EU saa lähivuosina uuden tietosuojadirektiivin

EU-direktiivit
Teksti
Kustaa Hulkko
Julkaistu yli kolme vuotta sitten

Lisääntyvä kyberrikollisuus pakottaa Euroopan unionin tiukentamaan tietosuojalainsäädäntöään.

Hakkerien tietomurrot, tietokonevirukset ja muut kyberrikokset sekä niiden torjunta maksavat maailman kuluttajille kymmeniä miljardeja euroja vuodessa. Kuva Oliver Berg / DPA / Lehtikuva.

Lähivuosina EU:n tietosuojalainsäädännössä tapahtuu merkittävä muutos. Vuoden 2012 alussa EU-komissio antoi ehdotuksensa EU:n tietosuoja-asetukseksi ja -direktiiviksi, jotka lisäisivät entisestään yritysten velvollisuuksia.

Komission ehdotuksen mukaan yritysten on laadittava suunnitelmat tietovuotojen tai -varkauksien ehkäisemiseksi ja niiden jälkihoitoa varten. Lisäksi niiden on ilmoitettava tietoturvaloukkaukset kansalliselle valvojalle 24 tunnin kuluessa.

Yritys on vastuussa myös välillisistä vahingoista, jotka aiheutuvat asiakastietojen varastamisesta, ja sen pitää ilmoittaa rekisteröidyille asiakkaille, jos heille on todennäköisesti haittaa tietoturvan pettämisestä.

Suomen tietosuojavaltuutettu Reijo Aarnio saisi käytännössä poliisinvaltuudet. Valvoja voi jopa kieltää kokonaan yrityksen henkilörekisterit, elleivät ne täytä vaatimuksia.

Ehdotuksen mukaan valvoja voisi myös määrätä sakon yritykselle. Hallinnollinen rangaistusmaksu voisi nousta aina kahteen prosenttiin maailmanlaajuisesta liikevaihdosta.

Komission ehdotuksen läpimeno sellaisenaan ei tosin ole läpihuutojuttu. Sen käsittely neuvostossa ja EU-parlamentissa etenee hitaasti.

Mitä kyberrikokset maksavat?

Kyberrikoksia on monenlaisia: tietokoneiden virusinfektiot, internet-petokset, henkilökohtaisten tietojen väärinkäyttö (identiteettivarkaudet), tekijänoikeusrikokset ja palvelunestohyökkäykset, jotka tukkivat kohteena olevat sivustot kuormittamalla niitä massiivisilla kyselyillä laillisten kanavien kautta.

Niiden kohteeksi joutuvat yritykset voivat menettää välittömästi liikevaihtoa. Lisäksi ne joutuvat joskus maksamaan asiakkailleen tai partnereilleen vahingonkorvauksia.

Alkuvuonna 2012 ilmestyi perusteellinen tutkimus kyberrikosten yhteiskunnallisista kustannuksista (Measuring the Cost of Cybercrime).

Kansainvälinen brittivetoinen tutkijaryhmä totesi, että kyberrikokset ovat – ainakin Britanniassa – nykyajan uusi suurten volyymien rikostyyppi, johon pitää suhtautua yhtä vakavasti kuin perinteisiin omaisuusrikoksiin. On syytä harkita myös rangaistusten koventamista.

Kyberrikosten ongelma eivät ole välittömät kustannukset kuten rikollisten esimerkiksi virushyökkäyksillä varastamat summat. Niihin uppoaa tutkimuksen mukaan vain pari Yhdysvaltain dollaria tai euroa kansalaista kohti. Valuuttayksiköt eivät tässä ole tärkeitä – kysymys on karkeista suuruusluokista.

Pääongelma on sen sijaan välilliset kustannukset ja rikosten torjuntakustannukset. Niiden määrä on 10-kertainen verrattuna välittömiin vahinkoihin. Tärkeimpiä välillisiä kustannuksia ovat tietokoneiden puhdistuskulut. Esimerkiksi viruksen putsaaminen maksaa käyttäjälle satoja euroja, mutta koko kansantaloudessa kustannus per capita on joitakin kymmeniä dollareita.

Kansalaisille ja yrityksille syntyy myös muita, vaikeammin arvioitavia välillisiä tappioita. Tietoturvarikokset lopettavat väkivaltaisesti kokonaan monen pk-yrityksen verkkoliiketoiminnan. Lisäksi ne synnyttävät pelkoa käyttää nettikauppaa, joka kuitenkin on usein sekä yrittäjälle että kuluttajalle edullisin kaupankäynnin muoto, ja vähentävät siten taloudellista hyvinvointia.

Vakuutusala myy kybervakuutuksia

Suuri saksalainen jälleenvakuutusyhtiö Munich Re tiedotti äsken, että vakuutusala on reagoinut ongelmaan kehittämälllä uusia vakuutuksia, jotka on tarkoitettu nimenomaan kyberriskejä varten. Noin kolmannes Yhdysvaltain yrityksistä on jo hankkinut tällaista vakuutussuojaa. Euroopassa vastaava luku on paljon pienempi, noin 5 prosenttia.

Munich Ren mukaan vuonna 2011 maailmassa varastettiin yli 232 miljoonaa tietotallennetta, jotka sisälsivät informaatiota henkilöistä. Niistä 23 miljoonaa koski Yhdysvaltain kansalaisia.

Ponemon-instituutin tutkimuksen mukaan tällaisten rikosten aiheuttama keskimääräinen kustannus henkeä kohti oli 200 dollaria.

Saksassa poliisin keräämien rikostilastojen mukaan tehtiin vuonna 2011 noin 60 000 kyberrikosta. Munich Re korostaa, että yritysten pitää tehostaa toimintaansa kyberhyökkäysten torjumiseksi. Pelissä on sekä raha että maine: itse asiassa koko toiminnan jatkuvuus.