Sinisilmäisyys-tietoturvassa-johtaa-skandaaleihin-ja-maineen-menetykseen

Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen

Viimeisten vuosien aikana organisaatioiden tietoisuus ulkoisista tietoturvauhista on kasvanut ja niihin on myös panostettu merkittävästi. Valitettavasti tämä kehitys saattaa aiheuttaa sokeutta kaikkein perinteisimmille uhille, jotka sijaitsevat lähempänä kuin usein muistammekaan.

Viime viikolla Helsingin Sanomat uutisoi tanskalaisen juorulehden tapauksesta, jossa tanskalaisten kuninkaallisten ja julkisuuden henkilöiden luottokortti- ja henkilötietoja oli vuodettu säännöllisesti lehden käyttöön usean eri organisaation toimesta. Näihin lukeutuivat mm. luottokorttiyhtiö, lentoyhtiö ja sairaala. Juorulehden intressinä oli saada tietoa julkkisten ostoksista, matkoista ja muista tekemisistä. Tietojen vuotajien intressinä oli raha.

Tapauksen tultua julkisuuteen ja juorulehden painiessa oman skandaalinsa parissa, tulilinjalla ovat myös edellä mainittuihin tietovuotoihin osallistuneet organisaatiot. Selvää on, että kyseessä ei ole henkilötietojen asiallinen käyttö. Mikäli EU:n tuleva tietosuoja-asetus olisi jo voimassa, organisaatioita uhkaisivat hyvin merkittävät taloudelliset sanktiot, jotka asetuksen luonnoksen mukaan voisivat olla jopa 5 prosenttia yrityksen maailmanlaajuisesta liikevaihdosta tai 100 miljoonaa euroa. Tulevaisuus näyttää, millaisia sanktioita näille tahoille langetetaan suurten mainemenetysten lisäksi.

Määrittele, valvo ja hallinnoi suunnitelmallisesti

Tapaus osoittaa hyvin sen, että arkaluontoista ja salaista tietoa tulisi suojella yhtä lailla organisaation sisällä kuin sen ulkopuolellakin. Tietoturva- ja tietosuojapolitiikat sekä henkilöstön tietoisuuden lisääminen ovat tärkeä pohja työlle, mutta ne eivät vielä itsessään riitä estämään tahallisia tietovuotoja, joiden motiivina on usein raha, kosto tai ideologia.

Olennaista on määritellä tarkasti, mikä on arkaluonteista tietoa, missä organisaation hallussa olevat luottamukselliset tiedot sijaitsevat, ketkä niihin pääsevät käsiksi ja miten tietojen käsittelyä valvotaan. Lisäksi kattava lokitietojen kerääminen ja niiden seuranta ovat osa tehokasta sisäistä valvontaa väärinkäyttöjen estämiseksi. Henkilötietojen hallinnoinnin suunnitelmallisuus ja asianmukainen järjestäminen, eli mm. henkilötietojen käsittelyn valvonta, ovat osa tulevassa tietosuoja-asetuksessa vaadittavaa niin kutsuttua tilivelvollisuuden periaatteen toteuttamista. Asetuksessa määritetään myös tuntuvat sanktiot tietovuodoista, jos rekisterinpitäjä ei ole toiminut vastuullisesti.

Älä luota sokeasti kumppaneidesi tietoturvaan

Työssämme olemme usein huomanneet, että monet organisaatiot luottavat myös sokeasti alihankkijoidensa tietoturvallisuuteen ja niihin liittyviin toimintatapoihin. Tämä saattaa pohjautua esimerkiksi yhteen turvallisuuden tunteen tuovaan lauseeseen alihankkijasopimusten osana. Alihankkijat saattavat myös kirkkain silmin vakuuttaa, että he luonnollisesti täyttävät kaikki samat tietoturvavaatimukset kuin alihankintaa ostava organisaatio, mutta todellisuus saattaa olla täysin toisenlainen. Monissa tilanteissa alihankkijat käyttävät, prosessoivat tai heillä on pääsy organisaation arkaluonteiseen tietoon, jolloin organisaation maine ja tätä kautta jopa olemassaolo saattaa olla kiinni alihankkijoiden tietoturvallisesta toiminnasta.

Vaikka tietoturvallisuuden taso kasvaa jatkuvasti, nämä tyypilliset ajattelutavat ovat yllättävän juurtuneita. Meillä Suomessa on ollut kunnia elää kulttuurissa, jossa lähtökohtaisesti toisiin ja toisten sanomisiin voi luottaa. Tämä on edelleen kunnioitettava piirre, mutta muistettaessa tietoturvallisuuden kokonaisvaltaisen hoitamisen haasteet, mustaa valkoisella ei välttämättä aina kuitenkaan vielä riitä. Toiminta tulee aidosti varmistaa, kehitystoimenpiteet tunnistaa ja niiden toteutumista valvoa – oli kyseessä sitten oman organisaation tai alihankkijoiden ja yhteistyökumppaneiden toiminta. On hyvä muistaa, että sinisilmäisyys tietoturvassa voi johtaa helposti skandaaleihin ja maineen menestykseen.

Käy lukemassa myös edellisiä kirjoituksiamme ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon” ja ”Leijonien menestys Sotshissa on organisaatioille tietoturvariski”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.