Login to your account

Username *
Password *

Tiedonhallintalaki ja tietoturvallisuuden oikeudellistuminen

Vuoden 2020 alussa voimaan astunut tiedonhallintalaki asettaa julkisen hallinnon organisaatioille paljon tietoturvavaatimuksia, mutta lain ansiosta julkishallinnon tietoturvallisuuden taso nousee kokonaisvaltaisesti.

Tietoturvan oikeudellistumisen myötä säädösten määrä on lisääntynyt, ja organisaatioiden tietoturvan kyvykkyys voi joutua ulkopuolisen arvoinnin kohteeksi ja lopulta sanktioitavaksikin. Vuoden 2020 alussa voimaan astunut tiedonhallintalaki asettaa julkisen hallinnon organisaatioille paljon tietoturvavaatimuksia, mutta lain ansiosta julkishallinnon tietoturvallisuuden taso nousee kokonaisvaltaisesti.

Tietoturvalli­suus ja kyberturvalli­suus – ovatko ne sama asia?

Tietoturvallisuudesta ja kyberturvallisuudesta puhutaan usein käyttäen vaihdellen molempia termejä. Tarkkaan ottaen ne eivät ole synonyymejä, sillä kyberturvallisuus on uudehko termi, jota ei ole vielä yksiselitteisesti määritelty. Yleensä sillä ymmärretään yrityksen sähköistettyjen ja verkotettujen (ICT) toimintojen ja tietojen turvaamista, ml. IoT-ympäristöt. Kyse on siis perinteisen tietoturvallisuuden laajentamisesta käsittämään myös ympäristöt, joissa suojattava tieto-omaisuus voi olla perinteisen yritys-IT:n ulkopuolella, esimerkiksi kameravalvonta-, varasto- tai kiinteistöautomaatiojärjestelmät. Useimmin näiden käyttö ja ylläpitokin on IT:n ulkopuolella, ehkä jopa täysin yritys-IT:n näkymättömissä. Kyberturvallisuuden piiriin kuuluvat myös rajapinnat, joita käyttämällä alihankkijat ja yhteistyökumppanit pääset yrityksen verkkoon kiinni. Puhun tässä kirjoituksessa tietoturvallisuudesta, mutta kyberturvallisuuden kontekstissa. 

Regulaatio ja oikeudellistu­minen

Oikeudellisen sääntelyn määrä kasvaa jatkuvasti kaikilla yritys- ja julkisen elämän aloilla. Puhutaan myös jonkin toiminnon tai alan oikeudellistumisesta, kun juridinen koneisto lakimiehineen, virallisine normeineen ja säädöksineen tulee yhä voimakkaammin päivittäiseen toimintaan mukaan. Asiat käsitetään yhä laajemmin myös juridisiksi ongelmiksi, joiden ratkaisuja joudutaan hakemaan lakimiesten ja juridiikan avulla. Moniin yrityksiin onkin perustettu compliance- eli vaatimustenmukaisuustoiminto vastaamaan yhä lisääntyviin viranomais- ja normivaatimuksiin. Perinteistä IT:tä yrityksen sisäisenä toimintona pidettiin pitkään enemmän ja vähemmän immuunina tälle kehitykselle, mutta tilanne on jatkuvassa muutoksessa. Käytännössä organisaation IT-toimintojen vaatimustenmukaisuus on jo nyt varmistettava ja huolehdittava varsinkin yritys-IT:n katveeseen jäävän yksikkö- tai toimintokohtaisen ns. varjo-IT:n vaatimustenmukaisuudesta.

Sääntelyn lähteet

Organisaation kannalta vaatimuksia ja huomioon otettavaa sääntelyä syntyy oikeastaan kolmella tasolla: EU-tasolla, kansallisella tasolle ja organisaation tasolla. EU-tason sääntely etenee monilla sektoreilla, kun EU edistää yhteismarkkinoita kehittäviä strategisia hankkeitaan koskien mm. dataa, kyberturvallisuutta ja yksityisyyttä. Datan ollessa yhä tärkeämmän tuotannontekijän lisääntyy tarve säädellä sen keräämistä ja käyttöä ja vapaata liikkuvuutta. EU:n datastrategia määrittelee tärkeimmiksi datatalouden tavoitteeksi turvata datan liikkuvuus ja käyttö sekä käyttäjille oikeudet ja välineet, joilla he hallitsevat dataa. Monet näistä hankkeista liittyvät suoraan tai välillisesti myös tietoturvallisuuteen, jota jotkut oikeustieteilijät pitävät nykyisin jo perusoikeutena.

Näiden tavoitteiden toteuttamiseksi syntyy EU:n tasolla sääntelyä kansallisen lainsäädännön yläpuolelle. EU-tason sääntelyyn liittyy yleensä vahva velvoittavuus ja teknisyys. Siihen voi liittyä myös hallinnollisia seuraamuksia. Kansallista sääntelyä syntyy toisaalta puhtaasti kansallista tarvetta varten mutta myös täydentämään ja täsmentämään EU-tason sääntelyä, kuten uusi tietosuojalaki. Organisaation itsensä tasolla sääntelyä syntyy erilaisista sopimuksista ja niiden synnyttämistä velvoitteista, joita organisaatiolla on yhteistyökumppaniensa ja sidosryhmiensä kanssa. Kaikki nämä tasot tulisi ottaa organisaation toiminnassa huomioon ja huolehtia niiden osalta vaatimustenmukaisuudesta. Organisaation riskienhallinnan onkin syytä olla jatkuvasti selvillä, mitkä ovat ne nykyiset ja mahdolliset tulevat vaatimukset, jotka organisaation toimialaan ja tai toimintoihin kohdistuvat sekä arvioida niiden merkitystä ja oman toiminnan tuloksellisuutta ja kyvykkyyttä niiden täyttämisessä.

Tietosuoja

Tietosuoja osana yksityisyyden suojaa ollut jo pitkään EU:n strategisia kehittämishankkeita. Tietosuojan sääntely yhtenäistettiin EU:n yleisellä tietosuoja-asetuksella, jonka tavoitteena on edistää digitaalisten yhteismarkkinoiden kehittymistä parantamalla henkilötietojen vapaata liikkumista, mutta samalla parantaa yksityishenkilöiden oikeutta omiin henkilötietoihinsa ja yksityisyyteensä suojaan. Organisaatioissa katse kuitenkin kiinnittyi varsinkin aluksi asetuksen valvontaviranomaiselle antamaan toimivaltaan määrätä sanktioita ja tämän myötä henkilötietojen käsittelyä koskeviin vaatimuksiin ja niitä koskevaan vaatimustenmukaisuuteen. Tosin monilta toimijoilta saattaa vielä olla jäänyt jossain määrin huomioimatta se, että tietosuojaa käytännössä pitkälti tuotetaan tietoturvallisuudella ja sinänsä teknologianeutraalissa tietosuoja-asetuksessa on yksityiskohtaisia vaatimuksia käsittelyn tietoturvallisuudelle. Organisaation kannalta tämä tarkoittaa sitä, että tietomurron tapahduttua toimija joutuu tekemään selkoa viranomaiselle niistä organisatorisista ja teknisistä keinoista (tietoturvallisuus), joilla yritys tai organisaatio on yrittänyt henkilötietoja suojata. Jos tietosuojaviranomainen arvioi nämä keinot riittämättömiksi yrityksen toiminnan ja tietojen käsittelyn laatuun ja laajuuteen nähden, voi seurauksena olla hallinnollinen seuraamusmaksu ja mahdolliset muut seuraamukset.  Henkilötietoihin kohdistuneen tietomurron jälkeen organisaation tietoturvallisuuden kypsyystaso, resurssit ja budjetti joutuvat siten läpivalaistaviksi ja viranomaisarvioinnin kohteeksi.

Kansallisen tason regulaatio

Myös Suomi toteuttaa EU:n sisällä omia kansallisia digistrategioitaan ja lisää kansallisella tasolla IT:n ja tietoturvallisuuden sääntelyä EU:n tasolla tapahtuvat sääntelyn ohessa tai lisänä. Suomalaisten julkishallinnon organisaatioiden kannalta ajankohtaisin kansalliseen regulaatioon liittyvä muutos on laki julkisen hallinnon tiedonhallinnasta (906/2019) eli tiedonhallintalaki, joka tuli voimaan vuoden 2020 alussa.

Tiedonhallinta­laki edistää digitalisaatiota ja tietoturvalli­suutta

Tiedonhallintalain tavoitteena on edistää julkisen hallinnon digitalisaatiota ja tiedon saatavuutta julkisuusperiaatteen mukaisesti. Tiedonhallinnan ytimessä on tieto, jonka käyttöä ja saatavuutta edistetään mm. tiedonhallintamalleilla, tietovarantojen yhteentoimivuudella ja tiedonsiirtorajapinnoilla. Tämän tavoitteen toteuttamiseksi tiedonhallintalaki tuo mukanaan julkiselle hallinnolle uusia velvoitteita, joista erityisesti tietoturvallisuutta koskevaa sääntelyä on pidetty huomattavan teknisenä ja tässä mielessä poikkeuksellisena Suomessa lain tasolla. Tiedonhallintalakia voi tässä mielessä kuvata myös julkishallinnon tietoturvalaiksi. Lain eräänä päätarkoituksena onkin nostaa julkishallinnon tietoturvallisuuden tasoa kokonaisvaltaisesti. Tässä tarkoituksessa laki tuo julkishallinnon organisaatiolle velvoitteen selvittää olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoittaa tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti. Tämän lisäksi organisaation on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan. Järjestelmien vikasietoisuus ja toiminnallinen käytettävyys on varmistettava säännöllisesti riittävällä testaamisella. Käyttöoikeudet järjestelmiin on määriteltävä henkilön tehtävien mukaan ja ne pidettävä ajantasaisina. Lokitietojen avulla on voitava selvittää järjestelmässä olevien tietojen käytön ja luovutuksen seuranta ja järjestelmän mahdolliset tekniset virheet.

Lain nojalla perustettiin valtiovarainministeriön yhteyteen myös julkisen hallinnon tiedonhallintalautakunta, joka edistää ja arvioi tiedonhallintalain tavoitteiden ja säännösten toteuttamista. Lautakunta julkaisikin jo syyskuussa suosituskokoelman ”tiettyjen tietoturvallisuussäännösten soveltamisesta”. Suosituksessa määritellään riskienhallintaa, lokien keräämistä ja hallintaa, tietojärjestelmien elinkaarta sekä tietoturvallisuutta tietojärjestelmähankinnoissa. Näissä ohjeissa on joitakin viittauksia myös vanhoihin Vahti-ohjeisiin, jotka ovat tältä osin edelleen käyttökelpoisia.  Toki niitä on nyt verrattava tiedonhallintalain vaatimuksiin ja tiedonhallintalautakunnan suosituksiin.

Tiedonhallintalakiin ja sen esitöihin tutustumisen jälkeen on varsin selvä käsitys siitä, että julkishallinon osalta erityisesti tietoturvallisuuden reguloinnin osalta on edetty seuraavaan vaiheeseen. Tarkemmin sanottuna tietoturvallisuuden monilla lohkoilla organisaatioilta edellytetään lain tasolla konkreettisesti tiettyä suorituskykyä ja ominaisuuksia.

Toisaalta lainsäädännön vaatimuksetkin saattavat kuitenkin olla liian yleispiirteisiä, että ne voidaan sellaisenaan toteuttaa ja myös tiedonhallintalain edellyttämä riskien arviointi tuntuu hankalalta. Voi olla hankalaa määritellä riittävää, lainsäädännön vaatimukset täyttävää tietoturvallisuuden tavoitetasoa. Riskinä on se, että tavoitetason oltua liian matalalla organisaatio toimii lain vastaisesti.

Kertaluonteinen hanke vai prosessi?

Tietoturvallisuus on liikkuva maali. Kun asiat on saatu jonkinlaiseen järjestykseen, uhkahorisontti on jo muuttunut. Tämä luo omat haasteensa tietoturvallisuuden hallinnalle. Kiristyshaittaohjelmat, tietojenkalastelut ja huijausohjelmat ovat arkipäivää. Kun tähän lisätään IT:n keskeiset kehitystrendit kuten tekoäly, pilvipalvelut, palvelujen ulkoistaminen ja pitkät alihankintaketjut, nähdään pienoiskoossa ne haasteet, jotka alaan tällä hetkellä liittyvät. Organisaation sähköistetyt ja verkotetut toiminnot ovat yhtä suojattuja kuin sen heikoin lenkki. Samaan aikaan kuitenkin vastuut kasvavat, eikä vastuuta voi ulkoistaa. Yhteistyö- ja hankintasopimuksissa on mahdollisesti sanktioitu tietoturvaan liittyviä puutteita ja tapahtumia ja lisäksi ovat lainsäädännön vaatimukset. Ulkoistamis- ja alihankintatilanteissa tietoturvallisuus onkin osaksi sopimusperusteista, ja sitä koskevat ehdot on laadittava huolellisesti.

Kaikkiaan tietoturvallisuus onkin prosessi, jota on jatkuvasti viritettävä uusia vaatimuksia vastaavaksi.

Tietoturvalli­suus vaatii uutta lähestymistä

Tietoturvallisuuden asema ja rooli organisaatioissa on huomattavasti muuttunut. Huolellisuus tietojen ja järjestelmien suojauksessa on osa toiminnan laatua ja vaatimustenmukaisuutta. Somekohujen aikana ei ole varaa siihen, että tässä lipsuttaisiin.

Tietoturvallisuus voi yhä olla tekniseksi mielletty toiminto, jolla ei ole näkymää koko organisaation yli huolimatta ehkä käytössä olevasta tietoturvallisuuden hallintajärjestelmästä. Keskeisesti tietoturvatoiminto tuottaa teknisen tietoturvan kattavaa tilannekuvaa. Mutta sen lisäksi tulisi olla näkymä hallinnolliseen tilannekuvaan, mikä on organisaation asema regulaation ja sopimuksellisen tietoturvallisuuden osalta eli mikä on organisaation tilanne vaatimustenmukaisuuden suhteen. Tässä korostuu tekniikan lisäksi tietoturvan kokonaisuuden hallinta yli koko organisaation. Käytännössä kyseessä on prosessimainen jatkuva tekeminen ja jatkuva kehittäminen. Tulisi myös pohtia sitä, ketkä ovat tietoturvayksikön keskustelukumppaneita, jotta kaikki tietoturvaan vaikuttavat vaatimukset, johtuivatpa ne regulaatiosta, sopimuksista kuin liiketoiminnastakin, tulevat otetuiksi huomioon.

Miten lähteä liikkeelle?

Tietoturvallisuuden oikeudellistumisen myötä myös tietoturvan merkitys ja asema – tietosuojan ohella – on organisaatioissa kasvanut. Olennaista on selvittää, miten eri lähteistä tulevat vaatimukset organisaatioon vaikuttavat, koska niiden perusteella olisi mitoitettava tietoturvan kyvykkyys.  Kyvykkyyttä tulisi määrätietoisesti ja suunnitelmallisesti kehittää prosessimaisella otteella ja siksi hyvä lähtökohta on selvittää sopivan viitekehyksen avulla organisaation tietoturvan nykyinen kypsyystaso ja priorisoida kehityskohteet.

 

Markus Sainio
Tietoturva-asiantuntija, Telia Cygate 

 

 

 

Voimmeko olla avuksi? 

Haluatko lisätietoja tai apua organisaatiosi tietoturvan jatkuvuuden varmistamisessa? Tutustu tietoturvaratkaisuihimme ja -palveluihimme, ja ota rohkeasti yhteyttä!

OTA YHTEYTTÄ

 

 

Katso webinaaritallenne aiheesta:

Julkisen hallinnon tiedonhallintalaki – Tietoturvavaatimukset ja -ratkaisut

 

 

SOITA MEILLE

Vaihteemme vastaa ma-pe klo 8-16

+358 20 401 

Puhelun hinta 8,35 snt/puh + 16,69 snt/min. Ulkomailta soitettaessa ko. ulkomaanpuhelumaksu.

LÄHETÄ VIESTI

YHTEYDENOTTOLOMAKE

Täytä tietosi ja otamme sinuun yhteyttä!

LAITA MEILI

Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.

Laita meille meiliä ja palaamme asiaan!