Tietoturva ja tietosuoja ovat olleet pinnalla viimeisen parin vuoden ajan erityisen paljon GDPR:stä eli EU:n yleisestä tietosuoja-asetuksesta johtuen. Niin yritykset kuin julkiset organisaatiot ovat joutuneet kehittämään toimintaansa ottaen huomioon uuden lainsäädännön vaatimukset. Samalla on herätty kehittämään tietoturvaa laajemminkin kuin vain henkilötietojen käsittelyn osalta. Tietojärjestelmien ja palveluiden hankintavaiheessa voidaan vaikuttaa tietoturvan ja tietosuojan toteutumiseen kustannustehokkaammin kuin jättämällä niiden huomiointi myöhempään ajankohtaan.

Marraskuussa julkaistun Keskuskauppakamarin juridiikkakatsauksen mukaan EU-alueella on annettu yhteensä jo lähes 100 sakkoa organisaatioille, jotka eivät ole huomioineet Tietosuoja-asetuksen vaatimuksia riittävällä tasolla. Sakkoja on jaettu niin huonosti toteutetun tietoturvan vuoksi kuin myös rekisteröityjen oikeuksien laiminlyönnistä tai ilmoitusvelvollisuuden rikkomisesta. Suurimmat sakot ovat olleet yli 200 miljoonaa euroa.

Tietoturvaa ja tietosuojaa kehitettäessä tuleekin tarkastella niin sisäisiä prosesseja, kuin tiedonkäsittelyyn käytettäviä tietojärjestelmiä ja ulkoisia palvelutoimittajia. Kun organisaatiossa ollaan hankkimassa esimerkiksi uutta tietojärjestelmää, tulee tietoturvaa ja tietosuojaa tarkastella erityisellä huolellisuudella. Hankintavaiheessa voidaan saavuttaa myös taloudellisiakin hyötyjä, sillä järjestelmän toimittajalle voidaan asettaa vaatimuksia tietoturvan ja tietosuojan osalta siten, että niiden aiheuttamiin kustannuksiin on vielä mahdollista vaikuttaa.

Riskienhallinta on pohjana tietoturvan ja tietosuojan kehittämiselle

Niin tietosuoja-asetuksessa kuin tietoturvaan liittyvissä standardeissakin korostetaan riskilähtöistä toimintamallia. Tämä tarkoittaa sitä, että kaikessa tietojen käsittelyyn liittyvässä toiminnassa tulee arvioida tiedon turvallisuutta vaarantavia riskejä, ja pyrkiä löytämään niiden aiheuttamille uhkille erilaisia hallintakeinoja jo etukäteen. Näiden hallintakeinojen avulla voidaan joko ennaltaehkäistä riskien toteutumista, tai riskin toteutuessa voidaan siitä aiheutuvia haittavaikutuksia pienentää reagoimalla uhkaan oikealla tavalla.

Riskienarviointia tulee tehdä niin sisäisen toiminnan, kuin ulkoistettujen palvelujen ja tietojärjestelmien osalta. Sisäisessä toiminnassa tyypillisiä uhkatekijöitä ovat työntekijöiden turhan laajat pääsyoikeudet eri tietojärjestelmiin ja niiden kautta esimerkiksi arkaluonteisiin henkilötietoihin. Tällöin työntekijä voi omalla toiminnallaan, joko vahingossa tai tahallisesti, aiheuttaa erilaisia tietosuojaongelmia, kuten muuttaa tai tuhota tietoja, tai vaikkapa tarpeettomasti katsella asiakastietoja.

Ulkoistettujen palvelu- tai järjestelmätoimittajien osalta uhkakenttä laajenee nopeasti oman organisaation ulkopuolelle, pilvipalvelujen kautta jopa globaalisti. Tällöin organisaation sisäisillä toimenpiteillä ei välttämättä pystytä enää hallitsemaan kaikkia riskejä, vaan niitä tulee pystyä hallitsemaan myös ulkoisten sidosryhmien näkökulmasta. Ulkoisten uhkien suhteen riskienhallinnassa tuleekin kiinnittää erityistä huomiota siihen, millä tavoin näihin uhkiin voidaan sopimuksellisesti varautua jo järjestelmän tai palvelun hankintavaiheessa.

Hankintavaihe on otollinen hetki kehittää tietosuojaa ja tietoturvaa kustannustehokkaasti

Asettamalla järjestelmätoimittajalle tietoturvaa ja tietosuojaa koskevia vaatimuksia jo kilpailutusvaiheessa, voidaan potentiaalisten toimittajien ratkaisuja arvioida ja vertailla helpommin myös turvallisuuden näkökulmasta. Vertailun vuoksi, jos vaaditaan yksinkertaisesti vain, että ”järjestelmän tietoturvan tulee olla kunnossa”, on toimittajan vastauskin usein niin yleisluontoinen, ettei tarjotun järjestelmän turvallisuudesta voida vetää kunnollisia johtopäätöksiä. Kun vaatimukset pureutuvat yksityiskohtaisemmin eri tietoturvan osa-alueisiin, kuten tiedon salaukseen tai varmuuskopiointiin liittyviin suojauskeinoihin, päästään toimittajan kanssa keskustelemaan konkreettisemmin ratkaisun turvallisuuteen liittyvistä kysymyksistä.

Tuomalla tietoturvaan liittyvät vaatimukset keskusteluun jo hankintavaiheessa, voidaan vaikuttaa myös hankinnan kohteen koko elinkaaren aikaisiin kustannuksiin. Usein tietoturvaan liittyviä ominaisuuksia voidaan kyllä ottaa järjestelmässä helposti käyttöön jälkikäteenkin, mutta hankinnan jälkeen toimittajan on helpompi pyytää siitä ylimääräistä lisähintaa, koska järjestelmä on jo organisaatiolla aktiivisessa käytössä. Neuvotteluvoimaa on tällöin turhaan luovutettu järjestelmän toimittajalle.

Aina ei kuitenkaan saada kaikkia vaatimuksia täyttävää järjestelmää hankittua. Organisaation sisäisen riskienhallinnan kannalta onkin tärkeää ymmärtää, mitä tietoturvavaatimuksia toimittajan ratkaisu täyttää. Tällöin jäljelle jääneitä riskejä voidaan tarvittaessa hallita omaa toimintaa tai ICT-ympäristöä kehittämällä, esimerkiksi ottamalla korvaavia tai täydentäviä tietoturvaratkaisuja käyttöön hankittavan järjestelmän ympärille.

Kyberturvallisuuskeskus on julkaissut uusia työkaluja hankintojen tietoturvaan

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on juuri julkaissut konkreettisen työkalun, jonka avulla tietoturva- ja tietosuojavaatimuksia voidaan ottaa käyttöön kaikissa organisaatiossa. Vaatimuslistaa on kehitetty Huoltovarmuuskeskuksen kehityshankkeissa vuosien varrella useiden asiantuntijoiden toimesta eri toimialoille. Viimeisin kehittämistyö on tehty sosiaali- ja terveydenhuollon toimialalle Kyber-Terveys-hankkeessa. Vaatimuslista löytyy Kyberturvallisuuskeskuksen sivuilta ”Ohjeet ja oppaat”-osiosta.

Kuinka näitä tietoturva- ja tietosuojavaatimuksia voidaan sitten paremmin ottaa huomioon omassa organisaatiossa? Työ vaatii organisaatiolta paneutumista ja osaamista tietoturvaan ja riskienhallintaan liittyvissä asioissa. Tarvittaessa voidaan käyttää ulkoista asiantuntijaa esimerkiksi hankintavaiheessa näitä asioita määrittelemään. Panostus tietoturvavaatimusten parempaan huomiointiin voi kuitenkin tuottaa nopeitakin hyötyjä organisaatiolle niin parantuneen tietoturvan ja tietosuojan kuin niihin liittyvien kustannustenkin näkökulmasta.

Ota yhteyttä niin keskustellaan, kuinka voimme laittaa yhdessä teidän hankintaprosessinne kuntoon huomioimaan paremmin tietoturva- ja tietosuojavaatimukset hankinnoissanne! Meillä on fokus tietoturvan ja tietosuojan kehittämisessä.