Näin ennaltaehkäiset tietoturvaloukkauksia tehokkaasti
Teetkö etätöitä julkisissa tiloissa tai onko organisaationne sähköpostiohjelmassa käytössä automaattinen täydennys? Saatat altistaa organisaation tietoturvaloukkaukselle. Editan kouluttaja, asianajaja ja tietosuoja-asiantuntija Ville Vainio kertoo parhaat käytännön vinkit tietoturvaloukkausten ennaltaehkäisemiseen.
Tietoturvaloukkausten ennaltaehkäiseminen koostuu useista eri osa-alueista, kuten huolellisesta suunnittelusta, arjen pienistä teoista ja sopimusten huolellisesta laadinnasta. Nyrkkisääntönä voi pitää sitä, että mitä sensitiivisempää tietoa organisaatio kerää, sitä enemmän tietoturvaloukkausten ennaltaehkäiseminen organisaatiota ja sen jäseniä koskettaa.
Suunnittele ja kouluta
Tietoturvaloukkausten ehkäiseminen lähtee aina kattavasta suunnitelmasta. Suunnitelman tulee sisältää toimintaohjeet siitä, miten toimitaan tilanteessa, jolloin tietoturvaloukkaus on jo tapahtunut. Lisäksi suunnitelmaan on hyvä määritellä organisaation jäsenten roolit ja vastuualueet kyseisessä tilanteessa. Käytännössä asiaan vaaditaan myös kouluttamista; pelkkä suunnitelman olemassaolo ei takaa sitä, että organisaation jäsenet tietävät, miten toimia.
Organisaation jäsenten on hyvä sopia myös muista yhteisistä toimintatavoista, joiden avulla voidaan ehkäistä tietoturvaloukkauksia. Tällaisia voivat olla esimerkiksi muistitikuista luopuminen ja julkisella paikalla organisaation salassa pidettävistä asioista puhumisen välttäminen.
Ehkäise tietoturvaloukkauksia pienillä teoilla
Organisaation laatimien tietoturvaohjeiden noudattaminen on vähimmäisvaatimus, jonka mukaan jokaisen työntekijän tulisi toimia. Yksittäinen työntekijä voi panostaa sekä omaan että organisaation tietoturvaan myös muilla matalan kynnyksen teoilla.
Suurin osa tietoturvaloukkauksista tapahtuu liiallisen kiireen tai huolimattomuuden takia.
– Sähköpostiohjelmat täydentävät lähtökohtaisesti vastaanottajan sähköpostiosoitteen automaattisesti. On iso riski, että kiireessä klikkaa väärälle vastaanottajalle viestin, jossa on vaikkapa asiakastietoja sisältävä Excel-tiedosto. Siinä tietoturvaloukkaus on yhden klikkauksen päässä, kertoo Vainio.
Lisäksi on syytä arvioida, aiheuttavatko omat etätyöskentelytavat riskin tietoturvaloukkaukselle. Esimerkiksi junassa, kirjastossa tai kahvilassa työskennellessä tietokoneen näyttö voi näkyä vierustoverille. Tietoturvasuojan asentaminen näytölle onkin yksi konkreettinen teko tietoturvaloukkausten ennaltaehkäisyssä.
Ole tarkkana sopimuksissa kolmansien osapuolien kanssa
Organisaatiolla eli rekisterinpitäjällä on aina ensisijainen vastuu käsittelemistään asiakas- tai työntekijätiedoista. Käytännössä tietojenkäsittely tapahtuu nykypäivänä lähes poikkeuksetta kolmannelta osapuolelta hankittujen järjestelmien avulla.
Tämän vuoksi kirjallisten sopimusten huolellinen tekeminen organisaation henkilötietoja käsittelevien palveluntarjoajien kanssa on merkittävässä asemassa tietoturvaloukkausten ennaltaehkäisemisessä. Sopimusten tekeminen vaatiikin usein poikkitieteellistä arviointia ja keskustelua:
– Tietoturvaloukkaukset ovat usein monitiimisiä harjoituksia. Niinpä jo tietojenkäsittelysopimuksia tehtäessä tulisi mukana olla muitakin kuin liiketoiminnasta vastaava ja järjestelmän käyttäjä. Siihen tarvitaan usein myös juristi, joka tutkii palvelua ja sopimusasiakirjoja, sekä IT-asiantuntija tai muu tietoturva-asioista vastaava, Vainio toteaa.
Vainion mukaan sopimukseen kannattaa myös sisällyttää kirjallinen kuvaus rekisterinpitäjän ja palveluntarjoajan rooleista ja vastuista sekä yhteistyön muodosta ja toiminnasta tilanteessa, jossa tietoturvaloukkaus on tapahtunut ja korjaustoimenpiteitä tarvitaan.
Tietoturvaloukkausten ehkäisy – kolme vinkkiä
Tietoturvaloukkausten ehkäisy kuuluu jokaiselle organisaation työntekijälle. Niinpä Vainio antaa kolme parasta vinkkiä tietoturvaloukkausten ennaltaehkäisyyn:
- Ole valmis. Varmista, että organisaatiolla on selkeät toimintaohjeet ja varautumissuunnitelma valmiina.
- Maltti on valttia. Pohdi omissa rutiineissa toistuvia tietoturvaloukkauksen riskejä. Voisiko sähköpostin automaattisen vastaanottajan täydennyksen ottaa pois päältä?
- Pidä puolesi sopimusasioissa. Tarkista jo tehdyt sopimukset henkilötietojen käsittelijöiden kanssa ja muista painottaa osapuolten vastuita ja rooleja tietoturvaloukkaustilanteissa.
Teksti: Iina Knuutinen
Katso myös:
5 ajankohtaista kysymystä tietosuojasta – asiantuntija vastaa
Tietosuoja-koulutuskirjasto
Editan Tietosuoja-koulutuskirjastoon on koottu valikoima huippuammattilaisten vetämiä juridisia tietosuojakoulutuksia. Kirjasto on helppo ja edullinen keino päivittää tietosuojaosaamista ajasta ja paikasta riippumatta.