Tietoturvaa kohennettiin harjoittelemalla

Kirjoittajat: Matti Kuosmanen, Olavi Pesonen & Kari Kataja.

Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA) ja julkisen hallinnon digitaalisen turvallisuuden johtoryhmä (VAHTI) järjestivät 2017–2018 kaksi tietosuojan yhteishanketta. Yhteishankkeeseen osallistumalla organisaatio sai hyvät valmiudet tulevan tietosuojalainsäädännön tuomiin muutoksiin. Yhteishankkeissa tuotettiin tietosuojakoulutusvideoita, nettitestejä ja järjestettiin työpajatilaisuuksia. Työpajoissa käsiteltiin tietosuoja-asetukseen eri osa-alueita, riskienhallintaa ja tietoturvallisuutta julkishallinnon näkökulmasta. (Arjen tietosuoja 2018).

Näihin hankkeisiin liittyen Väestörekisterikeskus järjesti tietoturva- ja tietosuojaloukkausten hallinnan harjoituksen (TAISTO18) marraskuussa 2018 (Rousku 2018). Harjoituksen tavoitteena oli kehittää organisaatioiden valmiuksia tietoturvaloukkausten hallintaan. Harjoitukseen osallistui noin 235 julkishallinnon organisaatiota, joista ammattikorkeakouluja oli seitsemän ja yliopistoja kahdeksan (VRK 2018). Korkeakoulujen tietosuojavastaavien verkoston työvaliokunta suositteli osallistumista kaikille korkeakouluille.

Harjoitukseen valmistauduttiin väestörekisterikeskuksen TAISTO18-käsikirjan mukaisesti: tarvittavat henkilöt koottiin päiväksi samaan tilaan, jossa tehtävät ratkaistiin. Ulkopuolinen kirjaaja kirjasi havainnot lokiin. Tyypillisesti harjoituksessa oli mukana tietoturva- ja tietosuoja-asiantuntijoita, palvelimien ylläpitoon liittyviä henkilöitä, viestinnän asiantuntijoita ja ylintä johtoa.

Harjoituksen rungon muodosti kuvitteellinen tilanne, jossa Viestintäviraston Kyberturvallisuuskeskus oli julkaissut punaisen varoituksen, joka liittyi useita eri käyttöjärjestelmiä koskettavaan nollapäivähaavoittuvuuteen. Useimmat käyttöjärjestelmä- ja sovellusvalmistajat olivat julkaisseet päivityksen. Haavoittuvuuden avulla oli mahdollista varastaa henkilötietoja sisältäviä aineistoja. Viestintävirasto oli saanut alustavia havaintoja, että tätä haavoittuvuutta oli todennäköisesti hyödynnetty. Harjoituspäivä jakaantui 10 erilaiseen tehtävään. Osana harjoitusta tehtiin ilmoitus tietosuojavaltuutetun toimistolle, täytettiin rikosilmoitus, sekä lähetettiin ilmoitus Viestintävirasto / Kyberturvallisuuskeskukselle. Harjoituksessa valmisteltiin myös tiedotteita ja vastattiin median kyselyihin. Lisäksi harjoituksen aikana palautettiin tehtäviä kyselytyövälineellä. Näistä vastauksista saatiin harjoituksen jälkeen organisaatiokohtainen palaute, joka on tarkoitettu organisaation sisäiseen käyttöön.

TAISTO18-harjoituksen aikana HAMKissa, Savoniassa ja Kareliassa tehtiin seuraavia havaintoja:

  • Etukäteen harjoittelu on tärkeää ja sen pitäisi olla vuosittaista.
  • Harjoittelun avulla voidaan saada varmuutta todellisen tilanteen tilannejohtamiseen, joka tässä harjoituksessa koettiin osittain haasteelliseksi.
  • Kriisiviestinnän ohje on tärkeä tuntea ja olla saatavilla.
  • Tiedottaminen pitää olla suunniteltu etukäteen. Pystyykö johto/viestintä antamaan lausuntoja vakuuttavasti tietoturva-asioissa, vai delegoidaanko tiedottaminen tietoturvapäällikölle?
  • Korkeakoulun kriisityöryhmän rooli kyberturvallisuuteen liittyvissä asioissa olisi hyvä määritellä etukäteen.
  • Mahdollisiin median esittämiin kysymyksiin on hyvä valmistautua etukäteen, esimerkiksi harjoittelemalla vastaamista yhdessä ICT-alan termistöä tuntevien henkilöiden kanssa.
  • Palveluna ostettavien tietojärjestelmien palveluntarjoajilta saattaa olla vaikea saada tietoja laajoissa ongelmatilanteissa esimerkiksi tietoturvapäivitysten ajantasaisuudesta. Tämä korostuu erityisesti pilvipalveluissa.
  • Ongelmatilanteisiin reagoiminen saattaa olla haastavaa silloin, jos kaikki asiantuntijat eivät ole paikalla. Tämä tarkoittaa riskienhallinnan kannalta varahenkilöjärjestelyjen luomista.
  • Erilaisten laitteiden (palvelimet, tietokoneet, tabletit, matkapuhelimet) hallinnassa on parantamisen varaa.
  • Tietoturvapäivitykset kannattaa varmistaa niiden laadun toteamisen ja varmistamisen takia esimerkiksi käyttämällä sopivaa pilottiryhmää.

Kaikkiaan harjoitus onnistui hyvin ja osallistuminen koettiin hyödylliseksi. Kriisitilanteita on tarpeen harjoitella jatkossakin. Tähän vastaa ensi syksynä toteuttava TAISTO19. Lisätietoja TAISTOsta löytyy väestörekisterikeskuksen sivulta, https://vrk.fi/taisto.

Kirjoittajat

Matti Kuosmanen, FL, Tietosuojavastaava, tietohallinto- ja tietoturvapäällikkö, Savonia-amk. matti.kuosmanen(at)savonia.fi

Olavi Pesonen, FM, Informaatiotekniikan insinööri (AMK), Tietohallinto- ja tietoturvapäällikkö, tietosuojavastaava, Karelia-ammattikorkeakoulu, olavi.pesonen(at)karelia.fi

Kari Kataja, DI, FM, KTM, KM, Tietosuojavastaava ja tietojärjestelmäpäällikkö, korkeakoulujen tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja, Hämeen ammattikorkeakoulu, kari.kataja(at)hamk.fi


Arjen tietosuoja 2018. Arjen tietosuojaa videokoulutukset ja nettitestit. https://arjentietosuoja.fi

Rousku 2018. Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus. https://vrk.fi/documents/2252790/9592142/TAISTO+tiiviisti+-esitys/72eaedff-4498-d66f-fbc8-588c3973170e/TAISTO+tiiviisti+-esitys.pdf?version=1.1 .

VRK 2018. Taisto18 osallistujalista. https://vrk.fi/documents/2252790/9592142/TAISTO18-osallistujalista/f18006cd-ea06-ff35-8582-51065c11d4ae/TAISTO18-osallistujalista.pdf?version=1.1

VRK 2019. TAISTO-harjoitus. https://vrk.fi/taisto

Helpotusta EU:n tietosuoja-asetuksen tulkintahaasteisiin: yhteistyötä ja käytännesääntöjä

Kirjoittajat: Maria Rehbinder, Ulla Virranniemi & Kari Kataja.

EU:n tietosuoja-asetuksen (2016/679) siirtymäaika päättyi 25.5.2018. Tämän jälkeen odotettiin pitkään Suomen kansallista lainsäädäntöä. Vaikka EU-asetus onkin suoraa sovellettavaa lainsäädäntöä, tietosuoja-asetus on jättänyt kansallista liikkumavaraa. Eräs tällainen alue, josta tulee säätää kansallisesti, on henkilötietojen käyttö tieteelliseen tutkimukseen. Vihdoin 1.1.2019 astui voimaan Suomen tietosuojalaki (1050/2018). Tietosuojalaissa täsmennetään muun muassa, että tieteellinen tutkimus on tietosuoja-asetuksen tarkoittama yleisen edun mukainen tehtävä, jolloin yleisen edun mukainen tieteellinen tutkimus voi olla käsittelyperuste henkilötiedoille. Tietosuoja-asetuksessa (resitaali 159) tutkimuksen käsitettä tulkitaan laajasti, eli se kattaa myös TKI-toiminnan.

Kansallisen lainsäädännön viivästyminen vaikeutti korkeakouluissa tapahtuvan tutkimusdataan sisältyvien henkilötietojen käsittelyn ohjeistamista, etenkin vuoden 2018 aikana. Työtä on myös ollut määrällisesti paljon. Esimerkiksi kaikkien henkilötietoja käsittelevien alihankkijoiden kanssa on pitänyt tehdä sopimus (tai sopimusliite) henkilötietojen käsittelystä.

Onneksi valmistelutyötä ei kuitenkaan ole tarvinnut tehdä yksin. Korkeakoulujen tietosuojavastaavat muodostavat korkeakoulujen tietosuojavastaavien verkoston, jossa on jaettu hyviä käytäntöjä, keskusteltu henkilötietojen käsittelyyn liittyvistä asioista ja valmisteltu materiaaleja yhdessä. Verkoston vahvuutena ovat eritaustaiset tietosuojavastaavat: osalla tietosuojavastaavista on vahva juridinen tausta, osalla tietohallintotausta, muutamilla opetukseen, laatuun tai tutkimukseen liittyvä tausta. Verkosto on myös järjestänyt seminaaritilaisuuksia, joihin on kutsuttu verkoston ulkopuolisia asiantuntijoita. Verkoston toimintaa koordinoi työvaliokunta. Tällä hetkellä verkosto valmistelee käytännesääntöjä.

Käytännesäännöt ovat johonkin osa-alueeseen kohdistuvia henkilötietojen käsittelyyn liittyviä ohjeita, tulkintoja ja suosituksia. EU:n tietosuoja-asetuksen (2016/679, artikla 40) mukaisesti on mahdollista tehdä käytännesääntöjä, joiden avulla tuetaan tietosuoja-asetuksen soveltamista. Valvontaviranomainen antaa lausunnon siitä, onko käytännesääntöjen luonnos tietosuoja-asetuksen mukainen ja hyväksyy käytännesäännöt, jos se katsoo, että käytännesäännöt tarjoavat riittävät asianmukaiset takeet tietosuoja-asetuksen mukaisesta henkilötietojen käsittelystä.

Jo aikaisemmin, ennen tietosuoja-asetusta, korkeakoulut ovat yhdessä laatineet korkeakoulujen opintotietojen tietosuojan käytännesäännöt (2017), jotka tietosuojavaltuutetun toimisto tarkasti 2.5.2017. Nämä käytännesäännöt ovat vapaasti ladattavana eDuunissa.

On kuitenkin syytä huomata, että näissä käytännesäännöissä ei vielä ole otettu huomioon 2018 täysimääräisesti voimaan tulleen tietosuoja-asetuksen vaatimuksia, eikä 2019 alusta voimaan tullutta kansallista tietosuojalakia. Tietosuojavastaavien verkosto onkin päivittämässä opintotietojen käytännesääntöjä tietosuoja-asetuksen ja kansallisen lainsäädännön mukaiseksi. Työ on edennyt hyvin: perusrunko ja tärkeimmän kokonaisuudet alkavat olla valmiina. Käytännesääntöihin pyritään sisällyttämään myös esimerkkejä selkeyttämään arkipäivän työssä vastaan tulevia tilanteita. Käytännesäännöt palvelevat kaikkia, jotka käsittelevät opiskelijoiden henkilötietoja, opettajista opiskelijapalveluihin. Opintotietojen käytännesäännöt parantavat opiskelijoiden oikeusturvaa, luomalla kaikille korkeakouluille yhteiset tulkintaperiaatteet opiskelijoiden tietojen käsittelyyn.

Myös tutkimuksen käytännesääntötyö on käynnissä. Korkeakoulujen tietosuojavastaavien verkosto on ollut myös tässä työssä aloitteellinen ja aktiivinen. Valmistelutyössä on hyödynnetty muun muassa Hollannin VSNU (2018) käytännesääntötyötä. Käytännesäännöt voivat suuresti helpottaa erilaisia tieteelliseen tutkimukseen liittyviä tietosuojalainsäädännön tulkinnan ongelmia. Myös korkeakoulujen tutkimusyhteistyö helpottuu, kun noudatetaan yhteisiä sääntöjä. Hienoa olisi, jos ajan kanssa saadaan luoduksi EU-tason käytännesääntöjä European Research Area tutkimukselle. Tällainen työ on käytössä terveyttä koskevan tutkimuksen osalta ks.  Code of Conduct for Health Research (2018).

Käytännesäännöille on suuri tarve, joten ne yritetään saada mahdollisimman nopeasti valmiiksi. On kuitenkin mahdotonta kertoa tarkkaa aikataulua, koska linjausten löytäminen hankaliin asioihin vie oman aikansa. Yhteistyöllä nämä kuitenkin saadaan tehtyä.

Kirjoittaja

Maria Rehbinder, OTK, Certified Information Privacy Professional (CIPP/E), Senior Legal Counsel, Academic Legal Services, Aalto-yliopisto, Vice Chairman of LIBER Working Group on Legal Matters

Ulla Virranniemi, OTK, FM, Tietosuojavastaava ja lehtori, korkeakoulujen opintotietojen käytännesääntöjä valmistelevan työryhmän puheenjohtaja, Oulun ammattikorkeakoulu, ulla.virranniemi(at)oamk.fi

Kari Kataja, DI, FM, KTM, KM, Tietosuojavastaava ja tietojärjestelmäpäällikkö, korkeakoulujen tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja, Hämeen ammattikorkeakoulu, kari.kataja(at)hamk.fi


Code of Conduct for Health Research 2018, https://code-of-conduct-for-health-research.eu

EU:n yleinen tietosuoja-asetus 2016/679, https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679

Korkeakoulujen opintotietojen tietosuojan käytännesäännöt 2.5.2017, https://wiki.eduuni.fi/display/CSCKOOTUKI/Korkeakoulujen+opintotietojen+tietosuojan+kaytannesaannot

Tietosuojalaki 1050/2018, https://www.finlex.fi/fi/laki/alkup/2018/20181050

VSNU 2018. Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek (Henkilötietojen käyttöä tieteellisessä tutkimuksessa koskevat käytännesäännöt), https://www.vsnu.nl/code-pers-gegevens.html