– Toisin kuin vuosi sitten arvioitiin, yritysten tietovuodot vähenivät määrällisesti vuoden 2009 ensimmäisellä puoliskolla vuoden 2008 vastaavaan aikaan verrattuna, mutta tulokset osoittavat, että ihminen on useimmiten ketjun heikoin lenkki, KPMG:n Suomen tietoturvapalveluista vastaava Mika Laaksonen kommentoi.
Vaikka tietovuodot vähenivät määrällisesti vuodesta 2008, tapahtuneet tietovuodot koskettivat yhä useampia henkilöitä. Myös kustannukset tietovuotoa kohti olivat suurempia kuin aikaisemmin. Tapahtuneet tietovuodot olivat siten vaikutuksiltaan edellisvuotta suurempia.
Organisaation oman henkilöstön roolin korostuminen tietovuotojen lähteenä on pääasiassa seurausta yleisestä taloudellisesta tilanteesta ja erityisesti irtisanomisista, lomautuksista sekä muista työolojen ja tilanteen heikkenemisestä. Tällöin henkilöstön lojaalisuus työnantajaa kohtaan tyypillisesti vähenee ja kynnys väärinkäytöksiin madaltuu.
Samaan aikaan rikollinen toiminta on tarjonnut entistä enemmän taloudellisia hyötymismahdollisuuksia luottamuksellisista tiedoista. Vuoden 2009 alkupuoliskolla raportoitiin muun muassa tapaus, jossa ulkomaisen pankin työntekijä myi rikollisille pankin koko asiakasrekisterin.
Vaikka monilla muilla toimialoilla tietovuotoja oli määrällisesti vähemmän kuin edellisenä vuonna, oli niitä julkishallinnossa lähes 20 prosenttia enemmän kuin viime vuonna ja noin kolmannes enemmän kuin vuonna 2007.
– Edellä mainittu kehityssuunta on havaittavissa globaalisti kootussa aineistossa. Suomessa julkishallinto on kuluneiden vuosien aikana panostanut merkittävästi tietoturvallisuuden kehittämiseen, eikä Suomessa ole vuoden 2009 aikana raportoitu merkittäviä julkishallinnon tietovuotoja, Laaksonen kertoo.
– Täysin ilman tietovuotoja ei toki Suomessakaan ole selvitty. Julkisuuteen on raportoitu muun muassa potilastietojen luvattomia katseluita sekä henkilötietojen löytyminen levykkeeltä, jonka ulkopuolinen taho löysi roskalavalta.
Kannettavien tietokoneiden varkaus on edelleen tyypillisin tietovuototapaus, mutta ne ovat määrällisesti vähentyneet vuodesta 2008 noin puolella. Samoin kadotettujen puhelimien, USB-muistien ja vastaavien määrä on vähentynyt viidenneksellä vuodesta 2008.
– Edelleen neljännes kadotetuista laitteista oli ilman asianmukaista suojausta, tietojen salausta. Paperilla olevia tietoja ei ole mahdollista salata ja paperisten dokumenttien katoamisen aiheuttamat tietovuodot kasvoivatkin neljänneksellä. Edelleenkään ei siis ole syytä unohtaa myöskään paperilla olevien tietojen suojausta, korostaa Laaksonen.
Jatkossa yritykset joutuvat nykyistä avoimemmin kertomaan omalle kohdalleen sattuneista tietovuodoista. Nykyisellään tietovuodoista ei haluta julkisesti kertoa niiden negatiivisen julkisuuskuvan takia. Esimerkiksi saksalainen teleoperaattori hukkasi vuonna 2006 17 miljoonan asiakkaan henkilötiedot, mutta asia tuli julkisuuteen vasta vuonna 2008.
Euroopan komission e-Privacy -direktiiviä on muutettu tänä syksynä. Muutoksen myötä ainakin teleoperaattorit joutuvat jatkossa julkistamaan tapahtuneet tietovuodot sekä tiedottamaan vuodosta kaikille niille tahoille, joita tietovuoto koskettaa.
– On todennäköistä, että monien maiden kansallisessa lainsäädännössä velvollisuus tullaan ulottamaan myös muihin yrityksiin ja yhteisöihin kuin pelkästään teleoperaattoreihin. Avoimuus tietovuotojen raportoinnin osalta tulee siten lisääntymään merkittävästi, Laaksonen arvioi.
– Samalla korostuu luonnollisesti hyvän tietoturvallisuuden merkitys, jotta raportoitavia tietovuotoja ei pääsisi tapahtumaan. Mikäli tietovuoto kuitenkin tapahtuu, on hyvällä tiedottamisella erittäin suuri merkitys vahinkojen paikkaamisessa.
Useimmat toimet tietovuotojen estämiseksi voidaan toteuttaa osana organisaation tietoturvallisuuden hallintaa. Tietovuotojen ehkäisyä helpottaa, jos organisaatio tuntee salassa pidettävät tiedot ja on tunnistanut niiden käyttötavat ja -olosuhteet.
Kaikkein tärkeintä on tunnistaa suojausta vaativat tiedot ja suojata kaikki tiedot asianmukaisten suojausvaatimusten mukaisesti. Muita tärkeitä toimia ovat tietojen luokittelu, tietojen käsittelyn ja käytöstä poiston ohjeistaminen ja kouluttaminen, järjestelmien hyvä tietoturvallisuuden taso sekä tietojen salaaminen.
– Tietovuotojen torjunnan avain on pitkäjänteinen tietoturvallisuustyö. Tietovuotojen estoon on myös olemassa ohjelmallisia sovelluksia, jotka voivat tarkkailla esimerkiksi sitä, lähteekö sähköpostiviesteissä ulos luottamuksellisia tietoja, kuten yrityssalaisuuksia, henkilötietoja tai luottokorttitietoja, Laaksonen kertoo.
Suomessa kyseisten sovellusten käytön edellytykset on kuvattu Sähköisen viestinnän tietosuojalainmuutoksessa (Lex Nokia).