Tulostusversio

4/2015

Asiantuntijalta: Kyberuhkista yksilönsuojaan

Teksti: Eija Warma

Kyberuhkat ovat jokaisen yrityksen ja yksilön arkea. Hiljattain kriminalisoidusta identiteettivarkaudesta voi koitua haittaa myös yrityksille.

Verkkorikollisuus on ollut viime vuosina rajussa kasvussa, ja ulkoiset uhkat ovat yhä suurempi riski niin organisaatioille kuin yksityisille henkilöille.

Verkkorikollisia kiinnostavat erilaiset tiedot, olivatpa ne sitten henkilötietoja, yrityssalaisuuksia tai aineettomia oikeuksia. Rikollisten motiiveista riippuen myös erilaiset palvelunestohyökkäykset ja muunlaiset häiriötilat liiketoiminnan hankaloittamiseksi tai estämiseksi ovat yleisiä. 

Yrityksiltä kysyttiin viime keväänä käsityksiä kyberuhkista ja niihin varautumisesta Helsingin seudun kauppakamarin teettämässä tutkimuksessa. Yritykset pitivät kyberturvallisuuden toteutumisen suurimpina esteinä tiedon riittämättömyyttä sekä käyttäjien piittaamattomuutta. Kyberhyökkäyksistä aiheutuvina raskaimpina seuraamuksina mainittiin tuoton suora tai epäsuora menetys sekä henkilöstöön tai asiakkaisiin kohdistuva yksityisyyden loukkaus.

Identiteettivarkaudesta tuli rikos

Lainsäätäjä on reagoinut verkkouhkien kasvuun ja yksityisyyden loukkaamiseen. Verkkorikollisuuden rangaistuksiin tuli lakimuutoksia syyskuun alussa, kun tietoverkkorikosdirektiivi 2013/40/EU saatettiin kansallisesti voimaan.

Rikoslain sääntely vastasi jo entuudestaan varsin kattavasti direktiivin vaatimuksia. Keskeisimmät muutokset koskivat enimmäisrangaistustasojen korottamista, ankaroittamisperusteiden sisällyttämistä sekä identiteettivarkauden kriminalisointia.

Identiteettivarkaudella (rikoslain 38:9a) tarkoitetaan tilannetta, jossa joku erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa. Tilanne aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee. Keskeistä on siis

  1. erehdyttämistarkoitus,
  2. tietojen oikeudeton käyttö ja
  3. siitä aiheutuva vahinko.

Kriminalisointi suojaa myös yrityksiä

Tyypillisesti identiteettivarkaudet koskettavat yksityishenkilöä, ja identiteetin varastaminen loukkaa syvästi yksityisyyttä ja turvallisuudentunnetta.

Tämän lisäksi rikollisen tekojen selvittäminen saattaa olla hyvinkin työlästä. Uhri on toisinaan voimaton raskaan viranomaiskoneiston edessä. Aina tekijää ei saada selville, ja uhrin piina voi jatkua vuosia – tästä on useita valitettavia esimerkkejä.

Identiteettivarkauden kriminalisointi ei suojaa ainoastaan yksityishenkilöitä vaan myös yrityksiä. Nyt myös yritys voi vedota identiteettivarkauden tunnusmerkistöön, mikäli sen tietoja käytetään oikeudettomasti tarkoituksena erehdyttää kolmatta osapuolta, ja tästä aiheutuu yritykselle vahinkoa.

Tunnista ja suojaa tiedot

Ennakollinen varautuminen verkkorikollisuuden uhkaan on äärimmäisen tärkeää. Kaikki lähtee tietoisuuden lisäämisestä organisaatiossa ja henkilöstön sitouttamisesta yhteisiin toimintatapoihin.

Lisäksi olisi tärkeää tietää ja tunnistaa, mikä tieto kiinnostaa verkkorikollisia, ja missä nämä tiedot sijaitsevat yrityksen tietojärjestelmissä. Jonkinlainen tietojärjestelmien auditointi olisi suositeltavaa, ja sen pitäisi kattaa niin henkilötietojen ja yrityssalaisuuksien käsittely kuin aineettomat oikeudet.

Sopimuksilla hallinnoidaan tietojärjestelmiä, tietojen siirtoa ja henkilötietojen käsittelyn ulkoistamista. Siksi on tärkeää, että sopimuksissa huomioidaan riittävästi sopimuskumppanin vastuut ja velvoitteet.

Yrityksille on tarjolla myös erilaisia vakuutustuotteita kyberriskien hallitsemiseksi ja näistä aiheutuvien vahinkojen korvaamiseksi. Niitä voivat olla esimerkiksi liiketoiminnan keskeytymisestä tai kadonneiden tietojen palauttamisesta aiheutuvat kulut.

Mieti, mitä teet verkossa

Yksityishenkilön tulisi puolestaan olla tarkkana siitä, mitä tietoja hän erilaisissa sähköisissä palveluissa itsestään antaa. Lisäksi on hyvä seurata säännöllisesti omaa rahaliikennettä väärinkäytösten varalta. Henkilötietoja sisältävät paperitulosteet ja kirjeet tulee hävittää asianmukaisesti.

Ongelmatilanteissa tulisi kääntyä palveluntarjoajan puoleen. Tarpeen mukaan tulisi myös tehdä rikosilmoitus poliisille, joka ryhtyy osaltaan suorittamaan esitutkintaa.

Suunnittele ja harjoittele

Kaikki lähtee siitä, että kyberuhkat ja verkkorikollisuus tiedostetaan todelliseksi uhkaksi. Niiden varalle tulee laatia asianmukainen toimintasuunnitelma, ja myös harjoitella käytännössä sen toteuttamista.

Tässä yhteydessä myös henkilöstön koulutusta ja tietoturvallisia toimintatapoja ei voi olla korostamatta liikaa, koska monesti ketjun heikoin lenkki on ihminen. Tänä päivänä kyberuhat ovat jokaisen yrityksen ja myös yksilön arkipäivää eikä kenenkään tule tuudittautua ajatukseen – eihän se minun kohdalle kuitenkaan satu.

------

[KIRJOITTAJA]

Asianajaja, LL.M., CIPP/E Eija Warma työskentelee Asianajotoimisto Castrén & Snellmanilla tietosuojaan ja yksityisyydensuojaan liittyvien toimeksiantojen parissa. Hän on yksi kirjan Henkilötietojen suoja kirjoittajista.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.