Cyber Security Breaches Survey 2025(uusi ikkuna) -tutkimuksen mukaan yli 93 % yrityksistä ja 95 % hyväntekeväisyysjärjestöistä joutui tietojenkalasteluhyökkäysten kohteeksi vuonna 2025, ja monet organisaatiot joutuivat kohteeksi useita kertoja.

Globaalisti eniten vuotaneet tiedot ovat nimet ja sähköpostiosoitteet (yhdeksässä murrossa kymmenestä), joita seuraavat puhelinnumerot, salasanat ja arkaluonteiset tiedot, meidän Data Breach Observatorylle tekemämme tutkimuksen mukaan.

Pienet yritykset ovat erityisen haavoittuvia: yksi neljästä joutuu hakkeroinnin kohteeksi kyberturvallisuustoimistaan huolimatta.


Kaiken tämän valossa yritysten ja turvallisuusammattilaisten on oltava valmistautuneita ja tietoisia ilmoitusvelvollisuuksistaan pitääkseen toiminnan turvallisena ja vaatimustenmukaisena.

Isossa-Britanniassa henkilötietomurroista ilmoittaminen Information Commissioner’s Officelle (ICO) on enemmän kuin oikeudellinen velvollisuus; se on keskeinen menettely, joka muokkaa julkista luottamusta, suojelee yksilöitä ja vaikuttaa tietomurron seurauksiin sen kohteeksi joutuneille organisaatioille.

Tässä oppaassa tutkimme, mikä lasketaan ilmoitettavaksi murroksi, miten murtoja säännellään Isossa-Britanniassa, ja annamme käytännön askelia (perustuen todelliseen kokemukseen) auttaaksemme yrityksiä kohtaamaan raportoinnin suoraan.

Mikä luokitellaan tietomurroksi Isossa-Britanniassa?

Milloin ja miten ilmoittaa tietomurrosta ICO:lle

Mitkä ovat yleisiä haasteita tietomurroista ilmoittamisessa?

Mitkä ovat parhaita käytäntöjä valmistautuessa murtojen raportointiin?

Kuinka Proton Pass for Business voi vähentää murtoriskejänne

Pitäkää yrityksenne valmistautuneena

Mikä luokitellaan tietomurroksi Isossa-Britanniassa?

Tietomurto Isossa-Britanniassa viittaa mihin tahansa turvallisuustapahtumaan, joka johtaa tietojen vahingossa tapahtuvaan tai laittomaan menetykseen, tuhoutumiseen, muuttumiseen, luvattomaan paljastamiseen tai niiden luvattomaan käyttöön. ICO:n ohjeistuksen mukaan murto tapahtuu, kun tietoja on tallennettu huonosti tai asetettu alttiiksi riskille, riippumatta siitä, onko tapahtuman aiheuttanut inhimillinen virhe, tekninen vika tai rikollinen teko.

Joitakin tilanteita, jotka voivat johtaa tietomurtoihin, ovat:

  • Sähköposti, joka sisältää arkaluonteisia tietoja, jotka on lähetetty väärälle vastaanottajalle
  • Laitteen katoaminen tai varkaus, joka sisältää salaamattomia henkilökohtaisia tietoja
  • Tärkeiden tiedostojen vahingossa tapahtuva poistaminen tai vioittuminen
  • Haittaohjelma(uusi ikkuna)tartunnat, jotka antavat ulkopuolisille pääsyn työntekijätietoihin
  • Fyysisten tiedostojen katoaminen tai jättäminen julkisiin tiloihin

Nämä tilanteet ovat tärkeä muistutus siitä, että murrot eivät rajoitu hakkerointitapauksiin. Käytännössä yksinkertaiset virheet, kuten kadonnut lasku tai väärään osoitteeseen lähetetty kirje, voivat olla lain mukaan aivan yhtä vakavia.

Vaikutus ei siis rajoitu suuriin tapahtumiin. Jos aiheutuu todellinen riski ihmisten oikeuksille tai vapauksille — kuten henkilöllisyysvarkaus, petos tai maineen menetys — olette todennäköisesti tekemisissä raportoitavan murron kanssa. Toisin sanoen, pienelläkin laiminlyönnillä voi olla suuri vaikutus.

Milloin ja miten ilmoittaa tietomurrosta ICO:lle

ICO:n vaatimusten(uusi ikkuna) mukaan henkilötietomurrosta, joka todennäköisesti aiheuttaa riskin ihmisten oikeuksille ja vapauksille, on ilmoitettava 72 tunnin kuluessa siitä tiedon saamisesta. Ilmoittamatta jättämisestä voi seurata jopa 2 %:n sakko maailmanlaajuisesta liikevaihdosta ilmoittamatta jättämisestä. Lisäksi enimmäissakko tietomurrosta Isossa-Britanniassa on 4 %.

Organisaatioille, jotka toimivat luottamuspalveluntarjoajina UK eIDAS(uusi ikkuna) -asetuksen alaisuudessa, pätevät erityiset säännöt(uusi ikkuna): jos murrolla on merkittävä vaikutus tarjottuihin palveluihin, ICO:lle on ilmoitettava asiasta 24 tunnin kuluessa, ja käyttäjille on tiedotettava asiasta mahdollisimman pian.

Mutta mistä tiedätte, saavuttaako murto ilmoittamiskynnyksen? Keskeinen testi on riski. Kysykää itseltänne: voisiko tämä tapaus aiheuttaa fyysistä, aineellista tai aineetonta vahinkoa yksilöille? Jos vastaus on “mahdollisesti”, toimia tarvitaan.

Tässä on ohjeet siitä, miten tietomurrosta ilmoitetaan Isossa-Britanniassa askel askeleelta:

  1. Tunnistakaa ja rajoittakaa murto nopeasti. Ryhtykää välittömiin toimiin vahingon minimoimiseksi — esimerkiksi mitätöikää pääsyoikeuksia, eristäkää vaikutuksen kohteena olevat järjestelmät tai palauttakaa paljastuneet kirjautumistiedot.
  2. Arvioikaa riski. Keihin murto vaikuttaa ja miten? Ottakaa huomioon mukana olevien henkilötietojen tyyppi ja määrä, kuinka helppoa yksilöiden tunnistaminen on, sekä kaikki mahdolliset seuraukset.
  3. Pitäkää kirjaa kaikesta. Vaikka päättäisitte jättää ilmoittamatta, olette lain mukaan velvollisia pitämään kirjaa murroista, tutkimuksistanne ja päätöksenne perusteista.
  4. Täyttäkää ICO:n yhdistetty raportointilomake. Seuraavat tiedot pyydetään:
    • Kuvaus siitä, mitä tapahtui ja miten se havaittiin
    • Päivämäärä ja aika, jolloin murto havaittiin
    • Ryhmät ja likimääräinen määrä kosketuksiin joutuneista henkilöistä ja tiedoista
    • Todennäköiset seuraukset ja tehdyt toimet ongelman ratkaisemiseksi
    • Ennaltaehkäisevät toimenpiteet, jotka olivat käytössä
    • Tietosuojavastaavanne (DPO) tai raportin pääkäsittelijän yhteystiedot
  5. Viestikää vaikutuksen kohteena olevien henkilöiden kanssa, jos heidän oikeuksilleen tai vapauksilleen on suuri riski. Tämä ei ole vain paras käytäntö — yleinen tietosuoja-asetus (GDPR) ja tietosuojalaki vaativat teitä toimimaan näin.

Koska se on lakisääteinen vaatimus, yritysten ei pidä epäröidä näistä tapahtumista ilmoittamista, vaikka ne uskoisivatkin, että tilanne saatetaan saada ratkaistua. Riippumatta murron tyypistä ja sen laajuudesta, oikea-aikainen ilmoitus voi itse asiassa näyttää ICO:lle, että yrityksenne ottaa vastuullisuuden ja vahinkojen lieventämisen vakavasti. Lisäksi ICO:n raportointivaatimusten noudattaminen auttaa yritystänne rakentamaan luottamusta sekä asiakkaiden että sääntelijöiden kanssa.

ICO:n henkilötietomurtojen raportointisivu(uusi ikkuna) kattaa kaikki vivahteet ja voi auttaa teitä tunnistamaan kriittisen tilanteen ja toimimaan sen mukaisesti.

Mitkä ovat yleisiä haasteita tietomurroista ilmoittamisessa?

Selkeistä lakisääteisistä vaatimuksista huolimatta yritykset epäonnistuvat usein samoista syistä. Tästä ongelmat yleensä alkavat:

  • Viivästyneet tai tekemättä jääneet ilmoitukset. Toisinaan tiimit eivät ole varmoja siitä, kuka on vastuussa raportoinnista, tai ne huomaavat murron vasta, kun on jo liian myöhäistä. Tulos? ICO:n rangaistukset ja vaurioitunut uskottavuus.
  • Täydellisten tietojen puute. Liian aikainen raportointi – ilman keskeisten tosiasioiden keräämistä – voi jättää aukkoja raporttiin tai laukaista jatkokysymyksiä ICO:lta.
  • Huono sisäinen viestintä. Arkaluonteiset ongelmat voivat “jumittua” yhteen osastoon, sen sijaan, että ne vietäisiin eteenpäin asianmukaiselle yhteyshenkilölle tai DPO:lle.
  • Riittämätön kirjanpito. Joillakin yrityksillä on vähän tai ei lainkaan todisteita siitä, miten murtoa käsiteltiin, edes ensisijaisen ongelman ratkaisemisen jälkeen. Tämä jättää ne alttiiksi viranomaisten valvonnalle.
  • Henkilökunnan epävarmuus tai koulutuksen puute. Jos työntekijät eivät tiedä, mikä lasketaan murroksi, tai jos he ovat epävarmoja raportointimenettelyistä, tapaukset voivat lipsahtaa huomion ohi.

Jokainen tapaus on hieman erilainen, mutta selkeän vastauskehyksen puuttuminen tekee asioista aina huonompia. Siksi jäsennelty raportointiohjeisto on aivan yhtä tärkeä kuin tekniset kontrollit. On myös syytä pitää mielessä, että valmistautuminen voittaa paniikin, joka ikinen kerta.

Mitkä ovat parhaita käytäntöjä valmistautuessa murtojen raportointiin Isossa-Britanniassa?

Seuraavat käytännöt (ja muutama valittu työkalu) luovat vankan perustan, mikä tekee sääntelyn noudattamisesta vähemmän hätätoimenpidettä ja enemmän hallittua prosessia.

1. Perusta tapahtumien havaitseminen ja dokumentointi

Kaikki alkaa tietoisuudesta. Määrittäkää hälytykset epäilyttävästä toiminnasta ja rohkaiskaa työntekijöitä raportoimaan mahdolliset oudot sähköpostit, puuttuvat tiedot tai luvattomat käytöt välittömästi. Kun tapausta epäillään:

  • Dokumentoikaa kuka, mitä, missä, milloin ja miten
  • Säilyttäkää lokit ja kuvankaappaukset tiedostoissanne
  • Säilyttäkää todisteet, vaikka huomaisitte myöhemmin sen olevan väärä hälytys

Varhaisten tietojen dokumentointi varmistaa, että teillä on vankka perusta raportoinnille ja tapauksen jälkeiselle analyysille.

2. Pitäkää pääsy ja kirjautumistietojen käyttö tarkkailun alaisena

Koska salasanat ja käyttötunnisteet voivat avata oven arkaluonteisiin tietoihin, kirjautumistietojen hallinta on yksi nopeimmista tavoista havaita murtoja ja rajoittaa vahinkoja. Säännölliset auditoinnit paljastavat jaetut tai uudelleenkäytetyt salasanat, puuttuvan 2FA:n, uinuvat tilit tai luvattoman käyttöoikeuksien laajentamisen.

Näiden käyttöoikeuksien tarkistusten tulisi olla:

  • Säännöllisesti aikataulutettuja, ei satunnaisia
  • Kattavia, kattaa ylläpitäjien, pilven, paikalliset järjestelmät ja myyjien tilit
  • Tuettuja työkalulla, joka seuraa kirjautumistietojen käyttöä, muutoksia ja toimintaa yksityiskohtaisilla lokeilla

Proton Pass for Business on turvallinen yritysten salasananhallinta, joka tarjoaa useita ominaisuuksia auttamaan yrityksiä estämään näitä murtoja, mukaan lukien Salasanaterveyden valvonta, mukautettavat tiimikäytännöt ja murtohälytykset.

Tämä lähestymistapa oikeilla työkaluilla vähentää kirjautumistietoihin liittyvän murron riskiä ja auttaa tunnistamaan nopeasti, mikä meni pieleen, jos jotain tapahtuu.

3. Määrittäkää sisäiset raportointityönkulut

Selkeä viestintä voittaa kaaoksen, ja yksinkertainen reitti tapahtumien eskaloimiseen on ratkaisu, jonka yrityksenne tarvitsee tehokkaaseen murtojen raportointiin. Tässä on esimerkki sujuvasta työnkulusta:

  • Koko henkilökunta ilmoittaa epäillyistä tapauksista keskitettyyn tietoturvapostilaatikkoon tai vastuulliselle virkailijalle
  • Toimitettujen tietojen perusteella omistautunut tiimi tutkii ja luokittelee tapaukset nopeasti
  • Sitten nimetty henkilö, kuten DPO, tekee lopullisen päätöksen raportoinnista

Yksinkertainen tapahtumien vuokaavio, joka jaetaan perehdytyksessä ja muistutuksissa, tekee ihmeitä. Tehkää ilmoittamisesta helppoa ja toteuttakaa leimautumista välttävä kulttuuri, sillä jos tiimin jäsenet pelkäävät seuraamuksia, he piilottavat virheensä niiden raportoimisen sijaan.

4. Panostakaa henkilöstön tietoisuuteen ja säännölliseen koulutukseen

Cyber Security Breaches Survey 2025(uusi ikkuna) vahvistaa, että tietojenkalastelu pysyy murtojen johtavana syynä (85 % kyselyyn vastanneista yrityksistä oli kokenut sen). Tämän todellisuuden kohtaamiseksi työntekijöiden kouluttaminen tunnistamaan varoitusmerkit — epäilyttävistä sähköposteista sosiaalisen manipuloinnin yrityksiin — on yksi halvimmista ja tehokkaimmista toimista.

Pienempiin palasiin jaettu lähestymistapa, jota on tuettu tosielämän esimerkeillä, voi parantaa koulutustanne. Lisäksi, päivittäkää koulutussisältöänne mahdollisimman usein ja välttäkää turvautumasta yleisiin kursseihin, joita ei sovelleta toimialallanne tai organisaationne asennuksessa.

5. Arvioikaa ja kirjatkaa ylös murtojen vaikutukset objektiivisesti

Paras reitti arvioida, onko murto ilmoitettava, on riskinarviointi. On välttämätöntä dokumentoida:

  • Menetettyjen tietojen tyypit, ja onko kyse arkaluonteisista tiedoista (terveys, talous, alaikäisten tiedot jne.)
  • Kuinka helposti vaikutuksen kohteena olevat henkilöt voitaisiin tunnistaa
  • Mitä vahinkoa voisi seurata (henkilöllisyysvarkaus, häpeä, taloudellinen menetys jne.)

Aikainen toimiminen ja arvionne kirjoittaminen muistiin näyttää ICO:lle, että otitte tilanteen vakavasti.

6. Harjoitelkaa murron vasteharjoituksia

Murtotilanteiden simuloiminen on perinteinen pöytäharjoitus, joka pystyy saamaan aikaan todellisen muutoksen. Se tuo esiin piilotetut aukot, paljastaa työnkulun ongelmat ja testaa eskaloitumisprosessin ennen kuin todellinen tilanne on käsillä.

Lopputulos? Ei pelkästään vaatimustenmukaisuuden vahvistaminen, vaan tiimi, joka tietää, mitä tehdä (ja miksi) paineen alla.

7. Hyödyntäkää turvallista pääsynhallintaa ja ennaltaehkäisyyn keskittyviä työkaluja

Vaarantuneet salasanat ovat edelleen ensisijainen riski. Siksi turvallinen salasananhallinta on nyt keskeinen osa tapausten ennaltaehkäisyä ja reagointia. Proton Pass for Business -ratkaisut rajoittavat merkittävästi altistumista murtojen aikana automatisoimalla kirjautumistietojen vaihtamisen, valvomalla Salasanaterveyttä ja tekemällä tietojenkalastelun onnistumisesta huomattavasti vaikeampaa.

Voitte tutkia tarkemmin strategioita ja työkalujen selityksiä Protonin kyberturvallisuuden resursseista, varsinkin jos olette arvioimassa omaa työkalupakkiianne.

Kuinka Proton Pass for Business voi vähentää murtoriskejänne

Kaikenkokoiset yritykset ovat alttiita tietomurroille. Itse asiassa, Protonin tutkimuksen mukaan, PK-yritykset saattavat olla kaikista haavoittuvimpia. Mutta oikeilla työkaluilla mikä tahansa yritys voi vähentää murtoriskejään: Proton Pass for Business ratkaisee sekä teknisiä että vaatimustenmukaisuuden haasteita.

  • Päästä päähän -salaus suojaa käyttäjien kirjautumistiedot levossa ja siirron aikana. Vaikka infrastruktuuri altistuisi, tiedot pysyvät hyökkääjien ulottumattomissa.
  • Salasanaterveyden tarkistus parantaa yrityksen verkon tietoturvaa. Heikot tai uudelleenkäytetyt salasanat tunnistetaan ja niistä ilmoitetaan tietoturvan parantamiseksi.
  • Pimeän verkon valvonta seuraa vuotaneita kirjautumistietoja ja lähettää hälytyksiä. Aktiivinen skannaus koko pimeässä verkossa mahdollistaa murtojen tunnistamisen ja mahdollisen vahingon vähentämisen.
  • Mukautettavat, valvottavat tiimikäytännöt luovat vahvemman salasananhallinnan. Tiukat ja mukautuvat salasanan, 2FA:n ja tietojen jakamisen käytännöt valvovat pääsyn tietoturvaa organisaationne tarpeiden mukaisesti.
  • Keskitetyt ylläpitäjän työkalut, automatisoitu raportointi ja kirjautumistietojen jakamisen kontrollit tarkoittavat, että muutokset voidaan toteuttaa minuuteissa, ei päivissä.
  • Avoimen lähdekoodin koodi ja säännölliset riippumattomat auditoinnit rakentavat luottamusta. Tietoturvakontrollit eivät ole vain väitteitä – kuka tahansa voi todentaa ne.

Keskittymällä käyttäjän voimaannuttamiseen, avoimeen turvallisuuteen ja helppoon käyttöönottoon, Proton on linjassa yksityisyys ensin -lähestymistavan kanssa. Tämä auttaa teitä rakentamaan työpaikkakulttuuria, jossa murtojen sietokyky on leivottu sisään teidän jokapäiväisiin työnkulkuihinne.

Organisaatioille, jotka ovat valmiita siirtymään kohti turvallista pääsyn hallintaa osana murtoihin varautumisen ohjelmaa, Protonin yritysten salasananhallinta on luonnollinen valinta; erityisesti jos vaatimustenmukaisuus, käytettävyys ja läpinäkyvyys sijoittuvat korkealle tarkistuslistallanne.

Esimerkiksi Novalytica jakaa runsaasti kirjautumisia asiakkaiden kanssa ja etsi turvallista tapaa suorittaa tämä tehtävä. Proton Pass for Business vastasi heidän tarpeisiinsa tarjoamalla täydellisen ratkaisun tietojen ja kirjautumisten jakamiseen asiakkaiden kanssa, varmistaen turvallisuuden ja jäljitettävyyden.

Jos olette kiinnostuneita käytännön vinkeistä turvallisten kirjautumistietojen ja murtojen raportoinnin laaja-alaiseen käyttöönottoon, tutkikaa myös joitakin yksityiskohtaisia esimerkkejä Protonin kyberturvallisuuden yritysresurssit -sivulla.

Pitäkää yrityksenne valmistautuneena

Tietomurtoilmoituksen tekemisen osaaminen Isossa-Britanniassa on avain yrityksen vaatimustenmukaisuudelle, luottamukselle ja selviytymiselle. Ero vahingollisen katastrofin ja hallitun tapauksen välillä tiivistyy usein valmistautumiseen, viestintään ja oikeaan sekoitukseen ihmisiä, prosesseja sekä turvallisia teknologioita.

Selkeiden sisäisten työnkulkujen rakentaminen, tapahtumaharjoitusten pitäminen sekä turvallisten työkalujen, kuten Proton Pass for Businessin, asettaminen etusijalle ovat voimakkaita tekoja, jotka auttavat noudattamaan ilmoittamisaikatauluja tai välttämään sakkoja. Lisäksi nämä hyvät käytännöt vahvistavat hallintoa kaikilla tasoilla, rakentavat vastuuvelvollisuutta ja vakuuttavat sekä asiakkaillenne että ICO:lle, että olette tosissanne oikein tekemisen suhteen, myös vaikeina hetkinä.

Jos haluatte pysyä askeleen edellä, lukekaa lisää Protonin missiosta digitaalisen vapauden puolesta ja katsokaa, miten yksityisyys ensin -työkalut voivat auttaa yritystänne. Kutsumme teidät tutkimaan ratkaisujamme yrityksille ja liittymään liikkeeseen, joka asettaa ihmiset — ei pelkästään voitot — kyberturvallisuuden keskiöön.

Usein kysytyt kysymykset tietomurroista Isossa-Britanniassa

Mikä on tietomurto Isossa-Britanniassa?

Tietomurto Isossa-Britanniassa on mikä tahansa tapaus, jossa henkilötietoja katoaa, paljastuu, muuttuu tai niitä käytetään ilman lupaa, tapahtuipa tämä vahingon, kyberhyökkäyksen tai huolimattomuuden seurauksena. Sillä on merkitystä, onko olemassa riski ihmisten oikeuksille tai vapauksille: tämä on kynnys sen päättämiselle, onko teidän ilmoitettava murrosta Information Commissioner’s Officelle (ICO).

Miten ilmoitan tietomurrosta ICO:lle?

Teidän on käytettävä ICO:n yhdistettyä raportointilomaketta ja annettava keskeiset tiedot murrosta: mitä tapahtui, milloin, kuinka monta ihmistä ja tietuetta on osallisena, ja mihin toimiin olette ryhtyneet tai aiotte ryhtyä laskeuman hillitsemiseksi. Organisaation tietosuojavastaavan tai muun vastuuhenkilön tulisi yleensä lähettää raportti 72 tunnin kuluessa havaitsemisesta (24 tuntia organisaatioille, jotka toimivat luottamuspalveluntarjoajina UK eIDAS -asetuksen nojalla).

Milloin minun tulisi ilmoittaa ICO:lle murrosta?

Teidän tulisi ilmoittaa ICO:lle mahdollisimman pian, mutta viimeistään 72 tunnin kuluttua siitä, kun olette tulleet tietoiseksi murrosta, jos tapaus todennäköisesti asettaa ihmisten oikeudet ja vapaudet vaaraan. Tämän määräajan laiminlyönti voi johtaa ylimääräisiin sääntelyrangaistuksiin ja julkisen luottamuksen menetykseen.

Mitä tietoja tarvitaan murrosta ilmoittamiseen?

ICO pyytää täydellistä kuvausta murrosta, havaitsemisen aikaa ja päivämäärää, vaikutuksen kohteena olevien henkilötietojen luonnetta ja määrää, kosketuksiin joutuneiden henkilöiden tai tietueiden määrää, mitä haittaa voi aiheutua ja tehtyjä toimia murron rajaamiseksi. Myös yhteyshenkilöä jatkotoimenpiteitä varten pyydetään. Jos kaikki tiedot eivät ole saatavilla 72 tunnin kuluessa, raportti on silti lähetettävä, ja ICO:a tulee päivittää myöhemmin, kun teillä on enemmän tietoja.

Ovatko kaikki tietomurrot ilmoitettava ICO:lle?

Ei, kaikkia murtoja ei tarvitse ilmoittaa. Teidän on ilmoitettava vain ne tapaukset, joihin liittyy henkilötietoja ja joissa on todellinen riski ihmisten oikeuksille tai vapauksille. Jopa ilmoittamatta jätettävät murrot on kuitenkin kirjattava sisäiseen lokiin siltä varalta, että ICO tarkistaa tietuet myöhemmin.