Yrityksesi tieto on kullanarvoista – tunnista riskit

Tieto, tiedon käsitteleminen ja sen jakaminen ovat olennainen osa lähes kaikkea tämän päivän työtä. Siksi on tärkeää tunnistaa tiedon eri lajit ja kriittinen sisältö.

Tuotepäällikkö Tuukka Meriläinen Deltagonilta ja Senior Cloud Architect Pekka Leppänen Erillisverkoista kertovat, kuinka tunnistaa kriittinen tieto ja miten turvata se.

Mistä tunnistaa kriittisen tiedon, tuotepäällikkö Tuukka Meriläinen?

”Ensiksi kannattaa pohtia, mitä kaikkea tietoa organisaatio tuottaa, omistaa ja välittää muille. Jokaisessa yrityksessä on jotain ainutlaatuista ja suojattavaa tietoa. Se pitäisi luokitella ja turvata ylimmän johdon tuottaman strategisen materiaalin lisäksi myös esimerkiksi myynnissä, taloushallinnossa, tuotekehityksessä, henkilöstöhallinnossa ja asiakaspalvelussa.

Tiedon tuottajat voi jakaa ryhmiin esimerkiksi alla olevan kuvan mukaan. Kannattaa huomata, että jokaisessa ryhmässä on kriittistä ja luottamuksellista sekä vähemmän kriittistä tietoa. Kuvaan on otettu esimerkkejä mahdollisesti kriittisistä tiedoista organisaation eri puolilla.

Yritys tai yhteisö on itse paras arvioimaan, miten sen tiedot kannattaa luokitella. Toisaalta lainsäädäntökin ohjaa, sillä esimerkiksi pörssiyhtiöitä säätelevät lait, ja keväällä 2018 tuli voimaan yleinen tietosuoja-asetus GDPR. Suojaamiseen vaikuttavat myös erilaiset sopimukset ja salassapitosopimukset sekä sisäiset ohjeet, käyttäjien odotukset ja asiakaslupaukset.

Nyrkkisääntönä voisi olla, että yrityksen suuret tiedot ja pientä ihmistä koskevat henkilötiedot on suojattava huolellisesti.”

Deltagonin kaaviokuva kriittisestä tiedosta.
Esimerkkejä kriittisistä, huolellisesti suojattavista tiedoista eri tietoryhmissä.

Minkälainen on tietoturvan ja tietosuojan taso suomalaisissa yrityksissä, Cloud Architect Pekka Leppänen?

”Tietoturva- ja tietosuojataso vaihtelevat paljon, mutta olemme menossa yhä parempaan suuntaan. Monelta suomalaiselta organisaatiolta puuttuu kyky arvioida, milloin se tarvitsee ulkopuolista apua tietoturvallisuuden varmistamiseksi riittävälle tasolle. Tietoturvaan liittyvät asiat eivät ole useinkaan päättäjien pöydällä tai tietoturvalle ei ole budjettia. Tosin viime vuosina tapahtuneet massiiviset tietoturvamurrot ovat herättäneet niin kuluttajia kuin yrityksiäkin parantamaan tietoturvaansa ja tietosuojaansa.

Yrityskulttuuri määrittää, mille tasolle tietoturva- ja tietosuojataso kehittyy tai jää. Taso määräytyy pitkälti organisaation omien osaajien ja sen hankkimien tietoturvayritysten osallistumisen mukaan.

Suurissa ja keskisuurissa organisaatioissa on yleensä nimetty vastuuhenkilö tai kokonainen tiimi tietoturva-asioihin. Henkilöt ovat yleensä hyvin koulutettuja asiaan ja tekevät siihen liittyvää tehtäviä päätyönään.

Pienimmissä yrityksissä tietoturva on yleensä ainoastaan yhden tai maksimissaan kahden henkilön varassa. He eivät yleensä ole koulutettuja tietoturva-asiantuntijoita eivätkä tee tietoturvatyötä päivittäin, vaan ne työt ovat osa heidän tehtäviään. Heidän osaamisensa perustuu yleensä vuosien varrella opittuun käytännön tietoon. Tämä taso voikin olla riittävä, jos kyseessä oleva organisaatio ei käsittele kuluttajaan tai yritykseen liittyvää luottamukselliseksi luokiteltua dataa.”

Minkälaisista tiedoista hyökkääjät tai hakkerit ovat erityisen kiinnostuneita, Pekka Leppänen?

”Rikoksiin tai vahingoittamiseen pyrkivät hakkerit (ns. black hat -hakkerit) etsivät tietoturva-aukkoja, joiden kautta he voivat tehdä järjestelmiin tai yritykselle hallaa tai saada itselleen käyttövaltaa yrityksen verkkoihin.

Järjestelmiin tunkeudutaan myös tiedonhaalintamielessä johonkin tulevaan tavoitteeseen liittyen. Yrityksestä voidaan esimerkiksi kalastella päättäjien tietoja, yrityksen salassa pidettäviä tiedostoja, tuotteita tai palveluita. Lisäksi hyökkääjä voi yrittää toimia yrityksen kilpailijan eduksi piilottamalla järjestelmiin haittaohjelmia tai tehdä koodillisia muutoksia tuotteisiin tulevaisuutta ajatellen. Näiden tunnistaminen haavoittuneesta verkosta on kiinni yrityksen tietoturvatasosta.

Toinen, monimutkaisempi lähestyminen on ns. APT-hyökkäys (Advanced Persistent Threat). Hyökkäyksen tarkoituksena on päästä yrityksen tai kohteen järjestelmiin kiinni kaikessa hiljaisuudessa ja kerätä tietoja sen verkoista, palvelimista, toiminnasta sekä käyttäjistä. Näihin hyökkäyksiin voi liittyviä esim. taloudellisia tai poliittisia syitä.”

Miten kriittisen tiedon suojaaminen tapahtuu käytännössä, Tuukka Meriläinen?

”Valitut tietoturvaratkaisut vaikuttavat suojaustapoihin ja käytäntöihin. Esimerkiksi sähköpostin salaamiseen turvatasoja meillä on tarjolla neljä. Tavallinen normaali sähköposti on suojaamatonta liikennettä. Siksi luottamuksellista tai muuten arkaluontoista tietoa ei pidä lähettää tavallisena sähköpostina tai suojaamattomalla verkkolomakkeella. Tavallista sähköpostia voisi verrata perinteiseen postikorttiin. Postikortin toimitusketjun aikana ulkopuolinen taho voi lukea kortin sisällön jälkiä jättämättä. On myös mahdollista, että kortti kulkee luottamuksellisesti. Ketjun luotettavuutta on vaikea arvioida etukäteen, eikä ketjun viimeisessä vaiheessa kortin vastaanottajaa juurikaan tunnisteta, vaan kortti jaetaan siinä olevan osoitteen perusteella.

Ensimmäinen tarjoamamme sähköpostin turvataso on sellainen, jota voisi verrata suljettuun kirjeeseen paperipostissa. Sen voi avata vain kohteeksi nimetty henkilö, tai jos sen avaa joku ulkopuolinen, jää jälki – avattu kirjekuori.

Sähköpostin toista turvatasoa voisi verrata kirjattuun kirjeeseen. Siinä sähköpostin voi avata vain lähettäjän määrittelemään matkapuhelinnumeroon toimitettavan kertakäyttöisen pin-koodin avulla.

Kolmas turvataso edellyttää vahvaa tunnistautumista. Sähköpostin voi avata vain mobiilivarmenteen tai pankkitunnistautumisen avulla. Tätä voisi verrata kirjeeseen, jonka luovutat itse vastaanottajan käteen henkilökortin tai passin tarkastettuasi.

Tarjoamamme neljäs turvataso mahdollistaa myös valtiohallinnossa turvaluokitellun (STIV ja STIII) materiaalin viestittämisen tietoturvallisesti ja sähköisesti.

Vastaavasti myös muissa palveluissamme on erilaisia tunnistustasoja organisaation tarpeen mukaan. Esimerkiksi ekstranettia vaativaan ryhmätyöskentelyyn tarjoamme collabRoom-ryhmätyötilaa, johon voi määritellä vahvemman tietoturvan alueet erikseen. Samoin sähköinen allekirjoittaminen voidaan hoitaa välineillämme helposti ja vaaditun tietoturvan mukaisesti.”

Mikä on olennaisinta ja mitä kannattaa välttää tiedon suojauksessa, Tuukka Meriläinen?

”Järeitä suojausratkaisuja ei kannata käyttää kaikkeen tiedonvälitykseen, sillä se voi hidastaa liiketoimintaa sekä asiakaskokemusta liikaa. Kannattaa pohtia, mistä kaikesta organisaation tieto muodostuu ja missä ovat kriittisimmät kohdat. Liiketoiminnan kannalta kriittisimmät tiedot pitää suojata huolellisesti.

Organisaatio valitsee itse, se kuinka luokittelee tietonsa ja minkälaisia turvaratkaisuja on käytettävä. Tieto on helppo jakaa esimerkiksi kolmeen tasoon: yritysluottamukselliseen, luottamukselliseen ja tavalliseen. Kun käsittelee luottamuksellista materiaalia, prosessia pitää pohtia tarkkaan ja valita oikeat ratkaisut kunkin tiedon välittämiseen.

Kannattaa myös muistaa, että kaikkien ratkaisujen pitää olla helposti käytettäviä ja käyttäjäystävällisiä, vaikka tietoturvaa on mukana. Tietoturvallinen, mutta käyttökelvoton ratkaisu on yhtä lailla tietoturvauhka.

Vaikka digitalisaatio on edennyt, olemme Suomessa osin vielä lapsenkengissä monien uusien sähköisten ratkaisujen käyttöönotossa. Esimerkiksi sähköinen allekirjoitus olisi helppo ottaa käyttöön. Se olisi monesti paljon tietoturvallisempi kuin perinteinen ratkaisu, jossa allekirjoitus tehdään paperille ja skannataan sähköpostiin. Luotammeko siis kivikautisiin ratkaisuihin vai otammeko käyttöön jo olemassa olevat ratkaisut? Viime vuonna ehdotin Suomen tavoitteeksi, että 90 prosenttia sopimuksista allekirjoitetaan digitaalisesti vuonna 2019. Saa nähdä miten käy! Työkaluja kyllä on tarjolla: Pohjoismaissa on paljon vahvoja, mutta silti yksinkertaisia tapoja henkilöiden tunnistamiseen.

Toisaalta myönnän, että on ihan hyväkin, ettei suin päin sännätä ottamaan uusia ratkaisuja käyttöön. Mutta kun etenee luotettavan toimijan kanssa, ei ota turhia riskejä.”

Mistä saa lisätietoa ja apua tiedon suojaamiseen?

”Useimmilla isoilla organisaatioilla on oma tietoturva- tai tietosuojavastaava, joka pystyy suunnittelemaan tietojen suojauksen. Jos sitä ei ole omasta takaa, kannattaa ottaa yhteyttä tietoturvasuunnittelua tarjoaviin luotettaviin ammattilaisiin. Meiltä Deltagonista saa sitten työkalut tiedon turvaamiseen”, Tuukka Meriläinen kertoo.

Deltagon on suomalainen kyberturvallisuusyritys, joka kehittää sähköisen viestinnän ja asioinnin tietoturvaratkaisuja eri toimialoille. Yritys on osa Erillisverkot-konsernia.

Tilaa lisätietoja

Tunnista termit

Black hat, grey hat ja white hat -hakkerit.
Tietoturvan murtajia, joilla on erilaiset tavoitteet toiminnassaan. Black hateillä on mielessä rikos tai muu vahingoittamistarkoitus, mutta white hateillä pyrkimys osoittaa tietoturvan aukot, jotta yritysten toiminta olisi turvallisempaa. Grey hat -murtautujilla on tavoitteena selvittää tietoverkoissa olevia heikkouksia. Hekin saattavat rikkoa lakeja tai normeja, mutta heillä ei ole haitallista tarkoitusta kuten black hat -murtautujilla.

Tietoturvan tarkoitus on suojata tietoaineisto ja tietojärjestelmät. Tietoturva tarkoittaa muun muassa toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen.

Tietosuoja osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä. Henkilötietojen käsittelyn on perustuttava aina lakiin.

GDPR General Data Protection Regulation, eli yleinen tietosuoja-asetus. Henkilötietojen käsittelyä koskeva laki, jota on sovellettu kaikissa EU-maissa 25.5.2018 alkaen. Sen mukaan yritysten on käsiteltävä huolellisesti esimerkiksi asiakkaista ja työntekijöistä kerättyjä henkilötietoja sekä kerrottava avoimesti käsittelytavoista.

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilötietoja voi olla esimerkiksi sähköisissä tiedostoissa, tietokannoissa, paperilla, kortistossa, mapeissa ja ääni- tai kuvatallenteella.

Rekisteröity on henkilö, jota henkilötieto koskee.

Rekisterinpitäjä on henkilö, yritys, viranomainen tai yhteisö, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelijä on ulkopuolinen taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.