GDPR:n asettamat tietosuojavaatimukset täsmentyvät kybermurtojen simuloinnissa

Sanahirviöltä näyttävä JYVSECTEC tarkoittaa Suomen ensimmäistä EU:n tietosuoja-asetuksen GDPR:n suojausvaatimusten mukaista testaus- ja kyberturvaharjoituslaboratoriota. Ei nimi asiaa pahenna.

Harjoitus konkretisoi GDPR -vaatimuksiin liittyviä tietosuojasääntelyn teemoja. Yritysten taas on olennaista edeltä selvittää oma osuutensa niin, ettei omasta pesästä löydy seuraamuksiin johtavia laiminlyöntejä.

 

Testilaitos toimii Jyväskylässä ammattikorkeakoulun yhteydessä Kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskuksessa.  Jyvsectec tarjoaa harjoitusympäristön, jossa koeponnistamassa ovat käyneet monet kansallisen turvallisuutemme kannalta keskeiset toimijat, muun muassa verkkoyhtiö Fingrid sekä puolustusministeriö. Hyvällä menestyksellä; Suomi ei suinkaan ole mikään kyberajan takapajula.

 

Kyberrikostoimintaharjoituksen skenaariona on esimeriksi tietovuoto, jossa on osallisena yrityksen työntekijä. Fingrid tutki juuri tätä skenaariomallia Scada (Supervisory Control And Data Acquisition) valvomo-ohjelmistonsa kanssa. Testipenkkinä toimivassa iskussa vuodetaan yrityksen henkilöstön ja sidosryhmien sensitiivisiä privaattitietoja sekä kriittistä organisaatiotietoa, kuten tuote- ja liikesalaisuuksia.

Harjoituksessa määritellään erityinen vastuuryhmä, joka saa tiedon kyberiskusta ja alkaa heti selvittää tapahtunutta. Tilanteessa etenemiseen löytyy protokolla. Eteneminen tapahtuu turvakäytännössä määriteltyjen prosessien sekä sovitun työnjaon mukaisesti, mutta omaa järkeä käyttäen.

Toiminnan protokolla sinänsä ei ole suuri salaisuus, kuten ei yleensä monikaan asia tietotekniikan maailmassa. Tilanteen kokonaishallinta on suurempi haaste. Harjoitustilanteessa Jyväskylässä on joskus menty pitkälle. Tilanne päällä on tehty rikosilmoitus tietovuodosta, jonka seurauksena harjoitukseen mukaan liittyy poliisin kyberrikollisuuden tekniset tutkijat.

 

Kuten usein on todettu, EU:n tietosuoja-asetus GDPR langettaa päävastuun kyberrikoksissa tietokannan ylläpitäjille, käytännössä yrityksille itselleen. On todettava, että kaikki muutokset eivät ole pelkkää ylistyslaulua. GDPR:n seurauksena lainvalvojien ja syyttäjien mahdollisuudet tutkia kyberrikoksia puolestaan ovat vaikeutuneet, kun domain-osoitteita hallinnoiva Whois ei enää ole entiseen tapaan auki.

Domain-tietokannan yhteensopivuudesta EU:n tietosuojan kanssa keskustellaan.

 

Kuitenkin GDPR:n sälyttämä päävastuu kyberrikoksien aiheuttamista vahingoista on ylläpitopäässä, ja tämä on saanut verkkotoimijat heräämään. Kevennetyn version suunnitelmallisesta tietomurron käsittelyprosessista pystyy jalkauttamaan yrityksiin ja organisaatioihin. Sellaista tässä ollaan parhaillaan kehittämissä – idea noudattelee 12 kohtaista ohjelmaa, joka tähtää akuutteihin tilanteisiin, esimerkiksi kun palvelu estetään mutta myös kyberiskujen, kuten Man-in-the-middle (MitM) -pilvivuotojen ennaltaehkäisyyn.

 

Tietomurtoihin liittyvien riskien arviointiin liittyen tulee:

  • Tunnistaa kaikki arvokas materiaalinen immateriaalinen omaisuus, mukaan lukien ne, joita ei ole edes tiedetty kiinnostuksen kohteiksi.
  • Tunnistaa yrityksen tietoturvan nykytila.
  • Tunnista ne uhkat, jotka voivat vaikuttaa tulevaisuuteen datan kulkeutuessa toisiin olosuhteisiin.

Tärkein yleisohjeista on: päivitä ohjelmistosi, vaikka siinäkin tulee joskus käyttää harkintaa, nyt esimerkiksi Windows-päivityksien kanssa. Tärkeintä on pitää yllä nettiselaimen päivitys – se on hyvä automatisoida. Toinen kiveen hakattu ohje on: automatisoi varmuuskopiointi. Kaikkein ensimmäisenä tulee ajattelun orientaatio: omien aivojen käyttö.

Reijo Holopainen

VIIMEISIN ARTIKKELI

Asiakastarina: Lemmikkihoitola Moppe ja Miiru Oy

29.01.2025 |

”Lemmikit ovat ihmisen parhaita ystäviä ja perheenjäseniä.Tiedämme miten tärkeitä tunnesiteitä lemmikin ja omistajan välille syntyy.” … LUE LISÄÄ…

Miksi sähköposti ei lähde – Yleisimmät ongelmat ja SMTP-asetukset

17.01.2025 |

Sähköposti on olennainen osa yritysviestintää. Jos sähköpostit eivät lähde omalta koneelta, on tilanne usein hyvin … LUE LISÄÄ…

Katsaus Sollertiksen vuoteen 2024

10.01.2025 |

Vuosi on vaihtunut ja kaikki ovat palanneet työn ääreen. Halusin tehdä pienen katsauksen vuoteen 2024 … LUE LISÄÄ…

Hakukoneoptimointi – avain asiakkaiden löytämiseen digitaalisessa ostopolussa

03.01.2025 |

Tiesitkö, että tutkimuksien mukaan asiakkaan digitaalinen ostopolku alkaa useimmiten Googlettamalla? Kyllähän sinä sen varmasti tiesit, … LUE LISÄÄ…

Olemme ulkoistaneet laskutuksemme

27.11.2024 |

Olemme ulkoistaneet laskutuksen hoitamisen BRANG Oy:lle 02.12.2024 alkaen. Huomioithan, että laskulla oleva tilinumero on muuttunut ja suoritukset tulee … LUE LISÄÄ…

3 tapaa tehostaa sesongin markkinointia

22.11.2024 |

Tärkeimpiin sesonkeihin on hyvä valmistautua hyvissä ajoin. Ensimmäinen askel on päivittää markkinoinnin vuosikello. Merkitse vuosikelloon … LUE LISÄÄ…

Woocommerce ohje: Arvonlisäveron asettaminen tai muuttaminen

22.08.2024 |

Alv-prosentin muuttuessa tulee verokanta päivittää verkkokauppoihin. Tässä ohjeessa neuvon askel askeleelta, kuinka asetat tai vaihdat … LUE LISÄÄ…

WordPress-ohje: Opas verkkosivuston päivittämiseen ja hallintaan

23.07.2024 |

WordPress on helppokäyttöinen, monipuolinen ja tehokas julkaisujärjestelmä, joka tarjoaa kaiken tarvitsemasi verkkosivustosi luomiseen, hallintaan ja päivittämiseen. Toteutamme Sollertiksella … LUE LISÄÄ…