Hajanainen tietoturvasääntely ei suojaa tehokkaasti organisaatioiden luottamuksellisia tietoja

Kybertoimintaympäristöömme kohdistuu uhkia, joilla on merkittäviä vaikutuksia organisaatioiden toimintaan, yhteiskunnan toimivuuteen ja yksilöiden oikeuksiin. Kyberrikollisuus on vallannut alaa perinteisen rikollisuuden muodoilta, ja globalisaation myötä verkon uhat eivät rajaudu ainoastaan valtion rajojen sisäpuolelle.

– Verkottuneessa, järjestelmäriippuvaisessa yhteiskunnassa tietoturvan ei tule olla vain kriittisten toimialojen ja julkisen sektorin vastuulla. Tietoturvassa ketjun heikoin leikki vaarantaa myös muiden toimijoiden tietoturvaa. Siksi tietoturvan vähimmäistason toteuttaminen tulisi varmistaa kaikissa organisaatioissa. Tyypillisesti tietoturvaa koskevalla sääntelyllä on positiivisia vaikutuksia tietoturvan parantamisen osalta, toteaa Vaasan yliopistossa 11. lokakuuta väittelevä Jenna Andersson.

Nykyinen tietoturvan sääntelyjärjestelmä kaipaa selkeyttämistä

Kansallisessa lainsäädännössä ei ole kaikkia organisaatioita velvoittavaa, yleistä tietoturvalakia. Sen sijaan tietoturvaa koskevia säännöksiä on lukuisia, ne ovat hajaantuneet eri säädöksiin, eivätkä ne välttämättä velvoita kaikkia organisaatioita. Esimerkiksi NIS 2 -direktiivin toimeenpaneva, sisällöltään kattava kyberturvallisuuslaki koskee suoraan vain kriittisten toimialojen keskeisiä ja tärkeitä toimijoita.

EU:n tietosuoja-asetuksen tietoturvavaatimukset parantavat kotimaista sääntelytilannetta, sillä henkilötietojen suojaamista koskevat vaatimukset ulottuvat kaikkiin organisaatioihin koosta ja tärkeydestä riippumatta. Tutkimuksen yksi tehtävä on ollut koota kansallisessa lainsäädännössä organisaatioita velvoittavat tietoturvavaatimukset yhteen ja vertailla niitä hyviin tietoturvakäytänteisiin. Näin tutkimusta voi hyödyntää myös käytännön työssä.

Nykyinen hajanainen sääntely vaikeuttaa muun muassa lainsäädännön tietoturvavaatimuksien tavoitettavuutta ja ymmärrettävyyttä.

– Tietoturvallisuusnormit eivät ole ainoastaan juristien tulkittavaksi. Lakitekstien tulee olla ymmärrettäviä jokaiselle, muistuttaa Andersson.

Anderssonin mukaan tietoturvaa koskevien säädöksien määrä on koko ajan kasvanut, mikä vaatii organisaatioilta suurta säännöstuntemusta. Sellaisissa yrityksissä, joissa ei ole niin hyvä tietoturvataso tai tietoturva ei ole yrityksen ’’ydintekemistä’’, voi olla vaikea hahmottaa kokonaiskuva nykylainsäädännön tietoturvavaatimuksista.

Tietoturvallisuuden yleislailla voitaisiin tavoitella nykyisen tietoturvan sääntelyjärjestelmän selkeyttämistä sekä päällekkäisen ja hajanaisen sääntelyn vähentämistä.

Perusoikeuksien on toteuduttava organisaatioiden toiminnassa ja palveluissa

– Digitalisaation myötä eri toiminnot ovat siirtyneet tietoverkkoihin, mikä korostaa sitä, että yksilöiden perusoikeuksia tulee suojata myös siellä. Meillä on perusoikeutena turvattu henkilötietojen suoja, mutta yhtä lailla jokaisella tulisi olla oikeus kyberturvallisuuteen, sanoo Andersson.

Nykyisessä digitalisoituneessa yhteiskunnassa tulee Anderssonin mukaan olla sellainen tietoturvalainsäädäntö, joka suojaa tehokkaasti kaikkien organisaatioiden luottamuksellisia tietoja ja jatkuvuutta sekä yksilöiden henkilötietoja ja muita oikeuksia.

Tutkimuksessa on käytetty lainopillista tutkimusmenetelmää, jonka myötä tutkimuksessa on koottu yhteen ja systematisoitu voimassa olevaa kansallista tietoturvalainsäädäntöä sekä vertailtu lainsäädännön organisaatioita velvoittavia tietoturvasäännöksiä hyviin tietoturvakäytänteisiin.

Hyvän tietoturvan sääntelyjärjestelmän elementtejä tutkimuksessa ovat: teknologianeutraalisuus, proaktiivisuus, hyvien käytänteiden huomioiminen, kohtuullisuus ja oikeudenmukaisuus, tavoitettavuus ja ymmärrettävyys, johdonmukaisuus ja yhtenäisyys sekä yksilöiden ja perusoikeuksien huomioiminen. Näitä on käytetty lainsäädäntöä tarkasteltaessa normikeskeisinä kriteereinä vastattaessa tutkimuskysymyksiin: onko nykyinen organisaatioiden tietoturvan sääntelyjärjestelmä hyvä ja onko Suomessa tarpeen kansallinen tietoturvalaki?

Väitöstilaisuus

KTM Jenna Anderssonin väitöstutkimus ”Organisaation hyvä tietoturvan sääntelyjärjestelmä” tarkastetaan perjantaina 11.10.2024 klo 12 Vaasan yliopiston Kurtén-auditoriossa.

Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta (Zoom, salasana: 943080)

Vastaväittäjänä tilaisuudessa toimii emeritusprofessori Ahti Saarenpää (Lapin yliopisto) ja kustoksena professori Vesa Annola.

Väitöskirja

Andersson, Jenna (2024) Organisaation hyvä tietoturvan sääntelyjärjestelmä. Acta Wasaensia 536. Väitöskirja. Vaasan yliopisto

Julkaisun pdf

Lisätiedot

Jenna Andersson, sähköposti: andersson.jenna@gmail.com

Jenna Andersson on valmistunut lakiekonomiksi (KTM) Vaasan yliopistosta 2014 pääaineenaan ICT-juridiikka. Opintoja hän on myös suorittanut Kanadassa Trentin yliopistossa muun muassa työturvallisuuden osalta.

Tällä hetkellä Andersson toimii tietosuoja- ja tietoturva-asiantuntijan tehtävissä Valtion tieto- ja viestintätekniikkakeskuksella. Aiemmin työurallaan Andersson on toiminut tietoturvapäällikkönä Tampereen korkeakouluyhteisössä sekä tietoturva-asiantuntijatehtävissä KPMG Oy Ab:llä.