Inhimillinen virhe voi haastaa tietoturvasi tason

Tietosuoja-asetuksen siirtymäaika on päättymässä toukokuussa ja oletkin saattanut huomata, että aiheesta puhutaan juuri nyt enenevissä määrin. Ja on aihettakin, olemme siirtyneet niin vauhdilla digitaaliseen maailmaan, että eräs siihen oleellisesti liittyvä seikka, eli henkilötietojen turvallinen käsittely, on jäänyt lapsipuolen asemaan.

Ihmeellistä tämä on siinä mielessä, että henkilötietoja on tavalla tai toisella käsitelty jo satoja ellei tuhansia vuosia. Siihen liittyvää lainsäädäntöäkin on ollut olemassa hyvin pitkään. Lainsäädäntöä on ollut kuitenkin pakko tarkistaa digitalisaation laajenemisen myötä, nyt kun se koskee meitä lähes jokaisella elämänalueella. Henkilötiedoista on tullut digitaalisaation myötä kauppatavaraa ja näin ollen on pakko etsiä ratkaisuja kyberrikollisten toiminnan hankaloittamiseksi ja yleisesti yksityisyydensuojan lisäämiseksi. Eivät henkilötiedoista nimittäin yksistään kyberrikolliset ole kiinnostuneita, vaan perinteinen uteliaisuuskin saattaa usein olla henkilötietojen asiattoman käytön takana. Ja sitten on kolmaskin syy, tahaton henkilötietojen tietosuojaa uhkaava toiminta, josta tässä kirjoituksessa haluan ennen kaikkea puhua.

Syy miksi haluan nostaa esille tahatonta henkilötietoihin kohdistuvaa uhkaa johtuu puhtaasti siitä, että se on tapahtumana tyypillisin. Usein tietosuojaa ja tietoturvaa saatetaan pohtia pitkälti tekniseltä kannalta, vaikka digitaaliset järjestelmät ovat itsessään verrattain luotettavia. Se missä nämä tahattomat tietoturvatapahtumat useimmiten sattuvat liittyvät joko digitaalisten järjestelmien, laitteiden tai manuaalisten arkistojen huolimattomaan käyttöön.

Millaisia tilanteita henkilötietojen huolimattomaan käyttöön voi siis liittyä? Variaatiot itsessään ovat hyvin laajoja, ja tätä asiaa tulee aina katselmoida omasta näkökulmasta, suhteessa siihen minkälaisissa eri tilanteissa henkilötietoja käsitellään. Kerron teille kolme esimerkkiä omasta elämästä, jossa olen kohdannut henkilötietojen huolimatonta käyttöä.

Olin tekemässä eräässä yrityksessä ulkoista auditointia ja sattumalta kohtasin yrityksen vastaanotossa tilanteen, jossa asiakas palautti pinon potilasasiakirjoja, jotka olivat unohtuneet yleiseen ruokalaan, jossa työntekijät, sidosryhmät ja asiakkaat ruokailivat kaikki sulassa sovussa. Tässä tilanteessa taustalla oli kiireestä johtunut unohdus. Astioiden palautuksen yhteydessä asiakirjat olivat jääneet astianpalautuspisteen vieressä olleelle pöydälle, josta asiakas ne löysi. Tietysti hyvä kysymys on se, miksi asikirjat oli ylipäätään otettu ruokalaan mukaan, kenties tässäkin oli kiire taustalla.

Toinen sattumus tapahtui asioidessani poliklinikalla. Lääkärin vastaanotto pöydällä oli avoinna seuraavien asiakkaiden kansiot. Papereista pystyi helposti näkemään esimerkiksi seuraavan asiakkaan sosiaaliturvatunnuksen. Eittämättä myös minun paperini olivat olleet samaan tapaan levällään edellisen potilaan aikana sillä tämä vaikutti paperimäärän perusteella olevan ellei yleinen niin ainakin päivän käytäntö.  Koska asiointini syy oli sen verran mieltä painava, en tullut haastaneeksi tilannetta, mutta jälkeenpäin olen sitä miettinyt ja pohtinut syitä. Seuraavat pohdintani ovat siis vain olettamuksia.

Epäilen, että taustalla oli jälleen puhtaasti kiire ja halu nopeuttaa asioita. Oma aikani oli ainakin myöhässä, joten veikkaan, että tällä tavalla haluttiin nipistää muutama minuutti.  Toinen syy saattaa olla se, että henkilökunta ei ehkä ollut saanut koulutusta tietosuojakäytäntöjen osalta, jos niitä edes oli määritelty. Oliko tässäkin sairaalassa keskitytty vain siihen, että tekniikan puolella asiat hoituvat turvallisesti, mutta henkilökuntaa ei oltu koulutettu muiden tietosuojaan liittyvien käytäntöjen osalta?

Kolmas tapahtuma liittyy digitaalisiin järjestelmiin ja niiden käyttöön. Olen nimittäin muutaman kerran törmännyt tilanteeseen, jossa järjestelmää ei saada auki sillä salasana on aiemmin ollut tallennettuna tietokoneen välimuistiin, mutta välimuisti olikin tyhjennetty ja salasana näin ollen hukassa. Tässä kohtaa en voi sanoa muuta kuin, että älkää tallentako yritykseenne liittyvien järjestelmien salasanoja tietokoneen välimuistiin, paperilapuille tai avoimiin tiedostoihin! Ainoat turvalliset paikat ovat joko oma muistinne tai nimenomaisesti salasanojen tallennukseen suunniteltu palvelu. Käyttäjätunnus salasana yhdistelmät ovat henkilötietojen ohella kyberrikollisten himotuinta saalista. Näiden avulla he pääsevät käsiksi sinulle arvokkaisiin tietoihin ja vaikeuttavat yritystoimintaasi huomattavasti. Puhumattakaan siitä mikäli he pääsevät käsiksi asiakkaidesi, henkilöstösi tai perheesi tietoihin.

Miten inhimillisiä virheitä voitaisiin sitten estää? Listaan seuraavaksi viisi yleisintä kohtaa jotka voivat auttaa inhimillisten virheiden estämisessä.

1. Ensimmäinen neuvoni inhimillisten virheiden ennakointiin on se, että käsitellessäsi henkilötietoja tee se silloin kun voit käsitellä niitä rauhassa ilman kiireen tuntua. Mikäli et voi kiireelle mitään älä anna sen vallata mieltä vaan keskity rauhallisesti käsillä olevaan tehtävään, voit kiristää menetyt minuutit varmasti jossakin toisessa tehtävässä.
2. Kouluttaudu tietosuoja ja tietoturva kysymyksien osalta. Kuten aiemmin totesin, tämä aihe ei keskity pelkästään tietojärjestelmiin vaan kattaa esimerkiksi henkilötietojen osalta koko niiden elinkaareen siitä hetkestä lähtien kun uusi henkilötieto tallennetaan yrityksesi järjestelmiin.
3. Huolehdi aiheeseen liittyvien toimintaohjeiden ajantasaisuudesta ja siitä, että kaikki ovat niistä tietoisia, myös päivittyneistä versioista.
4. Pohdi tapaasi käyttää tietojärjestelmiä ja laitteita. Käytätkö niitä turvallisesti, onko yritykseesi liittyvät tiedot suojassa jos esimerkiksi laitteesi varastettaisiin?
5. Pohdi niitä käyttöympäristöjä joissa esimerkiksi henkilötietoja käsitellään, onko vaaraa, että ulkopuolisilla on suora näkymä esimerkiksi tietokoneen näyttöön?

Kiire on eittämättä suurin tekijä inhimillisten virheiden taustalla. Me laitamme kiireen piikkiin usein erinäisiä asioita, vaikka totuuden nimessä epäilen, että meillä kenelläkään on niin kiire, ettemme ehtisi rauhallisesti ja tietoturvallisesti siirtymään seuraavaan työtehtävään.Toinen merkittävä tekijä on tietotaidon puute. Kouluttautumisella on mahdollista parantaa tietoturvaa merkittävästi yrityksen omassa toimintaympäristössä. Nämä kaksi tekijää taklatessasi olet tehnyt jo paljon tietoturvasi parantamiseksi.