Digi- ja väestövirasto on julkaissut yrityksille ja niiden tietoturva-asiantuntijoille yhdeksän kohdan tarkistuslistan, jolla voi peilata omaa tietoturvatilannetta.
Virasto toteaa, että suomalaisten organisaatioiden tulisi ottaa huomioon uudenlainen uhkatilanne, joka johtuu tietoverkkorikollisten toiminnassa tapahtuneesta muutoksesta.
Muun muassa Vastaamo-tapauksen kaltaiset lunnashyökkäykset ovat viraston mukaan noussut suuremmaksi uhkatekijäksi.
Tarkistuslistan mukaan huijarit ovat huomanneet, etteivät yritykset maksa lunnaita. Tämä johtaa rikollisten piirissä kovempiin toimiin.
– Tietoverkkorikolliset eivät tyydy vain palveluiden lamauttamiseen ja tietojen salaamiseen, vaan sen lisäksi he varastavat palveluissa olevat tiedot, listassa todetaan.
Verkkorikollisten toiminnassa tapahtunut muutos: "Eivät tyydy vain palveluiden lamauttamiseen" – julki uusi lista toimista, joilla yrityksen tietoturvan saa kuntoon
Tämän jälkeen huijarit uhkaavat julkaista arkaluonteisia tietoja, kuten henkilötietoja.
Kaavan estämiseksi Digi- ja väestövirasto esittää yhdeksän kohdan listaa.
Tietovuodon uhreille löytyy ohjeita muun muassa täältä.
1. Organisaatiossa tiedetään, mitkä ovat organisaatiota koskevat lakisääteiset velvoitteet, mukaan lukien erityislainsäädännöstä tulevat tehtävät organisaation tuottamia tai sen käsittelemiä tietoja koskien.
Tässä tulee huomata erityisesti kaksi seuraavaa kohtaa:
- Organisaatio täyttää 25.5.2018 sovellettavaksi tulleen EU:n yleisen tietosuoja-asetuksen ja 1.1.2019 voimaan astuneen Tietosuojalain velvoitteet.
- Organisaatio toteuttaa 1.1.2020 voimaan astunutta Tiedonhallintalakia, jossa sekä julkisella hallinnolla että muilla lain piiriin kuuluvilla organisaatioilla on eri tasoisia siirtymäkausia lain soveltamisen osalta.
Toimivaltaisena viranomaisena tässä toimii tiedonhallintalautakunta, jonka verkkosivuilta löytyvät lautakunnan suositukset ja ohjeet.
2. Organisaatio on arvioinut toimintaansa ja palveluihinsa liittyvät uhkat ja tunnistanut toimintaan liittyvät kriittiset riskit sekä ottanut riskit hallintaan toteuttamalla suunnitellut hallintatoimenpiteet.
Näiden riskien tilaa ja uusien uhkien kehittymistä seurataan säännöllisesti.
3. Organisaatio on varautunut sen toimintaan liittyviin häiriöihin laatimalla suunnitelmat toiminnan jatkuvuudesta, varautumisesta ja valmiudesta.
Toiminnan jatkuvuuden hallinta Tietoturvapoikkeamatilanteiden hallinta Yhteiskunnan turvallisuusstrategia 2017 Organisaatio harjoittelee säännöllisesti häiriötilanteiden hallintaa.
4. Organisaatio luokittelee tuottamansa tai ulkopuolelta saamansa tiedot. Esimerkiksi julkinen, salassa pidettävä ja turvallisuusluokiteltu tieto sekä edellä mainittuihin sisältyvät henkilötiedot.
Henkilötiedoista tunnistetaan ja tiedetään, mitkä ovat erityisiin tietoryhmiin kuuluvia, niin sanotusti arkaluonteisia henkilötietoja.
Lisäksi organisaatio on määrittänyt, ohjeistanut ja kouluttanut henkilöstölle ja ulkoisille palveluntuottajille, missä palveluissa ja millä työvälineillä edellä tunnistettuja tietoja on sallittua käsitellä.
5. Palveluita hankkiva tai ulkoistava organisaatio sisällyttää turvallisuuteen liittyvät hankintavaatimukset osaksi laadittavaa palvelusopimusta.
Organisaatio arvioi näiden sopimusten ja velvoitteiden toteutumista ennakolta suunnitellulla tavalla. Sopimuksen tulee sisältää toimintamallit tietoturvallisuuden, tietosuojan, toiminnan jatkuvuuden ja varautumisen prosessien osalta.
Organisaatio on rekisterinpitäjänä päävastuussa siitä, että tietojen käsittely on yleisen tietosuoja-asetuksen mukaista. Organisaatiolla tulee olla ohjeistus henkilöstölle ja palvelutoimittajille eri tasoille luokiteltujen tietoaineistojen käsittelystä
6. Organisaation johto varmistaa, että henkilöstö saa tarvittavan ohjeistuksen ja koulutuksen turvallisesta toimimisesta digitaalisessa toimintaympäristössä sekä salassa pidettävien tietojen, turvallisuusluokiteltavien tietojen ja kaikkien henkilötietojen käsittelystä.
7. Palveluiden tietoturvallisuuden ja henkilötietojen käsittelyn tilasta ja näiden kehittymisestä raportoidaan niistä vastaavalle johdolle säännöllisesti.
Merkittävistä muutoksista ja uusista kriittisistä uhista tai toteutuneista riskeistä raportoidaan välittömästi ja ne otetaan käsittelyyn viipymättä.
8. Organisaatio on varmistanut, että riskilähtöiset tietoturva- ja tietosuojatoimenpiteet sekä ohjeistukset on rakennettu osaksi sen kehitysmalleja, kuten kokonaisarkkitehtuuria, projektinhallintamallia sekä järjestelmäkehitysmallia.
9. Organisaatio on varmistanut, että riskien perusteella tietoturvan ja tietosuojan toteuttamiseen on kiinnitetty vuotuisesti riittävästi resursseja, kuten ammattitaitoista henkilöstöä, rahallista budjettia ja teknisiä tietoturvapalveluita.
