Tietosuoja
Tietosuoja-asetus velvoittaa yrityksiä raportoimaan mahdollisista tietoturvaloukkauksista
Tietovuotojen havaitseminen perustuu yleisesti päätelaitteiden ja verkkoliikenteen datan keräämiseen, saapuvan datan käsittelyyn ja analysointiin sekä tiedon varastointiin.
EU:n yleinen tietosuoja-asetus eli GDPR (General Data Protection Regulation) otettiin käyttöön keväällä 2018. Tätä asetusta täydentävä kansallinen tietosuojalaki astui voimaan alkuvuodesta 2019. Asetuksen tarkoitus on suojella henkilön oikeuksia ja vapauksia henkilötietoja käsiteltäessä ja sitä sovelletaan kaikkeen henkilötietojen käsittelyyn.
Henkilötietojen käsittelyllä tarkoitetaan niiden kaikkea keräämistä, tallentamista, säilyttämistä, muokkaamista, muuttamista, hakemista, käyttämistä, luovuttamista, jäsentämistä. Näiden tietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta.
Lisätietoja löydät EU:n virallisilta verkkosivuilta
NIS2-direktiivi on EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö. Siinä säädetään oikeudellisista toimenpiteistä kyberturvallisuuden yleisen tason parantamiseksi EU:ssa. Vuonna 2016 käyttöön otettuja EU:n kyberturvallisuussääntöjä päivitettiin verkko- ja tietoturvadirektiivillä, joka tuli voimaan vuonna 2023.
Laajentamalla kyberturvallisuussääntöjen soveltamisalaa uusiin aloihin ja toimijoihin se parantaa edelleen julkisten ja yksityisten tahojen, toimivaltaisten viranomaisten ja koko EU:n häiriönsietokykyä ja reagointivalmiuksia.
Lisätietoja löydät EU:n virallisilta verkkosivuilta
JMJ Lokivahti -työkalulla useasta eri lähteestä kerättyä tilannetietoa analysoidaan yhdessä paikassa ja epäilyttävistä huomioista generoidaan hälytyksiä (esimerkiksi epäonnistuneet kirjautumisyritykset pääkäyttäjän tunnuksilla epätavallisesta sijainnista epätavalliseen aikaan). Tämä mahdollistaa tehokkaan puuttumisen tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn.
JMJ Lokivahti vastaa EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimuksiin, jossa tietosuojan tulee ulottua organisaation liiketoimintaprosesseihin, tietoverkkoihin ja sovelluksiin. GDPR sisältää myös ilmoitusvelvollisuuden tietoturvaloukkauksista. Organisaatiolla on velvollisuus ilmoittaa viranomaisille 72 tunnin kuluessa, jos epäillään mahdollista tietovuotoa.
Tietosuojaperiaatteet
GDPR:n mukaiset tietosuojaperiaatteet tarkoittavat, että henkilötietoja on käsiteltävä lain- ja asianmukaisesti sekä rekisteröidyn kannalta läpinäkyvästi.
Henkilötietoja on kerättävä ja käsiteltävä vain tarpeellinen määrä tiettyä ja nimenomaista tarkoitusta varten. Virheelliset tiedot on poistettava tai oikaistava viipymättä. Henkilötietoja on käsiteltävä turvallisesti ja luottamuksellisesti aina.
Ilmoitusvelvollisuus
Organisaation ilmoitusvelvollisuus on 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi mahdollisesta tietoturvaloukkauksesta.
Henkilötietojen tietoturvaloukkauksesta tai sen epäilystä täytyy ilmoittaa viranomaisille, jos loukkauksesta voi aiheutua riski henkilöiden oikeuksille ja vapauksille.
Miten havaita tietovuodot?
Tietovuotojen havaitseminen perustuu yleisesti päätelaitteiden ja verkkoliikenteen datan keräämiseen, saapuvan datan käsittelyyn ja analysointiin sekä tiedon varastointiin. Jos käytössä ei ole työkaluja millä dataa tutkia, on tietovuotojen havaitseminen ajoissa mahdotonta.
JMJ Lokivahti -työkalulla pystytään analysoimaan kerättyä dataa ja työkalu hälyttää havaitessaan ongelmia esim. sisäänkirjautumisissa tai tapahtumissa.
