Hyppää sisältöön

Tietosuojavaltuutetulle ilmoitettujen asioiden määrä edelleen kasvussa

Julkaisuajankohta 16.4.2019 9.38
Tiedote

Vuoden ensimmäisen neljänneksen perusteella tietosuojavaltuutetun toimistoon vireille tulleiden asioiden määrä kasvaa edelleen. Kasvua on kaikissa suurimmissa asiaryhmissä, mutta erityisesti tietoturvaloukkauksista tehdyt ilmoitukset nostavat vireille tulleiden asioiden määrää.

Alkuvuoden aikana toimistoon on tullut vireille yhteensä runsaat 3 100 asiaa, mikä on noin 20 % enemmän kuin edellisenä vuonna. ”Jos tahti jatkuu samanlaisena, vuoden aikana vireille tulleiden asioiden määrä ylittää 11 000 asian rajan. Tämä on enemmän kuin koskaan aiemmin”, toteaa tietosuojavaltuutettu Reijo Aarnio.

Esimerkiksi rekisteröidyn oikeuksia koskevia asioita on saapunut selvästi enemmän kuin alkuvuonna 2018. Tavallisimpia tähän ryhmään kuuluvia asioita ovat rekisteröidyn oikeus saada pääsy omiin tietoihinsa ja oikeus tulla unohdetuksi. Rekisteröidyn oikeuksia koskevissa asioissa rekisteröidyn tulee ensisijaisesti olla yhteydessä rekisterinpitäjään ja esittää tälle pyyntö tietosuojaoikeuksien käyttämisestä. Jos rekisterinpitäjä kieltäytyy tästä ilman asianmukaista perustetta, asian voi laittaa vireille tietosuojavaltuutetun toimistoon. ”Asiamäärän kasvu kertoo ainakin siitä, että ihmiset ovat nykyään tietoisempia tietosuojaoikeuksistaan ja haluavat käyttää näitä oikeuksia”, sanoo Reijo Aarnio.

Euroopan tietosuojaviranomaiset päivittäisessä yhteistyössä

Euroopan tietosuojaviranomaisten välinen yhteistyö lisääntyi EU:n yleisen tietosuoja-asetuksen ja Euroopan tietosuojaneuvoston perustamisen myötä. Alkuvuoden aikana tietosuojavaltuutetun toimisto osallistui 22:n rajat ylittävän asian käsittelyyn yhdessä muiden valvontaviranomaisten kanssa. Rajat ylittävillä asioilla tarkoitetaan esimerkiksi valituksia, jotka koskevat henkilötietojen käsittelyä useissa EU-maissa. EU:n tietosuojaviranomaisilla oli vuoden ensimmäisen neljänneksen aikana vireillä lähes 300 rajat ylittävää asiaa.

Rajat ylittävien asioiden käsittelyn lisäksi tietosuojaneuvoston alatyöryhmät jatkoivat aktiivisesti toimintaansa. Ryhmissä valmisteltiin ohjeita tietosuoja-asetuksen soveltamisesta sekä käsiteltiin uusien ilmiöiden ja teknologioiden tietosuojaa. Tietosuojavaltuutetun toimisto osallistuu jokaisen alatyöryhmän toimintaan.

Tietojen kalastelu hyvin yleinen syy tietoturvaloukkaukseen

Noin kolmasosa alkuvuonna vireille tulleista asioista on ollut ilmoituksia henkilötietojen tietoturvaloukkauksista. Yhteensä ilmoituksia on tullut tänä vuonna noin 1050.

Tietosuojavaltuutetun toimistolle tehtyjen ilmoitusten mukaan suuri osa korkean riskin aiheuttavista tietoturvaloukkauksista perustuu tietojen kalasteluun. Pääosa niistä koskee Office 365 -tunnuksen ja salasanan joutumista hyökkääjien haltuun.

Tunnuksia kalastellaan sähköpostiviesteillä sekä erilaisilla, oikeita verkkosivustoja muistuttavilla kalastelusivustoilla. Tavallisimmin kalastelu etenee siten, että henkilön postilaatikkoon tulee sähköposti luotetulta taholta. Viestin sisältönä on turvapostilinkki tai tiedoston jakolinkki, joka klikattaessa ohjautuu aidolta näyttävälle Office 365 -kirjautumissivulle. Hyökkääjän tavoitteena on saada viestin vastaanottaja syöttämään tunnuksensa tälle sivulle, jolloin ne välittyvät samalla hyökkääjän käyttöön. Tämän jälkeen hänellä on pääsy kaikkeen siihen tietoon, mihin tilin oikealla omistajallakin, esimerkiksi sähköposteihin, tiedostoihin ja yhteystietoihin.

Hyökkäys havaitaan tyypillisesti vasta siinä vaiheessa, kun hyökkääjä käynnistää uuden kalasteluviestiketjun alkuperäisessä hyökkäyksessä hankkimillaan osoitetiedoilla. Usein yritysten on myös vaikeaa näyttää toteen, mitä henkilötietoja hyökkääjän haltuun on päätynyt. Yritysten tulisikin näiltä osin kehittää kirjautumista pilvipalveluihin, näiden palveluiden valvontaa ja lokitusominaisuuksien hyödyntämistä. Lisäksi on syytä harkita, välitetäänkö ja säilytetäänkö sähköpostissa henkilötietoa sisältäviä dokumentteja, kuten sairauslomatodistuksia, työsopimuksia tai passin kopioita.

Lisätietoja:

Tietoturvaloukkaukset
Euroopan tietosuojaneuvosto
Useita EU-maita koskeva käsittely

Sivun alkuun