Henkilötietoinventaario – kaiken hyvän ja pahan alku

Henkilötietoinventaario on henkilötietojen käsittelyn kartoitus, jossa yritys selvittää, missä kaikkialla henkilötietoja käsitellään. Inventaario on kaiken hyvän ja pahan alku. Tieto todellakin lisää tuskaa, mutta samalla mahdollistaa asioiden kehittämisen.

Käytännössä yritysten ja organisaatioiden kannattaa tehdä henkilötietoinventaario, jotta ne pystyvät täyttämään EU:n tietosuoja-asetuksen vaatimukset. Henkilötietoinventaarion toteuttamisesta on kuitenkin muutakin hyötyä.

Suurin hyöty on tulokset, jotka kertovat, missä kaikkialla organisaatio käsittelee tietojaan. Inventaarion avulla saa näkymän omaan organisaatioon sekä sen toimintaan:

Nyt tiedät, mitä et tiennyt.

Näkymästä voidaan tuottaa osia, jotka hyödyttävät muita. Esimerkiksi yhdellä yleisdokumentilla voidaan osoittaa:

  • millaista henkilötietojen käsittelytoimintaa yrityksellä on,
  • mitä tietoja yritys käsittelee, ja
  • mihin tiedot on tallennettu.

Inventaarion tuloksista ilmenee, jos organisaatiossa on päällekkäisiä tietojenkäsittelytoimia. Esimerkiksi kahta eri järjestelmää käytetään yhden ja saman asian toteuttamiseen. Miksi maksaa molemmista?

Inventaarion tulokset auttavat priorisoimaan asioita. Esimerkiksi asiakasdata on olennaista yritykselle. Jos havaitaan, että asiakasdata on ripoteltuna ympäri levyalueita, pilvipalveluita ja vanhoja järjestelmiä, kannattaisi asialle varmasti tehdä jotain. Priorisoidaan tekeminen asiakasdatan keskittämiseen ja vanhojen järjestelmien hallittuun alasajoon sen sijaan, että puuhasteltaisiin jotain muka-olennaista.

Henkilötietoinventaariosta luvatut hyödyt nostavat intoa ja tuovat hymyn naamalle. Let’s do this! Inventaarion työmäärää ei kuitenkaan kannata aliarvioida. Keskisuurissa ja suurissa organisaatioissa naama palautuu peruslukemille hyvinkin nopeasti. Pienet yritykset pääsevät todennäköisesti vähemmällä.

Tuska paatissa muodostuu siitä, että tietoa on paljon. Valtavasti. Eri järjestelmissä. Eri tallennuspaikoissa. Kotimaassa. Ulkomailla. EU:ssa ja sen ulkopuolella. Omalla vastuulla. Muiden vastuulla. Kohta huomaa taas pyörivänsä GDPR:n kauhun kehässä!

Inventaario avaa silmät. Nyt pitää enää uskaltaa katsoa. Käännä katse tuskasta tulokseen. Kun hyväksyy sen, että kaikki ei ole täydellistä ja tekemistä riittää, voi tuloksia hyödyntää moneen asiaan.

Esimies, olet tietoturvallisuuden esimerkki, ohjeistaja ja valvoja

Esimies tai -nainen, esihenkilö, omaa olennaisen roolin organisaation tietoturvan toteuttamisessa. Esihenkilöt mahdollistavat tietoturvalliset työskentelytavat. He ohjeistavat työntekijöitä, valvovat toimintaa ja näyttävät esimerkkiä yhdessä yritysjohdon kanssa.

Esihenkilö on esimerkki

Esihenkilö näyttää esimerkkiä päivittäisessä toiminnassa. Hyvää tai huonoa! Esimerkillä on vaikutusta työtekijöiden tietoturva-asenteisiin ja tätä kautta koko organisaation tietoturvaan.

Esimerkki
Esihenkilö pyytää työntekijöitä kommentoimaan palaverimuistiota ja uuden tuotteen teknistä suunnitelmaa. Muistio sijaitsee ulkoistetussa pilvipalvelussa, johon pääsee helposti käsiksi ja tarvittavat muokkaukset onnistuvat nettiselaimella. Tekninen suunnitelma löytyy puolestaan erilliseltä verkkolevyltä, jonne pääsee vain organisaation laitteilla ja käyttäjätunnuksilla. Esihenkilö muistuttaa, että suunnitelma on luottamuksellinen ja siksi sitä käsitellään vain tässä ympäristössä. Työntekijät omaksuvat vastaavat turvalliset toimintatavat.

Esihenkilö ohjeistaa

Esihenkilön tehtävänä on varmistaa, että hänen työntekijät saavat tarvittavan tietoturvakoulutuksen. Työntekijöille on kerrottava, miten eri tehtävissä toimitaan ja mitä oikeuksia ja velvollisuuksia työntekijöillä on.

Esimerkki
Esihenkilö on havainnut, että yksikön työntekijät käsittelevät luottamuksellisia tietoja eri tavoin. Työntekijöille koulutetaan käytännön esimerkein, miten tietoturvallisuus huomioidaan työtehtävissä. Lisäksi toteutetaan tarvittavat toimintaohjeet, jotka ovat linjassa yrityksen muiden tietoturvaperiaatteiden kanssa. Kaikki toimivat samalla turvallisella tavalla eikä turhia vahinkoja pääse tapahtumaan.

Toiminnan valvonta: tehdään, kuten on sovittu!

Esihenkilön yhtenä tehtävänä on valvoa, että organisaatiossa määritettyjä tietoturvaperiaatteita ja toimintaohjeita noudatetaan. Tämä on tärkeää, jotta tietoturvallisuutta toteutetaan joka puolella samalla tavalla. Valvomatta jättäminen johtaa turhiin riskeihin.

Esimerkki
Esihenkilö huomaa työntekijän lähettäneen sähköpostitse tietoja, joita ei sähköpostilla saisi lähettää. Esihenkilö mainitsee asiasta työntekijälle ja ohjeistaa oikean tavan toimia. Hän myös perustelee, miksi toimintamalli ei ole suotavaa. Pelkkä tietoturvasääntöihin viittaaminen aiheuttaisi vastareaktion.

Esihenkilö kysyy työntekijältä, miksi hän toimi vastoin ohjeita. Vastauksesta ilmenee puutteita perehdyttämisessä ja käytännön työn ohjeistuksessa. Muut työntekijät ovat myös kertoneet, että tietoturvalliseksi määritelty työskentelytapa on liian hankalasti toteutettava. Yksinkertaisella kysymyksellä saatiin listattua useita kehittämiskohteita! Ilman valvontaa vanha toimintamalli jatkuisi ja johtaisi turhiin riskeihin.

Esimies tai esinainen – kysy, kuuntele ja näytä mallia!

GDPR kauhun kehä

EU:n tietosuoja-asetus (GDPR) on tulossa. Yritysten pitäisi reagoida, jotta toiminta olisi jatkossa vaatimusten mukaista. Mitä pitäisi tehdä? Tekemistä on liikaa! Osaaminen ja tekijät puuttuvat! Aika käy vähiin!

Tervetuloa kauhun kehään!

GDPR kauhun kehä

Kauhun kehästä voi päästä ulos.

Ohessa on muutamia vinkkejä, jotka olen itse kokenut hyödyllisiksi tietosuoja-asetukseen liittyvissä työtehtävissä.

Mitä pitää tehdä? Tutustu aiheeseen.

Muodosta itsellesi käsitys tietosuoja-asetuksen vaatimuksista. Osallistu esimerkiksi johonkin 1h yleiskoulutukseen aiheesta. Tutustu linkkilistaan ”EU:n tietosuoja-asetus: aloita tästä”

Tekemistä on liikaa! Suunnittele.

Yritysjohtaja! Tutustu edellisen kohdan linkkilistaan ja kuuntele, mitä alaisesi kertovat sinulle tietosuoja-asetuksesta. Tee karkea etenemissuunnitelma. Pilko se sitten pienempiin osiin, kun projekti etenee. Tekemistä on paljon, hyväksy se.

Osaaminen ja tekijät puuttuvat! Tee yhteistyötä.

GDPR on koko yrityksen asia. Ei yhden johtajan, ei yhden asiantuntijan, vaan kaikkien. Muodosta GDPR-iskuryhmä. Tietoa ja osaamista löytyy eri puolilta. Yhteistyö on olennaista. Hyödynnä yrityksesi verkostot, oppilaitokset, kaupalliset tahot jne. Mahdollisuuksien mukaan kouluttaudu 1-2 päivän GDPR-koulutuksessa.

Aika käy vähiin! Toteuta ja dokumentoi.

Harvassa ovat ne yritykset, jotka väittävät olevansa 100% valmiita 25.5.2018. Toteuta suunnitelmaasi ja dokumentoi:

  • mitä on jo tehty,
  • mitä on tunnistettu tehtäväksi, ja
  • mitä tehdään seuraavaksi?

Näin voit osoittaa, että tietosuojatyötä on tehty ja työ etenee suunnitelmallisesti.

Kauhun kehä kiertää, kunnes teet ratkaisevan liikkeen:

Aloita GDPR työ

Tutustuin itse GDPR aiheeseen ensimmäisiä kertoja jo yli kaksi vuotta sitten. Mitä enemmän aiheeseen tutustuu, sitä isommalta kokonaisuudelta se vaikuttaa. Kauhun kehän eri osiot ovat raakaa todellisuutta.

Kehästä pääsee ulos tekemällä töitä. Ota yritysjohto mukaan, tee alustavat suunnitelmat kuntoon ja lähde viemään asioita eteenpäin. Aikaa on vähän ja miljoonien eurojen sanktioillakin pelotellaan. Karut faktat on toki hyvä pitää mielessä, mutta asiat eivät etene pelkäämällä. Lue lisää sanktioista esimerkiksi tietosuojavaltuutetun blogista.

Mitä kodin IoT-laitteet opettavat yrityksille tietoturvasta?

Kotitalouksista löytyy erilaisia Internet of Things (IoT) -laitteita, joiden ominaisuuksiin ja toimintaan tutustumalla on mahdollista oppia tietoturvallisuudesta paljon. Oppi on suoraan hyödynnettävissä yritysten tietojärjestelmien ja laitteiden tietoturvallisuuden parantamisessa. Blogiviestin loppuosassa on 4+1 asiaa, jotka kodin IoT-laitteet opettavat yrityksille tietoturvasta. Seuraavaksi kerron, miten päädyin listaamaan juuri nämä asiat.

Tietoturvahavaintoja kodin IoT-laitteista

Loppuvuonna 2016 maailmalla ja Suomessa havaittiin laaja hyökkäysoperaatio IoT-laitteita kohtaan. Mirai-haittaohjelma etsi internetistä laitteita, joiden etähallintasovellus oli avoinna internetiin. Haavoittuvat laitteet oli mahdollista kytkeä osaksi maailmanlaajuista bottiverkkoa, jota hyödynnetään esimerkiksi palvelunestohyökkäyksissä yrityksiä vastaan. (Lähde ja lisätiedot: Kyberturvallisuuskeskus)

Tarkistin omat laitteeni Mirain varalta ja tein samalla kevyen tutkimuksen, jonka kohteeksi päätyi neljä hyllyssä lepäilevää kodin IoT-laitetta. Etsin laitteisiin liittyvää yleistietoa, jota esimerkiksi Mirain kaltaiset haittaohjelmat hyödyntävät. Tarkistin laitteiden avoimet TCP-portit Nmap-työkalulla. Tutkin myös, löytyikö laitteisiin tunnettuja haavoittuvuuksia. Lisäksi kirjasin talteen asennetut käyttöjärjestelmäversiot, saatavilla olevat päivitykset ja muut huomiot.

Kaikkia laitteita on joskus käytetty ja ne ovat edelleen täysin toimivia. En nollannut laitteiden asetuksia. Laitteet olivat: Blu-ray soitin, Linksysin uudempi ja vanhempi langaton reititin sekä tuore järjestelmäkamera. Jätän tarkoituksella tarkat mallit kertomatta. Mallitiedot ovat epäolennaisia kokonaisuuden kannalta. Ohessa on tiivis koonti jokaisen laitteen osalta.

Blu-ray soitin

Ostin laitteen joskus reilu viisi vuotta sitten. Laitteen tarkka ikä ei ole tiedossa.
Tämä Blu-ray soitin sujahti nettiin heti verkkojohdon kytkemisen jälkeen. Huom! Olen käyttänyt laitteen verkossa kerran aikaisemmin, en ole täysin varma, onko verkkotoiminto oletuksena päällä.

Laitteen käyttöjärjestelmä on päivitettävä, jotta verkkotoimintoja voi käyttää. Laite tarjoaa itse päivitystä asennettavaksi. Käytössä on laitteen mukana tullut versio, jonka julkaisuajankohdasta ei sen tarkempaa tietoa. Uusin laitteen kautta tarjolla oleva versio on julkaistu 12/2014.

Skannauksen perusteella kaikki laitteen portit ovat kiinni.

Vanha Linksysin langaton reititin

Nmap-skannauksen perusteella selviää, että laitteen FTP ja telnet -portit on erikseen suljettu. Sen sijaan laitteessa on auki www-palvelin. Kyseessä on reitittimen hallintapaneeli, joka on oletuksena käytössä suojaamattoman HTTP-yhteyden yli.
Hallintapaneelista selviää, että mm. internetin yli toimiva etähallintatoiminto ja UPnP on otettu pois päältä. Laitteen hallintapaneelin oletustunnukset on muutettu. Suojattu HTTPS-pohjainen hallintayhteys on myös mahdollista kytkeä päälle.

Laite on yli kymmenen vuotta vanha ja laitteen ohjelmistoversio on vuodelta 2007. Linksysin tukisivuilla ei ole tarjolla päivitystä kyseiselle laitteelle. Outoa.

Uudempi Linksysin langaton reititin

Laite on taloyhtiön verkko-operaattorin toimittama ja konfiguroima. Päälle on kirjattu langattoman verkon SSID ja salasana. Käyttäjäystävällistä siis…

Laitteeseen asennettu käyttöjärjestelmä on päivätty vuodelle 2012. Tuorein saatavilla oleva versio on päivätty vuodelle 2016.

Laitteessa oli neljä avointa porttia: www-hallintapaneeli, UPnP-yhteys sekä kaksi muuta porttia, joiden tarkoitus jäi epäselväksi.

Oletustunnukset hallintapaneeliin olivat edelleen käytössä. Etähallintatoiminto oli kuitenkin pois päältä, eli hallintapaneelia voi virallisia reittejä pitkin käyttää vain samasta lähiverkosta, ei internetin yli.

Tätä laitemallia kohtaan on toteutettu ainakin yksi hyökkäystyökalu, jonka koodi on julkaistu internetissä. Haittaohjelman nimeksi on annettu The Moon. Haittaohjelman toimintaidea on sama, kuin Mirai-tapauksessakin. Internetistä etsitään laitetta, jossa on tietty portti avoinna, jonka jälkeen laitteeseen murtaudutaan haavoittuvuutta hyväksikäyttäen.

Linksys neuvoo päivittämään laitteen uusimpaan versioon ja ottamaan etähallintatoiminnot pois päältä. Lisätietoja aiheesta:

Tuore järjestelmäkamera

Järjestelmäkamera on mahdollista kytkeä verkkoon langattoman yhteyden kautta. Verkkotoiminnon käyttöönotto vaatii konfigurointia, joka toteutetaan erillisellä sovelluksella. Sovellus tarkistaa samalla ohjelmistoversion sekä suojattuun tiedonsiirtoon tarvittavat SSL-sertifikaatit.

Laitteessa on kaksi erilaista verkkotoimintoa. Ensimmäinen vaihtoehto mahdollistaa kameran etäohjauksen mobiililaitteella. Toinen mahdollistaa kameralla otettujen kuvien lähettämisen pilvipalveluun, josta kuvat on jaettavissa eteenpäin muille käyttäjille.

Verkkotoiminto pitää erikseen kytkeä päälle kamerasta. Toiminto jää päälle myös kameran uudelleenkäynnistyksen jälkeen, mutta kamera ei kytkeydy suoraan langattomaan verkkoon, vaikka toiminto olisikin päällä. Langaton verkko valitaan vasta, kun tiedetään mitä toimintoa halutaan käyttää. Verkkoportit avataan toiminnon perusteella.

4+1 vinkkiä

Huomioiden ja havaintojen perusteella voidaan muodostaa seuraavia vinkkejä:

1. Muista IoT-laitteiden ja tietojärjestelmien olemassaolo

Normaalikäytössä reitittimet ja Blu-ray soitin ovat koko ajan verkossa. Kamera pitää joka kerta erikseen käskeä verkkoon. Jatkuva verkkoyhteys altistaa laitteet hyökkäyksille ympäri vuorokauden. Vaikka IoT-laitteen luonteeseen kuuluu se, että verkkoyhteys on olemassa, niin laitteita ei pidä kuitenkaan unohtaa verkkoon. Jos laitteelle tai sen verkkoyhteydelle ei ole tarvetta, niin ota se pois käytöstä. Järjestelmäkameran yhteydet on toteutettu niin, että sitä ei voi unohtaa verkkoon, koska yhteys muodostetaan aina erikseen.

2. Ole tietoinen päivitysten saatavuudesta

Reitittimiä voi käyttää vuosia päivittämättä. Jää käyttäjän vastuulle selvittää, onko laitteiden käyttöjärjestelmille päivityksiä tarjolla. Tätä voi helpottaa esimerkiksi tilaamalla valmistajilta sähköposti-ilmoitukset uusista päivityksistä. Parempi olisi, jos laite itse ilmoittaisi tarjolla olevista päivityksistä käyttäjälle. Yritysten kannattaa suunnitella ja toteuttaa tietojärjestelmänsä niin, että ne ilmoittavat itse päivitystarpeesta.

3. Salli vain tarpeelliset toiminnot

IoT-laitteissa voi olla erilaisia toimintoja oletuksena päällä käytön helpottamiseksi. Jää käyttäjän vastuulle ottaa omalta kannalta turhat toiminnot pois päältä. Tämä pitäisi olla toisin päin.

Kuten esimerkiksi palomuurisääntöjä tehtäessä, kannattaa ensin estää kaikki yhteydet ja avata sitten vain tarpeelliset yhteydet. Tämä ilmeni hyvin järjestelmäkamerassa, jossa portit avattiin tarpeen perusteella. Reitittimissä oli turhaan peruskäytön kannalta tarpeettomia toimintoja päällä. Lisäksi uudemmassa reitittimessä oli kaksi avointa porttia, joiden tarkoitus jäi epäselväksi. Porttien tarkoitus pitäisi tietää tai ne tulisi saada suljettua, ennen kuin laite otetaan käyttöön.

Blu-ray soittimen ja järjestelmäkameran kaikki verkkotoiminnot eivät olleet käytössä, koska tuorein käyttöjärjestelmäversio ei ollut asennettuna. Tämä on yksi tapa rajoittaa laitteeseen kohdistuvia hyökkäyksiä. Ei päästetä laitetta täydellisesti verkkoon, jos tuorein ohjelmistoversio ei ole asennettuna.

4. Suojaamaton yhteys on tietoinen valinta

Reitittimien hallintapaneelit oli asetettu toimimaan suojaamattomien yhteyksien kautta. Lähtökohtaisesti olisi järkevämpää asettaa suojattu yhteys oletuksena päälle, jolloin käyttäjä joutuisi ottamaan tietoisen riskin suojausasetuksia muuttaessaan.

+1 Extravinkki

Yhden laitteen verkkotoiminto hajosi kokonaan, kun laitteeseen kohdisti tietyntyyppisen skannauksen. Uudelleenkäynnistys korjasi vian. IoT-laitteiden ja muiden järjestelmien pitäisi hyväksyä vain sovitut yhteydet ja olla reagoimatta muihin yhteyksiin. Pelkkä porttien kolkuttelu ei saisi aiheuttaa laitteen epävakaata toimintaa.

Tietoturvasäännöt – ei pysty, ei ehdi, ei kiinnosta

Eräässä tutkimuksessa [1] selvitettiin työntekijöiden näkemyksiä organisaation hallinnollisesta tietoturvasta. Tutkimuksen kohteena olivat pankki ja IT-firma. Tietoturvalliset toimintatavat ovat organisaatioille olennaisia. Tietoturvasääntöjen osalta tulokset ovat harmillisia.

Molempien organisaatioiden intranetissä oli julkaistu tietoturvasäännöt henkilöstölle. Isolla osalla haastatteluihin osallistuneista pankin työntekijöistä ei ollut tietoa tietoturvasääntöjen sisällöstä. IT-firmassa ei kenelläkään. Huh!

Tutkimusaineiston perusteella työntekijöillä ei ole aikaa lukea sääntöjä. He eivät tiedä, missä tietoturvadokumentit sijaitsevat. Oikeastaan sääntöjä ei välttämättä edes ymmärretä eikä niiden lukemisesta koeta olevan hyötyä. Havaintoja ei voida yleistää, mutta jotenkin tuntuu siltä, että havainnot eivät rajoitu vain näihin kahteen organisaatioon.

Miten tilannetta voisi parantaa? Huomioita parista tutkimuksesta:

Asianmukaisesti toteutettu tietoturvaviestintä voi johtaa siihen, että työntekijät eivät koe tietoturvasääntöjä työtä rajoittavaksi tai haittaavaksi tekijäksi [2, s. 542].

Jos työntekijät kokevat, että heidän teoillaan on väliä ja ne auttavat tietoturvan kehittämisessä, niin he toiminevat silloin todennäköisimmin sääntöjen mukaisesti [3, s. 163].

Onko olemassa hyviä esimerkkejä niin mielenkiintoisesta ja kiinnostavasta tietoturvaviestinnästä, että lukija kokee positiivisen pakonomaisen tarpeen tutustua organisaation tietoturvasääntöihin ja muihin tietoturvadokumentteihin?

Lähteet:
[1] Albrechtsen, E. A qualitative study of users’ view on information security. Computers & Security, Vol. 26, 2007, s. 276-289.

[2] Bulgurcu, B., Cavusoglu H. & Benbasat, I. Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Quarterly Vol. 34 No. 3 s. 523-548. Syyskuu 2010.

[3] Herath, T. & Rao, H.R. Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness. Decision Support Systems, Vol. 47, 2009, 154-165.