Ads 468x60px

tiistai 13. joulukuuta 2016

Onko yrityksesi valmistautunut ilmoitusvelvollisuuteen tietoturvaloukkauksissa?



Uusi EU-direktiivi haastaa yritykset suojaamaan kriittisen infrastruktuurin

Toukokuussa 2018 unionin laajuisesti tulee sovellettavaksi kaksi erillistä, mutta laajemmin samaan kokonaisuuteen kuuluvaa säädöstä: yleinen tietosuoja-asetus (General Data Protection Regulation eli GDPR) sekä verkko- ja tietoturvadirektiivi (Network and Information Security Directive eli NISD). Asetus koskee kaikkia organisaatioita, jotka keräävät tai käsittelevät henkilöstönsä ja/tai asiakkaidensa henkilötietoja. Verkko- ja tietoturvadirektiivi puolestaan koskee digitaalisten palvelujen tuottajia sekä kansallisia keskeisten palveluiden tarjoajia, eli pitkälti kaikkia digitaalisen tai fyysisen infrastruktuurin toimijoita.
Säädöspaketti noudattaa EU:n digitaalisten sisämarkkinoiden logiikkaa, sekä unionin kyberturvallisuusstrategian tavoitteita ja taustalla on nähtävissä vahva poliittinen tahtotila. Tätä ilmentää myös molempiin säädöksiin sisältyvä sanktiouhka. Vaikka sanktiouhka voikin vaikuttaa suurimmalta ”kannustimelta” vaatimuksenmukaisuuden toteuttamiseksi, kannattaa säädösten asettamat vaatimukset nähdä yrityksissä myös mahdollisuutena. Ottamalla kokonaisvaltainen ja riskiperustainen lähestyminen tietoturvaan ja tietosuojaan voidaan organisaatioissa saavuttaa sekä säästöjä että turvallisuutta.


IT-riskienhallinnan uusi sääntely kannattaa nähdä yhtenä pakettina

Sääntelykokonaisuus lisää IT-riskienhallintaan kohdistuvaa pakottavaa sääntelyä merkittävästi. Monen organisaation huomio on keskittynyt lähestyvään vaatimuksenmukaisuusharjoitukseen, mutta vaarana on, että tietosuojaa ja tietoturvaa tehdään osastorajojen mukaisissa siiloissa, huomioimatta kokonaiskuvaa. Usein GDPR ja NISD nähdään tavoitteiltaan toisistaan täysin erillisinä säädöksinä, GDPR:n näkökulman ollessa digitaalisissa sisämarkkinoissa sekä henkilötiedoissa perusoikeuslähtöisesti, kun taas NISD:in nähdään keskittyvän perinteisempään kyberturvallisuuteen, jääden erityisesti kriittisen infrastruktuurin yritysten kontolle.
Nämä lähes samanaikaisesti sovellettavaksi tulevat säädökset tulisi kuitenkin nähdä strategisena sääntelypakettina ja toisiaan tukevana regulaationa, jolla EU-kansalaisten tietosuoja ja tietoturva, sekä EU:n kriittisen infrastruktuurin toimintavarmuus halutaan suojata nykyistä paremmin. Tietoturvaan kohdistuvat vaatimukset tulevat todennäköisesti tiukentumaan myös välittömän soveltamisalan ulkopuolelle jäävien yritysten osalta erityisesti näiden toimiessa alihankkijoina ja kumppaneina direktiivin tarkoittamille yrityksille. Yrityksissä näitä asioita ei kannatta tarkastella pelkästään vaatimustenmukaisuuteen liittyvänä asiana, vaan mahdollisuutena parantaa palveluiden toimintavarmuutta, lisätä asiakkaiden luottamusta, parantaa asiakaskokemusta sekä tehostaa toimintaa.


Uudet velvoitteet yrityksille: ilmoitusvelvollisuus, sekä suojauksen tason osoittaminen

GDPR on asetuksena sellaisenaan sovellettavaa oikeutta, kun taas direktiivi vaatii kansallisen implementaation ja jättää enemmän harkinnanvaraa keinojen osalta. Tällä hetkellä Suomessa mietinnän alla on, miten NISD:n vaatimukset implementoidaan kansalliseen lainsäädäntöön ja miten viranomaisvalvonta toteutetaan.
Työryhmätyöskentely NISD:in edellyttämien kotimaisten lainsäädäntömuutosten valmistelemiseksi on käynnistynyt syyskuussa ja jatkuu arvioiden mukaan helmikuuhun 2017. Hallituksen esityksen luonnos on tavoitteena saada lausuntokierrokselle toukokuussa 2017, samaan aikaan kuin GDPR:n aiheuttamaa henkilötietojen suojaa koskevan lainsäädännön muutostarvetta selvittävän työryhmänkin on tarkoitus esittää mietintönsä. Vaikka ensiksi mainitun työryhmän asettamispäätöksessä todetaankin, että direktiivi jättää implementoinnin suhteen kansallista liikkumavaraa, ja täten mahdollistaa voimaansaattamisen monin osin jo olemassa olevalla lainsäädännöllä, on silti odotettavissa, että regulaatio lisääntyy esimerkiksi tietoturvallisuuden tason riittävyyden osoittamisen osalta.
Sekä GDPR ja NISD sisältävätkin vaatimuksia ”asianmukaisten teknisten ja organisatoristen toimenpiteiden” sekä ”tarpeellisten ja suhteellisten turvatoimien” käytöstä järjestelmien suojauksessa, sekä näiden toteuttamisen näyttämisestä käytännössä. Suojatoimien asianmukaisuus voidaan todentaa esimerkiksi auditoimalla prosessit ja järjestelmät alan vallitsevien standardien mukaiseksi.
Molemmat säädökset sisältävät lisäksi ilmoitusvelvollisuuden tietoturvaloukkaustapauksissa, ja tässä onkin selkeästi nähtävissä pyrkimys jäsenvaltioiden ja yritysten riskienhallintaan vaikuttamiseksi ennen kuin kriittisiin toimintoihin kohdistuvat hyökkäykset pakottavat tähän niin sanotusti ”kantapään kautta”. Taustalla vaikuttaa idea järjestelmien keskinäisriippuvuudesta, jossa systeemi on yhtä vahva kuin sen heikoin lenkki. Ilmoitusvelvollisuus korostaa tarvetta hyvään havainnointi- sekä tutkintakykyyn.


Miten yritysten kannattaa valmistautua vaatimustenmukaisuuteen?

Erityisesti tietoturvaloukkauksia silmälläpitäen on hyvä varmistaa, että tarvittavat prosessit ovat kunnossa, ja että henkilöstö on koulutettu näiden toteuttamiseksi. GDPR sisältää ilmoitusvelvollisuuden ilman aiheetonta viivästystä ja viimeistään 72 tunnin kuluessa henkilötietoihin kohdistuneen tietoturvaloukkauksen havaitsemisesta, ja NISD puolestaan edellyttää jäsenvaltioiden varmistavan, että palveluiden jatkuvuuteen vaikuttavasta poikkeamasta tehdään ilmoitus viranomaiselle ilman aiheetonta viivästystä.
Molemmat säädökset sisältävät myös sanktiouhan ilmoittamatta jättämisestä: Kuten laajasti jo tiedetäänkin, GDPR sisältää jopa kahden tai neljän prosentin suuruisen hallinnollisen sakon yrityksen globaalista liikevaihdosta laskettuna. Direktiivin osalta sanktion suuruus jää kansallisessa lainsäädäntöprosessissa määriteltäväksi, mutta direktiivin teksti edellyttää että seuraamukset ovat ”tehokkaita, oikeasuhteisia ja varoittavia”. Nämä seikat lisäävätkin entisestään IT:n hallinnan kriittisyyttä liiketoiminnan kannalta. Yritysjohdon vastuulla on jatkossa ymmärtää tietoturvaa entistä paremmin, jotta sitä voidaan johtaa sekä normaali- että poikkeusoloissa. Kokonaisvaltainen riskienarviointi on tässä keskeinen osatekijä.
Vuonna 2018 tietoturvatyö ottaa sääntelyn takia selkeän askeleen perinteisestä riskienhallinnasta kohti sanktioitua vaatimustenmukaisuutta. Yrityksille onkin nyt tärkeää seurata kansallista lainvalmistelutyötä NISD:iin liittyen ja aloittaa valmistautuminen tietoturvan ja tietosuojan kokonaisvaltaiseksi huomioimiseksi liiketoiminnan ja sen edellytysten turvaamisessa. Jokaisen yrityksen voikin suositella ryhtyvän vähintään seuraaviin toimenpiteisiin:
  • Riskiarvion tekeminen ja riskien mukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen
  • Riittävän tietoturvan tason osoittaminen, esimerkiksi ulkopuolisen tarkastajan suorittamalla arvioinnilla.
  • Sen varmistaminen, että järjestelmien havainnointikyky ja toiminnallisuudet tukevat tietoturvaloukkausten havaitsemista, tutkintaa ja dokumentointia riittävällä tavalla, jotta mahdollisten tietoturvaloukkausten ilmoittamista varten yrityksillä on käytettävissä riittävät tiedot
  • Valmistautuminen ilmoitusvelvollisuuden täyttämiseen kansallisille viranomaisille ja/tai asiakkaille
  • Saatavilla olevien hyötyjen tunnistaminen, jotta kyseessä ei ole pelkkä compliance-ohjelma
Kuten viimeaikaiset tietomurrot, kiristysohjelmat ja IoT-hyökkäykset Suomessakin osoittavat, tulevaisuus uhkakuvineen on jo täällä. 18 kuukauden päästä laajentuneet velvollisuudet astuvat voimaan, ja nyt onkin viimeistään aika selvittää, minkälaiset valmiudet ja kyvykkyydet yritykselläsi on vastata näihin haasteisiin. Kello tikittää jo.

Antti-Pekka Manninen


 


 

Ei kommentteja:

Lähetä kommentti