Verkkopalvelun tarjoajan uuden vuoden lupaus

Tietotekniikan kytkeytyminen jo lähes kaikkiin elämänalueisiin tuo kansalaisille lisää mahdollisuuksia, mukavuutta ja ennennäkemättömiä palveluja, mutta samalla kansalaisista eri organisaatioille kertyvän tiedon määrä kasvaa eksponentiaalisesti. Henkilötietoja pidetään yleisesti maksuna näennäisesti ilmaisista palveluista – vanhan viisauden voi muotoilla toisin toteamalla, että tieto on rahaa.

Tietosuoja-asetus kiristää vaatimuksia

Big dataa pystytään yhdistelemään ja analysoimaan hyvin monipuolisesti, ja tietosuojalainsäädännön tehtävä on asettaa tietyt rajat, jotka on pyritty määrittelemään siten, että ne turvaisivat kansalaisten yksityisyyden suojan toteutumisen kaikissa tilanteissa.

Ensi vuoden toukokuussa sovellettavaksi tuleva EU:n yleinen tietosuoja-asetus ohjaa toimimaan riskilähtöisesti ja asettaa rekisterinpitäjille entistä tiukempia vaatimuksia esimerkiksi tiedonantovelvoitteisiin, rekisteröityjen oikeuksien toteuttamiselle sekä rekisteröidyistä kerättävien tietojen laadulle ja alkuperälle.

Pelkkä lain noudattaminen ei aina riitä

Lainsäätäjän linjaukset eivät välttämättä ole aina yhtenevät kansalaisten kokeman suojan tarpeen kanssa. Lainsäädännön vaatimusten lisäksi verkkopalvelun tarjoajan kannattaa kiinnittää huomiota siihen, mitkä seikat vaikuttavat kuluttajan kokemukseen verkkoasioinnissa ja toimia niiden suhteen mahdollisimman huolellisesti ja läpinäkyvästi.

KPMG:n vuonna 2016 julkaisema tutkimus tukee käsitystä siitä, että yksityisyyden suoja on konteksti- ja kulttuurisidonnainen asia. Eri puolilla maailmaa ja eri ikäryhmissä koetaan erilaiset henkilötietojen luovuttamiseen ja hyödyntämiseen liittyvät tilanteet eri tavalla – viisas rekisterinpitäjä kuuntelee rekisteröityjä herkällä korvalla. Verkkopalvelussa asioivien asiakkaiden odotusten ja huolien tunteminen auttaa kehittämään palvelua asiakkaiden toivomaan suuntaan.

Verkkopalvelun tarjoajan uuden vuoden lupaukset

Aloittelevan ja miksei jo vakiintuneenkin verkkopalvelun tarjoajan uuden vuoden lupaukset voisi muotoilla vaikka seuraavasti:

— Lupaan olla avoin tiedonannoissani rekisteröidyille ja ilmaista selkeästi sekä tiiviisti kerättävien tietojen tietolähteet, käyttötarkoitukset, käsittelyperiaatteet sekä edelleenluovutukset.
— Lupaan olla keräämättä sellaisia tietoja rekisteröidyistä, joita en tarvitse määrittelemieni käsittelytarkoitusten toteuttamiseksi sekä tuhota tarpeettomaksi käyneet tiedot.
— Lupaan kunnioittaa rekisteröidyn oikeuksia ja vastata tieto- ym. pyyntöihin säädetyssä ajassa.
— Lupaan kunnioittaa suoramarkkinoinnin pelisääntöjä ja rekisteröityjen tahdonilmaisuja.
— Lupaan huolehtia verkkopalvelujen ja henkilötietojen käsittelyyn käyttämieni järjestelmien tietoturvasta.
— Lupaan rakentaa verkkopalveluni siten, että jo perusasetukset suojaavat palvelun käyttäjän yksityisyyttä riittävästi.

Noudatettavia lainsäädännöllisiä velvoitteita on toki paljon enemmän, mutta rekisteröidyn itsemääräämisoikeuden näkökulmasta täyttämällä edellä mainitut lupaukset on vaatimustenmukaisuus jo melko hyvällä mallilla. Kuluttajien luottamus on menestystekijä verkossa — tee siitä verkkopalvelusi vahvuus viimeistään nyt!

Mikko ViemeröMikko Viemerö vastaa KPMG:llä tietosuojatoimeksiannoista ja tietosuojatiimistä. Vapaa-aika kuluu musiikki- ja valokuvausharrastusten parissa, jalkapallokentällä ja matkustellessa.

tietoturva

Onko yrityksesi valmistautunut ilmoitusvelvollisuuteen tietoturvaloukkauksissa?

Uusi EU-direktiivi haastaa yritykset suojaamaan kriittisen infrastruktuurin

Toukokuussa 2018 unionin laajuisesti tulee sovellettavaksi kaksi erillistä, mutta laajemmin samaan kokonaisuuteen kuuluvaa säädöstä: yleinen tietosuoja-asetus (”GDPR”) sekä verkko- ja tietoturvadirektiivi (NISD). Asetus koskee kaikkia organisaatioita, jotka keräävät tai käsittelevät henkilöstönsä ja/tai asiakkaidensa tietoja. Verkko- ja tietoturvadirektiivi puolestaan koskee digitaalisten palvelujen tuottajia sekä kansallisia keskeisten palveluiden tarjoajia, eli pitkälti kaikkia digitaalisen tai fyysisen infrastruktuurin toimijoita.

IT-riskienhallinnan uusi sääntely kannattaa nähdä yhtenä pakettina

Asetus sitoo yrityksiä suoraan, direktiivi sen sijaan vaatii kansallista lainsäädäntöprosessia, jonka kautta velvoittavuus yrityksille syntyy, ja sääntelykokonaisuus lisää IT-riskienhallintaan kohdistuvaa pakottavaa sääntelyä merkittävästi. Monen organisaation huomio on keskittynyt lähestyvään vaatimustenmukaisuusharjoitukseen, mutta vaarana on, että tietosuojaa ja tietoturvaa tehdään osastorajojen mukaisissa siiloissa, huomioimatta kokonaiskuvaa.

Nämä lähes samanaikaisesti sovellettavaksi tulevat säädökset tulisi kuitenkin nähdä strategisena sääntelypakettina ja toisiaan tukevina. Säädöspaketti noudattaa Euroopan unionin kyberturvallisuusstrategian tavoitteita, ja taustalla on vahva poliittinen tahtotila. Tietoturvaan kohdistuvat vaatimukset tulevat todennäköisesti tiukentumaan myös välittömän soveltamisalan ulkopuolelle jäävien yritysten osalta näiden toimiessa alihankkijoina ja kumppaneina direktiivin tarkoittamille yrityksille. Yrityksissä näitä asioita ei kannatta tarkastella pelkästään vaatimustenmukaisuuteen liittyvänä asiana, vaan mahdollisuutena parantaa palveluiden toimintavarmuutta, lisätä asiakkaiden luottamusta, parantaa asiakaskokemusta sekä tehostaa toimintaa.

Uudet velvoitteet yrityksille: ilmoitusvelvollisuus ja suojauksen tason osoittaminen

Molemmat säädökset sisältävät ilmoitusvelvollisuuden tietoturvaloukkaustapauksissa, ja tässä onkin selkeästi nähtävissä pyrkimys jäsenvaltioiden ja yritysten riskienhallintaan vaikuttamiseksi ennen kuin kriittisiin toimintoihin kohdistuvat hyökkäykset pakottavat tähän niin sanotusti ”kantapään kautta”. Taustalla vaikuttaa idea järjestelmien keskinäisriippuvuudesta, jossa systeemi on yhtä vahva kuin sen heikoin lenkki. Ilmoitusvelvollisuus korostaa tarvetta hyvään havainnointi- sekä tutkintakykyyn.

Sekä GDPR ja NISD sisältävät vaatimuksia ”asianmukaisten teknisten ja organisatoristen toimenpiteiden” sekä ”tarpeellisten ja suhteellisten turvatoimien” käytöstä järjestelmien suojauksessa, sekä näiden toteuttamisen näyttämisestä käytännössä. Suojatoimien asianmukaisuus voidaan todentaa esimerkiksi auditoimalla prosessit ja järjestelmät alan vallitsevien standardien mukaisiksi.

Miten yritysten kannattaa valmistautua uuteen vaatimustenmukaisuuteen?

Vuonna 2018 tietoturvatyö ottaa sääntelyn takia selkeän askeleen perinteisestä riskienhallinnasta kohti sanktioitua vaatimustenmukaisuutta. Yrityksille onkin nyt tärkeää seurata kansallista lainvalmistelutyötä NISD:iin liittyen ja aloittaa valmistautuminen tietoturvan ja tietosuojan kokonaisvaltaiseksi huomioimiseksi liiketoiminnan ja sen edellytysten turvaamisessa. Tällä hetkellä Suomessa mietinnän alla on, miten NISD:n vaatimukset tullaan implementoimaan kansalliseen lainsäädäntöön ja miten viranomaisvalvonta tullaan toteuttamaan. Jokaisen yrityksen voikin suositella ryhtyvän vähintään seuraaviin toimenpiteisiin:

• Riskiarvion tekeminen ja riskien mukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen.
• Riittävän tietoturvan tason osoittaminen, esimerkiksi ulkopuolisen tarkastajan suorittamalla arvioinnilla.
• Sen varmistaminen, että järjestelmien havainnointikyky ja toiminnallisuudet tukevat tietoturvaloukkausten havaitsemista, tutkintaa ja dokumentointia riittävällä tavalla. Näin mahdollisten tietoturvaloukkausten ilmoittamista varten yrityksillä on käytettävissä riittävät tiedot.
• Valmistautuminen ilmoitusvelvollisuuden täyttämiseen kansallisille viranomaisille ja/tai asiakkaille.
• Saatavilla olevien hyötyjen tunnistaminen, jotta kyseessä ei ole pelkkä compliance-ohjelma.

Kuten viimeaikaiset tietomurrot, kiristysohjelmat ja IoT-hyökkäykset Suomessakin osoittavat, tulevaisuus uhkakuvineen on jo täällä. 18 kuukauden päästä näyttö- ja ilmoitusvelvollisuudet astuvat voimaan, ja nyt onkin viimeistään aika selvittää, minkälaiset valmiudet ja kyvykkyydet yritykselläsi on vastata näihin haasteisiin. Kello tikittää jo.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.
Kyberturvallisuus kunnissa

Ovatko kunnat vastuussa Suomen kyberturvallisuudesta?

Kyberturvallisuuden fokus on yleensä kriittisen infrastruktuurin turvaamisessa ja yhteiskunnan elintärkeiden toimintojen ylläpidossa. Merkittävä osuus tästä kriittisestä infrastruktuurista on kuntien tai kuntien liikelaitosten omistuksessa ja vastuulla. Hyvin keskeisessä roolissa ovat muun muassa veden- ja sähkön tuotanto ja jakelu sekä terveydenhuolto. Näiden kaikkien toimintojen tulee toimia häiriöttä, eikä kyseisten järjestelmien toimintaan saisi pystyä vaikuttamaan esimerkiksi kyberrikollisuuden keinoin.

Suomessa on kuluneen vuoden aikana ollut lukuisia IT-järjestelmiin kohdistuneita häiriöitä ja hyökkäyksiä. Julkisuudessa on ollut muun muassa pankki- ja telesektorin ongelmia. Kaiken työssä näkemäni ja kokemani perusteella kuntien kriittisen infrastruktuurin tietojärjestelmien turvallisuuden tila on huolestuttavan heikolla tasolla, joten häiriöt ja tietomurrot ovat hyvin todennäköisiä.

Kuntien hallussa paljon arkaluontoista tietoa

Kuntien hallussa on paljon tietoa, kuten esimerkiksi potilastietoja, joiden suojaamiseen on lakisääteisiä velvoitteita. Loppukesästä julkisuudessa oli Ashley Madison -tietovuoto, jossa palveluun liittyviä tietoja käytettiin palveluntarjoajan ja käyttäjien kiristämiseen ja lopulta tiedot julkaistiin. Ihmisten yksityiselämään liittyvien tietojen julkaiseminen on tiettävästi johtanut lukuisiin avioeroihin ja jopa itsemurhiin. Voisiko sama tapahtua potilastietojen osalta?

Alkuvuodesta puolestaan raportoitiin tapaus, jossa hakkerit olivat aiheuttaneet tietojärjestelmien kautta fyysistä tuhoa saksalaiselle terästehtaalle. Jo vuonna 2011 tunkeutujat häiritsivät Illinoisin vedenjakelua tietojärjestelmien kautta. Sähköverkot, sähkön jakelu ja tuotanto ovat olleet hyökkäyksen kohteena jo useita kertoja ja usein hyökkäykset ovat myös olleet onnistuneita. Miksi näin ei voisi tapahtua Suomessa? Kysymys taitaa enemmänkin olla, että milloin näin tapahtuu.

Tarvitaanko kunnille tietoturvavelvoite?

Kehitystä on tapahtunut siinä suhteessa, että nykyisin tietoturva-asioita mietitään ja tehdään liiketoiminnallisista lähtökohdista, eikä taustalla tarvitse aina olla velvoittavia normeja. Toisaalta monessa paikassa tietoturvatyö nähdään myös kulueränä, jonka takaisinmaksuaikaa on vaikea määritellä ja riskejä helppo vähätellä. Tietoturvatasot eivät toistaiseksi ole suoraan kuntia velvoittavia, mutta käytäntö on lisääntynyt ja keskustelua asiasta käydään. Lisäksi on toki muitakin säädöksiä, jotka velvoittavat kuntia suojaamaan muun muassa henkilötietoja ja potilastietoja riittävällä tavalla.

Tietoturvatasojen epäsuora velvoittavuus tulee muun muassa viranomaisyhteistyön kautta Tuve-verkkoon liittyen. Toinen esimerkki on kuntien yhteinen KY-verkko, josta on liittymä myös valtion VY-verkkoon. KY-verkkoon liittyville verkoille ja järjestelmille asetetaan tietoturvavaatimuksia, joiden toteuttamisen ja toteen näyttämisen pohjana ovat tietoturvatasot. Valtionhallinnossa on työn alla myös varautumisen sekä jatkuvuuden hallinnan VAHTI-ohje, joka voi toimia hyvänä ohjenuorana myös kunnissa.

Tietoturvallisuuteen liittyvät asiat ja vaatimukset on järkevää pitää mielessä ja huomioida jo hankintojen, palveluiden digitalisaation ja toiminnan sekä prosessien kehittämisen alkuvaiheessa. Näin uusista palveluista ja ratkaisuista saadaan turvallisia ja vikasietoisia jo käyttöönottovaiheessa.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.