Tietojen kerääminen asiakkaista tai palveluiden käyttäjistä on helpottunut viimeisten vuosien aikana huomattavasti, samaan aikaan kun datan tallentaminen ja prosessointi on muuttunut jatkuvasti edullisemmaksi. Jo suhteellisen yksinkertaisen sähköisen palvelun avulla on mahdollista kerätä huomattavia määriä tietoa sen käyttäjästä, esimerkiksi kännykän paikannustietojen tai internet-selaimen evästeiden avulla. Hyvä esimerkki kerätyn tiedon määrästä on Facebookin käyttäjistään keräämän tiedon määrä: Wired-lehden toimittaja Olivia Solon pyysi EU:n henkilötietodirektiivin nojalla Facebookia lähettämään itselleen kaiken Facebookin hänestä keräämän tiedon. Facebook toimitti tiedot Solonille: kaikkiaan huimat 1200 A4-sivullista tietoa. Jokainen tykkäys, kirjautumiseen käytetyt IP-osoitteet ja jopa Solonin jo poistamat statuspäivitykset olivat edelleen tallennettuina Facebookin tietojärjestelmiin.

Näiden 1200 sivun taustalla on tietysti 2000-luvulla herännyt Big Data –buumi, jolloin erityisesti IT-alan yritykset ryhtyivät keräämään ja tallentamaan kaiken mahdollisen tiedon käyttäjistään. Tietoa kerättiin heti käytettäväksi esimerkiksi mainonnan kohdistamiseksi tai edelleen myytäväksi, mutta myös varalta, tulevaisuudessa keksittäviä käyttötarkoituksia varten sekä prosessoitavaksi käytettävämmäksi ja arvokkaammaksi dataksi. Tiedon keräämisen ja tallentamisen edelleen helpottuessa ja halventuessa Big Datan luontevaksi seuraajaksi on tullut Internet of Things –innostus, jossa yhä suurempia määriä kerättyä dataa pyritään prosessoimaan ja käyttämään liiketoiminnassa.

Helppoudella on kuitenkin varjopuolensa. Tietoa kerätessään yritykset tuntuvat helposti unohtavan, että kerätty data voi sisältää henkilötietoja, joiden keräämistä ja säilyttämistä koskee oma erityissääntelynsä. Henkilötiedolla tarkoitetaan tietoa, jotka on kohdennettavissa tiettyyn henkilöön tai hänen lähipiiriinsä. Facebookin keräämien tietojen tapauksessa voinee tehdä melko suoraviivaisen oletuksen, että hyvin suuri osa sen keräämästä tiedosta on henkilötietoja. Joidenkin yritysten osalta tilanne voi tietysti olla käänteinenkin: henkilötietoja voi olla hyvin pieni osa, tai ei lainkaan kaikesta yrityksen keräämästä tiedosta. Oli henkilötietoja sitten paljon tai vähän, on yrityksen varmistuttava myös niiden asianmukaisesta suojaamisesta. Sanomattakin on selvää, että yhtiöllä on henkilötietojen lisäksi myös muuta dataa ja yrityssalaisuuksia, jotka halutaan pitää salassa ilman lakiin kirjattua velvoitettakin.

Tietosuoja ja tietomurto
Yrityksen sisältä tapahtuvien tietojärjestelmien väärinkäytösten ehkäiseminen on sinänsä suoraviivaista, mutta ulkopuolisilta uhkilta suojautuminen on ongelmallisempaa. Yksikään internetiin kytketty laite ei ole sataprosenttisen turvassa verkkohyökkäyksiltä, oli laitteella liiketoiminnan kannalta merkitystä tai ei. Jokainen laite ja niillä ajettava ohjelma ja niiden tietoturva on pidettävä ajan tasalla, sillä tietoturvassa vertaus ketjusta ja heikoimmasta lenkistä on enemmän kuin osuva.

Tietomurroista puhuttaessa on ymmärrettävä niiden tekijän agenda: selkein tarkoitus tietomurrolle on tietysti rahallinen hyötyminen, esimerkiksi asiakkaiden luottokorttitietoja varastamalla. Tietojärjestelmään tunkeutuvalla krakkerilla voi kuitenkin olla myös ”turhilta” tuntuvia tavoitteita: omien taitojen testaaminen tai esitteleminen, taikka vain hetken mielijohde. Esimerkiksi porttiskannaustyökaluja on helposti saatavilla internetissä, ja niiden käytön helppous on verrattavissa asuinalueen jokaisen oven kokeilemiseen siltä varalta, että jokin ovi on jäänyt lukitsematta. Näitä digitaalisia ovia vain tarkistetaan satoja tai jopa tuhansia sekunnissa.

Ammattimaisessa krakkeroinnissa on voimakkaasti yleistynyt myös ns. ransomware ja cryptoviral extortion, joissa krakkerin kohteeksi joutuneen yrityksen tietojärjestelmä tai niiden osa salataan. Salauksen avaamisesta vaaditaan tämän jälkeen maksu, esimerkiksi BitCoinia käyttämällä, jolla tehtäviä maksuja on käytännössä mahdoton jäljittää. Ransomware-tapauksissa kiristyssummat ovat yleensä pieniä, eikä suurin osa sen uhriksi joutuneista yrityksistä tee edes rikosilmoitusta, johtuen tekijän löytämisen vaikeudesta, sekä imagotappion pelosta.

Tietomurron seuraamukset yritykselle
Mikä on yrityksen vastuu tietomurron sattuessa? Ensimmäiseksi mieleen nousee tietysti rikosoikeudellinen vastuu. Mikäli yrityksen toiminta henkilötietojen käsittelyssä ja suojaamisessa on ollut riittävän huolimatonta, voidaan yritys tuomita yhteisösakkoon henkilörekisteririkoksesta. Erityisesti pienessä yrityksessä, jossa tietoturvan laiminlyönti voidaan kohdistaa tiettyyn henkilöön, voidaan tämä henkilö tuomita henkilörekisteririkoksesta enintään vuoden vankeusrangaistukseen. Toiseksi mahdolliset yritysten väliset sopimussakot voivat laueta. Kolmanneksi tulee kyseeseen mahdollinen vahingonkorvausvastuu. Jos henkilötietojen käsittely on ollut riittävän huolimatonta, voi yritys ja/tai jopa sen vastuuhenkilö joutua vahingonkorvausvastuuseen vahingosta, jota tietotomurrosta on aiheutunut henkilötietojen kohteelle tai sopimuskumppanille. Suomen oikeuskäytännössä tällaista vahingonkorvausta ei ainakaan allekirjoittaneen tiedon mukaan ole Suomessa tuomittu. Yhdysvalloissa tällaisia kanteita on päädytty sopimaan jopa kymmenillä miljoonilla dollareilla.

Vaikka edellämainitut seuraamukset voivat olla tuntuvia, jäävät ne tietomurron aiheuttamien muiden, ei-juridisten, vahinkojen varjoon. Tutkimusyhtiö Ponemonin tänä vuonna tekemän tutkimuksen mukaan 52 % yrityksistä katsoi tietomurron pahimmaksi uhkaksi imagotappion. Mitä suurempi ja merkittävämpi yritys on kyseessä, sen matalampi on uutiskynnys tietomurrosta. Tietomurron aiheuttama negatiivinen julkisuus, goodwill –arvon lasku, menetetty liikevaihto yms. seikat voivat tulla huomattavasti kalliimmaksi kuin mikään tuomioistuimen määräämä seuraamus. Toisen saman yhtiön tekemän tutkimuksen mukaan tapahtunut tietomurto aiheutti sen kohteeksi joutuneille yrityksille keskimäärin 640 000 dollarin kustannukset ensimmäisen kuukauden aikana tietomurron havaitsemisesta.

Ääriesimerkkejäkin lyötyy: Yhdysvaltalainen Target-tavarataloketju joutui tietomurron kohteeksi vuonna 2013. Vuoden 2014 tilinpäätöksessään Target ilmoitti tietomurron suorien ja epäsuorien vahinkojen yhteiskustannukseksi n. 262 miljoonaa dollaria, josta vakuutusyhtiö korvasi vain 90 miljoonaa.

Loppukaneetti
Pidä huolta yrityksesi tietosuojasta. Tietosuojan ylläpitäminen on nykypäivänä liiketoiminnassa jopa yhtä tärkeää kuin asiakassuhteiden ylläpito.

Annamme mielellämme lisätietoja: Markus Myhrberg, Tomi Simula