Tietosuojasta huolehtiminen on osa kyberhäiriöihin varautumista
Organisaatioiden varautuminen henkilötietoihin kohdistuviin tietoturvaloukkauksiin on tärkeä osa kyberhäiriöihin valmistautumista. Teema nousee esiin myös TIETO22-harjoituksessa, jossa harjoitellaan tänä vuonna varautumista vakavaan finanssialan maksuliikennehäiriöön. TIETO22 on Suomen suurin yritysten ja viranomaisten yhteinen kyberturvaharjoitus.
Kyberhäiriöihin voi liittyä riski vakavista henkilötietoihin kohdistuvista tietomurroista tai -vuodoista. Osana varautumistaan organisaatioiden tulee varmistaa, että esimerkiksi järjestelmien turvallisuus ja tietoturvaloukkausten ilmoitusvelvollisuuksiin ja dokumentointiin liittyvät käytännöt ovat kunnossa.
TIETO22-harjoitus tuo yhteen yhteiskunnan huoltovarmuuskriittiset toimijat yksityisellä ja julkisella sektorilla. Myös tietosuojavaltuutetun toimisto osallistuu jälleen harjoitukseen. Harjoituksella edistetään sekä organisaatioiden omaa varautumista että yhteistoimintaa muiden toimialojen ja viranomaisten kanssa. Harjoitukseen osallistuu tänä vuonna noin 120 yritystä ja viranomaista.
Tunnista riskit ja huolehdi henkilötietojen turvallisesta käsittelystä
Organisaation on tärkeä tuntea henkilötietojen käsittelytoimensa ja henkilötietoihin kohdistuvat riskit. Rekisteröidyille aiheutuvia riskejä voi vähentää esimerkiksi noudattamalla tietojen minimointiperiaatetta.
Henkilötietojen käsittelyn turvallisuudessa ja teknisessä tietoturvassa tietosuojavaltuutetun toimisto kiinnittää huomiota muun muassa ohjelmistojen ajantasaisuuden varmistamiseen, pääsynhallintaan sekä riittävään tietojärjestelmien valvontaan ja lokitukseen. Erityisesti tietomurroissa on tärkeää saada konkreettista näyttöä hyökkääjän toimista esimerkiksi lokitietojen avulla. Valvonnalla ja lokituksella voidaan joskus myös todeta epäilty tietoturvaloukkaus aiheettomaksi ja säästää selvitykseen kuluvaa aikaa.
Muista myös ilmoitusvelvollisuus
Tietoturvaloukkauksen sattuessa organisaation on arvioitava loukkauksesta aiheutuvat riskit. Riskiarviossa on tarkasteltava muun muassa sitä, millaisista henkilötiedoista on kyse ja kuinka vakavia seurauksia tietoturvaloukkaus saattaa aiheuttaa.
Rekisterinpitäjän on ilmoitettava henkilötietoihin kohdistuneesta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle, jos loukkaus voi aiheuttaa riskin rekisteröidyille. Ilmoitus on tehtävä 72 tunnin kuluessa loukkauksen havaitsemisesta. Rekisterinpitäjä ja henkilötietojen käsittelijä voivat myös sopia, että käsittelijä tekee ilmoituksen rekisterinpitäjän puolesta.
Jos loukkauksen kohteeksi joutuneille henkilöille voi aiheutua korkea riski, loukkauksesta on ilmoitettava myös heille niin pian kuin mahdollista. Jos rekisterinpitäjä päättää jättää ilmoittamatta loukkauksesta rekisteröidyille, sen on perusteltava päätös.
Tietoturvaloukkauksen tarkka selvittäminen ei saa viivästyttää ilmoituksen tekemistä. Ilmoitusta voi ja tulee täydentää, kun organisaation oma selvitys etenee ja jos loukkauksesta saadaan uutta tietoa.
Tietoturvaloukkausilmoitusten määrä kasvaa edelleen
Tietosuojavaltuutetun toimistolle ilmoitettujen tietoturvaloukkausten määrä on kasvanut vuosittain. Organisaatioiden ilmoitusvelvollisuus alkoi EU:n yleisen tietosuoja-asetuksen soveltamisen myötä toukokuussa 2018. Tietoturvaloukkausilmoitusten osuus tietosuojavaltuutetun toimiston kaikista vireille tulleista asioista on vuoden 2022 aikana noussut lähes 46 prosenttiin, kun osuus vuonna 2021 oli 44 prosenttia. Eniten ilmoituksia saapuu säännellyiltä toimialoilta, kuten sosiaali- ja terveydenhuollon alalta, finanssisektorilta ja telealalta.
Lisätietoja:
Lue lisää henkilötietoihin kohdistuvista tietoturvaloukkauksista verkkosivuillamme
Digipoolin tiedote TIETO22-harjoituksesta Huoltovarmuuskeskuksen verkkosivuilla: TIETO22 testaa yhteistoimintaa laajassa maksuliikennehäiriössä
TIETO-harjoituksia organisoi Huoltovarmuusorganisaation Digipooli.