kyberturvallisuus - organisaation ja tietojen suojaaminen, eu:n tietosuoja-asetukset

Kyberturvallisuus – organisaation ja tietojen suojaaminen,EU:n tietosuoja-asetukset

Tuomas Tonteri, yrittäjä, toimitusjohtajaelfGROUP Kyberturvallisuuspalvelut Oy

Tietopäivä suurten tilaajien vaatimuksiin alihankintaverkostoille16.2.2017, Kalajoki

kyberturvallisuus | elfgroup.fi

elfGROUP – Kyberturvallisuudesta kilpailuetua

elfGROUP Kyberturvallisuuspalvelut Oy on suomalainen sähköisten tietojen turvalliseen hallintaan erikoistunut yritys, jonka ratkaisut suojaavat yritysten liiketoiminnan kyberturvallisuusriskeiltä.

elfGROUP tuottaa kyberturvallisuuden asiantuntijapalveluita ja pilvipalveluita kaikenkokoisille yrityksille. elfGROUP on perustettu v.2010 ja sen liikevaihto on ~0,85M€ (2016). Yrityksen palveluksessa työskentelee 12 kyberturvallisuuden ammattilaista.

elfGROUP varmistaa, että kyberturvallisuuden suojausmenetelmät ja yrityksen käytännöt ovat riittävät ja oikeassa suhteessa liiketoiminnan riskeihin.


Kyberturvallisuudesta kilpailuetua● Millainen on teidän tietoturvataso? Milloin sitä on viimeksi mitattu ja verrattu tavoitetasoon?

– Kilpailuetu: Asiakkaat valitsevat uskottavan ja kyberturvallisuudesta huolehtivan toimittajan.

● Onko teillä kartoitettu liiketoiminnan kyberturvallisuusriskit?– Kilpailuetu: Riskit ovat tiedostettuja, harkittuja ja hallittuja. Liiketoiminta on vakaampaa.

● Yli puolet tietovuodoista alkavat sisäpuolelta (IBM Cybersecurity Intelligence Index) ja lähes 60% yrityksistä lähtevistä työntekijöistä vie sensitiivistä liiketoimintadataa (Ponemon Institute) – ovatko nykyiset suojauspanostuksenne samassa suhteessa?– Kilpailuetu: Valvonta, suojaukset → sensitiivistä tietoa vuotaa vähemmän.


Kyberturvallisuudesta kilpailuetua

● Tietosuojalaki muuttuu 2018, ovatko muutokset ja vastuut selvillä?– Kilpailuetu: Vastuiden ymmärtäminen auttaa tekemään kerralla oikein ja vähentää

turhaa työtä. Vaatimukset täyttävä IT-ympäristö tukee organisaation liiketoimintaa ja toimii hallitun kasvun mahdollistajana. Selvitykset ja hankkeet ovat monella yrityksellä jo menossa, mutta vielä useammalla kokonaan aloittamatta.

● Voitteko puolueettomasti vakuuttaa yrityksenne kyberasioiden olevan kunnossa?– Kilpailuetu: Ulkopuolinen kyberturvallisuussertifiointi työkaluksi

asiakasviestintään.


Tietoturvariskit● Sisäiset riskit – henkilöstö ja tietoturvapolitiikka

– Tiedon häviäminen sekä tietojen varastaminen– Väärinkäytökset ja mahdollisuus jälkien peittämiseen– Tietoisuuden ja parhaiden käytäntöjen tuntemuksen puute, kiire, oikotiet

● Ulkoiset riskit – DDOS, huijausviestit, haitta- ja kiristysohjelmat– Lamauttavat tai estävät liiketoiminnan, maineen kärsiminen

– Haetaan taloudellista hyötyä (identiteettivarkaudet, toimitusjohtajahuijaukset)– Fyysiset varkaudet, ilkivalta, tunkeutuminen

● Järjestelmätason riskit – ohjelmistot, laitteet, tietoverkot, online-palvelut– Puutteita päivityksissä, virheitä asetuksissa tai loogisissa kokonaisuuksissa

– Mahdollistavat haittaohjelmien pääsyn, tietovuodot ja tietomurron yrityksen verkkoon


Kyberturvallinen organisaatio● Johdon tuki kyberturvallisuustyölle, kartoitus ja strategia● Henkilöstö ja toimintatavat; koulutus, prosessit, dokumentaatio● Tietovarastot; eheys, luotettavuus, saatavuus ja varmistaminen● Tiedon luokittelu ja suojausperiaatteiden ymmärtäminen● Tietojärjestelmät; kehitys, operointi, käyttö, segmentointi, pääsynvalvonta● Kumppanit, tietovirrat, integraatiot, rajapinnat● Julkisten verkkojen ja sosiaalisen median käyttö

● Luottamuksellisuus● Eheys● Saatavuus● Alkuperän ja tunnistettujen identiteettien kiistattomuus● Tapahtumien vastuuttaminen, todentaminen ja seurattavuus● Kiistämättömyys

… irroitetaan johdot ja sammutetaan laitteet?


EU:n tietosuoja-asetus(EU GDPR / General Data Protection Regulation)

● Asetus tulee 25.5.2018 voimaan astuessaan korvaamaan Suomen henkilötietolain

● Tietosuoja-asetus vaikuttaa kaikkiin suomalaisiin yrityksiin ja organisaatioihin, joissa käsitellään henkilötietoja

● Tarkempia sääntelyjä, rekisteröityjen oikeudet● Asetuksen myötä tietoturvan vaarantuminen voi viimeistään olla

konkreettinen taloudellinen uhka liiketoiminnalle


EU:n tietosuoja-asetus(EU GDPR / General Data Protection Regulation)

● “Rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä siirtymäaikana, vastaavatko...”● Rekisterinpitäjän on toteutettava toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei

oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

● Rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita noudatetaan.● “Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen

tietojen tuhoamiseen. Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa. Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa.”

Tietosuoja.fi – tietosuojavaltuutetun toimiston opas: Miten valmistautua EU:n tietosuoja-asetukseen? 24.1.2017


Miten tietosuoja-asetus vaikuttaakonkreettisesti yritysten toimintaan?

● Henkilötiedot tulee muokata siten, ettei niistä saa helposti selville ketä tieto koskee.● On taattava järjestelmien jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus.● On lisättävä sisäistä valvontaa ja ottaa käyttöön vuosittainen menettely käytäntöjen valvontaan.● Rekisterinpitäjä saa tallentaa vain välttämättömät tiedot (tietojen minimointivaatimus).● Virheelliset tiedot on poistettava tai oikaistava (täsmällisyysvaatimus).● Isojen ja kriittistä tietoa käsittelevien yritysten on nimettävä tietosuojavastaava.● Rekisterinpitäjällä on vastuu henkilötietojen käsittelijöistä ja alihankkijoista.● Suojaustoimet pystyttävä osoittamaan auditoitavalla tavalla, koskee myös alihankkijoita.● Alihankkijoiden ja kumppaneiden kanssa on tehtävä kirjallinen sopimus suojatoimista.


Miten yritys varmistaatietosuojan lainmukaisuuden?

● Otettava huomioon seuraavat tietoturva-asiat:– Hallinnollinen tietoturva (mm. tietoturvapolitiikka ja ohjeistukset)– Fyysinen tietoturva (mm. kulunvalvonta, laite- ja toimitilojen fyysinen suojaaminen)– Laitteistoturvallisuus (mm. virustorjunnat, seuranta ja hälytykset)– Ohjelmistoturvallisuus (mm. ohjelmistojen testaus, tietoturvapäivitykset)– Tietoaineistoturvallisuus (mm. rekisterien suojaaminen, käytön valvonta)– Tietoliikenneturvallisuus (mm. palomuurit, hyökkäysten tunnistus ja valvonta)– Henkilöstöturvallisuus (mm. koulutus, ohjeistukset ja vastuiden määrittely)– Jatkuvuuden hallinta (mm. suunnitelmallisuus ja vioista toipuminen)


Jos tietosuoja vaarantuu?

● Tietoturvaloukkauksesta on ilmoitettava viranomaisille 72 tunnin kuluessa tapahtuneesta.● Rekisteröidylle on ilmoitettava välittömästi tietoturvaloukkaustilanteesta, jos tietovuoto

aiheuttaa suuren riskin henkilötietojen suojalle tai yksityisyydelle.● Määrättävien sakkojen tulisi olla tehokkaita ja varoittavia (suurimmillaan 20 milj. €)● Sakkojen ohella on käytettävissä myös lievempiä keinoja kuten huomautus tai varoitus● Sakkojen määräytymiseen vaikuttavat mm. rikkomisen vakavuus, laajuus, tahallisuus,

henkilötietojen käsittelijän vastuun aste, yhteistyön aste valvontaviranomaisen kanssa tietosuojasäännösten rikkomisen korjaamiseksi


SFS-ISO/IEC 27002:2013Tietoturvallisuuden hallintakeinojen menettelyohjeet

Lähde:

http://w

ww.a

lienco

ders

.org

/conte

nt/ch

anges-

to-is

o-2

7001-w

hats

-new-

in-the-2

013-is

o-2

7001-u

pdate

/

Tietoturvapolitiikat

Tietoturvallisuuden organisointi

Suojattavan omaisuuden hallinta

Pääsynhallinta

Viestintäturvallisuus

Fyysinen turvallisuus

Käyttöturvallisuus

Vaatimustenmukaisuus

Henkilöstöturvallisuus

Tietoturvahäiriöiden hallinta

Liiketoiminnan jatkuvuuden hallintaanliittyviä tietoturvanäkökohtia

Järj. hankkiminen, kehittäminen ja ylläpito

Suhteet toimittajiin

Salaus


Kyberturvallisuuskartoituksesta sertifiointiin

Kartoitus

Riskit ja tavoitetaso

IT-arkkitehtuurindokumentaatio

Kehityssuunnitelma

→ Liiketoiminnan ymmärtäminen, kyberriskien tunnistaminen→ Liiketoiminnan tietotekniset vaatimukset→ Tietovarastojen sijainti ja luokittelu

Verkot, profilointi, skannaukset

Sovellukset ja palvelimet

Prosessit ja käytännöt

Dokumentaatio ja haastattelut

ISO 27000CyberSafe

Cyber Essentials

Arviointi jatietoturva-

testaus

1

2

Nykytilan kuvaus

Kehityshanke3

Sertifiointiarvio4

Valvonta jauudelleen-sertifiointi5

Kyberturvallisuudesta kilpailuetua | elfgroup.fi

Tietoturvakartoitus Tietoturvan kehittäminen Tietoturvallinentoimintaympäristö

Liiketoiminnan tietoturvariskit

Kehityssuunnitelma

IT-ympäristönsuojausmekanismit

CyberSafe-sertifiointi

Kriittiset tietoturva-parannukset

Tietoturvatestaus ja suojausten parantaminen

Liiketoiminnan jatkuvuudenvarmistaminen

Tietoturvallisetpilvi ja -integraatiopalvelut

Tiedon varmistaminen, jakaminen, käytön valvonta

Jatkuva kehittäminen

Prosessi tietoturvalliseen toimintaympäristöön


Kyberturvallisuuspalvelut

elfSURVEY – Kartoitus ja suojauksen suunnittelu

elfSWEEP – Aukkojen tunnistaminen ja tukkiminen

elfATTACK – Järjestelmien hakkeritestaus

elfCLOUD – Palvelimet, tietopääoman suojaaminen elfBUS – Turvalliset, hajautetut tietovirrat

Cybe

rSaf

e-se

rtifi

oint

i

elfWATCH – Jatkuva infravalvonta, tietovirta-analysointi ja suojausten ylläpitopalvelu

elfGUARD – Ylläpidetty ja valvottu palomuuri- ja tietoturvallinen VPN-etäyhteyspalvelu

“CyberSafe-sertifiointi on erinomainen keino vakuuttaa asiakkaat ja yhteistyökumppanit yritystoiminnan hyvästä kyberturvallisuustasosta.”

elfBRAIN – Tietoturva-asiantuntijat ohjelmistokehitykseen & koodi- ja arkkitehtuurikatselmointeihin

elfGROUP Kyberturvallisuuspalvelut OyKiilakiventie 1

90250 Oulu

www.elfgroup.fi

kyberturvallisuus - organisaation ja tietojen suojaaminen, eu:n tietosuoja-asetukset

Technology