08.08.2019

Tietosuoja-asetus tuo vaatimuksia tietoturvan parantamiselle

Tietosuoja-asetus (GDPR) on ollut noin vuoden toiminnassa ja sen seuraksia odotellaan vielä pelonsekaisella mielenkiinnolla. Ensimmäisiä sanktioita on jo ruvennut satelemaan lainsäädännön seurauksena.

ICO (Information Commissioner’s Office) on antamassa yli 100 miljoonan euron yhteisösakot tietosuoja-asetuksen tiimoilta kansainväliselle Marriott-hotelliketjulle.

Marriott on laiminlyönyt velvollisuuksiaan moitittavalla tavalla 2014-2018 välillä, jonka seurauksena 339 miljoonan yöpyjän henkilötietoja (luottokorttitietoja, passinumeroja, syntymä-aikoja ja muita yhteystietoja) varastettiin. 30 miljoonaa näistä oli EU-kansalaisten tietoja.

Kahden viimeisen vuoden aikana monet yritykset ovat olleen ylikorostuneen huolestuneita omasta tietosuojamääräysten mukaisuudestaan paperilla, kuitenkin vältellen tietoturvan käytännön tason ratkaisuja taloudellisten rajoitusten ohjaamana. Tietohallinto on usein tyytyväinen tietosuoja-asetuksen formaalien vaatimusten täyttymiseen, jättäen tietoturvan ja yksityisuudensuojan käytännön toteutuksen liian vähälle huomiolle.

Marriottin tapauksessa murtautujat olivat temmeltäneet vuosia jo ennen tietosuoja-asetuksen voimaantuloa yksinkertaisesti huonojen suunnittelu- ja ylläpitokäytäntöjen takia (verkkotopologiat, salasanat, palomuuriavaukset, ohjelmistopäivitykset ja henkilötietojen käsittelystä puhumattakaan). Surullistahan tässä on se, että sakko määräytyi sen seurauksena, että niin moni erillinen pienempi virhe kumuloitui ja riski toteutui.

Tietoturva-auditointi on tärkeää liiketoiminnan kannalta, jotta todella tiedetään, mikä on liiketoiminnallisten riskien tila ja mitä parannuksia kannattaisi tehdä. Näin turvataan liiketoimintaa mahdollisimman pienillä kustannuksilla ja hallitaan riskien tasoa ja vältetään riskien kumuloitumista tehokkaasti.

Tietoturvan parhailla käytännöillä voidaan suojata infraa todella tehokkaasti. Tällaisia ovat esim. verkkosegmentointi, palomuurisääntöjen huolellinen suunnittelu ja auditointi sekä säännölliset ohjelmistopäivitykset. Myös uuden sukupolven palomuurien ominaisuuksien käyttöönotto parantaa tietoturvaa. Nämä ominaisuudet tukevat liiketoiminnan tietoturvatarpeita.

Jos vastaat organisaationne tietoturvasta, nyt on aika selvittää tietoturvanne taso. Otaverkko suorittaa auditointia, tietoturvakonsultointia ja -suunnittelua. Ota yhteyttä ja laitetaan teidänkin tietoturva-asiat kuntoon.

Christian Harju, Verkko- ja tietoturva tiimin Team Lead