TiTu

Lähetä viesti

Artikkeli

Mikä on tietoturvaloukkaus ja kuinka tietoturvaloukkauksesta ilmoittaminen tapahtuu?

Tietoturvaloukkaus on tapahtuma, jossa henkilötietojen luottamuksellisuus, eheys tai saatavuus vaarantuu. Tämä voi tarkoittaa sitä, että henkilötiedot tuhoutuvat, häviävät, muuttuvat, joutuvat luvattomasti muiden käsiin tai niitä käsittelee henkilö, jolla ei ole siihen oikeutta.

Tietosuojavaltuutetun toimiston ohjeistuksen mukaan GDPR (General Data Protection Regulation) määrittää, että tietoturvaloukkauksesta on ilmoitettava valvontaviranomaiselle 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi tapahtuneesta. Rekisterinpitäjä on taho, joka päättää miksi ja miten henkilötietoja käsitellään, eli esim. yritys tai organisaatio jolla on tietoja hallussaan. 

Traficomin mukaan rekisterinpitäjän velvollisuuksiin kuuluu myös laatia toimintaohjeet tietoturvaloukkaustilanteita varten. Tämä auttaa minimoimaan vahingot ja mahdolliset seuraamukset. Yrityksen tietoturva tulisi auditoida säännöllisesti esimerkiksi ISO 27001 -standardin, NIST CSF -viitekehyksen tai Kyberturvallisuuskeskuksen suositusten mukaisesti.

Lue yksityiskohtaisesta artikkelistamme, miksi ja miten tietoturvaloukkaus määritellään, sekä mitä seuraamuksia sen laiminlyömisesta voi seurata. Organisaation riittävä tietoturvan taso ehkäisee tietoturvaloukkauksien syntymistä, joten siihen kannattaa panostaa riittävän ajoissa vakavampien seuraamuksien välttämiseksi.

 

Tietoturvaloukkauksesta ilmoittaminen

Tietoturvaloukkauksesta ilmoittaminen on rekisterinpitäjän lakisääteinen velvollisuus.
 Ilmoitus tulee tehdä viimeistään 72 tunnin kuluessa loukkauksen havaitsemisesta.
 Ilmoituksessa on arvioitava loukkauksen mahdollisia vaikutuksia rekisteröidyille, kuten asiakkaille, jäsenille tai työntekijöille ei ainoastaan organisaatiolle.

  • Ilmoita tietoturvaloukkauksesta – Tietosuojavaltuutetun toimisto
  • Ilmoitus tehdään Valtorin Turvalomake – palvelun kautta, jonka löydät täältä.
     Yksityishenkilöt voivat sen sijaan tehdä kantelun tietosuojavaltuutetulle tällä lomakkeella jos he katsovat että heidän tietojensa käsittelyssä on epäkohtia.

 

Tietoturvaloukkauksen vakavuuden arviointi

Tietoturvaloukkauksen vakavuus määräytyy sen mukaan, kuinka suurta haittaa se voi aiheuttaa luonnollisille henkilöille.
 Erityisen vakavina pidetään tapauksia, joissa tietoturvaloukkauksen seurauksena voi aiheutua:

  • identiteettivarkaus tai petos
  • maineen menetys
  • psyykkistä ahdistusta tai nöyryytystä
  • arkaluonteisten tietojen paljastumista

Valvontaviranomainen päättää viime kädessä, täyttääkö tapahtuma ilmoituskynnyksen.

Lähde: Tietosuoja.fi 

Miten toimia, jos tietoturvaloukkaus tapahtuu?

Tietoturvaloukkaustilanteessa on tärkeää toimia nopeasti ja järjestelmällisesti. Mitä tarkemmin ja rehellisemmin vastaat loukkausta koskeviin tiedonantoihin, sitä paremmin vahinkoja pystytään minimoimaan. Alla on viisi keskeistä askelta:

  1. Tunnista tietoturvaloukkaus – selvitä, mitä tietoja on vaarantunut ja missä laajuudessa. 
  2. Dokumentoi tapahtumat – kirjaa kaikki yksityiskohdat, kuten ajankohta ja toimenpiteet.
  3. Arvioi riskit – määrittele, kuinka vakava loukkaus on ja keihin se kohdistuu.
  4. Ilmoita viranomaiselle – tee ilmoitus Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa.
  5. Tiedota rekisteröityjä – jos loukkaus aiheuttaa suuren riskin heidän oikeuksilleen, heille on ilmoitettava viipymättä.

 Lähde: Kyberturvallisuuskeskus – Toimintaohje tietoturvaloukkauksessa

Vinkki:
 Jos yritykselläsi ei vielä ole valmista toimintasuunnitelmaa tietoturvaloukkauksen varalle, on hyvä aika laatia se nyt. Hyvä askel on tehdä yritykselle tietoturva-auditointi, jossa löydettyjen puutteiden perusteella voidaan tehdä tietoturvan riskiarvio ja suojata yrityksesi ajoissa!

 

Esimerkkejä tietoturvaloukkauksista Suomessa

Tietosuojavaltuutetun ja Kyberturvallisuuskeskuksen mukaan tyypillisiä tietoturvaloukkauksia ovat mm.:

  • sähköpostien tai postilähetysten lähettäminen väärälle vastaanottajalle
  • haittaohjelmien tarttuminen työntekijöiden koneisiin
  • varmuuskopioiden puutteellinen suojaaminen
  • työntekijän tekemä inhimillinen virhe (esim. liitetiedosto väärälle henkilölle)
  • tietomurrot, joissa asiakastiedot varastetaan

Lähde: Tietosuojavaltuutetun toimisto – Tapausesimerkkejä

Tällaiset tapaukset korostavat ennaltaehkäisyn ja koulutuksen merkitystä. Usein loukkaukset johtuvat huolimattomuudesta, eivät teknisestä hyökkäyksestä. Ihminen on vieläkin heikoin lenkki tietoturvassa – usein juuri tietämättömyyden tai välinpitämättömyyden vuoksi.

Miten estää tietoturvaloukkaus?

Tietoturvaloukkausten ehkäisy perustuu kolmeen osa-alueeseen:
 teknisiin, hallinnollisiin ja inhimillisiin toimiin.

Tekninen tietoturva tietoturvaloukkausten ehkäisyssä

  • Päivitä ohjelmistot ja käyttöjärjestelmät säännöllisesti.
  • Käytä palomuureja ja virustorjuntaa.
  • Ota käyttöön vahvat salasanat ja monivaiheinen tunnistus. Hyvä salasananhallintaohjelma on toimiva ja turvallinen investointi.
  • Salaa arkaluonteiset tiedot.
  • Tee varmuuskopiot säännöllisesti ja säilytä ne turvallisesti.

Hallinnolliset toimet tietosuojarikkomusten ehkäisemiseksi

  • Laadi yritykselle selkeä ja laadukas tietoturvapolitiikka ammattilaisella.
  • Toteuta tietoturva-auditointi vähintään kerran vuodessa.
  • Dokumentoi kaikki tietoturvapoikkeamat ja seuraa niiden korjaamista.

Henkilöstön tietoturvakoulutus osana tietosuojaa

  • Kouluta työntekijät tunnistamaan tietoturvauhat.
  • Järjestä harjoituksia tietomurto- ja tietovuototilanteiden varalle.
  • Korosta henkilötietojen käsittelyn vastuullisuutta.

Lähde: Kyberturvallisuuskeskus

“Jos et ole varma, kuinka tietoturva yrityksessäsi toteutuu käytännössä, voit jättää kauttamme maksuttomasti tarjouspyynnön  tietoturva-auditoinnista. Välitämme tarjouspyynnön nopeasti luotettavimmille toimijoille”

 

Tietoturvaloukkauksen kustannukset ja mainehaitta

Tietoturvaloukkauksen vaikutukset eivät rajoitu vain teknisiin korjauksiin. Se voi johtaa:

  • suoriin taloudellisiin menetyksiin (Esim. Case Vastaamo)
  • tietosuojavaltuutetun määräämiin sanktioihin
  • asiakasluottamuksen menettämiseen, joka saattaa jopa kaataa yrityksen.
  • brändin mainehaittoihin, joita voi olla pahimmillaan mahdoton korjata tulevaisuudessa.

Erityisesti pk-yrityksille mainehaitta voi olla kohtalokas. Tutkimusten mukaan kuluttajat vaihtavat palveluntarjoajaa herkästi, jos epäilevät tietojen vuotaneen.

Lähde: Valtioneuvosto – Tietosuoja ja seuraamukset

Hyvä tietoturva on sijoitus, ei kuluerä.
 Yritys, joka huolehtii asiakkaidensa tietoturvasta, rakentaa samalla luottamusta ja uskottavuutta markkinoilla.

 

Rekisterinpitäjän vastuu tietoturvaloukkauksessa

Rekisterinpitäjä on henkilö tai organisaatio, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
 Hänen vastuullaan on suojata tiedot riskien mukaisesti ja varmistaa, että tietojen käsittely on turvallista.

Lähde: Tietosuoja.fi – Henkilötietojen käsittelijän velvollisuudet

Ilmoitus tulee tehdä aina, jos loukkauksesta saattaa aiheutua riski luonnollisten henkilöiden vapauksille ja oikeuksille.
 Valvontaviranomaisena Suomessa toimii Tietosuojavaltuutetun toimisto.

 

Mitä ovat henkilötiedot GDPR:n mukaan?

GDPR määrittelee henkilötiedoiksi kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön.
 Näitä ovat esimerkiksi:

  • nimi, osoite, sähköpostiosoite
  • henkilötunnus, ajokortti- tai passinumero
  • IP-osoite ja laitteen tunniste
  • pankkitilin numero, luottokorttitiedot
  • terveystiedot, biometriset tiedot
  • uskonnolliset tai poliittiset vakaumukset

Lähde: Euroopan komissio – GDPR-asetus

Toimi ennen kuin tietosuojaloukkaus tapahtuu

Tietoturvaloukkaus voi tapahtua yllättäen ja aiheuttaa merkittäviä vahinkoja.
 Yrityksen kannattaa varautua ennalta, laatia toimintasuunnitelma ja auditoida tietoturvansa säännöllisesti.

Ennaltaehkäisy, koulutus ja seuranta yhdessä vähentävät tietoturvaloukkausten riskiä merkittävästi.


 Jos et ole varma yrityksesi tietoturvan tasosta, voit jättää maksuttoman tarjous-, tai yhteydenottopyynnön oheisella lomakkeella. Välitämme tiedot ainoastaan luotetuille toimijoille, jotka palvelevat tarpeitasi parhaiten

Turvallisuus kuuluu kaikille – ja me haluamme tehdä siitä ymmärrettävää ja helposti lähestyttävää. Verkkosivumme tarjoaa luotettavaa ja ajankohtaista tietoa turvallisuudesta selkeällä ja kansantajuisella tavalla.

Asiantuntijatiimimme koostuu kokeneista ammattilaisista, joilla on laaja alainen asiantuntemus turvallisuuden eri osa-alueilta. Olipa kyse arjen turvallisuudesta, kyberturvasta tai kriisitilanteisiin varautumisesta, tuomme asiantuntemuksemme kaikkien saataville. 

Tavoitteenamme on lisätä yksilöiden ja yritysten tietoisuutta turvallisuusasioissa, tarjota käytännön vinkkejä ja auttaa ihmisiä tekemään parempia turvallisuuteen liittyviä valintoja – koska turvallisuus on yhteinen asia. 

Katso myös

Kaikki artikkelit

Kuinka valita kybervakuutus yritykselle? Asiantuntijan vertailu, hinta, kattavuus (2026)

Ketä NIS2 koskee, mitä se sisältää ja mitkä ovat NIS2-vaatimukset?

Mikä on huijausviesti ja kuinka sen kanssa tulisi toimia?

Monivaiheinen tunnistautuminen (MFA): Mitä se on ja miten se otetaan käyttöön?

Haavoittuvuuksien hallinta tietojärjestelmissä – Mitä se on ja miten se tehdään vuonna 2026?

Paras vartiointiliike yritykselle: Kattava opas valintaan, vertailuun ja kilpailutukseen

Varmista suojaus ja turvallisuus verkossa

Ota yhteyttä

TiTu