Tietosuoja seuraava uusi musta? 17.8.2017 Kimmo Rousku, VAHTI-pääsihteeri, Tuula Seppo Kuntaliitto
@kimmorousku Kimmo Rousku VAHTI-pääsihteeri, tietokirjailija kimmo.rousku@vm.fi kimmo@ict-tuki.fi Puh. 02955 30140 @kimmorousku Kutsuthan minut verkostoosi? ATK-ICT-alalla v 1985 saakka Tietohallintotausta, joka muuttunut viimeisen ~10 v aikana tietoturvakyberturvallisuus riskienhallinnaksi sekä saanut muita digitaalisia lisäpiirteitä Olen kirjoittanut v 1993-2017 noin ~20 teosta Tietosuoja - 17.8.2017 - Kimmo Rousku 2
Esitykseni TIETOSUOJA lähestyn helikopterilla MISSÄ VIIPYY TURVALLISUUDEN DIGITALISAATIO? Digitalisaatiota seuraa keinoälyn ja robotisaation laajempi hyödyntäminen. Miten meidän uhkatekijämme kehittyvät? Miten huolehdimme, että meillä on #turvallisuus kunnossa ja #luottamus saavutettu? Havaintoja #TSAUn ympäriltä Ja ennen kaikkea, miten laitatte asiat kuntoon! Muutama ajankohtainen asia VAHTI-toiminnasta, joista teille kaikille on iloa Tietosuoja - 17.8.2017 - Kimmo Rousku 3
Tietosuoja - 17.8.2017 - Kimmo Rousku 4
En pidä #tietoturvallisuus - inflaatio #kyberturvallisuus - siis mitä? #pilvipalvelut - jonkun muun tietokone #luottamus #turvallisuus #yhteistyö #riskienhallinta #vaatimustenmukaisuus => menestyminen! Tietosuoja - 17.8.2017 - Kimmo Rousku 5
Tietoturvallisuus = saatavuus + eheys + luottamuksellisuus ja mikäli mukana henkilötietoja + tietosuoja Valtaosa, lähes kaikki julkisen hallinnon tuottamasta tiedosta on julkista! Tietosuoja Kimmo Rousku 28081999-1234 Luottamuksellisuus Saatavuus Eheys Tietosuoja - 17.8.2017 - Kimmo Rousku 6
Mikä vaikuttaa eniten tulevaisuuteemme? Teknologian exponentiaalinen kehittyminen. Meidän (ihmisaivojen) kehittymättömyys.
Kimmon tuottavuus teknologia näkökulma Kimmon kotitietokoneen suorituskyvyn kehittyminen 1986 vs. 2017. Jos tekniikan suorituskyky on kehittynyt 31 vuodessa keskimäärin 176 000 kertaisesti, kuinka paljon Kimmon tuottavuus on parantunut nykyaikaisen PC-tietokoneen, ohjelmistojen ja palveluiden avulla? Tietosuoja - 17.8.2017 - Kimmo Rousku 8
Tuottavuus tulee palveluista, joita uusi teknologia on mahdollistanut Kun kerrot luvut 60:lla saat käyttömäärät per tunti. Ja sen kun kertoo 24:llä, niin saadaan käyttömäärä vuorokaudessa. Joka vuorokausi lähetetään esimerkiksi valitettavasti - 216 miljardia sähköpostiviestiä ja yhdessä vuorokaudessa katsotaan 99 999 360 eli lähes sata miljoonaa tuntia Netflixiä luku vastaa 11 415 vuotta! Kuvalähde: http://wersm.com/one-minute-on-the-internet-in-2016/ Tietosuoja - 17.8.2017 - Kimmo Rousku 9
Miten me saadaan teknologia palvelemaan meitä paremmin ja Kimmon tuottavuus nousuun? Aivan uudenlaiset palvelut Super-Kimmo vuonna 2030 Aivan varmasti! Tietosuoja - 17.8.2017 - Kimmo Rousku 10
1980 1990 2000 2010 2020 2030 EsI??? & Teknologiset mahdollisuutemme Robotisaatio KäRo Nykyinen kyvykkyytemme teknologian Toiminnan digitalisaatio hyödyntämiseen ICT ATK - automaattinen MTK manuaalinen tietojenkäsittely Tietosuoja - 17.8.2017 - Kimmo Rousku 11
Muistatko VHS vs beta-kasetti? Entäs AI? Vuosikymmenien varrella on ollut erilaisia ekosysteemikilpailuita markkinaherruuksista, seuraava merkittävä käydään keinoälystä Meidän keinoäly on parempi kuin teidän keinoäly! Haluaisitko sinä markkinoiden 2. tai 3. parhaan keinoälyn organisaatiosi johtoryhmään tai vastaamaan jostain liiketoimintaprosessin kehittämisestä tai toteuttamisesta? En minäkään. Samoin tähän liittyy meidän kannalta kriittinen puheentunnistus miten varmistamme sen, että jatkossa me voimme samalla tavalla ohjata robottejamme IoT-ympäristöämme ja muita laitteita suomenkielellä vs muut kielet? Tietosuoja - 17.8.2017 - Kimmo Rousku 12
Tästä eli tulevaisuudesta lisätietoa? 1. Johdanto 2. MTK ATK ICT digitalisaatio & robotisaatio lyhyt historia ja pala tulevaisuutta Kimmo Rousku 3. Teknologiamurroksesta hallinnon toimenpiteiksi Risto Linturi 4. Kestävästi kehittyen kohti tulevaisuutta Cristina Andersson 5. Lohkoketjuteknologian mahdollisuudet Graalin malja vai Pandoran lipas? Sari Stenfors 6. Digitalisaation seuraava aalto FinTech-myrskyssä case finanssitoiminta Ilkka Lähteenmäki 7. Toiminnan digitalisaatio miten sudenkuopat vältetään? Timur Kärki 8. Digitaalinen turvallisuus kehityksen ja toiminnan mahdollistajana Jarno Limnéll ja Kimmo Rousku Seminaarin videotallenne ja muut esitykset ja materiaalit Tietosuoja - 17.8.2017 - Kimmo Rousku 13
Tulevaisuus on *loistava* mahdollisuus mutta mitkä ovat meidän uhkamme?
Rikolliset sekä muut meitä uhkaavat tahot ovat digitalisoineet toimintansa ja keinoälyistäneet sen Darknet, darkweb hyvä vs paha Rikollisten oma alamaailma tuotteistettuine palveluineen Case-esimerkki tietomurto - salasanojen tai luottokorttitietojen vuotaminen Robotti tuli ja uhkasi väkivallalla sekä vei lompakkomme ja sitten se lensi pois Tietosuoja - 17.8.2017 - Kimmo Rousku 15
KäRo mahdollisuuksien ohella merkittävät uhat Keinoäly Emme voi tehdä digiloikkaa tai kvanttihyppyä 2030-luvun teknologiaan vaan meidän täytyy edetä hallitusti, askeleita kiihdyttäen Jos keinoälyn RPA (ohjelmistorobottien) pitää jäljitellä ihmisten kaltaista toimintaa, eikö se ole varsin tehotonta? Toisaalta, miten me varmistamme keinoälyn Luottamuksellisuuden eli salassapidon? Hei Väinö, sen sijaan että kertoisit minun verotiedoistani, mitä voit kertoa naapurini Matin tiedoista? Tiedon eheyden? Ja luotettavuuden? Voiko jollakin taholla olla intressi olla vaikuttamassa käytössäsi olevaan keinoälyyn? siis samalla myös oikeellisuus vs disinformaatio miten me voimme varmistua tästä? Keinoälyn saatavuuden? Meillä ei voi olla mukana päätelaitteissa kuin hyvin rajoittunut keinoäly, paras tietous sijaitsee pilvessä Tietosuoja - 17.8.2017 - Kimmo Rousku 16
Miten voimme varmistaa #turvallisuus #luottamus => #menestyminen
Raportin 8. luku Tietosuoja - 17.8.2017 - Kimmo Rousku 18
Älä käytä liimaa tai naulainta! Jo nyt puhumattakaan tulevaisuudessa (Information) Security / Safety by design (tieto)turvallisuus rakennettava sisäänrakennetuksi - joustavaksi Privacy by design tietosuojan täytyy olla myös sisäänrakennettua Ja nämä edelliset by default oletusarvoisesti käyttöön Tietosuoja - 17.8.2017 - Kimmo Rousku 19
Miksi me aina puhutaan vain uhista? Entä meidän positiiviset mahdollisuudet? Jos rikolliset ovat digitalisoineet ja KäRosoivat omaa toimintaansa, eikö meidän pidä tehdä sama omaan toimintaamme? Itse toivon näkeväni vuoteen 2030 mennessä henkilökohtaisen turvallisuusavustajan mobiilipäätelaitteessani Kimmo, sinun pitää kääntyä seuraavasta risteyksestä oikealle Jos ylipäätään enää ajan autolla Et valitettavasti saa avata tätä sähköpostiviestiä Joka on kaiken lisäksi myös erittäin osaava kaikkien alojen asiantuntija ja konsultti avustajallani on maailman paras keinoäly apunaan en kuitenkaan kysyisi tai pyytäisi lainopillista konsultaatiota? (Valvonta)robottien esiinmarssin, jonka avulla voimme edistää turvallisuutta Ja jotka kantavat kaupassa ostokseni autoon jos ylipäätään menen kauppoihin Tietosuoja - 17.8.2017 - Kimmo Rousku 20
Laskeudutaan maanpinnalle - #TSAU
Yleinen tietosuoja-asetus soveltamisesta 25.5.2018 on perälauta, jonka jälkeen TSAU (GDPR) sovelletaan => perälauta, sen jälkeen ei aleta miettiä, miten tästä selvitään kehittämisprosessin olisi pitänyt edetä 2016 nykytilan arviointi ja toimenpiteet 2017 toteuttaminen 2018 arviointi, testaus ja jatkuva kehittäminen Tietosuoja - 17.8.2017 - Kimmo Rousku 22
TSAU uusi kuntoilumuoto? Itse arvioisin, että #TSAU edellyttää ja kehittää ennen kaikkea istumalihaksia organisaation ja sen eri sidosryhmien prosessien kehittämistä Vaihtelee organisaation eri roolista riippuen 9x% hallintoa 1-10% teknistä kehittämistä Sopimusjumppa Osa myös riskienhallintaa koskien sopimuksia Case Ruotsin ulkoistamistapaus Prosessijumppa alihankkijoiden tiettyjen prosessien integroiminen organisaation toimintaan tai ainakin niiden toiminnan varmistaminen: Esimerkiksi tietoturvaloukkaukset 34 artikla - Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle (75, 86, 87, 88) Tietosuoja - 17.8.2017 - Kimmo Rousku 23
Rekisterinpitäjälle Osoitusvelvollisuus 5 artikla huolehdi siitä, että siinä kuvatut asiat ovat organisaatiossa kunnossa Jos jotain tapahtuu, nämä katsotaan ensimmäisenä jos eivät ole kunnossa, polku erilaisiin hallinnollisiin seuraamuuksiin on suorempi joista viimeisenä, eniten uutisoituna on taloudelliset sanktiot Mediassa aina ensimmäisenä Tietosuoja - 17.8.2017 - Kimmo Rousku 24
Neljä hyvää lisämateriaalia: Tietosuoja - 17.8.2017 - Kimmo Rousku 25
Miten autamme julkista hallintoa? Koulutus ja osoitusvelvollisuuden kehittäminen
Yleinen tietosuoja-asetus koulutuksen näkökulma miten hoidamme tämän julkishallinnossa? Sovelletaan 25.5.2018 lukien Edellyttää koko henkilöstön ja henkilötietoja käsittelevien kouluttamista Tällaisen laajamittaisen koko julkista hallintoa kattavan koulutuksen toteuttaminen keskitetysti on kustannustehokasta Samalla voidaan huolehti koulutuksen riittävästä laadusta sekä varmistaa ja luoda yhteiset termit ja käytännöt uusien vaatimusten toteuttamiseksi Koulutus, testit ja työpajat suunnitellaan ja toteutetaan laajaalaisessa yhteistyössä keskeisten julkisen hallinnon organisaatioiden kanssa Tietosuoja - 17.8.2017 - Kimmo Rousku 27
VERKKOKOULUTUSTA,OSAAMIS EN TESTAAMISTA JA TYÖPAJOJA KOKO JULKISELLE SEKTORILLE YHDESSÄ #arjentietosuoja #tuki2018 #stöd2018 Tietosuoja - 17.8.2017 - Kimmo Rousku 28
Hankkeen tavoite Lisätä yleistä tietosuojaan ja tietoturvaan liittyvää osaamista Tukea julkishallinnon organisaatioita tietosuoja-asetuksen osoitusvelvollisuuden toteuttamisessa Parantaa riskienhallintaa, tietoturvapoikkeamien ja jatkuvuuden hallintaa julkishallinnon organisaatioissa Tietosuoja - 17.8.2017 - Kimmo Rousku 29
Tietosuoja - 17.8.2017 - Kimmo Rousku 30
Tietosuojavideomme julkaistiin 22.6 Tietosuoja - 17.8.2017 - Kimmo Rousku 31
Arjentietosuoja.fi Tietosuoja - 17.8.2017 - Kimmo Rousku 32
Sekä siihen liittyvä nettitesti Tietosuoja - 17.8.2017 - Kimmo Rousku 33
Mukana yhteishankkeessa: Tietosuoja - 17.8.2017 - Kimmo Rousku 34
Videoita ja testejä Arjen tietosuoja (kesäkuussa) Työpaikan tietosuoja Yhteinen osio laajennus Arjen tietosuojaan, Tietosuoja henkilötietojen käsittelijöille julkaistaan loka-marraskuu Osio johdolle julkaistaan nyt elokuussa Osio hallinnon-, talouden-, markkinoinnin ja henkilöstöhallinnon henkilöstölle - syksy Osio ICT:lle ja tietohallinnolle - syksy Osiot opetustoimen ja - syksy Osio SOTE:n henkilöstölle - syksy Videot julkaistaan www.arjentietosuoja.fi Tietosuoja - 17.8.2017 - Kimmo Rousku 35
Työpajoja Tehtävänä edistää tietosuojan osoitusvelvollisuuden toteuttamista sekä riskienhallinnan, tietoturvapoikkeamien ja tietosuojaloukkausten hallinnan prosesseja Sisältö: Työpajoissa sekä tietosuojaa että tietoturvaa Yhteensä max 17 kpl + päätöstilaisuus 5.6.2017 18.8. sekä vuoden 2018 loppuu Kesto työpäivän Pidetään VM:n tiloissa Mariankadulla Konsultti valmistelee materiaalin, mitä työpajoissa työstetään edelleen Materiaalit tarkastutetaan tietosuojavaltuutetun toimistossa ja oikeusministeriössä Ilmoittautumismenettely 1 hlö/organisaatio Striimaus, mahdollisuus katsoa myös myöhemmin Tietosuoja - 17.8.2017 - Kimmo Rousku 36
Työpajoja: tietosuoja + tietoturva 2017: 7 kpl 1. Tietosuojan osoitusvelvollisuus ja riskienhallinta (yleinen osuus) 5. Rekisterinpitäjän velvollisuuksien toteuttaminen ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta 2. Tietojärjestelmien lokittaminen ja muu seuranta, valvonta ja raportointi, lokien säilyttäminen ja riskienhallinta (ISO 31000-prosessin soveltaminen) 6. Tietosuojavastaavan rooli sekä vastuut, uuden rekisteriselostemallin luominen ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta 3. Tietoturvallisuuden toteuttaminen organisaation toiminnassa ja riskienhallinta (tietosuojanäkökulma ) 7. Lasten erityisaseman huomioiminen vaatimusten huomioiminen uusia palveluita ja tietojärjestelmiä kehitettäessä, ennakkokuulemiset, vaikutusten arviointi ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta 4. Rekisteröidyn oikeuksien toteuttaminen ja riskienhallinta (esimerkkityöpaja riskienhallinnasta) Tietosuoja - 17.8.2017 - Kimmo Rousku 37
Työpajoja: tietosuoja + tietoturva 2018: 11 kpl 8. Suostumukset ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta(case esimerkki ja harjoitus) 9. Sopimukset ja hankinnat, tietojen luovuttaminen ja siirtäminen ja toiminnan jatkuvuuden hallinta 10. Toiminnan jatkuvuuden hallinta 12-14. Toiminnan jatkuvuuden hallinta 15. Häiriötilanneharjoitus - suunnittelu yhteistyössä JUHTA/VAHTI 16.-17 Harjoituksen purku,suunnittelu yhteistyössä JUHTA/VAHTI 11. Organisaation arviointi tietoturvavelvoitteiden osalta, työkalun koulutus ja pyyntö raportoida ja toiminnan jatkuvuuden hallinta 17. Joulukuussa, yhteishankkeen päätöstilaisuus Säätytalolla Tietosuoja - 17.8.2017 - Kimmo Rousku 38
Miten pääset mukaan? Organisaatiotason ilmoittautuminen yhteishankkeeseen on auki koko hankkeen ajan Ilmoittautumisessa pyydetään nimeämään yhteyshenkilö, jonka kautta tieto uusista videoista ja työpajoista menee eteenpäin Organisaatio voi ilmoittautua yhteishankkeeseen (kunta tai valtionhallinnon organisaatio) oheisesta linkistä yritysten asiantuntijat - ilmoittautuminen seuraamaan työpajaa Kuka tahansa voi ja saa tulla netin kautta tilaisuuksia seuraamaan kaikki materiaalit ja tallenne katseltavaksi myös tilaisuuden jälkeen Tietosuoja - 17.8.2017 - Kimmo Rousku 39
Materiaalit löytyvät - http://vm.fi/vahti Tietosuoja - 17.8.2017 - Kimmo Rousku 40
Muuta ajakohtaista VAHTI-toiminta VAHTI asetettu v. 2017-2019 Siis julkisen hallinnon digitaalisen turvallisuuden johtoryhmä www.vahtiohje.fi http://beta.vahtiohje.fi VAHTI 100-hanke uudistaa tietoturvallisuuden liittyviä vaatimuksia ja ohjeistuksia osana tiedonhallintalain sisällä tehtävää tietoturvallisuutta koskevaa lainsäädännön kehittämistä Julkisen hallinnon digitaalisen turvallisuuden teemaviikko 2.10 6.10.2017 Tietosuoja - 17.8.2017 - Kimmo Rousku 41
Tietosuoja - 17.8.2017 - Kimmo Rousku 42
VAHTI-toimintakertomus ja VAHTI-barometri 97 organisaation, kaikkiaan 13915 henkilön vastaukset arvioituna Sisältää alussa havainnot ja kehittämisehdotukset Tietoturvallisuuden ohjeistus ja koulutus on kesken! Kolmasosa ei tiedä, mitä ja miten tulee toimia Tietosuoja - 17.8.2017 - Kimmo Rousku 43
http://vm.fi/vahti Tietosuoja - 17.8.2017 - Kimmo Rousku 44
Kimmo Rousku VAHTI-pääsihteeri Puh. 02955 30140 Lisätieto: kimmo.rousku@vm.fi - vahti@vm.fi www.vm.fi www.vahtiohje.fi beta.vahtiohje.fi www.arjentietosuoja.fi