Koulutus Ilona IT:n webinaarissa 19.10.2023, Harto Pönkä, Innowise

1. Toiminta
tietoturvaloukkaustapauksissa
19.10.2023
Harto Pönkä
Innowise
Kuva: Pixabay

2. Kybersää syyskuussa 2023
Lähde: Traficomin Kyberturvallisuuskeskus, 11.10.2023, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%20syyskuu%202023.pdf
2

3. Huijaustapaukset Q3/2023
Lähde: Traficomin Kyberturvallisuuskeskus, 11.10.2023, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Kybers%C3%A4%C3%A4%20syyskuu%202023.pdf
3

4. Varo: Office 365 -huijaukset ovat edelleen yleisiä!
▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he
voivat päästä käsiksi luottamuksellisiin tietoihin.
▪ Murretuilla tunnuksilla voidaan tehdä jatkohuijauksia kuten lähettää ”korjattuja” huijauslaskuja.
Lähde: Viestintävirasto, 2019,
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille
4

5. Turvapostilta näyttävä huijausviesti
▪ Traficomin Kyberturvallisuuskeskus varoittaa turvaposteihin liittyvistä kalasteluviesteistä.
▪ Linkki johtaa tietojenkalastelusivulle, jossa kysytään sähköpostitunnusta ja salasanaa.
▪ Kohteena ovat olleet etenkin kunnat ja julkishallinto. Tilejä on käytetty laskutuspetoksiin.
▪ Kyberturvallisuuskeskus muistuttaa monivaiheisen todentamisen käytön tärkeydestä.
Lähde: Traficomin Kyberturvallisuuskeskus, 28.4.2023, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/turvapostiteemaiset-kalasteluviestit-johtavat-sahkopostitilimurtoihin
5

6. Henkilötietojen tietoturvaloukkauksiin reagointi

7. Henkilötietojen tietoturvaloukkausten tyypit
Luottamuksellisuuden
loukkaus
▪ Henkilötietoja
paljastetaan tai ne ovat
vahingossa tai luvatta
ulkopuolisten saatavilla.
▪ Esim. henkilötietoja
sisältävä salaamaton
USB-muistitikku katoaa,
haittaohjelma on päässyt
käsiksi tietoihin tai
tietoihin on murtauduttu.
Eheyden loukkaus
▪ Henkilötietoja on
muutettu vahingossa tai
luvatta.
▪ Esim. työntekijä kirjaa
vahingossa tietoja
väärälle henkilölle tai
muuttaa tarkoituksella
rekisteröidyn tietoja
virheellisiksi.
Saatavuuden loukkaus
▪ Pääsy tietoihin on
menetetty vahingossa tai
luvatta tai henkilötietoja
on tuhoutunut.
▪ Esim. tiedot on poistettu
vahingossa tai ne ovat
pitkään pois käytöstä
sähköhäiriön,
haittaohjelman tai
palvelunestohyökkäyksen
takia.
7
Lähde: EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-
breach-notification-under_en

8. Henkilötietojen tietoturvaloukkaus
8
Lähde: Tietosuojavaltuutetun toimisto, 2023, https://tietosuoja.fi/tietoturvaloukkaukset
Tarkoitetaan henkilötietojen vahingossa
tapahtuvaa tai lainvastaista…
▪ tuhoamista
▪ häviämistä
▪ muuttamista
▪ luvatonta luovuttamista tai pääsyä tietoihin
Rekisterinpitäjällä on velvollisuus ilmoittaa 72
tunnin kuluessa tultaan tietoiseksi
tietoturvaloukkauksesta
tietosuojaviranomaiselle ja rekisteröidylle, jos
heille aiheutuu todennäköisesti korkea riski.
Henkilötietojen käsittelijän on ilmoitettava
loukkauksesta rekisterinpitäjälle viipymättä.

9. Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
9

10. Esimerkkejä tietoturvaloukkauksista
10
Lähde: Tietosuojatyöryhmä, 2018, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun varmuuskopion
henkilötietoja sisältävästä arkistosta USB-muistitikulle.
Muistitikku varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn
verkkohyökkäyksen seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti aiheutuu
seurauksia.
Kyllä, jos henkilöille tod.näk.
aiheutuvien seurausten
vakavuus on suuri.
Rekisterinpitäjään kohdistuu kiristysohjelmahyökkäys, jonka
seurauksena kaikki tiedot salataan. Varmuuskopioita ei ole,
eikä tietoja voida palauttaa.
Kyllä, jos henkilöille aiheutuu
seurauksia tietojen
menetyksestä.
Kyllä, ilmoitetaan henkilöille
mm. henkilötietojen
luonteesta ja tietojen
häviämisestä riippuen.
Sairaalan potilastiedot ovat poissa käytöstä 30 tunnin ajan
verkkohyökkäyksen vuoksi.
Kyllä, koska potilaille voi
aiheutua korkea riski.
Kyllä, kohteena oleville
henkilöille ilmoitetaan.
Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee
virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian
vaikutuksesta käyttäjät voivat nähdä toistensa tietoja.
Kyllä, kun rekisterinpitäjät
ovat saaneet tiedon
henkilötietojen käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli tuhat
vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.

11. Milloin ja miten rekisterinpitäjä tulee tietoiseksi tietoturvaloukkauksesta?
11
▪ Rekisterinpitäjän katsotaan ”tulleen tietoiseksi” tietosuojarikkomuksesta, kun on
kohtuullisen varmaa, että tapahtunut on johtanut henkilötietojen vaarantumiseen.
Esimerkkejä:
▪ Jos salaamaton henkilötietoja sisältävä USB-muistitikku katoaa, rekisterinpitäjä on
tietoinen asiasta, kun katoaminen havaitaan.
▪ Kolmas osapuoli ilmoittaa saaneensa vahingossa rekisteröidyn tietoja.
▪ Rekisterinpitäjä huomaa tunkeutumisen verkkoonsa tai palvelimelleen. Lokitietojen
perusteella voidaan havaita, onko tunkeutuja päässyt käsiksi henkilötietoihin.
▪ Kyberrikollinen ottaa yhteyttä rekisterinpitäjään tai rekisteröityyn pyytääkseen lunnaita, ja
esittää näytteitä rekisteristä saamistaan henkilötiedoista.
▪ Rekisteröity ilmoittaa rekisterinpitäjälle saaneensa huijaussähköpostin, joka sisältää
henkilötietoja, jotka ovat selvästi rekisteristä lähtöisin.
▪ Rekisterinpitäjä saa ilmoituksen tietosuojarikkomuksesta henkilötietojen käsittelijältä.
Lähde: EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-
breach-notification-under_en

12. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen TSV:lle
12
▪ Sisällytä ilmoitukseen nämä tiedot:
▪ selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
▪ tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
▪ henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
▪ toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut;
tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
▪ Ilmoitusta ei vaadita, jos:
▪ rekisterinpitäjä on toteuttanut asianmukaiset suojatoimenpiteet ja niitä on sovellettu
henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin
(esim. salaus niin, ettei ulkopuolinen voi hyväksikäyttää tietoja)
▪ rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn
oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu
▪ se vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat.
Asiaa arvioidaan riskien mukaan. Jos rekisteröityihin ei voida ottaa yhteyttä
henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla
rekisteröityjä informoidaan yhtä tehokkaalla tavalla.
Lähde: Tietosuojavaltuutetun toimisto, 2023, https://tietosuoja.fi/tietoturvaloukkaukset

13. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidyille
13
▪ Rekisterinpitäjän on ilmoitettava rekisteröidyille, jos tietoturvaloukkaus todennäköisesti
aiheuttaa korkean riskin heidän oikeuksilleen ja vapauksilleen.
▪ Ilmoitus tulisi tehdä niin pian kuin se on kohtuudella mahdollista ja yhteistyössä
valvontaviranomaisen kanssa noudattaen sen sekä esim. poliisin antamia ohjeita.
▪ Jos on tarve vähentää välittömiä haittoja → ilmoitus viipymättä
▪ Jos on tarve ensin toteuttaa suojatoimenpiteitä loukkausten estämiseksi jatkossa →
pidempi ilmoitusaika voi olla perusteltu.
▪ Ilmoituksessa on kerrottava rekisteröidyille:
▪ Millainen henkilötietojen tietoturvaloukkaus on tapahtunut
▪ Tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste
▪ Kuvaus tietoturvaloukkauksen todennäköisistä seurauksista
▪ Kuvaus toimenpiteistä, joita tehdään on tehty tai aiotaan tehdä asian korjaamiseksi ja
haittavaikutusten lieventämiseksi
▪ Tarvittaessa konkreettisia neuvoja ja ohjeita rekisteröidyille.
Lähde: Tietosuojatyöryhmä, 2018, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/

14. Ennakkotapaus: tietoturvaloukkauksesta ilmoittaminen rekisteröidyille
14
▪ Rekisterinpitäjä oli ollut kirjeitse yhteydessä 9000–10 000 rekisteröityyn, joiden osalta
rekisterinpitäjällä on ollut riittävät yhteystiedot.
▪ Noin 7000 rekisteröityä ei tavoitettu yhteystietojen puutteellisuuden vuoksi.
▪ Yhteystietojen selvittäminen olisi rekisterinpitäjän mukaan vaatinut kohtuutonta vaivaa.
▪ Rekisterinpitäjä oli julkaissut nettisivuilla ja FB-sivulla tiedotteen tietoturvaloukkauksesta.
▪ Apulaistietosuojavaltuutetun päätös 3.1.2020:
▪ Tiedonanto oli pääosiltaan yleisen tietosuoja-asetuksen mukainen.
▪ Julkaistu tiedonanto sisälsi kohdan, jonka mukaan ”asianomaisille on lähetetty
tilanteesta lisätietoa henkilökohtaisesti”.
▪ Ilmoitusta ei kuitenkaan toimitettu noin 7000 rekisteröidylle. Päätöksen mukaan he
olivat voineet jäädä virheellisesti sellaiseen käsitykseen, että tietoturvaloukkaus ei
koskenut häntä, jos asiasta ei ilmoitettu heille henkilökohtaisesti.
▪ Apulais-TSV antoi rekisterinpitäjälle huomautuksen.
Lähde: Apulaistietosuojavaltuutetun päätös, 3.1.2020, https://finlex.fi/fi/viranomaiset/tsv/2020/20200461
• Riittääkö julkinen ilmoitus tietoturvaloukkauksesta, jos rekisterinpitäjällä ei ole
kaikkien rekisteröityjen yhteystietoja käytettävissä?

15. Ohjeista tietosuojarikkomuksiin reagointi
1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä
välittömästi vähentääksesi seurauksia?
2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle.
3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Pyri rajaamaan, keistä
henkilöistä ja mistä tiedoista on kyse. Ensikäden havainnoista on hyötyä
jatkotutkinnalle.
Rekisterinpitäjä yhdessä tietosuojavastaavan kanssa:
▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita
▪ Yhteiskunnan kannalta kriittisten organisaatioiden ilmoituslomake:
https://eservices.traficom.fi/dataservices/forms/NISlomake.aspx
▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.
▪ Anna ohjeita, miten välttää ikäviä seurauksia.
15

16. Toiminta kiristyshaittaohjelmatilanteessa
16
Älä maksa lunnaita, vaan toimi näin:
1. Anna lupa ja valtuudet rajoitustoimille
• Siirtyminen kriisijohtamiseen
• Tarvittavat oikeudet toimenpiteisiin
2. Kokoa kriisiryhmä
• Johto ja ydintoiminnoista vastaavat
• Tietoturva- ja ICT-vastaavat
• Viestintävastaava
• Lakiasioista/tietosuojasta vastaava
3. Muodosta tilannekuva
4. Suunnittele ja aktivoi
toipumissuunnitelma
5. Huolehdi sisäisestä ja ulkoisesta
viestinnästä
6. Tee tarvittavat viranomaisilmoitukset
7. Tue toipumista
8.Jälkitoimet: selvitys ja arviointi
Lähde: Traficom, 2022, Toiminta kiristyshaittaohjelmatilanteessa – johdon ohje,
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Toiminta%20kiristyshaittaohjelmatilanteessa%20-%20johdon%20ohje.pdf

17. 17
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!