Ads 468x60px

torstai 6. syyskuuta 2018

Venäjän kansalaisten henkilötietoja koskeva lainsäädäntö - datalokalisaatiolaki


Venäjän kansalaisten henkilötietoja koskevaa lainsäädäntöä alettiin valmistella vuonna 2006 (152-FZ). Vuonna 2015 (242-FZ) voimaan astunut lakimuutos tarkoittaa käytännössä sitä, että Venäjän kansalaisen henkilötiedot tulee ensisijaisesti tallentaa Venäjän rajojen sisäpuolella sijaitseville palvelimille. Muutos vaatii toimenpiteitä kaikilta Venäjän kansalaisten henkilötietoja käsitteleviltä yrityksiltä.
Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka ovat yhdistettävissä suoraan tai epäsuorasti yksilöön. Henkilötietoja ovat esimerkiksi nimi, yhteystiedot, terveystiedot, uskonnolliset, poliittiset tai aatteelliset näkemykset tai sitoumukset sekä etninen alkuperä. Henkilötiedoiksi katsotaan myös informaatio tai informaatioyhdistelmät, jonka avulla henkilö voi mahdollisesti olla tunnistettavissa.
Yritysten tulee varmistaa, että henkilötietojen keräys ja säilytys noudattaa voimassa olevia Venäjän lainsäädännön periaatteita. Henkilötietoihin kohdistuvat päivitykset ja poistot tulee tehdä ensin Venäjällä sijaitseville palvelimille. Venäjän kansalaisten henkilötiedot saa kuitenkin siirtää Venäjän rajojen ulkopuolelle kansainvälisiä tiedonsiirtoja koskevan lainsäädännön periaatteiden mukaisesti.
Heinäkuussa 2017 lainsäädäntöä tehostettiin uusilla tuntuvilla sakoilla, koskien niitä yrityksiä, jotka eivät noudata Venäjän henkilötietojen säilyttämistä koskevaa lainsäädäntöä. Venäjän telehallintoviranomainen voi myös tilanteen vaatiessa estää pääsyn palveluihin Venäjän maaperältä, joka voi aiheuttaa yritykselle tuntuvia liiketoiminnallisia haittoja.
Venäjän datalokalisaatiolaki kohdistuu yrityksiin, joilla on liiketoimintaa Venäjällä. Tämä koskettaa myös yritysten tytäryhtiöitä, edustustoa, toimistoja sekä tehtaita, mukaan lukien myös Venäjällä toimivat verkkokaupat. Lainsäädännön piiriin lukeutuvat ne verkkokaupat, jotka ovat suunnattuja venäläiselle asiakaskunnalle. Näinollen esimerkiksi, mikäli verkkosivut ovat venäjänkieliset, verkkosivun domain on venäläinen (esim .ru, РФ), mainonta suunnattu venäläisille asiakkaille tai maksuliikenne on mahdollista käydä venäläisellä valuutalla verkkokaupan tulee noudattaa Venäjän lainsäädäntöä.

Miten yritys voi varmistaa noudattavansa Venäjän kansalaisten henkilötietoja koskevaa lainsäädäntöä?
  1. Henkilötietojen keräys ja tallennus tulee tapahtua Venäjän maan rajojen sisäpuolella. Näinollen tietokantojen, jonne tallennetaan Venäjän kansalaisen henkilötietoja, tulee sijaita fyysisesti Venäjällä. Tiedot on kuitenkin mahdollista replikoida tiettyjen periaatteiden mukaisesti Venäjän ulkopuolelle
  2. Kaikki muutokset, päivitykset ja poistot koskien Venäjän kansalaisten henkilötietoja tulee tapahtua ensin Venäjän maan rajojen sisäpuolella sijaitsevaan tietokantaan.
  3. Lainsäädäntö koskee vain tietokantoja, jonne tallennetaan henkilötietoja. Tietojärjestelmissä, jotka sijaitsevat Venäjän ulkopuolella, voidaan siirtää Venäjän kansalaisten henkilötietoja, jos varmistutaan siitä, että ensisijainen tietokanta on Venäjän maaperällä. 
Konkreettisia toimenpiteitä:
  1. Selvitä, mitä henkilödataa Venäjällä toimiva yritys käsittelee ja laadi henkilötietoinventaari, jossa eritellään henkilötiedot tietokannoittain. Identifioi, henkilötietojen käyttötarkoitus sekä elinkaari.
  2. Selvitä, mitkä jo käytössä olevat käytännöt noudattavat Venäjän datalokalisaatio lain periaatteita
  3. Laadi puuttuva dokumentaatio sekä prosessit
  4. Identifioi mahdollinen tekninen ratkaisu esimerkiksi paikalliselta palveluntarjoajalta
  5. Ilmoita Venäjän televalvontaviranomaiselle Roskomnadzorille henkilödataa prosessoivan tietokannan tarkka sijainti 
Kahden tietokannan ylläpitäminen, johon on pääsy niin Venäjältä kuin Venäjän rajojen ulkopuolelta ei ole sallittua. Tietokantakopiota saa kuitenkin säilyttää Venäjän rajojen ulkopuolella sovellettaessa erityisehtoja. Tässä tapauksessa ensisijainen tietokanta, jonne voi tehdä muutoksia, säilyy Venäjällä. Venäjän maaperällä sijaitsevaa tietokantaa on myös mahdollista hallinnoida etäyhteydellä Venäjän rajojen ulkopuolelta.
Viime vuosien aikana yritykset, jotka käsittelevät Venäjän kansalaisten henkilötietoja ovat varautuneet tuleviin muutoksiin eri tavoilla. Suuryritykset kuten Microsoft, Samsung, Booking.com ja eBay ovat siirtäneet Venäjän kansalaisten henkilötietoja keräävät tietokannat Venäjälle. Moni yritys ylläpitää kahta tietokantaa niin Venäjän maaperällä kuin Venäjän rajojen ulkopuolella. Tässä tapauksessa on muistettava, että kaikki muutokset tulee kohdistaa ensiksi Venäjällä sijaitsevaan tietokantaan, jonka jälkeen muutokset voidaan tehdä Venäjän rajojen ulkopuolella sijaitsevaan kopio-versioon. On myös mahdollista ylläpitää ensisijaista tietokantaa Venäjän maaperällä ja tämän jälkeen siirtää anonymisoitua tietoa muihin tietokantoihin, jotka sijaitsevat Venäjän rajojen ulkopuolella. Tässä tapauksessa on kiinnitettävä huomiota siihen, ettei henkilö ole siirron jälkeen millään tavalla tunnistettavissa.
Venäjän datalokalisaatiolailla on yhteisiä piirteitä EU:n alueella toukokuussa 2018 voimaan tulleen EU:n yleisen tietosuojalainsäädännön (GDPR). Niin Venäjän datalokalisaatiolain sekä GDPR:n tarkoituksena on turvata yksilön henkilötiedot, yhtenäistää henkilötietojen käsittelyn sääntely, selkeyttää toimivaltakysymyksiä, tehostaa viranomaisyhteistyötä ja velvoittaa rekisterinpitäjät toimimaan suunnitelmallisesti sekä osoittaa tällä tavoin toimiensa vaatimustenmukaisuus.

-Wanda Wallgren

torstai 7. kesäkuuta 2018

Tietoturva Roadshow 2018

Tietoturva roadshow on ilmainen tietoturvaseminaari, joka on järjestetty yhteistyössä Optimesys:n kanssa. Tämän vuoden roadshow:ssa teemana oli leikkimielinen ystävyysottelu RedTeam (KPMG) VS BlueTeam (OptimeSys). KPMG:n tekninen tietoturvatiimi esitteli Red Teaming palvelua, sekä demosi samalla miten hyökkääjä toimii yrittäessään murtautua kohdeyritykseen. Vastaavasti BlueTeam esitteli, miten erilaiset tekniset ratkaisut voivat auttaa hyökkäysten havainnoimisessa ja estämisessä.

Roadshow seminaari järjestettiin Tampereella 29.5, Turussa 30.5, Helsingissä 31.5 ja Jyväskylässä 5.6.2018. Tapahtuman pääkohdat painoittuivat yrityksen prosesseihin, käyttäjän tietoisuuteen ja koulutukseen, koska itse hyökkäyksen kohteena oli teknologian heikoin lenkki - ihminen.


Monelle tuntematon Red Teaming on metodi, jolla yritetään luoda mahdollisimman aito simulaatio oikeasta kyberhyökkäyksestä, jossa testataan organisaation kykyä puolustautua tietoturvapoikkeamien sattuessa. Red Teaming ei rajoitu ainoastaan teknologioihin, vaan sillä voidaan myös testata fyysinen turvallisuus, sekä organisaation henkilöstön toiminta poikkeamatilanteissa. "Mitä on Red Teaming?" - esityksessä tuotiin esille, millaisia Red Teaming palveluita KPMG tarjoaa, sekä miten voimme parantaa organisaatiota kykyä toimia kyberuhan sattuessa.

Jyväskylän teknisen tiimin Ville ja Mikael kertoivat, kuinka julkisesti saatavilla olevaa tietoa (OSINT) voidaan hyödyntää hyökkääjän näkökulmasta. Hyökkääjä kerää kohdeyrityksestä tietoa esimerkiksi sosiaalisesta mediasta, julkisisen sektorin tiedoista, ammatillisista- ja akateemisista julkaisuista, joita voidaan käyttää hyökkäyksen myöhemmissä vaiheissa.


Demossa näytettiin hyökkääjän näkökulmasta, kuinka kohdennetulla "Phishing" kampanjalla voidaan saada jalansija kohdeyrityksestä huijaamalla käyttäjää. Demossa käytettiin hyväksi GDPR tietosuojasetusta, jonka pohjalta luotiin kalastelu-sähköposti, joka varasti käyttäjien syöttämiä sähköpostitunnuksia ja salasanoja. Aiheena varmasti ajankohtainen, sillä jokainen on varmasti saanut GDPR-aiheisia viestejä ja sähköposteja.

Kalastelu kohdennettiin yritykseen nimeltä "tietoturvapalvelu.net", sillä tietojen mukaan yritys oli hakenut Microsoft SQL Server Adminia töihin ja Linkedin mukaan "Matti Meikalainen" oli juuri aloittanut työt kyseisessä roolissa yrityksessä. Kalastelusivu pyysi käyttäjiä kirjautumaan sisään yrityksen sähköposti tunnuksilla ja hyväksymään uudet GDPR muutokset, jonka jälkeen uhri ohjautui yrityksen omaan portaaliin. Kalasteluun lankesi "Matti Meikalainen", jonka sähköpostia hyökkääjä kävi tarkastelemassa saamillaan tunnuksilla.

Lähetettyjen ja saapuneiden sähköpostien perusteelta hyökkääjä pystyi valmistelemaan uuden kohdennetun kalastelusähköpostin Matille. Sähköposti sisälsi aidon, mutta haitallisen PDF-liitteen, jonka Matti kiireisenä avasi. Esittäjät huomauttivat, että sähköpostiin tulleita kirjautumisvaatimuksia ei tulisi koskaan avata mukana tulleen linkin kautta ja lähettäjän nimi tulisi aina tarkastaa ennen liitteiden päätöntä avaamista. Esittäjät kertoivat syyksi, että hyökkääjä voi huijata käyttäjää esim. Evilginx "Advanced Phishing" työkalulla. Työkalulla voidaan luoda täysin autenttisen näköinen TLS salattu kalastelusivu, mikä varastaa käyttäjätunnuksia ja session tokeneita, siksi kirjautumisvaatimuksia ei tulisi avata sähköpostin kautta koskaan.


KPMG:n hyökkääjät saivat jalansijan valitun kohteen verkosta, jota käytettiin hyödyksi lateraalisessa liikehdinnässä. Esityksessä tuotiin esille, miten hyökkääjä voi hyödyntää työntekijöiden työasemia verkon sisällä liikkumiseen ja sitä kautta tärkeiden tiedostojen varastamiseen. Tärkeä huomio esittäjien suusta oli, että on tärkeätä rajata työntekijöiden käyttöoikeuksia työtehtäviin kuuluviksi. Hyvänä esimerkkinä kerrottiin, että työntekijä voi saastuttaa työkoneensa vapaa-ajalla omassa kodissaan ja tuoda sitä kautta haittakkeen yrityksen sisään. Viimeisenä hyökkääjät demonstroivat, kuinka helppoa on varastaa tärkeät tiedostot kohteelta.


KPMG Best Practices

Varmista aina lähettäjän autenttisuus, sekä mieti onko tämä viesti tullut tarkoituksenmukaisesti minulle. Älä koskaan kirjaudu sähköpostiin tulleiden linkkien kautta mihinkään palveluun. Käytä palveluntarjoajan suositeltuja tietoturva-asetuksia, kuten kaksivaiheinen todentaminen. Testaa organisaatiosi henkilökunnan tietoturvatietoisuutta.

- Mikään teknologia ei tuo 100% turvaa
- Varmista aina linkkien ja liitteiden oikeellisuus
- Kouluta henkilöstö käyttämään sosiaalista mediaa vastuullisesti
- Tarkasta kuinka paljon yrityksestäsi löytyy mahdollisesti haitallista tietoa internetistä
- Testaa ja kouluta henkilöstö erilaisilla tietoturvaharjoitteilla

Suuret kiitokset osallistujille ja Optimesys:lle yhteistyöstä.

keskiviikko 14. helmikuuta 2018

#tj100 - vai sittenkin enemmän?



Tänään on jäljellä 100 päivää (tai 99, laskutavasta riippuen) hetkeen, jota osa (lue: tietosuoja-asiantuntijat) odottaa "kuin kuuta nousevaa", ja johon osa taas (lue: yritysjohtajat) suhtautuu varauksella, ehkä jopa hieman pelonsekaisin tuntemuksin. 100 päivän kuluttua tulee sovellettavaksi EU:n tietosuoja-asetus uudistuneine velvollisuuksineen ja tarkentunein säännöksin.
Tietosuojatyö organisaatioissa on kuumimmillaan. Niin suuret kuin keskisuuret toimijat miettivät asetuksen vaatimuksia (liike)toimintansa näkökulmasta – mitä meidän tulee tehdä täyttääksemme asetuksen vaatimukset, miten varmistamme vaatimustenmukaisuuden ja miten me haluamme kehittää tietosuojaa osana liiketoimintaamme edelleen?
Nyt kun toukokuun 25. päivään on jäljellä 100 päivää (#tj100), on hyvä pysähtyä hetkeksi miettimään miksi ja miten kehitämme organisaatiomme tietosuojaa.
IAPP:n julkaiseman tutkimuksen mukaan organisaatiot ovat n. puolessa välissä (keskimäärin 48,62 %) kohti vaatimustenmukaisuutta. Yllättävää kyllä, vain 72 % EU:n sisällä toimivista yrityksistä ennusti täyttävänsä asetuksen vaatimukset 25.5.2018 mennessä, kun taas 84 % Yhdysvalloissa toimivista uskoi olevansa ”GDPR Compliant” määräpäivään mennessä.
Tietosuoja-asetuksen vaatimuksista korkeariskisimmiksi (mikäli vaatimuksia ei noudata) nähtiin henkilötietojen tietoturvaloukkauksesta ilmoittamiseen varautuminen, henkilötietoinventaari, artiklan 30 mukaisen selosteen ylläpito, suostumusten hallinta ja kansainväliset tiedonsiirrot. Kysymykseen siitä, miten näitä riskejä voidaan hallita tai pienentää, oli vastaus kautta linjan koulutus. Koulutuksen ja tietoisuuden lisäämisen ohella keinoina nähtiin esimerkiksi teknologiset ratkaisut sekä ulkopuolinen tuki.
Kuten moni meistä tietää, organisaation vaatimustenmukaisuutta on tosiasiassa haastavaa, jos ei mahdotonta, eksplisiittisesti varmentaa. Asetuksen vaatimukset vaativat tulkintaa, ja henkilötietojen suojamekanismien toteuttaminen edellyttää riskilähtöistä arviointia vaaditusta suojaustasosta. Vaatimusten kompleksisuudesta huolimatta, tietosuoja-asetus on loistava mahdollisuus kehittää liiketoimintaa. Tulevaisuudessa parhaiten menestyvät ne toimijat, jotka toteuttavat palvelunsa ja tuotteensa huomioiden tietosuoja-asiat oletusarvoisesti ja sisäänrakennetusti lunastaen täten asiakkaidensa luottamuksen. Vastaavasti tietovuodosta aiheutuva mainehaitta voi olla liiketoiminnalle pysäyttävä.
Tietosuojatyö, GDPR-kehityshankkeet eritoten, nähdään takkuavan muutamasta keskeisestä syystä. IAPP:n tutkimuksesta käy ilmi, että EU:ssa merkittävimmät kompastuskivet ovat:
  1. riittämätön budjetti (tietosuojaa ei ole huomioitu budjetoinnissa riittävästi tai pahimmassa tapauksessa lainkaan);
  2. lainsäädännön monimutkaisuus (kuten todettu, asetuksen vaatimukset vaativat tulkintaa); sekä
  3. jäljellä olevan ajan niukkuus (”liian vähän aikaa”).
Haasteet ovat linjassa niiden kysymysten kanssa, joita kohtaamme asiakkaillamme päivittäin. Mitä tulee ensimmäiseen kompastuskiveen, on budjetoinnissa otettava huomioon kehitystyön resurssit ja investoinnit vs. riski siitä, ettei yritys ole vaatimustenmukainen (esim. henkilöstön kuormittaminen tehottomien prosessien johdosta, puutteet rekisteröidyn oikeuksien totetuttamisessa, sanktiouhat) – toimitko mieluummin proaktiivisesti vai reaktiivisesti?
Lainsäädäntö voi olla monimutkaista, mutta tietosuojan perusperiaatteet ovat verrattain selkeät ja ovat läsnä jo nykylainsäädännössämme. On tärkeää pystyä hahmottamaan henkilötietojen käsittelyyn liittyvä kokonaisuus sekä tunnistaa keskeisimmät kehityskohteet; mitä meidän täytyy tehdä nyt (must-have) ja mitkä ovat pidemmän aikavälin kehitystoimenpiteitä (should-have) sekä kuinka näitä lähestytään riskiperusteisesti.
”Liian vähän aikaa” on paradoksaalinen väite ottaen huomioon, että asetus on tullut voimaan keväällä 2016 (ollen myös pitkälti samansuuntainen jo nykyisin voimassa olevan sääntelyn kanssa).
Seuraava kysymys kuuluu, miten voimme varmistaa tietosuojan riittävän tason toukokuuhun mennessä ja miten jatkamme siitä eteenpäin?
Yhtä oikeaa tietä kohti vaatimustenmukaisuutta ei ole, vaan tietosuojan kehitysprojekti tulisikin nähdä liiketoimintalähtöisenä muutosprojektina. Työ on alkanut monessa organisaatiossa joitakin kuukausia (valistuneimmilla jo vuosia) sitten, osalla työ on vasta aluillaan. Projektien yhdistävänä tekijänä on se, ettei mikään niistä pääty toukokuun 25. päivä. Tietosuoja on tullut jäädäkseen – kyseessä ei ole yhden vuoden tai yhden kevään ponnistus, vaan pysyvä ja jatkuvasti kehittyvä osa toimintaamme ja sen laatua.
Yhtä menestysreseptiä ei onnistuneeseen GDPR:n implementointiin ole, koska toimiala-, kokoluokka ja liiketoimintaprioriteetit asettavat reunaehtoja lähestymistapaan ja toteutukseen.
Työn onnistumisen elementit ovat kuitenkin vastaavia kuin minkä tahansa muutosprojektin; muutoksen vuorovaikutteinen ja suunnitelmallinen johtaminen, riittävä resursointi sekä ihmisten osallistaminen, motivointi ja viestintä.
  1. Investoinnin huomioiminen budjetissa ja resurssien varaaminen
    • tämä johdon sitoutuminen kehitystyöhön vaikuttaa välittömästi ja näkyvästi onnistumiseen
  2. Vastuiden määrittely, priorisointi ja roolien selkeyttäminen
    • miten työtä viedään tehokkaasti eteenpäin lyhyellä ja pitkällä tähtäimellä
  3. Tietosuojastrategian kohdistaminen linjaan liiketoimintastrategian kanssa
    • tässä lähestymisessä mahdollisuus saavuttaa merkittäviä liiketoimintaetuja
  4. Muutosviestintä
    • miten jalkautamme uudet toimintamallit, käytänteet ja ohjeet läpi organisaation mahdollisimman tehokkaasti, sekä
    • mitä olemassa olevia prosesseja voimme käyttää hyväksemme
  5. Jatkuva kehittäminen
    • miten varmistamme, että tietosuojatyö ei jää yksittäiseksi ponnistukseksi, vaan otamme sen osaksi liiketoimintamalliamme ja toimintatapojamme
    • tehokkaasti toteutettuna tuo myös strategista hyötyä
Tiivistettynä, meillä on 100 päivää aikaa saattaa organisaatiomme tietosuoja-asiat tietylle tasolle. Lyhyen tähtäimen ponnistuksen lisäksi meidän tulee kuitenkin nähdä tietosuoja strategisena valttikorttina – mitä pidemmällä tähtäimellä kehitämme tietosuojaamme, sitä luotettavampina kumppaneina, palveluntarjoajina ja työnantajina meidät tulevaisuudessa nähdään.
---
Kukaan ei kulje niin kauas ja nopeasti kuin ihminen, joka ei tiedä mihin hän on menossa. (H.W. Tillman)