Tietoturvaloukkauksien uhrit eivät saa tarpeeksi tietoa

Tietosuojavaltuutetun toimisto suoritti kesällä tarkastuksen, johon valikoitui 74 tietoturvaloukkauksen kokenutta organisaatiota. Tarkastuksessa ilmeni, että tietoturvaloukkauksien uhrit eivät saa tarpeeksi tietoa.

Tarkastuksen yhteydessä selvitettiin muun muassa, miten tieto tietoturvaloukkauksesta oli tavoittanut rekisterinpitäjän sekä miten palvelun käyttäjiä oli informoitu tapahtuneesta. Valmisteilla oleva EU:n tietosuoja-asetus tulee laajentamaan ilmoitusvelvollisuutta tietoturvaloukkauksista.

Tietosuojavaltuutettu pyysi kesällä CERT-FI:tä tietoja loppuvuonna 2011 suomalaisiin nettipalveluihin kohdistuneista tietoturvaloukkauksista. CERT-FI:n luovuttama materiaali sisälsi vajaan tuhannen verkko-osoitteen listan epäillyistä tietomurron kohteeksi joutuneista www-palveluista. Listalle koottiin julkisista lähteistä kerättyjä havaintoja tai muuten julkisiksi tulleita tapauksia. Lopulta tarkastus kohdistui reiluun reiluun 70 organisaatioon.

Miten loukkaustiedot saatiin?

CERT-FI:n kannalta kiinnostavin tieto oli, kuinka organisaatiot tulivat tietoisiksi tietoturvaloukkauksesta. Osa toimijoista sai tiedon CERT-FI:ltä, osa kuuli tapahtuneesta vasta tarkastuksen kautta. Jo vanhastaan on havaittu, että tietoturvaloukkausten uhrit eivät saa tarpeeksi tietoa itseensä kohdistuneista tietoturvaloukkauksista.

CERT-FI on pyytänyt tietosuojavaltuutetun toimistoa esittelemään tarkastuksen havaintoja lähemmin nk. hosting-palveluntarjoajille suunnatussa Abuse-seminaarissa myöhemmin syksyllä.

EU:n tietosuoja-asetuksen valmistelusta Suomessa vastaa oikeusministeriö

Leave a Reply