Kansainvälistä tietosuojapäivää vietetään 28.1.2020. Tietoturvan ammattilaisen näkökulmasta yksilön tietosuojan nostaminen niin sanotusta taustavaikuttajasta tietojenkäsittelyn eturiviin on ollut erittäin positiivista. Kiitos GDPR!

Organisaatiot joutuvat nyt pohtimaan käsittelemiensä henkilötietojen suojaamista eri tavoin kuin ennen. Henkilötietojen käsittelyyn liittyvät riskit on tunnistettava, käsittelyn on oltava lainmukaista ja käsittelyssä on huomioitava rekisteröidyn oikeus omiin henkilötietoihinsa. Organisaatioiden on varauduttava osoittamaan toimivansa tietosuoja-asetuksen edellyttämällä tavalla. Myös ennen hieman toisarvoiseksi koettu dokumentaation tärkeys on noussut uuteen arvoonsa.

Samalla kun organisaatioiden toimintavaatimuksia on täsmennetty, on mediassa ollut kohtalaisen hyvin esillä myös henkilötietojen omistajien, eli meidän yksilöiden oikeus omiin henkilötietoihimme. Käytän sanaa ”kohtalaisen”, sillä enemmänkin näistä oikeuksista ja erityisesti niihin liittyvistä velvollisuuksista tietojensa suojaamiseen voisi kirjoittaa. Jokaisen meistä kannattaa miettiä huolellisesti, mitä tietoja itsestään luovuttaa millekin taholle.

Tietoverkkorikollisten yhtenä yleisenä trendinä näyttäisi olevan tietojen kalastelujen automatisointi, mutta samalla myös niiden yksilöity kohdentaminen. Lisäksi erilaiset verkkohuijaukset kuten tilausansat näyttävät olevan kasvussa.

Me kaikki yksilöinä voimme vaikuttaa tietosuojan toteutumiseen

Yksilötasolla kannattaa pistää mieleen Tietosuojan Juhta/Vahti-työryhmässä lanseerattu lyhenne MMKT: Mieti Mitä Klikkaat Turvallisesti.
Käytä aina hetki aikaa miettiäksesi, onko saamasi linkki turvallinen.

Muita keinoja suojataksesi itseäsi on käyttää julkisissa tiloissa näytönsuojakalvoa estämään olan yli kurkkimiset. Omaa yksityisyyttä voit lisäksi suojata esimerkiksi webkameran suojalla.

Julkisessa liikenteessä pelkkä puhelimeen vastaaminen voi johtaa kiusallisiin tilanteisiin. Suosittelen käyttämään matkapuhelimen valmiita SMS-vastausvaihtoehtoja esimerkiksi ”Soitan myöhemmin takaisin”. Jos puhelu pitää ottaa, on hyvä mainita heti soiton alkuun olevansa tilassa, jossa ei voi puhua luottamuksellisesti.

Somekanavista haluaisin vielä lopuksi nostaa yritysten käytössä olevan LinkedIn:in. Se on erinomainen keino jakaa alakohtaista tietoa ja päästä vaikuttamaan yhteisöllisesti.

Se on myös erinomainen työkalu verkkorikollisille omien hyökkäystensä suunnittelemiseksi. LinkedIn:ssä julkaistujen tietojen avulla rikollinen voi piirtää hyvin tarkan kuvan kohteesta ja ottaa sen osaksi hyökkäyksensä käsikirjoitusta. LinkedInissä kannattaakin olla tarkka, kenen kanssa verkostoituu ja mitä tietoa itsestään ja organisaatiostaan haluaa jakaa. Pienimmillään sähköpostiosoite tarjoaa rikolliselle apua muun muassa automatisoidun massaviestin välittämiseen ja salasanan urkintaan. Puhelinnumero toimii taas apuvälineenä esimerkiksi tilausansojen käyttämiselle.

Tästä blogista kannattaa pitää mielessä: 

1. Noudata yrityksen prosesseja (esim. riskienhallinta), niissä on usein jokin pihvi takana.
2. MMKT – Mieti mitä klikkaat turvallisesti
3. Mieti, mitä tietoa jaat itsestäsi. Terveellä epäluuloisuudella pärjää pitkälle.
4. Vahvinkin suojaus on murrettavissa ja ammattilainenkin on huijattavissa. Jos suojaus pettää, on vahinkojen minimoiminen päästävä aloittamaan mahdollisimman pian. Ilmoita siis rohkeasti, jos huomaat huijarin olleen riittävän taitava kanssasi.

 

Atte Karhu

Kirjoittaja toimii 2M-IT:n tietoturvapäällikkönä