Tulostusversio

4/2013

Tietopääoma kannattaa suojata

Teksti: Antti J. Lagus

Mitä tehdä, kun käy ilmi, että työnantajaa vaihtava työntekijä on vienyt tietoja mukanaan?

Eri puolilla maailmaa toimivalla itävaltalaisella teknologiayrityksellä Andritzilla on kokemuksia tietovuodoista esimerkiksi Ruotsissa, Norjassa ja Yhdysvalloissa. Tietovuodot ovat mahdollisia myös yrityskauppojen yhteydessä. Näihin asioihin yritys voi puuttua helpommin kuin esimerkiksi tarjousasiakirjojen vuotamiseen kolmannelta osapuolelta kilpailijoille.

Vuotojen havaitsemiseksi Andritz on vuodesta 2008 alkaen käyttänyt DLP-järjestelmää (DLP eli data loss prevention, tiedon häviämisen estäminen), joka on kaikissa yrityksen tietokoneissa. Vaikkei järjestelmä aivan aukoton olekaan, sen avulla on tietoturvajohtaja Teemu Ylhäisin mukaan onnistuttu estämään tiedon kopiointia ja myös saamaan arvokasta tietoa mahdolliseen oikeuskäsittelyyn.

”Järjestelmä seuraa sitä, kopioidaanko tiedostoja ulkoisille muistivälineille. Kopioinnista tulee lokimerkintä, ja kopiointi voidaan tarvittaessa myös estää.”

Sähköpostia ei seurata Suomessa

Ylhäisi kertoo, että koska Euroopassa lainsäädännöt vaihtelevat maittain, järjestelmä on toteutettu kunkin toimintamaan lainsäädäntöä noudattaen.

”Esimerkiksi Suomessa sähköpostiliikenteen valvominen pitäisi tehdä niin sanotun Lex Nokia -menettelyn kautta, joka sisältää muun muassa ilmoituksen tietosuojavaltuutetulle. Olemme kuitenkin päättäneet tehdä Suomessa suppeampaa valvontaa.”

Sähköpostivalvontaa Andritz tekee maissa, joissa se on yleisesti sallittua. Valvontatoimet on Ylhäisin mukaan kuitenkin viritetty niin, etteivät ne haittaa työntekoa. Kaiken toiminnan valvominen ei olisi taloudellisesti eikä toiminnallisesti järkevää.

Luokittelu on Lex Nokiaa tehokkaampaa

Parhaillaan Andritz on ottamassa käyttöön tiedonluokittelujärjestelmää, jossa tieto luokitellaan salaiseksi, luottamukselliseksi tai muuksi tiedoksi. Salaista tietoa, esimerkiksi strategioita tai yritysostosuunnitelmia, ei saa lähettää sähköpostilla yrityksen ulkopuolelle lainkaan. Luottamuksellisen tiedon, esimerkiksi tuotetiedon tai 3D-mallien, kopioinnista tulee lokimerkintä, ja tiedostot salataan. Kolmas taso sisältää kaiken muun tiedon, esimerkiksi intranetin sisällön.

”Kun tiedon luokittelu otetaan käyttöön, liiketoimintayksiköt koulutetaan, ja vastuu luokittelusta siirtyy liiketoiminnalle. IT-yksikkö ei voi tietää, mikä tieto missäkin yksikössä arvioidaan luottamukselliseksi tai salaiseksi”, Ylhäisi sanoo.

Myös Itellan riskienhallinta- ja turvallisuusjohtaja Markku Rajamäki pitää tiedon luokittelua hyvänä keinona tietoturvan parantamiseen. Useimmiten hän on nähnyt käytettävän kolmi- tai neliportaista asteikkoa. Neliportainen asteikko voisi olla esimerkiksi julkinen, sisäinen, luottamuksellinen ja salainen. Tiedon luokittelu vaikuttaa tiedon käsittelyyn koko sen elinkaaren ajan ja kaikissa muodoissa.

Rajamäen mukaan luokittelu on tehokkaampaa kuin Lex Nokian mukainen viestiliikenteen seuranta.

”Mielestäni Lex Nokian vähäinen käyttöönotto kertoo jo paljon. Sen mukainen toiminta ei pelasta mitään, jos asiat eivät ole muuten kunnossa.”

Kansainvälisyys lisää riskejä

Rajamäki johti kansallista elinkeinoelämän ja viranomaisten yhteisen yritysturvallisuusstrategian kirjoitustyöryhmää, joka sai työnsä päätökseen viime vuonna. Strategiatyössä ryhmiteltiin toimenpiteitä ja suosituksia kuuteen eri riskikategoriaan, joista yksi on tietopääomaan kohdistuvat riskit.

Tietopääomariskien toimenpiteiksi työryhmä suositti säännöllistä raportointia tietoturva- ja yritysvakoilu-uhista. Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI tekee jo tällaista työtä.

Ryhmä ehdottaa myös tietoturvatasoon sidottua kannustinta startup-yritysten julkiseen rahoitukseen. Aloittavien yritysten tietoturvaan kannattaa Rajamäen mielestä kiinnittää huomiota siksi, että yritykset lähtevät kansainvälistymään nykyään varsin pian. Kansainvälisyys puolestaan lisää tietoriskejä. Tietoturvan rakentaminen alusta lähtien on myös helpompaa kuin olemassa olevien käytäntöjen muuttaminen.

Lisää rikosilmoituksia

Strategiatyöryhmän tietojen mukaan teollisuuden rikosuhkista 40 prosenttia kohdistuu tietojärjestelmään ja 12 prosentissa on kyse yrityssalaisuuden urkinnasta.

”Kuitenkin vain kaksi prosenttia tapauksista ilmoitetaan poliisille”, Rajamäki ihmettelee.

Hän kyllä ymmärtää, että yritykset saattavat punnita ilmoittamiseen liittyvää maineriskiä. Yritykset voivat myös kokea tapahtuneen yksinkertaisesti nolona, eivätkä halua kertoa siitä. Ilmoitusten määrää pitää kuitenkin saada nostetuksi, sillä muuten rikolliset saavat toimia rauhassa.

”Lainsäädäntö on myös ollut puutteellinen, sillä tietomurtojen rangaistavuus ei kaikilta osin ole sellainen, että niiden tutkinnassa saisi käyttää tarpeellisia telepakkokeinoja. Tähän on tulossa muutoksia ensi vuonna”, Rajamäki sanoo.

Lue myös

Patentointi välittää tietoa »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.