salaus
Blogi

Toiminnanjohtajan blogi: Oppia tulee nyt kantapään kautta – samalla mitataan miten vastuuta kannetaan

Surullinen ja järkyttävä Vastaamon tietomurto ja siihen liittyvä kiristystapaus ovat keskusteluttaneet kiivaasti viikonlopun aikana. Niin pitääkin – tapaus on toistaiseksi pysähdyttävin esimerkki meitä yhä useammin koskettavasta kyberrikollisuudesta sekä ihmisten henkilökohtaisten todella luottamuksellisten tietojen vaarantumisesta. 

Tietoturva ja tietosuoja ovat keskeinen osa palvelun ja tuotteen laatua

Vuosia on puhuttu tietojärjestelmien ja -verkkojen turvallisuuden tärkeydestä. Security by design ja Privacy by design eli sisäänrakennetun tietoturvan ja tietosuojan periaatteiden pitäisi olla jo laajasti tiedossa. Viimeistään nyt kaikkien on otettava nämä periaatteet hyvin vakavasti ja jokaisen terveydenhuollon järjestelmän tietoturvasta on syytä varmistua erittäin huolellisesti.

Turvallisuus tulee ottaa mukaan kaikkiin tuotteisiin ja palveluihin jo suunnittelupöydällä – muutoin edessä on tuskien taival yhteiskuntamme digitaalisaatiossa.  

Tietoturvallisuustyö ei myöskään pysähdy valmiiseen tuotteeseen tai palveluun. Hyvä tietoturva edellyttää jatkuvaa huolenpitoa. Järjestelmiä pitää jatkuvasti testata, koetella, kehittää ja parantaa. Samaa pätee niiden käyttäjiin, eli meihin kaikkiin yksilöinä ja järjestelmien käyttäjinä. 

Asiakkaiden suuntaan vastuuta kannetaan erityisesti luottamuksen kautta – aika harva uskaltaisi nousta auton kyytiin, jossa ei ole ohjauspyörää, jarruja tai kuljettajaa eivät liikennesäännöt selvästikään kiinnosta. Riittävä tietoturva ja tietosuoja ovat osa palvelun ja tuotteen laatua. Ilman niitä yhdelläkään vastuullisella yrityksellä on kovin vähän tarjottavaa markkinoille.

Rikosvastuun pitää toteutua myös digitaalisessa yhteiskunnassa

Yhä useampi yritys näyttää joutuvan kyberrikollisten kynsiin – siis rikoksen uhriksi. Rikolliset mellastavat verkossa ja kasvava kyberrikollisuus on osa kansainvälistä järjestäytynyttä rikollisuutta. Mukaan mahtuu myös yksittäisiä pahantahtoisia hakkereita pikavoittojen toivossa. 

Kannattaa muistaa, että myös Vastaamon tapauksessa yritys on joutunut törkeän rikoksen kohteeksi. Se on surullista ja väärin. Viranomaisten selvitykset aikanaan osoittavat minkälaisia mahdollisia tietoturvan laiminlyöntejä ja puutteita tapahtumien taustalla on ollut. Samalla herää huoli miten kokonaisuutta lopulta valvotaan.

Niin tässä kuin monessa muussakin verkkorikostapauksessa on siksi hyvin tärkeää, että viranomaiset saavat rikoksen selvitettyä ja tekijät vastuuseen teostaan. Yhteiskunnan pitää kyetä osoittamaan, että rikosvastuu toteutuu riittävästi myös digitaalisessa ympäristössä. Se ei saisi olla viranomaisille ainakaan resurssikysymys.

Riittävä tietoturva ja tietosuoja ovat vastuullisuutta 

Rikosvastuun lisäksi asiassa on vankka kytkös tietosuojasääntelyyn. EU:n yleinen tietosuoja-asetus (GDPR) asettaa kehyksen luotettavalle henkilötietojen käsittelylle. Nähtäväksi jää minkälaisia seuraamuksia tapauksen tiimoilta nähdään. Arvaukseni on, että seuraamukset tulevat olemaan huomattavia – ikävä kyllä aivan erityisesti luottamuspääomana mitattuna.

Viimeistään nyt jokaisen henkilötietoja käsittelevän organisaation on todella pohdittava ja ymmärrettävä vastuunsa. Mitkä ovat velvoitteeni? Miten olen toteuttanut tietoturvan? Miten olen varautunut? Jos jotain tapahtuu, miten viestin? Eli lyhyesti – miten kannan vastuuni?

Tragediat nostavat esiin yhteistyön merkityksen – sitä olemme onneksi nähneet

Jos tragediasta haetaan positiivisia puolia, ne liittyvät yhteistyöhön ja moniin vastuullisiin toimijoihin. Viranomaiset, kyberturvallisuusyritykset, alan järjestöt ja vapaaehtoiset yhteisöt sekä yksittäiset asiantuntijat ovat yhdistäneet voimiaan rikollisia vastaan. Tuki- ja neuvontapalvelut ovat aktivoituneet uhrien auttamiseksi ja tukemiseksi. Samaan aikaan media on tehnyt paljon ansiokasta työtä tapauksesta viestiessään. Tätä tarvitaan.

Digitaalinen turvallisuutemme on saamassa yhä enemmän poliittista huomiota valtion korkeinta johtoa myöten. Se on oikein. Tapaus nimittäin osoittaa, että vastuunkantoa turvallisuudesta ja tietosuojasta tullaan vaatimaan nyt monella tavalla. Yhteiskunnan, asiakkaiden, kansalaisten ja monien sidosryhmien vaatimukset kasvavat – siihen huutoon on kyettävä vastaamaan.

Oppia tästä tulee nyt valitettavasti kantapään kautta.

Mika Susi, toiminnanjohtaja, Finnish Information Security Cluster – Kyberala ry