GDPR:n asettamat tietosuojavaatimukset täsmentyvät kybermurtojen simuloinnissa

Sanahirviöltä näyttävä JYVSECTEC tarkoittaa Suomen ensimmäistä EU:n tietosuoja-asetuksen GDPR:n suojausvaatimusten mukaista testaus- ja kyberturvaharjoituslaboratoriota. Ei nimi asiaa pahenna.
Harjoitus konkretisoi GDPR -vaatimuksiin liittyviä tietosuojasääntelyn teemoja. Yritysten taas on olennaista edeltä selvittää oma osuutensa niin, ettei omasta pesästä löydy seuraamuksiin johtavia laiminlyöntejä.
Testilaitos toimii Jyväskylässä ammattikorkeakoulun yhteydessä Kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskuksessa. Jyvsectec tarjoaa harjoitusympäristön, jossa koeponnistamassa ovat käyneet monet kansallisen turvallisuutemme kannalta keskeiset toimijat, muun muassa verkkoyhtiö Fingrid sekä puolustusministeriö. Hyvällä menestyksellä; Suomi ei suinkaan ole mikään kyberajan takapajula.
Kyberrikostoimintaharjoituksen skenaariona on esimeriksi tietovuoto, jossa on osallisena yrityksen työntekijä. Fingrid tutki juuri tätä skenaariomallia Scada (Supervisory Control And Data Acquisition) valvomo-ohjelmistonsa kanssa. Testipenkkinä toimivassa iskussa vuodetaan yrityksen henkilöstön ja sidosryhmien sensitiivisiä privaattitietoja sekä kriittistä organisaatiotietoa, kuten tuote- ja liikesalaisuuksia.
Harjoituksessa määritellään erityinen vastuuryhmä, joka saa tiedon kyberiskusta ja alkaa heti selvittää tapahtunutta. Tilanteessa etenemiseen löytyy protokolla. Eteneminen tapahtuu turvakäytännössä määriteltyjen prosessien sekä sovitun työnjaon mukaisesti, mutta omaa järkeä käyttäen.
Toiminnan protokolla sinänsä ei ole suuri salaisuus, kuten ei yleensä monikaan asia tietotekniikan maailmassa. Tilanteen kokonaishallinta on suurempi haaste. Harjoitustilanteessa Jyväskylässä on joskus menty pitkälle. Tilanne päällä on tehty rikosilmoitus tietovuodosta, jonka seurauksena harjoitukseen mukaan liittyy poliisin kyberrikollisuuden tekniset tutkijat.
Kuten usein on todettu, EU:n tietosuoja-asetus GDPR langettaa päävastuun kyberrikoksissa tietokannan ylläpitäjille, käytännössä yrityksille itselleen. On todettava, että kaikki muutokset eivät ole pelkkää ylistyslaulua. GDPR:n seurauksena lainvalvojien ja syyttäjien mahdollisuudet tutkia kyberrikoksia puolestaan ovat vaikeutuneet, kun domain-osoitteita hallinnoiva Whois ei enää ole entiseen tapaan auki.
Domain-tietokannan yhteensopivuudesta EU:n tietosuojan kanssa keskustellaan.
Kuitenkin GDPR:n sälyttämä päävastuu kyberrikoksien aiheuttamista vahingoista on ylläpitopäässä, ja tämä on saanut verkkotoimijat heräämään. Kevennetyn version suunnitelmallisesta tietomurron käsittelyprosessista pystyy jalkauttamaan yrityksiin ja organisaatioihin. Sellaista tässä ollaan parhaillaan kehittämissä – idea noudattelee 12 kohtaista ohjelmaa, joka tähtää akuutteihin tilanteisiin, esimerkiksi kun palvelu estetään mutta myös kyberiskujen, kuten Man-in-the-middle (MitM) -pilvivuotojen ennaltaehkäisyyn.
Tietomurtoihin liittyvien riskien arviointiin liittyen tulee:
- Tunnistaa kaikki arvokas materiaalinen immateriaalinen omaisuus, mukaan lukien ne, joita ei ole edes tiedetty kiinnostuksen kohteiksi.
- Tunnistaa yrityksen tietoturvan nykytila.
- Tunnista ne uhkat, jotka voivat vaikuttaa tulevaisuuteen datan kulkeutuessa toisiin olosuhteisiin.
Tärkein yleisohjeista on: päivitä ohjelmistosi, vaikka siinäkin tulee joskus käyttää harkintaa, nyt esimerkiksi Windows-päivityksien kanssa. Tärkeintä on pitää yllä nettiselaimen päivitys – se on hyvä automatisoida. Toinen kiveen hakattu ohje on: automatisoi varmuuskopiointi. Kaikkein ensimmäisenä tulee ajattelun orientaatio: omien aivojen käyttö.
