Hajanainen tietoturvasääntely ei suojaa tehokkaasti organisaatioiden luottamuksellisia tietoja
Tietoturvallisuuden merkitys on kasvanut järjestelmäriippuvaisessa verkkoyhteiskunnassa. Tästä huolimatta organisaatioita velvoittavia tietoturvavaatimuksia on hajanaisesti eri säädöksissä. Lisäksi Suomessa ei ole kansallista, kaikkia organisaatioita velvoittavaa yleistä tietoturvalakia, käy ilmi Jenna Anderssonin väitöstutkimuksesta.
Kybertoimintaympäristöömme kohdistuu uhkia, joilla on merkittäviä vaikutuksia organisaatioiden toimintaan, yhteiskunnan toimivuuteen ja yksilöiden oikeuksiin. Kyberrikollisuus on vallannut alaa perinteisen rikollisuuden muodoilta, ja globalisaation myötä verkon uhat eivät rajaudu ainoastaan valtion rajojen sisäpuolelle.
– Verkottuneessa, järjestelmäriippuvaisessa yhteiskunnassa tietoturvan ei tule olla vain kriittisten toimialojen ja julkisen sektorin vastuulla. Tietoturvassa ketjun heikoin leikki vaarantaa myös muiden toimijoiden tietoturvaa. Siksi tietoturvan vähimmäistason toteuttaminen tulisi varmistaa kaikissa organisaatioissa. Tyypillisesti tietoturvaa koskevalla sääntelyllä on positiivisia vaikutuksia tietoturvan parantamisen osalta, toteaa Vaasan yliopistossa 11. lokakuuta väittelevä Jenna Andersson.
Nykyinen tietoturvan sääntelyjärjestelmä kaipaa selkeyttämistä
Kansallisessa lainsäädännössä ei ole kaikkia organisaatioita velvoittavaa, yleistä tietoturvalakia. Sen sijaan tietoturvaa koskevia säännöksiä on lukuisia, ne ovat hajaantuneet eri säädöksiin, eivätkä ne välttämättä velvoita kaikkia organisaatioita. Esimerkiksi NIS 2 -direktiivin toimeenpaneva, sisällöltään kattava kyberturvallisuuslaki koskee suoraan vain kriittisten toimialojen keskeisiä ja tärkeitä toimijoita.
EU:n tietosuoja-asetuksen tietoturvavaatimukset parantavat kotimaista sääntelytilannetta, sillä henkilötietojen suojaamista koskevat vaatimukset ulottuvat kaikkiin organisaatioihin koosta ja tärkeydestä riippumatta. Tutkimuksen yksi tehtävä on ollut koota kansallisessa lainsäädännössä organisaatioita velvoittavat tietoturvavaatimukset yhteen ja vertailla niitä hyviin tietoturvakäytänteisiin. Näin tutkimusta voi hyödyntää myös käytännön työssä.
Nykyinen hajanainen sääntely vaikeuttaa muun muassa lainsäädännön tietoturvavaatimuksien tavoitettavuutta ja ymmärrettävyyttä.
– Tietoturvallisuusnormit eivät ole ainoastaan juristien tulkittavaksi. Lakitekstien tulee olla ymmärrettäviä jokaiselle, muistuttaa Andersson.
Anderssonin mukaan tietoturvaa koskevien säädöksien määrä on koko ajan kasvanut, mikä vaatii organisaatioilta suurta säännöstuntemusta. Sellaisissa yrityksissä, joissa ei ole niin hyvä tietoturvataso tai tietoturva ei ole yrityksen ’’ydintekemistä’’, voi olla vaikea hahmottaa kokonaiskuva nykylainsäädännön tietoturvavaatimuksista.
Tietoturvallisuuden yleislailla voitaisiin tavoitella nykyisen tietoturvan sääntelyjärjestelmän selkeyttämistä sekä päällekkäisen ja hajanaisen sääntelyn vähentämistä.
Perusoikeuksien on toteuduttava organisaatioiden toiminnassa ja palveluissa
– Digitalisaation myötä eri toiminnot ovat siirtyneet tietoverkkoihin, mikä korostaa sitä, että yksilöiden perusoikeuksia tulee suojata myös siellä. Meillä on perusoikeutena turvattu henkilötietojen suoja, mutta yhtä lailla jokaisella tulisi olla oikeus kyberturvallisuuteen, sanoo Andersson.
Nykyisessä digitalisoituneessa yhteiskunnassa tulee Anderssonin mukaan olla sellainen tietoturvalainsäädäntö, joka suojaa tehokkaasti kaikkien organisaatioiden luottamuksellisia tietoja ja jatkuvuutta sekä yksilöiden henkilötietoja ja muita oikeuksia.
Tutkimuksessa on käytetty lainopillista tutkimusmenetelmää, jonka myötä tutkimuksessa on koottu yhteen ja systematisoitu voimassa olevaa kansallista tietoturvalainsäädäntöä sekä vertailtu lainsäädännön organisaatioita velvoittavia tietoturvasäännöksiä hyviin tietoturvakäytänteisiin.
Hyvän tietoturvan sääntelyjärjestelmän elementtejä tutkimuksessa ovat: teknologianeutraalisuus, proaktiivisuus, hyvien käytänteiden huomioiminen, kohtuullisuus ja oikeudenmukaisuus, tavoitettavuus ja ymmärrettävyys, johdonmukaisuus ja yhtenäisyys sekä yksilöiden ja perusoikeuksien huomioiminen. Näitä on käytetty lainsäädäntöä tarkasteltaessa normikeskeisinä kriteereinä vastattaessa tutkimuskysymyksiin: onko nykyinen organisaatioiden tietoturvan sääntelyjärjestelmä hyvä ja onko Suomessa tarpeen kansallinen tietoturvalaki?
Väitöstilaisuus
KTM Jenna Anderssonin väitöstutkimus ”Organisaation hyvä tietoturvan sääntelyjärjestelmä” tarkastetaan perjantaina 11.10.2024 klo 12 Vaasan yliopiston Kurtén-auditoriossa.
Väitöstilaisuutta on mahdollista seurata myös etäyhteyden kautta (Zoom, salasana: 943080)
Vastaväittäjänä tilaisuudessa toimii emeritusprofessori Ahti Saarenpää (Lapin yliopisto) ja kustoksena professori Vesa Annola.
Väitöskirja
Andersson, Jenna (2024) Organisaation hyvä tietoturvan sääntelyjärjestelmä. Acta Wasaensia 536. Väitöskirja. Vaasan yliopisto
Lisätiedot
Jenna Andersson, sähköposti: andersson.jenna@gmail.com
Jenna Andersson on valmistunut lakiekonomiksi (KTM) Vaasan yliopistosta 2014 pääaineenaan ICT-juridiikka. Opintoja hän on myös suorittanut Kanadassa Trentin yliopistossa muun muassa työturvallisuuden osalta.
Tällä hetkellä Andersson toimii tietosuoja- ja tietoturva-asiantuntijan tehtävissä Valtion tieto- ja viestintätekniikkakeskuksella. Aiemmin työurallaan Andersson on toiminut tietoturvapäällikkönä Tampereen korkeakouluyhteisössä sekä tietoturva-asiantuntijatehtävissä KPMG Oy Ab:llä.
Kuvat
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta Vaasan yliopisto
Kuntien lähijohtajilla ei ole riittävästi aikaa johdettavilleen8.11.2024 14:10:42 EET | Tiedote
Kuntien lähijohtajien työ on moninaista ja pirstaloitunutta, eikä heillä ole aikaa riittävästi johdettavilleen. Tämä käy ilmi Eija Pienimäen Vaasan yliopistoon tekemästä henkilöstöjohtamisen väitöskirjasta, jossa pureudutaan kuntien lähijohtajien työhön.
Yritysten ympäristösuorituskyky heijastuu ympäristötiedon julkistamiseen7.11.2024 15:22:02 EET | Tiedote
Luonnonympäristön tila heikkenee ympäri maailmaa, mikä aiheuttaa ilmastonmuutosta, luontokatoa sekä pulaa puhtaasta vedestä. Yrityksillä ja teollisuudella on merkittävä rooli ympäristön heikkenemisessä, ja niiden odotetaan kantavan vastuuta toimintansa seurauksista. Probal Duttan väitöstutkimuksen mukaan yritykset voivat vastata tähän huoleen julkistamalla luotettavaa ja uskottavaa tietoa yrityksen ympäristösuorituskyvystä ja toimintansa ympäristövaikutuksista.
Vaasan yliopisto ja ABB sopivat laajasta strategisesta koulutus- ja tutkimusyhteistyöstä – uutena avauksena energian saatavuuteen ja toimitusvarmuuteen liittyvä tutkimus ja koulutus6.11.2024 16:03:23 EET | Tiedote
Vaasan yliopisto ja ABB Oy ovat allekirjoittaneet keskiviikkona 6. marraskuuta strategisen sopimuksen yhteistyöstä tutkimuksessa ja koulutuksessa. Tavoitteena on edistää monialaista yhteistyötä kestävän hyvinvoinnin, kilpailukyvyn ja elinvoimaisuuden vahvistamiseksi.
Vaasan yliopistolle runsaat 29 miljoonaa euroa strategiarahoitusta30.10.2024 17:06:47 EET | Tiedote
Vaasan yliopisto on saamassa opetus- ja kulttuuriministeriöltä seuraavan neljän vuoden ajalle 29,2 miljoonaa euroa strategiarahoitusta yliopiston strategian toimeenpanoa varten. Vaasan yliopiston suhteellinen osuus yliopistojen strategiarahoituksesta kasvoi selvästi.
Vaasan yliopisto, Oulun yliopisto, VTT ja Wärtsilä rakentavat energialaboratoriota tulevaisuuden moottoreiden kehitykseen28.10.2024 15:10:37 EET | Tiedote
Vaasan yliopisto sekä Oulun yliopisto, Teknologian tutkimuskeskus VTT ja Wärtsilä Finland Oy ovat sopineet yhteistyöstä teollisuuden ja tutkimuslaitosten yhteisen energialaboratorion toteuttamiseksi. Vaasan yliopistoon sijoittuvassa laboratoriossa edistetään energiasiirtymää kehittämällä tulevaisuuden vähäpäästöisiä moottoreita.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme