Pikaopas

Tietoturva, GDPR ja NIS

Version 3.0

GDPR – henkilötietojen suojaus EU:n uusi tietosuoja-asetus tuli voimaan 25.5.2018 kaikissa EU-valtioissa. Asetus syrjäyttää ja korvaa aikaisemman henkilötietojen käsittelyä koskevan lainsäädännön ja yhtenäistää näin koko EU:n tietosuojalainsäädäntöä. Se vahvistaa yksilöiden oikeutta ja kykyä valvoa henkilökohtaisia tietojaan ja yksityisyyttään. Uusi lainsäädäntö asettaa entistä tiukempia vaatimuksia henkilötietoja käsitteleville osapuolille. Organisaatiolle, joka ei noudata lainsäädäntöä ja paljastaa henkilötietoja sivullisille (esimerkiksi tietomurron takia), voidaan määrätä sakko, joka on enintään 4 prosenttia organisaation vuotuisesta liikevaihdosta tai 20 miljoonaa euroa.

Uusi laki velvoittaa organisaatioita raportoimaan henkilötietovuodoista, jos organisaatio joutuu tietomurron kohteeksi.

Henkilötietojen turvallisuuden varmistamiseksi vaaditaan asianmukainen tietoturvainfrastruktuuri, joka varmistaa henkilötietoja jatkuvasti käsittelevien järjestelmien eheyden. Useimmat IT-ympäristöt muodostuvat keskenään yhteydessä olevien tietokoneiden ja palvelinten verkostosta, joten koko IT-verkoston tietoturva on varmistettava suojauksen tehokkuuden takaamiseksi.

Esimerkki

Hakkeri murtautuu verkkosovellukseen ja pääsee sisälle tietokantaan. Hakkeri tallentaa itselleen henkilötietoja, kuten nimiä ja sähköpostiosoitteita. Kun tapauksesta tehdään ilmoitus, se katsotaan henkilötietovuodoksi, josta voidaan langettaa sakkoja.

Tietoja GDPR:stä

GDPR (EU:n yleinen tietosuoja-asetus)

Tuli voimaan 25.5.2018

Sovelletaan koko EU:ssa

Sääntelee henkilötietojen käsittelyä

Toimii paikallisen lainsäädännön perustana jokaisessa EU-maassa

Korvaa aikaisemman lainsäädännön

Lisää epäsuorasti tietoturvavaatimuksia

GDPR toi mukanaan ongelmatapauksista ilmoittamisen vaatimukset

Sakko enintään 4 % liikevaihdosta tai 20 miljoonaa euroa

NIS – Tietoturvan lailliset vaatimukset EU:n uusi verkko- ja tietoturvadirektiivi (NIS) tuli voimaan toukokuussa 2018. NIS-direktiivin tarkoituksena on, että kaikkien organisaatioiden, jotka vastaavat yhteiskunnallisesti tärkeistä asioista, kuten vesi- ja energiavaroista, kuljetuksista, terveydenhoidosta, tietoliikenneyhteyksistä ja rahoituspalveluista, on osoitettava, että ne valvovat ja suojaavat jatkuvasti IT-ympäristöään. Direktiivin lähtökohtana on kaikentyyppisiin organisaatioihin kohdistuvien kyberuhkien lisääntyminen. Uhat ovat pääasiassa peräisin ulkoisilta kolmansilta osapuolilta.

Esimerkkejä uhanalaisista kohteista:

• Sähkölaitokset

• Vesilaitokset

• Lentoyhtiöt

• Junayhtiöt

• Sairaalat

• Televiestintäalan yritykset

• Pankit

Esimerkki

Yrityksen, joka toimittaa kansalaisille sähköä, on pystyttävä osoittamaan, että se ylläpitää IT-ympäristönsä suojausta jatkuvasti. Sellaisista palvelun väärinkäytöksistä tai keskeytyksistä, jotka voidaan yhdistää tietoturvan puutteisiin, voi olla vakavia seuraamuksia yritykselle.

Tietoja NIS-direktiivistä

Verkko- ja tietoturva (NIS)

Tuli voimaan elokuussa 2018

Sovelletaan koko EU:ssa

Toimii paikallisen lainsäädännön perustana jokaisessa EU-valtiossa

Sovelletaan kaikkiin organisaatioihin, jotka vastaavat yhteiskunnallisesti tärkeistä asioista

Edellyttää järjestelmällistä ja jatkuvaa tietoturvan kehittämistä

Kunkin organisaation vastuulla on osoittaa, että se noudattaa lainsäädäntöä

Kuinka voimme auttaa Haavoittuvuuksien arviointialusta Holm Security VMP auttaa täyttämään tietoturvan uudet suositukset, lain vaatimukset ja direktiivit.

• Parannettu tietoturva – ilman suurta työmäärää Autamme parantamaan tietoturvaa automatisoiduilla ja jatkuvilla haavoittuvuusanalyyseillä, jotka tarkistavat IT-ympäristön yli 52 000 haavoittuvuuden sekä henkilötietovuotojen varalta. Pitkälti automatisoidut prosessit tekevät IT-ympäristön suojauksen ylläpidosta erittäin vaivatonta yritykselle.

• Havaitse haavoittuvuudet ennen niiden hyväksikäyttöä Holm Security VMP auttaa havaitsemaan haavoittuvuudet ennen hakkereita tai muita ilkivaltaisia aikeita omaavia. Autamme yrityksiä pysymään rikollisten edellä. Tästä esimerkkinä alustamme havaitsi WannaCryn hyödyntämän haavoittuvuuden.

• Jatkuva ja järjestelmällinen suojaus Holm Security VMP edistää jatkuvaa ja järjestelmällistä tietoturvan kehittämistä tehokkaalla automaatiolla.

• Perusteellinen käsitys ja ymmärrys tietoturvan tilasta Alustan tuottamien tilastojen ja raporttien avulla saat hyvän käsityksen organisaatiosi tietoturvan tilasta. Raportit voidaan myös suunnitella ja räätälöidä määrättyjen alojen ja kohderyhmien mukaan, esimerkkinä tärkeimpien tietoturvatilastojen yhteenveto yritysjohdolle.

Lue lisää Holm Security VMP -alustasta osoitteessa www.holmsecurity.fi

Holm Security VMP Verkon tarkistus

Ulkoisten ja paikallisten järjestelmien automatisoitu ja jatkuva haavoittuvuusarviointi. Pilvipalvelu ja virtuaalisovellus paikallisia tarkistuksia varten.

Verkkosovellusten tarkistus

Verkkosovellusten ja -sivustojen automatisoitu ja jatkuva tietoturvatarkistus. Lukuisia testejä, esim. OWASP Top 10 -haavoittuvuudet.

Petosriskin arviointi

Käyttäjien haavoittuvuusarviointi asiakkaan IT-ympäristössä sen selvittämiseksi, kuinka hyvin he pystyvät vastustamaan manipulointia, kuten tietojenkalastelua, kohdennettua verkkourkintaa ja kiristysohjelmien hyökkäyksiä.

Käytännön esimerkkejä Tietoturvakeskuksessa on monia ominaisuuksia, jotka auttavat täyttämään GDPR-vaatimukset. Ominaisuuksien avulla voit vaivatta tarkistaa, hallita ja luoda haavoittuvuusraportteja laitteissa, jotka käsittelevät henkilötietoja. Voit myös määrittää nämä järjestelmät vastaanottamaan automaattisia ilmoituksia ja hälytyksiä.

Laitteiden ryhmitys

Tunnisteiden avulla voit ryhmittää henkilötietoja käsittelevät laitteet. Sen jälkeen voit käyttää tunnisteita tarkistuksissa ja raporteissa.

Ilmoitukset ja hälytykset

Jatkuvan valvonnan avulla voit havaita haavoittuvuudet henkilötietoja käsittelevissä laitteissa. Jos tarkistuksessa havaitaan haavoittuvuus tai järjestelmän muutos, asiasta tehdään ilmoitus ja hälytys automaattisesti.

Raportit

Voit esimerkiksi ajoittaa viikoittaiset haavoittuvuusraportit henkilötietoja käsittelevistä laitteista.