EU:n tietosuoja-asetus koskee kaikkia

Lähetetty 8.6.2020 by Sakari Myllymäki

EU:n tietosuoja-asetuksen mukaiset velvoitteet ja rekisteröidyn oikeudet eivät ole vielä läheskään kaikille selviä. Niiden toteutumisen kannalta on tärkeää kouluttaa mahdollisimman laajasti kaikkia, jotka ovat tekemisissä henkilötietojen kanssa.

Turvallisuus sisäänrakennettuna

Tietoturva-asetuksen vaatimus sisäänrakennetusta turvallisuudesta tulisi olla selvä kaikille, jotka jollain tavalla suunnittelevat henkilötietojen käsittelyä. Tämä vaatimus ei koske ainoastaan tietojärjestelmien kehittämistä. Se tulisi ottaa huomioon aina valittaessa tapaa, jolla henkilötietoja kerätään, käsitellään ja säilytetään. Rekisterinpitäjän pitää aina myös pystyä osoittamaan, että tietojen käsittely on tietosuoja-asetuksen mukaista.

Jos esimerkiksi suunnitellaan markkinointitutkimusta pilvipalvelun avulla, pitää tarkasti selvittää, soveltuuko palvelu niiden tietojen käsittelyyn, joita halutaan kerätä. Tähän sisältyy kerättävien tietojen käsittelyperusteen määrittely ja riskien arviointi. Samalla tulee selvittää mm. palveluntuottajan kanssa tehtävä sopimus sekä missä tietoja säilytetään ja kuinka kauan.

Kohteiden informointi

Tietosuoja-asetukseen sisältyy velvoite informoida tietojen kohdehenkilöä mm. Siitä, mihin tarkoitukseen tietoja kerätään, mutta myös niiden käsittelytavoista, tietoturvallisuuden varmistamisesta ja säilytysajoista. Tämän velvoitteen täyttämiseen ei välttämättä riitä pilvipalvelutuottajan oma tietosuojaseloste, joka on laadittu sen omaan toimintaan tietojenkäsittelijänä, ei rekisterinpitäjänä.

Lisäksi rekisterinpitäjällä tulee olla valmiina prosessit tietopyyntöjen käsittelemiseksi määräajassa. Jos henkilö pyytää kaikki häntä koskevat tiedot, tulee tietopyyntöä toteuttaessa löytää myös mahdollisesti pilvipalvelussa olevat tiedot.

Tietojen keräämistä suunniteltaessa tulee ottaa myös huomioon mahdollisen tietoturvaloukkauksen riski. Pilvipalvelua käyttäessä tulee selvittää, miten tietoturvaloukkauksen sattuessa toimitaan: Kuka vastaa selvittämisestä? Kuinka siitä saadaan tieto ja miten tietoturvaloukkauksesta ilmoitetaan tietosuojaviranomaisille ja tietojen kohteille?

Mikä on tiedonhallintamalli?

Lähetetty 27.3.2020 by Sakari Myllymäki

Vuoden 2020 alussa voimaan astunut Laki julkisen hallinnon tiedonhallinnasta edellyttää mm. valtion virastoilta ja laitoksilta sekä kunnilta tiedonhallintamallin laatimista. Tiedonhallintamalli on tarkoitettu työkaluksi palvelujen, asiankäsittelyn ja tietoaineistojen hallinnan suunnitteluun ja toteuttamisen tueksi. Sen tulisi siten tukea organisaation tavoitteiden ja velvoitteiden toteutumista.

Tietohallintamalli ei ole erillinen dokumentti, vaan osa organisaation johtamisjärjestelmää. Se tulisi nähdä jatkuvana prosessina, johon kuuluu tiedonhallinnan suunnittelu, toteuttaminen, muutostarpeiden arviointi ja kehittäminen (PDCA-malli).

Mitä tiedonhallintamalli käsittää?

Tiedonhallintamallia ei tarvitse tuottaa tyhjästä: Siihen kerätään tietoja mahdollisesti jo olemassa olevista lähteistä, kuten toimintaprosesseista, kokonaisarkkitehtuurista ja tietoturvan hallintomallista.

Tiedonhallintalain 5§:n mukaan tiedonhallintamalli sisältää vähintään tiedot:

toimintaprosesseista ja niiden sidoksista
tietovarannoista
tietoaineiston arkistoinnista tai tuhoamisesta
tietojärjestelmistä ja liittymistä muihin tietojärjestelmiin
tietoturvallisuustoimenpiteistä

Tiedonhallintamallin toteutus

Tiedonhallintamallin toteutus kannattaa aloittaa kartoittamalla, mitä on jo valmiina. Näitä voivat olla esim. arkkitehtuurikuvaukset, henkilötietojen käsittelyselosteet, arkistonmuodostussuunnitelma tai tietoturvan hallintajärjestelmä. Kartoituksen pohjalta tehdään sitten toimenpidesuunnitelma ja priorisoidaan tarvittavat toimenpiteet ja laaditaan niille aikataulu.

Tiedonhallintamallin laatimisessa kannattaa pyrkiä yksinkertaiseen ja selkeään, mutta riittävän kattavaan tulokseen, ja täydentää tarpeen mukaan myöhemmin. Malliin tuleekin liittää myös prosessit sen muutostarpeiden säännöllisestä arvioinnista ja mallin jatkuvasta parantamisesta.

Redoubt Oy:llä on vahva kokemus tiedonhallinnan ja tietoturvan hallintamallien toteutuksesta. Mikäli haluat kuulla, miten voisin auttaa tiedonhallintamallin toteutuksesta, ota yhteyttä tästä.

GDPR – EU:n uusi tietosuoja-asetus

Lähetetty 27.3.2018 by Sakari Myllymäki

EU:n uusi tietosuoja-asetus (GDPR, General Data Protection Regulation) tulee sovellettavaksi 25.5. 2018 alkaen. Tietosuoja-asetuksen tavoitteena on lisätä ihmisten luottamusta ja antaa rekisteröidyille kontrolli itseään koskeviin tietoihin. Ihmisillä on oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä, päästä itseään koskeviin tietoihin, siirtää ne järjestelmästä toiseen, pyytää niiden poistamista sekä rajoittaa niiden käsittelyä. Suuret yritykset ovat jo pitkällä sen vaatimusten toteuttamisessa, mutta pienissä yrityksissä ei välttämättä olla yhtä pitkällä. Onko siis olla huolissaan?

Kyllä ja ei. Yhtäältä monet tietosuoja-asetuksen vaatimukset ovat sisältyneet jo voimassa olevaan tietosuojalainsäädäntöön, mutta tietosuoja-asetus tuo myös uusia vaatimuksia.

Mitä pitäisi tehdä, jotta olisi valmiina tietosuoja-asetuksen tullessa voimaan?

Yritysten tulisi viimeistään nyt tunnistaa, mitä henkilötietoja yrityksessä käsitellään. Näitä ovat sellaiset tiedot, joista yksittäinen henkilö on tunnistettavissa, myös epäsuorasti. Myös yrityksen tietoihin sisältyvät henkilötiedot, esim. yhteyshenkilöt, ovat tietosuojan piirissä.

Jo nykyisen lain puitteissa ei henkilötietoja pitäisi kerätä, käsitellä tai säilytetä enempää, kuin niiden tarkoituksen kannalta on tarpeellista. Henkilötietojen käsittelylle tulee aina olla hyväksyttävä peruste, esimerkiksi sopimuksen täytäntöön paneminen tai lakisääteisen velvoitteen noudattaminen. Tietojen käsittely voi perustua myös henkilön suostumukseen, mutta suostumus on saatava suostumuksen ilmaisevalla toimella. Suostumuksen voi myös aina peruuttaa. Yrityksen tulee myös miettiä valmiiksi menettelytavat, joilla henkilötiedot, joiden säilyttämiseen ei ole enää perustetta, voidaan poistaa.

Rekisteröidyllä on myös oikeus mm. saada nähtäväksi itseään koskevat tiedot, vaatia niihin oikaisua ja rajoittaa niiden käyttöä. Yrityksen on siis varauduttava edeltä käsin ja laadittava menettelytavat, joilla nämä oikeudet voidaan toteuttaa.

Oletusarvoinen turvallisuus henkilötietojen käsittelyssä

Henkilötietojen käsittelyssä tulee huolehtia riittävän tietoturvallisuuden ylläpitämisestä. Tämä edellyttää riskiperusteista lähestymistä, eli turvatoimenpiteiden tulee olla suhteessa tietoihin kohdistuviin riskeihin ja uhkiin.
Yrityksen on myös pystyttä osoittamaan, että se on huolehtinut henkilötietojen käsittelyn turvallisuudesta. Tämä tarkoittaa, että henkilötietojen käsittelytavat ja turvaamistoimenpiteet pitää dokumentoida. Minimissään tulisi laatia henkilörekistereistä tietosuojaselosteet Tietosuojavaltuutetun ohjeet selosteen laatimiseksi löytyvät täältä. Tieosuojaselosteiden tulee myös olla kaikkien saatavilla.

Jos tietojen käsittelyyn liittyviä tehtäviä on annettu ulkoisen toimittajan, esimerkiksi IT-palveluntarjoajan, tehtäväksi, tämän kanssa on tehtävä kirjallinen sopimus tehtävistä ja vastuista. Tieosuoja-asetus sisältää lukuisia vaatimuksia sopimuksen sisällöstä, kuten henkilötietojen käsittely ainoastaan rekisterinpitäjän ohjeiden mukaan.

Miksi salasanassa pitää olla !@#%& merkkejä?

Lähetetty 18.6.2017 by Sakari Myllymäki

Tietoturvassa, kuten monessa muussakin asiassa, on sellaisia käytäntöjä, jotka ovat muotoutuneet aikojen kuluessa parhaiksi käytännöiksi, joista pidetään kiinni, vaikka niistä ei olekaan tavoiteltua hyötyä. Yksi näistä on salasanojen ns. kompleksisuusvaatimukset.

Kompleksisuusvaatimusten taustalla on salasanojen murtaminen brute force -tekniikalla, jossa kokeillaan kaikkia mahdollisia salasanoja, joko suoraan järjestelmään, tai paljastuneeseen salasanatiedostoon. Jälkimmäisessä tapauksessa on myös mahdollista käyttää etukäteen laskettuja tiivisteitä ns. rainbow-tauluja, joita verrataan järjestelmän tallentamiin salasanojen tiivisteisiin. Teorian mukaan lisäämällä salasanojen kompleksisuutta (edellyttämällä, että salasanaan sisältyy isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä) vaikeutetaan tällaista murtamista.

Onko hyvässä salasanassa siis sekaisin isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä? Ei välttämättä, jos uskomme NIST:n luonnosvaiheessa olevaa ohjetta SP 800-63-3, joka koskee sähköistä tunnistamista ja sisältää myös suositukset ’muistinvaraisista salaisista tunnisteista’ siis salasanoista ja PIN-luvuista.

Salasanan vähimmäispituudeksi ohje suosittaa kahdeksan merkkiä, jos se on käyttäjän valitsema, ja kuusi merkkiä, jos se on palveluntarjoajan satunnaisesti generoima. Käyttäjän valitsema salasana tulisi tarkistaa huonojen salasanojen listaa vasten, mutta muita muotovaatimuksia sille ei tulisi esittää. Sen sijaan tulisi olla mahdollista käyttää pitkiä salasanoja ja salalauseita.

Käyttäjiä ei myöskään tule vaatia vaihtamaan salasanaansa ilman syytä, esim. määräajoin. Salasana tulisi siis vaihtaa ainoastaan, jos käyttäjä haluaa vaihtaa sen tai on syytä epäillä että se on paljastunut. Sen lisäksi muutos vakiintuneeseen viisauteen on, että käyttäjälle pitää antaa mahdollisuus nähdä kirjoittamansa salasana, jos hän on paikassa missä sitä ei voi ruudulta urkkia.

Liian monimutkaiset salasanat ja niiden tiheä vaihtaminen vaikeuttavat niiden muistamista. Käyttäjät luovat silloin ratkaisuja, jotka toimivat tavoitteita vastaan. Käyttäjät reagoivat näihin vaatimuksiin ennalta arvattavasti antamalla salasanaksi ”Salasana1!” jos siinä vaaditaan isoja kirjaimia, numeroita ja erikoismerkkejä. Vastaavasti kun salasanaa pitää jatkuvasti vaihtaa, muutetaan vain sen loppuun laitettua numeroa suuremmaksi.

NIST:n ohjeessa palveluntarjoajaa opastetaan monimutkaisten vaatimusten sijaan vertaamaan käyttäjän ehdottamia salasanoja listaan, joka voi sisältää esimerkiksi jo murrettuja salasanoja, sanakirjoista löytyviä sanoja, ja muita helposti murrettaviksi tiedettyjä merkkijonoja (esim. aaaaaaaa, 123456) tai asiayhteydestä arvattavia sanoja. Kun käyttäjän ehdottama salasana hylätään, käyttäjälle pitää myös kertoa syy ja pyytää valitsemaan toinen salasana.

Brute force hyökkäysten torjunnan kannalta tehokkaampia torjuntakeinoja ovat NIST:n ohjeen perusteluiden mukaan salasanayritysten rajoittaminen, vahvalla tiivisteellä suojatut salasanatiedostot sekä edellä mainitut huonojen salasanojen mustat listat. Salasanojen murtamiseen käytettyihin sanakirjoihin on kerätty murrettuja, vuotaneita ja yleisesti käytettyjä salasanoja joita voidaan käyttää salasanatiivisteiden murtamiseen.

Jos koko salasanatiedosto joutuu vääriin käsiin, on mahdollista yrittää murtaa suuri määrä salasanoja yhdellä kertaa. Sen vuoksi salasanat tulisi säilyttää niin että ne on suojattu, vaikka salasanat sisältävä tietovarasto joutuisikin vääriin käsiin. Salasanoja ei suositellakaan säilyttämään edes salattuina, vaan ainoastaan siitä laskettua tiivistettä. Sen muodostamiseen tulisi aina käyttää riittävän pitkää suolaa, eli yksilöllistä avainta, ja vahvaa tiivistealgoritmia, joka on tarkoitettu salasanojen suojaamiseen. NIST suosittelee PBKDF2 algoritmia, vähintään 32 bittistä satunnaisgeneraattorilla tuotettua suolaa sekä vähintään 10.000 hashfunktion iteraatiota.

Vaikka salasanojen ongelmista on puhuttu jo pitkään, en usko että ne tulevat ihan lähiaikoina katoamaan. Salasana on jatkossakin kustannustehokas tunnistusväline. Monissa palveluissa vahvempien tunnisteiden käyttö ei ole tarpeen. Sen vuoksi on tärkeää, että salasanojen turvallisuudesta pidetään huolta.

Käyttäjät mukaan tietoturvan ylläpitoon

Lähetetty 6.11.2016 by Sakari Myllymäki

Chester Wisniewskin esityksessä Kyberturvallisuusmessuilla nousi esiin muutamia ajatuksia, jotka jatkavat aiemman juttuni teemaa. Jos käyttäjiä syyllistetään siitä, että he menettelevät vahingossa tai tietämättä tietoturvan kannalta väärin, se johtaa vain tietoturvan kannalta huonoon lopputulokseen. Ihmiset kokevat tietoturvan pelottavana eivätkä uskalla kertoa, jos epäilevät vaikkapa saamaansa sähköpostia.

Käyttäjät ovat ihmisiä, jotka yrittävät tehdä työtään parhaalla mahdollisella tavalla. Hakkerit ymmärtävät tämän ja pyrkivät hyödyntämään sitä. Jos joku lähettää haittaohjelman sähköpostilla, jonka otsikko tuntuu viittaavan heidän työhönsä, on todennäköistä, että avataan. Hakkerit tietävät, että jos ihminen saa laskun, hän kokee sen tärkeäksi ja todennäköisesti avaa sen. Siitä ei pitäisi ihmisiä rangaista, vaan pyrkiä auttamaan heitä tunnistamaan, milloin on todennäköisesti kyseessä huijausviesti.

Wisniewskin viesti oli, että tietoturvan tulisi ennemmin pyytää käyttäjiä auttamaan. Mitä enemmän käyttäjät kertovat epäilyttävistä sähköposteista ja muista mahdollisista tietoturvaloukkauksista, sitä parempi. Olen tästä aivan samaa mieltä. Kokemukseni mukaan ihmisten huolet ovat yleensä aivan aiheellisia. Käyttäjiltä tai asiakkailta saatu viesti on toisinaan ollut ensimmäinen havainto tietoturvaloukkauksesta. Lisäksi ne käyttäjät, jotka ovat kiinnostuneita tietoturvallisuudesta ovat suurena tukena muille, ja auttavat levittämään tietoturvatietoisuutta.

Loppujen lopuksi tietoturvallisuus ei ole itsetarkoitus, vaan tietoturvaa tehdään, jotta organisaatio voisi toteuttaa omaa tarkoitustaan. Käyttäjien ja asiakkaiden tavoitteiden turvaamisen tulisi olla tietoturvan tavoite, joten siihen kannattaa pyrkiä yhdessä.