Tietosuoja ja tietoturva
Tietosuoja tarkoittaa säilytyksessä olevien tietojen suojaamista. Käytännössä tämä tarkoittaa henkilötietojen suojaamista.
Henkilön kannalta tietosuoja on perusoikeus, joka turvaa yksilön oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Tietosuoja perustuu lakiin.
Tietoturvan tarkoitus on puolestaan suojata tietoaineisto ja tietojärjestelmät ja se on näin yksi tietosuojan toteuttamisen keinoista. Yrityksen kannalta tietoturvalla suojataan myös yrityksen järjestelmiä asiattomien pääsyltä niihin. Hyökkäys tietojärjestelmiin voi tuottaa valtavia taloudellisia haittoja, koska koko tuotanto voi pysähtyä hyökkäyksen johdosta.
Tietosuojan ja tietoturvan inhimilliset ja teknologiset riskit
Inhimilliset riskit
- Huijauksiin lankeaminen
- Heikot salasanat
- Puutteellinen osaaminen
- Sähköpostin huolimaton käyttö
- Laitteiden hävittäminen
Organisaation teknologiset ja hallinnolliset riskit
- Ei huolehdittu työntekijöiden
tunnistamisesta (esimerkiksi 2-vaiheinen tunnistaminen) - Puutteellinen ohjeistus uusien
työntekijöiden perehdytykseen - Puutteellinen suunnittelu
Tietoturva riippuu muustakin kuin teknologiasta, joten sitä ei voi kokonaan ulkoistaa IT-hallinnolle.
Miten tietosuojasta huolehditaan?
- Riskien arviointi – minkälaisia riskejä yksilöihin kohdistuu henkilötietojen käsittelystä?
- Käsittelyn tarkoitusten ja perusteiden tunnistaminen ja dokumentointi
- Asiakkaiden ja muiden osallisten informointi esimerkiksi tietosuojaselosteella
- Käsittelyn suunnittelu
Miten tietoturvasta huolehditaan?
- Käyttöoikeuksien hallinta yrityksen sisällä – tiedot ovat saatavilla vain niitä todella tarvitseville, ja käyttöoikeuksia myös poistetaan prosessien mukaisesti
- Laitteiden ja palvelimien pitäminen suojattuina
- Työntekijöiden perehdytys ohjeistusten noudattamiseen (ohjelmien päivitykset, vahvat salasanat jne.)
Dokumentointi: lähtökohta tietoturvaan ja tietosuojaan
- Jos organisaatio ei ole dokumentoinut sitä, minkälaista tietoa sillä on, missä järjestelmissä tietoa on, mitä varten tietoa kerätään ja mitkä tahot (tai henkilöt) tietoa käsittelevät, sen on hyvin vaikeaa huolehtia tietosuojasta ja tietoturvasta riittävällä tasolla.
- Ilman dokumentointia on vaikeaa määritellä esimerkiksi sitä, kenellä tulisi olla käyttöoikeudet eri tietojärjestelmiin. Näin myöskään tietoturvan riskien tunnistaminen ei onnistu.
- Kun dokumentointi tehdään huolellisesti, huolehditaan samalla myös tietosuojan osoitusvelvollisuudesta.
Katso myös alla oleva webinaaritallenne, jossa käsitellään mitkä ovat perusasioita yritysten ja yksilön tietoturvan kannalta ja kuinka nämä kaksi nivoutuvat toisiinsa.
Muistilista:
Luo selkeät käytännöt ja toimintamallit yritykseen
- Vuosittainen koulutus henkilöstölle
- Oikeuksien hallinta – vain valtuutetuilla henkilöillä on pääsy arkaluontoiseen tietoon. Pääsyoikeuksien säännöllinen tarkistus.
- Salasananhallinta – Vahvan salasananan vaatiminen, salasanamanagerin käyttö
- Ohjeistus arkaluontoisen tiedon käsittelyyn. Esim. salasanojen jakaminen kielletty ja arkaluontoisen tiedon jättäminen digitaalisesti tai fyysisesti esille ei sallittua.
- Tietoturvaloukkauksiin vastaamisen ohjeistus – selkeä suunnitelma kuinka reagoidaan tietomurtoihin tai muihin turvallisuusloukkauksiin auttaa organisaatiota valmistautumaan niihin ja pitämään niiden vaikutuksen mahdollisimman pienenä.
- Phishing, eli kalastelu-ohjeistus henkilöstölle. Mahdollisesti myös ohjeistuksen jälkeen toteutettava käytännön testi. Lisätietoa tietojenkalastelusta voit lukea Tietosuojavaltuutetun toimiston sivuilta.
Hallitse riskejä
- Riskiarvion teko: Nykytilan tunnistaminen -> riskitasojen, etenkin kriittisten tunnistaminen -> aiheuttaako toimenpiteitä vai hyväksytäänkö riski (lista yleisistä riskeistä teemoittain/järjestelmittäin)? Riskiarvion teossa voi lähteä liikkeelle esimerkiksi linkkilistan työkaluista.
- Riskimatriisi: Alhainen-keskimääräinen-korkea + Vaikutuksen arviointi: Vähäinen-vakava-erittäin vakava. Lisätietoa riskien arvioinnista voit lukea Tietosuojavaltuutetun toimiston sivuilta.
Kuvan lähde: tietosuoja.fi/arvioi-riskit
- Laitteiden käyttö epäluotettavassa ympäristössä – mm. etätyön riski.
- oleta että pääsy tietoihin on aina uhattuna. Kuinka yhteydet ja tiedot suojataan sekä teknisesti että ohjeistuksilla? Ovatko sekä tietokoneet että mobiililaitteet suojattuja?
- Kuinka riskejä hallitaan järjestelmätasolla – onko mahdollista käyttää liian heikkoja salasanoja, voiko tietokantahakujen yhteydessä syöttää hyökkäyskoodia (sql-injektiot)?
- Löytyykö arkaluontoista tietoa tiedostoista (esim. taulukot) – hallittu ja monitoroitu tietokanta parempi pääsynhallinnan ja tiedon haun seuraamisen kannalta. Tämä myös täyttää lain ja parhaiden käytäntöjen vaatimukset.
- Henkilötietojen lähettäminen suojaamattomasti, esimerkiksi sähköpostitse, ei ole turvallinen toimintatapa. Jos tällaista tapahtuu, kannattaa syyt tunnistaa ja antaa oikeat toimintamallit.
Tee riskiarviot ja arvioi niitä säännöllisesti
- Turvakäytännöt tulee arvioida säännöllisesti. Aikataulun tarkastelulle voi tehdä esimerkiksi Digi- ja väestötietoviraston Tietosuojatyön vuosikellomallia hyödyntäen.
Lähteitä ja hyödyllisiä linkkejä:
- Lisätietoa tietosuojasta Tietosuojavaltuutetun toimiston sivuilta
- Traficomin Kyberturvallisuuskeskuksen ohjeet ja oppaat organisaatioille ja yrityksille
- FAIREDIHin Kyberturvallisuusopas pk-yrityksille
- PK-yrityksen tietosuojatyökalu (GDPR2DSM-hanke)
- Laajempi itsearviointityökalu kyberturvallisuudelle (Satakunnan ammattikorkeakoulun RoboAI-tutkimuskeskuksen kyberturvallisuuden asiantuntijayksikkö)
