Salaa ja suojaa yrityksesi tiedot

Salaus on olennainen työkalu yrityksesi luomien tai keräämien tietojen suojaamiseen. Tietomurrot aiheuttavat yrityksille monenlaisia riskejä aina immateriaaliomaisuuden menetyksistä henkilötietojen vuotamiseen. Tämä voi johtaa mainehaittoihin, mutta myös raskaisiin sakkoihin.

5 minuutin teksti

5 minuutin teksti

Mitä salaus on ja mitä se suojaa?

Salaus on tietojen koodausprosessi tavalla, joka estää luvattomia osapuolia lukemasta niitä. Jos yrityksesi salatut tiedot vuotavat, kukaan, joka varastaa tai löytää tiedot, ei voi lukea niitä, koska ne ovat käsittämätöntä siansaksaa ilman asianmukaista salauksen purkamisen avainta.

Monet ihmiset eivät ole tietoisia siitä, että paljon tietoa on jo suojattu salaustekniikalla. Esimerkiksi verkkokauppa ja verkkopankki eivät toimisi ilman hyvää salausta. Salaus on suunniteltu suojaamaan rahaa ja henkilökohtaisia tietoja. Liiketoimintaympäristössä salausta tulisi käyttää suojaamaan yrityksesi immateriaalioikeuksia ja -tietoja sekä yrityksessä käsittelemäsi henkilötietoja.

Lue lisää

Immateriaalioikeudet ja osaaminen voivat käsittää yrityksesi luomia tuotteita tai palveluita. Ne voivat olla myös menetelmiä, joita käytät näiden tuotteiden menestyksekkääseen myymiseen, tai prosesseja, joita käytetään varmistamaan, että ne toimivat tehokkaasti koko niiden elinkaaren ajan. Vastaavasti ne voivat sisältää seuraavan kalenterivuoden liiketoiminta- ja markkinointisuunnitelmia. Kyberhyökkäys tai varas voi kaupallistaa tai käyttää kaikkea tätä tietoa väärin.

Yrityksesi keräämät ja käsittelevät henkilötiedot voivat sisältää tietoja asiakkaistasi ja työntekijöistäsi. Laki edellyttää, että suojaat tällaiset tiedot ja niiden käytön Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) mukaisesti.

GDPR ja salaus

GDPR määrittää henkilötiedot. Niitä ovat esimerkiksi nimet ja sukunimet, valokuvat, sähköpostiosoitteet, puhelinnumerot, tilinumerot, sormenjäljet ja äänet. Tämä asetus, joka on ollut voimassa kaikissa EU:n jäsenvaltioissa 25.5.2018 lähtien, kuvaa salausta suojaksi maineriskiä vastaan.

Kuvittele, että joku työntekijöistäsi menettää USB-muistitikun, joka sisältää luettelon asiakkaistasi. GDPR:n mukaan tapahtumasta tulee ilmoittaa kertoa kaikille luettelossa oleville ihmisille. He voivat pitää tietoturvaloukkausta syynä vaihtaa toimittajaa. Velvollisuus ilmoittaa näille henkilöille ei kuitenkaan päde, jos heidän henkilötietonsa on salattu.

Tiedätkö, mitä sinun tulee tehdä, jos yrityksessä on tapahtunut henkilötietovuoto?

Velvollisuus ilmoittaa sääntelyviranomaiselle:

Sinun on tehtävä ilmoitus kaikista henkilötietojen tietoturvaloukkauksesta asianomaiselle tietosuojaviranomaiselle. Tämä velvoite ei koske ainoastaan merkittäviä tietomurtoja, kuten suuria tietokantavuotoja, vaan myös pieniä virheitä. Jos esimerkiksi sekoitat kahdelle eri vastaanottajalle tarkoitettujen kirjekuorien sisällön vahingossa, sinun on ilmoitettava siitä.

72 tuntia

Sinun on ilmoitettava tapahtumasta asianomaiselle valvontaviranomaiselle 72 tunnin kuluessa siitä, kun saat tietää asiasta, ei itse tapahtumasta katsoen. Jos tämä määräaika ei kuitenkaan täyty, ilmoituksen viivästyminen (eli syyt, joiden vuoksi rikkomisesta ei ilmoitettu 72 tunnin kuluessa) on perusteltava.

Ilmoitusvelvollisuus asianomaisille henkilöille

Vakavammissa tapauksissa on tietosuojaviranomaiselle ilmoittamisen lisäksi ilmoitettava asiasta myös henkilöille, joiden tietoihin tapaus on vaikuttanut. Tätä vaihetta ei kuitenkaan vaadita, jos tapahtuma tapahtui sen jälkeen, kun yrityksesi oli toteuttanut asianmukaiset tekniset ja organisatoriset turvatoimet, erityisesti ne, jotka tekevät henkilötiedoista lukukelvottomia kaikille, joille ei ole niihin asianmukaisia käyttöoikeuksia. Melko monimutkainen oikeudellinen termi tekniset toimenpiteet viittaa salaukseen.

GDPR:ään liittyvät mahdolliset sakot

Tietomurrosta ilmoittamista asianomaiselle valvontaviranomaiselle koskevan velvoitteen noudattamatta jättäminen on rangaistavaa enintään 10 miljoonan euron sakoilla tai yrityksen osalta enintään 2 prosentilla sen edellisen tilikauden maailmanlaajuisista vuosituloista. Suurien sakkojen lisäksi tietosuojaviranomainen voi langettaa myös seuraavia rangaistuksia:

  • Yritykselle voidaan määritä tilapäinen tai pysyvä rajoitus, esimerkiksi kielto käsitellä henkilötietoja.
  • Yritys voidaan määrätä poistamaan henkilötiedot.

Tämä tarkoittaa, että voit esimerkiksi menettää kaikki nykyisten asiakkaidesi yhteystiedot tai että yritystäsi voidaan väliaikaisesti estää tallentamasta tällaisia tietoja.

Tietomurrot vaikuttavat kaikenkokoisiin yrityksiin

Monet yritykset uskovat, että ne eivät ole alttiita kyberhyökkäyksille tai tietomurroille pienen kokonsa ja rajallisten resurssiensa vuoksi. Valitettavasti näin ei ole: IDC-analyytikoiden mukaan yli 70 prosenttia tietomurtojen uhreista on PK-yrityksiä. Hyvä uutinen on kuitenkin se, että yritysten ei tarvitse ilmoittaa kyberhyökkäyksistä, ellei henkilötietoja ole vaarantunut tai vuotanut.

Harhaluulo siitä, että muut yritykset eivät joudu kyberhyökkäysten uhreiksi, saa monet yritykset häpeilemään ja pelkäämään kielteistä julkisuutta, jos ne ilmoittavat hyökkäyksestä.

ESET on huomannut, että GDPR-lain ensimmäisenä voimassaolovuotena eurooppalaiset viranomaiset ovat edelleen tutustumisvaiheessa uusiin sääntöihin. On todennäköistä, että jatkossa ne tuomitsevat lisää sakkoja.

Kokemus on kuitenkin osoittanut, että jos yritykset tekevät yhteistyötä, niiden rangaistukset usein pienenevät. Vaikuttaa myös siltä, että jos yrityksesi ei ole IT-jättiläinen, et todennäköisesti maksimisakkoa.

Siksi suosittelemme, että organisaatiot noudattavat aina ilmoitusvelvollisuutta, tekevät yhteistyötä valvontaviranomaisten kanssa ja kouluttavat työntekijöitään siitä, mitä henkilötiedot ovat ja miten ne tulisi suojata.

ESET-salausratkaisut

ESET Endpoint
Encryption

ESET Endpoint Encryption suojaa arkaluonteiset tiedot yrityslaitteissa salaamalla ne. Se tarjoaa tiedostojen ja kansioiden, sähköpostien ja liitteiden, siirrettävien tietovälineiden, virtuaalilevyjen ja koko levyn salauksen. Se on helppokäyttöinen, tarjoaa täyden salausavainten etähallinnan eikä vaadi palvelinta käyttöönottoa varten. Hanki 30 päivän maksuton kokeilujakso ja kokeile ESET Endpoint Encryptionia yrityksessäsi.

Lue lisätietoja