Sami Koskinen
Apr 6, 2011

Tietoturvariski vai ei?

Työtoveri kysyi taannoin, kuinka suurena riskinä tietoturvallisuuden ammattilainen pitää salaamattomia USB-tikkuja, sähköpostia eri muodoissaan, muistiinpanoja paperilla, työasioiden puhumista puhelimessa julkisella paikalla, ja niin edelleen.  Lainasin vastaukseksi kanadalaista tuttua, joka olisi sanonut: ”Context is everything.”

Moni lukijoista lie puhunut puhelimessa työasioita lentoaseman business loungessa ja tehnyt siellä muutenkin töitä. Osa on tehnyt näin muun muassa junassa. Vaarallista vai ei? Tyhjässä junavaunussa Helsingistä Tampereelle voi toimia melko vapaasti, mutta täydellä aamulennolla Helsingistä Ouluun tilanne on toinen. Vieressä, tai takana, saattaa istua henkilö, joka tulee Oulussa samaan kokoukseen, mutta toiselle puolelle kokoushuoneen pöytää.

Jos kuvitteellisen pörssiyhtiö Random Antivirus Company Oyj:n työntekijä kertoo yhteisöpalvelussa olevansa Bentonvillessä Yhdysvalloissa ja huokaa raskaan väännön olevan vihdoin ohi, ja seuraavalla lennolla kotiin vaimon luo kera skumppapullon, millaisesta tiedosta saattaa olla kyse? Viiden pisteen vihje: Wikipediasta löytyy hakusanalla Bentonville kolme osumaa, yksi Arkansasissa, toinen Indianassa, kolmas Texasissa. Kolmen pisteen vihe: Arkansasin Bentonville on noin 30 tuhannen hengen kaupunki, joka sisältää bisnesmielessä jotain huomattavaa. Yhden pisteen vihje: arvopaperimarkkinalaki (495/1989), 5 luku.

Erityisesti Iso-Britanniassa uutisoidaan lähes säännöllisesti henkilötietojen vuotamisesta, kun sivullinen löytää esimeriksi salaamattoman USB-muistitikun. Pitäisikö niiden käyttö kieltää? Saman organisaation sisällä toimittaessa salauksen käyttämiselle ei ole teknisiä esteitä. Organisaatioiden välillä tilanne muuttuu samanlaiseksi kuin salatun sähköpostin kanssa: onko sellaisen käyttämiseen valmiuksia? Yleensä ei, vaikka salatun USB-tikun käyttö kahden eri organisaation välillä on helpompi ratkaista kuin salattu sähköposti, jota sitäkin käytetään hyvin vähän juuri teknisten haasteiden vuoksi. Jopa perinteisesti salassapitoasioista tarkat asianajotoimistot hoitavat toimeksiantojaan surutta täysin normaalin, salaamattoman sähköpostin kautta. Oliko kuitenkaan ongelman syynä salauksen puuttuminen vai se, että tietovälinettä käsiteltiin ehkä vastoin ohjeita?

Sekä yksityisellä että julkisella sektorilla on yhteistä se, että paljastuessaan aidosti haitallista tietoa on vähän verrattuna kaikkeen käsiteltävään tietomassaan. Suomessa julkisella sektorilla tieto on lähtökohtaisesti julkista, ja salassa pito on poikkeus normaalista. Yksityisellä sektorilla asetelma on päinvastainen, mutta ei sen vuoksi, että salassa pidettävää olisi merkittävästi enemmän. Pikemminkin sillä on helppo välttää joutumasta ajattelemaan, mikä tieto on yrityksen toiminnan jatkuvuuden kannalta merkitsevää. Juuri tästä puolestaan tietoturvallisuudessa ja tietoturvariskeissä pitää olla kysymys.

Viisaus ei piile kaiken salaamisessa, muistikirjojen välttämisessä tai kieltämisessä tai missään teknologisessa ratkaisussa tai parhaissa käytännöissä. Parhaat käytännötkin ovat lopulta vain approksimaatioita, jotka kaipaavat räätälöintiä. Avain tietoturvariskien tunnistamisessa ja kestävässä varautumisessa on tunnistaa tieto-omaisuus ja sen arvo.

Ota yhteyttä Tietohallintomalli PDF

Haluatko tietää lisää Tietohallintomallista ja sen soveltamisesta käytännössä? Ota yhteyttä.