Kansainvälistä tietosuojapäivää vietettiin 28.1. Ajankohtaisia aiheita käytiin viikolla ja lisäksi otimme haastatteluun yritysturvallisuuden parissa vuosia toimineen konsultti Hannu Huttusen HPH Consultingistä. GDPR Techiltä keskustelussa mukana oli konsultti Juha Sallinen, ja teemoina sopivasti tietosuoja sekä tiedonhallinta.
Järjestimme yhteistyössä Tutkimusvoiman kanssa viime vuoden lopulla kyselyn, jolla kartoitimme organisaatioissa toimivien ihmisten käsitystä GDPR:stä, EU:n tietosuoja-asetuksesta. Yllättävän moni piti asetuksen mukanaan tuomaa muutosta hyvänä: kyselyssä yli 70 % vastaajista koki luottamuksensa kasvaneen henkilötietojen käsittelyyn.
Juha: Tietosuojaan liittyy saumattomasti yritysturva. Olemme muun muassa projekteissamme huomanneet, että etenkin PK-yrityksistä puuttuu riskienhallinta – tai ainakaan riskejä ei ole tunnistettu. Usein projektien jälkeen huomataan, että GDPR-projekti on samalla parantanut yritysturvallisuutta, esim. toimitilojen suojauksien osalta. Tuntuu oudolta, että vielä 2020-luvulla tällaiset asiat eivät ole kunnossa.
Mitä mieltä Hannu olet, mistä tämä johtuu: otetaanko yrityksissä tarpeettomia riskejä?
Hannu: Kun mietitään nykyistä maailmankuvaa ja miten kansainvälinen yrityksiin kohdistuva rikollisuus on rantautunut myös Suomeen, ihan kotimaisinkin voimin, on outoa miten yritykset eivät suhtaudu asiaan vakavasti. Erityisesti siksi, että viranomaiset ovat viime vuosina varoittaneet aktiivisesti lisääntyvästä yritysrikollisuudesta, joten asia ei ole voinut mennä silmien ja korvien ohi.
Kyllä, tarpeettomia riskejä otetaan luvattoman paljon.
Kun olen kysellyt yrityksiltä, miksi riittävään riskienhallintaa ei nähdä tarpeen panostaa, edelleenkin useimmiten vastauksena on, ettei ennenkään ole sattunut mitään tai että yrityksen toiminta on niin pientä/huomaamatonta, ettei se kiinnosta ketään. Ristiriitaista tuosta tekee sen, että miten yritys edes kykenee huomaamaan niihin kohdistuneet rikokset, jos niiden havainnointiin ei ole mitään suunnitelmallisia keinoja ja varautumista.
Juha: Tietosuojalainsäädäntö on aika uutta ja ymmärrän siksi, että riskejä henkilötiedon suojalle ei osata oikein tunnistaa. Kyselyssä tuli esille kuitenkin sekin, että ihmiset ovat aika laajasti huolissaan omien henkilötietojensa käsittelystä, sillä yli 40 % oli huolissaan tietojen päätymisestä rikollisille. Vaikka Suomessa joka vuosi päätyy jopa potilastietoja roskiin ja kaatopaikalle, ajatellaan ”ei tämä varmaan juuri minulle satu”. Eräässä koulutuksessa tuli esiin yrittäjä, joka halusi pystyttää verkkokaupan mahdollisimman helposti ja halvalla kysyen ”mitkä ovat GDPR:n minimit”, joilla pääsee liikkeelle. Kun puhuin verkkorikollisuudesta sekä erilaisista automaateista, joissa kuka tahansa voi jäädä ”alle”, niin selkeästi puhuttiin eri kieltä. Nopeasti ja halvalla, laadusta ja riskeistä viis.
Osasyy näihin riskeihin, mitä me näemme mutta moni ei, on ehkä se, että puhumme eri kieltä eikä ehkä osata tuoda liiketoiminnalle hyötyjä uhkien sijaan. Mitä olet tästä mieltä?
Hannu: Tämä on mielenkiintoinen kysymys, enkä tiedä onko siihen selkeää vastausta? Varmasti yksi syy on eri kielen puhuminen, mutta varmasti myös ymmärtämättömyys siitä, miten luvattomasti hankittua tietoa voidaan hyödyntää tiedon luvallisen haltijan/omistajan haitaksi. Tieto on valtaa ja myös arvokkainta kauppatavaraa, vaikka se kuulostaakin kliseeltä.
Rikolliset ovat entistä kekseliäämpiä tiedon hyödyntäjiä. Tietoyhteiskunnassa tietoa voidaan käyttää materiaalisen omaisuuden hankintaan, jolloin esim. henkilötiedot ovat tavallaan valuutta, jolla tuota omaisuutta hankitaan. Näin yhdistetään vanhan ajan rikollisuus, jolloin omaisuutta hankittiin tekemällä murtoja, nykyaikaan hankkimalla omaisuutta hyödyntämällä tietoa, esim. henkilötietoja verkkorikollisuudessa, jolloin ei tarvitse lähteä kylmään yöhön murtokeikalle.
Juha: Kiitos Hannu keskustelutuokiosta. Yritysturvallisuuteen liittyvissä asioissa kannattaa hoitaa asiantuntijan kanssa: otapa yhteyttä Hannu Huttuseen.
Tietosuoja-asioissa niin me kuin verkostomme voimme auttaa!