tiistai 28. syyskuuta 2010

Selainhistoria kuuluu tietosuojan piiriin

Sähköpostien seurannan osalta ollaan jo organisaatioissa tarkempia, mutta monelle on vielä uutta, että myös käyttäjän selainhistoria on tietosuojan piiriin kuuluvaa tietoa. Se, että tietokone ja selain ovat työnantajan omaisuutta, ei muuta tätä.

Meille tulee hyvin paljon kyselyjä siitä, voiko työnantaja tai yhteisötilaaja tutkia web-selaamisesta syntyvää historiaa. Sähköisen viestinnän tietosuojalaissa sanotaan selvästi Internet-selaamisesta syntyneistä tiedoista. Jostain syystä kuitenkin kentällä kuulee koko ajan, että eihän web-selaaminen ole viestintää. Laissa tämä on kuitenkin yksiselitteisesti määritelty.
SVTSL 2 luku Yksityisyyden ja luottamuksellisen viestin suoja 4 §Viestin, tunnistamistietojen ja paikkatietojen luottamuksellisuus Viesti, tunnistamistiedot ja paikkatiedot ovat luottamuksellisia, jollei tässä tai muussa laissa toisin säädetä. Viesti ei ole luottamuksellinen, jos se on saatettu yleisesti vastaanotettavaksi. Viestiin liittyvät tunnistamistiedot ovat kuitenkin luottamuksellisia. Verkkoviestin tunnistamistietojen luovuttamisesta säädetään sananvapauden käyttämisestä joukkoviestinnässä annetun lain (460/2003) 17 §:ssä. Edellä 1 momentissa säädetty koskee myös verkkosivustojen selaamisesta kertyviä tunnistamistietoja.

Keinot Internet-selaimen käytön kautta tulevien ongelmien ja riskien eliminoimiseksi on oltava proaktiivisia ja automaattisia. Kun jotain on tapahtunut, on myöhäistä ihmetellä, ellei organisaatio ole huolehtinut sähköisen viestinnän tietosuojalain velvoitteista. Organisaatioilla on mahdollisuus tutkia väärinkäytöksiä myös jälkeenpäin, mutta se edellyttää tiettyjä toimia etukäteen. Käytännössä kyse on allaolevista toimenpiteistä: 

1. huolehtimisvelvollisuus (SVTSL 13 b §) 
2. suunnittelu- ja yhteistoimintavelvoite (SVTSL 13 c §) 
3. ennakkoilmoitus tietosuojavaltuutetulle (SVTSL 13 i § 1 momentti) 



tiistai 21. syyskuuta 2010

Järjestelmä muistaa

Tiedon elinkaaren viimeinen vaihe on hävittäminen tai pysyvä arkistointi. Henkilötietolaki taas määrittelee rekisterin hävitettäväksi kun se lakkaa olemasta tarpeellinen. Tästä huolimatta tietojärjestelmiin tallennetut rekisterit muistavat turhia ja vanhentuneita asioita vuosienkin takaa. Tämä kävi hyvin ilmi saatuani yllättävän kirjeen parisen viikkoa sitten.

Asioin erään tunnetun valtion viraston kanssa ensimmäistä kertaa vuonna 1998 silloisen asuinpaikkani toimipisteessä. Asiakkuuteni oli lyhyt ja päättyi jo kahden viikon kuluttua. Tiemme kohtasivat jälleen viime syksynä, tällä kertaa eri paikkakunnalla, ja asiakassuhde syntyi uudestaan. Olen ollut kyseisen viraston asiakkaana nyt siis noin vuoden ja sain heiltä pari viikkoa sitten ihmetystä herättävän kirjeen. Kirjeessä kyseinen viranomainen tiedotti heidän luovuttaneen minua koskevaa tietoa toiselle kaikkien suomalaisten elämää sivuavalle viranomaisella. Tämä ei sinällään ole ihmeellistä, mutta kirjeessä mainittu toimipiste sijaisee paikkakunnalla missä asuin 12 vuotta sitten. Selvittelin asiaa puhelimitse ja minulle kerrottiin että asiakkuuteni on elänyt heidän järjestelmässään reilun 10 vuotta ja siksi myös automaattiset tiedotteet muille viranomaisille ovat säilyneet. Jotenkin ajatus henkilökohtaisten mutta vanhentuneiden tietojen säilymisestä jossain konesalin uumenissa näin pitkään tuntui kiusalliselta ja päätin ottaa yhteyttä tietosuojavaltuutetun toimistoon. Neuvonnan mukaan yksiselitteistä lakimääräistä aikaa tietojen hävittämiseen ei ole ja tietoja voidaan säilyttää jos se katsotaan tarpeelliseksi toiminnan kannalta. Neuvonta kuitenkin muistutti että joissain tapauksissa voi asian tarkemmin määritellä kyseistä viranomaista koskeva laki. Pienen tutkinnan jälkeen minulle selvisi että tähän tapaukseen todellakin löytyy erillinen laki, minkä mukaan tiedot tulisi poistaa viiden vuoden kuluttua asiakkuuden päättymisestä. Aikaisemmasta asiakassuhteestani ei siis pitäisi olla mitään jälkiä kyseisen viranomaisen rekistereissä. Järjestelmä todellakin muistaa ja tämän vuoksi rekistereitä ylläpitävän organisaation tulisikin selvittää vastuunsa alusta loppuun. Useimmiten loppuosa jää kaikessa perustamisvaiheen tohinassa unholaan ja kaikenlaiset tiedonjyväset jäävät elämään omaa elämäänsä verkkolevyjen ja tietokantojen syvyyksiin. Tarina jatkuu ja palaan aiheeseen saatuani vastauksen tietojani säilyttäneeltä viranomaiselta.

tiistai 14. syyskuuta 2010

Kenelle sinä luovutat yrityksesi avaimet?

Kun yritys hankkii rikosilmoitinjärjestelmää tai lukituksia, on tavallista kysyä turvasuojaajahyväksyntää asentajalta. Kun seuraavaksi taloon saapuu nörtin näköinen kaveri, joka pyytää yrityksen pääkäyttäjän salasanaa, luotetaan pelkkään kolapulloon ja suuren tietotekniikkavalmistajan T-paitaan.

Laki yksityisistä turvallisuuspalveluista määrittelee turvasuojaustehtävän seuraavasti (LYTP 282/2002):
Tässä laissa tarkoitetaan..

18) hyväksymistä edellyttävällä turvasuojaustehtävälläturvasuojaustehtävää, johon liittyy pääsy sellaisiin toimeksiantajan turvallisuusjärjestelyjä koskeviin luottamuksellisiksi määriteltyihin tietoihin, joiden avulla on mahdollista tunkeutua tai olennaisesti helpottaa tunkeutumista toimeksiantajan hallitsemaan ulkopuolisilta suljettuun paikkaan;

Laki lähestyy turvallisuutta siis täysin fyysisen turvallisuuden näkökulmasta. Monen yrityksen kilpailutekijät ovat kuitenkin tänä päivänä muualla kuin omaisuudessa. Palveluyritykset, asiantuntijayritykset, julkishallinto ja tuotekehitys eivät välttämättä arvosta kovin pitkälle tietokoneen hankintahintaa, mutta tieto, jota sillä käsitellään on usein korvaamatonta. Siksi on ihme, että usein luotetaan toimittajan epämääräisiin vihjailuihin "hankkeista suuren suomalaisen maanpuolustukseen liittyvän toimijan kanssa" tai epämääräisiin taustatarkistusvakuutteluihin, joista ei vaadita edes mustaa valkoisella.

Vaikka laki ei pakota huomioimaan IT-ympäristöä ja toiminta olisi kiinni vain omaisuudessa, on huomattava eräs asia. IT-ympäristöstä käsin ohjataan tänä päivänä lähes kaikkea fyysisessäkin ympäristössä. Sillä samalla pääkäyttäjän salasanalla on pääsy kiinteistönohjausjärjestelmiin ja usein jopa rikosilmoitinjärjestelmiin. Ja vaikka hallinta ei onnistuisi, lamauttaminen voi olla jopa lapsellisen helppoa. Niinpä usein pääsy tietojärjestelmiin tarkoittaa myös pääsyä fyysisiin tiloihin.

Kun organisaatio luovuttaa pääsyoikeuden ulkopuoliselle toimijalle, on varmistuttava myös käsittelijästä. Vakuuksia voi antaa viranomainen, toimittaja tai vastuut sanktioineen voidaan määritellä sopimustasollakin. Tärkeintä on, että ne on huomioitu - vaihtoehtoja löytyy.

maanantai 13. syyskuuta 2010

Pahojen työntekijöiden ongelma

Monilla organisaatioilla on ilmeisesti pahojen ja ilkeiden työntekijöiden ongelma. Heinäkuussa julkishallinnolle kohdistettu tutkimus Yhdysvalloissa kertoo, että 59% turvallisuusasiantuntijoista pitää henkilöstöään suurimpana uhkana organisaatiolleen.

Nextgov esittelee artikkelissaan yhteenvedon heinäkuussa tehdystä tutkimuksesta, jonka mukaan yli puolet organisaatioista pitää henkilöstöään edelleen suurimpana riskinä IT-turvallisuudelle. Tätä samaa on toisteltu jo pitkään, joskin onneksi yhä vähemmän koko ajan. On totta, että suurin osa väärinkäytöksistä ja tiedonhankinnnasta kohdistetaan yhä useammin henkilöstöön, kuten tässäkin blogissa on useaan kertaan todettu. Kuitenkin puhuminen henkilöstöstä riskinä ohjaa mielestäni huomion pois itse ongelman aiheuttajasta.

Tuskin missään organisaatiossa työskentelee henkilöitä, joista suurin osa ei välitä turvallisuudesta tai haluaisi vahingoittaa omaa organisaatiotaan. Oman työympäristönsä vaarantaminen on aina myös oman henkilökohtaisen turvallisuuden vaarantamista. Kun ottaa huomioon, miten korkealla ovat turvallisuuden tarpeet ihmisen tarvehierarkiassa, en usko kenenkään vapaaehtoisesti tai mielellään vaarantavan omaa organisaatiotaan. Ja kuten monista lähteistä voi todeta, on turvallisuusohjeiden ohittaminen yleensä tiedon puutteesta johtuvaa. Joko riskejä ei nähdä, seurauksia ei tunneta tai ohjeistus on niin monimutkainen ja irrallaan toiminnasta, että sen noudattaminen on käytännössä mahdotonta.

Todellisuudessa kysymys on siitä, että organisaatio ei hallitse turvallisuusympäristönsä sosiaalista ulottuvuutta. Henkilöstöstä ja työntekijöistä on pidettävä huolta samoin kuin järjestelmäpäivityksistä. Heidänkin tietojajaan täytyy kartuttaa, kerrata ja päivittää sekä sisäisen motivoitumisen saavuttamiseksi vuorovaikutusta merkittävistä asioista on oltava säännöllisesti. Koulutukset, keskustelut, riskien analysointi ja siitä tiedottaminen ovat avaintekijöitä. Turvallisuusohjeet on kyettävä sitomaan normaalitoimintaan ja konkretisoimaan siten, että ihmisillä on mahdollisuus toimia oikein.

Kun organisaatio hankkii tuotantolaitteita, tehdään ylläpitosuunnitelmat ja tarvittaessa huoltosopimukset, koska laitteet ovat investointeina yritykselle tärkeitä. Onhan teillä jalkautettu laatukäsikirjan mapeista myös suunnitelmat henkilöstön osaamisen, hyvinvoinnin ja tehokkuuden kehittämiseksi? Teidänkin organisaatiossanne työskentelee alanne ammattilaisia ja asiantuntijoita, jotka haluavat tehdä laadukasta työtä, kehittää ja kehittyä. Tarjoaako organisaationne siihen mahdollisuuden?

Loppuajatuksena:

"Osallisuus ei ole sitä, että osallistuu johonkin, vaan sitä, että syntyy kokemusta siitä, että kuuluu johonkin." (Juha Kreus, 2009, osallistujan kommentti sisäisen turvallisuuden seminaarissa 29.1.2009). Tätä kautta kasvaa myös vastuuntunto ja motivaatio.