Tietoturva ei anna armoa: yritysten oma vastuu kasvaa

    Toni Sivupuro
    Kirjoittaja: Toni Sivupuro 17.5.2016

    Aihe: Tietosuoja, Tietoturva, Katakri

    Vähän aikaa sitten luin artikkelin, jossa käsiteltiin pk-sektorin yritysten suhtautumista kyberuhkiin. Artikkelissa tuli vahvasti esille se, kuinka huolettomasti kyberuhkien riskejä on käsitelty yrityksissä. Tekstissä mainittiin, että vajaa puolet pk-yrityksistä on parantanut yrityksensä tietoturvaa hankkimalla parempaa palomuuritekniikkaa, ja on siten kaiketi tyytyväisempiä tilanteeseen digitalisoituvassa maailmassa. 

    Tietoturva ei anna armoa

    Tämä ei kuitenkaan ole vielä riittävä taso turvautumisessa kyberuhkia vastaan. Se kuvastaa kuitenkin hyvin sitä tilannetta, että yritykset investoivat mieluummin uuteen teknologiaan ja digitalisaatioon ostamalla esimerkiksi enemmän pilvipalveluita, kuin investoimalla yrityksen tietoturvaan kokonaisuutena.

    Näissä investointitilanteissa yritykset joutuvat samalla päättämään, mistä hankkivat palvelunsa. Silloin tietoturva ei aina välttämättä ole ensimmäisenä mielessä tässä vallitsevassa taloustilanteessa.

    Yritysten oma vastuu tietoturvasta kasvaa

    Euroopan parlamentti hyväksyi uuden tietosuoja-asetuksen, joka astuu voimaan 25.5.2018. Se tulee koskemaan kaikkia EU:n alueella toimivia yhteisöjä ja yrityksiä. Tietoturvan näkökulmasta tietosuoja-asetus vaikuttaa yritysten strategisiin valintoihin muun muassa henkilötietojen käsittelyssä ja yritysdatan sijainnissa.

    Uuden tietosuoja-asetuksen myötä henkilörekisterin pitäjillä ja henkilötietoja käsittelevillä on oltava tieto ja vastuu siitä, missä paikassa henkilötietoja käsitellään ja säilytetään. Rekisterin pitäjällä tulee olla myös asianmukaiset menetelmät sekä tarvittavat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi. Vastuu tietojen turvallisesta käsittelystä on aina yrityksellä itsellään. Jos asetusta rikotaan, sanktiona voi pahimmassa tapauksessa olla korvausvelvollisuus, jonka suuruus on joko 10 M€, 20 M€ tai 4 % yrityksen liikevaihdosta.

    Tietosuoja ja tietoturva ovat uuden asetuksen myötä muuttumassa oletukseksi, joka tulee ottaa huomioon koko palveluelinkaaren ajan, kun kyseessä on esimerkiksi henkilötietoja sisältävä data. Tuo data voi käsittää nimen ja yhteystietojen lisäksi niin valokuvia, sosiaalisen median postauksia kuin tuotehankintaan liittyviä tietoja – toisin sanoen kaikkia niitä tietoja, joista henkilö voidaan tunnistaa.

    Datan sijainnin osalta pilvipalvelut luovat haasteen: uusi asetus rajoittaa henkilötietojen siirtoa Euroopan talousalueen ulkopuolelle, missä monien kansainvälisten pilvipalvelun tarjoajien palvelimet sijaitsevat. Myös tietoliikenteen ja sen turvallisuuden varmistamisen merkitys kasvaa entisestään – suojauksien verkkorikollisuutta vastaan on oltava kunnossa.

    Mitä pk-yrityksissä tarvitaan tietoturvallisuuden parantamiseen?

    Kyberuhkat ovat tälläkin hetkellä jo realismia. Otsikoihin pääsevät vielä vain suurimmat iskut esimerkiksi pankkimaailmaan. Jatkossa voimme olla varmoja, että iskut myös kotimaisiin kohteisiin tulevat kasvamaan: helppo raha kiinnostaa rikollisia joka puolella maailmaa.

    Pk-yrityksissä tärkeintä olisi, teknologiainvestointien lisäksi, tietoturvapolitiikan ja -ohjelman määritteleminen. Tällöin luodaan turvalliset prosessit datan käsittelyyn, minimoidaan ihmisten omalla toiminnallaan luomat tietoturvariskit ja hyödynnetään parhaita käytäntöjä kuten ITILiä ja ISO-standardeja prosessien varmistamisessa. Myös sopivankokoiset ja luotettavat kumppanit ovat olennainen osa uusien käytäntöjen luomisessa: he huolehtivat ja antavat viimeisintä tietoja siitä, kuinka toimia oikein.

    Tietoliikenteen aktiivinen seuranta, tietoturvauhkiin reagointi, prosessien noudattaminen ja riittävien resurssien varmistaminen ovat tärkeällä sijalla ja hyvää tietohallinnon johtamista. Myös datan sijainnin varmistaminen esimerkiksi Katakri-auditoituun ja viranomaisten hyväksynnän saaneisiin konesaleihin kotimaassa on hyvä keino varmistaa, että tietojesi säilytyspaikkana on Suomi.

    Vain huolellisella ennakoimisella varmistat sen, että voit nukkua yösi paremmin ilman tietoturvahuolia.

    Toni Sivupuro
    Palvelutuotanto
    Liiketoimintapäällikkö
    MPY Palvelut Oyj


    MPY Palvelut Oyj:n tietoturvallisuuden hallintajärjestelmälle on myönnetty ISO/IEC 27001:2013 -sertifikaatti, jok
    a kattaa koko konesaliliiketoiminnan sekä kaikki siihen liittyvät johtamis- ja tukiprosessit.

    MPY:n ISO/IEC 27001:2013 sertifioinnissa on hyödynnetty Katakri V3 4-tason turvaluokitusta fyysisten konesalitilojen turvallisuuteen ja tietojärjestelmien ylläpitoon liittyen. Turvaluokituksen vaatimukset ovat tiukat ja turvatilan on oltava Katakri-kriteeristön pohjalta monitasoisesti suojattu ja tietojen säilytyspaikan on oltava Suomessa. Vaatimukset koskevat myös tietoliikennettä, joka on oltava yrityksen omassa hallussa.

    Jaa kirjoitus eteenpäin: