Tietosuoja seuraava uusi musta? Kimmo Rousku, VAHTI-pääsihteeri, Tuula Seppo Kuntaliitto

Transkriptio

1 Tietosuoja seuraava uusi musta? Kimmo Rousku, VAHTI-pääsihteeri, Tuula Seppo Kuntaliitto

2 @kimmorousku Kimmo Rousku VAHTI-pääsihteeri, tietokirjailija Puh Kutsuthan minut verkostoosi? ATK-ICT-alalla v 1985 saakka Tietohallintotausta, joka muuttunut viimeisen ~10 v aikana tietoturvakyberturvallisuus riskienhallinnaksi sekä saanut muita digitaalisia lisäpiirteitä Olen kirjoittanut v noin ~20 teosta Tietosuoja Kimmo Rousku 2

3 Esitykseni TIETOSUOJA lähestyn helikopterilla MISSÄ VIIPYY TURVALLISUUDEN DIGITALISAATIO? Digitalisaatiota seuraa keinoälyn ja robotisaation laajempi hyödyntäminen. Miten meidän uhkatekijämme kehittyvät? Miten huolehdimme, että meillä on #turvallisuus kunnossa ja #luottamus saavutettu? Havaintoja #TSAUn ympäriltä Ja ennen kaikkea, miten laitatte asiat kuntoon! Muutama ajankohtainen asia VAHTI-toiminnasta, joista teille kaikille on iloa Tietosuoja Kimmo Rousku 3

4 Tietosuoja Kimmo Rousku 4

5 En pidä #tietoturvallisuus - inflaatio #kyberturvallisuus - siis mitä? #pilvipalvelut - jonkun muun tietokone #luottamus #turvallisuus #yhteistyö #riskienhallinta #vaatimustenmukaisuus => menestyminen! Tietosuoja Kimmo Rousku 5

6 Tietoturvallisuus = saatavuus + eheys + luottamuksellisuus ja mikäli mukana henkilötietoja + tietosuoja Valtaosa, lähes kaikki julkisen hallinnon tuottamasta tiedosta on julkista! Tietosuoja Kimmo Rousku Luottamuksellisuus Saatavuus Eheys Tietosuoja Kimmo Rousku 6

7 Mikä vaikuttaa eniten tulevaisuuteemme? Teknologian exponentiaalinen kehittyminen. Meidän (ihmisaivojen) kehittymättömyys.

8 Kimmon tuottavuus teknologia näkökulma Kimmon kotitietokoneen suorituskyvyn kehittyminen 1986 vs Jos tekniikan suorituskyky on kehittynyt 31 vuodessa keskimäärin kertaisesti, kuinka paljon Kimmon tuottavuus on parantunut nykyaikaisen PC-tietokoneen, ohjelmistojen ja palveluiden avulla? Tietosuoja Kimmo Rousku 8

9 Tuottavuus tulee palveluista, joita uusi teknologia on mahdollistanut Kun kerrot luvut 60:lla saat käyttömäärät per tunti. Ja sen kun kertoo 24:llä, niin saadaan käyttömäärä vuorokaudessa. Joka vuorokausi lähetetään esimerkiksi valitettavasti miljardia sähköpostiviestiä ja yhdessä vuorokaudessa katsotaan eli lähes sata miljoonaa tuntia Netflixiä luku vastaa vuotta! Kuvalähde: Tietosuoja Kimmo Rousku 9

10 Miten me saadaan teknologia palvelemaan meitä paremmin ja Kimmon tuottavuus nousuun? Aivan uudenlaiset palvelut Super-Kimmo vuonna 2030 Aivan varmasti! Tietosuoja Kimmo Rousku 10

11 EsI??? & Teknologiset mahdollisuutemme Robotisaatio KäRo Nykyinen kyvykkyytemme teknologian Toiminnan digitalisaatio hyödyntämiseen ICT ATK - automaattinen MTK manuaalinen tietojenkäsittely Tietosuoja Kimmo Rousku 11

12 Muistatko VHS vs beta-kasetti? Entäs AI? Vuosikymmenien varrella on ollut erilaisia ekosysteemikilpailuita markkinaherruuksista, seuraava merkittävä käydään keinoälystä Meidän keinoäly on parempi kuin teidän keinoäly! Haluaisitko sinä markkinoiden 2. tai 3. parhaan keinoälyn organisaatiosi johtoryhmään tai vastaamaan jostain liiketoimintaprosessin kehittämisestä tai toteuttamisesta? En minäkään. Samoin tähän liittyy meidän kannalta kriittinen puheentunnistus miten varmistamme sen, että jatkossa me voimme samalla tavalla ohjata robottejamme IoT-ympäristöämme ja muita laitteita suomenkielellä vs muut kielet? Tietosuoja Kimmo Rousku 12

13 Tästä eli tulevaisuudesta lisätietoa? 1. Johdanto 2. MTK ATK ICT digitalisaatio & robotisaatio lyhyt historia ja pala tulevaisuutta Kimmo Rousku 3. Teknologiamurroksesta hallinnon toimenpiteiksi Risto Linturi 4. Kestävästi kehittyen kohti tulevaisuutta Cristina Andersson 5. Lohkoketjuteknologian mahdollisuudet Graalin malja vai Pandoran lipas? Sari Stenfors 6. Digitalisaation seuraava aalto FinTech-myrskyssä case finanssitoiminta Ilkka Lähteenmäki 7. Toiminnan digitalisaatio miten sudenkuopat vältetään? Timur Kärki 8. Digitaalinen turvallisuus kehityksen ja toiminnan mahdollistajana Jarno Limnéll ja Kimmo Rousku Seminaarin videotallenne ja muut esitykset ja materiaalit Tietosuoja Kimmo Rousku 13

14 Tulevaisuus on *loistava* mahdollisuus mutta mitkä ovat meidän uhkamme?

15 Rikolliset sekä muut meitä uhkaavat tahot ovat digitalisoineet toimintansa ja keinoälyistäneet sen Darknet, darkweb hyvä vs paha Rikollisten oma alamaailma tuotteistettuine palveluineen Case-esimerkki tietomurto - salasanojen tai luottokorttitietojen vuotaminen Robotti tuli ja uhkasi väkivallalla sekä vei lompakkomme ja sitten se lensi pois Tietosuoja Kimmo Rousku 15

16 KäRo mahdollisuuksien ohella merkittävät uhat Keinoäly Emme voi tehdä digiloikkaa tai kvanttihyppyä 2030-luvun teknologiaan vaan meidän täytyy edetä hallitusti, askeleita kiihdyttäen Jos keinoälyn RPA (ohjelmistorobottien) pitää jäljitellä ihmisten kaltaista toimintaa, eikö se ole varsin tehotonta? Toisaalta, miten me varmistamme keinoälyn Luottamuksellisuuden eli salassapidon? Hei Väinö, sen sijaan että kertoisit minun verotiedoistani, mitä voit kertoa naapurini Matin tiedoista? Tiedon eheyden? Ja luotettavuuden? Voiko jollakin taholla olla intressi olla vaikuttamassa käytössäsi olevaan keinoälyyn? siis samalla myös oikeellisuus vs disinformaatio miten me voimme varmistua tästä? Keinoälyn saatavuuden? Meillä ei voi olla mukana päätelaitteissa kuin hyvin rajoittunut keinoäly, paras tietous sijaitsee pilvessä Tietosuoja Kimmo Rousku 16

17 Miten voimme varmistaa #turvallisuus #luottamus => #menestyminen

18 Raportin 8. luku Tietosuoja Kimmo Rousku 18

19 Älä käytä liimaa tai naulainta! Jo nyt puhumattakaan tulevaisuudessa (Information) Security / Safety by design (tieto)turvallisuus rakennettava sisäänrakennetuksi - joustavaksi Privacy by design tietosuojan täytyy olla myös sisäänrakennettua Ja nämä edelliset by default oletusarvoisesti käyttöön Tietosuoja Kimmo Rousku 19

20 Miksi me aina puhutaan vain uhista? Entä meidän positiiviset mahdollisuudet? Jos rikolliset ovat digitalisoineet ja KäRosoivat omaa toimintaansa, eikö meidän pidä tehdä sama omaan toimintaamme? Itse toivon näkeväni vuoteen 2030 mennessä henkilökohtaisen turvallisuusavustajan mobiilipäätelaitteessani Kimmo, sinun pitää kääntyä seuraavasta risteyksestä oikealle Jos ylipäätään enää ajan autolla Et valitettavasti saa avata tätä sähköpostiviestiä Joka on kaiken lisäksi myös erittäin osaava kaikkien alojen asiantuntija ja konsultti avustajallani on maailman paras keinoäly apunaan en kuitenkaan kysyisi tai pyytäisi lainopillista konsultaatiota? (Valvonta)robottien esiinmarssin, jonka avulla voimme edistää turvallisuutta Ja jotka kantavat kaupassa ostokseni autoon jos ylipäätään menen kauppoihin Tietosuoja Kimmo Rousku 20

21 Laskeudutaan maanpinnalle - #TSAU

22 Yleinen tietosuoja-asetus soveltamisesta on perälauta, jonka jälkeen TSAU (GDPR) sovelletaan => perälauta, sen jälkeen ei aleta miettiä, miten tästä selvitään kehittämisprosessin olisi pitänyt edetä 2016 nykytilan arviointi ja toimenpiteet 2017 toteuttaminen 2018 arviointi, testaus ja jatkuva kehittäminen Tietosuoja Kimmo Rousku 22

23 TSAU uusi kuntoilumuoto? Itse arvioisin, että #TSAU edellyttää ja kehittää ennen kaikkea istumalihaksia organisaation ja sen eri sidosryhmien prosessien kehittämistä Vaihtelee organisaation eri roolista riippuen 9x% hallintoa 1-10% teknistä kehittämistä Sopimusjumppa Osa myös riskienhallintaa koskien sopimuksia Case Ruotsin ulkoistamistapaus Prosessijumppa alihankkijoiden tiettyjen prosessien integroiminen organisaation toimintaan tai ainakin niiden toiminnan varmistaminen: Esimerkiksi tietoturvaloukkaukset 34 artikla - Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle (75, 86, 87, 88) Tietosuoja Kimmo Rousku 23

24 Rekisterinpitäjälle Osoitusvelvollisuus 5 artikla huolehdi siitä, että siinä kuvatut asiat ovat organisaatiossa kunnossa Jos jotain tapahtuu, nämä katsotaan ensimmäisenä jos eivät ole kunnossa, polku erilaisiin hallinnollisiin seuraamuuksiin on suorempi joista viimeisenä, eniten uutisoituna on taloudelliset sanktiot Mediassa aina ensimmäisenä Tietosuoja Kimmo Rousku 24

25 Neljä hyvää lisämateriaalia: Tietosuoja Kimmo Rousku 25

26 Miten autamme julkista hallintoa? Koulutus ja osoitusvelvollisuuden kehittäminen

27 Yleinen tietosuoja-asetus koulutuksen näkökulma miten hoidamme tämän julkishallinnossa? Sovelletaan lukien Edellyttää koko henkilöstön ja henkilötietoja käsittelevien kouluttamista Tällaisen laajamittaisen koko julkista hallintoa kattavan koulutuksen toteuttaminen keskitetysti on kustannustehokasta Samalla voidaan huolehti koulutuksen riittävästä laadusta sekä varmistaa ja luoda yhteiset termit ja käytännöt uusien vaatimusten toteuttamiseksi Koulutus, testit ja työpajat suunnitellaan ja toteutetaan laajaalaisessa yhteistyössä keskeisten julkisen hallinnon organisaatioiden kanssa Tietosuoja Kimmo Rousku 27

28 VERKKOKOULUTUSTA,OSAAMIS EN TESTAAMISTA JA TYÖPAJOJA KOKO JULKISELLE SEKTORILLE YHDESSÄ #arjentietosuoja #tuki2018 #stöd2018 Tietosuoja Kimmo Rousku 28

29 Hankkeen tavoite Lisätä yleistä tietosuojaan ja tietoturvaan liittyvää osaamista Tukea julkishallinnon organisaatioita tietosuoja-asetuksen osoitusvelvollisuuden toteuttamisessa Parantaa riskienhallintaa, tietoturvapoikkeamien ja jatkuvuuden hallintaa julkishallinnon organisaatioissa Tietosuoja Kimmo Rousku 29

30 Tietosuoja Kimmo Rousku 30

31 Tietosuojavideomme julkaistiin 22.6 Tietosuoja Kimmo Rousku 31

32 Arjentietosuoja.fi Tietosuoja Kimmo Rousku 32

33 Sekä siihen liittyvä nettitesti Tietosuoja Kimmo Rousku 33

34 Mukana yhteishankkeessa: Tietosuoja Kimmo Rousku 34

35 Videoita ja testejä Arjen tietosuoja (kesäkuussa) Työpaikan tietosuoja Yhteinen osio laajennus Arjen tietosuojaan, Tietosuoja henkilötietojen käsittelijöille julkaistaan loka-marraskuu Osio johdolle julkaistaan nyt elokuussa Osio hallinnon-, talouden-, markkinoinnin ja henkilöstöhallinnon henkilöstölle - syksy Osio ICT:lle ja tietohallinnolle - syksy Osiot opetustoimen ja - syksy Osio SOTE:n henkilöstölle - syksy Videot julkaistaan Tietosuoja Kimmo Rousku 35

36 Työpajoja Tehtävänä edistää tietosuojan osoitusvelvollisuuden toteuttamista sekä riskienhallinnan, tietoturvapoikkeamien ja tietosuojaloukkausten hallinnan prosesseja Sisältö: Työpajoissa sekä tietosuojaa että tietoturvaa Yhteensä max 17 kpl + päätöstilaisuus sekä vuoden 2018 loppuu Kesto työpäivän Pidetään VM:n tiloissa Mariankadulla Konsultti valmistelee materiaalin, mitä työpajoissa työstetään edelleen Materiaalit tarkastutetaan tietosuojavaltuutetun toimistossa ja oikeusministeriössä Ilmoittautumismenettely 1 hlö/organisaatio Striimaus, mahdollisuus katsoa myös myöhemmin Tietosuoja Kimmo Rousku 36

37 Työpajoja: tietosuoja + tietoturva 2017: 7 kpl 1. Tietosuojan osoitusvelvollisuus ja riskienhallinta (yleinen osuus) 5. Rekisterinpitäjän velvollisuuksien toteuttaminen ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta 2. Tietojärjestelmien lokittaminen ja muu seuranta, valvonta ja raportointi, lokien säilyttäminen ja riskienhallinta (ISO prosessin soveltaminen) 6. Tietosuojavastaavan rooli sekä vastuut, uuden rekisteriselostemallin luominen ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta 3. Tietoturvallisuuden toteuttaminen organisaation toiminnassa ja riskienhallinta (tietosuojanäkökulma ) 7. Lasten erityisaseman huomioiminen vaatimusten huomioiminen uusia palveluita ja tietojärjestelmiä kehitettäessä, ennakkokuulemiset, vaikutusten arviointi ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta 4. Rekisteröidyn oikeuksien toteuttaminen ja riskienhallinta (esimerkkityöpaja riskienhallinnasta) Tietosuoja Kimmo Rousku 37

38 Työpajoja: tietosuoja + tietoturva 2018: 11 kpl 8. Suostumukset ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta(case esimerkki ja harjoitus) 9. Sopimukset ja hankinnat, tietojen luovuttaminen ja siirtäminen ja toiminnan jatkuvuuden hallinta 10. Toiminnan jatkuvuuden hallinta Toiminnan jatkuvuuden hallinta 15. Häiriötilanneharjoitus - suunnittelu yhteistyössä JUHTA/VAHTI Harjoituksen purku,suunnittelu yhteistyössä JUHTA/VAHTI 11. Organisaation arviointi tietoturvavelvoitteiden osalta, työkalun koulutus ja pyyntö raportoida ja toiminnan jatkuvuuden hallinta 17. Joulukuussa, yhteishankkeen päätöstilaisuus Säätytalolla Tietosuoja Kimmo Rousku 38

39 Miten pääset mukaan? Organisaatiotason ilmoittautuminen yhteishankkeeseen on auki koko hankkeen ajan Ilmoittautumisessa pyydetään nimeämään yhteyshenkilö, jonka kautta tieto uusista videoista ja työpajoista menee eteenpäin Organisaatio voi ilmoittautua yhteishankkeeseen (kunta tai valtionhallinnon organisaatio) oheisesta linkistä yritysten asiantuntijat - ilmoittautuminen seuraamaan työpajaa Kuka tahansa voi ja saa tulla netin kautta tilaisuuksia seuraamaan kaikki materiaalit ja tallenne katseltavaksi myös tilaisuuden jälkeen Tietosuoja Kimmo Rousku 39

40 Materiaalit löytyvät - Tietosuoja Kimmo Rousku 40

41 Muuta ajakohtaista VAHTI-toiminta VAHTI asetettu v Siis julkisen hallinnon digitaalisen turvallisuuden johtoryhmä VAHTI 100-hanke uudistaa tietoturvallisuuden liittyviä vaatimuksia ja ohjeistuksia osana tiedonhallintalain sisällä tehtävää tietoturvallisuutta koskevaa lainsäädännön kehittämistä Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Tietosuoja Kimmo Rousku 41

42 Tietosuoja Kimmo Rousku 42

43 VAHTI-toimintakertomus ja VAHTI-barometri 97 organisaation, kaikkiaan henkilön vastaukset arvioituna Sisältää alussa havainnot ja kehittämisehdotukset Tietoturvallisuuden ohjeistus ja koulutus on kesken! Kolmasosa ei tiedä, mitä ja miten tulee toimia Tietosuoja Kimmo Rousku 43

44 Tietosuoja Kimmo Rousku 44

45 Kimmo Rousku VAHTI-pääsihteeri Puh Lisätieto: beta.vahtiohje.fi