Cyberwatch-kvartaalikatsaus Q1 / 2018

Samankaltaiset tiedostot
KYBERVAKOILU uhka kansalliselle turvallisuudelle?

Suomen kyberturvallisuuden nykytila ja tulevaisuus

Sosiaaliset mediat ja tietosuoja. Juha Kontturi IT -suunnittelija Turun ammattikorkeakoulu

Missä Suomen kyberturvallisuudessa mennään -Kyberturvallisuuskeskuksen näkökulma

Komission tiedonanto: Tekoälyn koordinoitu toimintasuunnitelma. Maikki Sipinen Työ- ja elinkeinoministeriö

Sisäisen turvallisuuden ja Ulko- ja turvallisuuspoliittinen selonteko

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Kyberturvallisuudessa on kyse luottamuksesta digitalisaation hyötyihin

Sisäisen turvallisuuden ja Ulko- ja turvallisuuspoliittinen selonteko Talousvaliokunta,

Tietosuoja KERÄÄTKÖ TALLENNATKO KÄYTÄTKÖ HENKILÖTIETOJA? Mitä henkilötiedot ovat? Paremmat säännöt pienten yritysten kannalta.

TEEMME KYBERTURVASTA TOTTA

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

T E R H O N E V A S A L O

Katoaako yksityisyyden suoja pilveen?

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Ajankohtaista tietosuojaan liittyen. Network to Get ammattikorkeakoulu, Leppävaara Antti Vartiainen

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Kauppasodan uhka. Hämeen kauppakamarin kevätkokous Johnny Åkerholm

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Datan vapaa liikkuvuus EU:ssa komission asetusehdotus

Vaikuttamistyö kehitysmaissa. Mariko Sato,

1995 Schengen Sisämarkkinat

Kyberturvallisuuden haasteet markkinoinnille

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

EU TIETOSUOJA- ASETUS

Euroopan unionin tilanne ja toimintaympäristö 2017

CySec Ice Wall Oy. Aki Pitkäjärvi (CSO/CTO/DPO) Eurooppalainen tietosuoja-asetus. GDPR General Data Protection Regulation

Digitaalisen liiketoiminnan kehittäjä 30 op erikoistumiskoulutus

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

Digitaalisen liiketoiminnan kehittäjä erikoistumiskoulutus (30 op) OPINTOJAKSOKUVAUKSET. Kaikille yhteiset opinnot (yhteensä 10 op)

LAKI SOTE- TIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

Maailmantalous ja Amerikka

Näkymiä maailmantaloudesta ja kauppapolitiikasta

Digitaalisen liiketoiminnan kehittäjä 30 op erikoistumiskoulutus

#kybersää maaliskuu 2018

PETU10+ Pelastustoimen tutkimuslinjaukset

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Osaat kehittää oman pk-yrityksen liiketoimintastrategiaa ottaen huomioon Osaamistavoitteet digitalisaation tuomat mahdollisuudet.

MTS Seminaari, Cyberlab Oy, CEO, FISC ry, Executive Director: Juha Remes

TEEMME KYBERTURVASTA TOTTA

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Digitaalisen maailman mahdollisuudet OKM:n kirjastopäivät Minna Karvonen

Kulttuuri- ja koulutusvaliokunta LAUSUNTOLUONNOS. teollisuus-, tutkimus- ja energiavaliokunnalle

Kyberturvallisuus vuosi 2018, 2019 & #kybersää? VAHTI-päivä Tilannekuvapalveluiden ja yhteistyöverkostojen päällikkö Jarna Hartikainen

MITÄ TIETOSUOJA TARKOITTAA?

Digitalisaation vaikutukset ja mahdollisuudet energia-alan palveluille. Juho Seppälä Digia Oyj

Valtionhallinnon näkökulmia talouteen ja hallinnon tuleviin palveluratkaisuihin Helena Tarkka Kieku-foorumi

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tervetuloa! Juha Jolkkonen Toimialajohtaja Helsingin sosiaali- ja terveystoimiala Sosiaali- ja terveydenhuollon tietosuojaseminaari

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

Varmaa ja vaivatonta viestintää

Kirjastot digitalisoituvassa maailmassa: haasteita, linjauksia ja olennaisuuksia

10 Yksityiselämän suoja

Kansalaisyhteiskunta ja julkisuus

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

CALL TO ACTION! Jos aamiaistilaisuudessa esillä olleet aiheet kiinnostavat syvemminkin niin klikkaa alta lisää ja pyydä käymään!

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Suomalainen pilvimaisema Yhteenveto Liikenne- ja viestintäministeriön selvityksestä 2013

Kauppapolitiikka Mistä kauppapolitiikassa on kyse?

Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö

Onko meitä petetty, mihin voi enää luottaa?

EU-koheesiopolitiikan valmistelu sekä OECD-raportin politiikkasuositukset

Sote-asiakastietojen käsittely

VAIN KILPAILU- KYKYINEN EUROOPPA MENESTYY. Metsäteollisuuden EU-linjaukset

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

Turvallisuudesta kilpailuetua. Mika Susi Elinkeinoelämän keskusliitto EK Turvallisuus 2.0 valtakunnallinen turvallisuusseminaari 24.1.

Uuden tietoyhteiskunnan teesit. #uusitietoyhteiskunta

TEEMME KYBERTURVASTA TOTTA

Disinformaation torjunta verkoissa EU-komission tiedonanto Jouni Lind Valtioneuvoston kanslia/eu-sihteeristö

Miksi Avointa Dataa? 11/15/13 Heikki Sundquist

Kyberturvallisuus edellyttää johtajuutta Salo CyberTalks,

Yhteiskunnan turvallisuusstrategian perusteet

VSSHP toiminnan Riskianalyysi v Vuosisuunnitteluseminaari Kuntaneuvottelu

Sosiaalinen media yrityskäytössä Yhteenvetoraportti, N=115, Julkaistu: Vertailuryhmä: Kaikki vastaajat

Miten tietoa voisi kysyä vain kerran?

Sosiaalisen median mahdollisuudet & hyödyt

Euroopan unionin neuvosto Bryssel, 14. syyskuuta 2017 (OR. en)

Matkailun valtakunnallinen digitiekartta Missä mennään?

Sosiaalinen media. Havaintoja eduskuntavaalien kampanjasta ja pohdintoja koskien presidentinvaaleja

Digitalisaatio, kyberturvallisuus ja Euroopan pohjoisten alueiden erityiskysymykset

YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

Takaisin tulevaisuuteen katse tulevaan

Liiketoiminnan siirtäminen uusille IT alustoille

Ravintola Kalatorin tietosuojaseloste

Mitä huomioida viestittäessä tietosuojakysymyksistä. Irene Leino, yritysvastuuasioidenpäällikkö, Suomen UNICEF

Rakennetaan älykästä ja avointa Eurooppaa

Ulkoasiainvaliokunta LAUSUNTOLUONNOS. kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle

HE 50/2016 vp. Esityksessä ehdotetaan säädettäväksi laki ehdolliseen pääsyyn perustuvien ja ehdollisen pääsyn

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Eettistä tietopolitiikka tekoälyn aikakaudella. Syksy 2018

Pk-yritysbarometri, syksy Alueraportti, Helsinki

Data käyttöön! Ministeriön datapolitiikka osana työ- ja elinkeinopolitiikkaa

Espoon Avoimen osallisuuden malli

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

EUROOPAN UNIONI. Periaatteita LÄHDE: OTAVAN OPEPALVELU

Transkriptio:

Cyberwatch-kvartaalikatsaus Q1 / 2018 1. Kybertapahtumat osana poliittisen ilmapiirin kiristymistä. 2. Kyberturvallisuuden strateginen johtaminen Suomessa. 3. Facebook ja Cambridge Analytica - tiedonkeruun realiteetit julki. 4. Tietovuotojen yhteiskunnallinen ulottuvuus Suomessa. 5. EU panostamassa jopa 1.5 miljardia euroa vuosittain kyberturvallisuuden kehittämiseen. Cyberwatch - trust beyond horizon 1

Cyberwatch-kvartaalikatsaus Q1 / 2018 Tässä kvartaalikatsauksessa tarkastellaan kybertilannekuvaa hieman laajemmalla perspektiivillä ja yleisemmällä tasolla. Tilannekuvan fokus on alkuvuoden tapahtumissa, mutta tarkastelussa otetaan huomioon myös aikaisempia ja huhtikuun alun tapahtumia. Tilannekuva Alkuvuoden tapahtumien valossa maailmanpoliittiset jännitteet näyttävät kiristyvän entisestään. Polttopiste siirtyi Pohjois-Koreasta Syyriaan, mutta valtapolitiikan suurvallat Yhdysvallat, Venäjä ja Kiina jatkavat valtataisteluaan useammalla rintamalla. Tämän hetken kehitystä ei voi kovin diplomaattiseksi kehua. Protektionismi lisääntyy ja kauppasota uhkaa. Merkillistä on, että Yhdysvallat käytännössä ajaa talouspakotteidensa kautta Kiinaa entistä itsenäisemmäksi ja omavaraisemmaksi, edesauttaen Kiinan kehittymistä seuraavaksi talousmahdiksi. Yhdysvalloilla on selvästi enemmän hävittävää kuin voitettavaa tässä kauppasodassa. Informaatiovaikuttamista, kyberhyökkäyksiä ja niistä syyttämistä käytetään entistä enemmän poliittisina vaikutuskeinoina. On yhä vaikeampi hahmottaa, onko kyseessä kyberhyökkäys itsessään syy vai poliittisen päätöksen seuraus. Huolestuttava suunta on, että syylliset etsitään ja nimetään entistä rohkeammin ja nopeammin. Enää ei "epäillä" vaan syytetään kyberhyökkäyksistä virallisesti valtiotasolla. Tällä halutaan antaa vahva poliittinen viesti, että "tiedetään mitä verkossa tapahtuu", vaikka täyttä varmuutta ei olisikaan. Näitä syytöksiä on mahdollista käyttää myös informaatiovaikuttamisen välineenä ja harhautuskeinoina. Hybridivaikuttamisesta on tullut jokapäiväistä toimintaa ja uusia toimintatapoja kokeillaan ja kehitetään jatkuvasti. Näyttää siltä, että poliittiset tavoitteet ohjaavat entistä enemmän hybridivaikuttamisen kehitystä. Moderneilla kyberhyökkäyksillä on tässä merkittävä rooli. Siksi myös kyberturvallisuuden johtamiselta vaaditaan strategista otetta. Suomen ensimmäiseksi hybridisuurlähettilääksi nimettiin ulkoasiainneuvos Mikko Kinnunen. Hänen tehtävänsä on vahvistaa ulkoministeriön työtä hybridikysymyksissä ja auttaa luomaan Suomen profiilia kansainvälisessä toiminnassa. 1 Muuttunut turvallisuustilanne on vaikuttanut myös Suomen uhkakuvaan. Suojelupoliisin vuosikirjassa nostetaan esille yritysvakoilun ja kyberturvallisuuden uhkakuvat. Kybervakoilun tarjoamat mahdollisuudet ovat muuttaneet tiedustelumaailman toimintatapoja. Ulkoministeriön näkökulmasta hybridikysymykset saattavat kytkeytyä ulko- ja turvallisuuspolitiikkaan, oikeudellisiin ja kaupallisiin kysymyksiin, strategiseen viestintään tai vaikkapa kansainväliseen kyberyhteistyöhön eli käytännössä kaikkeen, mitä ministeriö edustustoverkkoineen tekee - Mikko Kinnunen, UM Suomen tiedustelulain käsittely etenee ja paineet sen voimaansaattamiseksi kasvavat. Facebookin tapaus nosti esiin tietojen keräämisen ja hyödyntämisen globaalit realiteetit. Tämä tapaus nostanee esiin vihdoin tietosuojalakien kehittämistarpeet myös Yhdysvalloissa. EU panostaa merkittävästi kyberturvallisuuden kehittämiseen. Koulutustarjonta kehittyy ja yhteistyö eri toimijoiden kesken vie asioita oikeaan suuntaan. EU:n yleinen tietosuoja-asetus (GDPR) astuu voimaan 25.5.2018, jonka jälkeen sitä sovelletaan kaikissa EU maissa. Tähän on aikaa enää reilu kuukausi! 1 http://formin.finland.fi/public/default.aspx?contentid=373597&contentlan=1&culture=fi-fi 2

1. Kybertapahtumat osana poliittisen ilmapiirin kiristymisestä. Yhdysvaltojen ja Kiinan välinen kauppasota on käynnistymässä ja osoittaa pahaenteisesti laajentumisen merkkejä. Yhdysvaltojen ja Venäjän välit ovat kiristyneet entisestään Englannissa tapahtuneen Skripalin myrkytystapauksen ja Syyrian myrkkykaasuiskujen jälkeen. Venäjä on ottanut vahvan roolin Syyrian puolustamisessa kiistäen hermokaasuiskut ja estäen niiden tutkinnan mandatoinnin YK:n turvallisuusneuvostossa. Venäjä on myös uhannut vakavilla vastatoimilla Yhdysvaltoja, Britanniaa ja Ranskaa. Tämä saattaa tarkoittaa myös kyberoperaatioita. 2 Samanaikaisesti Yhdysvaltojen turvallisuusviranomainen US-CERT 3 on julkaissut varoituksen Venäjän ilkeämielisitä kyberoperaatioista Yhdysvaltojen kriittistä infraa vastaan. Suuntana tämä on huolestuttava, sillä tässä kiristyneessä tilanteessa, mikä tahansa "riittävät todisteet" omaava kyberhyökkäys voidaan tulkita sotatoimeksi tai siihen rinnastettavaksi operaatioksi aiheuttaen vakavamman tilanteen eskaloitumisen. Valtio Yritykset ja organisaatiot Kansalaiset Poliittinen - Kyberoperaatiot poliittisten päämäärien tukena - Vakoilu, tiedustelu - Vaalit, vaikuttaminen - Yritysten joutuminen poliittiseen valtapeliin (Kaspersky, Fortum) - Uusia liiketoimintamahdollisuuksia - Yritysvakoilu - Valeuutiset - Sosiaalinen media - Informaatiovaikuttaminen - Epävarmuuden lisääminen Ekonominen - Kauppasota - Talouspakotteet - Vienti- ja tuontirajoitteet - Vienti- ja tuontirajoitteet kohdistuvat yrityksiin - Lisää epävakautta - Saattaa aiheuttaa pulaa materiaaleista - Saattaa vaikuttaa joidenkin tuotteiden saatavuutta ja nostaa hintoja pidemmällä aikavälillä Sosiaalinen - Kiristää valtioiden arvomaailmaa - Lisää protektionismia - Vaikeuttaa yritysten liiketoimintaa - Saattaa luoda jännitteitä organisaatiokulttuuriin - Informaatiovaikuttaminen - Yleisen mielipiteen muovaaminen Tekninen - Valtiollinen vakoilu - Kohdennetut hyökkäykset - Tietojen kalastelu - Kiristyshaittaohjelmat - Virtuaalivaluuttoja louhivat haittaohjelmat - Palvelunestohyökkäykset - Henkilöillä vastuu omien laitteiden ja salasanojen suojaamisesta - Haasteena teknologisen osaamisen puute Juridinen - Harmaalla alueella - Hyökkäyksien tekijää vaikea todentaa - Organisaatiot vastuussa omasta suojautumisestaan - Lähes mahdotonta saada hyökkääjiä vastuuseen - Viranomaisten resurssit riittävät vain vakavien rikosten selvittämiseen Taulukko 1: Kybertapahtumat osana poliittisen ilmapiirin kiristymistä 2 https://www.tivi.fi/kaikki_uutiset/venajalla-kaynnissa-jattimainen-kyberhyokkays-usa-britannia-ja-australia-syyttavat-kremlia-6720760 3 https://www.us-cert.gov/ncas/current-activity/2018/04/16/russian-malicious-cyber-activity 3

2. Kyberturvallisuuden strateginen johtaminen Suomessa. Valtioneuvoston kanslian tilaaman tutkimushankkeen 4 tavoitteena oli määritellä mitä kyberturvallisuuden strateginen johtajuus on ja miten sitä toteutetaan osana kokonaisturvallisuuden vastuumallia. Lisäksi tarkasteltiin, miten häiriötilanteiden hallinta toteutetaan laajoissa kyberturvallisuuden häiriötilanteissa sekä miten kyberturvallisuuden strateginen johtaminen on organisoitava ja millainen on valtionhallinnon kyberturvallisuuden johtamisen rakenne. Tutkimuksen tavoitteet ovat varsin kunnianhimoiset mitä on pidettävä hyvänä, koska kybermaailman muutokset ovat olleet nopeita ja haastavat Suomenkin perinteiset toimintatavat. Tämän tutkimushankeen suositukset ja analyysit antavat varmasti hyvät lähtökohdat tänä vuonna käynnistyvälle kansallisen kyberstrategiamme päivitystyölle. Valtio Yritykset ja organisaatiot Kansalaiset Poliittinen - Kybertilannekuva valtiojohdon päätöksenteon tukena päämäärien - Kyberturvallisuuden johtaminen osaksi valtiojohtoa - Parantaa suomalaisten yritysten kilpailukykyä ja kiinnostavuutta globaaleilla markkinoilla - Riskinä yritysten leimautuminen "valtiollisiksi toimijoiksi" - Suomesta turvallinen paikka elää ja yrittää - Luottamus viranomaisiin Ekonominen - Parantaa Suomen omavaraisuutta kyberturvallisuudessa - Luo työpaikkoja - Luo uusia liiketoimintamahdollisuuksia - Parantaa kilpailukykyä - Yhteistyö PPP-sektorilla - Lisää kansalaisten luottamusta digitalisiin palveluihin - Lisää koulutustarpeita ja -mahdollisuuksia Sosiaalinen - Yhtenäistää käytänteitä valtiohallinnossa - Parantaa tiedonkulkua ja vuorovaikutusta eri toimijoiden kesken - Parantaa tietoturvakulttuuria - Auttaa luomaan yhteistä toimintamallia ja kyberturvallisuuden mittaristoa - Kansallinen kybertietoisuuden ja koulutuksen parantaminen Tekninen - Nopeampi reagointi uusin uhkiin ja hyökkäyksiin - Prosessit, tekniikka ja ihmiset - Parempi toipumiskyky kyberhyökkäyksistä - Tekoälyn hyödyntäminen - Yritysten toipumiskyky - Kiristyshaittaohjelmat - palvelunestohyökkäykset - Tietojen kalastelu - Turvallisuusratkaisut kehittyvät ja niiden käytettävyys paranee - Haasteena teknologisen osaamisen puute Juridinen - Lainsäädäntö vastamaan kyberajan haasteita - Selvät pelisäännöt ja vastuut yritysten ja toimijoiden kesken Taulukko 2: Kyberturvallisuuden strateginen johtaminen Suomessa. - Laki kansalaisten ja heidän yksityisyyden suojan puolella 4 http://urn.fi/urn:isbn:978-952-287-532-7 4

Tutkimuksessa korostuu, että kyberturvallisuus on koko yhteiskunnan asia. Tämän kehityksen vuoksi varautumista yhteiskunnalle välttämättömien tietoteknisten järjestelmien ja rakenteiden toimivuuteen kyberuhka ja -häiriötilanteissa tulee tehostaa jo normaalioloissa. On erityisesti otettava huomioon, että suomalaisen yhteiskunnan ja yritysten riippuvuus kybertoimintaympäristöstä kasvaa entisestään tulevina vuosina. Kyberturvallisuuden johtaminen sisältää erityispiirteitä, jotka poikkeavat muista normaaliaikojen ja poikkeusolojen häiriötilanteista. Keskeisin tekijä on aika. Kyberhyökkäyksen valmistelu on mahdollista toteuttaa salassa ja pitkän ajan kuluessa, mutta itse hyökkäys voidaan toteuttaa erittäin lyhyessä ajassa. Kyberuhkien lisäksi tutkimuksessa korostuu, että kyberturvallisuus on myös suuri mahdollisuus parantaa koko yhteiskuntamme kilpailukykyä - jos digitalisaatiota ja sähköisiä palveluja rakennetaan käsi kädessä kyberturvallisuuden kanssa. Suomi tavoittelee johtajuutta kybermaailmassa, tämä tavoitteen saavuttaminen edellyttää tämän tyyppisten tutkimusten tarjoamien itsearvioiden ottamista vakavasti ja kaikkien yhteiskuntamme avainpelaajien yhteisiä ponnistuksia asioiden parantamiseksi. 3. Facebook ja Cambridge Analytica - tiedonkeruun realiteetit. Yhdysvaltojen ja eräiden muidenkin maiden vaalituloksiin vaikuttaminen on ollut näkyvästi esillä jo parin vuoden ajan aiheuttaen laajaa epäluottamusta sähköistä äänestystä ja sosiaalista mediaa kohtaan. Käyttäjätietoihin perustuvaa kohdennettua markkinointia on tehty vuosikaudet. Se on ollut Facebookin, Googlen ja monien muun yritysten toiminnan kivijalka. Myös sosiaalisen median kanavia, erityisesti Facebookia, on ennenkin käytetty menestyksekkäästi poliittiseen kampanjointiin. Facebook myönsi maaliskuussa 87 miljoonan käyttäjän tietojen vuotamisen Cambridge Analyticalle (CA) 5, joka puolestaan on käyttänyt tietoja mm. Yhdysvaltojen vaalikampanjassa. CA hyödynsi tiedonkeruuseen mm. Aleksandr Koganin 6 "tutkimustarkoitukseen" kehittämää Facebook-sovellusta "This Is Your Digital Life". Muodostettujen profiilien perustella toteutettiin tarkkaan kohdennettu Facebook-kampanja, ns. microtargetting. On hyvin todennäköistä, että muitakin vastaavia tiedonkeruu testejä ja sovelluksia on käytetty tiedon keräämiseen. 7 Tiedot on kerätty Facebookin silloisten käyttöehtojen puitteissa laillisesti. Se että tiedot on päätyneet kaupalliseen käyttöön CA:lle on jo kyseenalaista. Kuten myös se, ettei Kogan ollut tuhonnut tietoja toisin kuin oli luvannut ja että sovellus mahdollisti myös Facebook käyttäjien yksityisviestien lataamisen. 5 https://www.theguardian.com/uk-news/2018/mar/23/leaked-cambridge-analyticas-blueprint-for-trump-victory 6 https://en.wikipedia.org/wiki/aleksandr_kogan 7 https://www.tivi.fi/kaikki_uutiset/seksikompassiin-ei-olisi-kannattanut-langeta-facebook-vuoto-nayttaa-yha-rumemmalta- 6720900 5

Toki voi epäillä, onko Kogan tai hänen perustama yritys Global Science Research (GSR) luovuttanut tietoja myös muille toimijoille tai toiminut jopa linkkinä Venäjän hallintoon. Kogan itse toimii professorina sekä Cambridgessä että Pietarin ylipistossa, jossa hän luennoi mm. Facebookin mahdollisuuksista tiedonlouhintaan 8. Huomioitavaa kuitenkin on, että CA:n taustalla ovat yhdysvaltalaismiljardööri Robert Mercer 9, jota tituleerataan mieheksi Trumpin voiton takana, sekä Trumpin entinen neuvonantaja Steve Bannon. Valtio Yritykset ja organisaatiot Kansalaiset Poliittinen - Poliittisten päämäärien ohjaaminen - Oleellisena osana vaalikampanjoita - Vakoilu ja tiedustelukanava - Asiakassegmentointi tärkeä osa markkinointia - Uusia liiketoimintamahdollisuuksia - Suuri yritysvakoilun ja tietovuotojen riski - Mielipidevaikuttaminen - Tarkkaan kohdennetut poliittiset kampanjat (micro-targetting) - Luottamus politiikkaan murenee Ekonominen - Valtio menettää verotuloja mainosrahojen valuessa ulkomaille - Merkittävä viestintä- ja markkinointikanava - Yrityksillä ei ole todellisia vaihtoehtoja Facebookille - Facebookin muutokset saattavat vaikuttaa yritysten prosesseihin ja palveluihin - Facebook saattaa parantaa palvelua ja yksityisyydensuojaa yksityishenkilöiden näkökulmasta Sosiaalinen - Valtioiden ja ulkomaisten yritysten vaikutusmahdollisuudet toisen maan arvomaailmaan ja kulttuuriin - Yrityssalaisuuksia ja tietoa yhteistyöverkostoista - Suuri yritysvakoilun ja tietovuotojen riski - Tarkkaan kohdennettua viestintää ja mainontaa - Käytettiin jopa ihmisten pelkoja ja unelmia viestin kohdistamisessa Tekninen - Valtiollinen vakoilu - Kohdennetut hyökkäykset - Tietojen kalastelu - Toimii tiedustelukanavana ja kiristyshaittaohjelmien jakelun kohdistamisessa - Facebook-sovellusten käyttömahdollisuuksien rajoitukset - Tekoäly hoitaa viestinnän ja oppii ihmisten tyylin - Ihmisten vaikea tunnistaa palveleeko häntä ihminen vai kone Juridinen - Harmaalla jopa laittomalla alueella - Hyökkäyksien tekijää vaikea todentaa - Yritysten tiedot ulkomaisten toimijoiden hallussa - Tietoista väärinkäyttöä vaikea osoittaa - Yksityisyyden suoja heikko, mutta paranee Facebookin muutosten myötä - GDPR vaikuttaa myös Facebookiin Taulukko 3: Facebook ja Cambridge Analytica - tiedonkeruun realiteetit julki. 8 http://money.cnn.com/2018/03/20/technology/aleksandr-kogan-video-facebook-cambridge-analytica/index.html 9 http://www.cbc.ca/news2/interactives/sh/wex94odaus/trump-robert-mercer-billionaire/ 6

Facebookin (FB) ja Cambridge Analytican (CA) tapaus nosti esiin sen uhkakuvan ja todellisuuden, mitä on usein vähätelty - kaupallinen ja markkinointitarkoitukseen tiedonkerääminen, profilointi ja siihen perustuva tarkoin kohdennettu viestintä muodostaa uhkan länsimaiselle demokratialle, yhteiskuntamallille ja yksityisyydensuojalle. CA-tapaamisissa salaa kuvatut videot 10 paljastivat, kuinka röyhkeästi eri kanavia kerättyjä tietoja hyödynnetään, ja kuinka kyseenalaisia keinoja käytetään esimerkiksi presidentinvaalien kampanjoinnissa. Odotettavissa on myös uusia toimintatapoja, joilla kyberrikolliset pyrkivät hyödyntämään kaupallisten toimijoiden keräämiä tietoja. Sosiaalisen median palvelut globaaleina tiedustelukanavina Meihin vaikutetaan jatkuvasti monin eri tavoin. Pahinta on, että usein emme sitä itse edes huomaa. Juuri tähän perustuu Cambridge Analytican ja monen muun vastaavan yrityksen toiminta. Lisääntyvä uutissyötteiden ja lööppien tietotulva muodostaa toimintaympäristön, jossa ihmisten on rajattava tietolähteet vain heitä kiinnostaviin uutisiin ja foorumeihin, mikä puolestaan luo ennennäkemättömät informaatiovaikuttamisen mahdollisuudet digitaalisessa maailmassa - kokonaisvaltaisen asiakaskokemuksen, sanoisi markkinointivastaava. Mutta missä menevät uutisoinnin, markkinoinnin ja mainonnan sekä mielipidevaikuttamisen moraaliset rajat digitaalisella aikakaudella? On Yhdysvaltojen etu, että Facebook, Google, Microsoft ja muut teknologiajätit keräävät tietoa globaalisti. Tämä tuo merkittävät kanavat Yhdysvaltojen tiedustelupalveluiden käyttöön ja antaa konkreettisen edun suhteessa muihin valtioihin. Määrätietoinen ja johdonmukainen valtiollinen vakoilu on jatkuvaa. Sosiaalisen median kanavat tarjoavat tietomassoineen ja ihmissuhdeverkostoineen ennennäkemättömät mahdollisuudet tiedusteluun. Kybermaailma mahdollistaa entistä tehokkaammat keinot monipuoliseen vakoiluun sekä mahdollistaa tiedusteluorganisaatioiden uudet ja entistä aggressiivisemmat toimintatavat. Kyberhyökkäysten ja tiedustelun näkökulmasta huomioitavaa on, että kriittisen tiedon lähteenä onkin kolmas osapuoli, yhteistyökumppani tai palveluntarjoaja. Tietomurtojen kohdalla tulisikin pohtia, keihin tai mihin varastetun tiedon avulla voidaan vaikuttaa tai yrittää murtautua seuraavaksi. Yritysten tulisi kyberturvallisuuden kehittämisessä ottaa huomioon entistä paremmin koko heidän toimintansa ekosysteemi ei vain oma yrityksensä. 10 https://www.youtube.com/watch?v=cy-9icinf1a 7

4. Tietovuotojen yhteiskunnallinen ulottuvuus Suomessa. Maailman tapahtumat näkyvät myös Suomen turvallisuusympäristön muutoksissa. Tämä tulee esiin myös Suojelupoliisin 2017 vuosikirjassa. 11 Suomen tiedustelulain käsittely etenee valiokuntakäsittelyssä ja sen käyttöönottoon kohdistuvat paineet kasvavat. Helmikuisessa lähetekeskustelussa oli vain kaksi puheenvuoroa, jossa edes mainittiin Facebookin ja vastaavien ulkomaisten palveluiden merkitys myös suomalaisten tietosuojasta puhuttaessa. Tämä kertoo osittain myös siitä, ettei digitaalisen aikakauden todellisia vaikutuksia ymmärretä tai osata tulkita. Facebookin tapaus nosti esiin tietojen keräämisen globaalit realiteetit myös täällä Suomessa. Eräiden arvioiden mukaan Cambridge Analyticalle saattoi päätyä myös 20 000 suomalaisen tiedot. 12 Käytännössä ei ole mitään takeita sille, mitä kolmannet tai neljännet osapuolet tekevät kerätyllä datalla. Tietojen anonymisoinnin kautta datasta poistetaan yksilöivät henkilötiedot, jonka jälkeen datasta tulee laillista tilasto- ja profilointitietoa, johon ei enää sovelleta henkilötietolakia. Käytännössä henkilöt saattavat olla kuitenkin tunnistettavissa esimerkiksi neljännen osapuolen hallussa olevan datan perusteella tai tietoja analysoivan tekoälyn avulla. Onneksi GDPR tuo tilanteeseen hieman parannusta, vaikkei suojaakaan meitä rikolliselta tai valtiolliselta tiedustelutoiminnalta. Terveys- ja potilastiedot syynissä Alkuvuoden aikana olemme nähneet huolestuttavia uutisia terveyssektorille kohdistuneista tietomurroista. Tammikuussa tietomurron kohteena oli 2,8 miljoonan norjalaisen terveystiedot, maaliskuussa 150 miljoonan käyttäjän MyFitnessPal -käyttäjätunnukset. Tämän lisäksi Suomessa tuli esiin Lifecarepotilastietojärjestelmän ohjelmistovirheistä aiheutuneita toistuvia ongelmia 13, sekä Helsingin ja Uudenmaan sairaanhoitopiirin (HUS) potilaiden sairaskertomuksia päätyi väärille ihmisille ulkopuolisen palveluntarjoajan virheen vuoksi. Sairaala- ja hoitopalveluihin liittyvää terveysdataa voidaan pitää erityisen arkaluonteisena ja myös valtiollisia toimijoita kiinnostavana tietona. Terveystietojen päätyminen vääriin käsiin olisi monin verroin vakavampi tilanne kuin pelkkä henkilötietojen vuoto. Siksi potilas- ja terveystietojärjestelmät sekä niihin liittyvät prosessit tulisi nostaa entistä korkealle turvallisuuspriorisoinnissa. Myös potilaan näkökulma tulisi ottaa huomioon. Mitä esimerkiksi tehdään, kun potilaan terveystiedot ovat vuotaneet? Kuinka potilaan, eli yksittäisen kansalaisen tulisi siinä tilanteessa toimia? Kaupungit ja kaupunkien palvelut alttiita kyberhyökkäyksille Kaupungit ja kaupunkien palvelut ovat alttiita kyberhyökkäyksille siinä missä kaupalliset yritykset tai suuret kansainväliset jätitkin. Kaupungit ovat harvoin varautuneet laajamittaisiin hyökkäyksiin. Kunnilla ja kaupungeilla voi olla haasteita rakentaa toimintamalleja, jotka kattaisivat myös vanhat järjestelmät, sekä muuttaisivat organisaation turvallisuuskulttuurin. Yksi syy kaupunkien nouseminen potentiaalisiksi kohteiksi on, että kyberrikolliset näyttävät siirtyneen kiristyshaittaohjelmien levittämisen sijaan kryptovaluuttojen louhintaan. Tämän sai kokea helmikuussa 11 http://www.supo.fi/instancedata/prime_product_julkaisu/intermin/embeds/supowwwstructure/75374_supo_2017_fin_www.pdf 12 https://www.hs.fi/ulkomaat/art-2000005629430.html 13 https://www.tivi.fi/kaikki_uutiset/tiedon-jarjestelmasta-haetaan-korvauksia-mutta-rikosilmoitusta-ei-tehda-emme-maksatuotteesta-joka-sisaltaa-satoja-kriittisia-virheita-6720788 8

Lahden kaupunki, jonka tietojärjestelmät joutuivat Monero-kryptovaluuttaa louhivan WannaMine 14 haittaohjelmahyökkäyksen kohteeksi 15. Vaikka haittaohjelmien kiristyssummat eivät olisi suuria tai louhintahaittaohjelma kuluttaa lähinnä prosessoriaikaa ja sähköä, voi järjestelmien ja tietojen palauttamisen kustannukset nousta hyvinkin suuriksi, puhumattakaan mahdollisista palvelukatkoksista aiheutuvasta haitasta. 16 Helsingin uusiyrityskeskuksen 130 000 käyttäjätunnuksen ja salasanan varkaus 17 tulisi viimeistään herättää jokaisen suomalaisyrityksen ja organisaation tarkistamaan oman organisaationsa tietoturvan tila ja tehdä uusi riskianalyysi tämän hetken muuttuneessa turvallisuustilanteessa. 5. EU panostamassa jopa 1.5 miljardia euroa vuosittain kyberturvallisuuden kehittämiseen. Kyberalan kilpajuoksu jatkuu kovana maailmalla. Satsaukset kyberturvallisuuden kyvykkyyksien kehittämiseen vaativat yhä suurempia investointeja ja nopeampaa reagointikykyä. USA:n investoinnit ovat nyt yli 20 Mrd dollaria vuodessa ja UK:ssa lähennellään kolmea miljardia puntaa. Euroopan Unioni sekä pääosa EU:n jäsenmaista ovat UK:ta lukuun ottamatta jääneet lähtökuoppiinsa ja samalla eurooppalaista alkuperää olevien kyberturvatuotteiden maailman markkinaosuus on alle viidessä vuodessa pudonnut kolmestatoista prosentista seitsemään. Dynaaminen markkina ja varsin hidas EU byrokratia eivät ole olleet ihan yhteensopivia, mutta nyt EU:ssa puhaltaa muutosten tuuli. Syyskuussa 2017 julkistettiin ensimmäinen ehdotus EU Kyberturva-asetuksesta, joka alkaa nyt saada päälinjauksia. Vuoden 2018 aikana käynnistetään kolme pilottihanketta, joiden tarkoituksena on kehittää uudentyyppisiä innovaatioverkostoja sekä luoda EU:n digitaaliselle sisämarkkinalle uusia tapoja vahvistaa sisästä kyberturvaa mutta unohtamatta myös EU:n globaalia kilpailukykyä. Pilottivaiheessa investoidaan kolmeen pilottihankkeeseen 50 miljoonaa euroa, mikä kuulostaa globaalissa mittakaavassa vielä hyvin kosmeettiselta. Tämä on kuitenkin hidasliikkeisen EU:n tunnustelua huomattavasti suuremmalle panostukselle. 14 https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/02/ttn201802131503.html 15 https://www.tivi.fi/kaikki_uutiset/lahden-it-katastrofin-syy-jarjestelmat-laitettiin-louhimaan-bitcoineja-6700745 16 https://www.tivi.fi/kaikki_uutiset/lahti-pisti-piuhat-poikki-edes-kaikkia-tukia-ei-voida-maksaa-haittaohjelman-takia-6700852 17 https://www.viestintavirasto.fi/kyberturvallisuus/varoitukset/2018/varoitus-2018-01.html 9

EU aikoo uuden asetuksen myötä panostaa 1-1.5 miljardia euroa vuodessa kyberturvan kehittämiseen, vuodesta 2021 eteenpäin. Investoinnit sisältävät sekä kilpailukykyä parantavia, tutkimusta ja koulutusta edistäviä sekä myös kokonaan uutena yhteistyösektorina kyberpuolustukseen tähtääviä koko EU:n kattavia suuria hankkeita. Jos tämän lisäksi jäsenvaltiot tekevät myös omia suoria investointeja maidensa kyberturvan kehittämiseen, on EU:llakin mahdollisuus päästä takaisin globaaliin kyberalan kilpajuoksuun mukaan, ehkei heti keulille mutta ainakin mukaan parantelemaan asemiaan. EU joutuu muuttumaan ja sopeutumaan hyvin uudenlaisiin tilanteisiin. Suurvallat ovat aloittaneet kauppasodan, jossa Venäjän ja muun maailman välillä on kauppapakotteita, USA:n ja muun maailman välillä on rakentumassa kauppamuuri ja Kiina on alkanut hiljalleen ottaa johtajuutta omiin käsiinsä maailman politiikassa. Luottamuksesta on muodostunut uutta pääomaa politiikkaan, ja sitä on nyt hyvin vähän ollut viime aikoina jaossa. EU:lla on tässäkin mielessä huomattava näytön paikka. Sisämarkkinat on saatava kehittymään ja samalla on kyettävä luomaan uusia mekanismeja suojata Euroopan kilpailukykyä. EU:lla on varsin mittava ohjelma uudistuksia käynnissä, jolla pyritään luomaan sisäistä kilpailukykyä ja horjuttamaan globaalia kilpailuasetelmia digitalisaation ympärillä. GDPR on ensimmäinen askel erottautua digitalisilla markkinoilla. Henkilötietoon liittyvän tiedon omistajuus määritellään nyt ensimmäistä kertaa maailmassa ja se liitetään fyysiseen identiteettiin. Toistaiseksi henkilötiedon omistajuus on ollut varsin vahvasti globaaleilla digijäteillä mutta EU:ssa toimittaessa ihminen voi ottaa itseensä liittyvän data omistajuuden GDPR omaan haltuunsa. Mikäli yhtiöt eivät noudata säännöksiä, on koko EU:ssa olemassa vahvat sanktiot sääntörikkomuksista. Onko GDPR askel menestykseen EU:ssa ja tuleeko tämä leviämään globaalisti? Vai jääkö tämä viimeiseksi oikeustaisteluksi digitaalisen identiteetin puolesta? Tämä jää nähtäväksi. GDPR on alkanut saada vahvasti kannatusta Aasiassa. Kaakkois-Aasian maissa ollaan kopioimassa EU:n säännöksiä ja Filippiineillä on jo ehditty saattamaan GDPR voimaan - etuajassa vähän ennen EU:ta. 18 GDPR:n vanavedessä on syntymässä eprivacy Act 19, joka tulee rajoittamaan tiedon keräämistä. Henkilöihin liittyvää dataa ei saa kerätä ilman vahvoja perusteluja ja sen säilyttämiselle on tiukat aikarajat. Tähän sisältyy myös tietoturvaan liittyviä ristiriitaisia rajoitteita. Tietoturvan yksi perusteista on metadatan kerääminen ja analysointi, jolla pyritään selvittämään hyökkääjän alkuperä sekä eliminoimaan uhat. Uuden määritelmän mukaan eprivacy tulisi kieltämään myös tässä tarkoituksessa kerättävän tiedon. eprivacy tulee saamaan GDPR:n kanssa yhtäläiset sanktiomallit sääntöjen rikkojille. eprivacy tulee myös laittamaan huomattavia rajoitteita puhelinmyynnille, markkinointitoimille sekä asettamaan jopa IoTlaitteille huomattavia rajoitteita siitä, mitä dataa saa kerätä ja tallettaa. eprivacy on herättänyt kritiikkiä ja siihen ollaan tekemässä vielä tarkennuksia ja sen voimaantulo on siirtynyt toukokuusta 2018 ainakin tämän vuoden loppuun. eprivacy Act Euroopan parlamentin ja neuvoston asetus yksityiselämän kunnioittamisesta ja henkilötietojen suojasta viestinnässä ja direktiivin 2002/58/EY kumoamisesta (sähköisen viestinnän tietosuoja-asetus). 19 18 https://talkingtech.cliffordchance.com/en/cybersecurity/a-quick-guide-to-philippine-data-privacy-law-compliance.html 19 https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2017/09/ttn201709291424.html http://eur-lex.europa.eu/legal-content/fi/txt/html/?uri=celex:52017pc0010&from=fi 10

EU on kuitenkin aloittanut omat investointitoimet kyberturvallisuuden kehittämiseksi sekä rakentanut omia uutta suuntaa näyttäviä vastaiskuja lainsäädännöllisillä toimilla muokaten digimarkkinoita voimakkaasti. Tämä tulee johtamaan varmasti pysyviin muutoksiin EU:n sisällä ja myös EU:n ulkopuolella. Samalla globaali digitalisaatio sekä siihen liittyvä kyberturva saa uusia suuntaviivoja, jotka tulevat muuttamaan globaaleja valtasuhteita sekä teknologisten ratkaisujen leviämistä. Yritysten on oltava valmiina reagoimaan yhä nopeammin jatkuviin muutoksiin. Pelkkä reagointi ei riitä vaan nyt on oltava mieluimmin askel edellä kuin jäljessä. GDPR on jatkuvan parantamisen prosessi. Yrityksille ja organisaatioille tulee yhä keskeisemmäksi ylläpitää kybertilannekuva huomioiden riskit sekä mahdollisuudet yhä reaaliaikaisemmin pysyäkseen kilpailukykyisenä. Cyberwatch - trust beyond horizon 11

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute