Tietosuoja-asetus tulee, oletko sinä ja yrityksesi valmiina?

Kybermaailmaan, kuten tietoteknisten laitteiden muodostamaa toisiinsa liitettyä verkkoa kutsutaan, liittyy monia uhkia. Kesän aikana Wannacry-haittaohjelma aiheutti sen, että osassa Englannin sairaaloista ei potilastietoihin päästy ja yhden sairaalan kiireettömät leikkaukset jouduttiin perumaan (Brandom 2017).  Yksi ajankohtaisimmista uhkista liittyy esineiden internetiin eli IOT:hen. Haittaohjelma Mirai valjasti internetiin yhteyteen liitettyjä laitteita, kuten valvontakameroita, rikollisten käyttöön. Näiden laitteiden muodostamaa armeijaa käytettiin palvelunestohyökkäyksessä, joka aiheutti pahoja häiriöitä lukuisille sivustoille ja esimerkiksi Spotify, Twitter ja PayPal –palveluille. (Symantec security response 2016.)

Digitalisaation edetessä uhkakuva kasvaa, koska kybermaailman hyökkäyksille altis pinta-ala laajenee ja monimutkistuu tekniikan kehittyessä. Yksi vaihtoehto kyberuhkilta suojautumiseksi on kivikaudelle palaaminen. Siirrytään paperiseen kalenteriin ja kirjekyyhkyyn. Sekään ei kuitenkaan ole turvallinen ratkaisu, koska paperinen kalenteri voidaan varastaa ja monet kirjekyyhkyt ovat tulleet ammutuksi historian saatossa. Elämme kuitenkin ajassa, jossa data on uusi öljy. Monien tunnettujen yritysten liiketoiminta perustuu informaation ja henkilötietojen siirtoon. Airbnb ei omista hotelleja, Uber ei omista autoja, eikä Amazonilla ole varastoa. Jos kehityksen kyydistä jättäytyy pois, on automaattisesti hävinnyt kilpailun.  Jatkuva kehitys muodostaa erityisiä haasteita tietoturvalle ja sitä myötä myös ihmisten tietosuojalle.

EU:n tietosuoja-asetus astuu voimaan 25.5.2018 kahden vuoden siirtymäajan päätyttyä. Asetuksen tarkoituksena on vastata teknologian kehityksen mukana tulleeseen kompleksisuuteen lainsäädännöllä. Asetuksen vastaisesta menettelystä seuraavat sanktiot, jotka ovat 4 % yrityksen maailmanlaajuisesta liikevaihdosta tai enimmillään 20 miljoonaa euroa. Rahallisten menetysten lisäksi tietovuodosta aiheutuu organisaatiolle mainehaittoja.  Asetuksen keskeisenä muutoksena verrattuna henkilötietolakiin on osoitusvelvollisuus eli enää ei riitä se, että organisaatio noudattaa lakia. Asetuksenmukaisuus on kyettävä todentamaan prosessikuvauksien ja muun dokumentaation avulla.  Lisäksi asiakkaan tai työntekijän oikeuksia hallita omien henkilötietojensa käsittelyä on paranneltu. Tietosuojauudistuksen vaatimukset on kyettävä ottamaan huomioon myös organisaation järjestelmänkehitysprojekteissa.

Aiheesta on jo monia kirjoituksia, mutta harva ottaa kantaa tietoturvan roolin tietosuojauudistuksessa. Tietosuojaa ei kuitenkaan ole olemassa ilman tietoturvaa. Tietoturva ja tietosuoja ovat käsitteitä, jotka usein menevät sekaisin. Tietoturva pyrkii suojaaman kaiken organisaation suojattavan tiedon, kun taas tietosuoja käsittää henkilötietojen suojaamisen. Henkilötietoja ovat kaikki tiedot, jotka ovat yksilöitävissä tiettyyn henkilöön, kuten sähköpostiosoite, nimi ja puhelinnumero. Uuden asetuksen myötä myös ip-osoite voidaan tulkita henkilötiedoksi.

Tietosuoja-asetuksen 32-artikla asettaa erityisiä vaatimuksia tietoturvalle. Organisaation on asetettava riittävät hallinnolliset ja tekniset mekanismit henkilötietojen käsittelyn turvaamiseksi.

Käytännössä yrityksellä tulee olla määriteltynä ja toteutettuna henkilötietojen käsittelyjärjestelmien riskinhallinta, jatkuvuudenhallinta sekä valmius tietoturvapoikkeamien havaitsemiseksi. Riskienhallinta on prosessi, jossa tunnistetaan haavoittuvuuksia ja uhkia, ja pyritään pienentämään riskien vaikutuksia. Jatkuvuudenhallinnassa on pyrkimys palauttaa yrityksen toiminta ennalleen häiriön jälkeen ja ehkäistä uusien häiriöiden syntymistä. Tietoturvapoikkeamien hallinnan tavoitteena on havaita poikkeama, reagoida siihen oikealla tavalla ja oppia tapahtuneesta. Tietosuoja-asetuksessa todetaan, että suojauksen riittävyyden arvioinnissa otetaan huomioon uusin tekniikka ja toteuttamiskustannukset. Asetus myös suosittaa tietoturvan tason arviointia kolmannen osapuolen toimesta.

FINCSC -kyberturvallisuussertifikaatti on yrityksille ja yhteisöille luotu sertifiointijärjestelmä liiketoiminnan jatkuvuuden turvaamiseen.

Ilmoittaudu Jyväskylän ammattikorkeakoulun 5.9 järjestämään Tietosuoja kuntoon –seminaarin, jossa kerrotaan tietosuojasetuksen vaikutuksista ja FINCSC-sertifioinnin hyödyistä PK-yrityksille. Tilaisuudessa esitellään myös hanketta, jonka tarkoituksena on auttaa PK-yrityksiä täyttämään velvoitteensa.

Lähteet:

Brandom, R. 2017. UK hospitals hit with massive ransomware attack. The Verge 12.5.2017. Viitattu 14.8.2017.

Symantec security response. 2006. Mirai: what you need to know about the botnet behind recent major DDoS attacks. Symantec Official Blog 27.10.2016. Viitattu 14.8.2017