Yksityisyyden hallinta ja tietoturvallisuus

Transkriptio

1 IT ADVISORY Yksityisyyden hallinta ja tietoturvallisuus ADVISORY 5. helmikuuta 2009 Mika Laaksonen, CISSP, CISA, CISM

2 Esityksen sisältö Termit ja määritelmät Yksityisyyden nykytila: asiakkaiden tarpeet ja nykyiset palvelut Lainsäädäntö ja muut oleelliset määräykset Yksityisyyden hallintajärjestelmän rakentaminen Yksityisyydensuoja vs. tietoturvallisuus 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 1

3 Termit ja määritelmät Yksityisyyden suoja ja tietosuoja Yksityisyyden suoja Yksityiselämän suoja. Suomen perustuslain 10 :ssä suojattu perusoikeus Yksityisyyden suojaan kuuluu yksityiselämän suoja, jonka lähtökohtana on, että yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista siihen. Yksityisyyden suojaan kuuluu myös oikeus tietää ja päättää itseään koskevien tietojen käytöstä Yksityisyydensuoja on kuluttajan oikeus Tietosuoja Tietosuoja on yksi osa tiedon elinkaaren hallintaa Tietosuojaan kuuluvat ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä. kilpailuvaltti Perusoikeus, joka on tarkoitettu turvaamaan kansalaisen yksityisyys suojaamalla henkilötiedot oikeudettomalta tai henkilöä vahingoittavalta käytöltä. 1) tietojen valtuudettoman saannin estäminen ja tietojen luottamuksellisuuden säilyttäminen 2) henkilötietojen suojaaminen valtuudettomalta tai henkilöä vahingoittavalta käytöltä" 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 2

4 Termit ja määritelmät Henkilötieto ja tietoturvallisuus Henkilötieto Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi Henkilötieto määritellään tietosuojadirektiivin 2 artiklassa. Mikä tahansa tieto, joka viittaa, tunnistettuun tai tunnistamattomaan, luonnolliseen henkilöön 1 Tietoturvallisuus Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen. Keino toteuttaa tietosuojaa 1. Tietosuojadirektiivin (95/46/EC) artiklan 29 nojalla perustettu työryhmä on antanut ohjausta (Opinion Nº 4/2007 on the concept of personal data, WP 136) henkilötiedon käsitteen määrittelemisestä. 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 3

5 Yksityisyyden nykytila: asiakkaiden tarpeet ja nykyiset palvelut 1/3 Nykytila: Yhdysvalloissa identiteettivarkaudet ovat nopeimmin kasvava rikosmuoto 1. Identiteettivarkaudet ovat tulleet Suomeenkin Erilaisia rahantekomahdollisuuksia kokeillaan: pikavipit, kännykkäliittymät Suomessa identiteettivarkaus ei ole rikos! Petos sen sijaan on. Suomen lait eivät velvoita kertomaan tapahtuneesta niille, joiden identiteetti on varastettu esimerkiksi tietoverkossa. Organisaatioissa yksityisyyden hallintaan kiinnitetään yhä enemmän huomiota Kustannukset tietojen kadottamisesta ovat suuret, noin 47/ vuotanut tieto tai keskimäärin 1.4 miljoonaa / tietovuototapaus 3 Isot palveluntarjoajat yrittävät jarruttaa kehitystä, koska henkilöiden tietojen hyväksikäyttö on keskeinen osa niiden liiketoimintaa Ote Google selaimen käyttäjäehdoista "Lähettämällä, julkaisemalla tai esittämällä sisältöä käyttäjä myöntää Googlelle pysyvän, peruuttamattoman, maailmanlaajuisen, tekijänpalkkioista vapautetun ja eiyksinomaisen oikeuden jäljentää, mukauttaa, muokata, kääntää, julkaista, suorittaa julkisesti, esittää julkisesti ja jakaa käyttäjän Palveluissa tai niiden kautta lähettämää, julkaisemaa tai esittämää sisältöä Tarjolla uusi henkilöllisyys, vain 95 euroa! Internetrikolliset myyvät kokonaisia identiteettejä vain 80 punnan eli noin 95 euron hintaan, kertoo BBC. Nettikaupassa myytyihin identiteettipaketteihin kuuluu nimi, osoite, passin numero ja luottamuksellisia taloudellisia tietoja kuten luottokorttien numeroita Reijo Aarnio. Helsingin Sanomat /HS.fi :52 2. Uusi Suomi / Ulkomaat Annual Study: U.K. Cost of a Data Breach KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 4

6 Yksityisyyden nykytila: asiakkaiden tarpeet ja nykyiset palvelut 2/3 Nykytila: 92% Fortune 250 yrityksistä julkaisee Corporate governance tai eettiset sääntönsä, mutta vain 59% julkaisee tiedot näiden rikkomuksista 1 KPMG:n Fortune 1000 yritysten johtajille tekemän tutkimuksen mukaan keskeisimmät yksityisyyden suojaan liittyvät liiketoiminnalliset riskit ovat: Maineen kärsiminen (64% vastauksista) Asiakkaiden menetykset (44% vastauksista) Korvaukset tai joukkokanteet (34%vastauksista) Vaatimusten noudattamisen kustannukset (32% vastauksista) Monster-rekrytointipalvelun käyttäjätietoja varastettu 3 Rekrytointipalvelu Monsterilta on varastettu käyttäjien tietoja. Yhtiön mukaan tietomurrossa katosi käyttäjätunnusten ja salasanojen lisäksi käyttäjien henkilökohtaisia tietoja. Monster ei kerää tilinumeroita tai henkilötunnuksia, joten niitä ei ole kateissa, yhtiön tiedotteessa kerrotaan. The Timesin mukaan jopa 4,5 miljoonan britin tiedot ovat päätyneet vääriin käsiin - Saman tutkimuksen mukaan 87 % vastaajista uskoo yksityisyydensuojan merkityksen korostuvan 55% odottaa näkyviä oikeusjuttuja Rekisteritietoja aiotaan karsia henkilötietovarkauksien pelossa 4 KPMG:n vuoden 2008 Data Loss Barometrin 2 mukaan: 25% tietovuototapauksista liittyi tietokoneiden varkauksiin. 80% näistä tapauksista aiheutti henkilötietojen katoamisen 51% tapauksista johtui organisaation omasta toiminnasta 46 %:ssa tapauksista tieto ei ollut salattu Sisäministeriö suositti vuosi sitten muutoksia siihen, miten julkisten rekistereiden tietoihin saa päästä käsiksi. Muutoksia valmistellaan ainakin kaupparekisteriin. Työryhmä todennäköisesti esittää osoitetietojen jättämistä pois rekisteristä. Lisäksi henkilötunnuksen loppuosa jäisi pimentoon tavallisilta käyttäjiltä. 1. KPMG International Survey of Corporate Responsibility Reporting 2008 ( 2. KPMG Data Loss Barometer 2008 ( 3. hs.fi :04 4. Hs.fi : KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 5

7 Yksityisyyden nykytila: asiakkaiden tarpeet ja nykyiset palvelut 3/3 Suojautumisessakin jo markkinat Kuluttajille tarkoitetut palvelut Esim. Asiakastiedon palvelu -> mahdollisuus asettaa itselle luottokielto Oma Luottokielto 9,85 (sis. ALV 22%) Yhdysvalloissa on jopa miljoonan dollarin vakuutuksia henkilötietovarkauksien varalta 1. Organisaatioiden luotettavuusluokitukset Esim. Ponemon Institute ja TRUSTe Organisaatiolle tarkoitetut yksityisyydensuojaan liittyvät neuvontapalvelut Esim. KPMG privacy Institute ja Privacy bulletin 4 Least Trusted U.S. Federal Organization Customs and Border Protection National Security Agency Central Intelligence Agency Department of Justice Bureau of Citizenship and Immigration Most Trusted Companies for Privacy American Express ((no change) 2 ebay (+6) 3 IBM (no change) 4 Amazon (+1) 5 Johnson & Johnson (+1) 6 Hewlett Packard (+10) 7 U.S. Postal Service (+1) 8 Procter & Gamble (+2 9 Apple (new to the top 20) 10 Nationwide (remained the same) 1. Reijo Aarnio. Helsingin Sanomat /HS.fi :52 2. Ponemon Institute / Marketwire ( 3. Ponemon Institute and TRUSTe ( KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 6

8 Lainsäädäntö ja muut oleelliset määräykset Lainsäädäntö EU:n direktiivi yksityisyyden suojasta 1995 Toteutettuna kaikissa EU-jäsenmaissa Henkilötietolaki, Laki yksityisyyden suojasta työelämässä Sähköisen viestinnän tietosuojalaki Perustuslaki Toimialakohtainen sääntely Julkisella sektorilla, terveydenhuollossa, telealalla jne. omat vaatimuksensa Pankkisalaisuus, teletunnistetiedot, ym. Itsesäätely OECD:n 8 yksityisyysperiaatetta Collection limitation: tietoja saa kerätä vain määritellyistä aiheista käyttäjän luvalla Data quality: tietojen tulee olla relevantteja ja ajankohtaisia Purpose specification: tietojen käyttötarkoitus tulee määritellä, tiedottaa ja sitoa tietoihin Use limitation: tietoja saa käyttää vain määriteltyyn tarkoitukseen Security safeguards: tietoturvasta tulee huolehtia Openness: yrityksen tulee selvittää mitä tietoja he keräävät, kuka vastaa tietojen käsittelystä ja kuinka häneen saa yhteyden Individual participation: henkilön tulee saada tarkastaa, haastaa ja muuttaa omia tietojaan Accountability: organisaatiossa tulee olla vastuuhenkilö Vastaavat löytyvät EU:n tietosuojadirektiivistä, USA:n Safe Harbour -järjestelystä ja useista kontrollikatalogeista (GAPP ym.) Binding Corporate rules tai KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 7

9 Yksityisyyden hallintajärjestelmän rakentaminen Miksi? Yksityisyys ja tietosuoja koskettavat kaikkia organisaation toimintoja, kuten tietoturva Kokonaisvastuu on pakko määritellä, jotta asia tulee hoidettua Ei voi vierittää edes IT:n vastuulle, kuten tietoturvassa usein tehdään Yksityisyys ja tietoturva ovat eri asiat, ja joskus jopa ristiriidassa Yksityisyys edeltää tietoturvaa: se antaa tietoturvaohjelmalle turvallisuusvaatimuksia Varautuminen on halvempaa kuin jälkihoito Maineriskit, tiedottamiskustannukset Asiakkaita kiinnostaa miten heidän tietojaan käsitellään Liiketoimintavaatimus Henkilötietojen käsittelyn vaatimukset ja rajoitukset (esim. siirto EU:n rajojen yli) Mahdollistaa helpomman toimintamallin Jos haluat huolehtia yksityisyydestä, rakenna yksityisyyden hallintajärjestelmä! PRMS Key Processes 1) Define Privacy Strategy 2) Manage Privacy Investment 3) Manage Human Resources 4) Monitor Legal and regulatory compliance 5) Assess Risks 6) Manage Projects 7) Monitor System Development Control 8) Monitor Technical Change Management 9) Privacy Service Level Management 10) Redress Process 11) Report Privacy Performance 12) Assess Control Adequacy 13) Independent Privacy Audit 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 8

10 Yksityisyyden hallintajärjestelmän rakentaminen Mikä? Privacy Management System (PMS), vrt. Information Security Management System KPMG:llä ISO sarjan pohjalta kehitetty, samanlainen hallintajärjestelmä Kontrollitavoitteet on vaihdettu yksityisyyden hallintaan keskittyviin Yksityisyyspolitiikka, yritysjohdon julkilausuma yksityisyysohjelman tavoitteista ja hallinnoinnista Yksityisyyspäällikkö, Chief Privacy Officer (CPO) Luottamusmiestä vastaava rooli asiakkaiden ja henkilöstön edustaja Yksityisyyden tietoisuuskoulutus 1 Tietoisuusohjelma, kuten tietoturvallisuudessakin Asiakkaille tiedotus eri palveluissa yksityisyyskäytännöistä OECD:n Privacy Statement Generator ( 1. Esimerkki KPMG:n toteuttamasta Privacy koulutuksesta: (käyttäjätunnus = kpmg Salasana = Kpmg0102 ) 2. PET = Privacy Enhancing Technology 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 9

11 Yksityisyyden hallintajärjestelmän rakentaminen - Teknisiä ratkaisuja PET = Privacy Enhancing Technology = Hallinnan toteutusta tukevia teknisiä ratkaisuita Tavalliset tietoturvaratkaisut riittävät pitkälle Yksityisyyden suojaamiseksi etenkin tiedon hallinta (information governance) pitäisi olla kunnossa, vaan onko se? Data Loss Prevention (DLP) järjestelmät trendikkäitä Tunnetaan myös nimellä Extrusion Detection System (EDS, vrt. IDS) Valvovat tietoliikennettä henkilötietojen, luottotietojen tai muun salaisen materiaalin varalta ja huomauttavat tai pysäyttävät loukkaustilanteissa Joissakin järjestelmissä esim. yhteys sähköpostiin ja dokumenttienhallintaan Lex Nokia. Meneekö ulos yrityssalaisuuksia? Lehdistötiedote, joka on julkinen vasta huomenna, ei lähde sähköpostipalvelimen kautta salaamattomana maailmalle vielä tänään Tietosuojan luokittelu ja merkitseminen tietoihin perinteisesti ollut vaikeaa onnistuuko se nykyäänkään? Personal Data Platform Credit card/ smart cards Mobile Phone /PDAs Home PC/ Smart Home Intelligent Car Wearable Devices/ Ambient IT Access control Biometrics e-health Record Invasion Phase 2 Use Internal versus External Third Party Appropriateness Discovery/Subpoena Phase 1 Generation Ownership Classification Governance Information Infrastructure INTERNET/ INTERNET/ Portals/ Portals/ ASPs ASPs Caching Billing Logging Tracking Business Process Interdependencies Banks Hospitals Public Authorities Commerce Utilities Uncontrolled Distribution Risk Analysis Research Insurance Employers Law Enforcement Logistics Profiling Phase 4 Transformation Derivation Aggregation Lineage Phase 5 Storage Access Control Phase 3 Transfer Integrity Structured versus Unstructured Public versus Private Networks Integrity/Availability/Confidentiality Encryption Requirements Encryption Access Control Compliance Audit & Regulatory Legal Measurement Business Objectives Phase 6 Archival Legal and Compliance Offsite Considerations Media Concerns Retention Phase 7 Destruction Secure Complete Untrusted 3rd Parties Web Bugs Data Marketing Click Streams Data Leakage 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 10

12 Yksityisyyden hallintajärjestelmän rakentaminen roolit ja vastuut Suunnittelu Toteutus Valvonta Johto Business case Budjetointi Raporttien vaatiminen Tietostrategia Riskienhallinta Vaatimusanalyysi Gap analysis Vaatimus-perustainen riskianalyysi projekteille Kokonaisuuden mittaaminen ja raportointi Standardien tuottaminen Liiketoiminta-yksiköt Vaatimusanalyysi ja vaatimusten esittäminen Prosessien kuvaaminen Tietosuojan vieminen osaksi työrutiineja Tiedon luokittelu Asiakaspalaute Käytännön palaute toimivuudesta Rutiinien kuvaaminen Poikkeamien havainnointi ja eskalointi Uusien liiketoimintaideoiden eskalointi tietosuojayksikölle Tietoturva Tietoturvaratkaisut tukemaan tietosuojaa Politiikat ja ohjeet Tekniset suojausratkaisut Suojausten toimivuuden testaus Tietohallinto Tietojärjestelmien käyttösäännöt ja perehdytys Tietojärjestelmien kehitys Teknisen valvonnan toteutus HR Henkilöstön kartoittaminen Henkilöstön tietoisuusohjelma Tietoisuusohjelman kehittäminen 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 11

13 Yksityisyyden hallintajärjestelmän rakentaminen Esimerkki tuotoksista Stage Who Data Notes on data processing Risk Disclosure of member or staff personal or sensitive data as the result of unauthorised access to System 6 Standard Renewals 1A 2A Termination of Policy Systems 6 Max age policy letter issued automatically to client renewed UK Renewals for Term Life Policies 1B Database of 2B System 6 policies due to Contact customer expire to sell new policy by letter 5B Contact customer Client contact No to sell new policy made? by phone Client contact Yes made? Yes No 6B Policy expiration Client accepts No updated on new policy? System 6 Yes 7B Letter sent to 3B New Policy confirm expiration information updated on System 6 Control Access to System 6 is restricted based by role within XXX. System 6 access is approved by Systems Admin after approval by a Senior Manager within the relevant team Risk System compliance System 6 architecture should support compliance data protection requirements Control No data protection control framework is applied to the design and running of XXX installed base of key systems Risk Data protection training. Agents interacting with (prospective customers), requesting (sensitive) personal data, can easily create data protection violations 1A 2A 1B 2B 3B 4B 5B Systems Admin Customer Services Systems Admin Customer Services Customer Services Systems Admin Customer Services 1. N/A 2. Personal (name, address, policy number, product name, date of expiry / cancellation) 1B. Personal; Financial; Medical (name, address, policy number, product type, date of expiry, date of birth, gender, sum insured of old product, premium of old product, premium of offered product, smoking indicator, internal account ID, telephone number) 2B. Personal; Financial; Medical (name, policy number, product type, sum insured, proposed term (1, 5 or 10 years), proposed premium, smoking indicator) 3B. Personal; Financial; Medical (name, address, policy number, product type, date of expiry, date of birth, gender, premium of offered product, smoking indicator, internal account ID, telephone number) 4B. As in 3B 5B. As in 1B For standard policies, yearly renewals are automatic Once the maximum age for the policyholder is reached, the policy is cancelled and a termination letter is issued A database of policies due to expire is produced by Systems Admin Customer Services issue a letter to the customer to sell a further policy If contact is made and the client accepts the new policy, Customer Services updates the new policy information on System 6 If the customer accepts the new policy, Systems Admin issue the Welcome Pack and Terms & Conditions If the customer does not respond to the letter, Customer Services telephones the customer using a fixed script Systems Admin 4B Welcome Pack & Terms & Conditions issued Control Data protection training was not observed. Controls applied to scripting were also not observed 6B 7B Customer Services Customer Services 6B. As in 1B 7B. As in 2A If there is no contact from the customer, the policy expires. As System 6 does not allow for automated expiry, Customer Services process the cancellation transactions on System 6 An expiration letter is issued to the customer 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 12

14 Yksityisyydensuoja vs. tietoturvallisuus Privacy Privacy Policy Notification Subject rights Purpose binding Proportionality Data quality Lawful transfer Security Policy Classification Logical security Physical security Availability Compliance Security Security organisation Personnel security IT Services Mgmt. System development 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 13

15 The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. Yhteystiedot Mika Laaksonen KPMG Oy Ab +358 (0) mika.laaksonen@kpmg.fi KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG All rights reserved. Printed in Finland.

16 KPMG:n tietosuojaan liittyviä palveluita Binding Corporate Rules (BCR) Henkilötietojen välittäminen EU:n ulkopuolisiin maihin helpottuu itsevalvonnalla Oma tarkastusprosessi pitää hyväksyttää tietosuojavaltuutetulla Tekee henkilötietojen käsittelystä huomattavasti halvempaa Yksityisten tietojen tehokas hyödyntäminen yksityisyyttä loukkaamatta Miten teet monimutkaista analyysia asiakaskunnasta? Anonymisoi tiedot! Monet palveluntarjoajat kehittävät jo palveluitaan hyväksikäyttäen merkittävästi asiakkaiden tuottamaa tietoa Tietosuojan hallinnan kustannusoptimointi Tehokas ja yhtenäinen tietosuojan hallintajärjestelmä on edullisempi ja toimivampi kuin organisatoriset purkka+teippi-ratkaisut Yksityisyys ulkoistuksissa Tietoisuuskoulutus Tietosuojaloukkausten hallinta (Privacy Incident Management) Ulkoistettu yksityisyyspäällikkö 2009KPMG Finland, the Finnish member firm of KPMG All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG 15