Käsitteet tietoturva ja tietosuoja menevät arkikielessä helposti sekaisin, eivätkä it-ammattilaisetkaan aina tee eroa niiden välillä. Jatkossa termit kietoutuvat toisiinsa entistä vahvemmin.
Tietoturvalla pyritään varmistamaan tietojen saatavuus, eheys ja luottamuksellisuus. Tiedot voivat olla mitä tahansa dataa: mittaustuloksia, autojen rekisterinumeroita, rahansiirtoja tai vaikka kaupan kuukausiraporttia varten kerättyjä myyntilukuja.
Henkilötiedoksi data muuttuu, jos se voidaan yhdistää luonnolliseen henkilöön. Tiedot ihmisen liikkumisesta, rahankäytöstä tai terveydestä ovat ilmiselvästi henkilötietoja. Tietosuoja pyrkii varmistamaan, ettei tietoja käytetä ilman aihetta eikä henkilön oikeutta yksityisyyteen loukata.
Jotta asia ei olisi liian yksinkertainen, GDPR (General Data Protection Regulation) laskee henkilötiedoiksi kaikki ne merkinnät, jotka voidaan epäsuorasti yhdistää henkilöihin. Tällöin esimerkiksi yrityksen sisäverkon lokitiedot tulevat lain velvoitteiden piiriin.
Vahinkoja ei enää ole
Toukokuussa 2018 päättyvän siirtymäkauden jälkeen vanha henkilötietolaki korvautuu uudella, aiempaa tiukemmalla versiolla. Periaatteet ovat ennallaan, joten hyvää rekisterinpitotapaa noudattanut yritys selviää muutoksista vähemmällä kuin se, joka on tähän asti elänyt harmaalla alueella tai jättänyt lain tyystin noudattamatta.
Yksi keskeisimmistä muutoksista on se, että uuden lain myötä yrityksellä on lainmukainen velvollisuus suunnitella ja dokumentoida henkilötietojen käyttöön liittyvät järjestelmät ja prosessit, sekä kouluttaa työntekijät. Mahdollisen tarkastuksen tullessa yrityksen on pystyttävä itse osoittamaan, että henkilötietojen käsittely on huolellista ja tietoturvasta on huolehdittu.
Suomessakin on ollut tapauksia, joissa verkkopalveluihin on murtauduttu ja sen jälkeen käyttäjien tietoja levitetty nettiin. Yleensä kyse on ollut salasanoista ja käyttäjätunnuksista, mutta joissain tapauksissa mukana on ollut myös osoitteita ja jopa henkilötunnuksia. Näitä tietoja on käytetty vielä vuosia myöhemmin identiteettivarkauksiin ja tilauspetoksiin.
Jatkossa yritys ei voi enää vedota siihen, että sattui vahinko. Onnistunut tietomurto on merkki siitä, ettei asioista ole huolehdittu lain edellyttämällä tavalla. Siitä voi seurata yritykselle taloudellisia sanktioita tai rekisterinpitäjä voi joutua asiasta henkilökohtaiseen rikosvastuuseen.
”Hupsista” ei jatkossa ole mikään selitys tapahtuneelle.
Lisäksi uusi laki tuo mukanaan ilmoitusvelvollisuuden. Yrityksen on tiedotettava tapahtuneesta tietosuojaviranomaisille sekä henkilöille, joiden tietoja on vuotanut. Ilmoitus on tehtävä viipymättä, eikä yritys voi enää piilotella asiaa.
Tällainen läpinäkyvyys parantaa asiakkaiden luottamusta sähköisiin palveluihin, mutta yrityksille se ei jätä vaihtoehtoja: tietoturva on pantava aidosti kuntoon.
Tietoturva ei koske yksinomaan henkilötietojärjestelmiä vaan kaikkea muutakin koneellista tiedonkäsittelyä. Sähköpostin liitteestä verkkoon livahtava haittaohjelma voi varastaa henkilötietoja tai kiristysohjelman tapauksessa estää niiden käytön.
Päivittämätön sovellus tai verkkopalvelin voi avata hakkerille pääsyn tietokantoihin tai mahdollistaa web-sivujen sotkemisen. Henkilökunnan uteliaisuudesta johtuva rekisteritietojen selaus on sekin tietoturvaongelma, koska se paljastaa luottamuksellista tietoa. Ongelmat voidaan välttää koulutuksella sekä riittävällä lokitietojen seurannalla.
Tietoturva ei ole rakettitiedettä
Media uutisoi kehittyneistä atp-hyökkäyksistä (atp=Advanced Persistent Threat), valtiollisista vakoiluohjelmista ja kehittyneistä hakkeri-iskuista. Niitä vastaan on vaikea suojautua. Sen sijaan jokaisen organisaation on hoidettava helpot asiat kuntoon. Tietoturva ei ole rakettitiedettä eikä edes tekniikkaa. Pikemminkin kyse on toimintojen ohjeistamisesta, prosessien suunnittelusta ja käyttäjien motivoinnista.
Jos tietoturva nähdään vain työnantajan asiana, tietoturvaohjeita ei jakseta noudattaa. Ne nähdään vain hidasteina, jotka estävät tehokasta työntekoa, etätyötä ja tietojen siirtämistä organisaatioiden välillä.
Onneksi meillä jokaisella on lukuisia älylaitteita ja olemme riippuvaisia lukemattomista verkkopalveluista. Tietoturvan toteuttaminen ei ole yksin työnantajan etu vaan myös jokaisen henkilökohtainen asia.
Uhkakuvat muuttuvat ajan myötä ja kokemus on osoittanut, että tutuistakin asioista pitää muistuttaa työntekijöitä säännöllisesti. Siksi esimerkkien avulla tapahtuva koulutus ja myönteisen kehityksen palkitseminen ovat parhaita keinoja tietoturvan kohentamiseen.
Mitä sitten jokaisen pitää osata? Esimerkiksi salasanat. Tärkeintä on, että salasanat ovat riittävän vahvoja ja jokaiseen palveluun käytetään eri salasanaa. Vanha ohje salasanan säännöllisestä proaktiivisesta vaihtamisesta on nykymaailmassa turha. Salasanojen turha vaihtaminen tuottaa enemmän haittaa kuin hyötyä.
Mobiililaitteet ovat mainettaan turvallisempia. En ole löytänyt Suomesta vielä yhtään aitoa älypuhelimeen tarttunutta virusta. Turhia varoituksia ja pelottelevaa mainontaa on nähty sitäkin enemmän. Mutta mobiililaitteissa on omat riskinsä, kuten laitteen varastaminen tai olan yli tapahtuva pin-koodin urkinta.
Usb-tekniikka on melkoinen murheenkryyni. Usb-tikuilla voidaan ujuttaa järjestelmiin kehittyneitä haittaohjelmia, jotka pystyvät ylittämään jopa ns. air-gapin eli varastamaan tietoa koneista, joita ei ole kytketty verkkoon. Varovaisuus kaikkien usb-laitteiden käytössä on oleellisen tärkeää.
Tunnuksia verkkopankkiin ja sisäverkon palveluihin kalastellaan säännöllisesti. Mitään linkkiä ei saa klikata suoraan sähköpostista, vaan palveluihin pitää mennä aina selaimen kirjanmerkkien kautta tai kirjoittamalla osoite näppäimistöltä omin käsin.
Tietoturvaan liittyy myös tiedon elinkaaren hallinta. Säilyvyyden varmistamiseksi tiedoista pitäisi aina olla ajantasainen kopio pilvipalvelussa tai usb-tikulla, jotta levyn rikkoutuminen tai kiristyshaittaohjelma ei pääsisi tuhoamaan niitä.
Uuden lain nojalla henkilöllä on oikeus tulla unohdetuksi ts. oikeus vaatia tietojensa poistamista järjestelmästä. Tällöin poiston on oltava riittävän turvallinen, jottei tietoja jää vahingossa roikkumaan järjestelmän muihin osiin, eikä niitä palauteta vahingossa.
GDPR aiheuttaa tarpeen inventoida ja tarkistaa kaikki yrityksen tietojärjestelmät. Samalla on hyvä tarkistaa niihin liittyvät tietoturvatekijät. Jos tietoturva ei ole kunnossa, tietosuojakaan ei voi toteutua.
Ja se voi pahimmillaan tuottaa paitsi ison mainevahingon myös johtaa rikostutkintaan.
Petteri Järvinen on seurannut IT-tekniikkaa 1980-luvun alusta lähtien. Hän on kouluttanut yrityksiä tieto-turva-aiheista ja kirjoittanut 30 IT-kirjaa.