Jos ei ole tutustunut tietoturvan ja tietovuotojen maailmaan, moni yritysjohtaja voi ajatella, että korkeat aidat, kamerat ja vartijat riittävät ajamaan asian. Monet esimerkit ja viimeaikaiset ransomware-hyökkäykset ovat kuitenkin osoittaneet oletuksen vääräksi. Nyt jos koskaan on entistä tärkeämpää varmistaa, että käytössä on tehokas tietoturvajärjestelmä. Syy tähän on uudessa Euroopan Unionin yleisessä tietosuoja-asetuksessa.

Paljon on kirjoitettu siitä, miten yleinen tietosuoja-asetus tulee vaikuttamaan yrityksiin sen astuessa voimaan tämän vuoden toukokuun lopussa. Viimeisen kahden vuoden aikana olemme julkaisseet tässä blogissa muutamia kirjoituksia yhteistyökumppaneiden, asiakkaiden tai muiden tahojen henkilötietojen turvallisen poistamisen tarpeesta silloin, kun tietoja ei enää tarvita tulevissa liiketoimissa, tai kun kyseinen henkilö vaatii tietojen poistamista.

Yleinen tietosuoja-asetus tarkoittaa kuitenkin paljon muutakin kuin oikeutta tulla unohdetuksi. Se koskee myös tietovuotojen ehkäisyä kaikissa Euroopan Unionin sisällä toimivissa yrityksissä tai eurooppalaisen yrityksen kanssa tekemisissä olevissa yrityksissä, jotka toimivat EU:n ulkopuolella.

Asetuksen kahden vuoden mittainen siirtymäaika on pian päättymässä. Uuden tietosuoja-asetuksen artikla 32 edellyttää yrityksiä ottamaan käyttöön toimintatavan, jolla ylläpidetään säännöllisiä tutkimuksia ja arviointeja niiden teknisten ja organisatoristen toimenpiteiden tehokkuudesta, joilla varmistetaan henkilötietojen käsittelyn turvallisuus yrityksessä. Asianmukaisen toimintatavan käyttöönotto ei ole perusteltua vain tiedon käsittelyn kannalta, vaan myös IT-ratkaisujen (sekä ohjelmiston että laitteiston) valinta- ja hankintamenetelmien kannalta.

Valintamenetelmää koskien yleinen tietosuoja-asetus määrää yritykset toteuttamaan riskejä vastaavia asianmukaisia teknisiä ja organisatorisia toimenpiteitä. Tämän lisäksi EU:n lainsäätäjät esittivät, että ratkaisujen tulisi olla uusimman tekniikan mukaisia.

Yksinkertaisesti ilmaistuna tämä tarkoittaa, että IT-vastaavan tulee toteuttaa kaikki tarvittavat toimenpiteet, jotta voidaan varmistaa, ettei henkilötietoja vuoda yrityksen ulkopuolelle. Näitä uuden lain vaatimia toimenpiteitä ovat esimerkiksi:

• henkilötietojen pseudonymisointi ja salaus,
• kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus,
• kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa,
• menettely, jolla tarkastetaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Tämän lisäksi uuden asetuksen artiklassa 32 pantiin täytäntöön seuraava olennainen asia:

“Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.”

Lyhyesti sanottuna artikla 32 edellyttää tarkkaa analyysiä niistä riskeistä, joita tiettyä teknologiaa käyttävä menettelytapa sisältää henkilötietoja koskien. Asiasta vastuussa olevan työntekijän on tehtävä tietosuojaa koskeva vaikutusten arviointi ja varmistettava, onko tietty menettelytapa – erityisesti kun käytetään uutta teknologiaa – pieni tai suuri riski yksilön tietosuojaan liittyville oikeuksille.

Yksi merkittävimmistä muutoksista ja lisäyksistä jäsenvaltioiden aiempiin kansallisiin lakeihin on se, että tästä lähtien yritysten on ilmoitettava tietovuodoista 72 tunnin sisällä vuodon tapahtumisesta.

Myös tässä tapauksessa sakot ovat suuria ja samoja kuin henkilötietojen luvattomasta käytöstä annetut sakot: sakko voi olla joko jopa 20 miljoonaa euroa tai 4 % maailmanlaajuisesta kokonaisliikevaihdosta riippuen siitä, kumpi on suurempi, silloin kun tietovuoto tapahtuu liiketoiminnassa, jossa tiedonsuojaus on erityisen tärkeää. Muulloin sakko voi olla jopa 10 miljoonaa euroa tai 2 % maailmanlaajuisesta kokonaisliikevaihdosta riippuen siitä, kumpi on suurempi.

Tietovuoto voi tapahtua myös yllättävistä laitteista

Yleisen tietosuoja-asetuksen noudattaminen tarkoittaa, että verkkopalveluiden ylläpitäjien on toteutettava kaikki tarvittavat toimenpiteet varmistaakseen, ettei tietovuotoa tapahdu. Se on kuitenkin helpommin sanottu kuin tehty. Tiedonsuojaus on puhuttanut pitkään jo ennen uutta asetusta, mutta nyt, kun aikaa on enää pari kuukautta ja sakot ovat niin suuria, monet alkavat olla huolissaan. He pelkäävät unohtaneensa jotain... kuten esimerkiksi tulostimet.

Monet nimittäin unohtavat, että nykyaikainen verkotulostin voi sisältää ja jakaa henkilötietoja. Tämän vuoksi se on täydellinen kohde hakkereille arkojen ja liiketoimintaan liittyvien tietojen varastamiseen.

HP on tuottanut tyylikkään minileffan, jossa selitetään miten tällainen hyökkäys tapahtuu. Hollywood-näyttelijä Christian Slater demonstroi, kuinka hakkerin hyökkäys voi johtaa miljoonien potilaita koskevien tiedostojen vuotamiseen sairaalasta. Videolla Slaterin hahmon täytyy ensin varastaa ja muuttaa erään  yritysjohtajan henkilöllisyys kahdesti ja lähes myrkyttää hänet, mutta olennaista on se, että hahmo onnistuu lopulta tunkeutumaan verkkoon pelkän verkkotulostimen USB-liitännän avulla.

Vaikka videon tapahtumat on esitetty hyvin Hollywood-tyylisesti, yrityksen hakkerointi tulostimen tai muun yrityksen verkkoon yhdistävän laitteen avulla on hyvin mahdollista. Tämän lisäksi tulostin voi sisältää paljon arkaa tietoa, vaikka se ei olisi yhteydessä koko yrityksen verkkoon. Monet eivät nimittäin tiedä, että tulostin tai kopiokone voi sisältää kiintolevyn, joka tallentaa viimeisimmät dokumentit, kunnes levy on täynnä. Se muodostaa suuren riskin tietoturvaloukkaukselle ja tietomurrolle. Kun tällainen laite vuokrataan ja vuokra-aika päättyy, sen kiintolevy tulisi tyhjentää varmalla tavalla. Muutoin arkoja henkilötietoja voi päätyä yrityksen ulkopuolelle ja yleisen tietosuoja-asetuksen mukaan yritys on siitä vastuussa.

Koska aikaa on enää kaksi kuukautta, kaikkien yritysten yleisen tietosuoja-asetuksen noudattamisesta vastuussa olevien henkilöiden tulisi nyt tarkistaa myös sellaiset huomaamattomat laitteet, jotka ovat tähän mennessä unohtuneet, ja lisätä ne osaksi tietoturvaprosesseja. Vielä ei ole myöhäistä, mutta kello käy.

Kuvan tekijänoikeus: MichaelGaida / pixabay.com

https://pixabay.com/en/barbed-wire-video-camera-monitoring-1670222/

CC0 License