Tulostusversio

4/2012

Riskienhallinta: Hataran tietoturvan kavalat seuraukset

Teksti: Lauri Karppinen

Vain harvan verkkopalvelun tietoturva perustuu riskianalyysiin. Tämä johtaa yllättäviin seurauksiin, kun tietoturva pettää.

Tämän päivän verkottuneessa maailmassa yhä useampia palveluja tarjotaan ja käytetään internetin välityksellä. Asioinnin ja palvelujen siirtyessä verkkoon myös henkilötietojen käsittely siirtyy asiakaspalvelun tiskiltä internetiin.

Asiakastietojen käsittelyn kannalta avainasemassa ovat verkkopalvelujen tuottamisesta vastaavat rekisterinpitäjät, joilta henkilötietolaki edellyttää asianmukaisia toimia tietojen suojaamiseksi tietoturvauhilta ja väärinkäytöksiltä.

Rekisterinpitäjille laissa asetettu yleinen henkilötietojen suojausvelvoite on ollut voimassa jo 13 vuotta. Tietosuojavaltuutetun toimisto halusi selvittää, miten rekisterinpitäjät ja palveluntarjoajat ovat huomioineet velvoitteen sekä miten henkilötietojen suoja toteutuu tietoverkkoympäristössä.

Selvityspyyntö tietomurtojen kohteille

Vuonna 2011 paljastui useita tietomurtoja, joiden yhteydessä varastettiin kymmenientuhansien kotimaisia internetpalveluja käyttäneiden henkilöiden tietoja. Tietosuojavaltuutetun toimisto pyysi Viestintävirastossa toimivalta CERT-FI-tietoturvaviranomaiselta yhteystietoja sellaisista suomalaisista verkkopalveluista, jotka olivat joko joutuneet tietoturvaloukkauksen tai -uhan kohteeksi tai joista oli muusta syystä tehty tietoturvailmoitus CERT-FI:lle vuoden 2011 loka-, marras- tai joulukuun aikana.

Saamiensa tietojen pohjalta tietosuojavaltuutettu lähetti selvityspyynnön 74 yksityiselle ja julkiselle verkkopalvelulle, joiden toimintaan arvioitiin liittyvän henkilötietojen käsittelyä. Kohteiksi valikoitui kattavasti kaikenkokoisia yrityksiä, verkkopalvelujen ja -kauppojen tarjoajia sekä julkisyhteisöjä.

Vaikka 92 prosenttia tarkastuksen kohteista toimitti vastauksensa tietosuojavaltuutetun toimistolle annettuun määräaikaan mennessä, vain viidennes oli vastannut kaikkiin esitettyihin kysymyksiin.

Alle puolet tuntee lain vaatimukset

Selvityspyynnössä verkkopalveluita pyydettiin vastaamaan kysymyksiin, joilla selvitettiin toimijoiden tuntemusta henkilötietolain rekisterinpitäjille asettamasta suojausvelvoitteesta sekä sitä, miten henkilötietojen suoja toteutettiin verkkopalvelussa.

Henkilötietolaki velvoittaa rekisterinpitäjät toteuttamaan tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi laittomalta käsittelyltä. Alle puolet vastaajista - vain 46 prosenttia - kertoi tuntevansa henkilötietolain vaatimukset näiltä osin.

Vastaajien piirissä esiintyi myös selviä ongelmia tunnistaa omaa rooliaan henkilötietojen käsittelyn ulkoistamistilanteissa. Useat yritykset, jotka olivat ulkoistaneet verkkokauppansa teknisen toteutuksen alihankkijalle, eivät mieltäneet lainkaan vastaavansa myös ulkoistetun verkkokauppansa henkilötietojen käsittelystä. Pienet yritykset näyttivät keskittyvän yksinomaan maksuvälinetietojen suojaamiseen.

Tietoturvaloukkaus ei muuttanut toimintatapoja

Verkkopalveluilta tiedusteltiin myös, mihin toimiin ne olivat ryhtyneet CERT-FI:lle tehdyn tietoturvailmoituksen johdosta.

Huolestuttavan suuressa osassa yrityksiä, miltei kolmanneksessa, tietoturvaloukkaus tai -uhka ei vastausten perusteella ollut johtanut minkäänlaisiin toimenpiteisiin tietoturvallisuuden parantamiseksi.

Vastaajien koko näkyi selvästi verkkopalvelujen tietoturvallisuuteen käytettyjen resurssien määrässä, mikä tuli esiin erityisesti vastaajien kyvyssä havaita ja torjua tietoturvaloukkauksia sekä tietoturvatoiminnan yleisessä organisoinnissa. Samat yleiset virheet muun muassa salasanojen käsittelyssä ja verkkopalvelujen ohjelmoinnissa toistuvat palvelusta toiseen.

Tietomurto kaataa pienet yritykset

Lopuksi vielä kysyttiin, oliko tietoturvailmoituksen taustalla olleesta tietoturvaloukkauksesta tai sen uhasta ilmoitettu verkkopalvelun käyttäjille, joiden henkilötiedot olivat mahdollisesti olleet uhattuina tai loukkauksen kohteina. Valmisteilla oleva EU:n tietosuoja-asetus tulee asettamaan tällaisen velvoitteen kaikille rekisterinpitäjille.

Vain harvan verkkopalvelun tietoturvallisuuden organisointi perustui riskianalyysiin, mikä näytti johtaneen yllättäviin seurauksiin tietoturvallisuuden pettäessä; Pienten yritysten ja yhteisöjen kohdalla toteutuneet tietoturvaloukkaukset olivat useassa tapauksessa johtaneet suoraan tietoturvaloukkauksen kohteeksi joutuneen verkkopalvelun toiminnan lopettamiseen.

Seuranta jatkuu

Kaiken kaikkiaan selvityksen pohjalta voidaan todeta, että suomalaisten verkkopalvelujen tietoturvallisuuden organisoinnissa ja tasossa on suuria eroja. Toisaalta kuitenkin samat yleiset virheet näyttävät vaivaavan useita palveluita.

Tietosuojavaltuutetun toimisto tuleekin korostamaan toiminnassaan verkkopalveluiden rekisterinpitäjien ohjausta ja neuvontaa tietoturvallisuusvelvoitteiden täyttämisessä yhteistyössä CERT-FI:n kanssa sekä jatkamaan suomalaisten verkkopalvelujen tietoturvallisuuden tason seuraamista.

---

[KIRJOITTAJA]

Lauri Karppinen on IT-erityisasiantuntija tietosuojavaltuutetun toimistossa.

Lue myös

Riskienhallinta: Viisas varautuu verkkohyökkäykseen »
Riskienhallinta: Tietosuojan laiminlyönti voi käydä kalliiksi »
Riskienhallinta: Tietoturvaloukkaus on riski myös maineelle »
Riskienhallinta: Peruspilarit »
Riskienhallinta: Varaudu hyvin »
Riskienhallinta: Oma laite ei käy kaikkeen »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.