Tietosuoja 4/2012 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 4/2012 | 15 ? HALLITSE RISKIT Näin suojaat tietosi ja varaudut ongelmiin fiksusti Sähköposti \ Tietosuoja-asetus \ Suoramarkkinointi \ BYOD \ Biopankit
22 ja 32 32 Mistä sähköpostille toimiva salausmenetelmä? Työelämä 37 Tietosuojavaltuutetun toimisto 25 vuotta 38 Biopankkilain tulkinnanvaraisuus heikentää tietosuojaa 41 Tuleva biopankki testaa jo suostumuslomakkeita 42 Miten on? 43 Lyhyesti Tutustu 46 Vuosihakemisto 2012 verkkolehteen! Kannen kuva: Eric Leraillez 2?TIETOSUOJA 4/2012 www.tietosuoja-lehti.fi Biopankkitoiminta edellyttää kokonaisvaltaista tietosuojaa. s. Schmidt: ?Haavoittuvuustestaus on kaikkien velvollisuus? Teema: Riskienhallinta 6 Riskillä vaan? 8 Hataran tietoturvan kavalat seuraukset 12 Viisas varautuu verkkohyökkäykseen . 34 Onko tietokoneeni bottiverkossa? Kolumni 31 Kohdennettu mainonta . hyödyksi vai haitaksi? s. Sisällys 4/2012 3 Pääkirjoitus 4 Howard A. 38 tekes, markus sommers 34 Sähköinen suoramarkkinointi työpaikalla on taitolaji 36 Markkinoijien laintuntemus on usein heikkoa. 42 Maija Nyman 14 Tietosuojan laiminlyönti voi käydä kalliiksi 17 Tietoturvaloukkaus on riski myös maineelle 18 Varaudu riskeihin 21 Oma laite ei käy kaikkeen Miten salaat sähköpostiviestisi? s. ja pyytää apua ajoissa Gallup Työsähköpostiin ei saa lähettää mitä tahansa mainontaa. 22 Ammattilainen suojaa viestinsä Profiili 24 Suomen Internet-yhdistys: Toimivan internetin puolesta 27 Tietosuoja-lehti uudistuu Uudistuva tietosuojalainsäädäntö 28 Yhteisille säännöille kyllä, byrokratialle ei s
Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. 4/2012 TIETOSUOJA. Osoitetietoja käytetään ainoastaan Stellatum Oy:n omassa toiminnassa. Lehti ilmestyy neljästi vuodessa. Seuraava numero ilmestyy 11.3.2013. Hiekka valuu tiimalasissa V uoden päästä valtion viranomaisten tietoturvallisuuden on oltava selvästi yhtenäisempää kuin nyt. Valtionhallintoa koskevan tietoturvallisuusasetuksen voimaantulon siirtymäaika päättyy 1. Silti vieläkään kaikki valtion virastot tai laitokset eivät ole sisäistäneet asetuksen velvoittavuutta, saati tehneet päätöksiä asiakirjojen luokittelusta. On kuitenkin huomioitava, että tietoturvallisuuden perustaso on saavutettava siirtymäajan puitteissa, onpa virastossa tehty luokittelupäätös tai ei. Asetuksessa säädettyjen suojaustasojen tarkoitushan on toteuttaa tarvittavat suojaustoimenpiteet siitä riippumatta, onko tieto alun perin turvallisuusluokiteltua tai muuten salassa pidettävää. Asetuksessa määritellyn tietoturvallisuuden perustason saavuttaminen mahdollistaisi sen, että suojaustason IV asiakirjoja käsitellään ja suojataan koko valtionhallinnossa samalla tavalla. | Lauri Karppinen, IT-erityisasiantuntija?|?Viestintävirasto: Ari-Matti Husa, tietoturva-asiantuntija. |?ISSN 0786-5767 PAINOPAIKKA Hämeen Kirjapaino Oy Sähköinen lehti www.tietosuoja-lehti.fi ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä Stellatum Oy:n tiloissa Purotie 1 B, 00380 Helsinki. 4/2012 kaapo kamu Pääkirjoitus tietoturvan ja tietosuojan erikoislehti JOULUKUU 2012 Julkaisijat Patentti- ja rekisterihallitus tietosuojavaltuutetun toimisto tietosuojalautakunta Viestintävirasto Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimituspäällikkö Eija Kara, tietosuojavaltuutetun toimisto eija.kara@om.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Toimitusneuvosto Reijo Aarnio, tietosuojavaltuutettu, pj.. |?Ahti Saarenpää, professori, Lapin yliopisto. erittäin salainen asiakirja. |?Anna Lauttamus-Kauppila, viestintäjohtaja, PRH. Tämä tiimalasi kun ei ole käännettävissä lisäajan toivossa... Rauli Paananen Viestintäviraston NCSA-FI-yksikön päällikkö 24. Tällöin asiakirjaa lähettävän tahon ei tarvitsisi kohdentaa erityisiä toimenpiteitä asiakirjan vastaanottajaan sen tietoturvallisuuden tason toteamiseksi. Yhtenä tietoturvallisuusasetuksen tarkoituksena on viedä Suomea kohti kansainvälistä yhteensopivuutta. |?Eija Kara, ylitarkastaja, tietosuojavaltuutetun toimisto. Niin kauan kuin valtionhallinnon viranomaiset eivät osaa luokitella tietojaan yhteismitallisesti, tulemme tekemään yli- ja aliluokittelua. Yliluokittelu johtaa pahimmillaan liiallisiin ja turhiin tila- ja turvallisuusinvestointeihin, aliluokittelu salassa pidettävien tietojen vuotamiseen julkisuuteen. Tämä on se todellisuus, jonka Viestintäviraston NCSA-FI-yksikkö kohtaa joka päivä muiden tarkastusmandaatin omaavien viranomaisten ohella. Tuntuu siltä, että luokittelupäätöksen lykkäämisellä yritetään saada lisäaikaa tietoturvallisuuden korotetun tason saavuttamiselle. Vierailuni komissioon vuonna 2007 vahvisti käsityksiäni, että meidän järjestelmässämme on jotain vialla. Stellatum Oy: Päivi Männikkö, toimitussihteeri KUSTANTAJA Stellatum Oy, Purotie 1 B, 00380 Helsinki Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Tilaajapalvelu/Tietosuoja,PL 115, 30101 Forssa Puhelin 03 4246 5301, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Ilmoitusmarkkinointi ja -varaukset DS & M Marketing Oy, Deeli Kentala deeli.kentala@dsm.fi, puh. lokakuuta 2013. aivan oikein: yksi . Jos laskutusjakso tai maksueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. | Tietosuojavaltuutetun toimisto: Eija Kara, ylitarkastaja. |?Jukka Ihanus, toimitusjohtaja, Stellatum Oy. |?Nora Elers, viestintäjohtaja, FiCom ry | Anu Talus, EU-asiantuntija, tietosuojalautakunta. Tuolloin komissiossa oli tuotettu yksi . Olisiko kuitenkin jo aika saada yhteiset asiakirjojen luokitteluperusteet koko valtionhallintoon ja sitä kautta myös valtiolle palveluita tuottaville yritykselle. |?Hanna Tamminen, viestintäjohtaja, Viestintävirasto Toimituskunta PRH: Olli Ilmarinen, viestintäasiantuntija. |. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. 3. Olisiko meillä jotain oppimista tiedon luokittelusta ja suojaamisesta Brysselin suunnasta? Olen itse työskennellyt valtion palveluksessa sotilas- ja siviilitehtävissä kohta 25 vuotta ja nähnyt satoja salaiseksi tai erittäin salaiseksi luokiteltuja dokumentteja. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. Uskallan väittää, että nyt, talouskriisin jälkeen tai seurauksena sellaisia ei edelleenkään ole kuin satakunta. Olemme siis perusasioiden äärellä. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, on hän velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. |?Eeva Lantto, lakimies?|?Hanna Tamminen, viestintäjohtaja?|? Elina Koskipahta, tiedottaja. vuosikerta. |?Timo Lehtimäki, johtaja, Viestintävirasto. Yhteydenotot tulee tehdä kirjallisina ja alle kirjoitettuina em. 0440 235 939 TILAUSHINNAT SUOMESSA 2012 Kestotilaus 54,50 euroa (laskutusväli 12 kuukautta). Määräaikaistilaus 57,77 euroa (kesto 12 kuukautta). Irtonumero 15 euroa. Hinnat ovat voimassa vuonna 2012 Suomeen tehtyihin tilauksiin. |?Eila Ratasvuori, hallintojohtaja, Helsingin kaupunki
?Haavoittuvuustestaus on kaikkien velvollisuus? 4?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Tietoturva-asiantuntija Howard A. Seminaariin osallistui yli 100 tietoturva-ammattilaista. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i ? Vahvasti salatut tiedot ovat verkkorikolliselle käyttökelvottomia. 4/2012 TIETOSUOJA. Hän jättäytyi pois Valkoisen talon Salaa tieto varkaalle kelvottomaksi tietoturvaneuvonantajan tehtävästä toukokuussa ?Vanhalla hakkeri 1.01 -kaudella pyrittiin pääse- 2012. Ja viiden tai kymmenen vuoden kuluttua, kun tietokonekapasiteetin ?Yli neljä viidennestä tietoturvasta on kiinni hyvästä jatkuva tehostuminen tämän ehkä mahdollistaisi, hygieniasta?, Schmidt huomauttaa. Tällä hän tar- varastetulla tiedolla ei enää todennäköisesti ole sen koittaa tietoturvakäytäntöjä ja niiden noudatta- alkuperäistä arvoa. Nyt ministeritkin ranomaisia ja eri tahojen yhteistyötä. ovat kiinnostuneita tietoturvasta, sillä se Schmidtin mukaan tietoturva-asioissa on aina vaikuttaa nyky-yhteiskunnan toimintakykyyn; sii- tehty yhteistyötä: Jo silloin, kun Sunin ja Oraclen hen, että saamme sähköä ja rahaa seinästä sekä sekä Microsoftin keskinäinen julkinen esiintymi- vettä hanasta. nen muistutti amerikkalaistyylistä televisiopainia, Tietoturvauhkiin voi ja pitää varautua jo etukäteen. josta kukaan ei ollut kuullutkaan ? Jos hyökkääjä pääsee varotoimista huolimatta oli löydetty merkittävä tietoverkkojen toimintaan sisään, pitää varmistaa, että se tieto, johon hän vaikuttanut haavoittuvuus. Toisaalta Schmidt Kybertsaari-lisänimen saanut Schmidt on Microsoftin ja eBayn entinen tietoturvajohtaja, ja hän on toiminut USA:n presidenttien Bill Clintonin, Geor- näkee, että niin sanotuissa edistyneissä uhissa on kyse vanhoista asioista. Tähän myös ollut oululaisen tietoturvayrityksen Code- päästään vahvalla salauksella, joka tarkoittaa käy- nomiconin hallituksessa. tännössä, ettei salausta pystytä purkamaan edes Noudata hyviä käytäntöjä tehokkaimmilla tietokoneilla. 5. Schmidtin kulissien takana yhtiöt toimivat yhdessä tietoturvaasioissa. mielestä haavoittuvuustestaus on kaikkien velvol- Yhteistyön tarpeellisuus on korostunut kaiken lisuus. \ mista. USA:n presidenttien tietoturvaneuvonantajana toiminut Howard A. Hän muistuttaa, että on huomattavasti hal- aikaa, kun rikollisilla on käytössään entistä tehok- vempaa toimia etukäteen kuin koettaa minimoida kaampia välineitä. Vain käsitteet ovat uusia. vonantajana. Lagus | Kuva: Antti Aimo-Koivisto, Lehtikuva K ymmenen vuotta sitten tuskin yksikään Jäljelle jäävän viidenneksen selättämiseen tarvi- pääministeri olisi edes tiennyt, mitä ovat taan muun muassa CERT-FI:n kaltaisia tietoturvavi- niin sanotut bottiverkot. Esimerkiksi haittaohjelmia voi vahinkoja jälkikäteen. ostaa jopa verkkokaupasta. Schmidt. Teksti: Antti J. Sittemmin Schmidt on pääsee käsiksi, on hänelle käyttökelvotonta. Schmidt osallistui Viestintäviraston ja Huoltovarmuuskeskuksen järjestämään seminaariin Helsingissä lokakuun lopussa. Nyt käytetään kehittyneitä liitetiedostoja, tämään seminaariin. palvelunestohyökkäyksiä ja muita, mutta tavoit- ge W. Schmidt osallistui lokakuussa Viestintäviras- mään vieraaseen verkkoon ja jättämään sinne ta- ton ja Huoltovarmuuskeskuksen Helsingissä järjes- kaovi. Ennakointi tulee huomattavasti halvemmaksi kuin vahinkojen korjaaminen, muistuttaa USA:n presidenttien tietoturvaneuvonantaja Howard A. Bushin ja Barack Obaman tietoturvaneu- Suomeen Schmidt tutustui ensimmäistä kertaa vuoden 2001 terrori-iskun jälkeen, kun Oulun teena on yhä päästä käsiksi tietoon tai rahoihin?, Schmidt sanoo. yliopistossa
Riskienhallinta 6?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Miksi opiksi ei oteta. Apua saa, kun sitä pyytää, vakuuttaa CERT-FI:n päällikkö Erka Koivunen sivuilla 12?13. Tietosuojan laiminlyönti voi käydä organisaatiolle kalliiksi. Riskillä vaan? Miten sinun työpaikallasi on varauduttu tietoturvaloukkaukseen? T ietosuojavaltuutetun tarkastuksessa paljastui, että useat pienet sähköisen asioinnin tarjoajat olivat joutuneet lopettamaan toimintansa kokonaan tietoturvaloukkauksen jälkeen. 7. Lue tarkastuksen tuloksista sivuilta 8?10. Kun nettirosvot hyökkäävät verkkopalveluun, älä jää tuleen makaamaan. Lue sivulta 21, miten niihin varaudutaan. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Juristit ottivat laskimen käteen sivuilla 14?16. Tietovuoto on kolaus yrityksen maineelle. Lue viestinnän ammattilaisen vinkit sivulla 17. Fiksu organisaatio torjuu riskejä etukäteen, neuvovat riskienhallinnan asian- leena kumpulainen tuntijat sivuilla 18?20. Muotikäsite BYOD pitää sisällään riskejä organisaation tietoturvalle
Tämä johtaa yllättäviin seurauksiin, kun tietoturva pettää. ämän päivän verkottuneessa maailmassa yhä useampia palveluja tarjotaan ja käytetään internetin välityksellä. Riskienhallinta Hataran tietoturvan T Vain harvan verkkopalvelun tietoturva perustuu riskianalyysiin. Tietosuojavaltuutetun toimisto halusi selvittää, miten rekisterinpitäjät ja palveluntarjoajat ovat huomioineet velvoitteen sekä miten henkilötietojen suoja toteutuu tietoverkkoympäristössä. 8?TIETOSUOJA 4/2012. Asioinnin ja palvelu- jen siirtyessä verkkoon myös henkilötieto- jen käsittely siirtyy asiakaspalvelun tiskiltä internetiin. Asiakastietojen käsittelyn kannalta Teksti: Lauri Karppinen Kuva: Rodeo avainasemassa ovat verkkopalvelujen tuottamisesta vastaavat rekisterinpitäjät, joilta henkilötietolaki edellyttää asianmukaisia toimia tietojen suojaamiseksi tietoturvauhilta ja väärinkäytöksiltä. Rekisterinpitäjille laissa asetettu yleinen henkilötietojen suojausvelvoite on ollut voimassa jo 13 vuotta
vain 46 prosenttia toimivalta CERT-FI-tietoturvaviranomaiselta Alle puolet tuntee lain vaatimukset yhteystietoja sellaisista suomalaisista verk- Selvityspyynnössä verkkopalveluita pyydet- Vastaajien piirissä esiintyi myös selviä kopalveluista, jotka olivat joko joutuneet tiin vastaamaan kysymyksiin, joilla selvitet- ongelmia tunnistaa omaa rooliaan henki- tietoturvaloukkauksen tai -uhan kohteeksi tiin toimijoiden tuntemusta henkilötietolain lötietojen käsittelyn ulkoistamistilanteissa. tai joista oli muusta syystä tehty tietoturvail- rekisterinpitäjille asettamasta suojausvel- Useat yritykset, jotka olivat ulkoistaneet moitus CERT-FI:lle vuoden 2011 loka-, mar- voitteesta sekä sitä, miten henkilötietojen verkkokauppansa teknisen toteutuksen tuutetun toimisto pyysi Viestintävirastossa . kavalat seuraukset Selvityspyyntö tietomurtojen kohteille teista toimitti vastauksensa tietosuojaval- Henkilötietolaki velvoittaa rekisterinpi- Vuonna 2011 paljastui useita tietomurtoja, tuutetun toimistolle annettuun määräai- täjät toteuttamaan tarpeelliset tekniset ja joiden yhteydessä varastettiin kymmenien- kaan mennessä, vain viidennes oli vastannut organisatoriset toimenpiteet henkilötieto- tuhansien kotimaisia internetpalveluja käyt- kaikkiin esitettyihin kysymyksiin. jen suojaamiseksi laittomalta käsittelyltä. täneiden henkilöiden tietoja. 9. kertoi tuntevansa henkilötietolain vaatimukset näiltä osin. ras- tai joulukuun aikana. Saamiensa tietojen pohjalta tietosuojavaltuutettu lähetti selvityspyynnön 74 yksityiselle ja julkiselle verkkopalvelulle, joiden toimintaan arvioitiin liittyvän henkilötietojen käsittelyä. Tietosuojaval- Vaikka 92 prosenttia tarkastuksen koh- suoja toteutettiin verkkopalvelussa. Alle puolet vastaajista . Kohteiksi valikoitui kattavasti kaikenkokoisia yrityksiä, verkkopalvelujen ja -kauppojen tarjoajia sekä julkisyhteisöjä. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i ? Palveluntarjoaja vastaa myös ulkoistetusta henkilötietojen käsittelystä. 4/2012 TIETOSUOJA
Riskienhallinta alihankkijalle, eivät mieltäneet lainkaan palvelun käyttäjille, joiden henkilötiedot oli- vastaavansa myös ulkoistetun verkkokaup- vat mahdollisesti olleet uhattuina tai louk- pansa henkilötietojen käsittelystä. Pienet kauksen kohteina. Samat van useita palveluita. yleiset virheet muun muassa salasanojen Tietosuojavaltuutetun toimisto tuleekin käsittelyssä ja verkkopalvelujen ohjelmoin- korostamaan toiminnassaan verkkopalve- nissa toistuvat palvelusta toiseen. luiden rekisterinpitäjien ohjausta ja neu- Tietomurto kaataa pienet yritykset vontaa tietoturvallisuusvelvoitteiden täyt- kirjoittaja tämisessä yhteistyössä CERT-FI:n kanssa sekä jatkamaan suomalaisten verkkopal- Lopuksi vielä kysyttiin, oliko tietoturvail- velujen tietoturvallisuuden tason seuraa- moituksen taustalla olleesta tietoturvalouk- mista. Toisaalta kuiten- tietoturvaloukkauksia sekä tietoturvatoi- kin samat yleiset virheet näyttävät vaivaa- minnan yleisessä organisoinnissa. \ Lauri Karppinen on IT-erityisasiantuntija tietosuojavaltuutetun toimistossa. \ kauksesta tai sen uhasta ilmoitettu verkko- 10?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Valmisteilla oleva EU:n yritykset näyttivät keskittyvän yksinomaan tietosuoja-asetus tulee asettamaan tällai- maksuvälinetietojen suojaamiseen. sen velvoitteen kaikille rekisterinpitäjille. Vain harvan verkkopalvelun tietoturvalli- Tietoturvaloukkaus ei muuttanut toimintatapoja suuden organisointi perustui riskianalyysiin, Verkkopalveluilta tiedusteltiin myös, mihin siin tietoturvallisuuden pettäessä; Pienten toimiin ne olivat ryhtyneet CERT-FI:lle teh- yritysten ja yhteisöjen kohdalla toteutu- dyn tietoturvailmoituksen johdosta. neet tietoturvaloukkaukset olivat useassa mikä näytti johtaneen yllättäviin seurauk- Huolestuttavan suuressa osassa yrityk- tapauksessa johtaneet suoraan tietoturva- siä, miltei kolmanneksessa, tietoturvalouk- loukkauksen kohteeksi joutuneen verkko- kaus tai -uhka ei vastausten perusteella ollut palvelun toiminnan lopettamiseen. johtanut minkäänlaisiin toimenpiteisiin tietoturvallisuuden parantamiseksi. ? Henkilötietojen suojausvelvoite on ollut voimassa jo 13 vuotta. Seuranta jatkuu Vastaajien koko näkyi selvästi verkko- Kaiken kaikkiaan selvityksen pohjalta voi- palvelujen tietoturvallisuuteen käytettyjen daan todeta, että suomalaisten verkkopal- resurssien määrässä, mikä tuli esiin erityi- velujen tietoturvallisuuden organisoinnissa sesti vastaajien kyvyssä havaita ja torjua ja tasossa on suuria eroja
ja pyytää apua ajoissa Kun nettirosvot hyökkäävät verkkopalveluun, ei ylläpitäjän kannata jäädä tuleen makaamaan. Apua on saatavilla, ja sitä kannattaa pyytää. Teksti: Kirsi Castrén | Kuva: Nina Kellokoski T ?Kun haittaohjelma annetaan virustorjuntayhtiölle, se lähtee kiertoon eri virustorjuntayhtiöille ympäri maailmaa?, Koivunen muistuttaa. ?Uskoisin, että kotimaiseen virustorjuntayhtiöön voi luottaa, mutta muiden maiden virustorjuntayhtiöissä saattaa olla jonkin tiedusteluelimen agentti sijoitettuna ietomurron osuessa kohdalle tilanteen ratkaisussa on muun muassa yhtiön sisälle. Henkilötietolaki telee koneet kaatamaan kohteena olevan sanoo. kuitenkin velvoittaa rekisterinpitäjää suo- verkkosivuston haluamanaan ajankohtana. Hänen tiedossaan on tapauksia, joissa jaamaan henkilötiedot riittävästi, ja suojaus- ?Kun hyökkääjällä on tilanteessa etu- palveluntarjoaja on vienyt haittaohjelman velvoitteen laiminlyönti voi johtaa syyttee- lyöntiasema, toimii uhri aina puutteellisen virustorjuntayhtiön tutkittavaksi mutta ei seen henkilörekisteririkkomuksesta. tiedon varassa. Vakavasta luntarjoajia vastaan?, kertoo päällikkö Erka on huomannut vakoilun?, hän varoittaa. tietoturvaloukkauksesta selviytymiseen harvoin kuitenkaan riittävät palveluntarjoajan omat tai teleyrityksenkään keinot. Koivunen. ?Jos hyökkäyksestä ei voida meille kertoa oletetun salassapitotarpeen vuoksi, tai ?Jos organisaatiolla on aitoja salaisuuksia, pitäisi olla harkintaa, kehen voi luottaa.? Viestintävirastossa toimiva kansallinen jos meitä kielletään pyytämästä lisätietoa tietoturvaviranomainen CERT-FI auttaa suomalaiselta teleyritykseltä tai ulkomai- Tietomurroista ilmoittaminen pian pakollista palveluntarjoajia tietoturvauhkien torjumi- selta toimijalta, se vähentää mahdollisuuk- Suomessa toistaiseksi vain teleyrityksillä sessa. siamme auttaa.? on velvollisuus ilmoittaa tietoturvalouk- Tiedon panttaus haittaa avunsaantia Ei ensimmäisenä virustorjuntayhtiöön Esimerkiksi bottiverkon kautta toimivassa Kun palvelun jumittumisen syynä on hait- tamaan viranomaiselle tietoturvaloukkauk- palvelunestohyökkäyksessä hyökkääjä taohjelma, saattaa taustalla olla isompia sesta, jossa henkilötiedot ovat saattaneet ottaa haittaohjelman avulla haltuunsa jopa asioita kuin ensi arvaamalta uskoisikaan. vaarantua. kauksesta Viestintävirastolle. CERT-FI:n tuoma lisäarvo ole ilmoittanut siitä Viestintävirastolle. 12?TIETOSUOJA 4/2012 Erka Koivunen vakuuttaa kuitenkin, että t ietot urvan j a t ietosuoj an erikoisl ehti. Räätälöity haittaohjelma toi- moni organisaatio jättää julkisuu- siinä, että voimme selvittää, onko samaa mii tällöin maalinosoituksena, jonka tarkoi- den pelossa ilmoittamatta tapah- hyökkäysalustaa käytetty muitakin palve- tus on näyttää, milloin kohdeorganisaatio tuneesta viranomaisille. Riskienhallinta Viisas varautuu verkkohyökkäykseen . EU:ssa on kuitenkin valmisteilla tietosuoja-asetus, jossa kaikki rekisterinpitäjät velvoitetaan ilmoit- tuhansia pääasiassa kotitietokoneita, jotka ?Jotkut räätälöidyt haittaohjelmat viit- Tietomurto on rikoslain mukaan useim- saattavat sijaita useissa eri maissa, ja ryhmit- taavat valtiolliseen vakoiluun?, Koivunen miten asianomistajarikos
menetetään lokitiedot ja niiden myötä mahdollisuus oppia tapahtuneesta. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. 13. Tois- asiantuntijasta, jolle annettiin tulosta- taiseksi emme ole joutuneet tekemään voitteeksi havaittujen tietoturvapoikkea- tutkintapyyntöjä.? mien määrän puristaminen radikaalisti alas. Tietoturvaongelmia ei pidä säikähtää turvallisuutta ennalta ehkäisevästi, orga- ?Sen sijaan, että olisi parannettu tietonisaatiossa käytännössä tärveltiin tietotur- Internetissä, jos missä, pätee sanonta, että vapoikkeamien raportointikanava, jotta rikollinen on aina poliisia askeleen edellä. poikkeamat eivät tulisi tietoon ja estäisi Sen sijaan, että pistettäisiin pää pensaaseen, Koivunen kannustaa parantamaan tietoturvapoikkeamien havaitsemista. ?Mitä nopeammin poikkeamat havaitaan ja mitä tulospalkkioiden laukeamista.? ?Sitä saa, mitä mittaa ja mistä palkitsee; sillä kertaa saatiin silmänlumetta ja silmänpalvontaa?, Koivunen toteaa. \ tehokkaammin vahinkoa pyritään rajoittamaan, sitä nopeammin päästään palaamaan normaaliin CERT-FI:n päällikkö Erka Koivunen neuvoo, ettei tietomurron kohteeksi jouduttaessa kannata heti asentaa järjestelmää uudelleen, sillä ?siivouksessa. CERT-FI:ltä voi tulla rauhallisin mielin pyytämään apua tietoturvaloukkauksissa. ?Pyrimme keskustelemaan tietoturva- päiväjärjestykseen.? Koivunen kertoo tosielämän esimerkin entisestä kollegastaan, tietoturva- ongelmista rakentavassa hengessä
Riskiin puolestaan liit- Henkilötietolain mukaan rekisterinpitäjä on velvol- tyy taloudellinen vahinko. linen korvaamaan sen taloudellisen ja muun vahin- Oman haasteensa tuovat henkilötiedot ja niiden Tietosuojasäännösten noudattamatta jättämiseen gon, joka on aiheutunut rekisteröidylle tai muulle liittyvät taloudelliset riskit voidaan jakaa kolmeen ryh- henkilölle lain vastaisesta henkilötietojen käsittelystä. mään: 1) lakiin perustuva vahingonkorvausvastuu, Rekisterinpitäjän vastuu on luonteeltaan ankaraa, 14?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Yhtiöt ja organisaatiot ovat tänä päivänä löön, kuten yrityksen johtohenkilöön tai yksittäiseen enenevässä määrin riippuvaisia tiedon saatavuudesta, käyttömahdollisuuksista ja hyödyntämisestä. työntekijään. sääntely. Niistä voidaan rangaistuksena ietoyhteiskunta ja tiedon käsittely on eden- tuomita sakkoja tai enintään yksi vuosi vankeutta. nyt pisteeseen, jossa tietosuojan merkitys Nämä seuraamukset ovat luonteeltaan henkilökoh- korostuu lähes kaikilla liiketoiminnan alueil- taisia ja kohdistuvat siten aina yksittäiseen henki- la. Henkilötietojen käsittelyyn liittyy paitsi Huolellisuus ei vapauta vahingonkorvausvastuusta mahdollisuuksia, myös riskejä. Riskienhallinta Tietosuojan laiminlyönti voi käydä kalliiksi Mitä tietosuojasäännösten noudattamatta jättäminen maksaa? 2) maineriski ja tästä seuraavat taloudelliset menetykset sekä 3) sopimusperusteinen korvausvastuu. Lisäksi on syytä huomata, että henkilötietojen sääntelyn rikkomisesta ja laiminlyönnistä voi seurata myös rikosoikeudellinen vastuu muun muassa Teksti: Otto Markkanen ja Eija Warma T henkilörekisteririkkomuksen tai henkilörekisteririkoksen muodossa
Käräjäoikeus totesi, ettei työnantaja palkkiot asianajajille ja tietotekniikan asiantuntijoille. kyennyt näyttämään toteen aiheutunutta vahinkoa, Lisäksi tietomurron yhteydessä Sonyn osakkeen hinta eikä korvausta tuomittu maksettavaksi. Vahingonkor- murtojen, aiheuttama maineriski sekä tästä aiheutu- vauslaista johtuvien sääntöjen mukaan vahingonai- vat taloudelliset menetykset. heuttajan on korvattava tällainen vahinko vain laissa Äkillisten tilanteiden, kuten erityisesti tietomur- luetelluissa poikkeustapauksissa. Tapauksen hin- voi sulkea pois. talapuksi on arvioitu jopa 171 miljoonaa dollaria. Vahingon toteennäyttämisen haasteellisuutta Sonyn kärsimiin taloudellisiin tappioihin sisäl- havainnollistaa Helsingin käräjäoikeuden ratkaisu tyvät esimerkiksi korvausten maksaminen niille, vuodelta 2011. 15. Työnantaja oli vaatinut työntekijältä joiden henkilötietoja on viety, yksittäiset markki- vahingonkorvausta väittäen, että työntekijän sosiaa- nointi- ja asiakaskampanjat vanhojen asiakkuuksien lisessa mediassa työnantajastaan esittämät negatiivi- säilyttämiseksi, asiakaspalvelukustannukset, tieto- set ilmaukset olivat aiheuttaneet vahinkoa työnanta- verkon turvallisuuden kehittäminen sekä erinäiset jan toiminnalle. Vaikka tapaus laski pörssissä kokonaisuudessaan 12 prosenttia, mikä sinänsä ei liity henkilötietolain soveltamiseen, on se vastaa noin 3,6 miljardin dollarin arvonmenetystä. omiaan osoittamaan vahingon toteennäyttämisen Vaikka tapaus Sony ei ole suomalainen esimerkki, haasteita tilanteessa, jossa vahingollinen teko on liit- eivätkä kustannukset välttämättä Suomessa nousisi tynyt vain tiedon käsittelyyn. vastaaviin lukemiin, on julkisuudella myös Suomessa ? Sopimukset ovat entistä suuremmassa roolissa tietosuojariskien hallinnassa. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 4/2012 TIETOSUOJA. Esimerkkinä voidaan On siten epäselvää, missä määrin tällainen vahingon- mainita peliyhtiö Sonyyn kohdistuneet tietomurto- korvausvastuu voisi toteutua käytännössä. Niin ikään huono julkisuus täjä on ilman eri perusteita velvollinen korvaamaan voi vaikuttaa kielteisesti liikevaihtoon vaikkapa silloin, kaiken taloudellisen vahingon, jonka vahingon kärsijä kun asiakkaat siirtyvät käyttämään kilpailijayrityksen on voinut näyttää aiheutuneen henkilötietolain nou- palveluita tai lopettavat palvelun käytön. dattamatta jättämisestä. Pahimmillaan suurella julkisuudella voi olla vahin- Suomessa henkilötietolain mukaista vahingonkor- gollisia vaikutuksia jopa yksittäisen yhtiön pörssi- vausvastuuta ei ole sovellettu merkittävissä määrin. kursseihin ja markkina-arvoon. Lainsään- tapaukset vuonna 2011, joissa yhtiön asiakastietoja nös on kuitenkin sovellettavissa, eikä tällaista riskiä varastettiin tietomurron seurauksena. Sen sijaan henkilö- tojen, selvittäminen voi vaatia yritykseltä merkittäviä tietolaissa tällaista rajoitusta ei ole, vaan rekisterinpi- taloudellisia panostuksia. scanstockphoto silloin, kun tämä osoittaa toimineensa kaikin puolin Huono maine karkottaa asiakkaat huolellisesti. Suomessa toistaiseksi merkittävin ja konkreettisin lii- eli rekisterinpitäjä ei voi vapautua vastuusta edes Henkilötietolain säännösten noudattamatta jät- ketoimintaan liittyvä riski henkilötietojen käsittelyssä tämisestä seuraava vahinko on lähes poikkeuksetta on julkisuuteen tulevien tapahtumien, kuten tieto- muuta kuin henkilö- tai esinevahinkoa
\ käsistä. Mikäli ehdotus tulee voimaan lyn ulkoistaminen tarkoittaa tosiasiallisen kontrollin tämän sisältöisenä, voi tietosuojasäännösten noudat- osittaista luovuttamista pois rekisterinpitäjän omista tamatta jättäminen käydä hyvinkin kalliiksi. Toisaalta sopimusperusteiset korvaus- jaa taloudellisia riskejä vastaan. OTM, Otto Markkanen on erikoistunut teknologiaan ja tietosuojaan liittyviin kysymyksiin. Viime toimeksisaaja sitoutuu hyvittämään rekisterinpitä- aikoina on muun muassa havaittu esimerkkejä tilan- jälle tämän kärsimän vahingon. Enimmil- täjä silti rekisteröidylle tai muille kolmansille tahoille lään nämä sanktiomaksut olisivat nykyisen ehdotuk- aiheutuneista vahingoista. sen mukaan jopa 2 prosenttia yrityksen maailmanlaa- Käytännössä kuitenkin henkilötietojen käsitte- juisesta liikevaihdosta. Tällaisella ja tietosuojaan panostamisella onkin havaittu Tulevaisuudessa kovemmat sanktiot? olevan merkittävää vaikutusta asiakkaan ja palvelun- Suomessa henkilötietojen käsittelyn sääntöjen nou- tarjoajan väliseen luottamussuhteeseen. dattaminen on toistaiseksi perustunut suuressa sissa tilanteissa tietosuojasäännösten noudattami- määrin yleiseen lainkuuliaisuuteen eikä niinkään Toimeksisaaja voi joutua korvausvastuuseen kustannusriskien välttämiseen. Vaikka vahinko aiheu- vollisuuden maksaa hallinnollisia sanktiomaksuja tuisi toimeksisaajan toiminnassa, vastaa rekisterinpi- säännösten noudattamatta jättämisestä. Eija Warma on erikoistunut yksityisyydensuojaan ja henkilötietojen käsittelyyn liittyviin kysymyksiin. \ 16?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Toistaiseksi tällaiset kustannusriskit liittyvät suurelta osin kielteisestä jul- Yritykset sopivat tietojenkäsittelypalveluita hankkies- kisuudesta koituvaan taloudelliseen vahinkoon. saan yhä enenevässä määrin nimenomaisesti myös Varsinaiset henkilötietolain nojalla tuomittavat tietosuojaan liittyvistä kysymyksistä. Sopimuksilla on siten teista, joissa asiakkaat lopettavat palvelun käytön tai yhä merkittävämpi rooli myös tietosuojasäännösten vaihtavat palveluntarjoajaa, mikäli palveluntarjoa- riskienhallintamekanismina. jan tietosuojassa on epäilty olevan puutteita. Kuten yllä mainitusta vastuut ja niihin liittyvät riskit ovat yleistymässä, ja Sonyn tapauksesta käy ilmi, henkilötietojen käsitte- sopimuksia käytetään riskienhallinnan keinona myös lyyn ja erityisesti tietovuotoihin liittyvät vahingot voi- henkilötietojen käsittelyssä. vat olla taloudellisesti huomattavia. Tulevaisuudessa tilanne saattaa kuitenkin muut- Erityisenä esimerkkinä voidaan mainita henkilötie- tua. Henkilötietolain mukaan koskevaksi asetukseksi. Pelkästään vahingonkorvaukset puolestaan ovat suhteellisen sovellettavan lain ei katsota tarjoavan riittävää suo- harvinaisia. Riskienhallinta merkittävä vaikutus yhtiöiden liiketoimintaan. Nykymuodossaan se toisi rekisterinpitäjä ei voi ulkoistaa lainmukaista vastuu- rekisterinpitäjille ja henkilötietojen käsittelijöille vel- taan kolmannelle osapuolelle. Euroopan komissio on tammikuussa 2012 anta- tojen käsittelyn ulkoistamiseen liittyvät palvelusopi- nut ehdotuksensa uudeksi henkilötietojen sääntelyä mukset, kuten pilvipalvelut. Tämän vuoksi osapuolet sopivat sopimuksin yhä enenevässä määrin siitä, miten ja missä tilanteissa kirjoittajat Lue lisää maineriskistä seuraavalta sivulta. Kirjoittajat työskentelevät Asianajotoimisto Castrén & Snellman Oy:ssä. Asianajaja, LL.M
Erityistä huomiota pitää kiin- turvan hoidosta. \ mäinen askel. Sii- panostuksia. Tietoturvaloukkaus on riski myös maineelle Kriisiskenaarion teko ja harjoittelu antavat hyvät edellytykset selvitä hallitusti tietosuojaloukkausten aiheuttamista imagokolhuista. Teksti: Marjo Rautvuori M aine on herkkä kokonaisuus. nittää ?entä jos. Se ei onnistu palokunnaltakaan ilman neen menetys voi olla kuolinisku yrityksen tijat hallitse aina kokonaisuutta. Tarvitaankin oivallusta, johdonmukaista toimintaa, kou- koko toiminnalle. koko organisaation tietotaito, kun mieti- lutusta ja harjoittelua. Meillä Suomessa yritysjohto ei vieläkään tiedosta riittävästi tietosuojaloukkauksiin liittyviä riskejä, vaikka tietoisuus onkin lisääntynyt. tään, mihin kaikkeen tietosuojaloukkausten uhka tai toteutuminen voi vaikuttaa.? Vältä perusvirheet Kirjattu riskienhallintasuunnitelma ohjeistaa ja antaa toimintamalleja ja työkaluja, mutta vasta kunnollinen harjoittelu takaa riittävät valmiudet tositilanteessa. Se kuitenkin ymmärretään, että tieto- Siikanivan mielestä suuri osa kriiseistä ei Silloin jokaiselle on selvää oma rooli ja sen vuoto on kolaus yrityksen maineelle. Heikkoja signaaleja ei noteerata eikä Hyvä maine kestää kolhujakin vuotaneisiin yrityksiin. omassa organisaatiossa olevaa tietoa huo- Tommi Siikanivan kokemuksen mukaan mioida ja hyödynnetä.? aikaa riskikartoituksen ja riskienhallinta- Kartoita riskit Tietosuojauhkiin kannattaakin varautua paitsi tietojen suojaamisen, myös maineen- Kun sitten kriisi iskee, sen hoidossa tehdään kolme perusvirhettä: suunnitelman tekoon kuluu pari kolme kuukautta, ja työ vaatii organisaatiolta selkeitä ?Asiaan reagoidaan liian myöhään. Siikaniva työskentelee maineenhal- Kun organisaation riskienhallintasuunnitelma on kerran tehty, sen mukaan on toimittava, sitä on päivitettävä ja valmiuksia lintaan erikoistuneessa konsulttitoimisto Palokuntakin harjoittelee Pohjoisranta Burson-Marstellerissä. Suuri osa kriiseistä tulee yrityksen sisältä. tetaan parhaiten se, että maine vahvistuu. Riskien ja niiden todennäköisyyksien Tietosuojaloukkausten uhriksi joutumisessa Eikä hyvä maine romutu pienistä kolhuis- arviointi on riskienhallintamatkan ensim- ei kuitenkaan ole aina kyse huonosta tieto- takaan. Taitava hakkeri tunkeutuu ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i on ylläpidettävä aktiivisesti. 17. Tänä synny lainkaan itse tilanteesta vaan siitä, edellyttämät toimet, vastuut ja velvoitteet. vuonna suomalaisille yritysjohtajille teh- että tilanteeseen suhtaudutaan löysästi: dyssä kyselyssä valtaosa oli sitä mieltä, että ?Luotausmekanismit eivät ole kun- mediajulkisuus vaikuttaa kielteisesti tietoja nossa. -kriisiskenaarioihin ja niiden kyllä järjestelmään kuin järjestelmään, jos Sen voi menettää hetkessä perusteelliseen perkaukseen. Toimia ei voi kokonaan ulkois- hen ei suhtauduta riittävän vakavasti, ja taa, vaikka asiantuntija-apua kannattaakin Viestintäkonsultti ja partner Tommi Sii- käyttäytymisestä uupuu aito välittäminen. hyödyntää. kanivan mukaan ennakointiin ja ongelmien Ja kolmanneksi, tietoa ei anneta riittävästi hoitoon soveltuvat yleiset kriisiviestinnän ja avoimesti.? hallinnan kannalta. ohjeet. Eivät edes IT-asiantun- hyvin. Näin varmis- 4/2012 TIETOSUOJA. Myös nopeu- haluaa. pistämällä ongelmatilan- den vaatimus korostuu. Syttymissyystä riippumatta tulipalo on teessa pään pensaaseen tai ?Vaikeuskerrointa lisää tietosuoja-asioi- sammutettava mahdollisimman ripeästi ja lausumalla pari harkitsematonta sanaa. Mai- den moniulotteisuus
Riskienhallinta Varaudu riskeihin 18?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Myös vaatimustenmukaisuuden hallinta projekteihin ja turvallisuuteen. Lagus R iskienhallinta ei koostu pelkästään riskeistä vaan myös mahdollisuuksista. Kun näitä tarkastel- voidaan kytkeä riskienhallintaan. Vaatimukset pitää laan yhdenmukaisin välinein, voi johto ottaa kantaa huomioida riskeinä: mitä tehdään, jos vaatimus ei oikeisiin asioihin. toteudukaan toivotulla tavalla? Riskienhallinta tulisi sisällyttää niin strategiselle Riskienhallinnassa on useita osatekijöitä, mikä tasolle kuin vuosisuunnitelmien ja projektien sekä merkitsee, että kunkin organisaation pitää selvittää vaikkapa tiedon turvaamisen tasolle. asiat omista lähtökohdistaan. Riskit voivat liittyä esimerkiksi organisaation toimintaan, toimintaympäristöön, talouteen, hen- Johdolle tarvitaan tarpeellista tietoa päätöksen- kilöstöön, prosesseihin, toimittajiin, alihankkijoihin, teon tueksi. Näin ne tehdään ymmärrettä- Tärkeää on, että viitekehys, kuten riskienhallintapo- viksi.? litiikka, on mietitty, sillä muuten riskienhallintatyö Sopii kaikenkokoisille Riskienhallinnan käsitteestä on paljon eri tulkintoja. alkaa rönsyillä eri suuntiin, eivätkä siitä saatavat hyödyt ole parhaiten ulosmitattavissa.? Moni mieltää sen teknisen tason asiaksi. Kansainvälisillä 4/2012 TIETOSUOJA. KAAPO KAMU Tietoturvaloukkaus on riski, joka voi toteutua. Fiksu organisaatio ehkäisee riskejä johdonmukaisella riskienhallinnalla. Teksti: Antti J. Riskienhallinta on monessa Euroopan ulottua koko organisaation toimintaan. maassa Suomea pidemmällä, minkä vuoksi sen järjestämisestä saatetaan kysyä yhteistyökuvioita aloi- ITELLA tettaessa. ?Riskienhallinnan rakentaminen aloitetaan ylhäältä alaspäin?, neuvoo Itellan turvallisuusja riskienhallintajohtaja Markku Rajamäki. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i Jos vaikkapa eurooppalaisille markkinoille tähtäävässä yrityksessä ei ole hoidettu asioita systemaattisesti, eteen voi tulla hankaluuksia. Riskienhallinnan sateenvarjon pitää kuitenkin mintakenttä. Kun tunnistetaan riskit, löydetään mahdollisuudet ?Myös uusien ja pienten yritysten pitäisi ajatella riskejä heti alusta lähtien?, sanoo Viestintäviraston turvallisuuspäällikkö Jani Arnell. päästä tavoitteeseen tai saavuttaa toivottu tilanne. 19. Sen sijaan Osa laadunvarmistusta taloudelliset riskit ovat luonteeltaan kovin toisen- On myös tärkeää miettiä, mikä on organisaation toi- laisia. Viestintäviraston tur- Itellassa riskienhallintatyö on kiinnitetty muun muassa strategia- ja vuosisuunnitteluprosessiin. vallisuuspäällikkö Jani Arnellin mukaan riskienhallinta sopii kaikenkokoisille yrityksille. ?Olemme selvittäneet, mitä riskejä liittyy yrityksen ?Myös aloittavissa ja pienemmissä yrityksissä strategisiin tavoitteisiin?, turvallisuus- ja riskienhallin- pitäisi ajatella riskejä, muun muassa tietoa ydinosaa- tajohtaja Markku Rajamäki sanoo. misesta sekä avainhenkilöiden lähtöä, jo alusta läh- ?Kun riskit on tunnistettu, niiden todennäköisyys tien?, Arnell sanoo. ja vaikutus arvotetaan, minkä jälkeen riskit priorisoi- ?Käytännön tapoja toteuttaa on monenlaisia. daan ja vastuutetaan
Ylhäältä lähdettäessä aiheesta enemmän myös johdon kiinnittäminen prosessiin on helpompaa. ?Itella on prosessitalo, jossa toiminta usein ylittää liiketoiminnan sisäisiä rajaaitoja. \ Toinen kompastuskivi riskienhallinnan rakentamisessa saattaa hänen mukaansa olla se, että sitä lähdetään rakentamaan yksityiskohdista. Riskinottokyky voidaan sitoa myös esimerkiksi yrityksen taseeseen tai liikevaihtoon. Aika usein tällöin on kyse siitä, että riskienhallinnan toteutus on jäänyt puolitiehen. ?Jos riskienhallinta näyttää ylimääräiseltä, se johtuu usein siitä, ettei sitä ole Millainen on riskinkantokyky? Keskeisiä riskejä tulee verrata riskinkantokykyyn. Esimerkiksi finanssialalla säätely ja sen myötä tarve riskienhallintatyölle lisääntyy todennäköisesti entisestään. Älä jätä puolitiehen Riskienhallintaa pidetään joskus pakollisena pahana. Toiminta helpottuu, kun on olemassa koko organisaation toimintatavat?, Pk-yrityksen riskienhallintasivusto: www.pk-rh.fi Eurooppalainen riskienhallinnan tietopankki menetelmistä ja työkaluista www.enisa.europa.eu/rmra \ Rajamäki sanoo. Merkittäviä riskejä voivat olla myös jonkun avainhenkilön poistuminen tai imagon vahingoittuminen. viety loppuun saakka eli olennaiseksi osaksi tuettavaa prosessia, esimerkiksi strategiaa tai projektinhallintaa. Organisaation on pyrittävä hallitsemaan riskejään niin, että kokonaisuus pysyy kantokyvyn puitteissa. Tämä voi joskus edellyttää myös sitä, että joitakin riskejä täytyy poistaa kokonaan esimerkiksi lakkauttamalla niihin liittyvä projekti. Mitkä riskit ovat liikaa? Kokonaisuuteen liittyy myös riskinottohalu; ylimmän johdon määritelmä siitä, millaisia riskejä organisaatio ei halua toiminnassaan ottaa. Kun kaikki toimivat yhden toimintamallin mukaan, ei yritykseen synny useita saarekkeita, joilla kullakin on vähän erilainen näkökulmansa. Riskienhallinta ? Myös aloittavien ja pienten yritysten tulisi ajatella riskejä. kentillä kannattaakin Arnellin mielestä hyödyntää siellä tunnettuja välineitä yhteensopivuuden varmistamiseksi. Se, miten säännelty toimiala on, vaikuttaa paljon riskienhallintaan. \ 20?TIETOSUOJA 4/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Lähestymistavan pitää olla ylhäältä alaspäin. Riskienhallinnan on oltava osa organisaation toiminnanohjausta. Monesti Riskienhallinnan peruspilarit Määrittele tavoitteet Johdolla pitää olla käytettävissään tarpeellinen tieto esimerkiksi tavoitteita uhkaavista riskeistä, jotta löydetään tavat, joilla päästään tavoitteisiin. Kun tavoitteet on määritelty, tarvitaan politiikka ja organisaatio ja menetelmät sekä raportointitavat. riskienhallinta myös kytketään osaksi laadunvarmistustyötä. Monissa tilanteissa ei tarvitsekaan puhua riskienhallinnasta vaan on kyse johtamisen osasta?, Itellan Markku Rajamäki sanoo. Yhteinen toimintamalli Kun riskienhallinnan peruspilarit on selvitetty, voidaan viitekehikkoa käyttää erilaisten riskien, kuten tietojärjestelmäriskien, vakavuuden arviointiin organisaatiotasoisesti. Monille yrityksille riskienhallinta tulee ulkoisena vaatimuksena