Tietoturva, tietovuodot ja kiristysohjelmat: hyökkäykset, joihin on suhtauduttava vakavasti.

Oikeudellinen valvonta nro 32 – Helmikuu 2021

Tietoturva, tietovuodot ja kiristysohjelmat: hyökkäykset, joihin on suhtauduttava vakavasti. Lehdistössä kerrottiin helmikuun lopussa, että Laaja tietovuoto lääketieteen alalla.

Yli 500 000 ihmisen arkaluonteisia tietoja, mukaan lukien veriryhmät ja sosiaaliturvatunnukset, myytiin erikoistuneella keskustelufoorumilla ennen kuin ne julkaistiin vapaasti internetissä.

Tähän tietoluetteloon sisältyvät myös käyttäjätunnukset ja salasanat, joiden avulla nämä potilaat pääsivät muodostamaan yhteyden tietovuodon vaikutuksen alaisina olleisiin lääketieteellisiin keskuksiin ja analyysilaboratorioihin.

Oikeudellinen tutkinta on käynnissä, ja sekä ANSSI että CNIL ovat ottaneet asian käsittelyyn.

Tietomurron vakavuus johtuu yhtä lailla siitä, kuinka monta ihmistä siitä on kärsinyt, kuin siitä, kuinka arkaluonteisia tiedot ovat.

Tämä on tilaisuus tarkastella toimenpiteitä, joihin on ryhdyttävä tällaisiin hyökkäyksiin vastaamiseksi ja ennen kaikkea suojautuaksemme niiltä etukäteen.

CNIL sekä ANSSI ja oikeusministeriö ovat julkaisseet useita oppaita auttaakseen rekisterinpitäjiä suojautumaan tällaisilta tietoturvaloukkauksilta.olipa kyseessä sitten sisäinen vika tai kiristysohjelmahyökkäys.

Erityisesti CNIL:n julkaisemissa suosituksissa luetellaan tietojenkäsittelyn turvallisuuden hallinnan eri vaiheet.

Pohjimmiltaan on tarkoituksenmukaista:

• Tunnista tietojenkäsittely ja sen tukimenetelmät (laitteisto, ohjelmisto, viestintäkanavat, paperiset tukimenetelmät):

• Arvioi kunkin käsittelytoimen aiheuttamat riskit ja tunnista mahdolliset vaikutukset asianomaisten henkilöiden oikeuksiin ja vapauksiin, jos tietoihin pääsee laittomasti käsiksi, tietoja muutetaan ei-toivotusti tai tiedot katoavat.

Kun käsitellään erityisiä tietoluokkia, kuten terveystietoja, tietomurron vaikutus rekisteröityihin on vielä suurempi.

Tällainen hoito vaatii siksi perusteellisen riskinarvioinnin.

• Tunnista riskin lähteet (ihmisistä ja muista kuin ihmisistä johtuvat lähteet).
• Analysoi mahdolliset uhat eli mahdolliset laukaisevat tapahtumat (esim. ilkivalta, luonnollisen kulumisen aiheuttama heikkeneminen, täysi varastoyksikkö, palvelunestohyökkäys).
• Tunnista olemassa olevat tai suunnitellut toimenpiteet kunkin riskin torjumiseksi (esim. varmuuskopiot, salaus). Toimenpiteiden on oltava oikeassa suhteessa riskeihin. Kun käsiteltävät tiedot ovat arkaluonteisia, on taattava erityisen korkea turvallisuustaso. Salasanojen tallentaminen selkotekstinä rekisterinpitäjän tiedostoihin tulisi siksi kieltää: tiedot on salattava ja vahvoja todennusmenetelmiä on käytettävä.
• Arvioi riskien vakavuus ja todennäköisyys edellä mainittujen tekijöiden valossa.

Tietomurron sattuessa on välittömästi ryhdyttävä asianmukaisiin toimenpiteisiin murron pysäyttämiseksi ja sen vaikutusten rajoittamiseksi asianomaisiin henkilöihin.

Vastuullisen henkilön on myös ilmoitettava rikkomuksesta CNIL:lle 72 tunnin kuluessa siitä, kun hän on tullut siitä tietoiseksi.

Sillä on myös velvollisuus ilmoittaa asianomaisille henkilöille erikseen, kun tietovuoto todennäköisesti aiheuttaa suuren riskin heidän oikeuksilleen ja vapauksilleen.  Näin on silloin, kun kyseessä ovat arkaluonteiset tiedot, kuten terveystiedot.

Helmikuun lopussa tapahtuneen massiivisen tietovuodon yhteydessä tarvitaan siksi tietoja asianosaisilta.

Vahinko voi olla erittäin vakava potilaille, joiden lääketieteelliseen hoitoon se voi vaikuttaa, mutta myös rekisterinpitäjille, joiden maine ja koko liiketoiminta ovat vaakalaudalla.

CNIL huomauttaa, että tietomurtoilmoitusten määrä nousi 241 ilmoituksella vuonna 2020 ja että terveydenhuollon laitoksiin (sairaalat, EPHADit, hoitokodit, laboratoriot jne.) kohdistuneisiin Cryptolocker-hyökkäyksiin liittyvien tietomurtojen määrä kolminkertaistui vuodessa.

Lisäksi kaksi kolmasosaa CNIL:n määräämistä seuraamuksista koskee tietoturvavelvoitteiden rikkomuksia, ja tämä suuntaus heijastuu kaikkialla Euroopassa.

Ja myös

Ranska:

”Tousanticovid”-sovellus kehitetään integroimaan käyttäjien hälytysjärjestelmä urheiluhallien, ravintoloiden tai esityssalien mahdollista uudelleenavaamista varten. 

CNIL, joka sai asetusluonnoksen, antoi siitä yleisesti ottaen myönteisen arvion, mutta pyysi, että vierailujen rekisteröintijärjestelmän tulisi olla pakollinen vain paikoissa, joissa on korkea riski (estetoimenpiteitä on vaikea toteuttaa), eikä sitä tehtäisi pakolliseksi paikoissa, joissa läsnäolo todennäköisesti paljastaa arkaluonteisia tietoja (kuten uskonnolliset paikat).

Sen julkaisemisen jälkeen evästeiden käyttöä koskevat ohjeet CNIL muistutti viime lokakuussa, että määräaika vaatimustenmukaisuuden saavuttamiseksi päättyy maaliskuun lopussa.

Se lähetti kirjeen kahdellesadalle julkiselle elimelle sekä tärkeimmille yksityisille toimijoille ja korosti erityisesti tarvetta antaa käyttäjälle mahdollisuus hyväksyä tai hylätä evästeet yhtä helposti (bannereissa usein oleva "määritä"-painike ei täytä tätä vaatimusta).

Eurooppa:

• Belgia: Tietosuojaviranomainen julkaisee yksityiskohtainen opas aiheesta datan puhdistus- ja datamedian tuhoamistekniikat, refleksi, joka liian usein unohtuu tietokonetyökalusta eroon mentäessä.

• Yhdistynyt kuningaskunta: Euroopan komissio julkaisee luonnoksen päätökseksi, jossa otetaan huomioon Yhdistyneen kuningaskunnan takaama suojan taso henkilötietojen käsittelyä Euroopan unionin tietosuojalainsäädäntöön verrattuna.

Jos Euroopan tietosuojaneuvosto ja jäsenvaltioiden edustajat tukevat tätä arviota, tiedonsiirrot Yhdistyneeseen kuningaskuntaan voivat jatkua ilman lisäehtoja.

On myös huomattava, että Euroopan tietosuojavaltuutettu antoi 22. helmikuuta lausunnon, jossa se toisti, että perusoikeutena tietosuojasta ei voida neuvotella Euroopan unionin ja Yhdistyneen kuningaskunnan välisten kauppasopimusten yhteydessä.

• Eurooppa – sähköisen viestinnän tietosuoja Neljän vuoden neuvottelujen jälkeen EU-maat ovat vihdoin hyväksyneet yhteisen kannan sähköisen viestinnän suojasta.

Sähköisen viestinnän tietosuoja-asetuksen odotetaan päivittävän nykyistä direktiiviä täsmentämällä muun muassa viestinnän luottamuksellisuutta, metatietojen suojaa sekä evästeisiin ja muihin seurantalaitteisiin sovellettavia sääntöjä.

Tekstistä on vielä keskusteltava Euroopan parlamentissa, ja sen lopullinen versio tulee voimaan kahden vuoden kuluttua sen julkaisemisesta.

• Eurooppa – terveyspassi Euroopan komissio ilmoitti 1. maaliskuuta valmistelevansa hanketta jäsenvaltioiden yhteisestä passista, joka helpottaisi ihmisten liikkumista nykyisessä pandemian tilanteessa.

Tämä passi sisältäisi henkilötiedot rokotuksista, hankitusta immuniteetista tai kyseisen henkilön tekemistä testeistä.

Komissio vakuuttaa, että ryhdytään toimenpiteisiin asianomaisten henkilöiden yksityisyyteen liittyvän syrjinnän tai väärinkäytösten estämiseksi.

Kansainvälinen:

YHDYSVALLAT: Kalifornian jälkeen noin kymmenen Yhdysvaltain osavaltiota valmistelee lainsäädäntöä henkilötietojen suojaamiseksi, mukaan lukien New Yorkin osavaltio ja Washingtonin osavaltio.

Yleisesti ottaen nämä lait tarjoavat käyttäjille vähemmän laajoja oikeuksia kuin GDPR, ja niissä annetaan mieluummin oikeus vastustaa tietojensa käsittelyä kuin pyydetään heidän etukäteen antamaansa suostumusta.

Joka tapauksessa niillä on se etu, että ne parantavat tietojenkäsittelyn läpinäkyvyyttä ja tarjoavat amerikkalaisille kuluttajille oikeussuojakeinoja.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.