Hajanainen tietoturvasääntely ei suojaa tehokkaasti organisaatioiden luottamuksellisia tietoja
Tietoturvallisuuden merkitys on kasvanut järjestelmäriippuvaisessa verkkoyhteiskunnassa. Tästä huolimatta organisaatioita velvoittavia tietoturvavaatimuksia on hajanaisesti eri säädöksissä. Lisäksi Suomessa ei ole kansallista, kaikkia organisaatioita velvoittavaa yleistä tietoturvalakia, käy ilmi Jenna Anderssonin väitöstutkimuksesta.
Kybertoimintaympäristöömme kohdistuu uhkia, joilla on merkittäviä vaikutuksia organisaatioiden toimintaan, yhteiskunnan toimivuuteen ja yksilöiden oikeuksiin. Kyberrikollisuus on vallannut alaa perinteisen rikollisuuden muodoilta, ja globalisaation myötä verkon uhat eivät rajaudu ainoastaan valtion rajojen sisäpuolelle.
– Verkottuneessa, järjestelmäriippuvaisessa yhteiskunnassa tietoturvan ei tule olla vain kriittisten toimialojen ja julkisen sektorin vastuulla. Tietoturvassa ketjun heikoin leikki vaarantaa myös muiden toimijoiden tietoturvaa. Siksi tietoturvan vähimmäistason toteuttaminen tulisi varmistaa kaikissa organisaatioissa. Tyypillisesti tietoturvaa koskevalla sääntelyllä on positiivisia vaikutuksia tietoturvan parantamisen osalta, toteaa Vaasan yliopistossa 11. lokakuuta väittelevä Jenna Andersson.
Nykyinen tietoturvan sääntelyjärjestelmä kaipaa selkeyttämistä
Kansallisessa lainsäädännössä ei ole kaikkia organisaatioita velvoittavaa, yleistä tietoturvalakia. Sen sijaan tietoturvaa koskevia säännöksiä on lukuisia, ne ovat hajaantuneet eri säädöksiin, eivätkä ne välttämättä velvoita kaikkia organisaatioita. Esimerkiksi NIS 2 -direktiivin toimeenpaneva, sisällöltään kattava kyberturvallisuuslaki koskee suoraan vain kriittisten toimialojen keskeisiä ja tärkeitä toimijoita.
EU:n tietosuoja-asetuksen tietoturvavaatimukset parantavat kotimaista sääntelytilannetta, sillä henkilötietojen suojaamista koskevat vaatimukset ulottuvat kaikkiin organisaatioihin koosta ja tärkeydestä riippumatta. Tutkimuksen yksi tehtävä on ollut koota kansallisessa lainsäädännössä organisaatioita velvoittavat tietoturvavaatimukset yhteen ja vertailla niitä hyviin tietoturvakäytänteisiin. Näin tutkimusta voi hyödyntää myös käytännön työssä.
Nykyinen hajanainen sääntely vaikeuttaa muun muassa lainsäädännön tietoturvavaatimuksien tavoitettavuutta ja ymmärrettävyyttä.
– Tietoturvallisuusnormit eivät ole ainoastaan juristien tulkittavaksi. Lakitekstien tulee olla ymmärrettäviä jokaiselle, muistuttaa Andersson.
Anderssonin mukaan tietoturvaa koskevien säädöksien määrä on koko ajan kasvanut, mikä vaatii organisaatioilta suurta säännöstuntemusta. Sellaisissa yrityksissä, joissa ei ole niin hyvä tietoturvataso tai tietoturva ei ole yrityksen ’’ydintekemistä’’, voi olla vaikea hahmottaa kokonaiskuva nykylainsäädännön tietoturvavaatimuksista.
Tietoturvallisuuden yleislailla voitaisiin tavoitella nykyisen tietoturvan sääntelyjärjestelmän selkeyttämistä sekä päällekkäisen ja hajanaisen sääntelyn vähentämistä.
Perusoikeuksien on toteuduttava organisaatioiden toiminnassa ja palveluissa
– Digitalisaation myötä eri toiminnot ovat siirtyneet tietoverkkoihin, mikä korostaa sitä, että yksilöiden perusoikeuksia tulee suojata myös siellä. Meillä on perusoikeutena turvattu henkilötietojen suoja, mutta yhtä lailla jokaisella tulisi olla oikeus kyberturvallisuuteen, sanoo Andersson.
Nykyisessä digitalisoituneessa yhteiskunnassa tulee Anderssonin mukaan olla sellainen tietoturvalainsäädäntö, joka suojaa tehokkaasti kaikkien organisaatioiden luottamuksellisia tietoja ja jatkuvuutta sekä yksilöiden henkilötietoja ja muita oikeuksia.
Tutkimuksessa on käytetty lainopillista tutkimusmenetelmää, jonka myötä tutkimuksessa on koottu yhteen ja systematisoitu voimassa olevaa kansallista tietoturvalainsäädäntöä sekä vertailtu lainsäädännön organisaatioita velvoittavia tietoturvasäännöksiä hyviin tietoturvakäytänteisiin.
Hyvän tietoturvan sääntelyjärjestelmän elementtejä tutkimuksessa ovat: teknologianeutraalisuus, proaktiivisuus, hyvien käytänteiden huomioiminen, kohtuullisuus ja oikeudenmukaisuus, tavoitettavuus ja ymmärrettävyys, johdonmukaisuus ja yhtenäisyys sekä yksilöiden ja perusoikeuksien huomioiminen. Näitä on käytetty lainsäädäntöä tarkasteltaessa normikeskeisinä kriteereinä vastattaessa tutkimuskysymyksiin: onko nykyinen organisaatioiden tietoturvan sääntelyjärjestelmä hyvä ja onko Suomessa tarpeen kansallinen tietoturvalaki?
Väitöstilaisuus
KTM Jenna Anderssonin väitöstutkimus ”Organisaation hyvä tietoturvan sääntelyjärjestelmä” tarkastetaan perjantaina 11.10.2024 klo 12 Vaasan yliopiston Kurtén-auditoriossa.
Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta (Zoom, salasana: 943080)
Vastaväittäjänä tilaisuudessa toimii emeritusprofessori Ahti Saarenpää (Lapin yliopisto) ja kustoksena professori Vesa Annola.
Väitöskirja
Andersson, Jenna (2024) Organisaation hyvä tietoturvan sääntelyjärjestelmä. Acta Wasaensia 536. Väitöskirja. Vaasan yliopisto
Lisätiedot
Jenna Andersson, sähköposti: andersson.jenna@gmail.com
Jenna Andersson on valmistunut lakiekonomiksi (KTM) Vaasan yliopistosta 2014 pääaineenaan ICT-juridiikka. Opintoja hän on myös suorittanut Kanadassa Trentin yliopistossa muun muassa työturvallisuuden osalta.
Tällä hetkellä Andersson toimii tietosuoja- ja tietoturva-asiantuntijan tehtävissä Valtion tieto- ja viestintätekniikkakeskuksella. Aiemmin työurallaan Andersson on toiminut tietoturvapäällikkönä Tampereen korkeakouluyhteisössä sekä tietoturva-asiantuntijatehtävissä KPMG Oy Ab:llä.
Kuvat
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta Vaasan yliopisto
Vaasan yliopiston ja Seinäjoen ammattikorkeakoulun uudessa hankkeessa pureudutaan vetytalouden mahdollisuuksiin Etelä-Pohjanmaalla8.10.2024 11:50:34 EEST | Tiedote
Hankkeessa tuotetaan uutta tietoa puhtaan vetytalouden mahdollisuuksista ja niihin liittyvistä pullonkauloista Etelä-Pohjanmaalla sekä luodaan edellytyksiä vetytalouden ja vetyekosysteemin kehittymiselle ja toimenpiteiden käynnistymiselle maakunnassa.
Väitös: Lyhytaikaiset lainat tärkeitä kasvuyritykselle – yrittäjistä kauppatieteen maisteri saa lainaa helpommin kuin diplomi-insinööri4.10.2024 14:47:49 EEST | Tiedote
Suomalaiset kasvuyritykset ovat riippuvaisia lainarahan saatavuudesta. Yrittäjän koulutuksella on kuitenkin yhteys siihen, miten helposti lainaa voi saada, käy ilmi Antti Norkion Vaasan yliopistoon tekemästä taloustieteen väitöstutkimuksesta.
Vaasan yliopistolle merkittävä rahoitus Suomen Akatemialta muuntogeenisiin biopolttoaineisiin liittyvään tutkimukseen4.10.2024 14:28:42 EEST | Tiedote
Vaasan yliopisto on saanut 1,3 miljoonan euron rahoituksen Suomen Akatemialta osana Yhdysvaltain kansallisen tiedesäätiön NSF:n ja sen yhteistyökumppaneiden rahoittamaa kansainvälistä tutkimushanketta. Hankkeessa kehitetään biopolttoaineiden tuotantoon tarkoitettuja muuntogeenisiä kasvilajeja. Vaasan yliopisto tutkii hankkeessa geenimuunneltujen kasvien ja niistä valmistettujen biopolttoaineiden hyväksyttävyyttä ja aiheeseen liittyviä eettisiä kysymyksiä.
Vaasan korkeakoulut edistävät yrittäjyyttä ja yrittäjämäistä toimintakulttuuria – yhteisen StartUp-tilan avajaiset 3. lokakuuta3.10.2024 10:23:33 EEST | Tiedote
Vaasalaiset korkeakoulut ryhtyvät yhdessä kehittämään korkeakouluopiskelijoiden yrittäjyystoimintaa sekä lisäämään kiinnostusta yrittäjyyteen. Yhteisen StartUp-tilan avajaisia vietetään torstaina 3. lokakuuta.
Väitös: GPS-häirintä yleistynyt – matalalla lentävät LEO-satelliitit ovat avain luotettavaan ja häiriöttömämpään navigointiin26.9.2024 13:37:05 EEST | Tiedote
GPS-häirintätapausten yleistyminen Suomessa vaikeuttaa muun muassa ilmailua ja merenkulkua sekä aiheuttaa suuria haasteita satelliittinavigoinnille. Kiertoradalla matalalla lentäviä LEO-satelliitteja ja massiivisia MIMO-antenneja hyödyntävä uusi, Vaasan yliopistossa kehitetty menetelmä tuo keinoja tarkkaan navigointiin myös silloin, kun perinteiset GNSS-satelliittipaikannusjärjestelmät eivät toimi. Patentoitu ja tehokkaaksi osoittautunut menetelmä on esitelty Mahmoud Elsanhouryn Vaasan yliopistoon tekemässä väitöskirjassa.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme