Syksyn aluksi käymäni keskustelu oli sisällöltään enemmän tai vähemmän samankaltainen kuin kevätkauden päättänytkin. Harmittavasti moni asiakas kun on edelleen vahvasti sitä mieltä, että GDPR oli heidän näkökulmastaan yhtä kuin turhaa rahanmenoa. Olen yrittänyt esittää vahvan vastalauseeni, mutta kakkoseksi jään; asiakas kun on aina oikeassa.

Eniten minua näissä keskusteluissa harmittaa tietty yksioikoisuus. GDPR on yhtä kuin hukkaan heitettyä rahaa, koska kukaan ei tunnu niitä paljon puhuttuja sakkoja saavan. Totta. Suomessa ei ole vielä sakkoja jaeltu, mutta hyviä kandidaatteja on jo ilmaantunut. Ja on varsin todennäköistä, että jonkun niistä kohdalle pikavoitto sitten osuu. Tosin pikavoitosta ei ehkä voida puhua, sillä yksittäisen tapauksen tutkiminen on erittäin työlästä ja aikaa vievää. Tässä siis syy, miksi ensimmäinen antaa odottaa.

GDPR on kaikkea muuta kuin tarpeetonta rahanmenoa tahi sakkoja. Jotta tietosuoja toteutuu, tulee myös tietoturvan toteutua.

GDPR on kaikkea muuta kuin tarpeetonta rahanmenoa tahi sakkoja. Jotta tietosuoja toteutuu, tulee myös tietoturvan toteutua. Tämä on myös asetuksen lähtökohta. Kulunut kesä on osoittanut, että esimerkiksi kuntasektorilla parantamisen varaa vielä olisi. Kyberhyökkäysten kohteeksi ovat joutuneet ainakin Kokemäki, Lahti ja Pori. Nämä ovat siis tahoja, jotka ovat hyökkäyksen huomanneet ja asianomaisesti siitä tiedottaneet. Porissa isku osui opinahjoon ja siellä työskentelevien käyttäjätunnuksiin ja salasanoihin, mutta ehkä myös käyttäjien tietoihin. Niinpä. Vahinkojen todellisen kokoluokan hahmottaminen saattaa viedä vielä jonkin aikaa ja se aika on oltava varpaisillaan. Lahden kaupunki tämän tietää. Se kun on saanut olla varpaisillaan jo kohta kaksi vuotta. Vuonna 2018 kaupungin laitteilla louhittiin virtuaalivaluuttaa ja tänä kesänä tunnelman pilasi IT-infrastruktuurin lamauttanut haittaohjelma. Seurauksena tästä on ollut mm. terveydenhoidon työtaakan merkittävä kasvu. Potilastietoihin kun ei ole päästy kiinni. Tilannetta julkisuudessa arvioineen kaupunginjohtajan viesti oli lyhyt ja ytimekäs: ”Tietoturvan taso ei ole ollut riittävä”.

TIVI uutisoi elokuussa tietomurrosta, jossa yli miljoonan kansalaisen biometriset tunnisteet, käyttäjätunnukset, salasanat ja muu yksityinen data päätyi suojaamattomilta palvelimilta hakkereiden haltuun. Käyttäjäryhmiä olivat mm. Iso-Britannian poliisi ja suuret liikepankit. Näinä tietomurtojen ja -vuotojen aikana uutinen meni varmasti aika monelta ohi. Se on valitettavaa, sillä juuri tämän murron seuraukset ovat rekisteröidylle enemmän kuin merkittävät, jopa tuhoisat. Biometrisiä tunnisteet tarkoittavat esimerkiksi sormenjälkiä ja kasvotunnistukseen liittyviä tietoja. Ja näitä, päinvastoin kuin esimerkiksi henkilötunnusta, on käytännössä lähes mahdoton vaihtaa. Kyseessä on siis todella sensitiivinen tieto, jonka päätyminen vääriin käsiin voi aiheuttaa todellisen inhimillisen tragedian. Mutta koska kyseessä oli suojaamattomat palvelimet, voidaan tässäkin tapauksessa todeta, että tietoturvan taso ei ollut riittävä. Vai voidaanko? Olisiko törkeä laiminlyönti parempi selitys?

Koska tietoturvan taso sitten on riittävä? Vaikea kysymys, johon ei ole yksiselitteistä vastausta. Mikäli vanhat merkit paikkaansa pitävät, ei kaikkia kyberhyökkäyksiä vastaan edes voida täysimääräisesti puolustautua. Paino siirtyy siis pahimpaan varautumiseen ja poikkeustilanteissa toimimisen ja niistä toipumisen harjoitteluun. Tämäkin on varsin haasteellista, sillä tällaisissa tapauksissa organisaatioiden, päinvastoin kuin niitä uhkaavien tahojen, mielikuvitus on varsin rajallinen. Mutta pakko on edetä kummallakin saralla, muuten hukka perii. Sillä vaikka edellä kerrotut tapaukset painottuivat tietoturvaan ja sen puutteisiin, eli tekniikkaan, oli maksavana tahona kuitenkin aina rekisteröity. Pahimmillaan jopa kahdesti. Kuntien kohdalla nimittäin sen lisäksi, että henkilökohtaisia tietoja loukattiin, tulevat myös korjaavat toimenpiteet veronmaksajan roolissa rekisteröidyn maksettaviksi. Ja jos tilanne ei olennaisesti parane, jossain vaiheessa rekisteröity saattaa hermostua ja kysyä, olenko minä nyt veikannut väärää hevosta, kun toimintanne ei tunnu tarjoavan minulle mitään muuta kuin rahanmenoa?

 

Matti Timonen Fordione

Matti Timonen on tehnyt pitkän uran IT- alalla. Hän on toiminut mm. tietohallintojohtajana logistiikka- ja IT -yrityksissä ja vetänyt myös liiketoimintayksikköä. Tällä hetkellä hän toimii hallinnolliseen tietoturvaan keskittyneessä Fordione Oy:ssä konsulttina ja hallituksen puheenjohtajana. Hän on myös yksi yrityksen perustajista.