Tietoturvan laiminlyönnistä tulee Suomessa pieniä huomautuksia

Forenom sai keväällä huomautuksen tietosuojavaltuutetulta huonosti hoidetusta asiakasportaalista, jonka kautta oli vuotanut hakkereille yli 60 000 suomalaisen henkilötiedot. Vastaamon toimitusjohtaja sai hiljattain kolmen kuukauden ehdollisen tuomion tietoturvan laiminlyönnistä. Kumpikin on esimerkki siitä, miten vähäiset ovat rangaistukset Suomessa, jos jättää tietoturvan hoitamatta lähes kokonaan.

Forenomin tapaus ei saanut vastaavaa mediahuomiota kuin Vastaamon tapaus, mutta henkilötietojen näkökulmasta kyse oli myös varsin laajasta vuodosta, joka oli myös varsin selvästi seurausta huonolle ylläpidolle jätetystä asiakasportaalista.

”Asiakkaiden osalta murrossa vaarantuivat nimi, osoite, postinumero, kaupunki, maa, sähköpostiosoite, puhelinnumero, kieli ja tilinumero. 24 315 rekisteröidyn osalta vuoti myös henkilötunnus.

Tietosuojavaltuutetun toimiston selvityksen mukaan yritys oli suojannut tiedot puutteellisesti ja myös säilyttänyt asiakkaiden henkilötietoja liian pitkään. Tietomurrosta tehtiin tietosuojavaltuutetun toimistoon 14 kantelua. Rekisteröidyt kertoivat olleensa Forenomin asiakkaita jopa yli kymmenen vuotta sitten.”

Yksityiskohtaisia tietoja ei luonnollisesti ole saatavilla, mutta eri foorumeilla arvioitiin hyökkäyksen tapahtuneen varsin tavallisilla keinoilla, koska järjestelmää ei oltu pidetty asiallisesti ajantasalla. Ilta-Sanomien artikkelikin arvioi haavoittuvuuksien olleen kohtuullisen helposti korjattavia.

”Hyökkääjä käytti hyväkseen ohjelmistohaavoittuvuutta päästäkseen Forenomin asiakkaille tarkoitettuun itsepalveluportaaliin ja siihen liittyvään toiminnanohjausjärjestelmään. Murto onnistui niin sanotulla sql-injektiolla, jollaiset ovat yksi kriittisimmistä verkkopalveluiden tietoturvariskeistä. Niitä on myös pidetty helposti korjattavina.”

Varsin selvästä näytöstä ja haitasta huolimatta, on tietosuojavaltuutetun antama rangaistus huomautus. Forenomin IT-asiantuntijat ja johto varmaankin aivan vapisevat tämän valtavan rangaistuksen äärellä.

Esimerkiksi Petri Aukia kommentoikin Linkedinissä tätä päätöstä tuoreeltaan kuvaavasti:

Toinen kiinnostava tapaus on Vastaamon murto ja siitä seurannut tuomio toimitusjohtajalle. Julkisuudessa esitettyjen tietojen valossa olisi voinut odottaa aika merkittävääkin tuomiota laiminlyönneistä, koska kyse oli hyvin arkaluonteisista potilastiedoista. Tietojen vuotaminen oli myös aiheuttanut hyvin konkreettista haittaa laajalle joukolle ihmisiä, joten kyse ei ollut teoreettisesta haitasta. Tietoturvaongelmien korjaamisen viivyttely ja asian piilottelu oli myös jatkunut varsin pitkään ensimmäisen murron jälkeen, joten jo pelkästään tästä olisi voinut kuvitella seuraavan selkeä rangaistus.

Kyse oli vieläpä yhtiön toimitusjohtajasta, joka johti tietojärjestelmien kehitystä ja ylläpitoa hyvin konkreettisesti ja suoraan. Täten vastuun kohdistumisesta ei ollut tässä tapauksessa kovin paljon erimielisyyttä, kuten monissa muissa tapauksissa on ollut haasteena. Ja tästä kaikesta huolimatta, tuomio oli kolme kuukautta ehdollista. Tuomio myös kohdistettiin hyvin kapeasti pseudonymisoinnin ja salauksen puuttumiseen, eli tuomio ei tullut mitenkään laajemmin asiallisen johtamisen laiminlyönnistä tai asian piilottelusta.

Herkko Hietasen artikkeli Vastaamon tapauksesta kannattaakin lukea, jos asia kiinnostaa. Hietanenkin nostaa esiin juuri johdon vastuullisuuden, ja yksittäisen tuomion vaikutuksen muihin organisaatioihin. Tuleeko tästä esimerkkitapaus, joka saa johdon panostamaan asiakastietojen suojaamiseen ja sovellusten tietoturvaan? Tuskin. Jos edes näin selkeissä tapauksissa eivät tekijät joudu merkittäviin vastuisiin, ei pelotevaikutus jonkun ison firman tietohallintojohtajan suuntaan ole kummoinen.

Hietasen artikkeli avaa hyvin sitä problematiikkaa, johon tuomioistuimet ovat Vastaamonkin tapauksessa törmänneet. Vaikka kyse on systemaattisesta laiminlyönnistä, on oikeudessa pystyttävä todentamaan jokin hyvin yksiselitteinen laiminlyönti. Tämä voi tietysti olla yksilöiden kannalta tärkeäkin seikka, joka varmistaa, ettei vastuuseen joudu hyvin epämääräisistä asioista, mutta käytännössä tämä johtaa aika ikäviin lopputuloksiin. Tietoturva kun on väistämättä asia, joka kehittyy koko ajan, eivätkä ratkaisut ole yksittäisiä temppuja, vaan yleensä kyse on enemmänkin kulttuurista ja jatkuvasta huolenpidosta. Täten laiminlyöntiä arvioidessa tulisi voida arvioida nimenomaan tätä kulttuuria ja jatkuvaa pyrkimystä riittävään tietoturvan tasoon.

Tietoturva on myös asia, jolla on usein aika isojakin hintalappuja. Uusia ratkaisuja rakennettaessa joudutaan varsin usein miettimään vaadittavaa tietoturvan tasoa. Käytännössä usein joudutaan arvioimaan valittavan teknisen toimittajan tietoturvaan liittyvää kokemusta ja myös valittujen teknisten komponenttien ja tuotteiden tietoturvaa ja kehityksen aktiivisuutta. Mitä isommassa roolissa tietoturva nähdään, sitä enemmän eri komponentteja arvioidaan, sitä enemmän kumppanin valinnassa painaa oikeanlainen kokemus. Lyhyesti, mitä enemmän painotetaan tietoturvaa, sitä enemmän yleensä vaaditaan jonkinlaista laatua, systemaattisuutta ja todistettuja näyttöjä.

Tietoturva siis maksaa rahaa hyvin konkreettisesti, koska yleensä hyvä tietoturva liittyy hyvään valmisteluun, kestäviin teknologiavalintoihin ja kokeneiden kumppaneiden valintaan. Yleensä myös mitä enemmän asioita tehdään räätälinä koodaamalla, sitä enemmän tietoturvaan tulisi panostaa. Valmistuotteiden kohdallahan paljon tietoturvasta joudutaankin ulkoistamaan tuotteen kehittäneelle kumppanille, mutta omien ratkaisujen kohdalla vastuu on hyvin laajasti ostavalla organisaatiolla – tai ainakin pitäisi olla.

Toinen merkittävä asia on riittävä huolenpito ratkaisuiden elinkaaren aikana. Parhaitakin ratkaisuja on päivitettävä, remontoitava ja testattava. Kaikki tämäkin maksaa rahaa, erityisesti jos on rakennettu räätälöityjä kokonaisuuksia, jonka komponentit eivät saa automaattisia päivityksiä. Tällöin on investoitava testaamiseen ja jatkuvaan pienremontointiin. Kaikki tämä maksaa.

Rahan vastineeksi ei kuitenkaan yleensä saa uusia asiakkaita, eivätkä uudet markkina-alueet aukea. Tietoturva on luonteeltaan puolustuksellinen investointi. Tietoturvaan investoidaan, jotta nykyiset asiakkaat pysyisivät tyytyväisinä, eikä yhtiö ajaudu kiristyksen kohteeksi tai vahingonkorvausvaatimuksien äärelle. Usein kyse on myös pitkän tähtäimen investoinnista, kuten Vastaamon esimerkki käänteisesti osoittaa. Jos yhtiö aiotaan myydä lähitulevaisuudessa, ei tietoturvaan investoiminen ole mielekästä, koska potentiaaliset ongelmat ovat myynnin jälkeen jonkun muun ongelmia.

Ja juuri tästä kaikesta johtuen, tietoturvan laiminlyönti tulisi olla selkeästi sanktioitua, jollain tavalla rangaistavaa. Kaikki yritysjohtajat eivät ajattele pitkäjänteisesti, koska eivät halua tai heidän ei tarvitse. Täten tietoturvan varmistamiseksi, ja asiakastietojen suojaamiseksi, ja inhimillisen kärsimyksen minimoimiseksi, tulisi olla selvät sanktiot, jos tietoturvan jättää hoitamatta. Jos näin ei ole, tulemme saamaan Vastaamon kaltaisia uutisaiheita jatkossakin.

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 900 tilaajaa).