Kyberturvallisuus – organisaation ja tietojen suojaaminen, EU:n tietosuoja-asetukset Tuomas Tonteri, yrittäjä, toimitusjohtaja elfGROUP Kyberturvallisuuspalvelut Oy Tietopäivä suurten tilaajien vaatimuksiin alihankintaverkostoille 16.2.2017, Kalajoki
16
Embed
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-asetukset
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Kyberturvallisuus – organisaation ja tietojen suojaaminen,EU:n tietosuoja-asetukset
Tuomas Tonteri, yrittäjä, toimitusjohtajaelfGROUP Kyberturvallisuuspalvelut Oy
Tietopäivä suurten tilaajien vaatimuksiin alihankintaverkostoille16.2.2017, Kalajoki
kyberturvallisuus | elfgroup.fi
elfGROUP – Kyberturvallisuudesta kilpailuetua
elfGROUP Kyberturvallisuuspalvelut Oy on suomalainen sähköisten tietojen turvalliseen hallintaan erikoistunut yritys, jonka ratkaisut suojaavat yritysten liiketoiminnan kyberturvallisuusriskeiltä.
elfGROUP tuottaa kyberturvallisuuden asiantuntijapalveluita ja pilvipalveluita kaikenkokoisille yrityksille. elfGROUP on perustettu v.2010 ja sen liikevaihto on ~0,85M€ (2016). Yrityksen palveluksessa työskentelee 12 kyberturvallisuuden ammattilaista.
elfGROUP varmistaa, että kyberturvallisuuden suojausmenetelmät ja yrityksen käytännöt ovat riittävät ja oikeassa suhteessa liiketoiminnan riskeihin.
kyberturvallisuus | elfgroup.fi
Kyberturvallisuudesta kilpailuetua● Millainen on teidän tietoturvataso? Milloin sitä on viimeksi mitattu ja verrattu tavoitetasoon?
– Kilpailuetu: Asiakkaat valitsevat uskottavan ja kyberturvallisuudesta huolehtivan toimittajan.
● Onko teillä kartoitettu liiketoiminnan kyberturvallisuusriskit?– Kilpailuetu: Riskit ovat tiedostettuja, harkittuja ja hallittuja. Liiketoiminta on vakaampaa.
● Yli puolet tietovuodoista alkavat sisäpuolelta (IBM Cybersecurity Intelligence Index) ja lähes 60% yrityksistä lähtevistä työntekijöistä vie sensitiivistä liiketoimintadataa (Ponemon Institute) – ovatko nykyiset suojauspanostuksenne samassa suhteessa?– Kilpailuetu: Valvonta, suojaukset → sensitiivistä tietoa vuotaa vähemmän.
kyberturvallisuus | elfgroup.fi
Kyberturvallisuudesta kilpailuetua
● Tietosuojalaki muuttuu 2018, ovatko muutokset ja vastuut selvillä?– Kilpailuetu: Vastuiden ymmärtäminen auttaa tekemään kerralla oikein ja vähentää
turhaa työtä. Vaatimukset täyttävä IT-ympäristö tukee organisaation liiketoimintaa ja toimii hallitun kasvun mahdollistajana. Selvitykset ja hankkeet ovat monella yrityksellä jo menossa, mutta vielä useammalla kokonaan aloittamatta.
Tietoturvariskit● Sisäiset riskit – henkilöstö ja tietoturvapolitiikka
– Tiedon häviäminen sekä tietojen varastaminen– Väärinkäytökset ja mahdollisuus jälkien peittämiseen– Tietoisuuden ja parhaiden käytäntöjen tuntemuksen puute, kiire, oikotiet
● Ulkoiset riskit – DDOS, huijausviestit, haitta- ja kiristysohjelmat– Lamauttavat tai estävät liiketoiminnan, maineen kärsiminen
– Haetaan taloudellista hyötyä (identiteettivarkaudet, toimitusjohtajahuijaukset)– Fyysiset varkaudet, ilkivalta, tunkeutuminen
– Mahdollistavat haittaohjelmien pääsyn, tietovuodot ja tietomurron yrityksen verkkoon
kyberturvallisuus | elfgroup.fi
Kyberturvallinen organisaatio● Johdon tuki kyberturvallisuustyölle, kartoitus ja strategia● Henkilöstö ja toimintatavat; koulutus, prosessit, dokumentaatio● Tietovarastot; eheys, luotettavuus, saatavuus ja varmistaminen● Tiedon luokittelu ja suojausperiaatteiden ymmärtäminen● Tietojärjestelmät; kehitys, operointi, käyttö, segmentointi, pääsynvalvonta● Kumppanit, tietovirrat, integraatiot, rajapinnat● Julkisten verkkojen ja sosiaalisen median käyttö
● Luottamuksellisuus● Eheys● Saatavuus● Alkuperän ja tunnistettujen identiteettien kiistattomuus● Tapahtumien vastuuttaminen, todentaminen ja seurattavuus● Kiistämättömyys
… irroitetaan johdot ja sammutetaan laitteet?
kyberturvallisuus | elfgroup.fi
EU:n tietosuoja-asetus(EU GDPR / General Data Protection Regulation)
● Asetus tulee 25.5.2018 voimaan astuessaan korvaamaan Suomen henkilötietolain
● Tietosuoja-asetus vaikuttaa kaikkiin suomalaisiin yrityksiin ja organisaatioihin, joissa käsitellään henkilötietoja
● Tarkempia sääntelyjä, rekisteröityjen oikeudet● Asetuksen myötä tietoturvan vaarantuminen voi viimeistään olla
konkreettinen taloudellinen uhka liiketoiminnalle
kyberturvallisuus | elfgroup.fi
EU:n tietosuoja-asetus(EU GDPR / General Data Protection Regulation)
● “Rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä siirtymäaikana, vastaavatko...”● Rekisterinpitäjän on toteutettava toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei
oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
● Rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita noudatetaan.● “Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen
tietojen tuhoamiseen. Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa. Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa.”
Tietosuoja.fi – tietosuojavaltuutetun toimiston opas: Miten valmistautua EU:n tietosuoja-asetukseen? 24.1.2017
kyberturvallisuus | elfgroup.fi
Miten tietosuoja-asetus vaikuttaakonkreettisesti yritysten toimintaan?
● Henkilötiedot tulee muokata siten, ettei niistä saa helposti selville ketä tieto koskee.● On taattava järjestelmien jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus.● On lisättävä sisäistä valvontaa ja ottaa käyttöön vuosittainen menettely käytäntöjen valvontaan.● Rekisterinpitäjä saa tallentaa vain välttämättömät tiedot (tietojen minimointivaatimus).● Virheelliset tiedot on poistettava tai oikaistava (täsmällisyysvaatimus).● Isojen ja kriittistä tietoa käsittelevien yritysten on nimettävä tietosuojavastaava.● Rekisterinpitäjällä on vastuu henkilötietojen käsittelijöistä ja alihankkijoista.● Suojaustoimet pystyttävä osoittamaan auditoitavalla tavalla, koskee myös alihankkijoita.● Alihankkijoiden ja kumppaneiden kanssa on tehtävä kirjallinen sopimus suojatoimista.
kyberturvallisuus | elfgroup.fi
Miten yritys varmistaatietosuojan lainmukaisuuden?
● Otettava huomioon seuraavat tietoturva-asiat:– Hallinnollinen tietoturva (mm. tietoturvapolitiikka ja ohjeistukset)– Fyysinen tietoturva (mm. kulunvalvonta, laite- ja toimitilojen fyysinen suojaaminen)– Laitteistoturvallisuus (mm. virustorjunnat, seuranta ja hälytykset)– Ohjelmistoturvallisuus (mm. ohjelmistojen testaus, tietoturvapäivitykset)– Tietoaineistoturvallisuus (mm. rekisterien suojaaminen, käytön valvonta)– Tietoliikenneturvallisuus (mm. palomuurit, hyökkäysten tunnistus ja valvonta)– Henkilöstöturvallisuus (mm. koulutus, ohjeistukset ja vastuiden määrittely)– Jatkuvuuden hallinta (mm. suunnitelmallisuus ja vioista toipuminen)
kyberturvallisuus | elfgroup.fi
Jos tietosuoja vaarantuu?
● Tietoturvaloukkauksesta on ilmoitettava viranomaisille 72 tunnin kuluessa tapahtuneesta.● Rekisteröidylle on ilmoitettava välittömästi tietoturvaloukkaustilanteesta, jos tietovuoto
aiheuttaa suuren riskin henkilötietojen suojalle tai yksityisyydelle.● Määrättävien sakkojen tulisi olla tehokkaita ja varoittavia (suurimmillaan 20 milj. €)● Sakkojen ohella on käytettävissä myös lievempiä keinoja kuten huomautus tai varoitus● Sakkojen määräytymiseen vaikuttavat mm. rikkomisen vakavuus, laajuus, tahallisuus,
henkilötietojen käsittelijän vastuun aste, yhteistyön aste valvontaviranomaisen kanssa tietosuojasäännösten rikkomisen korjaamiseksi