Tietoturvallisuutta varmistetaan yhteiskunnan ydintoiminnoissa – energiatoimiala mukaan lukien

1.1.2018

Hallitus on antanut 19.12.2017 eduskunnalle esityksen lakimuutoksista, joilla parannetaan yhteiskunnan toiminnan kannalta keskeisten palveluiden tietoturvallisuutta sekä kasvatetaan viranomaisten mahdollisuuksia auttaa tietoturvallisuuden parantamisessa.

Hallituksen esityksellä on tarkoitus panna täytäntöön EU:n verkko- ja tietoturvadirektiivi Suomessa. Esitys sisältää muutoksia lakeihin, joilla säädellään yhteiskunnan toiminnan kannalta keskeisten palvelujen tarjontaa ja turvallisuutta. Näitä alueita ovat mm. logistiikka, liikenne, energia ja vesihuolto. Esityksessä asetetaan velvoitteita hallita tietoturvallisuuteen liittyviä riskejä ja raportoida häiriöistä valvontaviranomaiselle. 

Tietoturvallisuuden merkitys kasvaa

Tietoturvan varmistaminen on ollut hallitusohjelman digitaalisen liiketoiminnan kasvuympäristön rakentamisen kärkihankkeen keskeinen tavoite. Nyt annetussa esityksessä korostetaan tietoturvallisuuden merkityksen kasvamista, koska yhä useammat palvelut ovat entistä riippuvaisempia viestintäverkkojen ja tietojärjestelmien luotettavasta toiminnasta. Myös fyysinen ja digitaalinen turvallisuus kietoutuvat yhä läheisemmin yhteen esimerkiksi liikenteen älykkään automaation myötä. Tietoturva-energia-MPY.jpg

Esitys luo painetta mm. energiatoimialan tietoturvatietoisuudelle ja toimintojen varmistamisesta tietoturvan näkökulmasta.

On osattava arvioida riskit ja huolehdittava niiden minimoimisesta varsinkin nyt, kun EU:n uuden tietosuoja-asetuksen (GDPR) siirtymäaika päättyy 2018 toukokuussa.

Tietosuojalaki uudistaa käytäntöjä

Energiasegmentillä asiakasmäärät ovat tyypillisesti suuria. Joukossa on sekä yritys- että kuluttaja-asiakkaita, jolloin esimerkiksi henkilötietosuojan ja tietoturvan merkitys korostuu entisestään. Ylläpidettävät asiakasrekisterit ovat suuria ja sisältävät valtavan määrän tietoa.

EU:n tietosuoja-asetus GDPR (General Data Protection Regulation) tuo osaltaan merkittäviä uudistuksia henkilötietoja koskevan datan hallintaan. Asetuksen siirtymäaika päättyy 25.5.2018 ja se yhtenäistää koko EU:n alueen kirjavat kansalliset säädökset yhden lain alle. Merkittävää on, että uusi laki koskee kaikkia alueella toimivia yrityksiä.

Tietosuoja-GDPR-MPY.jpg

Tietosuoja-asetus luo puitteet organisaatioiden velvollisuuksiin henkilötietojen käytöstä tietokannoissa ja sovelluksissa. Uuden tietosuoja-asetuksen myötä henkilörekisterin pitäjillä ja henkilötietoja käsittelevillä on oltava tieto ja vastuu siitä, missä paikassa henkilötietoja käsitellään ja säilytetään. Rekisterin pitäjällä tulee olla myös asianmukaiset menetelmät sekä tarvittavat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi.

Aikaisemmassa blogissamme kirjoitimme siitä, kuinka tietosuoja ja tietoturvallisus ei ole vain yksittäinen osa-alue yrityksen toiminnassa, vaan koko organisaation asia. Lue, millaisia asioita pitää ottaa huomioon ja miten. 

Viestintävirasto korostaa tietoturvan hallittua johtamista

Viestintäviraston tietoturvakatsauksessa merkittävimmiksi uhkiksi yrityksille listataan niin fyysiset uhat, päivittämättömät laitteet kuin verkon kautta iskevät palvelunestohyökkäykset. Riskeinä nähdään myös laitteiden, ohjelmistojen ja palvelujen hankinnan hajauttaminen eri toimijoille, jolloin kokonaisuuden hallinta voi heikentyä tietoturvan näkökulmasta.

Yritykselle datan suojaus kaikin olemassa olevin keinoin on arkipäivää, jonka lisäksi EU:n uusi tietosuoja-asetus tuo yrityksille merkittäviä uudistuksia henkilötietoja koskevan datan hallintaan. Tämän vuoksi organisaatioissa tulisi olla selvät säännöt dataa suojaaville toimenpiteille, joista yksi on kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa.

Viestintävirasto korostaa tietoturvan hallittua johtamista, toimivia prosesseja ja selkeitä vastuita, jolloin jokaisella on tieto siitä, kuinka toimia akuutissa tilanteessa. Myös henkilökunnan koulutus ja tietoturvakäytäntöjen jalkauttaminen nähdään merkittävänä turvakeinona uhkia vastaan. Tietohallinnon rooli on näissä toiminnoissa keskeinen ja sen kehittämiseen on syytä panostaa. 

Tietoturvapäällikön ja tietosuojavastaavan työssä ohjaavana rakenteena on tietoturvapolitiikka ja siihen liittyvät linjaukset ja pelisäännöt sekä työkalut. Jos näitä ei ole, työ alkaa niiden rakentamisella. Kun pelisäännöt ovat kunnossa, työ on kuin pelaajavalmentajalla: koordinaatiota, johtamista ja välillä kädestä pitäen auttamista sekä huolenpitoa. Tietoturvallisuutta viedään suunnitelmallisesti ja jäntevästi eteenpäin varmistaen, että koko ajan säilyy tilannekuva ja tietoisuus eri asioiden tasosta ja teemoista sekä kehittämistarpeista.

Lataa tietohallinnon kehittämisessä auttava maksuton oppaamme, joka helpottaa niiden osa-alueiden tunnistamista, missä tietohallinto voi tarvita apua, jotta se voi aidosti tuottaa business-hyötyjä ja tukea liiketoiminnan kasvua ja vahvistaa tietoturvaa.

Ymmärrystä tietohallinnon haasteisiin. Lataa opas.