinä säädöksinä, GDPR:n näkökulman ollessa digitaalisissa sisämarkkinoissa sekä henkilötiedoissa perusoikeuslähtöisesti, kun taas NISD:in nähdään keskittyvän perinteisempään kyberturvallisuuteen, jääden erityisesti kriittisen infrastruktuurin yritysten kontolle.
Nämä lähes samanaikaisesti sovellettavaksi tulevat säädökset tulisi kuitenkin nähdä strategisena sääntelypakettina ja toisiaan tukevana regulaationa, jolla EU-kansalaisten tietosuoja ja tietoturva, sekä EU:n kriittisen infrastruktuurin toimintavarmuus halutaan suojata nykyistä paremmin. Tietoturvaan kohdistuvat vaatimukset tulevat todennäköisesti tiukentumaan myös välittömän soveltamisalan ulkopuolelle jäävien yritysten osalta erityisesti näiden toimiessa alihankkijoina ja kumppaneina direktiivin tarkoittamille yrityksille. Yrityksissä näitä asioita ei kannatta tarkastella pelkästään vaatimustenmukaisuuteen liittyvänä asiana, vaan mahdollisuutena parantaa palveluiden toimintavarmuutta, lisätä asiakkaiden luottamusta, parantaa asiakaskokemusta sekä tehostaa toimintaa.


Uudet velvoitteet yrityksille: ilmoitusvelvollisuus, sekä suojauksen tason osoittaminen

GDPR on asetuksena sellaisenaan sovellettavaa oikeutta, kun taas direktiivi vaatii kansallisen implementaation ja jättää enemmän harkinnanvaraa keinojen osalta. Tällä hetkellä Suomessa mietinnän alla on, miten NISD:n vaatimukset implementoidaan kansalliseen lainsäädäntöön ja miten viranomaisvalvonta toteutetaan.
Työryhmätyöskentely NISD:in edellyttämien kotimaisten lainsäädäntömuutosten valmistelemiseksi on käynnistynyt syyskuussa ja jatkuu arvioiden mukaan helmikuuhun 2017. Hallituksen esityksen luonnos on tavoitteena saada lausuntokierrokselle toukokuussa 2017, samaan aikaan kuin GDPR:n aiheuttamaa henkilötietojen suojaa koskevan lainsäädännön muutostarvetta selvittävän työryhmänkin on tarkoitus esittää mietintönsä. Vaikka ensiksi mainitun työryhmän asettamispäätöksessä todetaankin, että direktiivi jättää implementoinnin suhteen kansallista liikkumavaraa, ja täten mahdollistaa voimaansaattamisen monin osin jo olemassa olevalla lainsäädännöllä, on silti odotettavissa, että regulaatio lisääntyy esimerkiksi tietoturvallisuuden tason riittävyyden osoittamisen osalta.
Sekä GDPR ja NISD sisältävätkin vaatimuksia ”asianmukaisten teknisten ja organisatoristen toimenpiteiden” sekä ”tarpeellisten ja suhteellisten turvatoimien” käytöstä järjestelmien suojauksessa, sekä näiden toteuttamisen näyttämisestä käytännössä. Suojatoimien asianmukaisuus voidaan todentaa esimerkiksi auditoimalla prosessit ja järjestelmät alan vallitsevien standardien mukaiseksi.
Molemmat säädökset sisältävät lisäksi ilmoitusvelvollisuuden tietoturvaloukkaustapauksissa, ja tässä onkin selkeästi nähtävissä pyrkimys jäsenvaltioiden ja yritysten riskienhallintaan vaikuttamiseksi ennen kuin kriittisiin toimintoihin kohdistuvat hyökkäykset pakottavat tähän niin sanotusti ”kantapään kautta”. Taustalla vaikuttaa idea järjestelmien keskinäisriippuvuudesta, jossa systeemi on yhtä vahva kuin sen heikoin lenkki. Ilmoitusvelvollisuus korostaa tarvetta hyvään havainnointi- sekä tutkintakykyyn.


Miten yritysten kannattaa valmistautua vaatimustenmukaisuuteen?

Erityisesti tietoturvaloukkauksia silmälläpitäen on hyvä varmistaa, että tarvittavat prosessit ovat kunnossa, ja että henkilöstö on koulutettu näiden toteuttamiseksi. GDPR sisältää ilmoitusvelvollisuuden ilman aiheetonta viivästystä ja viimeistään 72 tunnin kuluessa henkilötietoihin kohdistuneen tietoturvaloukkauksen havaitsemisesta, ja NISD puolestaan edellyttää jäsenvaltioiden varmistavan, että palveluiden jatkuvuuteen vaikuttavasta poikkeamasta tehdään ilmoitus viranomaiselle ilman aiheetonta viivästystä.
Molemmat säädökset sisältävät myös sanktiouhan ilmoittamatta jättämisestä: Kuten laajasti jo tiedetäänkin, GDPR sisältää jopa kahden tai neljän prosentin suuruisen hallinnollisen sakon yrityksen globaalista liikevaihdosta laskettuna. Direktiivin osalta sanktion suuruus jää kansallisessa lainsäädäntöprosessissa määriteltäväksi, mutta direktiivin teksti edellyttää että seuraamukset ovat ”tehokkaita, oikeasuhteisia ja varoittavia”. Nämä seikat lisäävätkin entisestään IT:n hallinnan kriittisyyttä liiketoiminnan kannalta. Yritysjohdon vastuulla on jatkossa ymmärtää tietoturvaa entistä paremmin, jotta sitä voidaan johtaa sekä normaali- että poikkeusoloissa. Kokonaisvaltainen riskienarviointi on tässä keskeinen osatekijä.
Vuonna 2018 tietoturvatyö ottaa sääntelyn takia selkeän askeleen perinteisestä riskienhallinnasta kohti sanktioitua vaatimustenmukaisuutta. Yrityksille onkin nyt tärkeää seurata kansallista lainvalmistelutyötä NISD:iin liittyen ja aloittaa valmistautuminen tietoturvan ja tietosuojan kokonaisvaltaiseksi huomioimiseksi liiketoiminnan ja sen edellytysten turvaamisessa. Jokaisen yrityksen voikin suositella ryhtyvän vähintään seuraaviin toimenpiteisiin:
  • Riskiarvion tekeminen ja riskien mukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen
  • Riittävän tietoturvan tason osoittaminen, esimerkiksi ulkopuolisen tarkastajan suorittamalla arvioinnilla.
  • Sen varmistaminen, että järjestelmien havainnointikyky ja toiminnallisuudet tukevat tietoturvaloukkausten havaitsemista, tutkintaa ja dokumentointia riittävällä tavalla, jotta mahdollisten tietoturvaloukkausten ilmoittamista varten yrityksillä on käytettävissä riittävät tiedot
  • Valmistautuminen ilmoitusvelvollisuuden täyttämiseen kansallisille viranomaisille ja/tai asiakkaille
  • Saatavilla olevien hyötyjen tunnistaminen, jotta kyseessä ei ole pelkkä compliance-ohjelma
Kuten viimeaikaiset tietomurrot, kiristysohjelmat ja IoT-hyökkäykset Suomessakin osoittavat, tulevaisuus uhkakuvineen on jo täällä. 18 kuukauden päästä laajentuneet velvollisuudet astuvat voimaan, ja nyt onkin viimeistään aika selvittää, minkälaiset valmiudet ja kyvykkyydet yritykselläsi on vastata näihin haasteisiin. Kello tikittää jo.

Antti-Pekka Manninen


 


 

keskiviikko 30. marraskuuta 2016

Firefox 0-day tietoturva-aukko

Firefox-selaimesta on löytynyt tiistaina 29. marraskuuta erittäin vakava tietoturva-aukko. Aukon avulla voi ohittaa selaimen tietoturvamekanismit ja mahdollistaa haittakoodin suorituksen Windows-pohjaisissa koneissa. Hyödyntäminen ei myöskään ilmeisesti vaadi käyttäjältä muita toimia, kuin haittaohjelmaa levittävällä sivulla vierailun.

Hyökkäys perustuu ROP-ohjelmointiin ja haavoittuvuus laukaistaan javascriptin avulla. Alkuperäinen julkaisija laittoi jakeluun ilmeisesti myös täydellisen deobfuskoidun haittakoodin, eli laajamittaista hyväksikäyttöä on odotettavissa pian - todennäköisesti ensimmäiset kampanjat ovat jo käynnissä. Firefoxin versiot välillä 41 - 50 (uusin) ovat haavoittuvaisia ja korjausta ei vielä ole saatavilla.

Pätkä hyökkäyskoodia

Mielenkiintoisen haavasta tekee se, että sitä on ilmeisesti käytetty Tor-verkoissa. Saastuttamalla jonkin Tor-sivuston, voi saada selville Tor-käyttäjän oikean IP-osoitteen ja muut tunnistamiseen tarvittavat tiedot. Huomattavaa on myös se, että hyökkäyksessä käytetty shellcode on lähes samanlainen, kuin FBI:n vuonna 2013 hyödyntämä koodi. Tällöin paljastettiin lapsipornon levitykseen käytetty Tor-sivusto.

Saastumisen jälkeen haittaohjelma kerää koneesta mm. IP-osoitteen, MAC-osoitteen sekä Windows-koneen nimen ja lähettää nämä Ranskassa sijaitsevalle palvelimelle (IP: 5.39.27.226). Tätä kautta koneella voidaan erittäin suurella todennäköisyydellä suorittaa myös paljon muita toimenpiteitä.

Tällä hetkellä ainoa keino estää reiän hyväksikäyttö on käyttää muita selaimia, kuten Chromea tai Edgeä. Applen OSX-laitteissa ei vielä ole havaittu haavoittuvuuden hyväksikäyttöä, mutta tämäkin on todennäköisesti vain ajan kysymys.

Päivitys: Javascriptin disablointi suojaa myös haavoittuvuudelta. Tämä kuitenkin on epäkäytännöllistä useimmilla sivustoilla.

Päivitys2: Mozilla on julkaissut päivityksen. Haavoittuvuus on korjattu uusimmassa 50.0.2-versiossa.

Lähteet:

Tor-talk-postituslista:
https://lists.torproject.org/pipermail/tor-talk/2016-November/042639.html

Wordfence:
https://www.wordfence.com/blog/2016/11/emergency-bulletin-firefox-0-day-wild

Ars Technica:
http://arstechnica.com/security/2016/11/firefox-0day-used-against-tor-users-almost-identical-to-one-fbi-used-in-2013/

Mozillan virallinen korjaus:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/