Tietomurto voi johtaa tietovuotoon, jos murtautuja pääsee käsiksi tietojärjestelmässä olevaan arkaluonteiseen tietoon. Tietovuodossa hyökkääjä voi saada käsiinsä henkilötietoja, laskutustietoja, tilitietoja, maksukortteja, yrityssalaisuuksia, arkaluonteisia tietoja asiakkaista tai yksittäisistä työntekijöistä tai muuta salassa pidettävää tai rahan arvoista. Henkilötietoihin kohdistuneesta tietovuodosta on tehtävä ilmoitus tietosuojavaltuutetun toimistolle, kun yleisessä tietosuoja-asetuksessa määritelty ilmoituskynnys ylittyy. Tee tietomurrosta aina poliisille rikosilmoitus tapahtuneesta.
Organisaatio havaitsee tietovuodon
Organisaatio havaitsee tai saa ilmoituksen tietovuodosta. On huomioitava, että tiedot voivat päätyä organisaation ulkopuolelle eri tavoin, esimerkiksi:
- Tietomurron seurauksena hyökkääjä on mahdollisesti tai todistetusti päässyt käsiksi tietoihin.
- Työntekijä vuotaa tahallaan tai vahingossa tietoja, esimerkiksi laite unohtuu tilaan, jossa ulkopuolinen pääsee siihen fyysisesti käsiksi.
- Tahaton tietovuoto, joka aiheuttaa tietojen vuotamisen ulkopuolisille. Esimerkiksi sähköpostiviesti väärään osoitteeseen tai organisaation verkkopalvelusta virheellisesti paljastuvat tiedot ulkopuolisille.
- Tietovuoto voi myös olla mahdollinen tilanne, joka tunnistetaan ennen kuin tietovuotoa on todennetusti tapahtunut. Esimerkiksi virheellinen pääsynhallinta verkkopalvelussa, joka korjataan ennen tietoa sen hyväksikäytöstä.
Toimenpiteet
- Ilmoitus tietosuojavaltuutetulle ja asiakkaille, joita tietovuoto koskee.
- Tee poliisille rikosilmoitus.
- Mikäli asiakkaita on paljon, verkkotiedote on paras vaihtoehto, muttei korvaa uhrien henkilökohtaista kontaktointia
- Varautukaa mediayhteydenottoihin mahdollisen julkisuuden vuoksi. Tietosuojalaki velvoittaa kattavaan ilmoittamiseen tietovuototapauksissa, ja siten ne päätyvät lähes aina myös julkisuuteen.
- Poikkeaman juurisyy kiinnostaa ja sitä tullaan kysymään. On tärkeää myös viestiä, mihin toimenpiteisiin on tapauksen johdosta ryhdytty ja miten vastaavaa estetään tapahtumasta jatkossa.
Esimerkkiviesti
Hei,
Organisaatiomme tietoja on päätynyt ulkopuolisen käsiin XX.X.2025. Tapaus koskee todennäköisesti myös asiakastietojamme.
Tapauksen tutkinta on yhtä kesken palveluntarjoajamme kanssa. Olemme tehneet ilmoituksen tietosuojavaltuutetun toimistolle, rikosilmoituksen poliisille ja yhteistyötä Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen kanssa.
Päivitämme tätä tiedotetta uudelleen viimeistään huomiseen XX.X.2025 klo 09:00 mennessä.
Lisätietoja tapauksesta antaa:
Matti Möttönen 040123123