Maailman vallitseva tilanne ja kyberhyökkäykset – miten yrityksesi on varautunut?
Maailmalla tilanne on muuttunut nopeasti huolestuttavaksi ja jokainen meistä seuraa varmasti tapahtumia enemmän tai vähemmän. Erilaiset kyberhyökkäykset ja tietomurrot ovat olleet esillä jo useamman vuoden. Tietomurtojen kohteena ovat olleet niin esimerkiksi potilastiedot kuin sosiaalisessa mediassa sijaitsevat henkilötiedot. Nykyinen maailman tilanne asettaa haasteita pohdittaessa sitä, onko yksityisyytemme suojassa. Tässä vaiheessa on hyvä tarkistaa, että yrityksesi tietoturvaa sekä tietosuojaa koskevat prosessit ovat ajan tasalla ja riittävät.
Maailmalla niin yksittäisiä henkilöitä kuin yrityksiäkin ovat viime vuosien ajan koetelleet todella poikkeukselliset tilanteet, joita tuskin kovin moni on osannut ennustaa. Pandemia ja epävakaa tilanne ovat aiheuttaneet monia muutoksia yritysten toimintoihin, ennen kaikkea operatiiviseen toimintaan ja kaupankäyntiin. Viimeisimpänä Euroopan alueella käytävä sota on aiheuttanut sen, että yritykset ovat joutuneet uudelleen arvioimaan oman toimintansa vastuullisuutta, ja pohtimaan, miltä yrityksen tulevaisuus tulee näyttämään. Osana vastuullisuutta tulee arvioida, miten yritys suojaa omia työntekijöitään ja asiakkaitaan niin, että yksityisyys ja henkilötiedot pysyvät suojassa. Tietosuojasta ja tietoturvasta huolehtiminen on osa vastuullista yritystoimintaa. Kyberhyökkäysten vaikutukset ovat näkyneet jo aiemmin (esimerkiksi Vastaamon tietomurto). Viimeistään nyt on aika pysähtyä ja arvioida yrityksesi käytäntöjä yleistä tietosuoja-asetusta (GDPR) silmällä pitäen: milloin yrityksen tietosuojakäytännöt sekä tietoturvamekanismit on viimeksi tarkistettu? Onko niitä syytä päivittää?
Tekniset ja organisatoriset toimenpiteet keinona suojautua
Tietoturva ja tietosuoja ovat kaksi eri asiaa. Tietoturvaa voi yksinkertaisemmin ajatella keinona, jolla tietosuojaa eli henkilötietojen suojaamista voi toteuttaa. Tietoturvaa koskevat asiat luokitellaan teknisiin toimenpiteisiin, ja näitä voivat olla muun muassa salasanasuojaukset, asiakirjojen oikea tuhoamistapa, virustorjuntaohjelmat, palomuurit ja jopa rakennuksen suojausjärjestelmät. Organisatoriset toimenpiteet puolestaan ovat pääasiassa yritysten sisäisiä käytäntöjä, joilla muun muassa ohjeistetaan sitä, miten työntekijät voivat omalta osaltaan myötävaikuttaa tietosuojan ja tietoturvan pitävyyteen. Näihin organisatorisiin toimenpiteisiin luetaan esimerkiksi tietosuojaselosteet, riskiarvioinnit, koulutukset ja auditoinnit. Organisatoristen toimenpiteiden osalta on kuitenkin hyvä muistaa, että esimerkiksi pelkkä tietosuojaselosteen laatiminen ei vielä riitä. On erityisen olennaista, miten näitä käytäntöjä, ohjeistuksia ja toimenpiteitä noudatetaan käytännön tasolla.
Arvioitaessa tietosuojan ja tietoturvan suojakeinoja, on painoarvoa annettava juuri teknisille ja organisatorisille toimenpiteille. Tärkeimmät suojautumiskeinot on kuvattu yleisen tietosuoja-asetuksen artiklassa 32 (”Käsittelyn turvallisuus”). Artikla sisältää kriittisimmät suojautumiskeinot, kuten henkilötietojen salauksen, minkä avulla yrityksen tulisi toteuttaa tietoturvaansa. Tekniset ja organisatoriset toimenpiteet saattavat kuulostaa massiivisilta ja monimutkaisilta, mutta todellisuus sanojen takana on huomattavasti yksinkertaisempi. On hyvä kysyä, milloin näitä toimenpiteitä on viimeksi käyty läpi ja arvioitu niiden päivityksen tarvetta.
Teknisten ja organisatoristen toimenpiteiden sisällöstä on kirjoitettu melko laajamittaisesti, ja tietoa löytyy esimerkiksi Tietosuojavaltuutetun sivuilta.
Mitä sitten tulee huomioida, kun pohditaan teknisten ja organisatoristen toimenpiteiden riittävyyttä?
Tekniset ja organisatoriset toimenpiteet ovat vahvasti tietosuojan ytimessä, kun arvioidaan, onko yritys suojautunut tarpeeksi laajasti ja vahvasti kyberhyökkäyksiä ja muita tietoturvaloukkauksia vastaan. Tänä päivänä hakkerointi ja tietojen kalastelu on niin kehittynyttä ja tehokasta, että sitä vastaan ei voi täysin suojautua. GDPR:n vaatimusten täyttäminen on jatkuva prosessi, jota tulee jatkuvasti arvioida uudelleen ja päivittää tarpeen mukaan. Jos yrityksesi on päivittänyt tietosuojaselostettaan ja tietoturvakäytäntöjään viimeksi kaksi vuotta sitten, on enemmän kuin todennäköistä, että ne eivät ole enää ajan tasalla ja korjausliikkeitä tarvitaan välittömästi. Tästä hyvänä esimerkkinä toimii Google Analyticsin viimeaikainen tapaus. Google Analytics on ollut ja on edelleenkin usean yrityksen käytössä analytiikka- ja tiedonkeruupalveluna, mutta Euroopan tietosuojaviranomaiset ovat todenneet sen GDPR:n vastaiseksi, ja näin ollen riittämättömäksi suojaukseltaan, sillä se mahdollistaa muun muassa USA:n tiedustelupalvelun vapaan tiedonhankinnan.
Tekniset ja organisatoriset toimenpiteet kattavat laaja-alaisesti erinäisiä keinoja ja tapoja suojautua tietoturvaloukkauksia kuten kyberhyökkäyksiä vastaan, eikä niitä voi tyhjentävästi luetella. Varmaa kuitenkin on vain se, että suojamekanismeja ei voi ikinä olla liikaa.
Helposti haavoittuvat osa-alueet ovat jokaisen päivittäisessä käytössä
Merkittävää GDPR:ssä on se, että vaikka se lähtökohtaisesti koskee ainoastaan Euroopan unionin maita, on sillä kuitenkin ollut mittavia vaikutuksia kansainvälisellä tasolla.
Tietosuoja- ja tietoturvaloukkauksia toteutetaan usein erilaisten organisaatioiden toimesta, mutta kyberhyökkääjät voivat olla myös yksittäisiä henkilöitä. Useiden tilastojen ja tutkimusten perusteella yksi haavoittuvimmista osa-alueista yritysten toiminnassa on monivaiheisen autentikoinnin (multi-factor authentication, MFA) puuttuminen. Kyberhyökkääjien työ muodostuu erittäin helpoksi, kun ainoastaan yhden salasanan varastaminen tai selvittäminen antaa pääsyn kaikkiin yrityksen tai organisaation verkostoihin. Myös tietoturvajärjestelmien päivittäminen on ehdottoman tärkeää. Jos tietoturvajärjestelmiä ei päivitetä säännöllisesti, avaa se mahdollisuuden kyberhyökkääjille käyttää haittaohjelmia ja vaarantaa esimerkiksi sisäisten verkostojen luotettavuuden.
Yritysten on viimeistään nyt perusteltua tehdä arviointi organisaationsa tietosuojan ja tietoturvan riittävyydestä. Lisäksi on suositeltavaa arvioida riskianalyysien riittävyyttä, suojausten tasoa, rekistereiden pitämisen tarpeellisuutta ja kattavuutta, sisäisiä auditointeja sekä sitä, onko yrityksen sisällä todella tarpeeksi kattavasti ja riittävästi informoitu ja koulutettu henkilöstöä. Jo start-up -vaiheessa on hyvä käydä läpi ainakin seuraavat asiat:
- Onko henkilöstö koulutettu ja tietoinen GDPR:n vaatimuksista?
- Onko tarvittavat tietosuojaselosteet ja sisäiset käytännöt laadittu?
- Onko tietosuojalle määrätty vastuuhenkilö(t), joka hoitaa päivittäistä tietosuojan ylläpitoa?
- Onko sisäisille prosesseille, ohjelmistoille, käytännöille ja ohjeistuksille laadittu riskianalyysi ja koottu tiedot siitä mitä henkilötietoja käsitellään ja miten?
- Miten tietoturvan taso korreloi tietosuojan asettamia vaatimuksia?
- Voiko henkilötietojen suojan tasoa kehittää millään osa-alueella entisestään?
Tämän kokonaisuuden voi kiteyttää yhteen kysymykseen, joka soveltuu hyvin sekä yrityksiin että yksityisiin henkilöihin: onko oma toimintani joka päivä sellaista, että omat sekä muiden henkilötiedot ja yksityisyys on turvassa?
Maailma muuttuu jatkuvasti ja ohjeistukset, määräykset sekä muut suuntaviivat elävät myös tietosuojan osalta. Selkeä ja hyvin mietitty pelisuunnitelma on suuri askel kohti vastuullista yritystoimintaa, mutta omien epävarmuuksien ja kysymysten kanssa ei tarvitse taistella yksin. Liekkeellä autamme näiden pulmien ratkaisemisessa.
Ota yhteyttä, niin keskustellaan lisää!