Uuden tietosuoja-asetuksen soveltaminen testattiin Fingridin kyberturvaharjoituksessa

Fingrid järjesti kesäkuussa kyberturvaharjoituksen, jonka teemana oli EU:n uusi tietosuoja-asetus, GDPR. Harjoitus oli tiettävästi Suomen ensimmäinen GDPR:ään keskittynyt kyberturvaharjoitus ja vahvisti Fingridin valmiuksia vastata GDPR:n vaatimuksiin. Kyseessä oli Fingridin kolmas harjoitus Jyväskylän ammattikorkeakoulun ky­ber­tur­val­li­suu­skeskuksen JYVSECTECin harjoitusympäristössä.

Fingridiin viime vuonna perustettu Incident Response –ryhmä harjoitteli kesäkuun alussa EU:n tietosuoja-asetuksen soveltamista kyberhyökkäyksissä. IR-ryhmään kuuluvat yhtiön tietoturvayksikön ohella ne keskeiset toiminnot, jotka ovat mukana mahdollisten kyberhyökkäyksien ensi vaiheen selvittelyissä. Näitä toimintoja ovat lakiasiainpalvelut, HR, viestintä, luottamusmies ja yritysturvallisuus.

Kyberturvallisuus vaatii vahvaa teknistä kyvykkyyttä puolustaa ympäristöjä, mutta myös päätöksenteon ja viestinnän onnistumista hyökkäystilanteissa.

Harjoittelupaikkana oli Jyväskylän am­mat­ti­kor­kea­kou­lun puo­lu­ee­ton ky­ber­tur­val­li­suu­den tut­ki­mus-, ke­hi­tys- ja kou­lu­tus­kes­kus JYV­SEC­TEC, jonka kanssa Fingrid suunnitteli harjoituksen. Suunnitelman toteutuksesta vastasi JYVSECTEC.

Harjoituksen skenaariona oli tietovuoto, jossa oli osallisena yrityksen työntekijä. Tietovuodossa vuodettiin yrityksen henkilöstön ja sidosryhmien sensitiivisiä henkilötietoja sekä kriittistä organisaatiotietoa. Harjoituksessa IR-ryhmä sai tiedon tapahtuneesta ja lähti selvittelemään tapahtunutta määriteltyjen prosessien ja sovitun työnjaon mukaisesti.

Harjoitustilanteessa tehtiin rikosilmoitus tietovuodosta, ja tämän seurauksena – ja yllätyksenä IR-ryhmälle – harjoitukseen liittyivät suunnitelman mukaisesti myös poliisin tekninen ja taktinen tutkija. Poliisin mukanaolo toi harjoitukseen lisää todentuntua ja oppia viranomaisyhteistyöstä. Myös poliisiviranomainen kiitteli harjoituksen hyödyllisyyttä.

Arvokasta kokemusta toiminnasta tietovuototilanteissa

”Harjoitus antoi hyvää ja arvokasta kokemusta toiminnasta tietovuototilanteissa sekä konkretisoi niitä teemoja, joita tietosuojasääntelyssä ja GDPR:ssä tällöin nousee esiin”, lakimies Antti Kivipuro Fingridistä toteaa.

IR-ryhmän harjoitus osoitti Fingridille useita tärkeitä kehityskohteita muiden muassa ryhmän kokoonpanoon ja ohjeistukseen sekä paransi valmiuksia toimia poikkeamatilanteissa.

”JYVSECTECin ja todennäköisesti Suomen ensimmäinen realistinen GDPR:ään keskittynyt kyberturvaharjoitus tarjosi myös JYVSECTECille paljon arvokasta kokemusta. Meillä on nyt paremmat edellytykset tarjota vastaavia kyberturvaharjoituksia myös muille yrityksille”, CTO Marko Vatanen JYVSECTECistä kertoo tyytyväisenä.