Tietosuojavaltuutetun toimistolle on ilmoitettu jo 2700 henkilötietojen tietoturvaloukkausta

22.2.2019 10.58
Tiedote

Organisaatioiden ilmoitusvelvollisuus alkoi toukokuussa 2018, kun EU:n yleistä tietosuoja-asetusta ryhdyttiin soveltamaan. Tietosuojavaltuutetun toimistossa on havaittu, että ilmoituskynnys vaihtelee organisaatioittain.

Henkilötietoihin kohdistuneesta tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle, jos loukkaus voi aiheuttaa riskin ihmisten oikeuksille ja vapauksille. Riskiarviossa on tarkasteltava muun muassa sitä, millaisista henkilötiedoista on kyse ja kuinka vakavia seurauksia tietoturvaloukkaus saattaa aiheuttaa.

Henkilötietojen tietoturvaloukkaukseen liittyvässä riskiarviossa on tarkasteltava rekisteröidylle aiheutuvaa riskiä. Kyseessä ei ole arvio liiketoimintariskistä, vaikka rekisteröidylle aiheutuva riski voi välillisesti olla myös liiketoimintariski.

Ilmoitettuaan tietosuojavaltuutetun toimistolle tietoturvaloukkauksesta rekisterinpitäjät voivat saada neuvontaa henkilötietojen suojaamisesta ja siitä, onko tietoturvaloukkauksesta ilmoitettava loukkauksen kohteena oleville henkilöille. Tarvittaessa tietosuojavaltuutettu voi määrätä organisaation noudattamaan tietosuoja-asetuksen mukaisia velvoitteita.

Ilmoituksia arvioidaan yleensä tapauskohtaisesti, mutta rekisterinpitäjän toimintaa voidaan tarkastella myös kokonaisuutena. Koska tietosuojavaltuutetun toimistolle ilmoitetut tietoturvaloukkaukset ovat hyvin erilaisia keskenään, riskien arvioinnista ja loukkausten käsittelystä on haastavaa antaa yleistä ohjausta.

Ilmoituskynnys vaihtelee organisaatioittain

Tietosuojavaltuutetun toimistossa on havaittu, että ilmoituskynnys vaihtelee organisaatiosta riippuen. Ilmoituskäytännöt voivat olla hyvin erilaisia, vaikka toimiala olisi sama.

Organisaatiolta tulleiden ilmoitusten määrä ei välttämättä kerro henkilötietojen puutteellisesta suojaamisesta. Ilmoitukset voivat olla myös merkki siitä, että organisaatio tuntee tietosuojalainsäädännön ja henkilötietojen tietoturvaloukkauksiin liittyvät velvoitteet. Eniten ilmoituksia onkin tullut säädellyiltä toimialoilta, erityisesti terveydenhuollosta, finanssisektorilta ja telealalta.

Henkilötietojen tietoturvaloukkausilmoitusten määrät vaihtelevat myös EU- ja ETA-maiden kesken. Suomessa tehtyjen ilmoitusten määrä on ollut samankaltainen Ruotsin kanssa. Tietosuojaviranomaiset seuraavat ja analysoivat tilanteen kehittymistä.

Organisaatioiden parannettava varautumistaan tietojenkalasteluviesteihin

Office 365 -tunnusten kalasteluyritykset jatkuvat edelleen aktiivisesti ja aiheuttavat henkilötietojen tietoturvaloukkauksia. Sähköpostitse tulevia tietojenkalasteluyrityksiä kohdistetaan sekä yksityishenkilöihin että organisaatioihin.

Kalasteluviestit laaditaan usein taitavasti. Viestit ja niiden linkkien osoittamat verkkosivut voivat näyttää täysin oikeilta ja omasta organisaatiosta tulleilta.

Organisaatioiden pitäisi varautua kalasteluviesteihin kouluttamalla johtoa ja työntekijöitä säännöllisesti. Organisaatioiden tulisi selkeyttää sitä, millaisiin palveluihin tai sivustoihin organisaatioiden jäsenet voivat syöttää tunnuksia ja salasanoja. Henkilöstöä pitäisi neuvoa myös esimerkiksi siinä, miten URL-osoitteen oikeellisuuden voi tarkistaa.

Myös sovellusten tietoturvaominaisuuksia pitäisi hyödyntää nykyistä paremmin. Rekisterinpitäjien tulisi ottaa käyttöön Azure AD:n ja O365:n sekä Exchange-palvelun tietoturvallisuus- ja lokitusominaisuuksia. Oletusasetukset eivät ole riittäviä sellaisissa tietoturvaloukkaustapauksissa, joissa yritetään jälkikäteen selvittää tapahtumien kulkua ja sitä, millaisia henkilötietoja organisaatiosta on vuotanut hyökkääjille.

Lisätietoja:

tietosuojavaltuutettu Reijo Aarnio, puh. 040 520 7068, reijo.aarnio(at)om.fi

Tietoturvaloukkaukset
Ilmoitus tietoturvaloukkauksesta
Kyberturvallisuuskeskuksen verkkosivut