Ads 468x60px

perjantai 30. syyskuuta 2016

EU:n tietosuoja-asetus ja tietoturvallisuuden johtaminen, osa 3


Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

3. Osa Henkilötiedon ja tietoturvallisuuden hallinta

Blogitekstien sarjan edellisissä osissa on käsitelty sekä henkilötietojen tunnistamista ja niiden suhdetta tietoturvallisuuteen että henkilötietoihin kohdistuvien riskien hallintaa. Kenties haastavinta koko tietosuoja-arkkitehtuuria mietittäessä on tietoturvaloukkauksen esille tuominen ja tunnistaminen sen jälkeen kun tiedetään missä henkilötietoja sijaitsee ja käsitellään. Miten tunnistaa tietoturvaloukkaus?

Asetuksen mukaan tietoturvaloukkauksesta tulee pystyä kertomaan mitä on tapahtunut, miksi, keihin tietoturvaloukkaus kohdistuu ja mitä henkilötietoja loukkaus koskee. Lisäksi on dokumentoituna löydyttävä tietoa siitä mitä toimenpiteitä on tehty aikaisemmin, jotta tietoturvauhkaa on pienennetty, mitä toimenpiteitä on esitetty tehtävän, mutta ei ole toteutettu ja mitä seurauksia niille henkilöille mahdollisesti aiheutuu, joiden yksityisyyttä on loukattu.

On sanomattakin selvää, että on eri asia, onko loukkauksen kuten tietovuodon tai –varkauden kohteena esimerkiksi luottokorttitietoja tai turvakiellossa olevan henkilön osoitetietoja vai julkisesti muutenkin esimerkiksi somesta saatavia tietoja. Silti henkilötiedon keräämisen ja käsittelyn käyttötarkoituksen tulee osaltaan vaikuttaa siihen, miten tietoja suojataan samalla kun pohditaan mitä tietoja suojataan. On syytä myös kiinnittää huomiota siihen, voiko usean heikommin suojatun henkilörekisterin tiedoista saada luotua arkaluontoisen ja jopa henkilön oikeuksia vakavasti loukkaavan tiedon?

Blogitekstien sarjan ensimmäisessä osassa pohdittiin henkilötietojen ja -rekisterien tunnistamista. Kun nämä suojattavat kohteet ovat tiedossa ja tietoihin kohdistuvat uhat arvioitu, on toteutettava perusturvallisuustaso, jolla taataan tietojen luottamuksellisuus, eheys ja saatavuus. Eivätkä perusturvallisuuden vaatimukset koske pelkästään henkilötietoja vaan kaikkea toiminnalle tärkeää tietoa eli sitä tietopääomaa, miksi yritys tai organisaatio on olemassa.

Perinteisesti tietoturvallisuutta on toteutettu verkkoa suojaamalla, estämällä haittaohjelmien toimintaa ja laitteita turvaamalla. Edellisten lisäksi henkilötietoja suojattaessa on kiinnitettävä huomiota erityisesti käyttöoikeuksiin ja pääsynhallintaan. Koska henkilötiedolle tulee määritellä käyttötarkoitus, täytyy myös määritellä, keillä on työtehtäviin perustuva oikeus päästä henkilötietoon käsiksi ja muuttaa sitä. Lisäksi on pohdittava, annetaanko rekisteröidylle eli henkilölle itselle oikeus ylläpitää ja muuttaa tietoa ja miten varmistetaan, että tietoa muuttava henkilö on juuri rekisteröity itse.

Tietosuoja-asetus korostaa läpinäkyvyyttä, selkeyttä ja ymmärrettävyyttä rekisteröidyn suuntaan, joten oikeuksien toteutumisen kannalta myös tietoturvakeinojen tulee olla viestittävissä käyttäjille. Erityisesti selkeystarve korostuu silloin kun tuotetaan palvelua alaikäisille lapsille. Huoltajan roolin toteuttaminen ja suostumuksen hallinta palvelun käyttöä varten on keskeistä, jotta lapsen oikeus turvalliseen palveluun toteutuu.

Henkilötietojen elinkaaren aikana korostuu jatkuvien palvelujen osuus, etenkin silloin kun tietojenkäsittelyresurssia ostetaan kumppanilta. On huolehdittava siitä, että lokia kerätään riittävästi tietoturvaloukkausten havainnointia ja selvittämistä varten, epäilyttävistä tapahtumista saadaan hälytyksiä ylläpitäjille, henkilötietoja varmistetaan ja varmistettua tietoa pystytään myös palauttamaan eheäksi kokonaisuudeksi käyttäjille. Sopimuksissa tulee sopia menettelyt tietoturvaloukkauksista ilmoittamiselle, vastuut ja suunnitella palautuminen ennalta, mikäli pahin tapahtuu.

Tietosuoja-asetus määrää myös henkilötietojen osalta arvioimaan tarvitaanko henkilötiedoille lisäsuojaa. Se voidaan toteuttaa esimerkiksi salaamalla henkilötietoja, tietojen anonymisoinnilla eli henkilötiedon muuttamisella siten, ettei yksittäistä henkilöä pysty tunnistamaan, korvaavien pseudonyymien käytöllä tai kerättävän tiedon minimoinnilla. Suositeltavaa toki on, että lisäsuoja-arvio tehdään silloin kun henkilötietojen keruuta ja käsittelyn käyttötarkoitusta aletaan suunnitella. Siten toteuttaminen käytännössä on helpointa ja halvempaa verrattuna tuotannossa olevaan tietoon tehtäviin lisäsuojauksiin.

Tietoturvaloukkauksen tapahtuessa juuri lisäsuojakeinot otetaan arvioon kun mietitään rekisteröidylle aiheutuvaa loukkauksen vaikutusta. Mikäli tieto on ollut vahvasti salattua, muutettua tai minimoitua, voidaan olettaa että hyökkääjän saama hyöty tiedosta on pieni, jolloin seuraukset jäävät lievemmiksi. Lisäsuojakeinot ovat siten ennaltaehkäisyä ja osa jatkuvuuden hallintaa.

Tietosuojan ja tietoturvallisuuden vastuuhenkilöiden yhteistyön niin sisäisesti kuin kumppanien kanssa on hyvä olla saumatonta, jotta tällä tasolla pystytään tietosuojaa ja tietoturvallisuutta hallitsemaan. Tehokas toiminta tarvitsee yhteiset periaatteet ja ohjeet, koulutusta, toiminnan ja prosessien yhteen viilaamista ja testaamista sekä asioiden dokumentointia kirjallisissa sopimuksissa. Osassa organisaatioita on perustettu erillisiä, säännöllisesti kokoontuvia tietosuojan ohjaus- tai seurantaryhmiä ottamaan kantaa tärkeisiin henkilötietojen käsittelyä koskeviin kysymyksiin ja tekemään päätöksiä.

Blogitekstien seuraavassa neljännessä osassa käsitellään tarkemmin ulkoistusten ja kumppanien hallintaa tietosuojan ja tietoturvan näkökulmasta. Viimeinen viides osa tarkastelee vielä tietosuojan testaamista, seurantaa ja valvontaa.

tiistai 6. syyskuuta 2016

Tietoturvaguruksi Cyber Academyssa

Heipsan,
Minä olen myös uusi kasvo KPMG:llä!

Valmistuin vuonna 2014 lakiekonomiksi Vaasan yliopistosta ICT-juridiikan linjalta. Jottei valmistumisen jälkeen olisi ollut “liikaa” vapaa-aikaa työelämän ohella, päädyin sitten vielä jatko-opiskelijaksi. Tällä hetkellä väitöskirjaprojektini Vaasan yliopiston talousoikeudellisen informaation tutkimusryhmässä on puolessa välissä, tutkimusaiheenani on organisaatioiden tietoturva ja lainsäädäntö. Taustastani johtuen, hakeminen KPMG:n Cyber Academyyn oli luonteva uravalinta ja mahdollisuus, jonka ohitse en voinut kulkea.

Olen onnellinen valinnoistani, sillä tällä hetkellä olen unelmaduunissani. Kuulun cyber-yksikössämme hallinnolliseen tietoturvatiimiin. Työtehtävät ovat vaihtelevia ja minusta tuntuu, että jokainen päivä on erilainen. Työn ohella on myös paljon koulutuksia, jotka tukevat työssä oppimista. Lisäksi meillä on mahdollisuus suorittaa ammattisertifikaatteja. Ja mikä parasta: Työyhteisö on huikea. Täällä on hyvä yhteishenki ja työnteossa on pilke silmäkulmassa, minkä takia työpaikalla viihtyy hyvin. Työkavereiden kanssa on kiva viettää aikaa myös vapaa-ajallakin, itse olen ehtinyt jo muun muassa osallistumaan työporukan Tallinnan reissulle.

Kolme viikkoa on mennyt nopeasti. Odotan innolla syksyn tuomia uusia haasteita ja toivon oppivani paljon uutta ja kehittyväni ajan kuluessa oikeaksi kyberguruksi!

perjantai 2. syyskuuta 2016

EU:n tietosuoja-asetus ja tietoturvallisuuden johtaminen, osa 2

Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

2. Osa Tietosuojariskien hallinta tietoturvallisuuden keinoin

Kuten edellisessä blogikirjoituksessa avattiin, tietosuoja-asetuksen lähtökohtana on riskiperustaisuus, jonka mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaava turvallisuustaso. Jokaisen henkilötietoja käyttävän, keräävän ja käsittelevän yrityksen ja organisaation tulee siis toteuttaa tietosuojauhasta riskiarvio, jossa arvioidaan luonnollisille henkilöille tapahtuvia fyysisiä, aineellisia tai aineettomia vahinkoja, kuten ”omien henkilötietojen valvomiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoitumisen luvaton kumoutuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa.” Lainaus on tietosuoja-asetuksen perustelusta ja osoittaa, että torjuttava riski henkilön oikeuksiin ja vapauksiin kohdistuvana on laaja ja vaatii hyvän perusturvallisuustason toteutuakseen.

Tietosuoja-asetuksen määritelmä tarkoittaa ”’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin”. Riskin toteutuminen aiheuttaa siis henkilötiedon tietoturvaloukkauksen ja mahdollisia aineellisia, aineettomia tai taloudellisia seurauksia luonnolliselle henkilöille.

Tietosuojariskiä arvioitaessa on otettava huomioon, että riskiarvio tulee ulottaa koskemaan kaikkia niitä henkilön yksilöiviä tietoja, joista yksilö on suoraan tai epäsuorasti tunnistettavissa. Lisäksi tietoturvaloukkaukseksi katsotaan tilanne, jossa tahattomasti ja vahingossa käsitellään henkilötietoja väärin. Ennaltaehkäisy ja suojamekanismien toteuttaminen ei ole yksinkertaista kun suojataan mitä tahansa asiaa vahingon tapahtumiselta. Voisi ajatella, että tehokkainta on toteuttaa vankka tietosuoja- ja tietoturvataso niihin henkilötietoryhmiin ja käsitteleviin järjestelmiin, joissa eniten henkilötietoja käsitellään tai joissa käsitellään arkaluonteista henkilötietoa. Olennaiseen osaan nousee tietoturvallisuuden kokonaisarkkitehtuuri sekä se, miten paljon organisaatiossa toimintaa pyöritetään organisaation ulkopuolisella tai epävirallisella ”varjo-IT:llä” ja henkilötietojen käsittelyä tapahtuu keskitetyn hallinnan ulkopuolella.

Toisaalta mikäli henkilöstö ymmärtää henkilötietojen käsittelyn hyvät käsittelytavat, on ohjeistettu ja koulutettu huolellisesti, ymmärtää riskit ja tahallinen väärinkäytös on sanktioitu työsopimuksessa ja kirjallisissa pelisäännöissä, tahattoman vahingon riski pienenee vaikka henkilötietoja valuisikin virallisten järjestelmien puolelle. Tärkeintä tällöinkin on varmistaa, kenellä on pääsy henkilötietoon ja miten tieto on suojattu ulkopuolisilta sekä miten saadaan tietoa siitä, että henkilötietoon pyritään tai sitä käytetään oikeudettomasti.

Edellä mainituista tietoturvaloukkausesimerkeistä on syytä nostaa esiin vielä henkilötietojen häviäminen kun ajatellaan mukana kannettavia mobiililaitteita. Niitä ei yleensä ole otettu mukaan organisaation normaaliin päätelaitehallintaan, mutta uhka tiedon vuotamiselle esimerkiksi älypuhelimen kautta saattaa olla jopa suurempi kuin organisaation sisäverkosta. Puhelimessa kulkevat mukana yhteystiedot ja sähköpostit sekä niihin asennetaan sovelluksia, joiden valmistajasta tai henkilötietojen käsittelymaista ei ole tietoa puhumattakaan siitä, että joku lukisi käyttöehdot...

Uhan arviointi ja suojakeinojen toteuttaminen on balanssin löytämistä riskin toteutumisen aiheuttamien menetysten ja suojakeinojen kustannusten välillä. On päätettävä (ja kirjallisesti dokumentoitava), miten paljon riskiä yritys tai organisaatio sietää, mitä riskejä torjutaan ja mitä hyväksytään, ja kuka päätöksen on tehnyt. Jäännösriskiä voidaan seurata tiheämmällä aikavälillä kuin niitä, jotka ovat jo hallinnassa esimerkiksi organisaation kehitysohjelman kautta. Henkilötietojen ja tietosuojauhkien ollessa kyseessä on tärkeää, että johto tietää tilanteen tosiaikaisesti, jotta mahdollisen tietoturvaloukkauksen tapahtuessa siihen voidaan reagoida ja vaikutukset toiminnalle jäävät mahdollisimman vähäisiksi. Siksi riskiarvion yhteydessä on syytä pohtia myös raportointiprosessia ja jatkuvuuden hallintaa.

Eikä riskeistä ja tietoturvaloukkauksista puhuttaessa voi unohtaa ilmoitusvelvollisuuden toteuttamisen prosessia. Mikäli tapahtuu henkilötietoon kohdistuva korkea tietoturvaloukkaus, siitä tulee ilmoittaa valvontaviranomaiselle sekä henkilölle, jonka tietoja loukkauksen kohteena on. Ennaltaehkäisynä mahdollisille sanktioille ja vahingonkorvauksille toimii ainoastaan määrämuotoinen ja hallittu tietosuojan ja tietoturvallisuuden hallintamalli, joka kattaa koko organisaation tietosuoja- ja henkilörekisteriarkkitehtuurin. 


Blogitekstien seuraava kolmas osa keskittyy tietoturvaloukkauksen tunnistamiseen ja henkilötietojen suojaamiseen, neljäs osa tulee pureutumaan kumppaneihin ja tietojen siirtoon, ja viimeisessä viidennessä osassa tarkastellaan tietosuojan testaamista, seurantaa ja valvontaa.

EU:n tietosuoja-asetus ja tietoturvallisuuden toteuttaminen

Viiden blogitekstin sarjassa käsitellään toukokuussa 2018 voimaantulevaa Euroopan Unionin tietosuoja-asetusta, joka sääntelee henkilötietojen käsittelyä ja tietoturvallisuutta myös Suomessa. Tekstien näkökulma painottuu tietoturvallisuuden hallinnan kysymyksiin henkilötietojen suojaa toteutettaessa.

1. Osa Henkilötiedot ja tietojen suojaaminen

Huhtikuussa tapahtunut EU:n tietosuoja-asetuksen hyväksyntä on uutisoitu usealla rintamalla ja siitä keskustellaan paljon alan ammattilaisten kesken. Mutta kun olen keskustellut henkilötiedoista, tietosuojasta tai henkilötietojen turvaamisesta tuttavieni, pk-yrittäjien, yritysten tai julkishallinnon työntekijöiden kanssa, on tullut eteen tilanteita, joissa henkilötietojen käsittelyyn liittyviä velvollisuuksia tai yksityisten ihmisten oikeuksia ei tunnisteta eikä niiden ymmärretä koskevan myös omaa yritystä tai organisaatiota.

Henkilötietoja ovat sekä voimassaolevan henkilötietolain että uuden tietosuoja-asetuksen näkökulmasta kaikki ne tiedot, joista yksittäinen ihminen on tunnistettavissa joko suoraan tai epäsuorasti. Henkilötietoja ovat siten esimerkiksi asiakastiedot, sähköpostin yhteystietolistat, Web-kyselyn tulokset, sopimuskumppanien tiedot silloin kun kyseessä on yksittäinen henkilö, tietoliikenteeseen tallentuvat IP-osoitteet, auton rekisterinumerot tai kameravalvonnan kuvat tunnistettavista henkilöistä yksityisalueilla.

Tietosuoja-asetus asettaa velvoitteita edellä mainittujen henkilötietojen keräämiselle ja käsittelylle sekä yksityisten henkilöiden oikeuksien toteuttamiselle, mutta tietosuoja-asetus on myös tietoturvalaki, joka velvoittaa suojaamaan henkilötiedot riittävällä tasolla. Asetuksen artiklat 32–34 käsittelevät henkilötietojen ja käsittelyn turvallisuutta ja velvoittavat kaikkia henkilötietojen kanssa tekemisissä olevia suojaamaan henkilötietoa sekä tunnistamaan tietoturvaloukkauksia riippumatta siitä onko käsittelevä organisaatio tai yritys pieni tai suuri.

Asetuksen lähtökohtana on riskitietoisuus, jonka mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava henkilötietoja uhkaavaa riskiä vastaava turvallisuustaso. Jotta henkilötietoja voi suojata tietosuojariskiä vastaan, on keskeistä tunnistaa, mistä henkilötietoa löytyy ja mitä henkilötietoa toiminnassa itse kerättynä tai muualta luovutettuna käsitellään. Organisaatioissa yleisesti on tiedossa keskeiset asiakasrekisterit ja niihin kerätyt henkilötiedot tai oman henkilöstön tiedot ja niistä muodostetut rekisterit, mutta henkilötiedon tunnistaminen vaikeutuu pian kun puhutaan pilvipalveluista, kumppaneista tai liiketoiminnan muista tarpeista tukitoimintojen ulkopuolelta. Tunnistamatonta tietoa ei voi suojata ja tietoturvaloukkauksen riski onkin suuri siellä, missä henkilötietoa ei tiedetä olevan. Tärkeää olisi päästä puuttumaan tietosuojariskin torjuntaan jo silloin kun uutta palvelua tai järjestelmää mietitään ennen sen käyttöönottoa. Seuraavassa kuvassa on pyritty avaamaan esimerkinomaisesti henkilötietojen suojaamisessa tietoturvallisuuden keinoin huomioitavia seikkoja asetuksen vaatimusten täyttämiseksi.




Blogitekstien toisessa osassa tarkastellaan tietosuojariskiä ja sen hallintaa tietoturvallisuuden keinoin. Osa kolme keskittyy henkilötietojen suojaamiseen ja neljäs osa pureutuu kumppaneihin ja tietojen siirtoon. Viimeisessä viidennessä osassa tarkastellaan vielä testaamista, seurantaa ja valvontaa.