billionphotos 1000723 small500

Tietosuojavastaava tai tietoturvapäällikkö tai muut asiantuntijat saattavat kuormittua kysymystulvan alle. Moni tietosuojaan ja tietoturvaan liittyvistä kysymyksistä esitetään aivan liian myöhään, jolloin niiden selvittämiseen ei ole riittävästi aikaa. Tällaisia tilanteita saattavat olla uudet projektit, hankinnat ja niihin liittyvät vaatimusmäärittelyt sekä esimerkiksi lainsäädännöllisistä syistä johtuvat muutokset toimintaprosesseissa. Tämän vuoksi on järkevää laatia erilaisia tarkastuslistoja muidenkin työntekijöiden kuin ainoastaan tietosuojavastaavan läpikäytäviksi. Tarkastuslistat avaavat ajatuksia ja mahdolliset huomioimatta jätetyt asiat nousevat esille heti muutosprosessin alussa. Tällöin jää enemmän aikaa varsinaisten ISOJEN ja haastavien kysymysten selvittelyyn.

Erilaisia vaatimusmäärittely/tarkastuslistoja kannattaa pyrkiä itse kokoamaan oman organisaation tarpeet huomioiden. Hyvää materiaali on paljon myös internetissä jaossa. Joskus on kuitenkin tarpeen käyttää ulkopuolista (konsultti)apua. Hyvin laadittuina projektien ja hankintojen (tai miksei esim. perehdytykseen käytettävät) tarkistuslistat öljyävät prosesseja ja tyhjäkäynti vähenee eli toisin sanoen tehokkuus kasvaa.

Tässä esimerkiksi yksi perustarkistuslista, jota voi käyttää apuna projekteissa ja sopimuksissa/hankinnoissa (lista on laadittu yhteistyössä Espoon, Kuopion, Tampereen ja Oulun kaupunkien tietoturva- ja tietosuojayhteistyössä)

Tässä taasen Kyber-Terveys-hankkeessa tuotettua materiaali (sosiaali- ja terveydenhuollon tietoturva- ja tietosuojavaatimuksia ICT-hankinnoissa)

https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/sosiaali-ja-terveydenhuollon-hankintojen-tietoturva-ja

 

Kyberturvallisuuskeskus
30.06.2020
:
Kriittinen haavoittuvuus Palo Alton verkkolaitteissa

Palo Alto Networks on julkaissut kriittisen korjauspäivityksen useisiin verkkolaitteisiinsa. Haavoittuvuus mahdollistaa tunnistautumisen ohittamisen, jos laitteessa on käytössä haavoittuvuudelle altistava konfiguraatio. Tunnistautuminen on altis haavoittuvuudelle, kun tunnistuspalvelu (IDP) käyttää SAML (Security Assertion Markup Language) -menetelmää, mutta sen varmennetta ei tarkisteta. Haavoittuvuus on erityisen kriittinen GlobalProtect VPN -tuotteissa, koska se mahdollistaa hyökkääjien pääsyn suojattavaan verkkoon.

Kyberturvallisuuskeskus
17.06.2020
:
Treckin TCP/IP-toteutuksesta on löydetty lukuisia haavoittuvuuksia

Treckin erityisesti sulautettujen järjestelmien käyttöön suunnatusta TCP/IP-toteutuksesta on löydetty 19 eri haavoittuvuutta. Vakavimmat haavoittuvuudet on luokiteltu kriittisiksi ja ne mahdollistavat haavoittuvan laitteen haltuunoton. Useat valmistajat käyttävät kyseistä toteutusta omissa tuotteissaan. Haavoittuvuudet vaikuttavat arvioiden mukaan maailmanlaajuisesti satoihin miljooniin laitteisiin eri toimialoilla. Treck on tiedotteensa mukaan korjannut haavoittuvuudet tuoreimmassa TCP/IP-toteutuksessaan.

Kyberturvallisuuskeskus
11.06.2020
:
Kevätaurinko paistoi toukokuussa, mutta kybersään puolella oli sateista

Postin nimissä tehdyt huijaukset tekivät toukokuun kybersäästä erityisen sateisen. Tilausansan ja tietojenkalastelun lisäksi Posti-huijauksissa saattoi saada haittaohjelman matkapuhelimeensa. Aurinkoa sateiseen säähän toi viestintäverkkojen toimivuuden paraneminen ja vähäiset häiriöt.

Kyberturvallisuuskeskus
09.06.2020
:
Vakava haavoittuvuus GnuTLS-kirjastossa

GnuTLS 3.6.x -versiot käyttävät sessioavaimia virheellisellä tavalla. Haavoittuvuus mahdollistaa pahimmillaan välimieshyökkäyksen avulla autentikoinnin ohittamisen TLS 1.3:ssa sekä salauksen purkamisen TLS 1.2:ssa.

Kyberturvallisuuskeskus
08.06.2020
:
Haavoittuvuus UPnP-teknologiassa

UPnP (Universal Plug and Play) teknologiasta on löydetty uusia haavoittuvuuksia, joiden avulla haavoittuvien laitteiden kautta voi välittää tietoa ulos verkosta sekä hyödyntää niitä palvelunestohyökkäysten vahvistamiseen. Haavoittuvuuksille on annettu nimi CallStranger.

previous arrow
next arrow
Slider