tietoturva

Onko yrityksesi valmistautunut ilmoitusvelvollisuuteen tietoturvaloukkauksissa?

Uusi EU-direktiivi haastaa yritykset suojaamaan kriittisen infrastruktuurin

Toukokuussa 2018 unionin laajuisesti tulee sovellettavaksi kaksi erillistä, mutta laajemmin samaan kokonaisuuteen kuuluvaa säädöstä: yleinen tietosuoja-asetus (”GDPR”) sekä verkko- ja tietoturvadirektiivi (NISD). Asetus koskee kaikkia organisaatioita, jotka keräävät tai käsittelevät henkilöstönsä ja/tai asiakkaidensa tietoja. Verkko- ja tietoturvadirektiivi puolestaan koskee digitaalisten palvelujen tuottajia sekä kansallisia keskeisten palveluiden tarjoajia, eli pitkälti kaikkia digitaalisen tai fyysisen infrastruktuurin toimijoita.

IT-riskienhallinnan uusi sääntely kannattaa nähdä yhtenä pakettina

Asetus sitoo yrityksiä suoraan, direktiivi sen sijaan vaatii kansallista lainsäädäntöprosessia, jonka kautta velvoittavuus yrityksille syntyy, ja sääntelykokonaisuus lisää IT-riskienhallintaan kohdistuvaa pakottavaa sääntelyä merkittävästi. Monen organisaation huomio on keskittynyt lähestyvään vaatimustenmukaisuusharjoitukseen, mutta vaarana on, että tietosuojaa ja tietoturvaa tehdään osastorajojen mukaisissa siiloissa, huomioimatta kokonaiskuvaa.

Nämä lähes samanaikaisesti sovellettavaksi tulevat säädökset tulisi kuitenkin nähdä strategisena sääntelypakettina ja toisiaan tukevina. Säädöspaketti noudattaa Euroopan unionin kyberturvallisuusstrategian tavoitteita, ja taustalla on vahva poliittinen tahtotila. Tietoturvaan kohdistuvat vaatimukset tulevat todennäköisesti tiukentumaan myös välittömän soveltamisalan ulkopuolelle jäävien yritysten osalta näiden toimiessa alihankkijoina ja kumppaneina direktiivin tarkoittamille yrityksille. Yrityksissä näitä asioita ei kannatta tarkastella pelkästään vaatimustenmukaisuuteen liittyvänä asiana, vaan mahdollisuutena parantaa palveluiden toimintavarmuutta, lisätä asiakkaiden luottamusta, parantaa asiakaskokemusta sekä tehostaa toimintaa.

Uudet velvoitteet yrityksille: ilmoitusvelvollisuus ja suojauksen tason osoittaminen

Molemmat säädökset sisältävät ilmoitusvelvollisuuden tietoturvaloukkaustapauksissa, ja tässä onkin selkeästi nähtävissä pyrkimys jäsenvaltioiden ja yritysten riskienhallintaan vaikuttamiseksi ennen kuin kriittisiin toimintoihin kohdistuvat hyökkäykset pakottavat tähän niin sanotusti ”kantapään kautta”. Taustalla vaikuttaa idea järjestelmien keskinäisriippuvuudesta, jossa systeemi on yhtä vahva kuin sen heikoin lenkki. Ilmoitusvelvollisuus korostaa tarvetta hyvään havainnointi- sekä tutkintakykyyn.

Sekä GDPR ja NISD sisältävät vaatimuksia ”asianmukaisten teknisten ja organisatoristen toimenpiteiden” sekä ”tarpeellisten ja suhteellisten turvatoimien” käytöstä järjestelmien suojauksessa, sekä näiden toteuttamisen näyttämisestä käytännössä. Suojatoimien asianmukaisuus voidaan todentaa esimerkiksi auditoimalla prosessit ja järjestelmät alan vallitsevien standardien mukaisiksi.

Miten yritysten kannattaa valmistautua uuteen vaatimustenmukaisuuteen?

Vuonna 2018 tietoturvatyö ottaa sääntelyn takia selkeän askeleen perinteisestä riskienhallinnasta kohti sanktioitua vaatimustenmukaisuutta. Yrityksille onkin nyt tärkeää seurata kansallista lainvalmistelutyötä NISD:iin liittyen ja aloittaa valmistautuminen tietoturvan ja tietosuojan kokonaisvaltaiseksi huomioimiseksi liiketoiminnan ja sen edellytysten turvaamisessa. Tällä hetkellä Suomessa mietinnän alla on, miten NISD:n vaatimukset tullaan implementoimaan kansalliseen lainsäädäntöön ja miten viranomaisvalvonta tullaan toteuttamaan. Jokaisen yrityksen voikin suositella ryhtyvän vähintään seuraaviin toimenpiteisiin:

• Riskiarvion tekeminen ja riskien mukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen.
• Riittävän tietoturvan tason osoittaminen, esimerkiksi ulkopuolisen tarkastajan suorittamalla arvioinnilla.
• Sen varmistaminen, että järjestelmien havainnointikyky ja toiminnallisuudet tukevat tietoturvaloukkausten havaitsemista, tutkintaa ja dokumentointia riittävällä tavalla. Näin mahdollisten tietoturvaloukkausten ilmoittamista varten yrityksillä on käytettävissä riittävät tiedot.
• Valmistautuminen ilmoitusvelvollisuuden täyttämiseen kansallisille viranomaisille ja/tai asiakkaille.
• Saatavilla olevien hyötyjen tunnistaminen, jotta kyseessä ei ole pelkkä compliance-ohjelma.

Kuten viimeaikaiset tietomurrot, kiristysohjelmat ja IoT-hyökkäykset Suomessakin osoittavat, tulevaisuus uhkakuvineen on jo täällä. 18 kuukauden päästä näyttö- ja ilmoitusvelvollisuudet astuvat voimaan, ja nyt onkin viimeistään aika selvittää, minkälaiset valmiudet ja kyvykkyydet yritykselläsi on vastata näihin haasteisiin. Kello tikittää jo.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.