Post on 06-Aug-2020
Pikaopas
Tietoturva, GDPR ja NIS
Version 3.0
GDPR – henkilötietojen suojaus EU:n uusi tietosuoja-asetus tuli voimaan 25.5.2018 kaikissa EU-valtioissa. Asetus syrjäyttää ja korvaa aikaisemman henkilötietojen käsittelyä koskevan lainsäädännön ja yhtenäistää näin koko EU:n tietosuojalainsäädäntöä. Se vahvistaa yksilöiden oikeutta ja kykyä valvoa henkilökohtaisia tietojaan ja yksityisyyttään. Uusi lainsäädäntö asettaa entistä tiukempia vaatimuksia henkilötietoja käsitteleville osapuolille. Organisaatiolle, joka ei noudata lainsäädäntöä ja paljastaa henkilötietoja sivullisille (esimerkiksi tietomurron takia), voidaan määrätä sakko, joka on enintään 4 prosenttia organisaation vuotuisesta liikevaihdosta tai 20 miljoonaa euroa.
Uusi laki velvoittaa organisaatioita raportoimaan henkilötietovuodoista, jos organisaatio joutuu tietomurron kohteeksi.
Henkilötietojen turvallisuuden varmistamiseksi vaaditaan asianmukainen tietoturvainfrastruktuuri, joka varmistaa henkilötietoja jatkuvasti käsittelevien järjestelmien eheyden. Useimmat IT-ympäristöt muodostuvat keskenään yhteydessä olevien tietokoneiden ja palvelinten verkostosta, joten koko IT-verkoston tietoturva on varmistettava suojauksen tehokkuuden takaamiseksi.
Esimerkki
Hakkeri murtautuu verkkosovellukseen ja pääsee sisälle tietokantaan. Hakkeri tallentaa itselleen henkilötietoja, kuten nimiä ja sähköpostiosoitteita. Kun tapauksesta tehdään ilmoitus, se katsotaan henkilötietovuodoksi, josta voidaan langettaa sakkoja.
Tietoja GDPR:stä
GDPR (EU:n yleinen tietosuoja-asetus)
Tuli voimaan 25.5.2018
Sovelletaan koko EU:ssa
Sääntelee henkilötietojen käsittelyä
Toimii paikallisen lainsäädännön perustana jokaisessa EU-maassa
Korvaa aikaisemman lainsäädännön
Lisää epäsuorasti tietoturvavaatimuksia
GDPR toi mukanaan ongelmatapauksista ilmoittamisen vaatimukset
Sakko enintään 4 % liikevaihdosta tai 20 miljoonaa euroa
NIS – Tietoturvan lailliset vaatimukset EU:n uusi verkko- ja tietoturvadirektiivi (NIS) tuli voimaan toukokuussa 2018. NIS-direktiivin tarkoituksena on, että kaikkien organisaatioiden, jotka vastaavat yhteiskunnallisesti tärkeistä asioista, kuten vesi- ja energiavaroista, kuljetuksista, terveydenhoidosta, tietoliikenneyhteyksistä ja rahoituspalveluista, on osoitettava, että ne valvovat ja suojaavat jatkuvasti IT-ympäristöään. Direktiivin lähtökohtana on kaikentyyppisiin organisaatioihin kohdistuvien kyberuhkien lisääntyminen. Uhat ovat pääasiassa peräisin ulkoisilta kolmansilta osapuolilta.
Esimerkkejä uhanalaisista kohteista:
• Sähkölaitokset
• Vesilaitokset
• Lentoyhtiöt
• Junayhtiöt
• Sairaalat
• Televiestintäalan yritykset
• Pankit
Esimerkki
Yrityksen, joka toimittaa kansalaisille sähköä, on pystyttävä osoittamaan, että se ylläpitää IT-ympäristönsä suojausta jatkuvasti. Sellaisista palvelun väärinkäytöksistä tai keskeytyksistä, jotka voidaan yhdistää tietoturvan puutteisiin, voi olla vakavia seuraamuksia yritykselle.
Tietoja NIS-direktiivistä
Verkko- ja tietoturva (NIS)
Tuli voimaan elokuussa 2018
Sovelletaan koko EU:ssa
Toimii paikallisen lainsäädännön perustana jokaisessa EU-valtiossa
Sovelletaan kaikkiin organisaatioihin, jotka vastaavat yhteiskunnallisesti tärkeistä asioista
Edellyttää järjestelmällistä ja jatkuvaa tietoturvan kehittämistä
Kunkin organisaation vastuulla on osoittaa, että se noudattaa lainsäädäntöä
Kuinka voimme auttaa Haavoittuvuuksien arviointialusta Holm Security VMP auttaa täyttämään tietoturvan uudet suositukset, lain vaatimukset ja direktiivit.
• Parannettu tietoturva – ilman suurta työmäärää Autamme parantamaan tietoturvaa automatisoiduilla ja jatkuvilla haavoittuvuusanalyyseillä, jotka tarkistavat IT-ympäristön yli 52 000 haavoittuvuuden sekä henkilötietovuotojen varalta. Pitkälti automatisoidut prosessit tekevät IT-ympäristön suojauksen ylläpidosta erittäin vaivatonta yritykselle.
• Havaitse haavoittuvuudet ennen niiden hyväksikäyttöä Holm Security VMP auttaa havaitsemaan haavoittuvuudet ennen hakkereita tai muita ilkivaltaisia aikeita omaavia. Autamme yrityksiä pysymään rikollisten edellä. Tästä esimerkkinä alustamme havaitsi WannaCryn hyödyntämän haavoittuvuuden.
• Jatkuva ja järjestelmällinen suojaus Holm Security VMP edistää jatkuvaa ja järjestelmällistä tietoturvan kehittämistä tehokkaalla automaatiolla.
• Perusteellinen käsitys ja ymmärrys tietoturvan tilasta Alustan tuottamien tilastojen ja raporttien avulla saat hyvän käsityksen organisaatiosi tietoturvan tilasta. Raportit voidaan myös suunnitella ja räätälöidä määrättyjen alojen ja kohderyhmien mukaan, esimerkkinä tärkeimpien tietoturvatilastojen yhteenveto yritysjohdolle.
Lue lisää Holm Security VMP -alustasta osoitteessa www.holmsecurity.fi
Holm Security VMP Verkon tarkistus
Ulkoisten ja paikallisten järjestelmien automatisoitu ja jatkuva haavoittuvuusarviointi. Pilvipalvelu ja virtuaalisovellus paikallisia tarkistuksia varten.
Verkkosovellusten tarkistus
Verkkosovellusten ja -sivustojen automatisoitu ja jatkuva tietoturvatarkistus. Lukuisia testejä, esim. OWASP Top 10 -haavoittuvuudet.
Petosriskin arviointi
Käyttäjien haavoittuvuusarviointi asiakkaan IT-ympäristössä sen selvittämiseksi, kuinka hyvin he pystyvät vastustamaan manipulointia, kuten tietojenkalastelua, kohdennettua verkkourkintaa ja kiristysohjelmien hyökkäyksiä.
Käytännön esimerkkejä Tietoturvakeskuksessa on monia ominaisuuksia, jotka auttavat täyttämään GDPR-vaatimukset. Ominaisuuksien avulla voit vaivatta tarkistaa, hallita ja luoda haavoittuvuusraportteja laitteissa, jotka käsittelevät henkilötietoja. Voit myös määrittää nämä järjestelmät vastaanottamaan automaattisia ilmoituksia ja hälytyksiä.
Laitteiden ryhmitys
Tunnisteiden avulla voit ryhmittää henkilötietoja käsittelevät laitteet. Sen jälkeen voit käyttää tunnisteita tarkistuksissa ja raporteissa.
Ilmoitukset ja hälytykset
Jatkuvan valvonnan avulla voit havaita haavoittuvuudet henkilötietoja käsittelevissä laitteissa. Jos tarkistuksessa havaitaan haavoittuvuus tai järjestelmän muutos, asiasta tehdään ilmoitus ja hälytys automaattisesti.
Raportit
Voit esimerkiksi ajoittaa viikoittaiset haavoittuvuusraportit henkilötietoja käsittelevistä laitteista.