Tietoturva

GDPR - EU:n tietosuojauudistus lähestyy

GDPR-asetus muuttaa tietosuojakäytäntöjä ja vaatii yrityksiä kiinnittämään tietoturvaan nykyistä enemmän huomiota. Muutokset ja GDPR-yhteensopivuuden saavuttaminen vaativat monissa yrityksissä paljon työtä.

Tietosuoja-asetus astuu voimaan perjantaina 25.5.2018 ja käytännössä aikaa täyttää vaatimuksenmukaisuus on vielä 30 päivää

Hyvä paikka perehtyä asiaan tarkemmin on tietosuojauudistuksesta kertova nettisivu: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html#tietosuoja-asetus

Muutama käsite on syytä tietää asetusta tutkiessa:

Rekisterillä tarkoitetaan mitä tahansa henkilötietoja sisältävää jäsenneltyä tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein. Tietojoukko voi olla keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Tämä tarkoittaa sitä, että rekisterissä olevan tiedon ei fyysisesti tarvitse olla samassa paikassa, vaan henkilötiedot voivat olla myös hajallaan esimerkiksi eri tietokoneilla ja eri maissa. Teknisesti rekisteri voi olla esimerkiksi paperinen rekisteri, Excel-tiedosto tai asiakastietojen hallintaan käytetty ohjelmisto.

Rekisterinpitäjä on yritys, joka säilyttää henkilötietoja ja jolla on oikeus määrätä henkilörekisterin käytöstä.

Rekisteröity tarkoittaa henkilöä, jonka tietoja on tallennettu rekisteriin.

Henkilötietojen käsittelijä on itsenäinen elinkeinon- tai toiminnanharjoittaja, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Tällaisesta on kysymys esimerkiksi silloin, kun yritys siirtää työntekijätietoja palkanmaksusta vastaavalle tilitoimistolle. Tällöin henkilötietojen katsotaan siirtyvän henkilötietojen käsittelijälle eli sille palveluntarjoajalle, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.

Alla on lista tehtävistä, jotka jokaisessa yrityksessä tulee suorittaa:

1. Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.

2. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että organisaatiosi noudattaa nykyisin sovellettavaa henkilötietolakia.

3. Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste.

4. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi. Selvitä, miten riskejä voitaisiin minimoida. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.

5. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Selvitä myös, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi.

6. Huolehdi tietoturvasta.  Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.

7. Varmista, että toimeksiantosopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Ota tietosuoja-asetus huomioon myös muissa sopimuksissa ja hankinnoissa.

8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.

9. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja ei ole vielä selvillä, mutta se on vähintään 13 ja enintään 16 vuotta.

Muutama käytännön vinkki tai asia, mihin IT näkökulmasta yrityksessä pitää kiinnittää huomiota:

1. Jos yrityksessä käsitellään henkilötietoja sähköpostilla, tiesitkö että sähköposti on kuin postikortti. Henkilötietoja varten pitää hankkia salattu sähköposti!

2. Onko yrityksen laitteet suojattu asianmukaisesti päivitykset ajan tasalla ja ylläpidettynä?

3. Onko virustorjunta ohjelma valvonnassa ja onko koneen kovalevy salattu/kryptattu?

4. Onko yrityksen käyttämät pilvipalvelut tai palvelinratkaisut suojattu asianmukaisesti?

5. Onko yrityksen IT estänyt esim. henkilötietojen tallentamisen julkisiin pilvipalveluihin? Tai onko työntekijöitä ohjeistettu miten dokumentteja yrityksessä käsitellään?

Jos viimeiset viisi kohtaa jäävät askarruttamaan, ota yhteyttä myyntiimme niin tehdään teille tietosuojaturvakartoitus, josta saatte selvällä suomenkielellä nykytilan ja kehitysehdotukset dokumentoituna.

Tietoturva muuttuvassa maailmassa osa 1 – laitteiden suojaus

Syksyn 2015 aikana tietoturvatilanne on muuttunut edelleen haastavammaksi. Mikään suodatus ei pysty tarjoamaan 100% suojaa mutta erittäin hyviä ratkaisuja löytyy maailmalta ja ajattelin kertoa niistä seuraavassa.

Miten tietokone saastuu?

-          Haittaohjelmatartunta – USB-laite

o   Saastunut USB-tikku

o   Saastunut päätelaite / lähiverkko

-          Haittaohjelmatartunta – sähköposti

o   Linkki saastuneelle verkkosivustolle

o   Saastunut liitetiedosto

-          Haittaohjelmatartunta – verkkoselailu

o   Saastunut verkkomainos

o   Saastunut verkkosivusto

o   Yleisin ja suurin riski saastumiselle!

Haittaohjelma etsii tietoja ja tieto on kauppatavaraa

-          Haavoittuvuus => Haittaohjelma => Tiedot

Kuluvalla viikolla osoittautui taas perinteisen ilmaisen suojauksen ja maksullisen suojauksen ero. Ilmaisessa suojauksessa on usein käytössä vain pelkkä tunnistetarkistus, joka ei nykymaailmassa riitä mihinkään.

Koneena Windows 8.1 ja suojauksena Windows Defender. Käyttäjä ihmetteli miksi kone takkuaa niin asiaa tutkittiin ja koneelta löytyi erittäin paljon haittaohjelmia. Kone skannattiin useammalla ohjelmalla ja puhdistettiin haittaohjelmista. Miten ongelma korjattiin? Asennettiin tehokas hallittu virustorjuntaohjelmisto koneelle, jolloin vastaavalta voidaan välttyä jatkossa suurella todennäköisyydellä.

Miten tehokas päätelaitteen suojaus pitäisi tehdä?

Tässä esimerkkinä F-Securen monikerroksinen suojaus:

 

Ilmaisohjelmistojen ongelma on se, että tunnisteet päivittyvät erittäin hitaasti verrattuna tietoturvaohjelmistoihin erikoistuneisiin tahoihin, jolloin tunnisteet ovat jo lähtökohtaisesti vanhentuneet. Ilmaisohjelmistot eivät sovellu maailmaan jossa tarvitsee suojautua uusilta haittaohjelmilta. Haittaohjelma on yhä useammin ennalta tuntematon ja vaatii saumatonta yhteistyötä tietoturvaohjelmiston eri komponenteilta. Erityisesti pitää kiinnittää haavoittuviin ohjelmistoversioihin. Kuinka teillä päivitetään Windows tai kolmannen osapuolten ohjelmat (Adobe Flash Player, Java, Adobe Reader jne…)? Asiakkaidemme ei onneksi tarvitse näistä murehtia vaan ne sisältyvät ylläpitopalveluun automaattisesti.

Mitä eri komponentit siis tekevät?

-          Software Updater kautta hallinnoidaan windowsin ja kolmansien osapuolten ohjelmistojen päivityksiä.

-          Palomuurilla sallitaan vain tarvittava liikenne sisään tai ulospäin

-          Selauksen suojaus estää haitallisten verkkosivujen käytön.

-          Web connection control tehostaa kriittisten palvelujen kuten verkkopankkiyhteyksien tietoturvaa, estämällä muut yhtäaikaiset yhteydet

-          Web content control parantaa tietoturvaa ja tuottavuutta keskitetysti valittujen verkkosivustojen käytön rajoittamisella

-          Verkkoliikenteen tarkistus

o   Advanced protection estää tuntemattomilta tai vaarallisilta sivustoilta aktiivisen sisällön (Esim. Flash, Silverlight, Java, ActiveX)

o   Tunnistetarkistus: Haittaohjelma tunnistetaan koneessa olevien tunnisteiden avulla

-          Pilvitarkistus tarkistaa pilvestä reaaliaikaisesta tietokannasta tunnistettuja haittaohjelmia. Tarkistus tehdään useassa suojauskerroksessa pilvestä.

-          Deepguard analysoi ohjelmistojen toimintaa koneessa ja estää tarvittaessa niiden toiminnan. Kyseessä on viimeinen ja lujin lukko. On oleellinen komponentti ennalta tuntemattomien haittaohjelmien torjuntaan.

F-Secure käsittelee päivittäin 250 000 haittaohjelmanäytettä ja pilvestä tarkistetaan 2,5 miljardia kertaa mainekyselyjä jne. Androidista käsitellään päivittäin 22000 haittaohjelmanäytettä.

F-Secure on ollut puolueettoman AV-testin Best protection palkinnon voittaja jo neljä vuotta peräkkäin, joka tarkoittaa, että ohjelmisto oikeasti toimii ja turvaa ympäristöjä tehokkaasti, luotettavasti ja kevyesti.

 

Usein kuulee erilaisia vastaväittämiä ja niistä seuravaksi:

”F-Secure hidastaa koneen”

-          Kaikki tietoturvaohjelmat olivat aikoinaan raskaita ja asiakkaat saattavat muistaa silloisen tilanteen. Nykyään tietoturvaohjelmiston vaikutus koneen suorituskykyyn on marginaalinen. Syksystä 2010 lähtien F-Secure on ollut kevyimpien tietoturvaohjelmistojen joukossa. Tämä pitää täysin paikkansa eli olemme omassa tarjonnassa todenneet F-Securen parhaaksi ja luotettavimmaksi ohjelmistoksi.

”Ei meillä ole mitään salattavaa tietoa”

-          Kaikilla on tunnuksia erilaisiin palveluihin, henkilötiedot, asiakastiedot tai asiakkaiden ja yhteistyökumppaneiden tiedot. Haittaohjelmat hyödyntävät ympäristöjä, jotka on heikosti suojattu. Oma organisaatio voi toimia haittasovellusten astinlautana myös yhteistyökumppaneiden suuntaan.

”Maceissa ei tarvita tietoturvaohjelmistoa”

-          Maceille löytyy haittaohjelmia, määrällisesti vähän mutta laajasti levinneitä. Sellaista laitetta tai käyttöjärjestelmää ei olekaan, joka olisi suojassa huijauksilta ja tietojen joutumiselta vääriin käsiin.

”Ei ole ollut ongelmia virusten kanssa”

-          Kehittyneet ohjelmat toimivat taustalla huomaamatta. ”Puhtaassa” verkossa voi hyvin pesiä vaikka kuinka paljon haittaohjelmia, jotka esim. toimittavat tietoja edelleen hyödynnettäviksi. Esimerkkejä todellisuudesta löytyy. Tässä kohtaa on hyvä mainita viime aikoina esiintyneet kryptologgerit, jotka kryptaavat tiedostot vaikka verkkolevyltä eli miten yrityksesi on hoitanut varmuuskopiot ja kuinka pitkältä ajalta niitä voi palauttaa?

”Ei mobiililaite voi saastua”

-          Mobiilihaittaohjelmien määrä Androidille on räjähtämässä. Tietojen joutuminen vääriin käsiin voi tapahtua huijausten kautta, ilman että laite on saastunut. Vaarana myös avoimet wlan-verkot ja laitteen katoaminen, jolloin sen lukitus pitää varmistaa tai koko laite tarvittaessa tyhjentää. Miten yrityksessäsi on varaudutta mobiililaitteiden hallintaan ja etätyhjennykseen?

”Miksi kuluttajatuotteita ei kannata käyttää yrityksissä”

-          Yritystuote on aina keskitetysti hallittavissa. Joku vastaa kokonaisuudesta, kumppani tai asiakas itse. Käyttäjä on aina tietoturvallisuuden heikoin lenkki. Kotituotteet eivät tarjoa yritystason suojaa loppukäyttäjille tai yhteistyökumppaneille.

Mielenkiintoinen paikka seurata F-Securen löydöksiä on:

-          http://worldmap3.f-secure.com/

 

Mitä ohjelmistoa suosittelemme päätelaitteille?

Policy Managerilla hallittu tuote:

F-Secure Business Suite / F-Secure Business Suite Premium

Pilvihallittu tuote:

Protection Service for Business, PSB

 

Mitä ohjelmistoa suosittelemme mobiililaitteille?

Android-maailmaan

F-Secure Freedome for Business / Mobile Security

Mielenkiintoinen mahdollisuus olla haluamassasi maassa virtuaalisesti ja katsoa esim. USA Netflixiä.

iOS-maailmaan

F-Secure Freedome for Business

 

Mitoitetaan sopiva ratkaisu yrityksellesi.

Tietoturvaterveisin

Visa Ali-Mattila

visa.ali-mattila@vmit.fi

MDM, eli mobiilihallinta

Tänään blogissamme on vapaata tajunnanvirtaa ja mietintöjä tietoturvasta, ja tarkemmin ottaen mobiilitietoturvasta. Aloitetaan sillä, että lähes jokaisella käyttäjällä on nykypäivänä työpuhelimena älypuhelin, mihin käytännössä saa kaikki tarvittavat ohjelmistot millä selata ja käyttää yrityksen tietoja. On sähköposti, tiedostokirjastot, CRM, kontaktit, kuvat, videot, VPN-yhteydet jne. Kaikki on siis saatavilla älypuhelimella ja tabletilla.

Vielä näin pikkujoulujen aikaan erityisesti voin heittää semmoisen ajatuksen, että älypuhelimiin ja tablet-laitteisiin suhtaudutaan työntekijöiden mielestä huolettomammin, kuin esimerkiksi verrattuna yrityksen omistamaan kannettavaan. Näin ollen siis on huomattavasti suurempi riski, että kaikki pääsy yrityksen dataan voi jonain huolimattomana ajankohtana löytyä kaupungin yöstä, taksin takapenkiltä tai ihan vain kauniina päivänä terassilta varastetusta kännykästä.

Tiedon saatavuus on työn tehostamisen kannalta kuitenkin kaikki kaikessa. Miksipä ei siis ajatella mobiililaitteita samalla arvokkuudella kuin esimerkiksi yrityksen työkoneita? Mobiilipäätelaitteet kaipaavat aivan samalla tavalla ylläpitoa ja tietoturvatasoa kuin muutkin laitteet. Älä jätä siis mobiililaitteita heikoimmaksi lenkiksi!

Käytännössä nykyään ei ole väliä puhelimen valmistajalla tai mallilla. Tämä mahdollistaa työntekijän omat puhelimet ja myös ajattelumallin, että työntekijälle hankitaan puhelin mikä sopii hänelle parhaiten. Nykyaikaiset mobiilihallintasovellukset taipuvat kaikille tunnetuimmille mobiilikäyttöjärjestelmille ja profiloinneilla saadaan tarvittavat tietoturvatasot, asetukset ja ohjelmistot käyttöön. Keskeisiä pääominaisuuksia hallinnalle ovat:

  • Yritystason profiiliasetukset kuten: suojakoodivaatimus laitteille, WiFi asetuksien määritys, VPN asetukset, Activesync (sähköposti).
     
  • Suojakoodin nollaus, laitteen etälukitus, selective wipe, laitteen etätyhjennys, (sijainnin määritys).
     
  • Yrityskohtaisten sovelluksien asennus. Ratkaisulla mahdollistetaan myös mobiililaitteiden laiteluettelon ajan tasalla pitäminen ja tieto siitä kenellä mikäkin laite on hallinnassa.

Mobiilihallinta on nykypäivää ja osa IT-kokonaisuutta mikä pitää huomioida. Yritykselle ja yrittäjälle se on turva, ettei yrityksen dataan pääse ulkopuoliset henkilöt tai työntekijöiden vaihtuessa, dataan ei ole enää pääsyä mobiililaitteista. Selkeä alkumäärittely, hallinta, ylläpito ja oikea tuote takaavat onnistumisen myös mobiililaitteiden maailmassa ja uhkakuvien taklaamisessa. Onko teillä mobiililaitteet heikoin tietoturvalenkki? Ja tärkeimpänä, miten loppukäyttäjät ovat ohjeistettu mobiilikäytökseen?

Kysy rohkeasti meiltä lisätietoa ja ota yhteyttä. Mobiilihallinta kuuluu meillä osana palvelua VM IT Oy PRO-käyttäjätuesta ja omana tuotteena VM IT Oy MDM.

VM_IT_Pro_Logo.png

Mobiiliterveisin,
Marko Pirinen
+358 45 773 488 53
marko@vmit.fi

Soita tai lähetä sähköpostia:
+358 75 755 0301
myynti@vmit.fi