Mitä oikeastaan tapahtui?
Kesällä uutisia seuranneet huomasivat varmasti, että 19. heinäkuuta 2024 tapahtui suuri myllerrys, kun yhdysvaltalaisen tietoturvayhtiön CrowdStriken tekninen vika aiheutti maailmanlaajuisen tietoteknisen katkoksen. Kyseessä ei yrityksen mukaan ollut kyberhyökkäys, vaan yrityksen oman toiminnan virhe.
Katkos johtui virheellisestä virustorjuntapäivityksestä, joka esti kyseistä tuotetta käyttävien Windows-laitteiden toimivuuden. Tapahtuma itsessään ei siis ollut kuin pieni pätkäisy nettiyhteydessä, mutta sen on sanottu olevan nykyhistorian suurin katkos digitaalisessa maailmassa. Sen takia jouduttiin perumaan lentoja ympäri maailmaa, lukuisilla uutiskanavilla oli ongelmia tv-uutisten lähettämisessä, terveydenhuollon varausjärjestelmät eivät toimineet, vain muutamia esimerkkejä mainitaksemme. Tapahtuman vaikutukset olivat maailmanlaajuisia ja myös Suomessa havaittiin ongelmia: muun muassa uutistoimisto STT ilmoitti häiriöistään.
Tilanne saatiin lopulta korjattua, mutta monet järjestelmät olivat täysin toimimattomina useita tunteja ja haittavaikutusten lopullinen korjaaminen kesti useita päiviä. Tapaus osoittaa, miten merkittävissä määrin yritysten tietojärjestelmien häiriöt voivat vaikuttaa yksityishenkilöidenkin arkeen ympäri maapalloa.
Mitä tapahtuma aiheutti tietosuojan näkökulmasta?
Katkos aiheutti paljon taloudellisia menetyksiä ja toiminnan hankaluuksia yrityksille. Tietosuojan näkökulmasta selvittiin melko vähällä, sillä ainakaan vielä ei ole ilmoitettu tapauksia, joissa henkilötietoihin olisi kohdistunut muita poikkeamia kuin tietojen lyhytaikaiset saatavuuden häiriöt.
Järjestelmien käyttökatkon aikana monet yritykset joutuivat varmasti käsittelemään henkilötietoja manuaalisesti paperia ja kynää käyttäen. On hyvä muistaa, että tietosuoja-asetuksen velvoitteet kattavat myös muut kuin digitaalisessa muodossa olevat henkilötiedot. Myös paperisia henkilötietoja tulee käsitellä huolellisesti, eikä niitä tule esimerkiksi jättää työpöydille näkyville, vaan nekin tulee niin säilyttää kuin tuhota turvallisesti.
Mitä opiksi?
Tapahtuneen olisi syytä herättää yrityksiä tarkistamaan, että heillä on olemassa toimiva varautumissuunnitelma vastaavien tilanteiden varalle. Miten toimitaan, jos yrityksen järjestelmiin ei päästä käsiksi?
Vaikka kyseessä ei tällä kertaa ollut kyberhyökkäys, voisi vastaavanlaista tapahtua juuri kyberrikollisten toimesta. Henkilötietoja pitää suojata tietoturvallisesti asianmukaisilla keinoilla ja henkilötietojen käsittelijöitä tulee kouluttaa tietosuojan osalta säännöllisesti. Tärkeät asiakirjat on syytä varmuuskopioida, jotta mahdollisen katkoksen tai kaappauksen sattuessa mahdollisimman ajantasaiset tiedot saadaan mahdollisimman nopeasti takaisin omaan käyttöön.
Junior Data Protection Specialist
Lawder Oy