Yleinen tietosuoja-asetus GDPR on osoittanut toimivuutensa
EU:n yleinen tietosuoja-asetus General Data Protection Regulation, lyhyemmin GDPR, on ollut pakkosovellettavaksi 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Nyt näyttää siltä, että GDPR todella toimii. Se ns. ajaa asiansa.
Yleinen tietosuoja-asetus GDPR on lisännyt yleistä tietoisuutta tietoturvasta ja tietosuojasta. Joka toinen suomalainen on huolissaan älylaitteiden tietoturvallisuudesta, ilmenee liikenne- ja viestintävirasto Traficomin tutkimuksesta. Älylaitteiden hankintaan ja käyttöön liittyvistä kuluttajien asenteista ja toiveista onkin tiedetty varsin vähän. Liian vähän.
Tietoturvamerkki auttaa tekemään turvallisempia älylaitehankintoja
Tietoon liittyen, Traficomin Kyberturvallisuuskeskuksen julkaiseman Tietoturvamerkin tehtävä on auttaa kuluttajia tekemään turvallisempia älylaitehankintoja. IoT-verkkoon liitettyjen laitteiden, esimerkiksi älytelevisioiden, älypuhelimien ja lelujen, tietoturvaa parantamalla vältytään tietojen väärinkäytöltä, laitteiden haltuunotoilta tai datavuodoilta. Tietoturvamerkki voidaan myöntää vain sertifiointiprosessin läpäisseille järjestelmille.
Ensimmäiset Traficomin Kyberturvallisuuskeskuksen Tietoturvamerkit on jaettu kolmelle toimijalle 1) Cozifyn Hub-älykotisovellukselle, 2) DNA:n Wattinen-älylämmitysjärjestelmälle, jossa alusta on M-kategorian NarrowBand. Maailman turvallisin 128-bitttinen radiolinkkijärjestelmä. Merkki on nyt myönnetty myös 3) Polar Electron Ignite fitness –älykellolle.
Tutustutaan GDPR-termistöön
Asia oli MTV:llä aamu-tv:ssä, vaikka ei kovinkaan ymmärrettävästi. Pätkästä muodostui enemmän kysymyksiä kuin mitä se antoi vastauksia, valitettavasti. Katsotaanpa termistö, joka sisältyy GDPR-jargoniin, ja jota myös Traficom käyttää. Se voi olla vaikeaa:
Tietoturvalla yleiskäsitteenä tarkoitetaan ratkaisuja, joilla pyritään suojaamaan yritykselle tärkeät tiedot ulkopuolisilta. Toimenpiteiden on määrä taata yhtiön tietojen koskemattomuus. Tietoturvalta vaaditaan tavoitteita: GDPR korostaa yksilön tai organisaation annettujen tietojen luottamuksellisuutta, eheyttä, kiistämättömyyttä. Eheys, alkuperäisen termin mukaan integrity eli oikeellisuus, tarkoittaa tiedon muuttumattomuutta tiedon luomisen, käsittelyn ja siirron aikana. Lisäksi tulevat pääsynvalvonta, datan saatavuus ja tarkastettavuus. Lisäksi direktiivin mukaan luottamuksellisen datan on oltava vain ja ainoastaan dataan oikeutettujen käytössä. Tässä on horjuntaa, koska data-analytiikkabusiness käyttää omankädenoikeutta. Tiedoilla ja dokumenteilla on sisäinen turvaluokitus, joka määrittelee sen, kenellä on oikeus tietojen käyttöön, sekä säilytykseen ja tuhoamiseen.
Kiistämättömyydellä taas valvotaan tiedon siirtoon tai käsittelyyn osallistuneiden käyttäjien tunnistamista. Tällä periaatteessa varmistetaan se, ettei kukaan voi käsitellä tietoja huomaamatta. Jos data vuotaa analytiikkafirmoille: pianhan sen kohdennetusta mainonnasta huomaa, että profiloituja tietoja on käsitelty ”huomaamatta”.
Pääsynvalvonta tarkoittaa, että käyttäjien tietoon käsiksi pääsyä valvotaan ja rajoitetaan. Saatavuudella tarkoitetaan tiedon helppoa ja viiveetöntä käyttöä niille, joilla on siihen oikeus. Tarkastettavuus tarkoittaa, että tietojenkäsittelyn tuloksena saatu tieto on kyettävä tarkastamaan ja sen oikeellisuus kyettävä osoittamaan. Datataivaat ovat väärällään tietoa meistä, jota tuskin tarkistellaan (lat.huom.).
Verkkoympäristössä nyt vain on mahdollista mm. muunnella dataa luvatta, ohjata internet-hakuja vääriin osoitteisiin, murtaa pilviyhteyksiä äijä keskellä –metodilla, lähettää pilvestä sähköpostia tekaistuilla nimillä ja kaivaa esiin toisten käyttäjien käyttäjätunnuksia, salasanoja sekä luottokorttien numeroita. Mikä villi maailma se olisikaan ilman EU:n yleistä tietosuoja-asetusta, joka laillisten toimijoiden on velvoite ottaa huomioon. Huonosti toteutetusta tietoturvasta mahdollisia seurauksia ovat mm. virusten tai ulkopuolisten henkilöiden tunkeutumiset tietojärjestelmiin ja niiden sisältämien tietojen väärinkäytökset tai ilkivaltaiset tuhoamiset.