Ajankohtaista/8.12.2020
Tietosuojasta tietoturvaan – Kouluttaminen, varautuminen ja vakuuttaminen
Erkko Korhonen
Mitä yritysten tulisi ottaa huomioon pohtiessaan henkilötietoja koskevia tietoturvatoimenpiteitä henkilötietoja koskien? Ja erityisesti tilanteessa, jossa tietojen käsittelyyn osallistuu palveluntarjoajia? Käsittelimme aikaisemmin ilmestyneessä blogikirjoituksessamme tietoturvaan liittyvää riskiarviointia ja toimittajien tietoturvan arviointia. Tässä kirjoituksessa käsittelemme tietoturvaan liittyvän koulutuksen, varautumissuunnitelman ja vakuuttamisen merkitystä.
Työntekijöiden kouluttaminen avainasemassa
Usein keskustelu tietoturvasta keskittyy tekniseen tietoturvaan, mutta jo tietosuoja-asetuksen vaatimuksena on, että myös hallinnolliset ja organisatoriset näkökulmat huomioidaan. Keskeisenä osana on oman henkilökunnan (ja sitä vastaavien sidosryhmien, kuten alihankkijoiden) kouluttaminen tietoturva-asioissa.
Se, että työntekijät kuittaavat lukeneensa yrityksen tietoturvaohjeistuksen ei ole riittävää. Kattavalla ja säännönmukaisella koulutuksella voidaan vähentää sitä riskiä, joka liittyy inhimillisiin tekijöihin: monen järjestelmän osalta ihminen onkin heikoin tekijä. Tietoturvan kannalta kriittisimmillä toimialoilla on syytä edellyttää tietoturvakoulutuksen ”läpäisemistä” ennen pääsyä järjestelmiin.
Jotta vastuu tietoturvasta ei jää kantamatta, kouluttamisen lisäksi tietoturvaan liittyvä vastuu tulee osoittaa organisaatiosta henkilö(i)lle, joiden tehtäviin kuuluu tietoturvan johtaminen ja organisointi. Lisäksi tietoturvan ja yleisestikin tietosuojan onnistuminen edellyttää, että organisaatioon rakennetaan oikeakulttuuri rakentamista, ja tässä on johdon sitoutumisella suuri merkitys.
Voiko tietoturvaloukkauksiin varautua?
Usein kuulee todettavan, että tietoturvaloukkauksiin tulee varautua jossittelun sijaan ”kun tapahtuu” -periaatteella. Moderneimmatkaan tietoturvaratkaisut eivät voi taata täyttä suojaa. Valitettava tosiasia on, että kyberrikolliset ovat usein hyvin eteviä ja monesti askeleen edellä. Usein tietoturvaloukkauksen havaitsemiseen meneekin huomattavan pitkä aika (keskimäärin 70–100 päivää) tai loukkaus voi jäädä tyystin huomaamatta.
Kriisinhallintakeinot haltuun
Kun tietoturvaloukkaus havaitaan, on yrityksellä oltava selkeä prosessi tilanteen arvioimiseksi ja tarvittavien toimenpiteiden suorittamiseksi – koskevatpa ne sitten haittojen ja vahinkojen minimointia tai tietoturvaloukkauksesta ilmoittamista viranomaisille (tietosuojaviranomainen, poliisi, Kyberturvallisuuskeskus), kohteena oleville henkilöille tai muille tahoille. Tätä prosessia tulee myös testata esimerkiksi simulaatioilla.
Valvo → Havainnoi → Reagoi → Käsittele → Ilmoita
Vakavimmat tietoturvaloukkaukset, kuten tietomurrot, identiteettivarkaudet, arkaluonteisten tietojen paljastuminen ja paljastamisella kiristäminen, voivat johtaa todelliseen kriisiin, jolla on merkittäviä vaikutuksia paitsi yritykseen myös – ja ennen kaikkea – niihin yksilöihin, joita asia koskettaa. Tällaisia tilanteita varten yrityksellä on oltava kriisinhallintaprosessi, joka on laadittu ja testattu kaikki relevantit sidosryhmät (media, yksilöt, viranomaiset, yhteistyötahot) huomioiden. Huolellisella valmistautumisella yritykset voivat ”kun tapahtuu” -tilanteessa minimoida syntyvää vahinkoa, edistää tietoturvaloukkauksista vastuullisten selvittämistä sekä osoittaa vastuullisuutensa, mikä on tärkeä tekijä tilanteessa, jossa tietoturvaloukkaus on aiheuttanut vakavan maineriskin vaaran.
Turvaa vakuutuksista?
Usein tahot, jotka pyrkivät hyötymään tietoturvan aukoista, toimivat hyvin ammattimaisesti, eikä loukkauksia voida käytännössä aukottomasti estää. Siten yritysten onkin syytä osana tietoturvariskien hallintaa kartoittaa yrityksen mahdollisuudet suojautua erinäisiltä tietoturvaloukkauksilta vakuutusten avulla. Markkinoilla on jo saatavilla monenlaisia vakuutustuotteita, jotka tarjoavat taloudellista suojaa tietoturvaloukkauksiin. Vakuutukset voivat tarjota paitsi taloudellista suojaa, myös vakuutuksenantajan asiantuntijaverkoston (tekniset asiantuntijat, juridiikka) yrityksen käyttöön. Vakuutus ei kuitenkaan poista tai vähennä yrityksen velvollisuutta toimia huolellisesti ja panostaa tietoturvaan. Mitä merkittävässä asemassa esimerkiksi henkilötiedot tai muut arkaluontoiset tiedot ovat yrityksen liiketoimintaa, sitä perustellumpaa vakuutuksen ottaminen on.
Podcast: Tietosuoja ja tietoturva
Kuuntele myös ajankohtainen podcast aiheesta: Boreniuksen IP & Tech -praktiikan osakas Erkko Korhonen sekä lakiasiain- ja kehitysjohtaja Niko Jakobsson ja toimitusjohtaja Casper Herler keskustelevat tietoturvan ja tietosuojan tulevista kehityssuunnista.
***
Jos ylläesitetyt näkökulmat herättävät kysymyksiä tai haluat muutoin keskustella teemasta, tietosuojaan ja tietoturvaan erikoistuneet asiantuntijamme keskustelevat mielellään kanssanne.
Erkko neuvoo asiakkaitamme teknologiaan liittyvissä transaktioissa ja järjestelyissä sekä ICT-projekteihin, ulkoistukseen ja pilvipalveluihin liittyvissä kysymyksissä. Erkon toimenkuvaan kuuluu myös datatalouteen liittyvät kysymykset sekä yleisesti kaikki tietoturvaan ja tietosuojaan liittyvät kokonaisuudet, erityisesti tietosuoja-asetukseen ja sähköisen viestinnän tietosuojaan liittyvät kysymykset.
Erkko vastaa Boreniuksen Technology & Data -tiimistä yhdessä Samuli Simojoen kanssa.