PYSY KÄRRYILLÄ DIGITURVA-ASIOISTA
PYSY KÄRRYILLÄ DIGITURVA-ASIOISTA
Akatemia

Digiturvavahti 12/2018

Vahti-uutiset on kuukausittain julkaisemamme, helppokäyttöinen kooste oleellisimmista tietoturva- ja tietosuojauutisista. Jaa tietoa vapaasti eteenpäin ja hyödynnä vahtia digiturvatietoisuuden levittämiseen omassa organisaatiossanne.

Uusi tietosuojalaki voimaan vuoden 2019 alusta

Tietosuojalaki toimii rinnakkain tietosuoja-asetuksen kanssa

  • määrää paikallisen viranomaisen
  • säätää poikkeuksia ja tarkennuksia tietyissä kohdissa

Tärkeinta sisältöä laista

  • Tietosuojavaltuutettu toimisto toimii valvontaviranomaisena
  • Tietosuojavaltuutetun toimistolle lisää resursseja ja mukaan apulaisvaltuutetut
  • Sakoista päättää seuraamuskollegio (tietosuojavaltuutettu + 2 apulaisvaltuutettua)
  • Tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle mahdollista, kun lapsi vähintään 13-vuotias
  • Sananvapauden, tutkimuksen ja arkistoinnin turvaamiseksi poikkeuksia vaatimuksiin (esim. ei pääsy tietoihin -oikeutta rekisteröidyllä)
Viranomaisella Suomessa on nyt toimivalta valvoa GDPR-asetuksen toteutumista.

Lue koko artikkeli >>

Tietosuojaneuvostolta ohjeistusta sertifointeihin liittyen

GDPR:ssä kannustetaan luomaan sertifiointimekanismeja

  • Teeman kehitys on viivästynyt, eikä uutisia edistyksestä ole kuulunut lähi aikoina

EDPB (Euroopan tietosuojaneuvosto) julkaisi ohjeistuksen

  • Ohjeistuksessa käsitellään mm. kuka sertifointeja voi antaa ja millaista kriteeristöä vastaan tullaan sertifioitumaan
Sertifiointiteema etenee ja ”virallisia” tapoja oman tietosuojatoiminnan vaatimustenmukaisuuden osoittamiseen todennäköisesti tulossa lähiaikoina.

Lue koko artikkeli >>

Filippiineillä tietosuojavalvontaa tiivistetään

Filippiineillä tiukennetaan paikallisen tietosuojalain valvontaa

Viranomaisten käyttäminä valvontatapoina: 

  • Privacy Sweep = Julkisen tietosuojadokumentaation automaattinen analysointi
  • Document Submission = Erilaisten dokumenttien pyytäminen organisaatiolta
  • On-site Investigation = Organisaation toiminnan tutkinta menemällä paikan päälle käsittelytiloihin
Tietosuojamielenkiinto on kasvussa myös muualla maailmalla sekä viranomaisilla, kuluttajilla että yrityksillä

Lue koko artikkeli >>

USA:ssa kannatusta valtiolliselle tietosuojalaille

USA:ssa "national privacy law" saa kannatusta sekä kuluttajien että yritysten puolelta

  • Tavoitteena samat tietosuojasäännöt organisaation toimialasta ja osavaltiosta riippumatta

Lue koko artikkeli >>

ICO sakotti kahta yritystä luvattomasta telemarkkinoinnista

  • Telemarkkinointi ihmisille, jotka olivat kieltäneet suorakontaktoinnin, johti sakkoihin
  • Paikallinen tietosuojavaltuutettu sai asiasta kymmeniä valituksia
  • 160 k£ sakko

Lue koko artikkeli >>

ICO sakotti Uberia £385,000 tietosuojapuutteista

  • Tietomurto asiakkaiden perusyhteystietoihin (nimi, sähköposti, puhelin) ja työntekijöiden tarkempiin tietoihin (ajotiedot, reitit, yms.) johti sakkoihin
  • 385 k£ sakko
  • Asian peittely merkittävä sakkoa kasvattanut tekijä - asiasta ei ilmoitettu kellekään ja tekijöille maksettiin, jotta asia "ei päätyisi julkisuuteen"

Lue koko artikkeli >>

Lontoolainen yritys sai sakkoja lähetettyään 14.8m spam-tekstiviestiä

SMS-markkinointi ilman riittävää suostumusta johti sakkoihin

  • Yritys koki "pyytäneensä suostumuksen" ehdoissa, mutta tämä ei ICO:n mielestä täyttänyt suostumuksen ehtoja

Satoja valituksia tietosuojavaltuutetulle

200 k£ sakko

Lue koko artikkeli >>

Kooste tietoturvaloukkauksista vuodelta 2018

Syitä tapahtuneille loukkauksille

  • entiset työntekijät, joilla kaunaa (pääsynhallinta, jne.)
  • suojaamaton palvelin jossa asiakasdokumentteja
  • 3. osapuolen JS-koodi verkkopalvelun maksusivulla
Listoille päätyvät isot ja kiinnostavat organisaatiot, mutta syyt loukkausten takana ovat arkisia ja jokaiselle organisaatiolle opettavaisia

Lue koko artikkeli >>

Puolet phishing-sivustoista jo https-tilassa

Mitä on phishing?

  • Vilpillinen yritys saada arkaluonteisia tietoja, kutenkäyttäjätunnuksia, salasanoja ja luottokorttitietoja, esittämällä luotettuatoimijaa sähköisessä viestinnässä.

Milloin selain sanoo "Turvallinen"?

  • Selaimen turvallinen-maininta tarkoittaa, että sivusto käyttää https-salausta tietoliikenteen suojaamiseen
Selaimen "Turvallinen" ilmoitukseen ei kannata liiemmin luottaa, koska usein huijaussivustotkin toimivat https-tilassa

Lue koko artikkeli >>