Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Tietoturva ja tietoturvaloukkaukset

301 visualizaciones

Publicado el

Webinaari Snellman-kesäyliopiston järjestämällä Tietosuojavastaavan peruskurssilla (2 op) 3/3, 27.8.2019, Harto Pönkä, Innowise

Publicado en: Datos y análisis
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Tietoturva ja tietoturvaloukkaukset

  1. 1. Tietoturva ja tietoturva- loukkaukset Tietosuojavastaavan peruskoulutus 3/3, Snellman-kesäyliopisto, 2 op Harto Pönkä 27.8.2019 Kuva: Pixabay
  2. 2. Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Suojaustoimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
  3. 3. Tietosuojavastaavan riskienhallinta
  4. 4. • GDPR:n mukaan tietosuojavastaavan on ”otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset” (39 artikla) • Riskiarvioinnin teko eri henkilötietojen käsittelytoimista on siten GDPR:n mukainen tietosuojavastaavan perustyökalu. • Käytännössä tietosuojavastaava… – Arvioi, mihin käsittelytoimiin hänen on syytä varata enemmän aikaa ja resursseja. – Arvioi tarvetta vaikutustenarvioinneille ja antaa rekisterinpitäjälle neuvoja vaikutustenarvioinnin menetelmistä. – Arvioi tarpeita toteuttaa sisäinen tai ulkoinen tietosuojaa koskeva tarkastus. – Arvioi, mitä koulutusta tarvitaan henkilöstölle ja johdolle. – Seuraa ja analysoi tietosuojasääntöjen noudattamista ja tuo esiin puutteita. • Edellyttää mm.: seloste käsittelytoimista, riittävät resurssit, yhteistyö organisaation sisällä, pääsy henkilötietoihin, raportointi johdolle. Tietosuojavastaavan riskienhallinta Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
  5. 5. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  6. 6. • Tietosuojaa koskeva vaikutustenarviointi on rekisterinpitäjän vastuulla, mutta tietosuojavastaava voi suositella sen tekoa. • Ennen vaikutustenarviointia tietosuojavastaavan olisi jo tullut tehdä riskiarvio kyseisestä henkilötietojen käsittelytoimesta. • Vaikutustenarvioinnin yhteydessä tietosuojavastaavalta tulisi pyytää neuvoja mm. seuraavissa kysymyksissä: – Onko syytä tehdä tietosuojaa koskeva vaikutustenarviointi? – Mitä menetelmiä vaikutustenarviointia tehtäessä olisi noudatettava? – Kannattaako vaikutustenarviointi toteuttaa sisäisesti vai ulkoistaa tehtävä? – Mitä suojatoimia (ml. tekniset ja organisatoriset toimenpiteet) olisi toteutettava, jotta vähennetään rekisteröityjen oikeuksiin ja etuihin kohdistuvia riskejä? – Onko tietosuojaa koskeva vaikutustenarviointi toteutettu oikein ja vastaavatko sen päätelmät yleisen tietosuoja-asetuksen vaatimuksia? • Vaikutustenarvioinnin dokumentoinnissa kirjataan tietosuojavastaavan antamat suositukset sekä mahdollisista erimielisyyksistä perusteet, miksi tietosuojavastaavan neuvoa ei noudateta. Tietosuojavastaava vaikutustenarvioinnissa Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
  7. 7. Hallinto ja toimintakulttuuri •Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita •Tietoturvapolitiikka ja sen käytännöt on määritelty •Seloste käsittelytoimista ja informointi rekisteröidyille tehty •Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit •Henkilöstön roolit ja vastuut on määritelty •Salassapitovelvollisuus •Koulutukset ja uusien työntekijöiden perehdytys •Työsuhteiden päättymiselle on toimintamalli •Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta •Henkilötietojen käsittelylle on selvät ohjeistukset •Suostumukset ja kiellot huomioitu toiminnassa •Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa •Rekisteröidyt voivat hallita itse tietojaan •Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta •Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa •Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty •Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan •Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen •Rekisteröidyt tunnistetaan, kun tietoja kerätään •Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan •Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia Tekniset ja organisatoriset suojatoimet
  8. 8. Tietosuoja sähköisessä viestinnässä
  9. 9. Henkilötietojen julkaisu netissä: • Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille yksityishenkilöiden henkilötietoja • Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai muussa turvallisessa viestintäkanavassa esim. suojatussa extranetissä: • Arkaluontoisia henkilötietoja • Lain mukaan salassa pidettäviä tietoja ja asiakirjoja Yksityiset laitteet ja sosiaalisen median palvelut: • Tee linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä • Ohjeista somepalvelujen käyttö työhön liittyvässä yhteydenpidossa Henkilötiedot digitaalisessa viestinnässä Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
  10. 10. • Viestintä on perustuslain 10 §:n perusteella luottamuksellista. • Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat luottamuksellisen viestinnän piiriin. – Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea. – Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän sähköpostiosoitteeseen edellyttää tämän suostumusta. • Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän palveluista, 136 §): – Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim. kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä. – Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään. – Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta • Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon.. Viestinnän luottamuksellisuus Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  11. 11. GDPR vs. viestintäsalaisuus? • Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin • Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä • On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa • Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä
  12. 12. • Työnantajalle kuuluvan sähköpostiviestin hakeminen ja avaaminen työntekijän postilaatikosta ilman tämän lupaa on mahdollista työelämän tietosuojalain mukaisesti (laki yksityisyyden suojasta työelämässä, 6 luku) • ENSIN: Työnantajalla on huolehtimisvelvoite, että: – 1. Työntekijän käytettävissä on automaattivastaus-toiminto tai – 2. työntekijä voi ohjata viestit toiselle työnantajan hyväksymälle henkilölle tai toiseen omassa käytössään olevaan työnantajan hyväksymään osoitteeseen taikka – 3. työntekijälle varataan mahdollisuus antaa hyväksytylle henkilölle lupa ottaa vastaan viestejä, joista työnantajan on välttämätöntä saada tieto – 4. asia käsitellään YT-menettelyssä tai vastaavassa. • EDELLYTYKSET viestien (saapuneiden tai lähetettyjen) esille hakemiseen: – 1) vain yhdessä pääkäyttäjän kanssa, – 2) työnantajan toimintaan liittyvien neuvottelujen loppuun saattamiseksi, – 3) asiakkaan palvelemiseksi, – 4) työnantajan toimintojen turvaamiseksi. – JOS: 5) itsenäisesti työnantajan lukuun toimiva, eikä käytössä ole muuta vastaavaa järjestelmää, – 6) työntekijän tehtävien tai asioiden nojalla ilmeistä, että on työnantajalle kuuluvia viestejä, – 7) että työntekijän este on tilapäinen, eikä huolehtimisvelvoite ole ”tehonnut”, – 8) työntekijän suostumusta ei ole saatavilla riittävän nopeasti asian laatuun nähden. Työnantajalle kuuluvan viestin haku 1/2 Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  13. 13. • Viestien esille hakemisen menettelytapa: – 9) Kirjallinen, allekirjoitettu selvitys (ketkä, miksi, milloin) – 10) Selvitys välittömästi työntekijälle – 11) Ei saa käsitellä viestejä tarpeettoman laajasti – 12) Salassapitovelvoite voimassa työsuhteen ajan + sen jälkeen. • Kun viestien otsikkotiedot on haettu esille (kohdat 1-12) ja – ilmenee, että on em. syistä välttämätöntä avata tietty viesti, – eikä viestin lähettäjään saada yhteyttä sisällön selvittämiseksi tai lähettämiseksi työnantajalle, – voidaan edetä tietyn viestin avaamiseen. • Viestien avaamisen menettelytapa: – 13) pääkäyttäjä + ”todistaja” läsnä – 14) kirjallinen, allekirjoitettu selvitys (mikä viesti, milloin, ketkä, kenelle viestin sisältö on paljastettu) – 15) selvitys välittömästi työntekijälle – 16) viesti on säilytettävä – 17) käsittely- ja ilmaisukielto on voimassa. • Ks. työelämän tietosuojalaki, 6 luku: https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L6 Työnantajalle kuuluvan viestin haku 2/2 Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  14. 14. • Julkisuuslain 5 §:n mukaan viranomaisen asiakirjana pidetään myös tälle toimitettua asiakirjaa ja viestiä. • KHO:n ennakkopäätöksen mukaan: ”Wilma-järjestelmän kautta saapuneet ja lähetetyt viestit ovat pääsääntöisesti viranomaisen asiakirjoja, joihin sovelletaan julkisuuslakia”. • MUTTA tästä ei seuraa, että kuka vain voisi pyytää viranomaisen ja kansalaisen välisiä viestejä. Samaan aikaan on huomioitava: – Asiakirjapyyntö pitää yksilöidä riittävän tarkasti (esim. ajankohta ja asia) – Viestien mahdollisesti sisältämät salassa pidettävät tiedot (JulkL 24 §). • Näitä ovat mm. tiedot terveydentilasta, henkilökohtaisista oloista, oppilashuollosta ja henkilökohtaisten ominaisuuksien sanallisesta arvioinnista, salaisesta puhelinnumerosta ja yhteystiedoista, jos henkilö on pyytänyt salassapitoa ja hänellä on perusteltu syy epäillä itsensä tai perheensä tulevan uhatuksi. – Laissa säädetyt vaitiolovelvollisuudet. • Perusopetuslain 40 §:n mukaan opetuksen järjestämisestä vastaavat, rehtori ja opettajat, kouluterveydenhuollon ja oppilashuollon edustajat eivät saa sivullisille ilmaista, mitä he ovat saaneet tietää oppilaiden, henkilöstön tai heidän perheenjäsenten henkilökohtaisista oloista ja taloudellisesta asemasta. • Tietosuojalain 35 §:n mukaan se, joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi. Viestit viranomaisen asiakirjoina (Wilma) Lähteet: Julkisuuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621, KHO:n päätös 4242/2016, https://www.kho.fi/fi/index/paatoksia/muitapaatoksia/muupaatos/1475735437486.html
  15. 15. Somepalvelujen tietosuojasta
  16. 16. • GDPR:n mukaan 16-vuotias (Suomessa 13-v.) voi antaa itse suostumuksen henkilötietojen käsittelyyn tietoyhteiskunnan palveluissa kuten somepalveluihin rekisteröitymiseen. – Somepalvelut vaativat joko käyttäjän syntymäajan tai ilmoittavat ehdoissaan käyttöehtojen hyväksymiseen vaadittavan iän. – Jotkin palvelut kertovat poistavansa liian nuorten käyttäjätunnukset, mutta eivät käytännössä pyri varmistamaan käyttäjien ikiä. • GDPR ei edellytä, että somepalvelut pyytäisivät käyttäjien todelliset nimet. Esimerkiksi Twitter ja Google eivät vaadi oikeaa nimeä, mutta Facebook vaatii ”nimen, jota käytät elämässäsi”. • Somepalveluissa on eroja, kielletäänkö käyttäjätunnuksen antaminen jonkun muun käyttöön. Esimerkiksi Facebook kieltää tämän. • Tavallisesti tunnuksiin liitetään sähköpostiosoite ja/tai puhelinnumero. • Useat somepalvelut kuten Facebook ja LinkedIn mahdollistavat organisaatioiden tietosuojaselosteiden linkittämisen niiden profiileihin sekä ns. liidien keräyslomakkeille. • Useat somepalvelut ovat tehneet organisaatioiden käyttöä varten valmiin sopimuksen henkilötietojen käsittelystä. Miten GDPR vaikutti somepalveluihin?
  17. 17. Lähde: Facebookin käyttöehdot, ”Meille antamasi luvat ja oikeudet”, https://www.facebook.com/legal/terms (22.5.2019) Somepalvelujen käyttöehdot antavat ison vastuun käyttäjille, mutta vaativat laajat oikeudet näiden tietoihin – myös kaupalliset oikeudet käyttäjien nimiin.
  18. 18. Kuvakaappaus: https://twitter.com/valtioneuvosto/status/1126065410242117632 (22.5.2019) Jos somejulkaisun tarkoitus on ainoastaan journalistinen, kirjallinen tai taiteellinen, siihen ei sovelleta useimpia GDPR:n velvoitteita. Näin ei kuitenkaan voida julkaista alun perin muuhun tarkoitukseen kerättyjä henkilötietoja. Käyttäjät ovat hyväksyneet somepalvelujen käyttöehdot, joiden puitteissa julkaisuja voidaan esimerkiksi jakaa ja upottaa muualle. Myös lainaaminen on yleensä mahdollista. Somepalvelujen käyttäjätunnukset voivat olla henkilötietoja, jos ne mahdollistavat henkilön tunnistamisen. Tämä on huomioitava, jos niitä tallennetaan palvelun ulkopuolelle.
  19. 19. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
  20. 20. Pikaviestipalvelujen tietosuoja Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
  21. 21. WhatsApp Business -sovellus • Android-versio tammikuussa 2018, iOS-versio huhtikuussa 2019 • Asennettu yli 50 miljoonaa kertaa • Kuten WhatsApp-sovellus, mutta voi luoda profiilin yritykselle/organisaatiolle • Sisältää GDPR:n mukaisen sopimuksen henkilötietojen käsittelystä • Keskustelun aloitus linkin kautta • Automaattiset aloitusviestit, pikavastaukset, tilastot • Android: https://play.google.com/store/apps/details?id=com.wh atsapp.w4b • iOS: https://itunes.apple.com/app/whatsapp- business/id1386412985?mt=8
  22. 22. Pilvipalvelut ja tietojärjestelmät
  23. 23. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. yrityksen G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? Kysymys: henkilötiedot pilvipalveluissa • Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. – Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU- komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
  24. 24. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Yhdysvaltalaisia palveluita voidaan käyttää myös rekisteröityjen tai alaikäisten huoltajien suostumuksella tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  25. 25. Tietojärjestelmien GDPR-valmius?
  26. 26. Tietoturvan osa-alue Vaatimus Vastaus Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko se ulkoistettu? Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa? Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset? Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä? Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset? Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen? Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö? Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet? Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen tai poistaminen estetty? Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista suunnitelma, joka huomioi erilaiset tietojen palautustarpeet? Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia? Tietoturvapäivitykset Luottamuksellisuus, eheys, saatavuus Onko järjestelmässä automatisoitu (tietoturva)päivitysten jakelu? Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma? Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen salaamiselle tai pseudonymisoinnille? Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu? Tietoturvatestaus Luottamuksellisuus, eheys, saatavuus Tehdäänkö säännöllisiä tietoturvatestauksia? Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel), saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
  27. 27. Pilvipalveluiden vastuunjakomallit Lähde: Traficom, Kyberturvallisuuskeskus, 2019, Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri), https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Pilvipalveluiden_turvallisuuden_arviointikriteeristo_PiTuKri.pdf • Pilvipalveluissa vastuut jakautuvat palveluntarjoajan ja asiakkaan välillä. • Pilvipalvelun tarjoaja on sopimukseen perustuen henkilötietojen käsittelijä (data controller). • IaaS = Infrastructure as a Service eli infrastruktuuri palveluna • PaaS = Platform as a Service eli ohjelmistoalusta palveluna • SaaS = Software as a Service eli ohjelmisto palveluna
  28. 28. • Osa-alue 1: Esiehdot – EE 01: Järjestelmäkuvaus – EE 02: Lainsäädäntöjohdannaiset riskit • Osa-alue 2: Turvallisuusjohtaminen – TJ 01: Turvallisuusperiaatteet – TJ 02: Turvallisuuden vastuut – TJ 03: Turvallisuusriskien hallinta – TJ 04: Turvallisuuspoikkeamien hallinta – TJ 05: Jatkuvuudenhallinta – TJ 06: Tietojen ja muiden suojattavien kohteiden luokittelu ja merkintä – TJ 07: Vaatimustenmukaisuus ja tietosuoja – TJ 08: Palveluntarjoajien ja toimittajien turvallisuus • Osa-alue 3: Henkilöstöturvallisuus – HT 01: Työsuhteen elinkaaren huomioiminen – HT 02: Henkilöstön luotettavuuden arviointi – HT 03: Salassapito- ja vaitiolositoumukset – HT 04: Turvallisuustietoisuus – HT 05: Tiedonsaantitarpeet ja tehtävien erottelu • Osa-alue 4: Fyysinen turvallisuus – FT 01: Monitasoinen suojaaminen ja riskienhallinta – FT 02: Rakenteet ja turvallisuusjärjestelmät – FT 03: Luvattoman pääsyn estäminen – FT 04: Palveluntuottajat ja vierailijat – FT 05: Varautuminen ja jatkuvuudenhallinta • Osa-alue 5: Tietoliikenneturvallisuus – TT 01: Tietoliikenneverkon rakenne – TT 02: Yleisiä verkkohyökkäyksiä vastaan suojautuminen – TT 03: Hallintayhteydet • Osa-alue 6: Tietojärjestelmäturvallisuus – JT 01: Käyttöoikeushallinta – JT 02: Käyttäjätunnistus – JT 03: Jäljitettävyys ja havainnointikyky – JT 04: Järjestelmäkovennus – JT 05: Tiedon erottelu – JT 06: Haittaohjelmasuojaus – JT 07: Suojattavien kohteiden siirtäminen ja poistaminen – JT 08: Salauskäytännöt ja avainhallinta • Osa-alue 7: Tietoaineistoturvallisuus – TA 01: Salaus fyysisesti suojatun alueen ulkopuolella – TA 02: Salaus fyysisesti suojatun alueen sisäpuolella – TA 03: Tietoaineistojen hävittäminen • Osa-alue 8: Käyttöturvallisuus – KT 01: Järjestelmäkuvaus jatkuvuuden ja käyttöturvallisuuden tukemiseksi – KT 02: Suorituskyvyn hallinta – KT 03: Varmuuskopiointi – KT 04: Haavoittuvuuksien hallinta – KT 05: Etäkäyttö ja -hallinta • Osa-alue 9: Siirrettävyys ja yhteensopivuus – SI 01: Siirrettävyys ja yhteensopivuus • Osa-alue 10: Muutostenhallinta ja järjestelmäkehitys – MH 01: Muutostenhallinta – MH 02: Järjestelmäkehitys Pilvipalveluiden turvallisuuden arviointi Lähde: Traficom, Kyberturvallisuuskeskus, 2019, Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri), https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Pilvipalveluiden_turvallisuuden_arviointikriteeristo_PiTuKri.pdf
  29. 29. Muut tietoturvauhat
  30. 30. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf
  31. 31. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf
  32. 32. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf Office 365 -huijaus (2018-)
  33. 33. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf Tietojen kalastelu ja tietomurto
  34. 34. 1. Hyökkääjät etsivät haavoittuvia verkkopalveluita, joita voidaan käyttää esim. mainostamiseen tai virusten ja haittaohjelmien levittämiseen. 2. Saastunut palvelu etsii palvelun käyttäjien käyttöjärjestelmän, selaimen ja sen liitännäisten tietoturva-aukkoja, joiden kautta voidaan asentaa viruksia ja haittaohjelma. Saastuneet verkkopalvelut Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
  35. 35. Huolehdi verkkosovellusten päivityksistä Lähde: Sucuri, 2018, https://sucuri.net/reports/2018-hacked-website-report/ WordPress-julkaisujärjestelmä on useimmin hakkeroinnin kohteeksi joutunut verkkosovellus.
  36. 36. 5 neuvoa mobiilisovellusten arviointiin 1. Asenna sovelluksia vain luotetuista sovelluskaupoista. – Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista Googlen ja Applen sovelluskaupoista. 2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute. – Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä. – Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät voivat hyväksikäyttää. 3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää palvelevaan toiminnallisuuteen. – Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin. – Tarkista sovellusten oikeudet aika ajoin. 4. Tutustu sovelluksen käyttöehtoihin. – Mitä tietojen keräämisestä ja käsittelystä kerrotaan? – Missä maassa tietoja käsitellään? 5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän mobiililaitteiden käytöstä. – Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin. Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html
  37. 37. Tietoturvaloukkaukset
  38. 38. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Tietosuojavastaavaa kuullaan mahdollisimman nopeasti tietoturvaloukkauksen tai muun tietosuojaan liittyvän ongelman tullessa esiin. • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  39. 39. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2018, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Vuosikatsaus_2018_tulostettava_sivuttain.pdf Henkilötietoloukkaukset Suomessa
  40. 40. Havainto Rekisterinpitäjä havaitsee tai saa tietoonsa tietoturvaloukkauksen. Dokumentointi Kaikki tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet dokumentoidaan. Riskiarvio Aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille? Ei Ilmoituksia ei edellytetä Kyllä Ilmoitus valvontaviranomaiselle Yleensä ilmoitus tehdään rekisterinpitäjän päätoimipaikan maan valvontaviranomaiselle. Ilmoitus rekisteröidyille Ilmoitetaan kohteena oleville henkilöille ja annetaan tarvittaessa ohjeita, miten he voivat suojautua seurauksilta. Ilmoitusvelvollisuus tietoturva- loukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/ Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46 -33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittami nen+fi.pdf
  41. 41. Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  42. 42. Keskustelu & kysymykset
  43. 43. Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

×