Henkilötiedot leviävät netissä, mitä tehdä?

Eri mediat uutisoivat paljolti 5.11.2011 julki tullutta tietomurtoa, jossa noin 16000 suomalaisen henkilötiedot oli julkaistu netissä.
Lista tiedoista sisälsi esimerkiksi henkilötunnuksen, nimen, kotiosoitteen, puhelinnumeron sekä sähköpostiosoitteen.

Moni listalla oleva varmasti miettii, mitä nyt pitäisi tehdä?

Mielestäni F-Securen tutkimusjohtaja Mikko Hyppönen sanoi hyvin (Nelosen?) uutisissa (6.11.2011), että tapausten uhrit eivät ole syyllisiä mihinkään. Jos olet yksi uhreista, niin yritä ymmärtää se, että tämä tietovuoto ei ole millään tavalla sinun vikasi.
Radio Suomen haastattelema Keskusrikospoliisin ylitarkastaja Sari Kajantie muistuttaa myös, että henkilötunnus ei ole salainen henkilötieto. Vertailuna voidaan esittää esimerkiksi potilastiedot, jotka ovat salaisia. Suomessa henkilötunnusta käytetään yksilöimään henkilö samana päivänä syntyneistä muista henkilöistä.

Henkilötunnus on terminä saanut kuitenkin sellaisen maineen, että se suomalaiset pitävät sitä erittäin tärkeänä ja salaisena asiana. Toisaalta tämä on ihan perusteltua, koska moniin sähköisiin palveluihin pääsee käsiksi tietämällä esimerkiksi henkilötunnuksen, nimen ja osoitetiedot. Henkilötunnusta pidetään tavallaan koodina omalle itselleen.

Nyt kun tiedot ovat jo nettiin päätyneet, ei niitä voi sieltä enää mitenkään saada pois. Aina tulee uusia tahoja, jotka mahdollistavat tietojen saatavuuden. Vuodetut tiedot mahdollistavat pahanteon ja kiusaamisen, mutta todennäköisyys tälle on kyseenalaista. Kannattaa olla jatkossa tarkkana, jos esimerkiksi sähköpostiin tai postiluukkuun tulee epäilyttäviä laskuja tai muita kirjeitä.

Nettiin on ilmestynyt myös palveluita, joissa voit tarkistaa oletko joutunut listalle. Osa palveluista on rakennettu siten, että sivusto kysyy sinulta esimerkiksi henkilötunnusta tarkistusvaiheessa. Siinä vaiheessa pitää hälytyskellojen soida, sinun ei tule antaa tietojasi kyseiseen ”hakulomakkeeseen”. Mistä tiedät, että tietojasi ei kerätä siinä vaiheessa jonnekkin muualle?

Pohdittavaa: seuraavan kerran kun netissä jokin palvelu kysyy henkilötietojasi, mieti mihin ne niitä oikeasti tarvitsevat. Onko heillä oikeasti tarvetta saada esim henkilötunnustasi? Tarkista myös löytyykö sivustolta lain vaatima rekisteriseloste.

Arkaluonteisten tietojen urkinta

Helsingin sanomat uutisoi 20.7.2011 aiheesta potilastietojen urkinta. Jutun otsikkona oli ”Hoitohenkilökunta urkkii potilastietoja viikottain”.

Aihe liittyy vahvasti tietoturvaan ja tietosuojaan, joten uutista on hyvä käyttää esimerkkitapauksena.

Otteita uutisesta (Lähde: Helsingin sanomat, kts yllä mainittu linkki.):

  • Viikkoa aikaisemmin YLE Uutiset kertoi määräaikaisessa työsuhteessa olleen toimistotyöntekijän urkkineen neljän kuukauden aikana 188 henkilön potilastietoja.
  • HS:n jutussa on lausuntoja mm. tietosuojavaltuutettu Reijo Aarniolta, joka komentoi aihetta kertomalla että aiheeseen liittyviä ”–lausuntypyyntöjä tulee 40-50 vuodessa”.
  • Aarnio kertoo myös että ”Määrä on tasaisesti kasvussa, mikä on ikävä juttu.”
  • ”Helsingin kaupungin sairaaloissa potilaan tietoja katsotaan luvatta muutamia kertoja vuodessa, sanoo hallintolakimies Joni Komulainen.”
  • ”Hänen mukaansa kyse on usein ajattelemattomuudesta”.
  • Urkinnan estämiseksi tehdään kaikki mahdollinen, Komulainen sanoo: henkilöstöä koulutetaan ja väärinkäytöksiä valvotaan pistokokein.
  • ”Tietoturva on muutamassa vuosikymmenessä huomattavasti parantunut”, sanoo Markus Henriksson Valvirasta. ”Ennen oli paperiset potilasasiakirjat kärryissä osastolla, ja niitä selattiin aika huolettomasti. Nyt asiakirjan käsittelystä jää aina jälki järjestelmään.”

 

Aiheen käsittelyä tietoturvan ja tietosuojan näkökulmasta

Kuten uutisessakin jo mainitaan, niin arkaluonteisten tietojen muuttaminen sähköisiksi/digitaalisiksi on parantanut tietoturvaa. Sähköiset materiaalit tuo kuitenkin mukanaan omia haasteita:

  • Onko myös digitaaliset materiaalit lajiteltu tietoaineiston tärkeyden mukaan?
  • Miten digitaalisten materiaalien käyttöoikeudet on asetettu ja miten niitä hallitaan?
  • Miten digitaalisten materiaalien käyttöä valvotaan?
  • Kuka valvoo valvojia?
  • Onko sähköiset materiaalit varmuuskopioitu?
  • Miten varmuuskopiot on suojattu ulkopuolisten pääsyltä?

Hyvässä tietojärjestelmässä kaikista tapahtumista jää merkintä lokiin. Aiheesta voi etsiä lisätietoa vaikkapa hakusanoilla ”audit log” tai ”audit trail”.

Uutisessa mainitaan myös se, että henkilöstöä koulutetaan ja pistokokeita tehdään.

  • Onko käyttäjän mielenkiinto kuitenkin niin suuri, että se voittaa kiinnijäämisen pelon?
  • Miten teidän yrityksessä varmistetaan työntekijän motivoituneisuus toimia oikein?

 

Pohdi asioita oman yrityksesi kannalta!

Yrityksen omaisuuden suojaaminen

Iltalehti.fi uutisoi 11.7.2011 varastetusta iPhonesta, jonka löytyminen johti samalla rikollisliigan paljastumiseen. Tietoturvan näkökulmasta uutisesta löytyy mielenkiintoisia piirteitä. Tässä hieman mietittäviä asioita.

Huom! Tässä tekstissä ei ole tarkoituksena millään tavalla kyseenalaistaa ryöstön kohteeksi joutunutta yritystä tai sen henkilökuntaa. Alla mainitut kysymykset on tarkoitettu yleisesti pohdittaviksi asioiksi eri yritysten tietoturvasta vastaaville henkilöille tai esimerkiksi tietoturvaa opiskeleville henkilöille.

Uutinen lyhykäisyydessään: Mies tuli kauppaan ja varasti naismyyjä iPhonen, kun myyjä oli käymässä takahuoneessa. Naismyyjän puhelimeen oli asennettu Find My iPhone -sovellus, jonka avulla käyttäjä voi paikantaa esimerkiksi kadonneen puhelimensa. Puhelimen jäljittäminen johti lopulta rikollisliigan ”varaston” paljastumiseen.

Uutisessa mainitaan näin:

  • Varas oli ”siististi pukeutunut ulkomaalainen mies”.
  • Myyjä ei epäillyt mitään, vaan piipahti takahuoneessa.

Kysymys: Onko henkilöstölle selvitetty heidän vastuut, velvollisuudet ja oikeudet?

Kysymys: Miten pahasti tietoturva vaarantuu kun henkilöstö poistuu hetkeksi työpisteeltään?

 

  • Varas vei myyjän oman iPhonen.

Kysymys: Onko yrityksessä ohjeistettu omien laitteiden käyttämisestä työpaikalla?

Kysymys: Miten laitteistoturvallisuus on yleisesti hoidettu yrityksessä?

Kysymys: Onko normaalit varkaudet helposti toteutettavissa jopa keskellä työpäivää?

 

  • Myyjä katsoi myöhemmin nauhalta tapahtuman kulun.

Kysymys: Miten valvontakamerat on sijoitettu yrityksen tiloihin?

Kysymys: Onko valvontakameran kuvan laatu tarpeeksi hyvä?

Kysymys: Onko lakiasiat huomioitu kameravalvontaa hankittaessa?

Kysymys: Onko yrityksessä määritelty kenellä on oikeus avata valvontakameran tallenteita?

Tallentava kameravalvonta yrityksen tiloissa vaatii rekisteriselosteen. Katso myös muut tärkeät aiheeseen liittyvät asiat erillisestä Kameravalvontaopas -teoksesta.

 

  • Varastetussa iPhonessa oli Find My iPhone -sovellus.

Kysymys: Miten yrityksessä on varauduttu yllättäviin riskeihin?

Kysymys: Onko kalliit ja tärkeät laitteistot (/toimitilat) vakuutettu?

Kysymys: Onko mobiililaitteiden tietoturva kunnossa? Esimerkiksi tärkeiden tietojen salaus ja laitteen käytön esto ilman asianmukaista tunnistautumista.

 

  • Lopulta puhelimen signaali katosi ja jäljitysohjelman toiminta lakkasi

Kysymys: Onko laitteiden ja ohjelmistojen tietoturvaominaisuudet helposti kierrettävissä?

 

Kysymyksiä kannattaa pohtia oman yrityksesi näkökulmasta!

Kodin tietoturvaopas

Tämän hieman erilaisen oppaan tarkoituksena ei ole tarjota täydellistä listaa asioista, joita noudattamalla käyttäjä saa itselleen 100% tietoturvallisen toimintaympäristön. Sen sijaan päämääränä on saada lukija ajattelemaanmiten hän itse on hoitanut tietoturvansa.

Mitä on tietoturva?

Usein erehdytään tietoturvan laajuudesta. Virusturvan ja palomuuriohjelmiston asentaminen tietkoneelle on vain yksi pieni osa kokonaisesta tietoturvasta. Et välttämättä ole tullut ajatelleeksi, että mahdollisuus lukita ulko-ovi on myös tietoturvan parantamista. Tietoturvaa on yleisesti ottaen kaikki ne toimenpiteet, joilla pyrit suojaamaan sinulle tärkeitä tietoja ja materiaaleja. Mikäli sinulle tulee jossain vaiheessa opasta lukiessasi mieleen ajatus ”minulla ei ole mitään salattavaa”, niin lueppa vaikka tämä pieni tekstinpätkä.

Tietoturva jaetaan yleensä osiin

Varsinkin yritysmaailmassa tietoturvaa ajatellaan usein eri osa-alueiden kautta. Tyypillisesti niitä on kahdeksan. Voit tutustua osa-alueisiin tarkemmin tästä linkistä.Tavallisessa kotitaloudessa tietoturva voidaan ajatella myös kahdeksan eri osa-alueen näkökulmasta, mutta ajattelin yksinkertaistaa asiaa hieman. Käyn tässä oppaassa läpi muutamia asioita, jotka tulevat vastaan arkielämässä.

Ihmisen toiminta tietoturvan parantamiseksi

Nykyaikaiset tietotekniset laitteet ovat jo sen verran kehittyneitä, että niiden tietoturvan taso on jo oletuksena melko hyvä. Sen sijaan ihmisen asenteissa on paljonkin korjaamista. Esimerkiksi tuo kirottu lause ”minulla ei ole mitään salattavaa” pitäisi saada kitkettyä pois ihmisten mielistä. Kuten monessa muussakin asiassa, myös tietoturvassa asenne ratkaisee paljon. Käyttäjän on haluttava suojata omia tietojaan ja yksityisyyttään. Mieti näitä asioita:

  • Miten säilytän tärkeitä asiakirjoja? Esimerkiksi sellaisia joissa on henkilötunnukseni.
  • Ei kai tärkeät asiakirjat ole luettavissa suoraan ikkunan ulkopuolelta?
  • Otanko kopioita tärkeistä asiakirjoista?
  • Mikäli on tarvetta, niin miten tuhoan tärkeitä tietoja sisältävät asiakirjat?
  • Olenko tosiaan niin hölmö, että pankki(kortti)tunnukseni ja niiden yhteydessä tarvittavat salasanat ovat samassa paikassa? En kai vaan säilytä molempia helposti varastettavassa kukkarossa?
  • Säilönkö salasanoja, tunnuksia tai muita tärkeitä tietoja selvästi luettavassa muodossa kännykkääni?

Kuten huomaat, mainitut asiat eivät suoraan liity tietotekniikkaan (pankkitunnuksia lukuunottamatta), mutta ne ovat kaikki tietoturvan kannalta olennaisia asioita. Listaa voisi jatkaa mielensä mukaan.

Tietoteknisen ympäristön tietoturvan parantaminen

Näistä asioista voi lukea joka puolelta, mutta silti niistä on aina muistutettava. Tässä muutamia provosoivia lauseita:

  • Kun tietokoneohjelma ilmoittaa jotain niin onko minulla oikeasti niin kova kiire, etten ehdi lukemaan ilmoitusta?
  • Kun tietokoneen jokin ohjelma tai käyttöjärjestelmä haluaa päivittää itsensä, miksi minulla ei ole aikaa siihen?
  • Virusturvalla/Palomuurilla/Muulla ohjelmalla on jotain asiaa. Miksi painan aina kohdasta ”Muistuta myöhemmin” tai ”Älä muistuta tästä asiasta uudelleen” painikkeita?
  • Jos en osaa jotain asiaa mikä voi vaikuttaa turvallisuuteen, miksi en ole kysynyt siitä keneltäkään?
  • Ruudulle ilmestyy vieraskielinen varoitus. Miksi en edes vaivautunut yrittämään ymmärtää sitä tai katsonut asiaa hakukoneesta?
  • Sähköpostiin tuli liitetiedostolla/linkillä varustettu viesti tuttavalta. Miksi avasin sen ajattelematta ensin?
  • Miksi käytän helppoa salasanaa, vaikka tiedän sen olevan liian helppo, liian lyhyt ja turvaton?
  • Miksi en ota varmuuskopioita? Tiedän että 5000 lomakuvaani ovat tallennettuna vain tietkoneeni kovalevylle. Tiedän myös, että muistitikku maksaa kaupassa alle 10e ja voisin tallentaa ne myös sinne turvaan.

Vinkkejä tietoturvan parantamiseksi

  • Mikäli minulla ei ole mahdollisuutta tuhota jotain dokumenttia esimerkiksi polttamalla, niin revin niistä yleensä tärkeimmät tiedot erittäin hyvin. Jos asiakirja sisältää henkilötunnukseni, niin revin sen kohdan eriksiin niin pieniksi palasiksi, että sen kokoaminen ei ole järkevää.
  • Salasanoja voi tallentaa kännykkään fiksusti. Jos salasana on esimerkiksi numerokoodi(4567), niin tallenna se vaikkapa osoitekirjaan seuraavasti: 0123456789. Sinun on muistettava vain kohta, josta koodisi alkaa. Voit päättää, että se on aina esimerkiksi viidennestä numerosta alkaen. Tästä numerosarjasta 8475893056 oma koodini olisi siis 8930.
  • Edellistä ohjetta muokkaamalla se sopii myös salasanoihin. Tiedät että salasanasi on 8 merkkiä pitkä ja se alkaa viidennestä merkistä. Tallenna puhelimeesi tekstiviesti 45jui9478fhvbit958. Salasanasi on siis i9478fhv.
  • Mikäli sinun tarvitsee muistaa useita salasanoja, tutustu esimerkiksi KeePass ohjelmaan. TietojesiTurvaksi.fi sivustolla on sen käyttöön myös ohje.
  • Jos kotonasi on langaton verkko niin muista vaihtaa sen oletusasetukset. Jotkut laitteet ovat erittäin turvattomia oletusasetuksilla.
  • Kysy aina apua jos et tiedä jotain. Ystäväpiirissäsi tai netissä on varmasti joku, joka osaa auttaa sinun ongelmasi kanssa.
  • Muista että tietoturvan heikoin kohta on näppäimistön ja tuolin selkänojan välissä.
  • Ajattele ennen kuin toimit!

Jatkuvuus- ja toipumissuunnitelman laatiminen

Mikäli epäilet yrityksesi tarvitsevan jatkuvuus- tai toipumissuunnitelmaa niin ne kannattaa ehdottomasti toteuttaa! Itse asiassa ei ole montakaan järkevää syytä olla toteuttamatta niitä. Huom! Teksti sisältää hieman sekaisin jatkuvuus- ja toipumissuunnitelman laatimisesta. Ne ovat kuitenkin melko samantyyppisiä. Tarkempia eroja voi katsoa esimerkiksi täältä.

Suunnitelmien laatimisessa on huomioitava muutamia tärkeitä asioita:

  • Kyseessä ei ole kertaluontoinen projekti vaan jatkuvuus- ja toipumissuunnitelman ylläpito kannattaa toteuttaa PDCA -mallia noudattaen.
  • Dokumentoinnin tärkeys. Mikäli asianmukaisia dokumentteja ei ole saatavilla, ei jatkuvuussuunnittelussa ole mitään ideaa. Ongelmatilanteen sattuessa henkilöstön toimintaa nopeuttaa laadukkaat kirjalliset tai sähköiset ohjeet.
  • Henkilöstön osaaminen. Jotta ongelmatilanteista toipuminen olisi nopeaa, on henkilöstön osattava toimia oikein. Harjoitus tekee tässäkin asiassa mestarin!

Tiedä mitä tarvitset!

Systemaattinen eteneminen on olennainen osa hyvän suunnitelman rakentamista. Kaikki lähtee siitä, että yritys tiedostaa tarpeensa kyseiselle suunnitelmalle.

Yritysjohdon suhtautuminen

Ensin kannattaa laatia dokumentti, jossa yritysjohto ilmaisee tavoitteet, joihin jatkuvuussuunnittelulla pyritään. Tavoitteisiin pääsemiseksi on toiminnalla oltava myös yritysjohdon täysi tuki. Dokumentti voi muistuttaa esimerkiksi tietoturvapolitiikkaa.

Yrityksen on tunnistettava tiedon ja liiketoiminnan säilyvyyden arvo. On siis kerrottava miksi yritys haluaa suojata toimintaansa. Dokumentissa olisi hyvä ottaa kantaa myös mahdollisiin vaikuttaviin lakiasioihin(pelastustoiminta jne) sekä suunnitelman ylläpitoa koskeviin asioihin.

Resursointi

Jotta ongelmatilanteista toipuminen olisi nopeaa ja toipumisen toteuttaminen helppoa, tarvitaan lista käytettävissä olevista resursseista.Suuremmissa yrityksissä voi olla erillisiä ryhmittymiä, jotka hoitavat tietyntyyppiset ongelmatilanteet. Tyypillinen pienemmistäkin yrityksistä löytyvä joukko on tietoturvaryhmä tai IT-asioista vastaava ryhmä.

Resursoinnin ideana on määritellä toipumistilanteessa tarvittavat henkilöt ja esimerkiksi varalaitteet. Pidemmissä tilanteissa myös rahan käyttöön saattaa liittyä kysymyksiä. Esim jos tulipalo tuhoaakin useamman palvelimen, niin millainen määrä rahaa toipumiseen on ensitilassa käytettävissä.

Henkilöstön toiminta ongelmatilanteissa

Liiketoimintaa haittaavan ongelman sattuessa on henkilöstön rooli tärkeä. Mitä paremmin heitä on koulutettu toimiaan ongelmatilanteissa sitä suuremmalla todennäköisyydellä he osaavat toimia oikein. Henkilöstön on tiedettävä miten erilaisissa tilanteissa toimitaan ja keneen kuuluu ottaa yhteyttä erilaisissa tapauksissa.

Yrityksellä olisi hyvä olla olemassa lista, josta selviää yhteystiedot esimerkiksi fyysisten tai tietoteknisten ongelmien ratkaisemiseksi. Tämä lista tulee olla myös osana jatkuvuussuunnitelman dokumentaatiota.

Suunnitelmien dokumentointi

Nopea korjaava toiminta ongelmatilanteissa, esimerkiksi tuotantopalvelimen hajoamisessa, on täysin riippuvainen henkilöstön osaamisesta ja dokumentaation laadusta. Henkilöstö ei pysty toimimaan täysillä, mikäli tarvittavaa informaatiota ei ole saatavilla. Siksi jatkuvuus- ja toipumissuunnittelussa on olennaisena osana myös dokumentointi.

Dokumentit pitää olla helposti saatavilla joko sähköisenä tai paperisena. Se on yrityksen itse päätettävissä, että missä muodossa dokumentaatiota haluaa säilyttää, kunhan ne on saatavilla kun niitä tarvitaan. Saatavuuden lisäksi myös dokumentaation laatu voi vaihdella. Esimerkiksi politiikkoissa teksti on yleisempää ja ei niin tarkkaa. Vastaavasti erilaisissa toimintadokumenteissa on oltava erittäin tarkat ja yksiselitteiset ohjeet. Tällaisia ovat esimerkiksi palvelindokumentaatiot. Jos jokin palvelin on hajonnut ja sitä lähdetään korvaamaan toisella, on esimerkiksi verkkoasetukset ja muut konfiguroinnit osattava palauttaa täysin toimiviksi mahdollisimman nopeasti.

Dokumentista huolimatta niistä olisi hyvä löytyä ainakin seuraavia asioita: Dokumentin ”omistaja”, eli kuka on vastuussa sen ylläpidosta. Dokumentin versionumero, päivitysväli ja muut tarvittavat yhteystiedot omistajan lisäksi. Aina kun dokumentti päivittyy, on se ilmoitettava jollain tavalla. Esimerkiksi uusin versio asetetaan näkyville ja kerrotaan koska se astuu voimaan.

Toipumissuunnitelma / Jatkuvuussuunnitelma esimerkki

Tässä on eräs pelkistetty esimerkki toipumissuunnitelman / jatkuvuussuunnitelman rakenteesta. Huomioi se, että jatkuvuussuunnitelmassa käsitellää yleisiä toimenpiteitä ja prosesseja, kun taas toipumissuunnitelma keskittyy tiettyyn alueeseen tarkemmin.

1) Yleistä

  • Organisaation / yksikön nimi
  • Suunnitelman tavoitteet
  • Mitä toimipisteitä/alueita suunnitelma koskee
  • Milloin suunnitelma otetaan käyttöön
  • Muut huomioitavat dokumentit, esimerkiksi politiikat

2) Henkilöstö

  • Päävastuuhenkilöt
  • Muut vastuuhenkilöt / vastuuryhmät
  • Edellä mainittujen yhteystiedot oltava näkyvillä!
  • Missä tapauksissa otetaan yhteyttä kuhunkin henkilöön?

3) Liiketoimintaprosessin tai tietojärjestelmän yms palauttaminen

  • Etenemissuunnitelma
  • Tavoitteet ja aikataulu
  • Vaaditut resurssit
  • Plan B / Vaihtoehtoinen suunnitelma
  • Mahdolliset jälkitoimenpiteet

 

(muokattu 11.9.2013)