Ads 468x60px

tiistai 29. huhtikuuta 2014

PCI-DSS -standardi v3.0

Syyskuussa 2013 viittasimme tulossa olevaan PCI-DSS -maksukorttistandardin päivitettyyn uudistukseen. Päivitys versiosta 2.0:sta versioon 3.0 julkaistiin marraskuussa 2013 ja on järjestyksessään neljäs standardiversio. Virallisesti uusin versio otettiin käyttöön tammikuussa 2014. Kuten edellisestä blogimerkinnästä käy ilmi, PCI Security Standards Council julkaisi muutoksia käsittelevän Summaryn [1], kuten aikaisemminkin standardin päivittyessä versiosta 1.2 versioon 2.0.

PCI Security Standards Council:n mukaan uudistetun version tarkoituksena on lisätä koulutusta ja tietoisuutta maksukorttiturvallisuuden ympärillä, sekä lisätä PCI-standardin joustavuutta liittyen standardin käyttöön. Lisäksi tarkoituksena on tähdentää, että turvallisuus on yhteinen, jaettu vastuu. Kuinka Councilin määrittelemät muutokset sitten näkyvät itse vaatimuksissa? Versioon 3.0 on muutoksia tapahtunut suurimmaksi osaksi selvennysten muodossa. Selvennyksissä on tarkennettu vaatimusten määrittelyä, eli mihin milläkin vaatimuksella pyritään vastaamaan. Uudistettuja ja kokonaan uusia vaatimuksia on laadittu myös muutamia. Uudistukset liittyvät pääosin penetraatiotestauksien määrälliseen lisäämiseen yrityksen itse toteuttamina, autentikointi- ja tunnistusmenetelmien kehittämiseen sekä fyysisen turvallisuuden varmistamiseen.

Penetraatiotestauksista hyvänä esimerkkinä on vaatimus 11, jossa vanha vaatimus 11.3 on jaettu kahtia osiksi 11.3.1 sekä 11.3.2. Vaatimusten sisällöt ovat keskenään identtiset muilta osin sillä erolla, että 11.3.1 on vaatimus ulkoiselle tunkeutumistestaukselle (External Penetration Testing) ja 11.3.2 sisäiselle tunkeutumistestaukselle (Internal Penetration Testing). Versiossa 2.0 penetraatiotestaukset olivat mukana, mutta uusimmassa versiossa on tarkennettu ennen kaikkea testausten dokumentointia ja säännöllisyyttä, kuin myös käyttötarkoitusta.

Versiossa 3.0 tunkeutumistestauksien implementaatiolle on laadittu kokonaan oma metodologiansa (vaatimus 11.3), eli mitä tunkeutumistestauksissa tulee todentaa ja millä tavoin. Metodologiassa on teknisen testauksen lisäksi huomioitu esimerkiksi CDE-ympäristössä (Cardholder Data Environment [2]) havaittujen uhkien ja haavoittuvuuksien monitorointi ja käsittely kuluneen 12 kuukauden ajalta (käsitelty tarkemmin vaatimuksessa 11.3.3), sekä penetraariotestauksen tulosten korjaustoimenpideraporttien säilytysaika. Uutena vaatimuksena on määritelty tunkeutumistestaus tehtäväksi CDE-ympäristölle, mikäli ympäristö on segmentoitu erilleen yrityksen muista verkoista (vaatimus 11.3.4).

Tunkeutumistestauksiin liittyvien kohtien lisäksi maksukorttistandardin uusimmassa versiossa vaatimuksia on jalostettu myös fyysisen turvallisuuden (vaatimukset 9.3 sekä 9.9.x) sekä tunnistus- ja autentikointimenetelmien (vaatimukset 8.5.1 ja 8.6) saralla. Uusi vaatimus 9.3 määrittelee, millä perusteilla työntekijöille tulee antaa kulkuoikeuksia tuotannon kannalta kriittisiin tiloihin. Vaatimus määrittelee myös, kuinka yrityksen tulee toteuttaa henkilön kulku- ja käyttöoikeuksien deaktivointi työsuhteen päättyessä. Vaatimuksessa 9.9.x taas kohdennetaan suojaustoimenpiteet laitteille, jotka käsittelevät ja hetkellisesti tallentavat maksukorttidataa ollessaan fyysisessä kontaktissa maksukorttien kanssa. Vaatimuksen tarkoituksena on estää näiden laitteiden peukalointi ja varustaminen esimerkiksi skimmauspäätteillä, jotka kopioivat korttidataa laitteista.

Tunnistus- ja autentikointimenetelmien uusilla vaatimuksilla estetään tunnuksien yhteiskäyttö esimerkiksi usealle asiakkaalle. Yhteistunnuksien käyttö rajoitetaan niin vaatimuksella 8.5.1 kuin vaatimuksella 8.6. Näissä pykälissä esimerkiksi palveluntarjoajilta vaaditaan, että jokaiselle asiakkaalle on luotava uniikit tunnukset, jottei korttidataa käsittelevien laitteiden etäkäyttö ole mahdollista yksillä tunnuksilla. Lisäksi niin palveluntarjoajien kuin käyttäjäorganisaatioiden tulee linkittää autentikointimekanismit yksilöllisiin ja käyttäjäkohtaisiin tileihin, mikäli käyttäjillä on hallussaan autentikointiin tarkoitettu erillinen pääte. Päätteitä voivat olla esimerkiksi sirukortti, käyttäjätunnuksiin linkitetty sertifikaatti tai muu älylaite. Uniikkeilla käyttötileillä varmistetaan, että vain sallitut ja tunnistetut käyttäjät ovat oikeutettuja pääsemään järjestelmiin yrityksen käyttämien mekanismien kautta.

Osa uusien vaatimusten sisällöstä kulkee niin sanottuina Best Practice -periaatteina, kunnes ne otetaan käyttöön kesäkuussa 2015 virallisina vaatimuksina. Uusien vaatimusten implementoitia käytäntöön PCI Council suosittelee kuitenkin välittömästi, jotta standardin käyttäjät toimisivat viimeisimmän tiedon tasalla.

Antti-Jussi Lehtinen

[1] Data Security Standard - Summary of Changes from PCI DSS Version 2.0 to 3.0

[2] Cardholder Data Environment

maanantai 28. huhtikuuta 2014

DBIR 2014 - keskeiset tietomurtosuuntaukset


Verizon julkaisi huhtikuun loppupuolella DBIR-raporttinsa (2014 Data Breach Investigations Report kahdeksatta kertaa. Raportissa kuvataan vuoden 2013 tietomurtotapahtumia ja keskeisiä suuntauksia. Mukana tutkimuksessa oli 50 globaalia organisaatiota 95 maasta niin julkisen kuin yksityisen sektorin puolelta. 
 
Tarkasteltaessa turvallisuushäiriöitä ja tietomurtoja toimialoittain voidaan havaita, että tietyt toimialat ovat tietoturvarikollisten suosiossa. Houkuttelevina nähdään esimerkiksi alat, joilla talletetaan maksukorttidataa. Tämä on linjassa KPMG:n aikaisempien Data Loss Barometer[1] -tutkimusten kanssa. On tärkeää muistaa, että mikään ala ei kuitenkaan ole turvassa mahdollisilta hyökkäyksiltä. Suurimpana tietomurtojen motiivina on edelleen taloudellisen hyödyn tavoittelu. Vakoilun osuus tietomurtojen motiivina on kasvanut viime vuosina, ja vuonna 2013 se oli jo noin 25 % kaikista DBIR-aineiston tietomurroista.

Suurin osa hyökkäyksistä tulee tyypillisesti organisaatioiden ulkopuolelta, ja hyökkääjien suurin yksittäinen kohderyhmä on palvelimet. Toiseksi suurimpana ryhmänä on käyttäjien hallinnassa olevat laitteet, joita saatetaan pitää helppoina murtokohteina. Hakkerointi on edelleen suurin yksittäinen menetelmä, jolla tietomurto toteutetaan. Hakkeroinnin ja haittaohjelmien avulla toteutettujen tietomurtojen määrä on kasvanut nopeasti vuoden 2010 jälkeen. Tämä johtuu pääasiassa automaattisten hyökkäystyökalujen ja tee-se-itse haittaohjelmien kehityksestä.  KPMG:n kokemuksen mukaan murtautuminen organisaatioiden järjestelmiin tapahtuu yleensä yksittäisten käyttäjien työasemien tai muiden vastaavien päätelaitteiden kautta.

Seuraavaksi tutkitaan murtautumiseen ja sen havaitsemiseen kuluvaa aikaa. Näkökulmasta riippuen muutama päivä voi olla lyhyt tai pitkä aika. Hyökkääjille tämä on tyypillisesti pitkä aika, sillä suurin osa murroista tehdään vain muutamien päivien sisällä. Sen sijaan murtojen huomaamisen näkökulmasta tämä on huomattavan lyhyt aika, sillä vain neljäsosa murroista huomataan muutamassa päivässä. Usein murtojen havaitsemiseen kuluva aika lasketaankin kuukausissa. Huomattavaa on myös kehittymiskäyrä, josta voidaan havaita, että hyökkääjien menetelmät kehittyvät ylläpitäjien menetelmiä nopeammin. Tämä pidentää aikaa hyökkäyksestä sen havaitsemiseen. Mandiantin aikaisemmin julkaiseman tutkimuksen[2] mukaan yrityksillä kesti satoja päiviä havaita tietomurrot, pahimmillaan murto oli kestänyt yli 6 vuotta ilman, että se olisi havaittu. KPMG:n 2014 alussa julkaisema raportti ”Tuntematon uhka Suomessa[3]” tukee tätä havaintoa myös Suomen osalta.

Verizonin raportin mukaan lähes kaikki tietomurrot noudattavat tiettyä kaavaa, ja nämä voidaan jakaa yhdeksään ryhmään hyökkäysmenetelmän perusteella. Ryhmät ovat: 

  1.         myyntipistejärjestelmään tunkeutuminen (point of sale intrusion),
  2.         web-sovellushyökkäykset,
  3.         sisäpiiritiedon väärinkäyttö (insider misuse),
  4.         fyysisen laitteen häviäminen tai varkaus (physical theft/loss),
  5.         tahattomat turvallisuudenvaarantamistoimet (miscellanous errors),
  6.         crimeware-haittaohjelmilla suoritettavat hyökkäykset,
  7.         kortinlukulaitteiden haittalaitteiden (card skimmers) avulla tehdyt hyökkäykset,
  8.         palvelunestohyökkäykset ja
  9.         verkkovakoilu (cyber-espionage).

DBIR-aineiston yleisimmät tietomurtoryhmät ovat web-sovellushyökkäykset, verkkovakoilu ja myyntipistejärjestelmään tunkeutuminen. Verrattaessa raportoituja hyökkäysyrityksiä datan paljastumiseen johtaneisiin hyökkäyksiin voidaan havaita, että tietyillä hyökkäysmenetelmillä on suurempi näennäinen onnistumistodennäköisyys kuin toisilla. Tämä voi johtua siitä, että tiettyjen hyökkäysmenetelmien hyökkäyksiä voi olla haastavaa havaita. Esimerkiksi web-sovelluksiin kohdistuvat hyökkäkset voidaan havaita automaattisesti monitorointijärjestelmillä ja todentaa lokeista. Sen sijaan automaattisen monitorointijärjestelmän voi olla hankala havaita kortinlukulaitteisiin kohdistuvia hyökkäyksiä, ja niiden todentaminen voi olla vaikeaa.

Raportissa esitetään jokaiselle ryhmälle kontrollisuositukset, joiden avulla voidaan pyrkiä pienentämään hyökkäysten onnistumismahdollisuuksia. Autentikointiin liittyvät asiat toistuvat usein kontrollisuosituksissa. On tärkeää, että käyttäjä tunnistetaan riittävän vahvoilla mekanismeilla, käytetään vahvoja salasanoja ja että tietoturvaan liittyvät politiikat ovat kunnossa. Koska suuri osa hyökkäyksistä johtuu taloudellisista motiiveista, tulisi voimavarat kohdistaa oikein. Hyökkääjiä kiinnostavat kohteet tulisi tunnistaa uhkamallinnuksessa ja suojata asianmukaisesti. Käyttöönotettujen kontrollimekanismien testaus on tärkeä osa kokonaisprosessia. Esimerkiksi PCI DSS 3.0 vaatii toteutettujen kontrollimekanismien kattavan testauksen, johon sisältyy mm. säännöllinen sisäinen sekä ulkoinen murtotestaus. KPMG:n näkemyksen mukaan tietoturvallisuuden säännöllinen testaus ja pyrkimys aukottomaan suojaukseen ovat hyvä lähtökohta, mutta on tärkeä varautua myös siihen, että tämä ei onnistu, jolloin murtojen havaitseminen ja tutkinnan mahdollistavat loki- yms. järjestelmät ovat avainasemassa.

Kirjoittajat: Anni Tuulinen, Jesse Alho



perjantai 25. huhtikuuta 2014

KPMG Hacknet - hakkerointipelin ratkaisu

Eilen käynnistynyt rosvot vs poliisi -peli päättyi kuuden aikaan illalla. Pelissä oli siis kaksi joukkuetta, rosvot ja poliisit. Pelissä oli tarkoituksena harjoitella haittaohjelmien kirjoittamista, niillä hyökkäämistä ja niiltä puolustatumista. Molemmille joukkueille annettiin käyttöön Windows- ja Linux-palvelimet, joita piti puolustaa.

Joukkueet
Poliisien tavoitteena oli estää rosvojen asettaman pommin räjähtäminen ja rosvojen tavoitteena oli luonnollisesti varmistaa, että se räjähtää. Pommissa oli kolme kytkintä ja kuuden tunnin ajastin. Pommi laukeaa, mikäli kaksi tai useampi kytkintä on päällä, kun aika kuluu loppuun.

Käytännössä peli kulki tunnin sykleissä, joka jakautui kolmeen osuuteen. Valmistelujen jälkeen oli 30 min aikaa asentaa haittaohjelmia tai muita takaovia vastapuolen koneille. Seuraavassa vaiheessa kontrolli luovutettiin takaisin palvelinten oikeille omistajille, ja heillä oli 30 minuuttia aikaa puhdistaa palvelimet. Haittaohjelmat eivät saaneet suorittaa tehtäviään myöskään ensimmäisen 15 minuutin aikana. Tämä oli sääntönä sen vuoksi, että heti laukeavia ohjelmia ei olisi kerennyt poistaa.

Tämän lisäksi molemmille tiimeille annettiin 14 haastetta, jotka vaihtelivat vaikeudeltaan. Yksinkertaisimmat sisälsivät esimerkiksi erilaisten enkoodausten, salausten ja omituisten ohjelmointikielten purkamista. Jotkin selvisivät melko puhtaalla tiedonhaulla Internetistä. Vaikeimmissa piti selvittää WLAN-verkon salausavain tai löytää wav-tiedostoon upotettua dataa. Näitä haasteita ratkaisemalla sai käyttöönsä koodeja, jotka piti lähettää pisteytyspalvelimelle haittaohjelmien avulla. Omalta palvelimelta siis ei pystynyt lähettämään koodeja, eikä vastustajan palvelimelle ollut normaalia pääsyä, kun koodien lähetys oli sallittu.

Itse pelasin rosvojen joukkueessa. Onnistuimme selkeästi paremmin organisoinnissa. Jaoimme joukkueen muutaman ylläpitäjään ja haittaohjelmien toteuttajaan sekä laajempaan joukkoon ongelmien ratkaisijoita. Ylläpitäjät pystyivät estämään käytännössä kaikki haittaohjelmat ja ongelmia ratkoimme myös selkeästi vastustajia nopeammin. Saimme suht nopeasti vähennettyä 30 minuuttia kellosta, mutta ehkä myös säästelimme liikaa koodeja, koska taktiikkaamme oli olla reaktiivinen ja reagoida vastustajan siirtoihin. Lopulta olimme aktiivinen osapuoli ja käänsimme kytkimet päälle sekä vähensimme viimeiset minuutit kellosta.

Seurauksena oli massiivinen räjähdys:

PUM

Andrewn tuhoutunut läppäri
Kokonaisuutena peli oli varsin hauska. Haasteita oli aluksi kaikkien sääntöjen ymmärtämisessä ja osa haasteista oli käytännössä mahdottomia ratkaista. Haastavimmat, kuten esimerkiksi heatbleed-haavoittuvuuden tyylinen alkulukujen etsintä muistidumpista, olivat puolestaan vaikeita. Valitettavasti en voi julkaista esimerkkejä, sillä Hacknet Asia tulee käyttämään samaa peliä :)

-Antti A

torstai 24. huhtikuuta 2014

Hakkerointipeli käynnissä!

Hollannin KPMG:n suunnittelema hakkerointipeli on nyt käynnistynyt. Kissa&Hiiri -teeman mukaisesta vastakkain ovat poliisit ja rosvot. Pelissä rosvot pyrkivät räjäyttämään pommin virittämällä laukaisimia, samalla kun poliisit estävät laukaisimien virittämisen tai purkavat jo viritettyjä laukaisimia.

Rosvot suunnittelemassa omaa strategiaansa.
Aikaa tälle kaikille on kuusi tuntia. Laukaisimia on kolme, jos kaksi kolmesta laukaisimesta on viritettyinä ajan loputtua rosvot voittavat. Laukaisimia puretaan ja viritetään ratkomalla erilaisia haastavia tehtäviä. Tehtävät voivat olla lähes mitä vain aina tiirikoinnista haastavien matemaattisten pulmien ratkaisuun.

Pelin alussa molemmilla puolilla oli 30 minuuttia aikaa virittää mahdollisimman monta takaporttia vastapuolen koneisiin. Vaiheen onnistuminen on erittäin tärkeää, sillä vastaukset pulmiin on mahdollista lähettää ainoastaan vastapuolen järjestelmän kautta. Jos vastapuoli ehtii paikkaamaan kaikki takaportit, on toisella puolella edessä haastava työ päästä takaisin vastapuolen järjestelmään. Järjestelmään pääsemiseksi lähes kaikki keinot ovat on sallittuja.

Pelin kelloa on myös mahdollista nopeuttaa tai hidastaa. Ratkaistuaan tehtävän tulee pelaajien valita haluavatko he virittää laukaisimen vai nopeuttaa tai hidastaa kelloa. Kello tuo peliin strategisen puolen, sillä poliisit haluavat kellon juoksevan nopeasti, jos laukaisimia ei ole viritettynä. Toisaalta rosvot haluavat kellon juoksevan nopeasti jos laukaisimet ovat viritettyinä. Poliisit taas pyrkivät hidastamaan kelloa laukaisimien olla viritettyinä, samaan aikaan kun rosvot pyrkivät nopeuttamaan kelloa.
 
Tällä hetkellä yksi laukaisimista on viritettynä ja aikaa jäljellä viisi tuntia. Mikä tahansa on vielä mahdollista ja voittajaa on mahdotonta sanoa.

Edit: Tasaiselta vaikuttaneen pelin voitti lopulta rosvojen joukkue. Viime metreillä rosvot saivat aktivoitua kaikki laukaisimet ja nopeuttivat kelloa niin paljon, ettei poliiseille jäänyt enää mitään mahdollisuuksia voittoon. Onnittelut kaikille roistojen puolella otelleille! Poliisien päivä päättyi koneiden siivoamiseen räjähdyksen jäljiltä.


Hävinnyt joukkue siivoamassa koneitaan räjähdyksen jäljiltä



KPMG:n kansainvälinen Hacknet-konferenssi Helsingissä

KPMG:n kansainvälinen ja sisäinen tietoturvakonferenssi on juuri käynnistynyt Helsingissä. Paikalle on saapunut n. 40 tietoturva-asiantuntijaa ympäri maailmaa. Kaukaisimmat vieraat ovat Chilestä ja Australiasta. Hacknet alkoi 15 vuotta sitten Suomen ja Hollannin KPMG:n yhteisenä tapaamisena. Sen jälkeen Hacknet on järjestetty 14 kertaa eri puolella Eurooppaa. Nykyisin Aasiassa järjestetään oma Hacknet Asia.

Hacknet uudessa KPMG-talossa
Tällä hetkellä Adrian Furtuna esittelee projektiaan, missä on analysoitu botnetillä kerättyä dataa Romanian Internetistä. Data kerättiin vuonna 2012, joten se ei luonnollisesti vastaa täysin nykytilaa. Kyseessä on passiivinen analyysi alkuperäisten hakkereiden julkaisemasta datasta. Aktiivinen skannaus on laitonta Romaniassa samalla tavalla kuin Suomessa.

Eräs mielenkiintoisimmista tuloksista on, että n. 70% Romanian web-palvelimista on haavoittuvaisia (Nessus: kriittinen tai korkea haavoittuvuus). Taustalla on ilmeisesti haavoittuvuus PHP:ssä, joka on asennettuna jonkin tyyppisessä kotikäytössä olevassa laitteessa. Ilmeisesti kyseessä on suuren ISP:n toimittamat laitteet kuluttajille. Todennäköisyys sille, että näitä vastaan pystytään hyökkäämään on kuitenkin pieni. Aitoja haavoittuvaisia palvelimia löytyy huomattavasti vähemmän, mutta mielenkiintoisista paikoista. Muun muassa kuntien verojen maksupalvelu ja ministeriön sivusto ovat oikeasti haavoittuvaisia. Kyseiset sivustot tarkistettiin manuaalisesti ja tilanne on edelleen sama.

Päivitämme blogia seuraavan päivän aikana mielenkiintoisista aiheista, joita KPMG:läiset esittävät seuraavan kahden päivän aikana. Tänään illalla käydään myös Hollannin suunnittelema hakkerointipeli, teemana on kissa & hiiri.

-Antti A

RSA järjestää GRC-päivällisen ravintola Sipulissa 15.5. kello 17.00



Koska KPMG:n tietoturvaristeilyn järjestäminen nyt keväällä osoittautui hieman haasteelliseksi päällekkäisten tilausuuksien ja mahdollisesti myös tilajärjestelyiden suhteen, kyseisen tilausuuden kumppaneista RSA järjestää erillisen tilausuuden.  Tilaisuus on tarkoitettu yritysten ja julkishallinon johdolle, joiden vastuulla ovat mm. riskienhallinta, sisäiset ja ulkoiset tarkastukset, compliance, tietohallinto ja tietoturva.

******************************************
RSA järjestää GRC-päivällisen ravintola Sipulissa 15.5. kello 17.00. Tilaisuudessa  David Walter, General Manager of GRC in RSA EMEA pitää esityksen aiheesta Risk Intelligence: Harness and Exploit Risk for Competitive Advantage.

We are moving to a world where risk management will become the primary source of competitive advantage. Rather than avoiding risk, organizations need the ability to embrace risk. Organizations will make money by taking intelligent risks and lose money by failing to manage risk intelligently. This presentation will show how RSA solutions can empower organizations to harness and exploit risk through efficient, streamlined decision-making; enabling the business to move quickly and predictably.

Tilaisuus on tarkoitettu yritysten ja julkishallinon johdolle, joiden vastuulla ovat mm. riskienhallinta, sisäiset ja ulkoiset tarkastukset, compliance, tietohallinto ja tietoturva.

Ilmoittautuminen viimeistään 30.4. mennessä. Mainitse ilmoittautumisen yhteydessä pääruoka (liha/kala) sekä mahdolliset ruoka-aine allergiat.

Lisätietoja tilaisuudesta saa Heikki Koposelta, heikki.koponen@rsa.com tai 040-5110026.


Menu
                       
Parsaa ja jättikatkaravun pyrstöjä escabeche
Perlage Terre di Chieti Bianco 2011, Italy        
***
Kuohkeaa korvasienikeittoa ja haudutettua villisian niskaa
Trapiche Oak Cask Chardonnay, Argentina
***
Grillattua rotukarjan sisäfileetä, vuohenjuustoa ja portviinikastiketta
Nauta Monastrell Crianza 2009, Spain

Paahdettua siikaa, latva-artisokkaa ja sahramia
Sileni Sauvignon Blanc, New Zealand
***
Pistaasileivos, basilikaa ja mansikkaserbetti
Tabali Late Harvest Muscat, Chile 

torstai 17. huhtikuuta 2014

Perusoikeudet korostuvat EU-tuomioistuimen tietosuoja-alan tuomiossa

EU-tuomioistuin korosti vahvasti tietosuojan asemaa kaikkia jäsenvaltioita sitovana kansalaisten perusoikeutena 8.4.2014 Digital Rights Ireland -tapaukseen antamassaan tuomiossa, jossa se julisti EU:n teletunnistetietojen säilyttämistä koskevan direktiivin (2006/24/EY) pätemättömäksi. Direktiivissä edellytettiin tietoliikennepalveluntarjoajan säilyttävän kaikki asiakkaidensa viestintään liittyvät tunnistamis- ja paikkatiedot 6-24 kuukauden ajan siinä tarkoituksessa, että tieto olisi viranomaisten hyödynnettävissä vakavaa rikollisuutta torjuttaessa ja selvitettäessä.

Sinänsä tärkeitä tarkoitusperiä edistävällä sääntelyllä oli oikeuden päätöksen mukaan erityisesti se puute, että yksityisyyden suojan, lähemmin henkilötietojen suojan sisältö jäi turvallisuutta tavoittelevien toimenpiteiden seurauksena epäselväksi. Kerättäviä tietoja ja niiden luonnetta ja laajuutta ei nimittäin ollut suhteutettu siihen, mitä niistä yleisen turvallisuuden intresseissä oletettiin löydettävän. Tietojen säilytysvelvollisuus ei kohdistunut esimerkiksi tietyn rikostutkinnan kannalta epäilyksenalaiseen henkilöjoukkoon. Myöskään viranomaisten valtuuksia näiden tietojen käyttämiseksi ei ollut määritelty direktiivissä riittävän tarkasti. Direktiivi mahdollisti siis periaatteessa jatkuvan valvonnan jokaiseen verkkoympäristössä toimivaan henkilöön riippumatta siitä, onko hänen toimintansa antanut aihetta minkäänlaiselle rikosepäilylle.

Toinen keskeinen ongelma on se, että vaikka kerättävät tiedot eivät annakaan pääsyä siihen kuuluvan viestinnän sisältöön, voi jo tunnistamistietojen avulla päätellä yksityisyyden piiriin kuuluvista asioista melko paljon. Tietoja yhdistelemällä ja analysoimalla voidaan saada selville yksityiskohtaisia ja arkaluontoisiakin tietoja melkeinpä kenen tahansa elämästä ja toiminnasta. Direktiivissä ei EU-tuomioistuimen mukaan ollut myöskään varauduttu riittävästi tietojen säilyttämiseen liittyviin ilmiselviin riskeihin. Miten voidaan taata, etteivät tiedot joudu vääriin käsiin tai etteivät tiedon saamiseen oikeutetut viranomaiset käytä tietoa muihinkin tarkoituksiin? Entä minkälainen rikos voidaan katsoa direktiivin tarkoittamassa mielessä riittävän vakavaksi oikeuttaakseen tietojen hyödyntämisen?

EU-tuomioistuin totesi ratkaisussaan, että direktiivi puuttuu liiallisesti EU:n perusoikeuskirjan turvaamiin yksityisyyden suojaan (7 artikla) ja henkilötietojen suojaan (8 artikla). Vaikka tällä hetkellä voimassa olevat keskeisimmät tietosuojasäännökset niin kansallisella kuin unionin tasolla ovat peräisin 1990-luvun lopulta ja siten auttamattomasti teknistä kehitystä jäljessä, EU:n perusoikeuskirja ja sen turvaamat jäsenvaltioita sitovat perusoikeudet tukevat siis epäsuorasti mutta tehokkaasti henkilötietojen suojan toteutumista myös vuoden 2014 verkkoympäristössä. EU-tuomioistuin osoittaa ratkaisullaan, että henkilötietojen suoja on perusoikeutena vakavasti otettava ja itsenäinen oikeus, jonka toteuttaminen edellyttää rekisterinpitäjiltä etukäteistä suunnittelua ja riskien huolellista kartoittamista, jatkossa tuntuvien sanktioiden uhalla.

Kumotun direktiivin edellyttämästä tunnistamistietojen säilyttämisestä on Suomessa kansallisella tasolla säädetty erityisesti sähköisen viestinnän tietosuojalaissa. Direktiivin pätemättömyys ei tarkoita sitä, että sen nojalla säädetyt kansalliset lait kumoutuisivat automaattisesti, vaan säännösten mahdollinen uudelleenarviointi on kansallisen lainsäätäjän tehtävä. Tuomion perusteella on kuitenkin ilmeistä, että voimassa olevaa lainsäädäntöä tulee tulkita siten, että unionin perusoikeuksina turvatut yksityisyyden suoja ja henkilötietojen suoja toteutuvat kaikessa verkkoviestinnässä vastapuolen legitiimejä intressejä sivuuttamatta. Perusoikeuksien rajoittaminen on toki edelleenkin mahdollista yhteiskunnallisesti tärkeistä syistä, mutta rajoitusten tulee olla selvästi ja tarkkarajaisesti määriteltyjä ja niiden tulee olla oikeassa suhteessa suojattaviin perusoikeuksiin.

EU-tasolla ollaan parhaillaan valmistelemassa uutta tietosuoja-asetusta, joka on tarkoitus saattaa voimaan lähiaikoina. Asetuksen myötä tietosuojavaatimukset pyritään harmonisoimaan samalle tasolle koko unionin alueella. Tämä aiheuttaa kaikille henkilötietoja käsitteleville organisaatioille myös entistä tarkemmin määriteltyjä velvollisuuksia. Käytännössä organisaatioiden on jatkossa suunniteltava henkilötietojen kerääminen, käsittely ja säilytys huolellisesti etukäteen ottaen huomioon käsittelyn tarkoitus, jonka on oltava oikein suhteutettu yksityisyyden ja henkilötietojen suojaan. Suomessa on lisäksi parhaillaan vireillä Tietoyhteiskuntakaari-nimellä tunnettu lainsäädäntöhanke, jossa mm. tietosuojaa ja sähköistä viestintää koskevat säännökset kootaan saman säädöksen alle. On odotettavissa, että Digital Rights Ireland -tuomio ja EU:n tietosuoja-asetuksen valmistelu vaikuttavat osaltaan myös kotimaisten säännösten uudistamiseen.

Tunnistamistietojen säilyttämistä koskevan direktiivin kumoaminen ei välttämättä vaikuta suoraan henkilötietoja käsittelevien organisaatioiden toimintaan. EU-tuomioistuimen ratkaisu kertoo kuitenkin vahvistuvasta trendistä, jonka mukaisesti sekä EU:n tasolla että kansallisella tasolla on odotettavissa tiukempaa sääntelyä henkilötietojen suojaamisen alalla. Liiketoimintaympäristöstä johtuvat, kaupalliset sekä juridiset riskit kasvavat jatkossa, ja rekisterinpitäjien on syytä varautua näihin hyvissä ajoin.


Salha Hanna (at kpmg fi)
Mikko Viemerö (at kpmg fi)

keskiviikko 16. huhtikuuta 2014

Tuore hallituksen esitys yksityisistä turvallisuuspalveluista

Valtioneuvosto antoi 3.4.2014 eduskunnalle hallituksen esityksen eduskunnalle laiksi yksityisistä turvallisuuspalveluista sekä eräiksi siihen liittyviksi laeiksi (HE 22/2014 vp, jäljempänä ULYTP). Hallituksen esitys löytyy kokonaisuudessaan esimerkiksi sisäasiainministeriön yksityistä turvallisuusalaa koskevan lainvalmisteluhankkeen II vaiheen kotisivuilta.

Tammikuussa 2013 lausunnoille lähetettyä hallituksen esitysluonnosta on virtaviivaistettu karsimalla poikkeusäännöksiä. Toisaalta hankeen tavoitteena oleva alan lainsäädännön selkeyttäminen vaikuttaisi jäävän edelleen HE:ssa todetuin tavoin pääosin lainsäädäntötekniseksi.

Vartioimisliiketoiminta ja uudistetuin termein järjestyksenvalvontatoiminta ehdotetaan nyt säädeltäväksi koottuna yhteen lakiin (ULYTP). Aikaisemmat järjestyslain 22 §:ssä tarkoitetut järjestyksenvalvontatehtävät säädeltäisiin nyt osana järjestyksenvalvontatoimintaa ULYTP:n 28 §:ssä. Järjestyksenvalvontatoiminta ehdotetaan samalla säädettäväksi vartioimisliiketoiminnan tavoin elinkeinoluvanvaraiseksi kokoontumislaissa tarkoitettuja yleisötilaisuuksia ja yleisiä kokouksia lukuun ottamatta. Elinkeinolupaa ei tarvittaisi myöskään niin sanotussa omajärjestyksenvalvonnassa, eli esimerkiksi silloin, jos järjestyksenvalvojat työskentelevät suoraan työnantajanaan olevan ravintoloitsijan palveluksessa.

Hyväksymistä edellyttävien turvasuojaustehtävien hoitaminen edellyttäisi myös jatkossa turvallisuusalan elinkeinoluvan. Uuden määritelmän mukaan hyväksymistä edellyttävällä turvasuojaustehtävällä tarkoitettaisiin sähköisten ja mekaanisten lukitusjärjestelmien, murtohälytysjärjestelmien ja kulunvalvontajärjestelmien asentamista, korjaamista tai muuttamista. HE:n perustelujen perusteella lainsäätäjän voidaankin arvioida huomioineen hyvin HE luonnoksesta 3.1.2013 annetun, tietoturvallisuuden merkitystä korostaneen kritiikin. Elinkeinoluvan piiriä ehdotetaan sen vuoksi laajennettavaksi alan itsensä toivomusten mukaisesti esimerkiksi lukkoliikkeisiin ja sähköisiä turvallisuusjärjestelmiä asentaviin yrityksiin.

Hallituksen esitys sisältää myös useita toiminnallisesti merkittäviä uudistuksia. Ehkä kiinnostavin löytyy HE:n perustelujen rivien välistä: vartioimistehtävien ja järjestyksenvalvontatoiminnan suorittamistapojen sääntelystä luovuttaisiin. Samalla toimeksiantojen, jotka sisältävät yleisen järjestyksen ja turvallisuuden ylläpitämistä koskevia tehtäviä, rangaistavuudesta ehdotetaan luovuttavan. Käytännössä jo nyt varsin vapaasti yhdisteltyjen suorittamistapojen määrittelystä luopuminen ja yleisen järjestyksen ja turvallisuuden ylläpitämistä koskevien tehtävien rangaistavuuden rikoslakirikoksena poistaminen parantanee kilpailuneutraliteettia ja antanee tilaa myös innovatiiviselle tuotekehitykselle.

Toimintatilan antamisen vastapainona HE:ssa on painotettu johdon ja vastaavien hoitajien vastuukysymyksiä. Mahdolliset uudet tehtävätyypit olisikin ohjeistettava hyvin tekijöilleen. Mahdollisuus yhdistää vartioimistehtäviä ja järjestyksenvalvontatoimintaa avannee myös mahdollisuuksia toiminnan tehostamiseksi, kunhan henkilökunnan lakisääteisistä edellytyksistä, kuten henkilökohtaista hyväksymisistä ja koulutuksesta pidetään asianmukaisesti huolta. Eräänä liiketoimintamahdollisuutena avautuisi HE:ssa nimenomaisesti ehdotettu niin sanottu poliisin putkavalvonta, josta aikaisemmin on tehty kokeiluja maakunnissa. Viranomaisten ”tontille” ei kuitenkaan perustuslakimme säännösten vuoksi voisi edelleenkään mennä. Poliisihallituksella olisi ULYTP:n perusteella mahdollisuus peruuttaa turvallisuusalan elinkeinolupa törkeän huolimattomasti tai tahallaan viranomaisperiaatetta (merkittävää julkista valtaa saa käyttää vain viranomaiset) loukkaavilta toimijoilta, jos nämä eivät huomautuksista huolimatta korjaisi toimintaansa.

Vartijoiden ja järjestyksenvalvojien tosiasiallista toimintaa helpottaisivat erityisesti uudet toimivaltuudet. Niitä olisivat vartijoille ehdotettu pääsyn estämistä koskeva uusi oikeus ja poistamisoikeuden kehittäminen vartijan oman päätöksenteon suuntaan sekä rajoitettu mahdollisuus vapauttaa kiinniotettuja henkilöitä ilman poliisille luovuttamista. Järjestyksenvalvojien nykyinen velvollisuus estää henkilön pääsyn toimialueelleen eräissä tilanteissa muutettaisiin oikeudeksi, joka mahdollistaisi niin sanotun kiertävän ja hälytyksen luontoisen järjestyksenvalvonnan. Samalla parannettaisiin esimerkiksi tarjoilijoiden mahdollisuutta toimia järjestyksenvalvojina päätehtäviensä ohessa niin sanottua omajärjestyksenvalvontaa tehdessä. Vanha sanonta, että valta lisää vastuuta, pitää tässäkin paikkansa. Toimivaltuuksien toteutuessa HE:ssa ehdotetulla tavalla kaikkien osapuolten oikeusturva edellyttää laadukasta koulutusta toimivaltuuksien käyttämisestä.

ULYTP on tarkoitettu astumaan voimaan 1.1.2015. Elinkeinolupien hakemisen ja toiminnan jatkamisilmoitusten osalta HE:ssa ehdotetaan Vartioimisliikkeiden osalta kuuden kuukauden ja järjestyksenvalvontatoiminnan sekä turvasuojaustoiminnan osalta kahden vuoden siirtymäaikaa. Turvallisuusalan elinkeinoluvan tuomasta kilpailuedusta, lain avaamista markkinoista tai laadukkaimman toiminnan tuomasta maineesta nauttivat luonnollisesti eniten ensimmäisenä liikkeellä olevat. Kiireisimmät kilpailuttajat saattavat asettaa luvan myös tarjouskilpailuun osallistumisen ehdoksi heti lainsäädännön voimaantulosta alkaen. Hallituksen esitykseen kannattaakin tutustua huolellisesti arvioiden mitä se oman yrityksen toiminnan kannalta tarkoittaa ja mitä mahdollisuuksia se voisi avata.


Tässä artikkelissa esitellyllä ULYTP:n muutoksella olisi yhdessä turvallisuuselvityslakiin ehdotettujen muutosten kanssa merkitystä myös tietoturvarvallisuuden hallinnassa etenkin palvelujen tuottajien mutta myös käyttäjien näkökulmasta. Jatkamme aiheesta myöhemmin asiaan keskittyvällä artikkelilla!

Vesa Ellonen
Puh. 020 760 3125