Blogi

Tietosuoja-asetuksen vaikutus kyberturvallisuuteen

Kyberturvallisuus – tuo varsin jännittävältä kuulostava käsite on ollut esillä mediassa viime aikoina. Asia tuli puheeksi presidenttimme Sauli Niinistön vierailulla Valkoisessa talossa, jossa Yhdysvaltain presidentti Donald Trump ylisti Suomea maailman johtavaksi kyberturvallisuuden osaajaksi. Kyberturvallisuustyö on otettu Suomessa vakavasti, ja valtioneuvoston viestintäosaston vuodeksi 2020 asettama strateginen tavoite on olla maailmanlaajuinen edelläkävijä kyberuhkiin varautumisessa ja niiden aiheuttamien häiriötilanteiden hallinnassa.

Mitä kyberturvallisuudella tarkoitetaan?

Kyberturvallisuus huolehtii koko sähköisen- ja verkotetun yhteiskuntamme toiminnan turvaamisesta. Kun lähdetään miettimään mitä nämä toiminnot käsittävät, huomataankin pian, että suurimmassa osassa päivittäin käyttämistämme palveluista on taustalla teknologia. Sähkön- ja vedenjakelu, lennonjohto, junaliikenteen ohjaus ja rahaliikenne ovat riippuvaisia kyberympäristön asianmukaisesta toiminnasta. Hakkerointi esimerkiksi lähijunaliikenteen ohjausjärjestelmään voisi aiheuttaa sekasorron, ja jopa hengenvaarallisia tilanteita.

Kyberturvallisuus pyrkii tunnistamaan, ehkäisemään ja varautumaan vastaaviin kyberuhkiin ja muihin häiriöihin, joilla olisi vaikutuksia yhteiskuntamme kriittisiin toimintoihin.

Käsitteenä kyberturvallisuus on hyvin laaja, sillä se kattaa koko infrastruktuurin. Sen yksi osa – tietoturva keskittyy tietojen käsittelyyn ja niiden turvaamiseen. Tietoturva käsittää tekniset ja organisatoriset ratkaisut tietojen luotettavuuden, eheyden ja saatavuuden takaamiseksi koko niiden elinkaaren ajan. Tietosuojalla puolestaan tarkoitetaan lakiin, hyviin tapoihin ja käytänteisiin perustuvaa tietojen käsittelyä, jonka päämääränä on henkilön yksityisyyden suojaus. Termit ovat pitkälti toisiaan sivuavia ja usein puhuttaessa tietoturvasta tarkoitetaan myös tietosuojaa.

Tietosuoja – tärkeä pala isoa kokonaisuutta

Uutta EU:n tietosuoja-asetusta aletaan soveltamaan toukokuussa 2018. Asetus koskee kaikkia toimijoita EU-alueella ja sen noudattamatta jättämisen sanktiot ovat korkeat. EU:n nykyinen henkilötietojen käsittelyä koskeva henkilötietodirektiivi on peräisin vuodelta 1995, joten sen päivittäminen lieneekin paikallaan, kun huomioidaan yhteiskuntamme kehitys reilun 20 vuoden aikana. Tietosuoja-asetus pyrkii turvaamaan EU-kansalaisten henkilötietojen käsittelyn asettamalla sille nykyaikaa vastaavat vaatimukset. Asetus tuo samalla oikeuksia rekisteröidyille henkilöille saada esimerkiksi tietää mitä tietoa hänestä on kerätty, ja mihin tarkoitukseen sitä käytetään.

Tietosuoja-asetus koskettaa tieto- ja kyberturvallisuutta, sillä se edellyttää organisatoristen ja teknisten ratkaisujen päivittämistä, jotta asetuksen tuomiin vaatimuksiin pystytään vastaamaan.

Asianmukaisesta tieto- ja kyberturvallisuudesta huolehtiminen on edellytys tietosuojan toteutumiselle. Organisaatioissa joudutaan pohtimaan mitä toimenpiteitä niin tietojenkäsittelyn prosesseille, kuin tietojärjestelmille tulee tehdä, jotta tietosuoja-asetuksen vaatimukset täyttyvät. Haasteena on kuitenkin vaatimusten käytännöntoteutus olemassa oleviin tietojärjestelmiin. Saadaanko esimerkiksi kaikki rekisteröidystä kerätyt tiedot tuotua järjestelmistä ulos rekisteröidyn näin pyytäessä? Ilman automatisointia, toimenpiteestä tulee resursseja syövä manuaalinen tiedonkeruuprosessi eri järjestelmistä ja mahdollisesti kolmansilta osapuolilta. Entä miten henkilötietojaan pyytävän rekisteröidyn identiteetti voidaan todentaa? Sähköpostitse tulleen kyselyn takana voi olla kuka tahansa.

Tietosuoja-asetus ja sen tuomat vaatimukset aiheuttavat väistämättä yrityksille päänvaivaa. Pohditaan, miten tietosuojatyö voidaan rajata, koska sen tuoma työmäärä voi tuntua loputtomalta. Vielä tässä vaiheessa, ennen kuin asetusta aletaan soveltamaan ja ensimmäiset tietosuoja-asetuksen rikkomukset ilmenevät, on hyvä pelata varman päälle. Kannattaa kartoittaa oman organisaation henkilötietojen käsittelyn ja tietoturvallisuuden nykytila, arvioida toimintaan liittyvät riskit ja tehdä toimenpidesuunnitelma asetuksen vaatimuksien täyttämiseksi. Ensi vuoden toukokuu tulee yllättävän pian!

Lähteet:
Mitä on kyberturvallisuus? / ek.fi
Kyberturvallisuutta vai tietoturvallisuutta? / coreblog
Trump ylisti Suomen kyberturvaosaamista – Suomi ei ole edelläkävijä / Tivi
Suomen kyberturvallisuuden nykytila, tavoitetila ja tarvittavat toimenpiteet tavoitetilan saavuttamiseksi / Valtioneuvosto
Valtiovarainministeriön VAHTI työohje

Liittyvät materiaalit