Brändin menettämisen pelko on viisauden alku – pohdintoja tietoturvan nykytilasta.

Tervehdys jälleen kerran arvon lukijat,

Lokakuu meni niin ikään kiireisissä merkeissä ja kuten arvata saattaa, niin henkilökohtaisen blogin pitäminen on tuolloin hieman taka-alalla. Maksavat asiakkaat (ja perhe) ensin. 

Muutamia hyviä aihioita tuli tämänkin kuun varrella pohdittua, kuten Asiakastyytyväisyyden mittaamisen alkeet sekä Etätyötä ajasta ja paikasta riippumatta. Näistä hieman myöhemmin lisää marraskuun aikana blogissani.

Lähitulevaisuus tulee jäämään historiaamme tietoturvan kannalta kaikkien aikojen merkityksellisimpänä vuosikymmenenä.

Kesällä luulin nähneeni vuoden erikoisimman uutisen, kun Euroopan ja Pohjois-Amerikan välinen tietojensiirron mekanismi EU-US Privacy Shield koki kovan kolahduksen niin sanotussa Schrems II -päätöksessä.

Tietoturvaan liittyvän uutisoinnin kärkisijan saa kuitenkin viime aikoina kotimaassa paljon puhuttanut Vastaamo-tapaus. Tässä ainutlaatuisessa sekä mittaluokaltaan varmasti yhdeksi maamme historian pahimmaksi jäävässä tietoturvaskandaalissa jopa kymmenien tuhansien asiakkaiden luottamukselliset tiedot ovat päätyneet rikollisiin käsiin. 

Vain aika tulee näyttämään, miten tämä tulee vaikuttamaan ihmisten käsitykseen tietoturvasta, kyseisen yrityksen liiketoiminnan jatkumiseen tai mikä tärkeintä näiden asiakkaiden terveyteen.

Tietoturvan merkitys organisaatioissa korostuu ja GDPR oli vasta alkusoittoa.

Edellämainittuihin liittyen, olen saanut kunnian keskustella sekä olemassa olevien että uusien asiakkaidemme kanssa tietoturvasta.

On hienoa huomata organisaatioiden ottaneen aikaisempaa tiukemman linjan luottamuksellisten tietojen käsittelylle. Asia selvästi on tapetilla jopa enemmän kuin GDPR-säädösten voimaan tullessa siirtymäkauden päätöksen yhteydessä.

Nyt tilanne on kuitenkin toisenlainen, käsin kosketeltava ja vahinko on tapahtunut monille tutuillemme. Uhka on tullut lähemmäksi meitä kaikkia myös lintukodossamme.

Mitä jos se käy myös meille? Tämä kysymys on varmasti ollut framilla monissa organisaatioissa viime päivinä, enkä ihmettele.

Tietoturvan merkitys brändille on kaikki tai ei mitään eli all-in 24/7. 

Minulta kysytään tällä hetkellä paljon työni puitteissa, millä tolalla on edustamamme ratkaisun tietoturva. Tähän on haastava vastata yksiselitteisesti ja siksi olenkin keskusteluissa käyttänyt brändivertailua. 

On sanomattakin selvää, että meidän ja asiakasorganisaatiomme välissä on aina sopimus tietoturvallisen tietojenkäsittelyn osalta. Se velvoittaa tiettyihin asioihin ja antaa sapiskaa, mikäli näin ei ole toteutunut. Samoin sopimukset ovat eittämättä kunnossa päämiehemme sekä asiakkaidemme välillä. 

Ilman sopimuksia nyky-yhteiskunta ei voisi elää digitaalisessa maailmassa, kuten jo alussa mainitsin esimerkiksi tietojen siirrosta  transatlanttisessa bisneksessä Euroopan talousalueen sekä Amerikan Yhdysvaltojen välillä. 

Mitä sopimukset sitten oikeastaan tekevät ruskean osuessa tuulettimeen? 

Ne suojaavat meitä tai ainakin näin on tarkoitettu, vähintään on kirjattu yhteisesti sopimamme asiat. Uskon että Vastaamonkin tapauksessa näin on tehty. Hyvässä tahdossa puolin sekä toisin on uskottu osapuolten vilpittömyyteen asioiden hoidossa.

Näin silti kävi ja tästä päästään brändin menettämisen pelkoon. Kuten puhun kaikkien kanssa, mainitsen aina tämän heti sopimusten jälkeen. Mitä meistä tai päämiehestämme jäisi jäljelle, jos menettäisimme kasvomme? 

Tähän ydinkysymykseen liittyy se kaikkein suurin tekijä – markkina-arvon armoton romutus kertaheitossa.

Nyt kun varmasti jo hiffasitte pointsin, niin miettikää hetki omaa ratkaisutoimittajaanne. Onko taustalla yritys, jonka tietoturva on luottamuksenne (vilpittömyys) arvoinen vai onko kyseessä kenties tarjoaja, jonka markkina-arvo liikahtelee jopa miljardeissa?

Kuvitelkaa toimia, joita nämä yritykset ovat valmiita tekemään suojellakseen dataa. Se on kaikki tai ei mitään – kerrasta. Tietoturvan merkitys brändiin ja sitä kautta suoraan markkina-arvoon on raadollinen. 

On sanomattakin selvää että isommilla pelureilla, joiden arvo maallisen mammonen tasolla mitataan arjellisen ymmärryksemme toisessa ääripäässä, myös tietoturvaan panostetaan isosti.
 
Ratkaisun toimittajan rooli on paljon vartijana. Yksi suosikkiohjeistani on valita toimija, jonka brändi sekä markkina-arvo on niin merkityksellinen että sillä on suurempi kolaus toimijan arvoon kuin omaan toimintaamme. Tällöin riskit ovat molemmin puoleisia ja vähintäänkin molemmille suhteutettuna yhtä suuret.

Ratkaisun toimittajan valinta on suuressa roolissa ennaltaehkäistäessä riskejä mutta ei silti kaikki kaikessa.

Muutama vuosi sitten kävin osallistumassa erääseen tietoturvaseminaariin, jossa esiteltiin viimeisintä huutoa olevaa teknologiaa. Tarjolla oli palomuurit, virustentorjunta sekä muut asiaan liittyvät palvelut. 

Hetken esitystä kuunneltuani en malttanut olla nostamatta kättäni pystyyn ja kysyä, miten voimme estää inhimilliset virheet? Salissa tuli täysi hiljaisuus. 

F-Securen Hyppönen sen kerran tokaisi ja oikeassa oli. Kyllä se suurin haaste löytyy ihmisestä itsestään. Ovathan nämä kaikki hienot järjestelmät ihmisten itsensä rakentamia, joten ovat ne aikanaan myös itsemme murrettavissakin.

PS. Vielä lopuksi haluaisin mainita julkaisemastamme kansalaisaloitteesta lakiuudistukseen liittyen. 

Tavoitteemme on saada 50 tuhatta allekirjoitusta sekä vaatia lakimuutoksella HETU:n käytön lopettamista henkilöiden tunnistamismenetelmänä eri asiayhteyksissä, kuten terveyskeskukseen soitettaessa. 

Linkki lakialoitteeseen: https://www.kansalaisaloite.fi/fi/aloite/7545.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *