Ads 468x60px

keskiviikko 21. lokakuuta 2015

Kyberriskien ymmärtäminen – tiedätkö mitä verkossasi liikkuu?

Kirjoitukseni käsittelee tällä kertaa varsin ajankohtaista aihetta, kyberriskejä ja kehittyneitä tietoturvauhkia.

KPMG teki Sveitsissä kyselytutkimuksen 64 kybertietoturva-ammattilaiselle, heidän organisaatioidensa valmistautumisesta ja vastaamisesta kyberuhkiin. Kartoituksen perusteella monissa organisaatioissa on tekemistä asian suhteen, toisilla toimialoilla enemmän. Käyn tässä kirjoituksessa läpi tutkimuksen tuloksia ja avainlöydöksiä.

Ihmisten, prosessien ja teknologian tulee olla tasapainossa
  • 63 % piti yritystään kiinnostavana kyberuhkien kohteena.
  • 53 % mukaan hallitus ajattelee kybertuvallisuuden teknisenä ongelmana.
  • 44 % mukaan hallituksella ei ole keinoja arvioida kyberriskien vaikutuksia liiketoiminnalle.
  • 36 % uskoi työntekijöiden olevan riittävän valveutuneita kyberriskeistä.
  • 45 % vastaajista sanoi, että heillä ei ole suunnitelmia kybertapahtumien varalle. 
  • 31 % yritti ymmärtää, kuinka hakkerit voisivat päästä heidän tietoonsa käsiksi.
  • 50 % isoista yrityksistä ei ole käsitystä kyberuhkien vahingoista.
  • 15 % ei finanssialan toimijoista ja 25 % finanssialan toimijoista tunsivat, että ulkoistus on vähentänyt heidän ymmärrystään, näkyvyyttään ja hallintaansa kyberturvaan.
  • 59 % ei tiedä ymmärtävätkö heidän palveluntarjoajansa kuinka suojautua kyberhyökkäyksiltä.
  • 53 % uskoi pystyvänsä tunnistamaan meneillään olevan kyberhyökkäyksen.
  • 51 % uskoi, että kyberhyökkäyksiä ei voida täysin estää.
  • 14 % oli testannut heidän suunnitelmansa vastata kybertapahtumiin.
  • 76 % uskoi, että kyberturvallisuus ei ole hypetystä, joka tulee laantumaan.
    • 75 % mukaan suurin tekijä kontrollien tehostamisessa on häiriöiden esiintyminen.
    • 95 % mukaan yrityksellä tulisi olla enemmän yhteistyötä ulkopuolisten toimijoiden kanssa, jotta voitaisiin menestyksellisesti taistella kyberrikollisuutta vastaan.
    Haasteita ja huolia asiakasnäkökulmasta

    Asiakkaiden huolena oli yhä kehittyneemmät kohdistetut hyökkäykset. Hyökkääjien kyky yhdistellä erilaisia tekniikoita ja uudistaa strategiaansa. "Meidän pitäisi tiedostaa, että meidät on jo luultavasti murrettu - kuinka hoidamme sen ja minimoimme seuraukset?"

    "Meidän pitäisi keskittyä saamaan kyberturvan perusteet kuntoon, helppokäyttöisyyteen ja havaitsemiseen."

    "Jotkin tietoturvan toimijat myyvät ominaisuuksia sen sijaan, että myisivät ratkaisuja. Sen seurauksena, monet kyberturvan ohjelmat keskittyvät työkalujen toteuttamiseen ja unohdetaan mikä on tarpeellista – muuntaa nämä työkalut ratkaisuiksi."

    "Meidän täytyy keskittyä paremmin uhkatietoon ja älykkyyteen, ei tiukempaan vaatimustenmukaisuuteen. Meidän täytyy parantaa näkemystämme yhdistelemällä tietoa eri lähteistä ja tutkimalla historiatietoa."

    Yritykset näyttävät hapuilevan pimeässä mitä tulee tietoturvainvestoinnin tuottoprosentin arviointiin. 39 % vastaajista ei tarkkaile kyberhyökkäysten kokonaisvahinkoja. Tällainen tiedon puute ei olisi hyväksyttävää monen muun investoinnin suhteen, missä investoinnin tuottoprosentti on avainmittareita päätöksentekijöille. Suurten yritysten keskuudessa luku on jopa korkeampi, 50 % vastaajista ei ole näkemystä vahingoista. Monilta organisaatioilta puuttuu kunnon näkemys pystyäkseen tekemään asiantuntevia päätöksiä kyberturvan suhteen. Jos tehokkaan kyberturvallisuuden puutteen riskit ja vakavat seuraukset pystyttäisiin esittämään rahallisesti – kyberturvallisuuteen panostettaisiin enemmän. Pohjimmiltaan kyberturvallisuus tarkoittaa riskiarvion tekemistä organisaation kuin myös hyökkääjän näkökulmasta, tunnistamalla ja analysoimalla kriittiset kilpailutekijät ja toteuttamalla häiriöihin vastaavan organisaation (Incident Response).
    • 58 % vastaajista sanoi, että IT tietoturva ei raportoi suoraan hallitukselle.
    • 51 % ei pysty tunnistamaan meneillään olevia hyökkäyksiä.
    • 44 % hallituksista ei ole riittävän tietoisia kyberrikollisuuden riskeistä.
    Tietoturvan taso riippuu organisaation heikoimmasta lenkistä. Kyberturva koskettaa kaikkia organisaation työntekijöitä. Kyberturva on asenne, ei osasto. Yritysjohto voi vaikuttaa yleiseen asenteeseen omalla esimerkillään.
    • 48 % sanoi, että työntekijät eivät ole riittävän tietoisia kyberriskeistä.
    • 61 % ilmaisi, että kyberturva on liian teknologiaan keskittynyttä.
    • 31 % sanoi, että ammattilaiset eivät osaa puhua kieltä, jota liiketoiminta ymmärtäisi.
    "Tietoturvabudjettiin tulee yleensä rahaa vasta sitten, kun jotain suurempaa vahinkoa tapahtuu. Silloin kysytään, miksi et tehnyt mitään estääksesi tietomurtoa?”.

    Valitettavasti kyberturvan suhteen häiriöt ovat yhä päätekijä investoinneille (75 % vastaajista oli samaa mieltä). Tämä on selvä merkki siitä, että monet kybertuvallisuusstrategiat ovat reaktiivisia.

    Vaatimustenmukaisuus (Compliance) näyttäisi olevan vallitseva tekijä kyberturvaan investoimisessa. Yli puolet vastaajista (55 %) sanoivat, että vaatimustenmukaisuus ohjaa heidän toimintaansa enemmän kuin tietoturva – sitä tosin käytettiin myös hyödyksi tietoturvatavoitteiden saavuttamiseksi.

    Suurimmat haasteet ja alueet, joista on huolissaan kyberturvan osalta?
    • Kohdistettujen ja ammattitaitoisten hyökkäysten lisääntyneet määrät.
    • Hyökkäysten tunnistaminen, rikollisten löytäminen ja saaminen vastuuseen.
    Useimmat hyökkääjät haluavat saada taloudellista hyötyä, mm. varastamalla luottokorttitietoa, tekemällä hyökkäyksiä verkkopankkien asiakkaisiin tai tekemällä tuottavaa vakoilua kalastelulla.

    Hyökkäyksillä kriittisiin infrastruktuureihin voi olla vakavat seuraukset. Monien yritysten tietoisuus on riittämätön.

    Yhteistyö ja tiedon jakaminen ja vaihtaminen muiden yritysten ja valtion kanssa nähdään tärkeänä. Ilman yhteistyötä on äärimmäisen hankalaa puolustautua yksin uusimmilta hyökkäyksiltä. Sveitsissä suurimpien organisaatioiden kesken järjestetään asian tiimoilta pari kertaa vuodessa työpajoja (workshop). Osallistujat ovat enimmäkseen finanssi, telekommunikaatio ja energiasektorilta. Aiemmin moni ei tohtinut keskustella avoimesti hyökkäyksistä. Nykyään yrittäjät ovat avoimempia ja jopa yhteistyössä suorien kilpailijoidensa kanssa, minkä yritykset näkevät positiivisena kehityksenä.

    Monet yritykset eivät aloita investoimaan kunnes heihin on kohdistettu hyökkäys

    Johto aliarvioi usein kyberaiheen niin pitkään kun häiriöitä ei esiinny. Lisäksi suunnitelmat, esimerkiksi jatkuvuussuunnittelun suhteen, ovat usein riittämättömiä. Sitten ei ole aikaa valmistautua kun hyökkäys tapahtuu. Katastrofisuunnitelmat, tiedostussuunnitelmat yms. täytyy tehdä etukäteen.

    Johtopäätöksiä, ajatuksia tutkimuksen pohjalta ja rinnastusta Suomalaiseen yhteiskuntaan
    • Tiedon ja näkemyksen puute. Uutisia ja alan julkaisuja seuraavien pitäisi olla tietoisia kyberuhkista ja niiden mahdollisuudesta oman organisaation suhteen. Monet kuitenkin ajattelevat, että ei koske meitä – emme ole tarpeeksi kiinnostava kohde. Kuitenkin, jokaisessa organisaatiossa on jotain kiinnostavaa tietoa, mistä voidaan hyötyä taloudellisesti, imagollisesti, saada liikesalaisuuksia, tietoa millä voidaan kiristää, jne. Tarvitaan tietoisuuden lisäämistä koko organisaatiossa ja johdon sparrausta. Säännöllisiä tietoturvakoulutuksia, tietoiskuja, materiaaleja. Ihminen on edelleen se heikoin lenkki. Liian moni lankeaa esim. sähköpostin välityksillä tapahtuviin kohdistettuihin hyökkäyksiin (kuten Spear Phishing), joiden vaikutusten määrää voitaisiin vähentää paremmalla tietoisuudella.
    • Osaaminen ja resurssointi. Vaikka monet nykyajan järjestelmät ovatkin hyviä, ei niihin voida yksin tukeutua, vaan vaaditaan osaamista ja asiaan perehtynyttä henkilöstöä. Riittävästä resurssoinnista tulee pitää huoli. Ensisijaisille asiantuntijoille tulee olla myös varahenkilöt riittävin tiedoin, taidoin ja pääsyin varustettuna - ympäristöt eivät saa olla yhden henkilön varassa. Ympäristöjä ylläpitävien ja kehittävien riittävästä ammattitaidosta on pidettävä huolta jatkuvalla kouluttautumisella, seminaareihin osallistumisella ja alan päivittäistä uutisointia seuraamalla. Automaatiota voidaan ja tietyissä asioissa pitääkin rakentaa, mutta tietoturvaa ei voida täysin automatisoida - kunnon asiantuntevaa tietoturva-ammattilaista ei voida koneilla korvata.
    • Havainnoinnin puute. Mantra, mikä tulee mitatuksi, tulee hallittavaksi, ansaitsee enemmän huomiota. Tutkimukseen vastanneista, joku sanoi, että "meidät on luultavasti jo murrettu" - asia tiedostetaan, mutta varmaksi ei voida sanoa, kun asianmukaiset mittarit puuttuvat. Oman näkemykseni mukaan monissa Suomalaisissa organisaatioissa käytetään pitkälti vielä perinteisiä tietoturvaratkaisuja. Kehittyneiden uhkien havainnointikykyä tulisi parantaa. Markkinoilla on havainnointiin ja reagointiin monia kehittyneitä ja monipuolisia ratkaisuja, joita saa myös palveluna. Löytyy esim. DDoS-suojauksia, verkkotason APT-skannausratkaisuja, haavoittuvuusskannauksia, murtotestauksia, jne. Uuden ajan palomuurituotteissakin on moniin yrityksiin soveltuvia riittäviä ominaisuuksia.
    • Tilannekuva ja lokitus. Omia järjestelmiä ja verkkoja tulee valvoa aktiivisesti ja reagoida havaittuihin löydöksiin välittömästi, niistä yrityksen johtoa asianmukaisesti tiedottaen ja ajan tasalla pitäen. Monilta yrityksiltä puuttuu tietoturvan tilannekuva ja näkymä, jonka avulla voitaisiin nähdä yrityksen tietoturvan tämänhetkinen tila ja pystyttäisiin paremmin reagoimaan ja kehittämään toimintaa. Joillakin palveluntarjoajilla voi olla (ja toivottavasti onkin) oma näkymänsä tapahtumiin, mutta myös asiakkailla olisi tarve saada oma, ymmärrettävä asiakasnäkymä reaaliaikaisena. Jotta tilannekuvan muodostamiselle olisi edellytykset, järjestelmien tulisi kirjoittaa lokia keskitettyyn paikkaan (esim. SIEM) ja tulisi olla ratkaisu, joka kykenee tekemään kaikesta tiedosta korrelaatiota. Lokit tulisi myös säilöä tarpeeksi kauan, jotta jo mahdollisesti tapahtuneita tietomurtoja voidaan jälkikäteen tehtyjen havaintojen pohjalta tutkia.
    • Valmistautumisen puute. Monilta yrityksiltä puuttuvat prosessit, suunnitelmat ja ohjeet eri poikkeus -ja häiriötilanteisiin - saati, että oltaisiin testattu niiden toimivuutta. Prosessit ja toimintatavat tulisivat olla valmiina mietittynä ja sovellettavissa kulloiseenkin tilanteeseen. Kun ongelmat ja paniikki on päällä, ei ole aikaa miettiä, miten tulisi menetellä. Ennalta tarkkaan mietityt ja käytössä olevat menetelmät auttavat selkeyttämään tilannetta ja mahdollistavat tehokkaan, kontrolloidun toiminnan. Tämä on tärkeää myös siksi, että ei tuhota mahdollista todistusaineistoa, eikä paljasteta vastapuolelle, että heidät on huomattu. Toiminnan parantamisessa, häiriötilanteiden ja niihin reagoimisen testaamisessa kannattaa miettiä myös ulkopuolisen arviointilaitoksen käyttämistä, joka voi testata ja arvioida yrityksen kyberturvaan varautumisen tasoa auditoinneilla ja testeillä (esim. Red teaming).
    • Strategia ja riskiarvio. Kyberriskit tulisi ottaa huomioon jatkuvuuden hallintaa, riskiarviota ja strategiaa tehtäessä ja tunnistettava kyberriskien merkitys organisaation toiminnalle. Uhkien vaikutusta on arvioitava yrityksen palveluiden ja järjestelmien toimintakykyyn. Tietoturva tulee saada lähemmäksi yrityksen johtoa, jotta siihen ollaan sitoutuneita, kiinnitetään asiaan enemmän huomiota ja se on tehokasta. Liian monissa organisaatioissa tehdään ainoastaan se, mikä on välttämätöntä, jotta saavutettaisiin vaatimustenmukaisuus (Compliance) - kyberriskien suhteen tämä taso ei riitä.
    • Yhteistyö ja tiedon jakaminen. Kuten tutkimuksen vastauksista kävi ilmi, yritysten mielestä pitäisi olla enemmän oman yrityksen ulkopuolista yhteistyötä, jotta voidaan menestyksellisesti taistella kyberrikollisuutta vastaan. Olen täysin samaa mieltä. Tietoturvan suhteen tiedon pimittäminen ei ainakaan edistä yhteistä hyvää. Uskoisin kaikkien yritysten hyötyvän rajat ylittävästä yhteistyöstä, uhkatiedon jakamisesta ja saamisesta sekä tiedon jakamisesta yritysten kesken, hyväksi havaittujen menetelmien ja käytäntöjen suhteen.
    • IRT (Incident Response Team). Organisaatioiden tulisi tiedostaa, että mitkään tekniset menetelmät eivät ole täysin aukottomia, jokaisesta suojauksesta voidaan tulla läpi. Yrityksellä tai palvelun tarjoajalla ei välttämättä ole omaa koulutettua henkilöstöä tai osaamista häiriötilanteisiin vastaamiseen, forensiikan ammattilaisia. Kyberhyökkäyksen tapahtuessa myös niihin vastaamiseen tulisi olla valmiudet ja asia tulisi huomioida suunnitelmia tehtäessä. Tietovuodon tai rikoksen tapahtuessa on monia kysymyksiä vailla vastausta, esim.
      • mistä hyökkäys tuli ja mitä hyökkääjästä tiedetään
      • miksi hyökkäys kohdistettiin meihin
      • miten hyökkäys tehtiin
      • mitä tietoa on kadonnut ja minne
      • onko joitain tietoja muutettu
      • onko tietoa hävinnyt lopullisesti vai saadaanko sitä palautettua
      • minne kaikkialle hyökkääjä on liikennöinyt, onko muita murrettuja/saastuneita koneita
      • onko hyökkäys ohi vai onko se vielä meneillään
      • onko tapahtuneesta todistusaineisto
      • miten tapahtunutta voidaan tutkia hyökkääjän huomaamatta
      • miten tilanteesta toivutaan ja palaudutaan normaaliin tilaan
      • miten voimme jatkossa välttyä vastaavalta
    Yksi asia on varma, kyberuhat tulevat lisääntymään tulevaisuudessa merkittävästi. IoT (Internet of Things) myötä yhä useampi laite on yhteydessä julkiseen verkkoon. Reaktiivisuus ei riitä, proaktiivisuus ja ennustettavuus ovat päivän sanoja.

    Jos Suomessa tehtäisiin vastaava tutkimus, niin uskoisin vastausten olevan aika samansuuntaisia. Moni yritys sanoisi tietävänsä mitä yrityksen verkossa liikkuu, mutta jos asian todellinen laita selvitettäisiin kehittyneillä ratkaisuilla - olen 100% varma, että todellisuus olisi toinen suurimmassa osassa organisaatioita - kokemus voisi olla valaiseva.

    Aiheeseen liittyen - KPMG on ostanut osuuden cyberturvallisuuden uhka analyyseja ja live feedejä tuottavasta Norse Corpista. Hankinta mahdollistaa KPMG:n asiakkaille erilaisten kyberuhkien paremman torjumisen jo etukäteen. Hankinta täydentää KPMG:n olemassa olevia kyberturvallisuuden palveluita, jotka tähän mennessä ovat keskittyneet lähinnä erilaisten kyberturvallisuuden ongelmien löytämiseen ja korjaamiseen sekä hyvän kyberturvallisuuden ylläpitoon. Nyt tähän palveluvalikoimaan tulee komponentti, joka täydentää kokonaisuutta mahdollistamalla myös predikatiivisen varautumisen.

    maanantai 19. lokakuuta 2015

    Hakkerit tekivät 100 miljoonan dollarin tuotot vakoilemalla uutispalveluita Wall Streetillä


    Keväällä 2015 paljastui, että hakkerit olivat tunkeutuneet maailman suurimpien pörssiuutissivustojen tietojärjestelmiin ja saivat käsiinsä sisäpiiritiedoksi luokiteltavaa materiaalia, kuten tulosilmoituksia ja -varoituksia, ennen tiedon virallista julkistamista. Tietojen avulla oli mahdollista ennustaa osakekursseja ja näitä tietoja hakkerit joko myivät eteenpäin tai käyttivät suoraan hyväksi arvopaperikaupassa. Tämä toi asianomaisille 100 miljoonan dollarin tuotot globaalisti.

    perjantai 16. lokakuuta 2015

    Unohdin salasanani ja kuinkas kävikään...

    Ajattelin mennä kokeilemaan tänään uutta liikuntalajia. Ajatus on ollut mielessäni jo pidemmän aikaa, ja olin rekisteröityt käyttäjäksi jo keväällä. Tunnille ilmoittautuminen edellytti sisäänkirjautumista ja olin jo ehtinyt unohtaa salasanani. Syötin sähköpostiosoitteeni unohtuiko salasanasi -kenttään ja hetken kuluttua sainkin sähköpostia, jossa minulle ilmoitettiin salasanani. Siis salasana, jonka olin keväällä järjestelmään syöttänyt ja johon pitäisi olla vain minulla pääsy.

    torstai 15. lokakuuta 2015

    KPMG on ostanut osuuden cyberturvallisuuden uhka-analyyseja ja live feedejä tuottavasta Norse Corpista



    KPMG on ostanut osuuden cyberturvallisuuden uhka analyyseja ja live feedejä tuottavasta Norse Corpista.

     Hankinta mahdollistaa KPMG:n asiakkaille erilaisten kyberuhkien paremman torjumisen jo etukäteen. Hankinta täydentää merkittävällä tavalla KPMG:n olemassa olevia kyberturvallisuuden palveluita, jotka tähän mennessä ovat keskittyneet lähinnä erilaisten kyberturvallisuuden ongelmien löytämiseen ja korjaamiseen sekä hyvän kyberturvallisuuden ylläpitoon. Nyt tähän palveluvalikoimaan tulee komponentti, joka täydentää kokonaisuutta mahdollistamalla myös predikatiivisen varautumisen.

     Norse serves the world’s largest financial, government and technology organizations to help them block the threats other systems miss and improve the performance, catch-rate and return on investment of their security infrastructure.

    We now have a turnkey “early-warning-as-a-service” that helps large financial services firms and government agencies quickly identify compromised systems, spot malicious activity and track attacks while they’re underway. Norse solutions are enabled by the Norse Intelligence Network, a proprietary live-threat network composed of more than 16 million Norse-owned IP addresses housed in more than 200 data centers across 50 countries.

    perjantai 9. lokakuuta 2015

    Euroopan unionin tuomioistuimen Schrems-ratkaisu ravistelee henkilötietojen siirtojen perusteita EU:n ja Yhdysvaltojen välillä


    Euroopan unionin tuomioistuin (EUT) antoi henkilötietojen siirtoa Yhdysvaltoihin koskevan mullistavan ratkaisun 6. lokakuuta 2015 tapauksessa Schrems (C-362/14). Ratkaisussaan EUT totesi, että Yhdysvaltojen ja EU:n sopimukseen perustuva Safe Harbor -järjestelmä, jonka puitteissa on tähän asti voitu siirtää henkilötietoja EU:n alueelta Yhdysvaltoihin, ei takaa riittävää tietosuojan tasoa. EUT totesi myös pätemättömäksi Euroopan komission aiemman päätöksen, jossa katsottiin tietosuojan tason olevan riittävä silloin, kun henkilötiedot siirretään Safe Harbor -järjestelmän puitteissa. Tuomioistuimen ratkaisun vaikutukset ovat vielä osin epäselvät, mutta on selvää, että EUT:n uusi tulkinta vaikuttaa kaikkien niiden toimijoiden toimintaan, jotka siirtävät henkilötietoja EU:sta Yhdysvaltoihin. Uuden tulkinnan seurauksena sopimukset, käytänteet ja vaatimus henkilötietojen käsittelyn huolellisesta suunnittelusta korostuvat entistä enemmän. 

    Henkilötietojen siirto EU:sta Yhdysvaltoihin on aiemmin perustunut Safe Harbor -menettelyyn
    Henkilötietojen siirtäminen EU:n alueelta Yhdysvaltoihin on tähän EUT:n ratkaisuun asti ollut mahdollista Euroopan komission päätöksen 2000/520 nojalla. Tässä päätöksessään komissio totesi, mitkä EU:n tai ETA:n ulkopuoliset valtiot takaavat riittävän tietosuojan tason siten, että niihin voidaan siirtää henkilötietoja EU:n alueelta ilman erillisiä takeita. Henkilötietojen siirto Yhdysvaltoihin on komission päätöksen mukaan ollut mahdollista silloin, kun tietoja vastaanottava yhtiö on sitoutunut ns. Safe Harbor -järjestelmän puitteissa noudattamaan tämän järjestelmän periaatteita. Vuonna 2013 Edward Snowdenin paljastusten jälkeen kävi kuitenkin ilmi, että mm. myös Safe Harboriin rekisteröityneet yhtiöt ovat olleet osallisina Yhdysvaltain viranomaisten harjoittamassa laajamittaisessa tiedustelutoiminnassa ja siten myös niihin EU:sta siirretyt henkilötiedot ovat olleet Yhdysvaltain PRISM-tiedusteluohjelman kohteina. EUT:n tutkittavaksi tulikin Schremsin valituksen kautta, takaako Safe Harbor näiden uusien tietojen valossa EU:n tietosuojadirektiivissä (95/46/EY) tarkoitettua riittävää tietosuojan tasoa silloin, kun EU:n alueelta siirretään henkilötietoja Yhdysvaltoihin.

    Euroopan unionin tuomioistuimen ratkaisu muuttaa tilanteen henkilötietojen siirroissa
    EUT katsoi nyt antamassaan ratkaisussa ensinnäkin, että aiempi komission päätös, jossa henkilötietoja saatiin siirtää Safe Harbor -järjestelmän puitteissa Yhdysvaltoihin, ei ole pätevä. Perusteluissa EUT toteaa mm., että komission päätös mahdollisti sellaisen Yhdysvaltain viranomaisten puuttumisen henkilötietojen siirron kohteena olevien ihmisten EU:n oikeudessa turvattuihin perusoikeuksiin tavalla, joka ylitti sen, mikä olisi ollut oikeutettu kansallisen turvallisuuden suojelemisen intressissä. EUT katsoi edelleen, että EU:n jäsenvaltion kansallisella tietosuojaviranomaisella on komission päätöksestä huolimatta yhä itsenäinen oikeus tutkia, toteutuuko riittävä tietosuojan taso sellaisessa kohdemaassa, johon siirretään tietoja EU:n alueelta. Näin ollen EUT:n antaman ratkaisun seurauksena Irlannin tietosuojaviranomaisen on tutkittava Schremsin Facebookia kohtaan esittämä väite siitä, että hänen henkilötietonsa eivät ole riittävällä tavalla suojatut Facebookin siirtäessä hänen tietojaan EU:n alueelta Yhdysvaltoihin.

    Ratkaisun merkitys suomalaisille organisaatioille
    EU:n alueella toimii useita yhdysvaltalaisia internet-yhtiöitä, jotka siirtävät jatkuvasti suuria massoja eurooppalaisten henkilötietoja käsiteltäväksi niiden Yhdysvalloissa sijaitseville palvelimille Safe Harbor-järjestelmän puitteissa. Koska henkilötietojen siirto nykymuotoisen Safe Harbor -järjestelmän puitteissa ei enää Schrems-ratkaisun johdosta näytä olevan mahdollista, riittävä tietosuojan taso on saavutettava muilla keinoin, jotta siirto voidaan toteuttaa. Vaikka EUT:n arvioitavana oleva tapaus koskee nimenomaan Facebookia, ratkaisun merkitys kohdistuu myös muihin EU:n alueelta Yhdysvaltoihin henkilötietoja siirtäviin yhtiöihin, kuten esimerkiksi Googleen, Microsoftiin, Appleen ja muihin yhdysvaltalaisiin palveluntarjoajiin.

    Schrems-ratkaisulla on yksittäisten internetpalvelujen käyttäjien lisäksi vaikutusta myös suomalaisiin yrityksiin, jotka siirtävät henkilötietoja Yhdysvaltoihin esimerkiksi yhdysvaltalaisen alihankkijan käsiteltäväksi. Kuten todettu, EUT totesi ratkaisussaan, ettei tietojen siirtäminen EU:sta Yhdysvaltoihin enää ole mahdollista Safe Harbor -järjestelmän puitteissa eli nojautuen komission päätökseen 2000/520, johon viitataan myös henkilötietolain 22a §:ssa. Siksi ratkaisun jälkeen riittävä tietosuojan taso on taattava muilla direktiivissä ja henkilötietolaissa säädetyillä keinoilla. Tällaisista poikkeusperusteista on säädetty henkilötietolain 23 §:ssä ja niihin kuuluvat mm. komission vahvistamien ennalta määrättyjen mallisopimuslausekkeiden käyttäminen tai riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta takaavien sopimuslausekkeet käyttäminen rekisterinpitäjän ja siirronsaajan välillä.

    Henkilötietojen siirto ns. kolmanteen maahan on näiden poikkeusperusteiden mukaisesti yhä mahdollista myös silloin, jos kaikki rekisteröidyt antavat yksiselitteisen ja informoidun suostumuksensa henkilötietojensa siirtoon. Näyttää siltä, että tällainen kvalifioitu rekisteröidyn suostumus on EUT:n ratkaisun seurauksena käytännössä toistaiseksi varmin keino varmistaa tiedonsiirron laillisuus. Koska suostumusten kerääminen voi kuitenkin käytännössä osoittautua hankalaksi, yritysten olisikin suositeltavaa tarkistaa henkilötietojen siirtoa koskevat sopimusehtonsa yhdysvaltalaisten palveluntarjoajien kanssa ja tarvittaessa ryhtyä neuvotteluihin ja muihin toimiin riittävän tietosuojan takaamiseksi. 

    Salha Hanna
    Mikko Viemerö
    Ilkka Vuorenmaa