Hyppää sisältöön

Yrityksistä vuotaa tietoja huolimattomuuden takia - ”Toimitusjohtajalla asiakkaiden tiedot kännykässään”

Yritykset joutuvat harvoin vastaamaan asiakkaiden yksityistietojen leväperäisestä käsittelystä. Näin siitäkin huolimatta, että tietoturvaa säädellään esimerkiksi henkilötietolaissa. Rikosten osalta seuraamuksia haluttaisiin kiristää. Tietosuojavaltuutetun mielestä organisaatioiden pitäisi olla ensisijaisesti vastuussa, ei henkilöiden.

Tietokoneen näppäimistö.
Kuva: Miia Roivainen / Yle
Timo Keränen

Vaikka tietomurroista puhutaan paljon, yritysten tietoturvassa on hyvin arkisia vaaroja, sanoo Kyberturvallisuuskeskuksen tietoturva-asiantuntija Antti Kurittu.

– Toimitusjohtajalla voi olla yrityksen kaikkien asiakkaiden tiedot ainoastaan kännykässään.  Jos kännykkä hukkuu eikä siitä ole varmuuskopiota, se on tietoturvaongelma.

Myös tietoturvaa tarjoavassa yrityksessä on huomattu, että tietoja vuotaa tuon tuostakin, tavalla tai toisella. Joskus tietovuodon huomaa yritys itse, joskus asiakas.

– Meille tulee viikoittain näitä puheluja, sanoo toimitusjohtaja Mikko S. Niemelä Silverskin information securitystä.

Kun tietovuoto huomataan, yleensä se on myöhäistä. Pienissä yrityksissä saataisiin paljon lisää turvallisuutta sillä, että työntekijät pitäisivät tarkempaa huolta salasanoistaan. Varsinkin yhteiskäytössä olevat salasanat ovat arvaamattomia. Toinen ongelma on, että yrityksen tiedoista ei ole asianmukaista varmuuskopiota.

– Pelkästään kopion tallentaminen salakirjoitetulle kovalevylle riittäisi, Kurittu sanoo.

Harvoin seuraamuksia

Tietosuojavaltuutetun toimistoon tulee keskimäärin kerran viikossa tai parissa ilmoitus, että asiakkaan tietoja on mennyt yrityksessä väärälle henkilölle. Kyseessä on lähes aina huolimattomuus, josta seuraa korkeintaan tietosuojavaltuutetun toimiston ohjeistus yritykselle.

– Voi spekuloida, että ihmiset eivät tiedä kenen puoleen kääntyä jos heidän tietosuojaansa loukataan, sanoo tietosuojalautakunnan sihteeri, varatuomari Anu Talus.

Laki velvoittaa huolellisuuteen

Jos tietovuodon syynä on yrityksen huolimattomuus, asian käsittelee tietosuojavaltuutettu. Rikosasiat, esimerkiksi tietomurrot, menevät poliisille.

Keskeisimmät lainsäädännön tietoturvavelvoitteet säännellään henkilötietolaissa ja tietoyhteiskuntakaaressa.

Henkilötietolaki muun muassa velvoittaa tietojen suojaamiseen ja virheettömyyteen. Siinä määritellään myös rangaistukset ja vahingonkorvaukset lainvastaisesta menettelystä. Henkilötietolaista tuleva velvoite suojata henkilötiedot kohdistuu lähes kaikkiin palveluihin. Useimmat yritykset esimerkiksi käsittelevät asiakastietoja, jolloin henkilötietolaista tulee velvoite suojata näitä tietoja.

Vuoden alussa voimaan tulleeseen tietoyhteiskuntakaareen on koottu keskeiset sähköistä viestintää koskevat säädökset. Viestintäviraston valvomassa tietoyhteiskuntakaaressa on velvoitteita huolehtia viestintäpalveluiden tietoturvasta ja -suojasta. Lisäksi muussa erityislainsäädännössä on runsaasti tietojen suojaamiseen ja tietoturvaan liittyviä velvoitteita.

Ongelmat pyritään ratkaisemaan ensisijassa ohjauksella ja neuvonnalla. Pakkokeinoihin turvaudutaan harvoin. Viestintävirasto ei ole esimerkiksi koskaan asettanut uhkasakkoja tietoturva- tai tietosuoja-asioihin liittyen.

Tietosuojavaltuutettu haluaisi tiukemmat lait

Tietosuojavaltuutettu Reijo Aarnio pitää nykyistä lainsääsäädäntöä lepsuna, varsinkin rikosten osalta. Ankarin rikosseuraamus on 6 kuukautta vankeutta. Suurimpana puutteena Aarnio pitää sitä, että Suomessa ei ole tietoturvalakia.

– Vastuu pitäisi olla organisaatiolla, ei henkilöllä, Aarnio sanoo.

Aarnio on tyytyväinen, että EU:n ehdotettu tietosuoja-asetus on nytkähtänyt eteenpäin. Siinä rekisterinpitäjille ja henkilötietojen käsittelijöille saatetaan ehdottaa hallinnollisia sanktiomaksuja jos ne eivät noudata henkilötietoasetusta.

Asiakkaan vaikea selvittää tietosuojansa tasoa

Entä miten voi selvittää millä tolalla yrityksen tietoturva on? Usein ei millään. Lähes aina asiakas vain joutuu luottamaan yrityksen sanaan. Yrityksen sivuilta kannattaa ainakin vilkaista, miksi tietoja kerätään ja mihin niitä aiotaan käyttää.

Tietoisuus kuitenkin lisääntyy jatkuvasti.

– Asiakkaat ja loppukäyttäjät vaativat nykyisin tietosuojaa ja firmat yrittävät siihen reagoida, sanoo toimitusjohtaja Mikko S. Niemelä Silverskin information securitystä.

Halvimmillaan tietoturvan parantaminen ei maksa mitään mutta isompien järjestelmien testaaminen jo tuhansia euroja.

Suosittelemme sinulle