Työntekijä, tietosuojan heikoin lenkki?

Vajaa kolme kuukautta sitten velvoittavaksi astuneen EU:n yleisen tietosuoja-asetuksen jälkeen, teknisten toimenpiteiden toteuttaminen asetuksen vaatimalle tasolle on ollut kovan tohinan alla.

Monet organisaatiot ovat panostaneet tekniseen tietoturvan toteuttamiseen, mutta usein tärkeä osa-alue jää huomiotta.

Tietosuojan ja tietoturvallisuuden toteutuminen organisaatiossa on kiinni monesta tekijästä ja yhtenä suurena kokonaisuutena siihen liittyy myös organisatoriset toimenpiteet, jotka kattavat muun muassa henkilöstön kouluttamisen ja heille suunnatut ohjeistukset. Tietosuoja-asetus edellyttää myös henkilöstön tietoisuuden osoittamista ja siksi onkin erityisen tärkeää huolehtia, että jokainen tietää, mitkä ovat organisaatioin toimintatavat henkilötietoja käsiteltäessä ja mitä kaikkea muuta päivittäisessä toiminnassa tulee jatkuvasti huomioida.

Otsikoihin on kuluneenkin vuoden aikana päätynyt tietovuototapahtumia, joissa tietovuoto on tapahtunut huolimattomuuden tai inhimillisen virheen kautta. Kyberturvallisuus kehittyy jatkuvasti, mutta mikä on tämän merkitys, jos henkilöstön kouluttaminen ja ohjeistukset toiminnalle eivät ole teknistä turvallisuutta tukevalla tasolla? Lisäksi inhimillinen virhe ei esimeriksi riitä toteutuneen tietovuodon perusteluksi. Oli sitten kyseessä organisaatioon kohdistunut tietomurto tai henkilöstön aiheuttama tietovuoto, ovat sanktiot tietovuodon aiheuttaneesta syystä riippumatta aina mahdollisia.

Tietojen kalasteluviestejä on liikkeellä jatkuvasti ja näihin liittyviä linkkejä tai tiedostoja klikkaillaan usein ilman epäilystä niiden haitallisuudesta. Joissain tapauksissa mahdollista haitallisuutta voidaan epäilläkin, mutta klikkaamisen vaikutuksen suuruutta ei osata arvioida. Lisäksi sosiaalinen media sisältää paljon haitallisiakin linkkejä ja avoimet langattomat verkot aiheuttavat osaltaan riskejä, joten näihinkin tulisi ottaa kantaa organisaation ohjeistuksissa ja henkilöstön koulutuksissa. Yksi suurimmista ongelmista on myös tietojen hävittäminen. Henkilötietoja tai muuta salassa pidettävää tietoa päätyy paperilla normaaleihin roskasäiliöihin tai suttupaperiksi niille kuulumattomille paikoille, jolloin ollaan taas huolimattomuuskysymyksen äärellä.

Osalle näiden asioiden huomioiminen ja niiden suhteen toimiminen saattaa tuntua itsestään selvältä, mutta jos mietitään sitä, kuinka paljon pelkästään otsikoihin päätyy kirjoituksia henkilöstön aiheuttamista tietovuodoista – on ongelma lähes arkipäiväistä. Lisäksi näiden asioiden perusteellinen huomioiminen viestii, että organisaatiossa tietoturvallisuuteen suhtaudutaan vakavasti ja sisäisen toiminnan yhtenäiset prosessit, riskienhallinta ja ohjeistukset on laadittu sen mukaan, ettei tietoa päädy vääriin käsiin edes vahingossa. Ei organisatorinenkaan puoli takaa sitä, että mitään ei koskaan sattuisi, mutta näillä päästään huomattavasti asiassa eteenpäin ja tietosuoja-asetuksen kannalta on merkittävää, että riskien toteutumista pyritään välttämään jokapäiväisessä toiminnassa.

Huomioi ainakin nämä asiat ohjeistuksissa

• Ota kantaa siihen, miten toimitaan ja miten ei (esim. työsähköpostin käyttäminen töiden ulkopuolisiin asioihin, millaisiin verkkoihin työlaitteella saa liittyä jne.)
• Toimintaohjeet hämäriltä vaikuttavien sähköpostien ja epämääräisten linkkien/liitetiedostojen suhteen
• Ohjeistukset manuaalisten dokumenttien turvalliseen hävittämiseen
• Toimintaohjeet niissä tilanteissa, joissa tietoturvallisuuden epäillään vaarantuneen. Näissä tulee painottaa, että pienikin epäilys on aina ilmoituksen paikka.

Vaikka voidaan ajatella, että ihminen on usein tietosuojan heikoin lenkki, voi ihminen vastaavasti olla myös tietosuojan suhteen erityinen voimavara. Kun henkilöstö toimii yhtenäisesti ja perusasiat ovat kunnossa, voidaan prosesseja kehittää ja havaita puutteita niin järjestelmissä kuin toiminnassakin. Tämä kuitenkin vaatii hyvää pohjatietämystä tietoturvasta ja tietosuojasta sekä näiden merkityksestä jokapäiväisessä toiminnassa.

Pelkkä asioiden paperilla oleminen ei kuitenkaan riitä vaan tulee myös huolehtia, että toimintatavat on jalkautettu organisaatioon ja henkilöstö on tietoinen olemassa olevista ohjeistuksista.

Kukaan ei varmasti toivo, että oma organisaatio päätyy otsikoihin ja pahimmillaan menettää uskottavuuttaan sen vuoksi, että joku ei tiennyt mikä on oikea tapa toimia?