Oppimistehtävä #2 a: Tietosuojakysymykset

Kävimme keskustelua aiheesta, onko yrityksen suurin tietoturvariski mahdollisesti omat työntekijät. Tämä aihe on mielestäni erittäin mielenkiintoinen ja ainakin itse olen sitä mieltä vahavsti, että työntekijöiden toimilla on suuri merkitys yrityksen tietoturvan varmistamisessa.

Yrityksen tulisikin ymmärtää että tietoturvakoulutukset ovat isossa roolissa kun mietitiään yrityksen tietoturva-asioita. Aika usein tämä kuitenkin jää huomioimatta, kuten keskusteluissamme kävi ilmi.

Millaisia seikkoja sosiaalisia verkkotyökaluja työyhteisöissä käyttävien henkilöiden pitäisi ottaa huomioon tietosuojan näkökulmasta

Sosiaalisia verkkotyökaluja käyttävien työntekijöiden tulisi ymmärtää sosiaalisen median kautta leviävien haittaohjelmien, tietojen kalasteluiden ja roskapostien aiheuttamat riskit. Tietosuojan näkökulmasta pitäisi olla jonkinlainen riskienhallinta suunnitelma, jonka avulla pystytään löytämään yrityksen oikeat tietosuojariskit ja suojautumaan niiltä. Jotakin yhteisöpalvelua käyttävä työntekijä voi epähuomiossa jakaa jotain salaista tietoa tietämättään esim. julkistamalla jotain tietoja profiilissaan joita ei julkisesti ole vielä kerrottu.

Myös yksi mielenkiintoinen näkökulma ja riski on palvelujen käyttö humaltuneena. Tällöin tietoturva riski voi olla hyvinkin suuri. Myös sellainen tieto, mikä on saatavilla osissa, voi kokonaisuutena luoda isonkin tietovuodon. Jos työntekijä jakaa vain vähän tietoa, mutta usein, niin kokonaisuutena voikin olla mahdollista saada sellaista tietoa yrityksestä, mikä ei alunperin ollut tarkoituksenakaan jakaa.

Mitä ovat avoimuuden ja läpinäkyvyyden edut

Yritysmaailmassa avoimuuden ja näkyvyyden avulla on mahdollista rakentaa yritykselle "kasvot". Usein yritys, joka toimii avoimesti ja näkyvästi, myös nauttii asiakkaiden luottamusta enemmän. Myös sellaisessa tilanteessa kun yritystä kohtaa jokin kriisi tai muu vakava tapahtuma, sosiaalisen media kautta avoimuuden ja läpinäkyvyyden avulla voi olla mahdollista palauttaa hyvinkin tehokkaasti suuren yleisän luottamus. Tälläinen negatiivisessakin tilanteessa avoimesti toimiminen luo hyvinkin positiivista kuvaa yritykestä.

Milloin henkilökohtaisten tietojen jakamisesta olisi hyötyä työyhteisön kannalta

Henkilökohtaisten tietojen jakaminen on mielestäni silloin kannattavaa, jos sillä on positiivisia vaikutuksia koko työyhteisöön ja etenkin silloin kun yrityksen toiminta on sellaista, jota julkisuus hyödyttää. Monissa yrityksissä käytetään myös osana rekrytointia yrityksen omien työntekijöiden tarinoita ja tällöin oman työuran jakaminen esimerkkinä muille työnhakijoille voi olla hyvinkin positiivinen asia koko yrityksen rekrytointiprosessiin. Työntekijä voi myös niin sanotusti myydä yritystä omalla "naamallaan", eli toisin sanoen antaa kasvot yrityksen toiminnalle. Usein tälläiseen rooliin on valittu edustava ja suurta yleisöä miellyttävä henkilö ja tälläisen henkilön avulla yritys saa lisää julkisuutta ja herättää mielenkiintoa.

Itse jaan oman työurani tiedot LinkedIn profiilissani ja koen, että myös sillä on työyhteisöni kannalta etua, koska sieltä näkee kootusti osaamistaustani. Näkisin, että tälläisten työuraan keskittyvien sovellusten avulla onkin helpompi tunnistaa työyhteisöön kuuluvien ihmisten erilaiset taustat; erilaisista taustoista tulevat henkilöt voivat tuoda työyhteisöön merkittävästi tietoa omien kokemusten kautta ja silloin kun ihmisen taustat on selkeäsi esillä, voidaan ajatella että niiden hyödyntäminen tehostuu. Tällöin omien tietojen jakamisesta voisi olla selkeästi hyötyä työuýhteisön kannalta.

Millaista vahinkoa voi syntyä ellei henkilökohtaisten tietojen suojaamisesta huolehdita

Valtionvarainministeriön sivuilta löytyi hyvinkin selkeät Vahti-ohjeet , joissa yhtenä kohtana on käsitelty juuri henkilökohtaisten tietojen suojaamista. (https://www.vahtiohje.fi/web/guest/2.-sosiaaliseen-mediaan-liittyvat-tietoturvariskit). Sivustolla eritellään kolme hyvinkin olennaista uhkaa:

"Käyttäjätunnusvarkaudet - Organisaation käyttämät käyttäjätunnukset saattavat joutua vääriin käsiin, minkä jälkeen vihamielinen toimija voi tehdä organisaation tunnukselle mitä haluaa, esim. muuttamalla palvelun sisältöä, julkistaa materiaalia organisaation nimissä, levittää haittaohjelmia tai varastaa henkilötietoja."

Sanoisin, että sama koskee myös yksityishenkilöä. Yksityishenkilön käyttäjätunnusten joutuminen vääriin käsiin voi myös aiheutta merkittävää haittaa, yhtenä isoimpana juuri henkilötietojen varastaminen. Tästä päästäänkin seuraavaan olennaiseen uhkaan, joka on identiteettivarkaudet, joita käytetään juuri luomalla henkilön nimissä väärennetty profiili. Väärennetty profiili saattaa vaikuttaa hyvinkin aidolta jos väärentäjä on onnistunut keräämään riittävästi tietoa henkilöstä eri tietolähteistä ja tälläisen profiilin avulla voidaan tehdä huomattavankin paljon haittaa. 

Kolmantena uhkana Vahti-ohjeista löytyy tietojen kalastelu ja vakoilu. "Sosiaalisen median palvelut tarjoavat helpomman tavan lähestyä käyttäjää, koska useat sosiaalisen median palvelut pohjautuvat avoimeen ja helposti lähestyttävään käyttötapaan. Henkilöstöä on koulutettu ja ohjeistettu olemaan lukematta ja avaamatta roskapostiviestejä tai muita epäilyttäviä linkkejä, mutta sosiaalisen median palveluissa ollaan usein varomattomampia, etenkin jos kutsu uuteen toiminnallisuuteen, palveluun tai palveluun liittyvän lisäosan asentamiseen tulee tutulta henkilöltä." 

Laajaa tietojen kalastelua tai vakoilua tuskin tapahtuu tavallisen ykityishenkilön ollessa kyseessä, mutta esimerkiksi jonkin rikkaan julkisuushenkilön kohdalla voisi ajatella että jonkinlaista vakoilua voisi tapahtua. Tämä onkin eräänlainen henkilöturvallisuus uhka, jonka Vahti-ohjeetkin nimeävät. Tällöin on hyvinkin mahdollista, että seuraamalla henkilöä sosiaalisessa verkostossa voidaan saada tietoja henkilön liikkeistä ja olinpaikasta, tämä taas voi aiheuttaa jopa fyysistä uhkaa henkilölle tai vastaavasti henkilön omaisuutta voidaan varastaa, kun tiedetään hänen olevan poissa kotoa.

Internetin artikkeleja tietosuojakysymyksistä selatessani, huomaan myös että yksi suurista rikosmuodoista ovat rahapetokset, joista osa on siirtynyt myös sosiaaliseen mediaan. Erilaiset nettikaupat ja esimerkiksi netticasinot yrittävät kalastella maksuliikenteeseen liittyvissä toiminnoissa käyttäjältä tietoja. Siitä syystä onkin hyvä olla erityisen tarkkana siinä, että missä ja mitä tietoja itsestään jakaa.