Tietoturva on välttämätöntä riskienhallintaa

Ajantasaiset laitteet ja ohjelmistot eivät riitä, vaan tietoturvasta on tehtävä tapa toimia

Tietoturva ja tietosuoja menevät ainakin maallikolta helposti sekaisin. 

Tietosuojan tarkoituksena on turvata ihmisen yksityisyys niin, etteivät häntä koskevat tiedot päädy vääriin käsiin, vaan ne säilyvät luottamuksellisina ja salaisina. Tietoturvalla taas tarkoitetaan tietojen kokonaisvaltaisempaa suojelemista eli esimerkiksi tietojärjestelmien ja tietoliikenteen turvallisuutta organisaatiossa.

Tietoturva koostuu perinteisessä jaottelussa kolmesta tavoitteesta: tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta. Tietoturvallisuuden tavoitteena on siis varmistaa, että tiedot ovat vain niiden käytössä, joilla on niihin oikeus (luottamuksellisuus), silloin kun he niitä tarvitsevat (saatavuus) ja että tieto on oikeassa muodossa eikä se ole matkan varrella muuttunut (eheys). 

Tietoturvallinen toiminta on yksi tietosuojan toteuttamisen keinoista.

Tällä tietoturva.pro-sivustolla käsitellään tietoturvaan liittyviä asioita. Tietoturvasta huolehtiminen on kaikkien organisaatioiden, myös pk-yritysten välttämätöntä riskienhallintaa. Väärinkäytökset, vahingot ja onnettomuudet voivat liittyä hallintoon, fyysisiin toimitiloihin, henkilöstöön, tietoaineistoihin, ohjelmistoihin ja laitteistoihin. 

Tietovuoto voi vaarantaa paitsi liiketoiminnan myös pilata yrityksen maineen. 

Tietoturvan merkitys kasvaa vauhdilla verkkoliiketoiminnan ja sähköistettyjen bisnesprosessien myötä. Pk-yritykset ovat yhä kiinnostavampia kohteita verkkorikollisille. Yrityksiä uhkaavat esimerkiksi huijaussähköpostit, netistä tarttuvat haittaohjelmat, identiteettihuijaukset, bisneskriittiset tiedostot työtekijöiden kotikoneilla ja turvattomat langattomat verkot.

Yritykset yhä huonosti valmistautuneita

Vakuutusyhtiö Ifin elokuussa 2017 julkaiseman kysely on huolestuttavaa luettavaa. Sen mukaan 29 prosenttia pk-yrityksistä on joutunut tietoturvaa koskevan rikosyrityksen kohteeksi kolmen viime vuoden kuluessa – ja 21 prosenttia rikosyrityksistä on onnistunut. 

Joka kolmannes vastaajista myönsi, ettei oma yritys ole valmistautunut riittävästi mahdollisia tietoturvarikoksia vastaan. Kyselyyn vastasi 100 pk-yrityksen tietoturvasta vastaavaa henkilöä.

Kyselyn tulosten kanssa samoihin aikoihin syksyllä 2017 tuli julkisuuteen toinen uutispommi. Terveyden ja hyvinvoinnin laitokselta (THL) oli vuotanut – kenenkään huomaamatta – tuhansien ihmisten laboratoriotuloksia internettiin, kun yksi työntekijä käytti henkilötietoja sisältävää materiaalia laatiessaan esitystä raportointia varten.

THL:n tapauksessa kyseessä ei ollut tietomurto vaan inhimillinen virhe, joka tietoturva-asiantuntijoiden mukaan olisi voitu välttää tietovuodot tunnistavan ja tietomurrot estävän järjestelmän avulla. Sellaista THL:llä ei kuitenkaan ollut käytössä.

Miten sitten varmistaa hyvä tietoturva? Tietoturvariskiä voi pienentää jo ihan perinteisin keinoin: kouluttamalla henkilökuntaa ja lisäämällä tietoturvaa koskevaa tietoisuutta työpaikoilla. Mutta myös teknisten ratkaisujen on oltava ajan tasalla – ja juridiikka hanskassa.

Ifin kyselystä kävi ilmi, etteivät yritykset olleet vielä tuolloin varautuneet toukokuussa 2018 voimaan tulevaan EU:n tietosuoja-asetukseen oikeastaan millään tavalla. Toukokuun 25. päivästä lähtien kaikkien rekisterinpitäjien eli henkilötietoja keräävien ja säilyttävien organisaatioiden, myös pk-yritysten on suojeltava asiakkaistaan ja henkilöstöstään keräämiä henkilötietoja aiempaa tarkemmin.

Käytännössä tietosuoja-asetus koskee kaikkia organisaatioita – niin yrityksiä, järjestöjä kuin julkishallintoakin. Asetuksen rikkomisesta voi seurata huomattavat sakot.

Tietoturva on tapa toimia!

Tietoturva on tapa toimia, ei pysyvästi saavutettu tila. Organisaatio tai yritys ei ole koskaan ”valmis” tietoturvaa koskevissa asioissaan. Tietoturvan hoitamisessa on oltava vastuuhenkilö, joka seuraa ja tarkkailee tietoturvan tasoa sekä kehittää sitä jatkuvasti uusia haasteita silmällä pitäen. 

Päivittämätön nettiselain on tietoturvauhka. Tavalliset virussuojaukset tehoavat vain yleisimpiin uhkiin, tietoturvan säilyttämiseksi tarvitaan enemmän työkaluja, esimerkiksi palomuuri, suodattimia ja salasanasuojaus.

Hakkerien kiinnostus kohdistuu erityisesti pilvipalveluihin, jonne monet organisaatiot ovat siirtäneet infraansa kustannussyistä. Pilvipalvelut tulisi suojata siinä missä sisäverkko ja muut nettipalvelut. Monien pilvipalveluiden omat suojaukset ovat varsin heikkoja, eivätkä palvelujen tarjoajat ota vastuuta tietomurron sattuessa.

Tietoturvassa ei kuitenkaan ole kyse vain ohjelmistoista tai laitteista. Kyse on ihmisten käyttäytymisestä. Omat työntekijät voivat olla pahin tietoturvauhka, elleivät he tiedosta tietoturvan tärkeyttä. Tiedon lisäämiseksi ja ylläpitämiseksi tarvitaan jatkuvaa koulutusta ja opastusta – jopa perusasioista muistuttamista.

Näin parannat organisaatiosi tietoturvaa!

1. Selvitä organisaatiosi tai yrityksesi tietoturvan nykytila. Ellet osaa sitä itse tai organisaatiossasi ei ole osaavaa henkilöä, pyydä konsultin apua! 

  • Mitä tietoja pitää suojata?
  • Mitä vaaroja nykyisissä toimintatavoissa on?
  • Onko kaikissa laitteissa ajan tasalla olevat palomuurit ja suojaohjelmat?
  • Onko yrityksen internetliikenne ja -yhteydet suojattu?
  • Onko ohjelmistojen tarjoama suoja kattava?
  • Onko tietokoneiden kovalevyt salattu?
  • Ovat salasanat turvallisia?
  • Onko työkoneilla vain ne ohjelmat, joita työntekijä välttämättä tarvitsee?
  • Onko toimintaa koskeva kirjeenvaihto ja viestit salattu?
  • Mitä tietoa on paperilla, mapeissa ja varastoissa?
  • Onko organisaation tiloissa hälytyslaitteet, valvontalaitteet, murtosuojat?
  • Osaako henkilökunta tunnistaa tietojenkalastelun ja raportoida siitä esimiehelleen tai tietohallinnolle?

2. Selvitä, mikä on toiminnan tai bisneksen kannalta kriittistä tietoa.

Asiakkaita, kumppaneita, työntekijöitä ja heidän henkilötietojaan sekä yrityksen raha-asioita ja yritysprosesseja koskevat tiedot ovat aina kriittisiä.

  • Kenellä on pääsy näihin tietoihin?
  • Miten tiedot on suojattu?
  • Otetaanko tiedoista aina varmuuskopiot – säännöllisesti?
  • Kuka varmuuskopiot tarvittaessa palauttaa?
  • Miten varmuuskopioiden palautus tehdään?

3. Määrittele työntekijöille selkeät roolit, miten kunkin on henkilökohtaisesti huolehdittava tietoturvasta.

  • Ohjeistus turvallisista salasanoista.
  • Ohjeistus työtietoja sisältävien laitteiden käytöstä kotona (lapsilukko) ja muualla työpaikan ulkopuolella (avoimet wifi-verkot).
  • Laadi pelinsäännöt sille, miten vapaasti netissä voi surffata.
  • Kouluta henkilökuntaasi säännöllisesti ja aina lainsäädännön uudistuessa.

4. Käytä kaikissa palveluissa vain vahvoja salasanoja.

  • Ja jos mahdollista, käytä salasanojakin vahvempia salausmuotoja, esimerkiksi kaksivaiheista tunnistamista.
  • Älä käytä samoja salasanoja eri palveluissa. 
  • Vaihda salasanat säännöllisin väliajoin.
  • Huolehdi, että salasanoja hallitaan keskitetysti sitä varten tehdyllä ohjelmistolla.

5. Sähköposteja lähetettäessä varmista, että ne eivät sisällä henkilötietoja. 

6. Älä päästä tietoturvaa yrityksestä työntekijöiden mukana. Poista entisten työntekijöiden ja esimerkiksi konsulttien käyttäjätilit (verkkosalasana, puhelin, sähköposti) välittömästi.

7. Huolehdi mobiililaitteiden tietoturvasta. Esimerkiksi puhelimella hoidetaan sähköpostiliikennettä, laskujen maksua ja sisäistä viestintää sekä käsitellään tärkeitä dokumentteja. Kaikissa laitteissa, joissa on arkaluonteisia tietoja, on oltava turvakoodit. 

8. Yrityksen omistuksessa olevia suojaamattomia laitteita on saattanut kadota. Tästä voi tulla iso ongelma. Luetteloi aina laitteet, esimerkiksi muistitikut, joissa on arkaluonteista dataa.

Vakuutus korvaa kuluja ja tappioita

Tietoturvan vakuuttaminen on yleistynyt vuodesta 2013, jolloin amerikkalainen AIG toi tietoturvavakuutukset Suomeen. Nykyään tietoturvavakuutuksia tarjoavat lähes kaikki isot vakuutusyhtiöt. 

Vakuutusten kysyntää on kiihdyttänyt EU:n tietosuoja-asetus. Se vaatii organisaatioita huolehtimaan erityisesti henkilötietojen turvallisuudesta ja vaatii tietomurron sattuessa ilmoittamaan siitä tietosuojaviranomaisille ja vakavimmissa tapauksissa myös murron kohteeksi joutuneille henkilöille. Vakuutus voi korvata esimerkiksi liiketoiminnan keskeytymisen tappioita ja/tai tietomurron syiden ja vaikutusten selvittämisestä syntyneitä kuluja.

Vakuutusyhtiöt kuitenkin muistuttavat, ettei esimerkiksi yrityksen tietoturvaa voi ulkoistaa vakuutuksen varaan. Tietomurrossa voi mennä muutakin kuin yritykselle arvokasta dataa, esimerkiksi maine tai luottamus.

Mitä sanoo laki?

Lainsäädäntö ei ole ennen merkittävissä määrin asettanut organisaatioille velvollisuuksia riskienhallintaan ja tietoturvaan liittyen. Tilanne muuttui EU:n yleisen tietosuoja-asetuksen (GDPR) ja EU:n verkko- ja tietoturvadirektiivin eli NIS-direktiivin myötä. Ne asettavat vaatimuksia niin tietosuoja- kuin tietoturvariskien hallinnalle organisaatiossa.

Verkko- ja tietoturvadirektiivi on saatettava kansallisesti voimaan 9.5.2018 mennessä. Tietosuoja-asetusta ryhdytään soveltamaan täysimääräisesti 25.5.2018 alkaen, ja eduskunnassa parhaillaan olevan uuden tietosuojalain on tarkoitus tulla voimaan asetuksen kanssa samanaikaisesti. Tietosuojalailla on tarkoitus täydentää EU:n tietosuoja-asetusta.

Nis-direktiivi velvoittaa jäsenvaltiot määrittelemään keskeiset palvelujen tarjoajat tietyillä yhteiskunnan toiminnan kannalta kriittisillä aloilla. Direktiivin mukaan jäsenvaltioiden on lisäksi velvoitettava keskeiset palvelujentarjoajat sekä tietyt digitaalisten palvelujen tarjoajat kattavaan verkko- ja tietoturvallisuusriskien hallintaan ja raportoimaan palveluitaan vaarantavista turvallisuuspoikkeamista kansallisille viranomaisille.

Julkaistu: 15.04.2018

Ota yhteyttä

Kiinnostuitko? Heräsikö lisäkysymyksiä? Kerromme mielellämme lisää - jätä yhteystietosi alla olevalla lomakkeella, niin palaamme tuota pikaa asiaan!

*pakollinen kenttä

Palvelua toteuttamassa