Ovatko yrityksesi tietoriskit hallinnassa?

Ovatko yrityksesi tietoriskit hallinnassa? Käytännön tietoturvallisuusopas PK-yrityksille Uudistettu laitos Teollisuus ja Työnantajat 3

010 1101001010011 010010111010001

4

Sisällysluettelo SAATTEEKSI 6 1. Johdanto 7 2. Tietoturvallisuuden merkitys yritystoiminnalle 8 3. Mitä tietoturvallisuus on 13 4. Mitä laki sanoo tietoturvallisuudesta 14 5. Yrityksen yleinen tietoturvallisuus 16 5.1. Tietoturvallisuus ja laatu 16 5.2. Yrityksen tietoturvallisuusperiaatteet ja -politiikka 17 5.3. Tietoturvallisuusohjelma 18 5.4. Tietoturvallisuusvastuut yrityksessä 19 LÄHTEET 33 YHTEYSTIETOJA 33 LIITTEET 34 1 Yrityksen tietoriskien hallinta: työvälinekortti 2 Arvio tietoturvallisuuden tasosta: arviolomake 3 Tietoturvallisuuden perusteet ja organisointi : kalvopohjat 4 Vaitiolo- ja salassapitosopimukset: mallisopimuksia eri tilanteita varten 5 Tietoturvallisuuden torjuntakeinot: luettelo ja määritelmät 5.5. Tietoaineiston luokittelu 20 5.6. Tietoturvallisuus ja henkilöstö 21 5.7. Kulunvalvonta ja vierailut 23 5.8. Työ- ja liikematkat 23 6. Tietotekninen turvallisuus 25 6.1. Internet ja sähköposti 29 6.2 Tiedon käyttö- ja hallintalaitteiden turvallisuus 31 7. Tietoturvallisuusmenettelyn soveltaminen yritystoimintaan 32 5

Saatteeksi Huoli tietoturvallisuudesta on osaamisen ohella suurin pulma uuden tietotekniikan käyttöönotossa. Tietoturvallisuudesta huolehtiminen vaatii myös osaamista. Kaikkea olennaista tietoa ei tarvitse itse osata tai hallita. Koeteltua osaamista näissä kysymyksissä on runsaasti siirrettävissä yritysten käyttöön. Tärkeää onkin tietää mitä ja miten pitää tietoja turvata juuri minun yrityksessäni ja mistä tämän turvan saa. Jokaisen yrityksen on kuitenkin itse toteutettava tietoturvallisuusmenettelynsä. Tekninen tietoturvallisuus on tietysti vain osa, mutta hyvin nopeasti kasvava osa yrityksen koko tietoturvallisuutta. Tietoturvallisuus on taas puolestaan osa koko yrityksen riskien hallintaa. Kaikkia näitä kysymyksiä on käsitelty tässä lähinnä PK-yrityksille tarkeässä uusitussa oppaassa. Teollisuuden ja Työnantajain Keskusliiton PKT-valtuuskunta on pitänyt tärkeänä tietoturvallisuusasian edistämistä ja sen viemistä jäsenyrityksiin mahdollisimman käytännönläheisellä oppaalla. Opas on oheismateriaalina myös valtakunnallisissa TT:n, KTM:n ja TE-keskusten järjestämissä "Täysteho tietotekniikasta seminaareissa". Tänä päivänä harva yritys on enää vastuussa vain omasta tietoturvallisuudestaan. Erittäin nopeasti kehittyvät informaatiojärjestelmät yritysten ja niiden sidosryhmien välisessä verkottuneessa toimintaympäristössä lisäävät tietoturvallisuuden vaatimuksia ja vastuuta. Pysyäkseen mukana tässä kehityksessä yrityksen pelkkä tekninen valmius mikä tänään on jo itsestään selvä vaatimus yhteistyösuhteissa ei enää riitä. Tässä oppaassa selostetaan, mitä laki sanoo tietoturvallisuudesta ja mitä vahinkoa kärsineeltä yritykseltä on oikeuskäsittelyssä edellytetty ja mitä oikeudenkäynneistä on opittu. Yrityksen on esim. annettava henkilöstölleen riittävät ohjeet. Yrityssalaisuuden on oltava riittävän selvästi määritelty ja sillä on oltava taloudellista merkitystä. Oppaassa annetaan ohjeita yrityksen tietoturvallisuusohjelman laatimiseksi, käsitellään yrityksen tietoturvallisuusvastuita ja selvitellään tietoaineiston luokittelua. Lisäksi selostetaan millaisia sopimuksia yrityksen kannattaa tehdä tietoturvallisuuden takaamiseksi, käsitellään kulunvalvontaa ja vierailujen turvallisuusjärjestelyjä, työ- ja liikematkoja sekä atk- ja tietoteknistä turvallisuutta keskeisimpien sovellutusten kuten Internetin, sähköpostin, kotisivujen ja verkkokaupan yhteydessä. Oppaassa esitellään PK-yritysten riskien ja erityisesti tietoriskien hallintaan sopivia työkaluja. Oppaassa on myös tarkistuslista, jonka avulla yritys voi arvioida tietoturvallisuutensa nykyistä tasoa. Vaikka opas on laadittu lähinnä PK-yritysten tarpeisiin, siitä on apua kaikille yrityksille. Oppaan liitteinä on runsaasti erilaisia vaitiolo- ja salassapitosopimusmalleja, joita yritys voi käyttää palkatessaan uusia työntekijöitä avaintehtäviinsä. Helsingissä 15.2. 2001 Johannes Koroma Toimiva tiedonvälitys ja tietojärjestelmien käytön edistäminen edellyttävät, että tietojärjestelmät ovat tehokkaista ja laadullisesti tasokkaista sekä erityisesti sitä, että tiedon turvaaminen on hoidettu ja siihen luotetaan. Tietoturvallisuus on korostuva osa yritysten laatua ja luotettavuutta. 6

1. Johdanto Elämme tieto- ja systeemiyhteiskunnassa, jossa tieto, työ ja palvelut verkottuvat. Se antaa toisaalta lisääntyviä mahdollisuuksia pienille ja keskisuurille yrityksille, mutta edellyttää myös tähän kehitykseen liittyvien riskien huomioon ottamista ja hallintaa. Kaikkien yritysten keskeiset toiminnot ovat riippuvaisia tiedoista ja tietojärjestelmistä. Riippuvuus lisääntyy tietojärjestelmien kehityksen sekä tietoteknologian uusien sovellusmahdollisuuksien myötä. Teollisuuden ja Työnantajain Keskusliiton PKT-valtuuskunta on pitänyt tärkeänä tietoturvallisuusasian edistämistä ja sen viemistä jäsenyrityksiin mahdollisimman käytännönläheisellä oppaalla. edessä. Ne ovat korostuneet valtavasti lisääntyneen Internetin käytön ja sen uusien sovellusten myötä. Virukset, kotisivujen ja sähköpostin sabotointi ja eräät sähköisen kaupankäynnin tietoturvallisuusongelmat ovat asettaneet uusia haasteita. Tietoturvallisuustoimintaa ohjaavaa lainsäädäntöä on tullut olennaisesti lisää ja sitä on myös muutettu kahden viime vuoden aikana. Tämän vuoksi on tullut tarpeelliseksi päivittää alkuperäistä opasta ja käsitellä tietoturvallisuutta eräiltä osin yksityiskohtaisemmin uuden tiedon pohjalta. Kirjoittajana on toiminut edelleen TT:n yritysturvallisuustoimiston päällikkö Kalevi Tiihonen. Tuloksena syntyi maaliskuussa 1998 opas, joka käsitteli laajasta tietoturvallisuuden kentästä vain niitä keskeisiä asioita, joilla on huomattavampaa merkitystä käytännön yritystoiminnan kannalta PK- yrityksille. Tämän jälkeen tietojärjestelmien käyttö, uudet sovellukset ja erityisesti tietotekniikan kehitys ovat edenneet suurin harppauksin. Samanlainen kehitys on ollut havaittavissa myös tietoturvallisuudessa. Uusia, entistä tehokkaampia tuotteita on tullut markkinoille, mutta samalla tietoturvallisuuden rakentaminen ja ylläpito on tullut yhä vaativammaksi ja vaikeammaksi uusien uhkien 7

2. Tietoturvallisuuden merkitys yritystoiminnalle Työntekijä irtisanoutui ja meni kilpailijan palvelukseen. Tätä ennen hän oli kopioinut yrityksen kustannuslaskelmatietoja, toimintasuunnitelmia sekä kone- ja laitteistopiirustuksia tietovälineelle, jonka antoi kilpailevan yrityksen käyttöön. Taloudelliset vahingot edelliselle työnantajalle olivat merkittävät. Henkilö tuomittiin yrityssalaisuuden rikkomisesta ja kilpailevan yrityksen toimitusjohtaja yrityssalaisuuden väärinkäytöstä. Yrityssalaisuuden rikkomisesta tuomittiin niin ikään henkilö, joka irtisanoutui ja perusti itse saman alan yrityksen. Hän yritti varmistaa uudet asiakassuhteet kopioimalla entisen työnantajansa asiakasrekisterin. Tekijälle tuomittiin lisäksi tuntuva vahingonkorvausvelvollisuus ja velvoite palauttaa kopioitu materiaali. Alihankintaketjussa oli useita toimittajia, jotka valmistivat komponentteja elektroniseen laitteeseen. Laitteen oli kehittänyt henkilö A, jolla oli sellainen määräämisvalta alihankinnassa tapahtuvaan tuotantoon, että ilman hänen lupaansa ei piirustuksia eikä tuotanto-ohjelmaa saanut luovuttaa kenellekään. Lopullisen tuotteen tilaaja halusi ottaa koko tuotannon haltuunsa ja vaati alihankkijoilta piirustukset ja tuotanto-ohjelman itselleen. Lopputuotteen tilaaja saikin eräältä alihankkijalta piirustukset ja tuotanto-ohjelman. Alihankkija tuomittiin yrityssalaisuuden rikkomisesta ja lopputuotteen tilaajaa yritysvakoilusta. Erään tuotantolaitoksen keskusvalvomon mikrotietokone (PC), jossa oli valvomo-ohjelmisto, lakkasi toimimasta kesken kiireisen tuotannon Syyksi osoittautui tietokonevirus, joka tarttui kaikkiin ohjelmiin johtaen toimintahäiriöihin ja virhetoimintoihin. Sama virus löytyi kaikista niitä levykkeistä, joita oli käytetty tutkittaessa ao. PC:n toimimattomuutta. Viruksen siivoaminen ja toiminnan palauttaminen maksoivat sekä tuotannon keskeytymisenä että muina toimenpiteinä yritykselle satojatuhansia markkoja. Yhden tietokoneen puhdistus maksoi tietokoneen verran. Jos virus olisi päässyt leviämään mikroverkkoon liitettyihin muihin mikroihin (100 kpl) tai muihin tuotannonohjausjärjestelmiin, olisivat vahingot olleet katastrofitilanteeseen rinnastettavia. Elektroniikkayrityksen projektijohtaja vei mennessään tuotantotietoja ja häntä seurasi joukko työntekijöitä, joilla oli tärkeitä projektitietoja. Suuryrityksen ulkomaanyksikössä työskentelevä henkilö tallensi esimiehensä työasemalta tiedostoja, joita hyödynsi 8

omiin tarkoituksiinsa ja luovutti niitä kolmannelle osapuolelle. Ulkomaanyksikössä toimiva ulkomaalainen asiantuntija jäi verekseltään kiinni imuroidessaan tietokoneen kovalevyltä yrityssalaisia tietoja. Samasta hakkerikeskuksesta sabotoitiin erään merkittävän kansainvälisen pörssiyrityksen ja useiden viranomaisten kotisivuja siten, että niillä olevia tietoja hävitettiin ja muunneltiin ja niihin lisättiin asiattomia kuvia, tekstejä ja muita yksityiskohtia. Näin aiheutettiin ao. yritykselle ja viranomaisille merkittäviä toiminnallisia ja taloudellisia vahinkoja sekä uskottavuusongelmia. Erään pohjoismaisen energiayhtiön sähköpostijärjestelmä saatiin lähes vuorokauden ajaksi toimintakyvyttömäksi, kun sen järjestelmään lähetettiin eri paikoista yhtäaikaisesti valtava määrä asiattomia sähköpostiviestejä - nämäkin harkitusti vahingoittamistarkoituksessa. Ongelman hoitaminen maksoi tuolloin miljoonia markkoja. Edellä kuvatut esimerkit ovat kaikki yrityksen tietoturvallisuuteen liittyneitä käytännön tapauksia, joiden vaikutukset ao. yrityksille ovat olleet merkittäviä sekä taloudellisesti että toiminnallisesti. Jonkinlaista kuvaa rikoslain tietoturvallisuuteen liittyvien säännösten vastaisen toiminnan kehityssuunnasta voidaan saada esimerkiksi tarkastelemalla vuosien 1997-1999 poliisille tehtyjä rikosilmoituksia rikosnimikkeillä yritysvakoilu (RL 30:4), yrityssalaisuuden väärinkäyttö (RL 30:6), viestintäsalaisuuden loukkaus (RL 38:3), törkeä viestintäsalaisuuden loukkaus (RL 38:4) ja tietomurto (RL 38:8). Valtaosa rikosilmoituksista - joita on yhteensä 391 - liittyi viestintäsalaisuuden rikkomiseen ja tietomurtoon, mutta 20-30 tapauksista oli mielenkiintoisia yritysvakoilun kannalta. Näiden rikosten yksityiskohdista voidaan päätellä tekotapojen muuttuneen siten, että tietotekniikan hyväksikäyttö on lisääntynyt ja teko on tehty yhä useammin kaupallisen tai ammatillisen hyödyn tavoittelemiseksi. Näistä luvuista huolimatta suuri osa yrityssalaisuuksiin tai yksityisyyden suojaan liittyvästä rikollisesta toiminnasta on piilorikollisuutta eivätkä läheskään kaikki rikosilmoitukset johda oikeusprosessiin. Muista selvityksistä ilmenee edelleen, että joka kymmenes suomalainen pk- huipputeknologiayritys on joutunut yritysvakoilun tai muutoin sopimattoman, tiedustelutarkoituksessa tapahtuvan tiedonhankinnan kohteeksi. Valtaosa näistä yrityksistä katsoo, että niillä on merkittävää yrityssalaisuudeksi katsottavaa taitotietoa sähköisessä muodossa tietojärjestelmissään. Käsiteltyjen oikeustapausten perusteella voidaan arvioida, mitä yrityksissä tulisi tehdä yrityssalaisuuksien suojelemiseksi. Yleisesti voidaan todeta, että lähes kaikissa tarkastelluissa oikeustapauksissa rikoksen tekijänä on ollut yrityksen oma tai entinen työntekijä. Kyseessä ovat olleet tietojärjestelmissä ja piirustuksissa olevat yrityssalaisuudet. Kaikissa tapauksissa vahinkoja kärsineeltä asianomistajalta (yritykseltä) on vaadittu huomattavia ja riidattomia näyttöjä tietoturvallisuustoimenpiteistä ja taloudellisista vahingoista. Mitä oikeuden päätöksissä on edellytetty vahinkoa kärsineeltä yritykseltä esimerkiksi tosiasiallisen salassapidon osalta? Selvitystä siitä, mikä on turvallisuustyön merkitys yrityksen strategioissa ja liiketoiminnan tavoitteissa. Selvitystä siitä. millaisia salassapitosopimuksia työsopimuksen solmimisen tai toimeksiantojen yhteydessä on tehty. Selvitystä tietoturvallisuusohjeista ja siitä, että henkilöstö on saanut ohjeet tietoonsa. Selvitystä annetusta tietoturvallisuuskoulutuksesta ja sen aiheista sekä henkilöstön osallistumisesta. Selvitystä käytännössä toteutetuista tietoturvallisuustoimenpiteistä. Mitä oikeudenkäynneistä on opittu? Mikäli yrityssalaisuuksia ei ole riittävästi yksilöity eli luokiteltu eikä niiden taloudellista arvoa ole määritelty ennen rikollista toimintaa, ei tapauksen jälkeen tapahtunut herääminen ole johtanut yleensä edes syyteharkintaan. Yrityksen johtoa ja ulkopuolisia (toimeksiantotapaukset) lukuun ottamatta kaikki kriminalisoinnit ovat rajoittuneet 9

palvelusaikaan tai työsopimussuhteen kestoon (ml. irtisanomisaika). Yrityssalaisuudella on täytynyt olla taloudellista arvoa yrityksen elinkeinoeli liiketoiminnan kannalta. Ilman konkreettista taloudellista arvoa tieto tai seikka ei voi olla yrityssalaisuus. Kaikki rikoslain yrityssalaisuutta koskevat teot ovat ns. asianomistajarikoksia. Tämä tarkoittaa käytännössä sitä, että syyte nostetaan asianomistajan aloitteesta ainoastaan niissä tapauksissa, joissa on esitetty riittävästi näyttöä tehdystä rikoksesta ja aiheutetuista vahingoista. Turvallisuus- ja tietoturvallisuuspolitiikalla osoitetaan salassapitointressi eli se, että yrityssalaisuuksien ilmaiseminen aiheuttaa taloudellista vahinkoa yritykselle. Salassapitosopimuksilla, yrityssalaisuuksien luokittelulla ja niiden taloudellisten arvojen määrittelyllä osoitetaan erityinen salassapitotahto eli se, että tieto on tosiasiallisesti suojattu ulkopuolisilta, ja sen kanssa tekemisissä olevat mieltävät tiedon yrityssalaisuudeksi. Tietoturvallisuusohjeistolla, koulutuksella, henkilökohtaisen tietoturvallisuusvastuun toteuttamisella ja erityisillä tietoturvallisuustoimenpiteillä osoitetaan, mitä tosiasiallisia salassapitotoimenpiteitä on tehty yrityksessä. Suurimmat tietoturvallisuuden ongelmat liittyvät huolimattomuuteen, ymmärtämättömyyteen, osaamattomuuteen ja muihin tietojärjestelmien teknisen toteutuksen ja käytön laadullisiin tekijöihin. Panostaminen tietojärjestelmien käyttö- ja toimintaympäristössä työskenteleviin ihmisiin ja turvallisuustietoisuuden lisäämiseen sekä yhteiskunnan tuki tehokkaalle ja turvalliselle tietojenkäsittelylle menevät aina yksinomaisten tietoteknisten ratkaisujen edelle tietoturvallisuuden rakentamisessa. Tietotekniikan merkitys on kuitenkin korostunut ja tulee korostumaan entisestään tietojärjestelmien ja rakenteiden monimutkaistuessa. Tämä taas on suuri ongelma tiedon käytettävyyden ja saatavuuden näkökulmasta. Informaatioteknologian sovellukset sekä tietoverkkojen hallinta ovat monimutkaistuneet ja vaikeutuneet. Yhä harvemmat hallitsevat niiden toimintaa ja tietoverkkojen turvallisuutta. Sen vuoksi tietoturvallisuutta ja erityisesti tietojärjestelmiin tunkeutumiseen käytettyjä tekniikoita, menetelmiä ja niiden vastatoimia hallitsevien henkilöiden palkkaaminen on selvästi lisääntynyt niin kansainvälisesti kuin Suomessakin. Myös tietojärjestelmään tunkeutumisen ilmaisevia ohjelmia on tuotu markkinoille ja niitä on alettu hankkia (esim. RealSecure, Net- Ranger jne.). Eräiden arvioiden mukaan vain viidesosa suomalaisista yrityksistä havaitsee tällaiset tunkeutumisyritykset. Tältä pohjalta voisi olettaa, että suuri osa yrityksistä ei tiedä tai ei seuraa sitä, mitä luvatonta tai vahingollista toimintaa omissa tietojärjestelmissä tapahtuu. Suurin uhka on, että tietojärjestelmään kertyy luvattomien tunkeutumisten kautta ongelmia, jotka kumuloituvat välittömästi tai ajan mittaan tietojärjestelmien toimimattomuutena ja häiriöinä. Mitä käytännön toimenpiteitä kannattaa tehdä verkkotunkeutumisen havaitsemiseksi? Luo valmiudet vastatoimiksi: yleiset periaatteet ja tarpeelliset toimenpiteet tällaisen tilanteen varalle. Analysoi kaikkea käytettävissä olevaa loki- ym. tietoa, joka kertoo tunkeutumisesta tai sen yrityksestä keskustele kaikkien niiden osapuolten kanssa, joiden on hyvä tietää tunkeutumisesta kerää ja säilytä sellaista tietoa, joka käsittelee tunkeutumista tietoverkkoon käytä lyhytaikaisia ratkaisuja verkkotunkeutumista vastaan poista kaikki sellaiset keinot, jolla tunkeutuja voi helposti päästä verkkoon palauta järjestelmät normaaliin toimintaan Seuraa riittävästi tietojärjestelmääsi varmistaaksesi, että turvallisuus verkkoympäristössä on parantunut niiden toimenpiteiden johdosta, joita on tehty tunkeutumisen ja sen vaikutusten eliminoimiseksi. Eräs mielenkiintoinen selvitys Yhdysvalloista (v. 1999 ) käsittelee henkilöstön väärinkäytöksiä yrityksen tietojärjestelmissä. Kyselyyn vastanneista 200 yrityksestä 26,9 % ilmoitti rankaisseensa tai erottaneensa työntekijän tai ali- 10

urakoitsijan yrityksen tietoturvallisuusmenettelyn rikkomisesta. Tavallisin syy oli sopimaton Internetin / WEB -sivujen käyttö tai katselu (21,4 %) sekä sopimaton toiminta sähköpostiliikenteessä (15,3 %). Liiallinen tai kohtuuton yrityksen tietojärjestelmien käyttö omaan tarkoitukseen oli rangaistuksen perusteena 10,2 %:ssa tapauksista. Tapauksista 4,6 %:ssa yrityksen tietojärjestelmillä oli pyöritetty henkilön oman liiketoiminnan vaatimia järjestelmiä ja 3,1 % tapauksista oli selkeitä rikolliseen toimintaan liittyviä, kuten murtautuminen yrityksen tietokoneella toisiin tietojärjestelmiin. Vastanneista yrityksistä 73,7 % kertoi omaavansa politiikan tai yleiset periaatteet siitä, miten henkilöstö käyttää Internetiä ja sähköpostia. Näistä yrityksistä 28,4 % myös valvoi käytännössä jollakin tavoin Internetin/sähköpostin käyttöä ja vain 16,3 % niiden asiasisältöä. Suomalaisista yrityksistä ei ole toistaiseksi vastaavanlaisia selvityksiä käytettävissä. Meillä ei juurikaan yrityksissä valvota järjestelmällisesti Internetin tai sähköpostin luvatonta käyttöä - ja jos valvotaankin, tuloksia ei tuoda julkisuuteen. Oikeaan aikaan saatu oikea tieto antaa hyvän perustan yritysjohdon päätöksenteolle, mikä merkitsee kilpailuaseman säilyttämistä, liiketoiminnan kannattavuutta ja usein jopa selvää kilpailuetua. Kilpailuedun säilyttäminen edellyttää tietojärjestelmien ja -tekniikan tehokasta ja turvallista käyttöä. Toisaalta yrityksen toiminnasta, kannattavuudesta, taitotiedosta, jopa asiakkaista ja heidän tiedoistaan ovat kiinnostuneita myös toimivat ja perusteilla olevat kilpailijayritykset. Sisällöllisesti oikean tiedon hallinta kotisivujen, sähköpostiliikenteen ja yleisemminkin Internetin käytössä, käyttäjän tunnistaminen ja monet ratkaisemattomat turvallisuusongelmat odottavat selkeitä ja toimivia malleja. Työvälineitä kyllä on käytettävissä ja suomalaista osaamistakin. Uudet turvallisuus- ja yhteensovittamisongelmat ovat vakava ja pysyvä haaste yrityksen tietojärjestelmistä vastaaville henkilöille ja erityinen haaste yrityksen tietoturvallisuudelle. Tietojärjestelmien ja -tekniikan hyväksikäytön mahdollisuudet esimerkiksi sähköisessä kaupankäynnissä tukemassa tuotteiden ja palveluiden myyntiä sekä markkinointia ovat edellyttäneet uusien tietoturvallisuusmenetelmien käyttöönottoa. Yrityksen tietoturvallisuuden lähtökohtana tulee olla sen tosiasian tunnustaminen, että jokaisen yrityksen tiedot voivat olla väärinkäytösten kohteena. Tämän todellisuuden vähätteleminen voi olla koko yritystoiminnan kannalta kohtalokasta. Jokaisen yrityksen on hyvä tiedostaa, että tietoturvallisuus ei merkitse vain yritystä itseään koskevien vaan myös asiakastietojen hallintaa. Erityisen suuri merkitys hyvin hoidetulla tietoturvallisuudella on nopeasti kehittyvässä verkostotaloudessa. Tietoturvallisuus ja luottamuksellisuus ovat tämän kehityksen avainasioita. Tietoturvallisuustoimenpiteiden tarkoituksena on varmistaa yritystoiminnan kannalta tärkeiden tietojen hallinta sovittavien pelisääntöjen mukaisesti. Pelisäännöt tarkoittavat yritysjohdon kannanottoa siihen, miten järjestetään se, että asiattomat ja ulkopuoliset eivät saa kontrolloimattomasti haltuunsa yrityksen tärkeitä tietoja Miksi? Tietojärjestelmässä oleva tieto voi paljastua hallitsemattomasti, kun - ulkopuolinen käyttäjä pääsee järjestelmään ja tietoihin - valtuutettu käyttäjä pääsee tietoihin, joihin hänellä ei ole oikeutta - valtuutettu käyttäjä lähettää sopimattomasti tietoa tietoverkon kautta tiedot ovat yhtäpitäviä ja oikeita kaikkialla yrityksessä esitysmuodosta riippumatta Miksi? Tietojärjestelmässä oleva tieto voi muuttua tai hävitä tahallisen toiminnan johdosta tai vahingossa. tiedot ja palvelut ovat niiden henkilöiden käytettävissä, joilla on siihen oikeus Miksi? Valtuutetut käyttäjät eivät mahdollisesti voi 11

käyttää työasemaa, tietoverkkoa, tietoja tai tietojärjestelmän palveluja, jolloin heidän työtehtäviensä suorittaminen vaikeutuu, häiriintyy tai estyy kokonaan, kun tiedot ovat vaurioituneet, hävinneet tai niihin pääsy on muutoin estynyt tietojärjestelmän kapasiteetti on siinä määrin vaurioitunut tai ylirasitettu, että se estää valtuutetun käyttäjän järkevän työskentelyn pääsy tietojärjestelmän palveluihin on estynyt Oikein toteutettu tietoturvallisuus antaakin tiedolle kolme tärkeää ominaisuutta: luottamuksellisuuden, eheyden ja käytettävyyden. Tietoturvallisuuden perusta on tunnistaa oman yrityksen toimintaan liittyvät tietoriskit ja sen pohjalta tietää, mitä suojataan. Kukaan ei tunne näitä asioita paremmin kuin yrityksen henkilöstö itse. Tiedon suojaaminen edellyttää tiedon luokittelua eli tiedon merkityksen arviointia liiketoiminnan kannalta. Tässä yhteydessä on muistettava yhtäläisesti kaikki tiedon kolme ominaisuutta. Pelkkä luottamuksellisuus käytännössä tarkoittaa usein vain yrityssalaisuuksiksi katsottavien tietojen luokittelua, merkitsemistä ja käsittelyä. Tilastokeskuksen tutkimuksen Internet ja sähköinen kauppa yrityksissä (Tiede, teknologia ja tutkimus 2000:2) mukaan yrityksiä pyydettiin arvioimaan Internetin käyttöön yleisesti ja sähköiseen kauppaan erityisesti liittyviä esteitä. Selvästi suurimmat ongelmat Interetin käytössä liittyivät tietoturvallisuuteen, johon kuuluivat myös tietokoneviruksista ja niiden ehkäisystä mahdollisesti aiheutuvat ongelmat. Noin 30 % yrityksistä piti näitä ongelmia suurina ja vain 6 %:lle ei aiheutunut minkäänlaisia ongelmia. Tietoruvallisuusongelmat huolettivat yleisemmin suurissa yrityksissä. 25 % 10-19 hengen yrityksistä piti ongelmaa suurena, yli 100 hengen yrityksissä 41 % yrityksistä oli huolissaan tietoturvallisuudestaan. Toimialoista tietoturvallisuushuoli korostui liike-elämän palveluissa ja teollisuudessa. Koska tietoturvallisuus riippuu yrityksen jokaisen henkilön toiminnasta, on tärkeää, että yrityksellä on tietoturvallisuuden keskeisiä asioita koskeva ohjelma, josta käyvät selkeästi ilmi vastuut, yleiset periaatteet, yrityksen tietoturvallisuusohjeistus, perehdyttäminen, koulutus, ylläpito ja kehittäminen sekä toimintaohjeet ongelma- ja väärinkäyttötapausten varalta. Tietoturvallisuustoimenpiteillä tuetaan yrityksen päätoimintaa ja siihen liittyvien tavoitteiden toteuttamista. Hallittu ja toimiva tietoturvallisuusmenettely ennalta ehkäisee ja estää yritysvakoilua sekä yrityssalaisuuksien rikkomista ja väärinkäyttöä eli turvaa taitotiedon säilymisen yrityksessä. Tietoturvallisuustoimilla voidaan ohjata tietojen, tietojärjestelmien ja -palvelujen tehokasta ja oikeaa käyttöä. Voidaan välttää yritystoiminnan häiriöitä ja vahinkoja ja kohdistaa resurssit toimintaedellytysten turvaamiseen ja ydintoimintoihin eli siihen, minkä vuoksi yritys on olemassa. Toimimaton tietoturvallisuus on omiaan lisäämään epäluottamusta tietojärjestelmiin ja niiden käyttöön. Tämän vuoksi tietoturvallisuus on myös yhteinen ja yhteiskunnallinen kysymys. Luottamus hyvin toimivaan, tehokkaaseen tietojärjestelmään ja -teknologiaan lisää olennaisesti niiden käyttöä. 12

3. Mitä tietoturvallisuus on Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palveluiden asianmukaista suojaamista sekä normaali- että poikkeusoloissa. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä suojataan erilaisten vikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. liittyvien, henkilöä koskevien tietojen käsittelyä ja siihen liittyviä oikeuksia ja velvollisuuksia. Tietoturvallisuus on siis huomattavasti laajempi käsite kuin ns. atk-turvallisuus tai henkilötietoihin liittyvä tietosuoja. Kontrollit eli torjuntakeinot on lueteltu erillisessä liitteessä 5. Tietoturvallisuus on yläkäsite, johon sisältyy mm. atk- tai tietotekninen turvallisuus kaikkine järjestelmineen. Tietosuojalla taas tarkoitetaan ihmisen yksityisyyteen ja yksityiselämään 13

4. Mitä laki sanoo tietoturvallisuudesta Suomen lainsäädäntö on kansainvälisestikin arvioiden varsin edistyksellinen tiedon salassapidon ja erityisesti yritysvakoilun, yrityssalaisuuden väärinkäytön ja yrityssalaisuuden rikkomisen osalta. Viime vuosina tietoturvallisuuteen liittyvää lainsäädäntöä on lisätty ja kehitetty edelleen. Vakoilulainsäädäntö on niin ikään varsin uutta, samoin kuin tieto- ja viestintärikosten kriminalisointi. Atk ja tietotekniikka on otettu huomioon kohteena tai rangaistavan teon tekemisen välineenä useissa ns. tavallisissa rikoksissa, kuten vahingonteossa, petoksessa, kavalluksessa, luvattomassa käytössä jne. Ehdotetulla lailla säädettäisiin yrityksissä noudatettavista menettelytavoista eli valvonnan järjestämisestä sähköpostin ja tietoverkon käytössä. Valvonta voi kohdistua myös tietojenkäsittelyn kirjautumisjärjestelmiin ja puhelimen käyttöön. Yhteistoimintamenettelyn piiriin kuuluisivat vastedes myös sähköpostin ja tietoverkon käyttö. Työnantajalla voi olla myös hyväksyttävä peruste rajoittaa työntekijän sähköpostin tai muun tietoverkon kautta tapahtuvaa viestintää. Lakiesityksessä yksityisyyden suojasta työelämässä ei myöskään ehdoteta määriteltäväksi työnantajan oikeuksia työntekijän valvonnassa. Laissa säädettäisiin ainoastaan menettelytavoista valvonnan sekä sähköpostin ja tietoverkon käytön järjestämisessä. Jos laki esitetyssä muodossaan hyväksytään, jokaisen yhteistoimintamenettelyn piiriin kuuluvan yrityksen on vastedes laadittava sähköpostin ja Internetin käyttöön liittyvät pelisäännöt. Menettelyllä edistetään tietoturvallisuutta ja tietosuojaa. Tällä tavoin ovat monet edistykselliset yritykset hoitaneetkin ongelmalliset tietojärjestelmien käyttö- ja valvontakysymykset. Suomi on ollut esimerkillinen myös virusongelmien vastaisessa kansainvälisessä toiminnassa, kun se ensimmäisenä on kriminalisoinut tietokonevirusohjelman tekemisen ja levittämisen (RL 34:9a: Vaaran aiheuttaminen tietojenkäsittelylle). Yksityiselämän suojaan liittyvä henkilötietojen käsittely eli tietosuoja on saanut uutta sääntelyä henkilötietolain myötä (523/ 1999) sekä useina erityislakeina. Niitä ovat laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta 565/1999 sekä hallituksen esitys laiksi yksityisyyden suojasta työelämässä (HE 75/2000). 14

Hallituksen esityksen keskeinen säännös on 8 Menettelytavat teknisen valvonnan ja tietoverkon käytön järjestämisessä Työntekijöihin kohdistuvan, työnantajan työnjohto- ja valvontaoikeuteen perustuvan teknisen valvonnan tarkoitus, käyttöönotto ja siinä käytettävät menetelmät sekä sähköpostin ja tietoverkon käyttö kuuluvat yhteistoiminnasta yrityksissä annetussa laissa sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa tarkoitetun yhteistoimintamenettelyn piiriin. Muissa kuin yhteistoimintalainsäädännön piiriin kuuluvissa yrityksissä ja julkisoikeudellisissa yhteisöissä työnantajan on ennen päätöksentekoa varattava työntekijöille tai heidän edustajilleen tilaisuus tulla kuulluksi edellä sanotuista asioista. Yhteistoiminta- tai kuulemismenettelyn jälkeen työnantajan on määriteltävä työntekijöihin kohdistuvan teknisen valvonnan käyttötarkoitus ja siinä käytettävät menetelmät sekä tiedotettava työntekijöille teknisen valvonnan tarkoituksesta, käyttöönotosta ja siinä käytettävistä menetelmistä sekä sähköpostin ja tietoverkon käytöstä. Uusi julkisuuslaki, laki viranomaisten toiminnan julkisuudesta (621/1999) ja siihen liittyvä asetus (1030/1999) sisältävät avoimuuden ja julkisuuden vastapainoksi merkittäviä tiedon salassapitoon ja tietoturvallisuuteen liittyviä säännöksiä. TYÖSOPIMUSLAKI kieltää ilmaisemasta muille niitä tietoja, jotka henkilö on saanut työnantajalta sen liike- ja ammattisalaisuuksista (=yrityssalaisuuksista). Säännöksen rikkominen voi johtaa työsopimuksen purkamiseen. YHTEISTOIMINTALAKI toteaa samalla tavoin, että niitä tietoja, jotka työnantaja on määritellyt salassapidettäviksi ei saa antaa ulkopuolisille, mikäli tietojen leviäminen olisi omiaan vahingoittamaan yritystä tai sen liike- tai sopimuskumppania. Tämä on merkittävä laissa ilmaistu periaate, jonka tulisi myös toteutua käytännössä. Sama laki säätää myös yksityisen henkilön taloudellista asemaa, terveydentilaa tai muutoin häntä koskevien tietojen salassapitovelvollisuudesta. VILPILLINEN KILPAILU eli laki sopimattomasta menettelystä elinkeinotoiminnassa säätää niin ikään liikesalaisuudesta. Yleinen liikesalaisuuden oikeudeton hankkiminen tai sen yritys sekä sen käyttäminen tai ilmaiseminen on kielletty. Samoin on kielletty toisen palveluksessa tai toimeksiantosuhteessa saadun liikesalaisuuden, teknisen esikuvan tai teknisen ohjeen käyttö ja ilmaiseminen palvelusaikana. Toimeksiantosuhteessa kielto ei ole sidottu toimeksiannon kestoon, vaan on pysyvä. Jos henkilö on saanut toiselta tiedon em. asioista tietäen, että tämä on hankkinut tai ilmaissut tiedon oikeudettomasti, ei hän saa sitä käyttää eikä ilmaista. Teknisen esikuvan tai ohjeen tahallinen käyttö tai ilmaiseminen rangaistaan sakolla, muissa tapauksissa rikoslain yritysvakoilua, yrityssalaisuuden rikkomista tai yrityssalaisuuden väärinkäyttöä koskevien säännösten mukaisesti. Oikeuskäytännössä ei enää juuri sovelleta vilpillisen kilpailun rangaistussäännöksiä vaan rikoslakia. RIKOSLAKI määrittelee yrityssalaisuuskäsitteen ja salassapitovelvollisuudet sekä näiden kriminalisoinnit. Yrityksen tietoturvallisuuden kannalta ne ovat yhdessä vakoilusäännösten kanssa aivan keskeisessä asemassa. YRITYSSALAISUUDELLA tarkoitetaan liike- tai ammattisalaisuutta taikka muuta vastaavaa elinkeinotoimintaa koskevaa tietoa, jonka elinkeinonharjoittaja pitää salassa ja jonka ilmaiseminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko hänelle tai toiselle elinkeinonharjoittajalle, joka on uskonut tiedon hänelle. Yrityssalaisuus on yrityksen kilpailun ja menestymisen kannalta aivan keskeinen tieto. Jotta kyseessä olisi rikoslain suojaama yrityssalaisuus, tulee yrityksen ilmaista salassapitotahtonsa ja -intressinsä sekä toteuttaa tosiasialliset toimenpiteensä tiedon salassapitämiseksi. Muussa tapauksessa ja ilman näitä toimenpiteitä rikoslaki ei anna suojaa yritysvakoilua, yrityssalaisuuden rikkomista tai väärinkäyttöä vastaan. Tämä tarkoittaa sitä, että yrityksen on itse ryhdyttävä konkreettisiin tietoturvallisuustoimiin. 15

5. Yrityksen yleinen tietoturvallisuus Kaikki tietoturvallisuustyö yrityksessä lähtee tietoriskien arvioinnista ja niiden hallinnasta. Toimialasta ja tietojärjestelmistä riippuen riskit voivat vaihdella suurestikin. Valtakunnallinen PK-yritysten riskienhallintaprojekti on tuottanut käyttökelpoisen työvälineen - eräänlaisen riskikortin - pienten ja keskisuurten yritysten tietoriskien kartoittamiseen (Liite). On hyvä vielä muistuttaa, että reilusti yli puolet tietoturvallisuuden ongelmista tietojärjestelmissä johtuu ihmisen toiminnasta, vain pieni osa laitteista, olosuhteista ja ohjelmistoista. Kun tilanne on tämä, ei pienenkään yrityksen tietoturvallisuutta voida hoitaa yksinomaan tietoteknisin ratkaisuin. Tarvitaan yleisiä periaatteita ja ohjeita tietoturvallisuudesta yrityksessä. Tietoturvallisuuden määritelmä sisältää keskeiset uhat ja riskit. Kun yrityssalaisuuksien hallittu käyttö liittyy usein yritysten väliseen kilpailuun, on tässä yhteydessä syytä tarkastella tietoturvallisuutta myös kilpailun näkökulmasta. Kysymys on usein kilpajuoksusta ja siihen liittyvästä taloudellisen hyödyn tavoittelusta. Yritysvakoilua tai muuta vastaavaa kiellettyä toimintaa harjoittavan kilpailijan motiivi on usein maksattaa muilla kalliit tutkimus- ja kehityskulut ja tällä tavoin heikentää teon kohteeksi joutuneen yrityksen taloudellista pohjaa ja markkina-asemaa. Sen sijaan kaikkien terveestikin toimivien yritysten on hankittava riittävää tietoa alansa kehityksestä eikä se ole edes vaikeata. Avoimia tietolähteitä on paljon. Tiedoista 80-90 % on saatavissa julkisista tai avoimista lähteistä. Loppu tiedoista luottamuksellista tai yrityssalaista, joka voi tuhoutua, muuttua tai joutua hallitsemattomasti ulkopuolisille. Salainen tieto voi koskea yrityksen teknologiatasoa, uusien tuotteiden ominaisuuksia, tuotteen kustannusrakennetta, tuotannon volyymia, toimintatapoja ja organisaatiota, markkinointisuunnitelmia, tarjousstrategiaa ja vastaavia muita yrityksen kannalta erittäin tärkeitä tietoja. Valikoidusti tulisi ainakin tällaisia tietoja suojella. 5.1 Tietoturvallisuus ja laatu Useissa PK-yrityksissä on valmisteilla tai jo käytössä joko laatustandardi tai vastaava laatuohjelma. Tämä tarkoittaa sitä, että yrityksen kannalta tärkeimmät toiminnat ja prosessit ovat dokumentoidut ja jatkuvan parantamisen kohteena. Turvallisuus on tukitoiminto, jota kaikessa laajuudessaan ei ole vielä toteutettu osana yrityksen kokonaislaatua. Parempaan suuntaan ollaan selkeästi menossa mm. EU:n piirissä tehtävän turvallisuusstandardointityön myötä. Sen sijaan useilta yritysturvallisuuden osaalueilta kuten prosessiturvallisuuden, työturvallisuuden ja ympäristönsuojelun sektoreilta on jo olemassa standardeja ja sovelluksia yrityksen laatutoimintaan. Yrityksen tietoturvallisuus on sellainen tärkeä alue eli laatutoiminnan moduli, joka myös olisi toteutettavissa osana yrityksen muun toiminnan laatua (laatukäsikirjaa). Tällä tavoin tietoturvallisuusasiat tulisivat osaksi päivittäisen 16

toiminnan dokumentointia, ylläpitoa, koulutusta ja jatkuvaa parantamista. Kansainvälisiä tietoturvallisuusstandardejakin on olemassa kuten esimerkiksi BS 7799:1995, jota kyllä voi hyödyntää laatutyössä, mutta se on sellaisenaan melko raskas työväline käyttöön otettavaksi PKympäristössä. Standardi on käännetty myös suomeksi ja saatavissa Suomen standardisoimisliitosta (BS 7799-1:fi). 5.2 Yrityksen tietoturvallisuusperiaatteet ja -politiikka Yrityksissä, joissa tietoturvallisuudella on strategista, toimintaan ja kilpailuun liittyvää merkitystä, laaditaan usein toiminnan perusteeksi erillinen tietoturvallisuuspolitiikka. Muutoin kirjataan yleensä keskeiset periaatteet käytännön tietoturvallisuustyölle. Hyväksyessään nämä periaatteet yritysjohto sitoutuu noudattamaan tietoturvallisuuspolitiikkaa ja velvoittaa henkilöstöä noudattamaan sitä. Yritys PK Oy:n tietoturvallisuuspolitiikka voisi olla seuraavan sisältöinen: Yrityksen liiketoiminnan ja taloudellisten etujen turvaamiseksi sekä erityisesti oikean, luotettavan tiedon saamiseksi ja tietojen käsittelyssä mahdollisesti aiheutuvien vahinkojen ennalta ehkäisemiseksi toteutetaan PK Oy:ssä tietoturvallisuutta korostaen, että yrityksen tietoasiakirjat, tietovälineet, tekniset tallenteet ja suullinen infor- maatio ovat yrityksen omaisuutta ja niiden antaminen yrityksen ulkopuolelle saa tapahtua vain yhtiön eduksi, yrityksellä on erilliset, kirjalliset ohjeet yrityssalaisen informaation merkitsemistä, käsittelyä, säilyttämistä ja hävittämistä varten, esimies antaa ohjeet tiedoksi jokaiselle työntekijälle työsopimuksen solmimisen tai toimeksiannon yhteydessä, jokainen työntekijä noudattaa tietoturvallisuudesta annettuja ohjeita ja vastaa omalta osaltaan tietoturvallisuudesta yrityksessämme. Tämän pohjalta voidaan kirjoittaa tietoturvallisuusmenettelyn perusteet ja yleinen sisältö, esimerkiksi seuraavasti: TIETOTURVALLISUUS PK Oy:ssä Tietoturvallisuudella tarkoitetaan yhtiömme tietojen, järjestelmien ja palvelujen suojaamista lainsäädännön ja yhtiön tietoriskien hallintaan perustuvien omien erityistoimenpiteiden avulla. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä suojataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten ja tapaturmaisten inhimillisten tekojen aiheuttamilta uhilta ja vahingoilta. Tällaisia voivat olla esim. yhtiötä vastaan kohdistettu vakoilu, yritysvakoilu tai muu rikollinen toiminta, 17

hallitsematon julkisuus ja tiedottaminen, yksityisyys eli tietosuoja, tahattomat tietovuodot sekä välinpitämättömyys, huolimattomuus ja osaamattomuus tietoja käsiteltäessä. Kaikki nämä asiat voivat aiheuttaa yrityksellemme merkittäviä taloudellisia menetyksiä, tuotannollisia tai toiminnallisia vahinkoja kuten kilpailuaseman menetyksiä, tappioita tarjouskilpailussa tai yksityisyyden suojan loukkauksia. Menettely ja tiedon luokitus on sisällytetty tietoturvallisuusohjeistoon, jota noudatetaan yhtiön kaikilla toimipaikoilla. Yrityssalaisuuksina käsiteltävät tiedot on jaettu kahteen luokkaan: A= strictly confidential / erittäin luottamukselliset tiedot ja B= confidential / luottamukselliset tiedot. Luokitus määrää toimenpiteet tiedon käsittelyssä, jakelussa, säilyttämisessä ja hävittämisessä. Turvallisuusohjeisto antaa yhteisen pohjan yhtiön eri toimintayksiköiden tietoturvallisuusmenettelylle. Ohjeistoon ja menettelyyn perehdyttävät esimiehet ja yhdyshenkilöt, jotka on nimetty toimintayksiköihin linjavastuun mukaisesti. Lisäksi kaikissa tietoturvallisuusasioissa voi kääntyä PKT Oy:n tietojärjestelmävastuuhenkilöiden puoleen. Tiedon luokitukseen ja tietoturvallisuusmenettelyyn tarvittavia materiaaliresursseja kuten leimasimia, tietovälineiden( papereiden, diskettien yms. teknisten tallenteiden tuhoajia, turva- tai kassakaappeja yms.) hankitaan normaalin budjetointimenettelyn mukaisesti. 5.3 Tietoturvallisuusohjelma Yrityksen tietoturvallisuusohjelma perustuu tietoturvallisuuspolitiikkaan ja yrityskohtaiseen tietoriskien analyysiin. Mitkä ovat meidän toimintamme kannalta kaikkein merkittävimmät tietoriskit ja miten ne hallitaan yrityksessämme? Mikä on yritysjohdon kannanotto ja sitoutuminen tietoturvallisuuden edistämiseen ja ylläpitämiseen yrityksessä eli tietoturvallisuuspolitiikka? Tietoturvallisuusohjelman vuosittaiset tavoitteet tulee sovittaa yrityksen lyhyen ja pitkän aikavälin tavoitteisiin. Jos yrityksen tärkein tavoite on uuden tuotteen tuominen markkinoille ja tähän liittyvä tuotekehitys- ja tutkimustyö, ovat varmasti tietoturvallisuusohjelman painotukset markkinointistrategian sekä tutkimus- ja kehitystiedon suojaamisessa. Nämä voivat olla myös pysyviä painotuksia ohjelmassa esimerkiksi silloin, kun yrityksen päätoiminta on tuottaa huipputeknologian tuotteita tai sovellettuja palveluja. Tietoturvallisuusohjelman ei tarvitse olla laaja. Sen keskeinen tavoite on antaa suuntaviivat ja sisältö yrityksen tietoturvallisuusmenettelylle ja -kulttuurille. TIETOTURVALLISUUSOHJELMAN AVAINKOHDAT Sisällytä yrityksen hallituksen tai toimitusjohtajan kannanotto tietoturvallisuusohjelman johdanto-osaan. Tietoturvallisuuden ja yrityssalaisuuksien suojaamisen arvostuksen on lähdettävä yrityksen johdon tahdosta. Kuvaile ohjelman tarkoitus ja tärkeys. Henkilöstön on ymmärrettävä ja miellettävä keskeinen roolinsa ja vastuunsa tietoturvallisuuden toteuttamisessa. Erittele tarkoin, keitä kaikkia toimintaohjelma koskee. Muista oman henkilöstön osalta myös toisiin tehtäviin siirtyvät, eroavat ja erotetut henkilöt sekä laajasti kaikki ulkopuoliset sidosryhmät (ulkopuoliset palvelut, alihankkijat jne.). Tee yrityssalaisuuksien käsittelyn ja muun tietoturvallisuuden kannalta tärkeiden avainhenkilöiden kanssa salassapitosopimus, joka koskee yrityssalaisuuksien lisäksi mm. kilpailevaa toimintaa ja työsuhdekeksintöjä. Tämä on tärkeää tehdä myös ulkopuolisten alihankkijoiden ja järjestelmätoimittajien kanssa sekä kaikkien niiden kanssa, joilta hankitaan palveluja. Muista, että yrityksesi on vastuussa myös 18

asiakkaiden, laitetoimittajien ja muiden sidosryhmien tietojen turvallisuudesta. Esimerkkejä salassapitosopimuksista on liitteenä. Määrittele, mikä tietoaineisto on suojattava. Ohjelmaan sisällytetään suojattavan tiedon yleiset ja erityiset periaatteet. Määrittele ja ohjeista tiedon luokitteluperiaatteet siten, että jokainen tuntee ja tietää menettelyn. Nimeä yhdyshenkilöt tärkeimpiin toimintayksiköihin tukemaan tietoturvallisuusmenettelyä ja vastuita. Tiedota nimetyt henkilöt yrityksen koko henkilöstölle. Määrittele toimenpiteet väärinkäytösten tai rikollisen toiminnan varalta. Kirjaa ne toimenpiteet, jotka ovat tärkeitä selvitettäessä, mitä ja milloin on tapahtunut. Nimeä henkilö, johon otetaan yhteyttä, kun jotain yrityksen tietoturvallisuuspelisääntöjen kannalta epäilyttävää on tapahtunut. Määrittele tiedon käsittelyn, säilyttämisen, välittämisen, kirjaamisen, kopioinnin sekä hävittämisen periaatteet ja menettelytavat. Järjestä tietoturvallisuuskoulutusta ja - valmennusta henkilökunnalle. Käytä tiedottamista ja julkaisuja hyväksesi pitääksesi yllä turvallisuustietoisuutta yrityksessäsi. Määrittele, kuka on vastuussa tietoturvallisuusohjelman toteuttamisesta. TÄRKEITÄ PERIAATTEITA TIETOTURVALLISUUSOHJELMAA RAKENNETTAESSA NEED TO KNOW - kuka tietoa tarvitsee NEED TO HOLD - kuka tietoa säilyttää CLOSE TO YOU - tietoturvallisuusvälineet (kaapit, paperisilppurit, yms.) ovat lähellä Sinua ja työskentelytiloissasi Tietoa on paljon ja sitä on yrityksessä eri muodoissa. Hallittu tietojen käsittely edellyttää yhteisiä pelisääntöjä. Edellä kirjatut periaat- teet tarkoittavat käytännössä mm. sitä, että kaikki se tieto, joka on kunkin henkilön tehtävän kannalta tärkeää, on hänen saatava. Kaikkia tietoja ei jaeta kaikille. Entä kuka saa tiedon asiakirjasta tai tietovälineestä? Kuka sen tiedon säilyttää? Tietoteknisenä sovellutuksena samanlaista ongelmaa ei juuri ole. Paperidokumenttien ja vastaavien osalta on toisin: jokainen ylimääräinen kappale asiakirjaa lisää tietoturvallisuusriskiä ja on usein tarpeetonta arkistomateriaalia. Eräissä yrityksissä tehty selvitys siitä, kuinka paljon turhaa asiakirjamateriaalia on taltioituna eri paikkoihin, johti useiden paperitonnien hävittämiseen. Tietoturvallisuuden hoitamiseksi tarvittavat välineet on hankittava ja sijoitettava järkevästi: paperisilppuri kopiokoneen viereen tai läheisyyteen ja avainhenkilön työhuoneeseen. Muutoin niitä ei juurikaan käytetä. Sama koskee palo- ja murtoluokiteltua kassa- tai turvakaappia, jossa säilytetään tärkeimpiä asiakirjoja ja tietovälineiden varmuuskopioita. 5.4 Tietoturvallisuusvastuut yrityksessä Pääperiaatteena on linjavastuu. Tulosyksikön johtaja vastaa tietoturvallisuusmenettelyn toteuttamisesta omassa yksikössään. Henkilöstö vastaa omiin tehtäviinsä liittyvistä tietoturvallisuustoimenpiteistä, mutta yleisen vastuun lisäksi on myös erityisvastuu tietoturvallisuusasioissa osoitettava jokaiselle henkilökohtaisesti. Jos yrityksessä on turvallisuus- tai tietoturvallisuusvastaava, hänellä on yleensä ns. asiantuntijavastuu. Lakisääteistä vastuuta turvallisuusasioissa ei yleisesti voida delegoida - omaehtoista (jota tietoturvallisuus pitkälti on) sen sijaan voidaan. Avainhenkilöiden erityiset tietoturvallisuusvastuut voidaan luontevasti sisällyttää heidän työtehtäviinsä. 19

5.5. Tietoaineiston luokittelu Tietoaineiston luokittelulla tarkoitetaan yrityksen toiminnassa tarvittavan tiedon järjestämistä sen mukaisesti, mikä merkitys kullakin tiedolla on yritystoiminnalle. Yksinkertaisimmillaan se tarkoittaa yrityssalaisten tai muulla perusteella salassapidettävien tietojen luokittelemista eli erottamista yrityksen muista tiedoista. Tärkeä lähtökohta tietoaineiston luokitukselle on nykyinen ja tulevakin lainsäädäntö, joka useissa yhteyksissä edellyttää toiminnanharjoittajan ilmoittavan esimerkiksi tietoja saavalle viranomaiselle tai muulle taholle, mitkä tiedot ovat luottamuksellisia tai muulla tavoin yrityssalaisia. Edelleen erityissäännöksillä järjestetään se, miten tällaisia tietoja on käsiteltävä: tietosisällön ilmaisukielto, säilyttäminen, kopiointi, hävittäminen jne. Tietoaineiston luokituksella ilmaistaan samalla salassapitotahto ja tehdään konkreettisia tietoturvallisuustoimenpiteitä. Tietoaineiston luokittelu on resurssien kannalta tietoturvallisuusmenettelyn raskain vaihe sen vuoksi, että kaikki tärkeät tietoryhmät on käytävä läpi ja päätettävä toiminnallistaloudellisin perustein, mitkä tiedot luokitellaan yrityssalaisiksi, mitkä jäävät luokittelun ulkopuolelle. Kun tämä on tehty, on menettelyn ylläpitäminen varsin vaivatonta. Tietoaineisto tarkoittaa kaikkea kirjallista tai kuvallista esitystä sekä tallennetta, mikä voidaan lukea, kuunnella tai saada muulla tavoin ymmärretyksi teknisin apuvälinein. Tietoteknisenä sovelluksena tietojen luokittelu ja menettelyn toteuttaminen on yksinkertaisempaa; on vain muistettava, että tärkeitä tietoja on muuallakin kuin vain tietojärjestelmissä, ja nekin on otettava huomioon tietoja luokiteltaessa. Tietoaineisto voidaan luokitella sen sisällön, käytön ja salassapitotarpeen mukaan esimerkiksi seuraavasti: ERITTÄIN LUOTTAMUKSELLISET tiedot, joiden tuhoutuminen, muuttuminen, häviäminen, hävittäminen tai luvaton joutuminen ulkopuolisten haltuun voi aiheuttaa yritykselle huomattavan suuria (miljoonia, satojatuhansia, kymmeniätuhansia markkoja) taloudellisia vahinkoja tai olla muusta erittäin tärkeästä syystä (turvallisuusjärjestelmät, tietosuoja eli esim. arkaluontoiset tiedot jne.) salassapidettäviä. LUOTTAMUKSELLISET tiedot, joiden tuhoutuminen, muuttuminen, häviäminen, hävittäminen tai luvaton joutuminen ulkopuolisten haltuun voi aiheuttaa yritykselle taloudellisia vahinkoja tai muuta vakavaa haittaa (goodwill, yrityskuva, julkisuus jne.) LUOKITTELEMATTOMAT joita ovat muut yrityksen tiedot. Niidenkin saattamisen ulkopuolisten haltuun tulee tapahtua vain yrityksen eduksi. Kokemusten perusteella tiedon luokitus on järkevää tehdä yrityskohtaisesti siten, että tärkeimpien toimintojen avainhenkilöt päättävät luokituksen käytännön sisällöstä tietoryhmittäin ja tätä jaottelua noudatetaan koko yrityksessä esimerkiksi seuraavasti: Yrityssalaiset tiedot ryhmitellään yrityksessä viiteen eri ryhmään. Yksittäisen tiedon luokituksen määrää sen taloudellinen tai muu merkittävyys yritystoiminnalle. Luokituksesta päättää asiakirjan, tietovälineen tai tiedon laatija. Hän määrittelee myös tiedon jakelun. Tietoryhmät ovat: 1. STRATEGISET TIEDOT - eräät yrityksen johtoelinten pöytäkirjat, PTS-tiedot, markkinatutkimukset, yrityksen tulevaa teknologista kehitystä koskevat ennusteet, omistajalle menevät kannattavuus- ja investointiselvitykset, sisäisen tarkastuksen raportit. 2. TOIMINNALLISET, TALOUDELLISET JA KAUPALLISET TIEDOT - osto- ja myyntisopimukset, kilpailunrajoitussopimukset, tarjousstrategia, osto- ja myyntihinnat asiakaskohtaisina, kustan- 20

nukset, muut hintatekijät, kalkyylit, tulosraportit, taloushallinnon seurantalomakkeet, katetiedot ja niihin liittyvät laskelmat, tilinpäätöserittelyt. 3. TUTKIMUS-, KEHITYS JA TUOTETIE- DOT (PALVELUT) - oma taitotieto, jolla on merkittävää kilpailuarvoa, patentoitavat tuotteet, laitteet ja menetelmät, tutkimusanalyysit, kilpailijaanalyysit, asiakaskohtaiset tutkimusraportit, markkinatutkimukset, laadun ja teknologian muutokset. 4 TUOTANTOMENETELMIÄ, KONEITA JA LAITTEITA KOSKEVAT TIEDOT - erittäin tärkeät prosessinohjaustiedot, täydelliset tuotannon suunnittelu- ja käyttötiedot, projektien täydelliset hankinta- ja tarjousvertailutiedot, tärkeät alkuperäispiirustukset, salaiset tai luottamukselliset toimitukset, erikoistuotteiden materiaalit, koostumukset ja ominaisuudet. 5. TALOUSHALLINNOLLISET TIEDOT - avainhenkilöiden työ- ja salassapitosopimukset, sosiaali-, terveys-, palkka- ja muut arkaluontoiset tiedot, koulutus-, resurssi- ja urakehitysarvioinnit, erittäin tärkeät turvallisuusohjeet. Tietoaineiston luokittelu ohjaa tietojen käsittelyä. Luokiteltua tietoa ja niiden varmuuskopioita säilytetään yleensä muussa muodossa kuin teknisenä tallenteena (asiakirjoina, piirustuksina, valokuvina jne.) muusta aineistosta erillään palo- ja murtosuojatuissa tiloissa (holvissa, kassakaapissa), lisäkopioita otetaan vain laatijan luvalla, lähettämiseen yrityksen sisälle tai ulkopuolelle kiinnitetään riittävää huomiota (kuriirit, sinetöinti tms.) ja asiakirjat ja tietovälineet hävitetään paperisilppurissa tai muuten tuhoamalla. Luokiteltujen tietojen käsittelystä tietojärjestelmissä annetaan erilliset ohjeet. 5.6 Tietoturvallisuus ja henkilöstö TURVALLISUUSSELVITYKSET, VAITIOLO- JA SALASSAPITOSOPIMUKSET Turvallisuusselvitykset tarkoittavat henkilön luotettavuuden tarkistusta esim. silloin, kun yritykseen palkataan uusia henkilöitä avaintehtäviin tai tehtäviin, joissa he joutuvat käsittelemään yrityssalaisia tietoja. Muita tilanteita ovat sellaiset sisäiset tehtäväsiirrot, jotka liittyvät yrityksen avaintehtäviin ja joiden yhteydessä on perusteltua tehdä tällainen tarkistus. Luotettavuustarkistus voi koskea myös yrityksen sidosryhmiä ja niiden edustajia, kuten ulkopuolisia palveluja, alihankkijoita tai esimerkiksi ulkomaalaisia henkilöitä, jotka tulevat yritykseen neuvottelemaan, yhteisiin projekteihin jne. Turvallisuusselvitykset ovat suojelupoliisin lakisääteistä toimintaa. Menettely perustuu poliisin hallinnosta annettuun lakiin ja asetukseen, poliisin henkilörekisterilakiin sekä sisäasiainministeriön asiasta antamaan päätökseen (no 247/18.1.1995). Selvitystä voidaan pyytää suojelupoliisilta lähinnä silloin, kun on kyseessä valtakunnan turvallisuus tai merkittävät taloudelliset edut. Menettelyssä selvitetään henkilön mahdolliset rikolliseen toimintaan liittyvät tiedot valtakunnan turvallisuuden kannalta. Yrityksen, joka voi tällaista selvitystä pyytää, on luotava kirjallinen menettely ja ohjeet luotettavuuslausuntoja varten. 21

Turvallisuusselvitysten laillinen pohja ja menettely on muuttumassa. Asiasta on julkaistu Henkilöstöturvallisuustoimikunnan mietintö (2000:2), joka on johtamassa hallituksen esitykseen laiksi turvallisuusselvityksistä. Tämä laki tulisi korvaamaan aikaisemmat menettelyä koskevat säädökset ja sisältämään muutoksia nykyiseen luotettavuuslausuntomenettelyyn. Menettelyjä olisi kolmenlaisia: lyhyt, normaali ja laaja turvallisuusselvitys. Yritysten kannalta kaksi ensimmäistä ovat keskeisiä: eräissä tapauksissa (tärkeä kohde tms.) yritys voisi saada tiedot paikallispoliisilta, normaalija laajoissa tapauksissa suojelupoliisilta. Selvityksen kohteena olevalta henkilöltä on saatava kirjallinen suostumus ja turvallisuusselvityksen sisältö on annettava tiedoksi myös ao. henkilölle. Jokainen turvallisuusselvityspyyntö on perusteltava erikseen ja tehtävä kirjallisena. Laaja turvallisuusselvitys voi näillä näkymin koskea vain eräitä korkeimpia julkisen hallinnon virkamiehiä - ei siis yrityksiä lainkaan, ellei kyseessä ole esim. tähän oikeuttava kansainvälinen sopimus. PK-yrityksen kannalta ei nykymenettelyyn ole odotettavissa merkittäviä muutoksia muutoin kuin itse hallinnollisessa menettelyssä ja siinä, että turvallisuusselvitykset tullevat esityksen mukaan maksullisiksi. On muitakin mahdollisuuksia suorittaa luotettavuustarkastuksia, kuten erilaiset luottotietorekisterit maksuhäiriöistä. Myös taustaselvityksiin perehtyneitä palveluita on ostettavissa sekä kotimaisilta että kansainvälisiltä turvallisuusyrityksiltä. Käytännön kannalta erityisen suositeltava tapa on joka tapauksessa kahden viimeisen työsuhteen selvittäminen työtodistusten ja hakijan antamien tietojen perusteella. Eräissä tapauksissa myös Suomen poliisiedustajat lähialueilla voivat palvella kauppakumppaneiden, liikemiesten ja viranomaisten luotettavuusselvityksissä sen lisäksi, että he toimivat pääasiallisesti maiden välisten rikostentorjuntasopimusten mukaisissa tehtävissä. Poliisin edustajia, jotka toimivat Suomen virallisten edustustojen yhteydessä, on tällä hetkellä ainakin Moskovassa, Pietarissa, Petroskoissa, Murmanskissa ja Tallinnassa. Heihin saa yhteyden sisäasiainministeriön poliisiosaston sekä Suomen ulkoministeriön ja paikallisten edustustojen kautta. VAITIOLO JA SALASSAPITO Taustan ja perusteet vaitioloon ja salassapitoon antavat lainsäädäntö sekä erilaiset sitoumukset ja sopimukset. Laki viranomaisten toiminnan julkisuudesta (621/1999) on vähentänyt aivan ratkaisevasti salassapitosäännösten määrää. Ne on lueteltu pääosin lain 6. luvussa salassapitovelvoitteet (24 :n 32 erillistä kohtaa). Salassapito ja vaitiolo liittyvät olennaisesti toisiinsa : siitä, mikä on määrätty salassa pidettäväksi, ei saa antaa suullisestikaan tietoja asiaankuulumattomille. Tietoturvallisuudessa inhimilliset tekijät ovat suurin uhkatekijä, koska tietoturvallisuusmenettelyssä jokaisen tulisi noudattaa yhdenmukaisesti salassapidosta annettuja ohjeita. Tämä tuo usein mukanaan ongelmia suurissa yrityksissä ja organisaatioissa. Salassapito- ja vaitiolosopimukset ovat normaalisti lyhyitä ja juridisesti pitäviä (aina viittaus ko. lainkohtaan), mutta ne eivät aina määritä riittävän selkeästi ja kansantajuisesti salassapidettäviä asioita siten, että ne antaisivat toimintaohjeet käytännön salassapidosta ja vaitiolosta. Näistä syistä yrityksessä tulisi vaitiolositoumuksen ja/tai salassapitosopimuksen allekirjoittamisen yhteydessä antaa yksityiskohtainen ja toimiva sopimukseen sisältyvä tietopaketti salassapidettävistä asioista sekä toimintaohjeet tiedon käsittelystä eri muodoissa (puhuttu, kirjallinen, tekninen tallenne). Lisäksi tiedottamisesta (tiedotettavista asioista ja -vastuista) sekä julkisuusperiaatteen mukaisista asioista tulisi antaa selvät ohjeet. Salassapidettävät asiat ovat usein sisällöltään niin laajoja ja pitkäaikaisia ja asiaan liittyvien henkilöiden määrä niin suuri, että lisäksi tarvitaan joukko muita sopimuksia tai sopimuksiin sisällytettäviä kohtia salassapidettävistä asioista. Tietoturvallisuudesta ja salassapidosta huolehtiminen ei enää nykyään ole vain yksi kohta hankinta- tai vastaavassa sopimuksessa, vaan erillinen paperi, jossa em. asiat ja toimintaohjeet ovat sellaisessa muodossa, että osapuolet saavat samanlaisen ja selkeän käsityksen siitä, mistä on sovittu. Salassapito- ja vaitiolosopimukset antavat tärkeän perustan tietoturvallisuustyölle ja niillä on 22

tarkoitus vaikuttaa tietoturvallisuuden heikoimpaan osa-alueeseen, ihmiseen. Tämä tarkoittaa sen asian korostamista, että vaikka lainsäädäntö sellaisenaan ohjaa salassapitoa ja vaitiolovelvollisuutta, on silti perusteltua kirjoittaa velvoitteet sopimuksiin ja sitoumuksiin konkreettisesti näkyviin. Tällöin ei voi olla epäselvyyttä siitä, mistä on sovittu. Mahdollisissa sopimusrikkomus- tai rikostilanteissa näyttö osapuolten tietoisuudesta on huomattavasti selvemmin ja riidattomammin osoitettavissa. Eri tilanteita varten tarkoitettuja sopimusmalleja on tämän oppaan liitteessä 2. Niitä on tarkasteltava yrityksen koon, toimialan ja erityisolosuhteiden mukaisesti. Muutaman henkilön yrityksissä voidaan tehdä sopimuksia yksinkertaistaen ja soveltaen. Absoluuttista turvallisuutta ei ole tietoturvallisuuskaan - ainakaan yritysympäristössä. Optimaalisen kustannustehokkuuden ja samalla kuitenkin mahdollisimman korkean tietoturvallisuustason saavuttamiseksi tarvitaan selkeitä ohjeita, jatkuvaa koulutusta ja määrätietoista, pitkäjänteistä ohjausta sekä turvallisuustietoisuuden lisäämistä. 5.7 Kulunvalvonta ja vierailut PK-yrityksissä yrityssalaisuuksia voi suojata tehokkaasti myös kulunvalvonnan ja vierailumenettelyn keinoin. Kulunvalvonta on olennainen osa työympäristön ja asioinnin turvallisuutta. Tekninen valvonta tuotantolaitoksilla on usein pienimuotoisen toiminnan osalta yhdistetty prosessivalvontaan (tuotantolinjat, varastoalueet) ja henkilövalvonta ostettu ulkopuoliselta palveluyritykseltä esim. osana vartiointitoimintaa. Vielä hallituksen esityksenä (HE 75/2000) oleva laki yksityisyyden suojasta työelämässä edellyttää myös sitä, että työpaikan teknisestä valvonnasta ja sen käyttöönotosta on pelisäännöt. Se koskee erityisesti myös kameravalvontaa. Kameravalvontaa lisäksi rajoittaa RL 24:6 salakatselusäännös, jossa mm. mainitaan kokonaan kameravalvonnan ulkopuolella olevat tilat. Näitä ovat WC-, sauna-, pesu- ja sosiaalitilat sekä liikkeissä vaatteiden sovituskopit. Jokainen yrityksen henkilö voi osallistua kulunvalvontaan mm. siten, että ohjaa ystävällisesti mutta päättäväisesti asiattomat henkilöt oikeaan paikkaan. Työpaikalla ei ulkopuolisten henkilöiden tulisi voida kulkea ilman isäntää. Erityisesti on tärkeää muistaa että jokainen vastaa omista vieraistaan ja heidän kulkemisistaan yrityksessä joko omakohtaisesti tai sihteerin tai muun henkilön avustuksella. Yrityksessä järjestettävät vierailut ja kokoukset tulee suunnitella etukäteen ja niin hyvin kuin mahdollista. Esimerkiksi kokoustilat ja kulkureitit on valittava huolella. Tulee välttää näyttämästä vieraalle sellaisia tietoja ja olosuhteita, joiden näyttäminen saattaa aiheuttaa yritykselle vahinkoa. Tarvittaessa ilmoitetaan ennakkoon kuvaus-, nauhoitus- tai matkapuhelimen käyttökiellosta vierailun tai kokouksen aikana. Kulunvalvonta voidaan hoitaa - teknisellä valvonnalla, johon kuuluvat valvontakamerat ja erilaiset hälytyslaitteet, kuten rikosilmaisimet, - henkilövalvonnalla (vartiointi, henkilöstön oma huomiointi) tai - kuten nykyisin useimmiten toteutetaan, näiden yhdistelmänä, jossa teknisen järjestelmän ilmoituksia ja kuvaa seuraa koulutettu valvontahenkilö(stö). 5.8. Työ- ja liikematkat Jokainen on matkoilla yrityksensä edustaja ja avainhenkilö. Paikoissa, joissa sivulliset voivat kuulla (julkiset kulkuvälineet, ravintolat), tulee välttää keskustelua yrityssalaisuuksista. Sama tilanne voi koskea myös tuttavia, kaveripiiriä ja 23

sukulaisia. Mukana pidetään vain tarpeelliset asiakirjat ja tietovälineet, joita tarvitaan työskenneltäessä esim. kannettavalla tietokoneella. Yrityssalaisia tietoja ei taltioida kiintolevylle, vaan muille sopiville tietovälineille (disketti, CD-rom, DVD jne.), ellei käytössä ole erityinen salakirjoitusohjelma. Jos kannettava tietokone anastetaan, ei samalla menetetä tärkeitä tietoja. Matkapuhelinviestinnässä on otettava huomioon, että gsm-salaus on verkon ominaisuus, ei käyttölaitteen (ainakaan vielä toistaiseksi). On tiedettävä, onko ao. maan gsm-operaattorilla verkossa salaus ja minkä tasoinen se on. Yksinkertaisimmin se selviää kysymällä asiaa omalta operaattoriltasi (Sonera, Radiolinja, Telia jne.). Näin voidaan varmistaa, onko gsm-yhteys suojattu. Tämä tarkoittaa samalla sitä, että gsm-matkapuhelimen ja jonkin muun järjestelmän (ns. tavallinen lankapuhelin jne.) käyttölaitteen välinen yhteys ei ole suojattu. Matkapuhelimesta on myös syytä huolehtia. Sekin voidaan anastaa ja kustannusten lisäksi voidaan menettää tärkeitä tietoja, joita on välitetty boxiin eli matkapuhelimen postilaatikkoon. Auki oleva matkapuhelin voi välittää neuvottelusta tai keskustelutilanteesta puheenvuorot sellaisenaan mihin tahansa paikkaan, jonne on soitettu ennen tilaisuutta ja jätetty matkapuhelin tarkoituksellisesti aktiivitilaan esim. taskuun koko tilaisuuden ajaksi. Nykyään puhutaan jo langattomista, radiotaajuuksilla toimivista viruksista, jotka voivat vakavastikin häiritä ja vaikeuttaa kommunikaatiota tulevaisuudessa. Ensimmäiset tällaiset virukset on jo havaittu käytössä. 24

6. Tietotekninen turvallisuus Lähes kaikki yritystoiminnan perusteena olevat tiedot ovat atk-sovelluksina tietojärjestelmissä. Tämä tarkoittaa sitä, että yrityksen koko toiminta: palvelut, tuotanto, hallinto, johdon päätöksenteko jne. ovat riippuvaisia tietojärjestelmien toimivuudesta, luotettavuudesta ja tehokkuudesta. Vaikka tietojärjestelmien käytön ja tietoturvallisuuden heikoin lenkki on ihminen, on tietotekniikalla ja tietoteknisellä turvallisuudella entistä keskeisempi merkitys yritykselle tietojärjestelmien toimivuuden ja toiminnan jatkuvuuden takaamiseksi. TIETOTEKNISEN TURVALLISUUDEN PERUSTEISTA Yleisenä lähtökohtana voidaan todeta kaksi asiaa: 1 Kun tietojärjestelmiä rakennetaan, servereitä ja työasemia asennetaan ja ohjelmia /sovelluksia hankitaan, tulisi tätä kokonaisuutta ja järjestelmän erillisiä (osa)- toteutuksia tarkastella jo alusta pitäen tieto- ja tietoteknisen turvallisuuden toteuttamisen näkökulmasta 2 Kun tässä työssä (konfigurointi, arkkitehtuurit, laite- ja ohjelmaratkaisut) tuetaan johdonmukaisia, yhtenäisiä, vakioituja, standardoituja, avoimet rajapinnat huomioon ottavia ja käytännössä toimivaksi osoittautuneita ratkaisuja, on tuloksena tietojärjestelmän ja -turvallisuuden helpompi hallittavuus sekä parempi ongelmien ja pelisääntöjen vastaisen toiminnan ennakointi ja havaitseminen. Internetin käytön ja verkottumisen nopea lisääntyminen edellyttää tietoliikenteen ja etäyhteyksien suojaamista erityisesti luvatonta käyttöä vastaan. Tietoverkkojen turvallisuuteen, turvallisuusominaisuuksiin ja rakenteeseen on kiinnitettävä huo- 25

miota tietoverkkoja rakennettaessa ja etäyhteyksiä käytettäessä. Erityisen ongelmalliseksi ovat osoittautuneet erilaiset patenttiratkaisut palomuurien, reitittimien ja muiden turvallisuustuotteiden yhteensopivuusongelmien ja osaamisen puutteen vuoksi. Suomalaiset tuotteet ja osaaminen tietoverkkoturvallisuuden alueella ovat tunnettuja ja arvostettuja. PALOMUURIN TOTEUTTAMINEN / TURVALLISUUSNÄKÖKOHTIA Pääperiaatteet ovat: Valmistele ja suunnittele huolella palomuurijärjestelmä Varusta ja rakenna palomuuri siten, että se vastaa teknisen- ja tietoturvallisuuden osalta muun tietojärjestelmän turvallisuusvaatimuksia, kun - hankit palomuurin laitteita ja ohjelmistoja - hankit palomuuria koskevan dokumentaation, koulutuksen ja (järjestelmä)tuen - asennat palomuurilaitteen ja ohjelman - asennat reitittimen Asenna ja ota käyttöön oikein rakennettu, toimiva palomuurijärjestelmä Tietojärjestelmien käyttöoikeuksien järjestäminen yrityksessä on tärkeä tietoturvallisuuden kontrolli. Sehän tarkoittaa samaa kuin tietojärjestelmässä olevien luokiteltujen tietojen käsittelyoikeudet ja hyödyntäminen: on päätettävä, kuka saa lukuoikeuden, tietojen muutos- ja poisto-oikeuden, mihin tietoihin kullakin käyttäjällä on oikeus jne. Erityiset käyttöoikeudet tulee kirjata ja toteutuksesta vastaavan tulee voida osoittaa voimassa olevat yleiset ja erityiset käyttöoikeudet. Käyttöoikeuksien myöntäjä valvoo myös käyttöoikeuksien noudattamista. Tässä tarkoituksessa työasemilla ja palvelimilla tulisi olla ohjelmia (Audit Trail) ja (loki)tiedosto, joilla voidaan todentaa tietojärjestelmässä tapahtuneet toiminnat. Edelleenkin yritysten tietojenkäsittelylle aiheuttavat ongelmia erilaiset tietokonevirukset. Ne ovat aiheuttaneet sekä toimintahäiriöitä tietojärjestelmissä että merkittäviä taloudellisia menetyksiä virusten etsimiseen, tuhoamiseen ja järjestelmän ennalleen palauttamiseen liittyvinä työ- ja toimintakustannuksina. Niiden torjuntaan kannattaa panostaa hankkimalla tasokas, ylläpidettävä työasema- tai palvelinkohtainen virustorjuntaohjelma ja sopimalla torjuntaa muutoin ohjaavista pelisäännöistä. Suurimmat riskit PKyritykselle voivat kui- - toteutat palomuurin pakettisuodattimen - toteutat palomuurin kirjautumis- ja hälytysjärjestelmät Testaa palomuurijärjestelmäsi riittävän hyvin ennen käyttöönottoa varmistaaksesi, että se toimii juuri asettamiesi vaatimusten, ominaisuuksien ja muiden teknillisten (turvallisuus)toimintojen mukaisesti sekä niin, että järjestelmään ei jää turvallisuusaukkoja 26

tenkin koitua jostain vahingosta, onnettomuudesta, tapaturmasta tai tapahtumasta, joka aiheuttaa tietojärjestelmän ja tietojen tuhoutumisen kokonaan tai osittain tai esimerkiksi pidempiaikaisen katkoksen tietojärjestelmien käytössä. Liiketoiminnan jatkuvuuden kannalta tarpeellisten tietojen saatavuus tulee varmistaa tällaisten häiriötilanteiden varalta erilaisten varmuustoimenpiteiden ja varajärjestelmien avulla, mikä käytännössä tarkoittaa katastrofi- ja toipumissuunnitelman laatimista. Tällaisia suunnitelmia on tehtävissä esimerkiksi yhdessä yrityksen vakuutusasioita ja riskienhallintaa hoitavien vakuutusyhtiöiden, tietoturvallisuuskonsulttien sekä laite- ja ohjelmatoimittajien kanssa. Eräät PK-yrityksistä kuuluvat lisäksi huoltovarmuuden ja puolustustaloudellisen suunnittelun näkökulmasta tärkeysluokiteltuihin valmiusyrityksiin. Poikkeusolojen valmiussuunnitelma tehdään viranomaisten ja toimialakohtaisten suunnittelukuntien ohjeiden mukaisesti. Tämä koskee erityisesti myös tietojärjestelmiä ja -turvallisuutta. Yrityksen toiminnan kannalta tietojen hallintaan kuuluu myös tietojen varmuuskopiointi. Tärkeitä tietoja sisältävät, kirjoitussuojatut levykkeet ja vastaavat tietovälineet, on säilytettävä erillään muusta tietoaineistosta, suojassa tulipalolta ja onnettomuuksilta. Laitteita ja käyttöohjelmia saa uusia, mutta tärkeän tiedon menettäminen on ainutkertaista, korvaamatonta. Normaalin tietolevykkeen kirjoitussuojaus on suoja myös tietokonevirusta vastaan. Tietojärjestelmäympäristössä toimiminen ja tietojen hyväksikäyttö on useimmissa PK-yrityksissä päivittäistä käytäntöä. Hyvän pohjan käyttäjän avuksi tässä toiminnassa tarjoaa henkilökohtaisen tietokoneen eli mikron (myös kannettavan), työaseman ja palvelimen turvallisen käytön lyhyt muistilista : Tee työasemien asennus- ja toteutussuunnitelma, joka sisältää myös tietoturvallisuusnäkökohdat. Servereitä valittaessa aseta selkeät ja yksiselitteiset turvallisuusvaatimukset ja vaadi selvitykset niistä tuotekohtaisesti Pidä käyttöjärjestelmät ja sovellusohjelmat ajan tasalla Toteuta työasemilla käyttäjän tunnistaminen Varusta työaseman käyttö- ja toimintajärjestelmät sopivin kontrollein (laitteet, sovellukset, tiedostot yms.) Toteuta riittävä järjestelmä- ja verkkotietojen rekisteröinti ja keruu Tarkkaile tietoja, jotka kuvaavat tietojärjestelmän (ja -verkkojen) käyttöä ja paljastavat merkkejä epäilyttävästä toiminnasta Toteuta työasemilla olevien tiedostojen tuki Suojele työasemat viruksilta ja muilta vastaavilta ohjelmaperäisiltä uhilta Varusta työasemat siten, että niitä voidaan hallinnoida turvallisesti tietoverkon välityksellä esim. ulkoisesta käyttäjätukipalvelupisteestä Varusta työasemat siten että ne välittä vät vain valittuja verkkopalveluja Toteuta verkkopalvelut (keskitetyt ohjelmisto- ja tiedostopalvelut, sähköpostija web-palvelu, tietokantoihin pääsy, tiedostosiirrot jne.) serveriltä siten, että ne tukevat ja lisäävät tietoturvallisuutta Toteuta lähiverkkoympäristössä työasemien käyttö ja toiminta siten, että yhdellä työasemalla testataan malli konfiguraatio ja varmistetaan, että tämä välittyy (esim. verkossa) varmasti samalla tavoin myös muille työasemille Tietoteknisten ja ohjelmallisten toteutusten lisäksi ota käyttöön myös sopivia fyysisiä rajoituksia paikkoihin ja tiloihin, joissa tietojärjestelmän kannalta haavoittuvat isäntä serverit ja -työasemat tai muut työasemat sijaitsevat Muista, että käyttäjä vastaa omasta koneestaan. Sulje tai lukitse koneesi, lopeta yhteys palvelinkoneeseen tai käytä Screen 27

Saveria ja salasanaa, kun poistut paikalta. Tyhjennä myös kuvaruutunäyttö. Muista myös sulkea selaimen käyttö heti kun poistut Internetin kotisivuilta. Varmista omat, tärkeät tiedostot levykkeelle tai palvelimen nauhalle riittävän usein, mutta vähintään kahden viikon välein. Laajan työn aikana ja valmistuttua se on hyvä varmistaa välittömästi. Säilytä levykkeet ja muut tietovälineet, PC:n avain ja salasanasi turvallisessa paikassa. Käsittele levykkeitä huolellisesti ja tuhoa toimimattomat ja tarpeettomiksi käyneet levykkeet, nauhat ja tulosteet. Lähetä yrityksen ulkopuolelle menevä tieto aina uudella tai juuri alustetulla (formatoitu) levykkeellä tai disketillä. Kun vastaanotat yrityksen ulkopuolelta tietoja tai ohjelmia huolehdi, että levykkeelle/disketille ajetaan ensin virustesti. Älä kopioi mitään ohjelmia. Voit saada viruksen omaan koneeseesi tai levittää sitä muille. Tämä koskee kotoa tuotuja, lainattuja ja sähköpostin tai Internetin kautta saatavia ohjelmia. Jos epäilet, että koneessasi on virus, sammuta kone ja ota yhteys atk-tukihenkilöön. Salasana on henkilökohtainen eikä sitä saa luovuttaa toiselle. Vaihda salasa naasi riittävän usein erityisesti silloin, kun käsittelet yrityssalaisia tietoja. Älä jätä salasanaa näkyville tai lukitsemattomaan paikkaan. Valitse salasana, joka on riittävän vaikea selvittää. (Vähintään viisi merkkiä. Ei liity Sinuun eikä lähiympäristöösi). Älä välitä tai lähetä tiedoksi salasanaa tai luottokorttitietoja salaamattomana sähköpostissa! Nouda työhuoneesi tai -tilasi ulkopuoliselta tulostimelta omat tulosteesi välittömästi. Niitä (henkilökohtaiset sähköpostiviestit jne.) voivat lukea muutkin. Kannettavan mikron käsittelyssä on oltava tietoinen anastamisriskistä julkisissa tiloissa, kulkuvälineissä jne. Taltioi ja säilytä tärkeä tieto erillisillä levykkeillä /disketeillä, ei laitteen kiintolevyllä ellei käytössä ole salakirjoitusohjelmaa. Anastettaessa mikron, menetät muutoin myös tiedot. Luota käyttöhäiriö- ja -ongelmatilanteissa yrityksen atk-tukihenkilöön tai ulkopuolelta ostettavaan palveluun. Älä tee mitään muutoksia koneesi ohjelmiin tai asetuksiin ilman, että se dokumentoidaan. Jälkeenpäin tehtävät muutokset ja korjaukset saattavat muodostua raskaiksi ja kalliiksi. Vain yrityksen atktukihenkilö tai muu vastuuhenkilö saa luovuttaa tietokoneesi huollettavaksi yrityksen ulkopuolelle Laadi ja julkaise pelisäännöt eli normit servereiden, työasemien, verkon ja palveluiden käytöstä 28

6.1 Internet ja sähköposti Tietoverkkojen hyväksikäyttö osana yrityksen tietojärjestelmiä eli toiminnan kannalta olennaisten tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistaminen tietoverkoissa on vaativa tehtävä. Tietoturvallisuusnäkökohdat korostuvat erityisesti sellaisissa verkoissa, joissa ei ole erityisiä turvallisuusominaisuuksia tai -standardia. Tällainen on Internet. Tietoliikenne ei ole salattua, käyttäjien luotettava tunnistus on ongelmallista, verkon palvelutason, käytettävyyden ja luotettavuuden vaihtelu on suurta eritasoisesti hallituissa ja toteutetuissa verkon osissa jne. Internetin käyttö laajenee valtavalla vauhdilla sen uusien käyttömuotojen myötä. Yrityksen on tiedettävä verkon käyttöön liittyvät tietoturvallisuusriskit ja muutoinkin annettava Internetin käytölle selvät periaatteet ja pelisäännöt. Henkilötietojen siirtoon tietoverkoissa liittyy monenlaisia tietosuojan eli yksityisyyden suojan riskejä. Internetin ja sähköpostin kautta voidaan imuroida ongelmia: tietokonevirukset tarttuvat helposti ohjelmia siirrettäessä ja makrovirus voi levitä jopa datatiedoston välityksellä. Keskeinen ongelma tietojärjestelmissä eli virukset leviävät juuri tietoverkkojen välityksellä. Internetin lisääntyvän käytön sekä käyttösovellusten näkökulmasta tietosekä tietoteknisen turvallisuuden toteuttaminen Internetympäristössä on tänä päivänä erityisen tärkeää. Näin voidaan sähköpostin, kotisivujen ja sähköisen kaupankäynnin tietoturvallisuustoimenpiteitä tarkastella yhdessä. VIRUKSET Käytä aina jotain tunnettua, tietokoneen avaamisesta aktivoituvaa ja automaattisesti päivittyvää virustorjuntaohjelmaa joka soveltuu parhaiten käyttöjärjestelmääsi ja ohjelmiin. Luo yritykseesi selkeä menettely siitä, mitä toimenpiteitä ja missä järjestyksessä tehdään, kun virus havaitaan. Ole kriittinen Sinulle osoitetun sähkäpostin sisällölle, ennen kuin päätät sen avata eli lukea. Erityisen kriittinen ole virusvaroituksille ja tarkista aina luotettavasta tietolähteestä virusvaroituksen todenperäisyys ja sisältö. KOTISIVUN TIETOTURVALLISUUSVINKIT Älä säilytä tai ylläpidä luottamuksellista tietoaineistoa WEB-serverillä, johon jokaisella on avoin pääsy. Yrityskohtaisesti määriteltävien Internetpelisääntöjen tulisi koskea ainakin seuraavia asioita: Sähköpostin käyttö Tietojen selailu ja tiedostojen haku kotisivuilta Käyttö yleisenä tiedonsiirtoverkkona Osallistuminen keskustelufoorumiin Käyttö tiedotukseen ja neuvontaan Yrityksen luottokorttien käyttö maksuvälineenä Internetissä 29

Poista serveriltä kaikki verkkosovellukset http:tä lukuun ottamatta. Asenna salasana ja tunnistus muun pääsynkontrollin lisäksi varmistaaksesi, että vain oikeutetut henkilöt voivat muuttaa kotisivun sisältöä. Suojaa yrityksen tietoverkko siten, ettei sinne voida tunkeutua Web Siten kautta. Tarkkaile tietojärjestelmän toimintaraportteja havaitaksesi ongelmia. Kontrollilokit tulee ylläpitää joko kryptattuna Web-serverillä tai erillisellä työasemalla yrityksen intranetissa. Varmista, että toimintasuunnitelma vastatoimista on tehty ja aina saatavilla siinä tapauksessa, että kotisivua hakkeroidaan Käytä kaikkia tietoturvallisuuden työvälineitä korjataksesi järjestelmän ongelmapaikkoja heti kun ne ovat käytettävissä Älä hyväksy järjestelmän ulkopuolista etähallinnointia ellei tässä yhteydessä käytetä kertakäyttösalasanoja tai kryptattuja yhteyksiä. Mikäli etähallinnointi on välttämätöntä varmista, että käytössä on turvattu yhteys Secure Shellin tai muun vastaavan ohjelman avulla. Varmista myös, että etähallinnointisopimuksessa on tietoturvallisuusasioista yksityiskohtaiset määräykset. Muuta kotisivua vain yrityksen intranetin kautta. Kotisivun hallinnoijan on pidettävä kotisivut alkuperäisenä yrityksen intranetin serverillä ja tehtävä kaikki muutokset siinä verkossa. Nämä päivitykset voidaan sitten postittaa avoimelle (julkiselle) serverille turvallisesti esim. SSL (Secure Socket Layer)-ohjelman avulla. tilata ja maksaa ostoksesi mistä tahansa maailmassa välittömästi ja omalta työasemaltasi, jopa nykyään WAP-selaimelta tai vastaavalta muulta laitteelta, jolla Internetyhteyden kautta on mahdollisuus selailla kotisivuja. Sähköinen kaupankäynti on monien etujen lisäksi tuonut joukon ongelmiakin, joista monet ovat juridisia ja kuluttajan suojaan liittyviä. Edelleen ns. dot-com osoitteiden (www.?.com) metsästäjät ovat haalineet suuren määrän kauppapaikkaosoitteita itselleen ja kaupittelevat niitä korkeaan hintaan. Tietoturvallisuus- ja tietosuojaongelmat noudattavat yleisiä, jo edellä kuvattuja Internetin ja tietoverkon ongelmia: e-businestahan pyöritetään kotisivuilla www-selainohjelman ja Internetprotokollan avulla. Paria tärkeää erityistä turvallisuusnäkökohtaa tulee kuitenkin tässä yhteydessä painottaa. 1. Työasemilla ja kotikoneissa kannattaa käyttää aina viimeisintä versiota www-selainohjelmasta. Tällä tavoin on mahdollista toteuttaa myös ajan tasalla olevaa tietoturvallisuutta asioitaessa verkkokaupassa. 2. Varmista, että luottamukselliset tiedot kuten henkilötiedot ja maksamista koskevat (mm. luottokortti) tiedot sekä esim. asiakkaan mahdollinen salasana siirretään vain salattuina. Luotettavat verkkokauppiaat hoitavat salauksen erillisten salaus- SÄHKÖINEN KAUPANKÄYNTI / E-BUSINESS Sähköinen kaupankäynti - e-business on tuonut kokonaan uuden mahdollisuuden ja ulottuvuuden Internetin käytössä: voit valita, 30

ohjelmien avulla. Salauksen olemassaolon tunnistaa selaimen alareunassa olevasta lukkosymbolista. Verkkokauppiaana on jokaisen erityisen tärkeä huolehtia asiakkaan tietoturvallisuudesta ja tietosuojasta siten, ettei luottamuksellisia tai yksityisyyden suojaan liittyviä tietoja voi esim. ulkopuolinen käyttää hyväksi. Tämä on samalla ehdoton edellytys sille, että verkkokauppa kehittyy ja käyttö sekä turvallisuus lisääntyvät. Muutoin verkkokaupasta ja siihen sisältyvistä keskeisistä asioista, mm. tietoturvallisuudesta saa tiivistä ja erittäin käyttökelpoista tietoa Tietotekniikan kehittämiskeskus ry:n (TIE- KE) oppaasta Ostoksilla verkkokaupassa. Oppaan www-palvelu on osoitteessa: www.tieke.fi/kauppa/ostoksilla 6.2 Tiedon käyttö- ja hallintalaitteiden turvallisuus Pienissäkin yrityksissä henkilöstön on hallittava lukuisa määrä teknisiä tiedon hallintalaitteita ja -järjestelmiä, joita kaikkia hyödynnetään tiedon käsittelyssä. Tavanomaiset matka-, sisä-, yms. puhelimet, faksit jne. erilaisten tietojärjestelmien lisäksi välittävät ja vastaanottavat yritystoiminnan kannalta tärkeää tietoa. Kun tietoa eri muodoissaan hallitaan yhä pienemmillä, mutta suuren kapasiteetin langattomilla käyttölaitteilla kuten taskutietokoneilla ja kommunikaattoreilla, on näiden laitteiden tietoturvallisuus myös varmistettava. Tiedonhallintalaitteita on osattava käyttää turvallisesti ja oikein. Laitteiden käyttöominaisuuksien tunteminen ja harjoiteltu, opittu käyttö ovat olennainen osa tietoturvallisuutta. Esim. kommunikaattoreissa ja matkapuhelimissa PIN-koodin ja NÄPPÄIMET LUKITTUtoiminnon käyttö ovat turvallisuustekijöitä. Ulko- puolinen ei voi käyttää löytämäänsä tai anastamaansa laitetta, joka on suljettu, ellei hän saa tietoonsa PIN-koodia. Näppäimet lukittu -toiminto estää aina sen kiusallisen tilanteen, että esimerkiksi matkapuhelinta taskuun, laukkuun, auton säilytystilaan tai vastaavaan laitettaessa huomaamatta painettu pikavalintanäppäin soittaa ja yhdistää puhelun niin, että vastaanottaja voi kuulla sellaisetkin keskustelut, joita ei ole hänen tietoonsa tarkoitettu. Vaikka telefaksien lähettäminen nykyaikana voi tapahtua jo tietokoneellakin sopivan ohjelman sovelluksena, on perinteisen faksin käyttö yhä yleistä. Tietoturvallisuuden kannalta faksin lähettäminen ei ole yhdentekevä asia. Ensiksikin faksi kulkee tavallisesti puhelinlinjoilla eli faksiliikenne toimii ikään kuin soittaisi puhelimella. Tärkeitä tietoja sisältävä faksiliikenne tulee joko salata, jolloin käytetään erityisiä salauslaitteita, tai vähintään soitolla vastaanottajalle varmistaa tiedon perillemeno oikealle henkilölle. Silloin, kun faksisanomia voi tulla ympäri vuorokauden ja viikonloppuisin, jolloin henkilöstö ei ole paikalla, fakseille on perusteltua järjestää lukittu postilaatikko tulostuksen yhteyteen. Tällöin faksit löytyvät yhdestä paikasta, kaikki eivät voi lukea toistensa fakseja jne. Faksin pikavalintanumeroiden käytössä on syytä olla huolellinen niin, ettei faksi mene esimerkiksi väärään (kilpailijan tms.) osoitteeseen. 31

7. Tietoturvallisuusmenettelyn soveltaminen yritystoimintaan Menestyneet yritykset ovat aina hallinneet myös omien yrityssalaisuuksiensa käytön. Tietoturvallisuuden toteuttaminen PKT-yrityksissä on osa normaalia yritystoimintaa. Laatutoimintaa harjoittavassa yrityksessä tietoturvallisuus on osa yrityksen laatua - samalla tavoin kuin turvallisuus on osa ammattitaitoa. Laadun ja ammattitaidon ylläpitäminen takaa myös turvallisuustason säilymisen yrityksessä. Paksujen manuaalien ja ohjekirjojen sijasta oikeat asenteet, koulutus, valvonta sekä vastuiden järjestäminen johtavat kestävään tietoturvallisuuskulttuuriin yrityksessä. Ohjeitakin tarvitaan yhtenäisen menettelyn luomiseksi ja ylläpitämiseksi ja juuri siinä tarkoituksessa tämäkin tietoturvallisuusopas on laadittu. Yritys itse tuntee parhaiten omat riskinsä. Sen vuoksi myös tietoturvallisuus on pääosin yrityksen itsensä suunniteltava ja toteutettava. Erityisen suositeltavaa on tutustua pienten ja keskisuurten yritysten riskienhallintahankkeeseen (PK-RH) kokonaisuudessaan kotisivujen välityksellä. Muut riskilajit sisältää mm. tietoriskit, josta on omat, monipuoliset ja helposti käytettävät työvälineet jokapäiväistä tietoturvallisuustyötä varten. Tämä palvelutoiminta on toistaiseksi kaikille ilmaista osoitteesta: www.pk-rh.com. Lisätietoa tietoturvallisuudesta on saatavilla vakuutusyhtiöistä, tietoturvallisuuskonsulteilta ja turvaalan yrityksistä. Tarvittaessa voi kääntyä myös TT:n yritysturvallisuustoimiston puoleen. 32

Lähteet Yhteystietoja Tämän oppaan valmistamisessa on käytetty seuraavaa lähdekirjallisuutta ja -materiaalia: Teemupekka Virtanen: Johtajan tietoturvallisuusopas Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA), 1995 Valtioneuvoston periaatepäätös tietoturvallisuuden kehittämisestä valtionhallinnossa 1/73/93 Matti Vuori, VTT Valmistustekniikka ja Tuija Kyrölä, TietoTurvaKoulutus Oy: PK-yrityksen riskienhallintahanke 1997, Pk-yrityksen riskienhallinnan työvälinesarja, TIETORISKIT Teollisuuden ja Työnantajain Keskusliitto Yritysturvallisuustoimisto tai PKT-osasto Eteläranta 10 00130 Helsinki Puh. (09) 68681 Fax (09) 6868 2316 Tilaukset MP-Keskus/julkaisujakelu Eteläranta 10 00130 Helsinki Puh. (09) 6868 2293 Fax (09) 6868 2330 Teksti on myös Internetissä, yritysturvallisuustoimiston kotisivulla: http://www.ytnk.fi Teollisuusvakuutus Oy: Yrityksen tietoturvallisuustieto-taito-asenne, Tammikuu 1997 Rautaruukki Oy: Perustietoa tietoturvallisuudesta, 10/1993 Kemira Oy: Työaseman ja PC:n käyttäjän muistikortti, lokakuu 1991 Neste Oy: Mikron käyttäjän muistilista, 1991 TIEKE Tietotekniikan kehittämiskeskus ry: Ostoksilla verkkokaupassa, 2000 33

Liite 1 Liitteet Yrityksen tietoriskien hallinta Tässä kortissa esitellään lyhyesti yrityksen tietoriskien hallinnan perusperiaatteet. Esimerkiksi tietoverkkojen suojaus vaatii laajempaa panostusta ja asiantuntijoiden hyödyntämistä. Tieto tärkeä tuotannontekijä Jokaisessa yrityksessä on tietoja, jotka ovat sen toiminnalle kriittisiä. Tällaisia ovat esimerkiksi asiakastiedot, tuotannonohjauksen tiedot, tuotteiden suunnitelmat, yms. Monessa yrityksessä tieto voi olla suurin pääoma. Tietojen suojaamiseen ei kuitenkaan, erityisesti pienissä yrityksissä, vielä kiinnitetä kylliksi huomiota. Sanotaan, että tieto lisää tuskaa. Voi hyvinkin olla. Se on ainakin varmaa, että tietojen hukkuminen lisää tuskaa! Tiedot suojattava Yrityksen tietojen pitää olla: Aina saatavilla Suojattuja onnettomuuksien varalta Oikeata, luotettavaa ja ajantasalla Ne eivät saa joutua ulkopuolisten käsiin Yksinkertainen tietoriskien hallinnan kysymyslista Tunnetaanko tietoriskit? Onko yrityksessä kartoitettu eri tietojen tärkeys ja kriittisyys? Onko niiden hallintaan luotu pelisäännöt? (Tietoriskianalyysi) Tiedot tallessa? Onko kaikki tärkeät tiedot tallennettu paperille tai tietokoneelle? Muuten ne unohtuvat. Miten toimitaan esimerkiksi avainhenkilön tapaturman sattuessa, jos tietoja ei ole tallennettu? Onko kaikista tallenteista kopio eri paikassa, esimerkiksi tulipalon varalta? Jos osoiterekisteri on pelkästään kännykässä, miten pärjäätte sen hukkuessa? Säilytetäänkö tietoja niin, että ulkopuolinen ei pääse niihin käsiksi? Säilytystila, tietokoneiden salasanasuojaus? Vieraiden hallinta? Jos tiedot häviävät, miten päästään takaisin jaloilleen? Kauanko kestää varmuuskopion otto käyttöön? Onko siihen aikaa? Yhteistyökumppanit Onko yhteistyökumppanien / alihankkijoiden tiedonhallinta kunnossa? Entä kopiolaitokset, painotalot, paperinkierrätyslaitokset? Henkilöstön toiminta Onko asiantuntijatietoa yhden henkilön varassa? Miten on varauduttu ko. henkilön poistumiseen? Päästäänkö tietoihin käsiksi, jos niiden hoitaja vaikka sairastuu (esimerkiksi sihteeri)? Kauanko se kestää? Onko henkilöstölle tehty pelisäännöt selväksi, mistä saa puhua asiakkaille ja muille ulkopuolisille? Pitäisikö tästä tehdä erityisiä sopimuksia? Vaikkapa uutta teknologiaa kehittävässä yrityksessä on tarpeen selvittää yritykseen palkattavien henkilöiden taustat (tietovuodon mahdollisuus). Miten suuri riski liittyy henkilöiden siirtymiseen kilpailijan palvelukseen? Rikollinen tausta voi lisätä riskiä tietovuotoon tai tyytymättömyyden syntyessä sabotaasiin. Miten teillä selvitetään työntekijöiden todelliset taustat? Pelkkä työtodistus ei riitä. Suosituttelijat? Kysely tutuilta? Tietojen hallinta on tarpeen käydä läpi henkilötasolla, sillä riippumatta mahdollisista toimintaohjeista ihmisten tavat ovat erilaisia! Onko henkilöstön kanssa käyty läpi tietosuojan periaatteet ja tärkeys? Oikeata tietoa ajantasalla? Ovatko tiedot ajantasalla? Miten ajantasalla pysyminen on varmistettu? Onko tietojen jäljitettävyys varmistettu? Dokumenttien yksilöinti, numerointi, päiväys... 34

Onko tiedot suojattu yrityksen sisällä niin, että vain ne, jotka tietoja käyttävät, pääsevät niihin käsiksi? Onko yrityksen tietoja helppo väärentää? Koituuko siitä riskiä? Onko matkoilla neuvottelut, messut mukana olevien tietojen katoaminen riski? Tietokoneet Onko tietojärjestelmien suunnittelijoilla ollut hyvät tiedot tietoriskeistä? Onko tietokoneiden ja ohjelmien käyttäjät koulutettu? Tietotekniikan perusteet? Ohjelmien käyttö? Tietoturvallisuuden perusteet (virukset ym.)? Osaavatko he palauttaa vahingossa tuhotun tiedoston? Otetaanko tiedostoista varmuuskopioita riittävän usein? Mistä kaikista ei oteta? Osaltaanko varmuuskopiot palauttaa tietokoneeseen? Onko varmuuskopiolaitteiston toimivuus testattu? Onko niiden palautus riippuvainen yhdestä ihmisestä? Valvotaanko tietojärjestelmien kuntoa? Esimerkiksi kovalevyjen kunto ja täyttyminen. Säännölliset tarkistukset... Onko virussuojaus kunnossa? Levykkeet? Internetistä siirretyt tiedostot? Kannettavien tietokoneiden tarkistus? Päivitetäänkö virustarkistusohjelmistoa kyllin usein? Onko ulkopuolisten pääsy yrityksen tietoverkkoon estetty luotettavasti? Internet? Sisäänsoittomodeemit? Henkilökohtaiset modeemit? Käytetäänkö tärkeimpien tietojen lähetyksessä salakirjoitusta? Onko salasanojen hallinta asianmukainen? Kaikki järjestelmät suojattu? Ei sallita helppoja salasanoja? Vaihto pakollinen määräajoin? Jos verkonvalvoja tai operaattori sairastuu, kuka pystyy hoitamaan hänen tehtävänsä? Miten on estetty tietokoneiden varastaminen? Julkiset tilat? Kannettavat tietokoneet? Mitä muuta Edellä oli listattu yleisiä tietoriskejä. Sinun yrityksesi voi toimia erityisiä riskejä aiheuttavissa olosuhteissa. Mitä ne ovat? Mitä listasta puuttuu? Ajatelkaa asiaa! Lisätietoja Tietoturvallisuus, tietosuoja, normit, ohjeet, säädökset, tietoturvallisuusviitteet. Valtionhallinnon tietoturvallisuuden johtoryhmä. http://www.vn.fi/vm/suomi/muuta/vahti/ vahti.htm (Sisältää keskeisiä koti- ja ulkomaisia linkkejä) Yrityksen tietoturvallisuus. Tieto - taito - asenne. Yritys-Sampo. 1997 35

Liite 2 Arvio tietoturvallisuuden tasosta Yrityksellä on johdon hyväksymä tietoturvapolitiikka, jossa tietoturvatavoitteet on määritelty selkeästi. Johto on sitoutunut tietoturvapolitiikkaan ja osallistuu näkyvästi tietoturvatyöhön. Organisaation eri tasot ymmärtävät tietoturvavastuunsa. Tietoturvapolitiikan pohjalta on laadittu henkilöstön tietoturvaohjeet. Henkilöstölle on annettu riittävästi tietoturvakoulutusta ja opastusta. Tietoturvarikkomukset raportoidaan ja analysoidaan. Kaikille tiedoille ja tietojärjestelmille on nimetty omistajat. Tiedot luokitellaan turvaluokkiin ja eri turvaluokkiin kuuluvien tietojen käsittelystä on annettu selkeät ohjeet. Tietojen turvalliseen käsittelyyn, säilytykseen ja hävittämiseen on olemassa tarvittavat välineet. Yrityksen kulunvalvonta on järjestelmällistä. Yrityksen vierailijoita varten on vierailusäännöt, joita noudatetaan käytännössä. Kaikki tärkeät tiedot varmistetaan säännöllisesti. Tärkeiden atk- ja tietoliikennelaitteiden sijoituksessa on otettu huomioon palo-, vuoto- ja rikosriskit. Tietojenkäsittelyn jatkuvuus on varmistettu huoltosopimuksilla ja ylläpitosopimuksilla. Pääsy tietojärjestelmiin edellyttää henkilökohtaista käyttäjätunnusta ja salasanaa. Käyttöoikeudet on rajattu vain työtehtävissä tarvittaviin tietoihin. Järjestelmien käyttöä seurataan jatkuvasti. Tietoliikenneyhteyksissä käytetään turvallisia ratkaisuja. Virustorjunta on jatkuvaa ja automaattista. Järjestelmistä on tuore, käyttöympäristön, ohjelmistot ja tiedot sisältävä suojakopio rakennuksen ulkopuolella. Tietojen ja tietojärjestelmien kriittisyys liiketoiminnalle on arvioitu. Kriittisiä tietojärjestelmiä varten on vararatkaisut ja suunnitelmat vararatkaisuun siirtymisestä (toipumissuunnitelma). Kaikilla avainhenkilöillä on nimetyt ja osaavat varahenkilöt. Henkilön kulku- ja käyttöoikeudet poistetaan välittömästi työsuhteen päättyessä. Vaitiolositoumus on osa työsopimusta ja ulkopuolisen palvelun hankintasopimusta. Tietoturvallisuus otetaan huomioon ostoissa, hankinnoissa ja sovelluskehityksessä. Laitteiden, sovellusten ja töiden dokumentointi on kunnossa. Tiedot, atk-laitteet ja -ohjelmat on vakuutettu tai jätetty harkitusti vakuuttamatta. RASTITA Ei ole Vaatii Kunnossa kehittämistä Yhteensä 36

Liite 3 Tietoturvallisuuden perusteet ja organisointi Tietoturvallisuus Perusteet * Lainsäädäntö * Yrityksen omat intressit * Yrityssalaisuudet * Salassapito- ja vaitiolositoumus Toteuttaminen * Tietoturvallisuuspolitiikka, -ohjelma ja -ohjeet = yleinen tietoturvallisuus + tietotekninen turvallisuus Vastuu * Yrityksissä linjavastuu * Yleinen vastuu jokaisella = yhtenäinen menettely * Erityisvastuut määritelty erikseen avainhenkilöille Valvonta * Linjaorganisaatiossa * Jokainen tehtävässään * Sisäinen tarkastus * Erityisdelegointi tehtävän mukaisesti esim. (tieto)hallintopäällikkö, (tieto)turvallisuusvastaava, tms. henkilö linjan apuna 37

Tietoturvallisuuden perusteet ja organisointi Tietoturvallisuus Luokittelu Tiedon/dokumentin tuottava Toimintayksikön päällikkö Keskustelu Vain siinä laajuudessa kuin liiketoiminnan ja tehtävien hoito edellyttää Salassapito ja Vaitiolo Yrityksen muu henkilöstö, joille asia ei kuulu Perheenjäsenet, tuttavat Konsultit Muut asiattomat ja ulkopuoliset Kun toiminnalliset tarpeet ( esim. kilpailu) sitä edellyttävät, jokaiseen sopimukseen tulee sisällyttää salassapitoa koskevat ehdot ja ohjeisto. Tällä menettelyllä on aina ennalta ehkäisevä ja rikkomis- tai rikostapauksissa näyttöä ja sanktiota selventävä vaikutus. 38

Liite 4 Vaitiolo- ja salassapitosopimukset Mallisopimuksia eri tilanteisiin Yksinkertaistettu malli konsulttia varten. Korostaa sinänsä jo muutoin laissa säädettyjä tilanteita. Osoittaa, että toimeksiantaja on kiinnittänyt asiaan erityistä huomiota ja on tässä mielessä sopimukseen perustuva moraalinen velvoite. Vaitiolositoumus Toimiessani PK Oy:ssä konsulttina sitoudun pitämään salassa tietooni tulevat ei-julkisiksi tarkoitetut luottamukselliset ja muut yrityssalaiset tiedot. Tämä salassapitovelvollisuus on voimassa vielä konsultoinnin päättymisen jälkeen. Helsingissä päivänä kuuta 20 Nimen selvennys Henkilötunnus 39

Sitoumusmalli yksittäisiä ulkopuolisia henkilöitä varten, jotka työskentelevät tietoturvallisuuden kannalta tärkeissä tiloissa ja saavat haltuunsa tähän liittyvää tietoa. PK Oy Ulkopuolisen työntekijän salassapitositoumus Työskentely PK Oy:n toimitiloissa edellyttää kaikkien osapuolten keskinäistä luottamuksellisuutta. Työskentelyssä on noudatettava seuraavia menettelytapoja: 1. Valokuvaus sekä kuva- ja äänitallennus on kielletty ilman PK Oy:n lupaa. 2. Toimitiloissa ei ole sallittu ilman PK Oy:n lupaa luonnosten ja muistiinpanojen tekeminen projekteista, asiakkaista, tuotteista, tuotantotekniikasta, toimittajista, rakennustavoista ja niiden yksityiskohdista, eikä turvallisuustekniikasta ja turvallisuusvalvonnasta. 3. Esillä oleva tai esiteltävä aineisto on PK Oy:n omaisuutta. Mukana voi viedä ainoastaan PK Oy:n vastuuhenkilön erikseen luovuttamaa materiaalia. 4. Liikkuminen ja oleskelu on sallittu ainoastaan työtehtävien edellyttämässä laajuudessa. 5. Vieraskortti on pidettävä aina näkyvillä. 6. Annetut ja saadut tiedot ovat luottamuksellisia. Niitä ei saa luovuttaa tai muuten paljastaa ulkopuolisille tai sivullisille edes sen jälkeen kun työsuhde PK Oy:n kanssa on päättynyt. Olen perehtynyt edellä oleviin ehtoihin sekä yrityksessä ja sen alueella työskentelevien ulkopuolisten työntekijöiden toiminta- ja turvallisuusohjeisiin. Sitoudun noudattamaan niitä samoin kuin muita erikseen annettuja ohjeita tai määräyksiä. Niiden rikkominen saattaa eräissä tapauksissa muodostaa rikokseksi katsottavan teon. Helsingissä päivänä kuuta 20 Työntekijän nimi Nimen selvennys Työntekijän edustama toiminimi 40

Sopimus salassapidosta PK Oy:n ja suunnittelutoimiston välillä 1. Suunnittelutoimisto sitoutuu pitämään salassa PK Oy:n ei-julkisiksi tarkoitetut luottamukselliset ja muut yrityssalaiset tiedot, jotka tulevat sen tietoisuuteen toimeksiannon tai projektin toteuttamisen yhteydessä. Tällaisia ovat erityisesti merkittävää taloudellista arvoa omaavat tiedot sekä tiedot turvallisuus- ja varautumisjärjestelyihin, rakenteelliseen turvallisuuteen ja turvallisuustekniikkoihin ja -valvontaan liittyvistä järjestelmistä ja yksityiskohdista. 2. Suunnittelutoimisto saattaa toimeksiantoon liittyvän henkilöstönsä tietoon tämän sopimuksen salassapitovelvoitteet sekä sitoutuu valvomaan ja vastaamaan, että he noudattavat tätä sopimusta. Mikäli suunnittelutoimisto käyttää alihankkijaa, sen tulee hyväksyttää se PK Oy:n edustajilla suunnittelukokouksessa tai muussa vastaavassa tilaisuudessa ja se on velvollinen valvomaan, että myös alihankkija noudattaa tätä sopimusta. 3. Suunnittelutoimiston tulee hyväksyttää PK Oy:n toimeksiantoon liittyvä oma ja alihankkijan/joiden henkilöstö PK Oy:n yhdyshenkilöllä toimittamalla hänelle tiedot ko. henkilöistä ja ilmoittamalla etukäteen mahdollisista henkilöstömuutoksista. 4. Suunnittelutoimisto sitoutuu PK Oy:n turvallisuusluokiteltujen piirustusten, asiapapereiden yms. tietojen osalta noudattamaan liitteessä olevia säilytys- ja käsittelyohjeita. 5. Suunnittelutoimisto sitoutuu työn päätyttyä luovuttamaan kaikki työhön liittyvät piirustukset, asiakirjat tms. PK Oy:lle. 6. Liikkuminen ja oleskelu PK Oy:n tiloissa on sallittu ainoastaan työtehtävien edellyttämässä laajuudessa. Liikkumista varten tarvittavat kulkuavaimet ja vieraskortti kuitataan päivittäin valvontapisteestä. Kortti on pidettävä näkyvillä ja palautettava kulkuavaimen kanssa lähdettäessä pois rakennuksesta. 7. Suunnittelutoimisto saa/ei saa ilman erikseen annettavaa lupaa kaupallisena referenssinä mainita tehneensä suunnittelutyötä PK Oy:lle. 8. Kohdassa 1 mainitut seikat sekä kohdassa 2 mainitut velvollisuudet sitovat suunnittelutoimistoa myös työn päätyttyä. 9. PK Oy:n yhdyshenkilönä tämän sopimuksen toteuttamiseen liittyvissä kysymyksissä toimii XX. Helsingissä päivänä kuuta 20 Suunnittelutoimisto 41

Sopimus salassapidosta PK Oy:n ja urakoitsijan/laitetoimittajan välillä 1. Urakoitsija/laitetoimittaja sitoutuu pitämään salassa toimeksiannon tai projektin toteuttamisen yhteydessä sen tietoon tulevat, PK Oy:n ei-julkisiksi tarkoitetut luottamukselliset tai muut yrityssalaiset tiedot, kuten turvallisuus- ja varautumisjärjestelyt sekä niihin liittyvät rakenteet ja tekniset järjestelmät. 2. Urakoitsija/laitetoimittaja saattaa työhön liittyvän vain välttämättömän henkilöstönsä tietoon tämän sopimuksen salassapitovelvoitteet sekä sitoutuu valvomaan ja vastaamaan, että he noudattavat tätä sopimusta. Mikäli urakoitsija/laitetoimittaja käyttää alihankkijoita, sen tulee hyväksyttää ne PK Oy:n yhdyshenkilöllä suunnittelu/työmaakokouksessa tai muussa vastaavassa tilaisuudessa ja se on velvollinen valvomaan myös niiden osalta tämän sopimuksen noudattamista. 3. Urakoitsijan/laitetoimittajan tulee ilmoittaa etukäteen PK Oy:n töissä käyttämänsä oma sekä alihankkijan henkilöstö kirjallisesti nimineen ja työtehtävää koskevalta nimikkeeltä PK Oy:n valvojalle tai yhdyshenkilölle. 4. Urakoitsija/laitetoimittaja sitoutuu PK Oy:n turvallisuusluokiteltujen piirustusten, asiapapereiden yms. tiedon taltiointijärjestelyjen suhteen noudattamaan liitteessä olevia säilytys- ja käsittelyohjeita. 5. Urakoitsija/laitetoimittaja sitoutuu vastaanottotarkastuksessa luovuttamaan kaikki työhön liittyvät piirustukset, asiakirjat yms. PK Oy:lle. 6. Liikkuminen ja oleskelu PK Oy:n tiloissa on sallittu ainoastaan työtehtävien edellyttämässä laajuudessa. Liikkumista varten tarvittavat kulkuavaimet ja vieraskortti kuitataan päivittäin valvontapisteestä. Kortti on pidettävä näkyvillä ja palautettava kulkuavaimen kanssa lähdettäessä pois rakennuksesta. 7. Urakkaa/laitetoimitusta tms. koskevien tietojen antaminen tiedotusvälineille tai muille ulkopuolisille sekä valokuvaaminen saa tapahtua vain PK Oy:n yhdyshenkilön tai työmaan valvojan erikseen antamalla luvalla ja hänen valvonnassaan. 8. Urakoitsija/laitetoimittaja saa/ei saa ilman erikseen annettavaa lupaa kaupallisena referenssinä mainita urakoinnista/laitetoimituksista PK Oy:lle. 9. Kohdassa 1 mainitut seikat sekä kohdassa 2 mainitut velvollisuudet sitovat urakoitsija/laitetoimittajaa myös työn/toimituksen päätyttyä. Helsingissä päivänä kuuta 20 Urakoitsija/Laitetoimittaja 42

Tämä ohjemalli on tarkoitettu otettavaksi käyttöön ja sovellettavaksi erityisesti sellaisissa rakennuskohteissa, joihin liittyy turvallisuusrakenteita, -järjestelmiä tai sellaista toimintaa, johon liittyy huomattavia (tieto)turvallisuusnäkökohtia Uudisrakennuksen turvallisuusohje A Tiedottaminen 1. Rakennusprojektin tiedottamisesta huolehtii PK Oy. Urakoitsija, aliurakoitsija, heidän työntekijänsä tai muut rakennustoiminnassa olevat henkilöt eivät saa antaa mitään projektia koskevia tietoja televisiolle, radiolle, lehdistölle tai muille tiedotusvälineille eikä ulkopuolisille. 2. Valokuvaaminen rakennustyömaalla ja sen välittömässä läheisyydessä on ilman PK Oy:n erikseen antamaa lupaa kielletty. B Yhteydet viranomaisiin 1. Hätätilanteita lukuunottamatta yhteyksistä palo- ja pelastus-, poliisi-, yms. viranomaisiin huolehtii PK Oy. Rakennustoiminnan vaatima yhteydenpito edellä mainittuihin tulee suorittaa PK Oy:n yhdyshenkilön välityksellä tai luvalla. C Rakennuspiirustukset ja niihin verrattavat asiakirjat 1. Urakoitsijan, aliurakoitsijan, heidän työntekijänsä tai muun rakennuspiirustuksia haltuunsa saaneen henkilön tulee säilyttää piirustukset lukituissa kaapeissa ja lukituissa huonetiloissa aina kun niitä ei välittömästi työmaalla tarvita. 2. Rakennuspiirustuksia ei saa millään tavoin jäljentää eikä antaa ulkopuolisille ilman PK Oy:n lupaa. 3. Urakoitsijan, aliurakoitsijan, heidän työntekijänsä tai muun rakennuspiirustuksia hallussaan pitävän henkilön tulee luovuttaa piirustukset ja niihin verrattavat asiapaperit PK Oy:n rakennustyömaan valvojalle aina työn tai työvaiheen päätyttyä kuitenkin viimeistään lopputarkastuksessa. D Työmaan henkilöstö 1. Urakoitsija, aliurakoitsija ja muut rakennustyötä teettävät velvoitetaan toimittamaan nimiluettelo työmaalla työskentelevistä PK Oy:n rakennustyömaan valvojalle. Luetteloa tulee täydentää kuukausittain uusien henkilöiden osalta. E Yhdyshenkilöt 1. Tämän ohjeen edellyttäminä sekä epäselvissä tapauksissa tulee kääntyä seuraavien PK OY:n edustajien puoleen: PK Oy:n rakennustyömaan valvoja XX, puh. XX. PK Oy:n muu edustaja XX, puh. XX 43

Tämä malli on tarkoitettu järjestelmä- tai sovellusvastuuhenkilöille osoittamaan erityistä tietoturvallisuusvastuuta osana toimenkuvaa ja työsopimusta. Tämän konkretisoidun vastuupaperin osalta on tärkeää muistaa ylläpito eli merkitä muutokset tietoryhmien ja tehtävän muutosten yhteydessä. PK Oy Tietoturvallisuusvastuu Allekirjoittaneelle on / 20 selvitetty työtehtäviin liittyvä tietoturvallisuusvastuu sekä ne tieto- ja asiaryhmät, joita koskevia tietoja EI SAA LUOVUTTAA ulkopuolisille. Allekirjoittanut sitoutuu olemaan hankkimatta tietoja muulta kuin omalta vastuualueeltaan eri sovelluksissa erikseen määritellyssä laajuudessa. Tiedot ja asiaryhmät on pääpiirteissään lueteltu tämän sitoumuksen alaosassa. Allekirjoittanut sitoutuu toimimaan työssään siten, että tietoturvallisuus säilyy mainittujen tietojen osalta. Päiväys ja allekirjoitus Tietoturvallisuuteen kuuluvat tieto- ja asiaryhmät Henkilöstöön liittyvät palkka- ja muut vastaavat tiedot kokonaisuudessaan Taloudellisiin laskelmiin liittyvät tiedot sekä hintatiedot Tuotannolliset laatu- ja määrätiedot Tuotannon ja toiminnan tilastotiedot Raportointitiedot 44

Yleinen sopimusmalli kaikille tietoturvallisuuden avainhenkilöille yrityksessä. Tämä sopimus edellyttää, että tietoturvallisuusohjeet ovat olemassa ja tärkeimmät yrityssalaisuudet on luokiteltu. Liitetään osaksi työsopimusta PK Oy Vaitiolo- ja salassapitositoumus Olen lukenut ja ymmärtänyt PK Oy:n tietoturvallisuusohjeet ja annan sitoumukseni siitä, että työsuhteeni aikana PK Oy:ssä ja työsuhteeni päätyttyä en paljasta kokonaan tai osittainkaan kolmannelle osapuolelle tai käytä omaksi edukseni tietoja, jotka koskevat PK Oy:n, sen tytäryhtiöiden tai asiakkaiden liike- ja ammattisalaisuuksia, jotka on luokiteltu PK OY:n yrityssalaisuuksiksi. Tämä salassapitosopimus ei kuitenkaan koske tietoja, jotka a) ovat olleet todistettavasti allekirjoittaneen hallussa ennen sitoumuksen voimaantuloa (koulutus, kokemus, tietotaito) b) ovat yleisesti tunnettuja ennen sitoumuksen voimaantuloa c) tulevat yleisesti tunnetuksi työsuhteen aikana tai sen jälkeen ilman allekirjoittaneen tai kolmannen osapuolen luvatonta toimintaa tai laiminlyöntiä. Työsuhteeni päättyessä luovutan kaikki haltuuni annetut PK Oy:tä, sen tytäryhtiöitä tai asiakkaita koskevat, liike- ja ammattisalaisuuksia ja/tai muuta taloudellista arvoa sisältävät esineet ja dokumentit (pöytäkirjat, muistiot, piirustukset, tietovälineet ja -ohjelmat, suunnitelmat, keskeneräiset dokumentit yms.) takaisin PK Oy:lle. Tässä sitoumuksessa mainittu vaitiolo- ja salassapitovelvoite sitoo allekirjoittanutta kahden (2) vuoden ajan työsuhteen päättymisen jälkeen. Tätä sopimusta on tehty kaksi samanlaista kappaletta, yksi kummallekin osapuolelle. Helsingissä päivänä kuuta 20 PK Oy pp. Olen luovuttanut tänään kaikki yllä mainitut esineet ja dokumentit takaisin PK Oy:lle. Päiväys Allekirjoitus 45

Mikäli erillistä vaitiolo- tai salassapitosopimusta ei ole tehty (= katsotaan, että TSL 15 riittää), on kuitenkin henkilön työsuhteen päättyessä tärkeä saada kirjallinen vakuutus siitä, että kaikki tärkeät dokumentit, tietovälineet, piirustukset jne. on myös luovutettu takaisin. Tämä voi olla myös osa henkilöstöhallinnon käytännön toimenpiteitä työsopimuksen irtisanomisen, erottamisen, tms. tilanteen yhteydessä. Mikäli henkilö allekirjoittaa vakuutuksen, alaosaa ei tarvita. Vakuutus Työsuhteeni päättyessä olen tänään luovuttanut kaikki haltuuni annetut PK Oy:tä, sen tytäryhtiöitä tai asiakkaita koskevat yrityssalaisuuksia (= liike- ja ammattisalaisuus) ja/tai muuta merkittävää taloudellista arvoa sisältävät esineet ja dokumentit (= pöytäkirjat, muistiot, piirustukset, tietovälineet ja -ohjelmat, suunnitelmat, keskeneräiset dokumentit yms.) takaisin PK Oy:lle. Helsingissä päivänä kuuta 20 Allekirjoitusta pyydettäessä on kieltäytynyt todistajien läsnäollessa allekirjoittamasta tätä vakuutusta. Helsingissä päivänä kuuta 20 Todistajat 46

Liite 5 Tietoturvallisuuden torjuntakeinot Luettelo ja määritelmät HALLINNOLLINEN TURVALLISUUS on kokonaisuus, joka muodostuu yritysjohdon hyväksymistä tietoturvallisuusperi- aatteista, vastuunjaosta, tarkoitukseen varatuista resursseista ja riskien arvioin- nista. Varsinaiset tietoturvallisuustoimenpiteet perustuvat ohjeisiin ja suosituksiin. Oikeat asenteet ja niiden soveltaminen henkilökohtaisessa tietoturvallisuustyössä ovat toiminnan onnistumisen ja tietoturvallisuuskulttuurin syntymisen edellytys. HENKILÖSTÖTURVALLISUUS tarkoittaa menettelyä, jonka avulla vältetään riskejä tärkeiden avainhenkilöiden oikealla valinnalla, koulutuksella sekä irtisanomisten yhteydessä noudatettavilla menettelytavoilla. Tämän osaalueen piiriin kuuluvat myös huolehtiminen sijaisista ja tilapäisistä työntekijöistä sekä alihankinnan ja ulkopuolisten palvelujen luotetta- vuuden varmistaminen. FYYSINEN TURVALLISUUS tarkoittaa niitä toimenpiteitä, joilla suojataan tietojenkäsittelyyn liittyviä kohteita fyysisiltä tapaturmilta, onnettomuuksilta tai vahingoilta. Laitteet ja tietovarastot suojataan erityisesti asiaankuulumattomilta henkilöiltä ja erilaisilta palo-, vesi-, sähkö-, murto- ja kiinteistövahingoilta. TIETOLIIKENNETURVALLISUUS tarkoittaa toimenpiteitä, joilla varmistetaan tietojen turvallisuus niiden liikkuessa järjestelmästä toiseen joko yrityksen sisällä tai ulkopuolisessa tietoliikenteessä. LAITTEISTO- JA OHJELMISTOTURVALLISUUS tarkoittaa tietojärjestelmissä olevia turvallisuusominaisuuksia ja niiden toteutta- mista joko tietokonelaitteistoa tai -ohjelmistoa hyväksikäyttäen. Nämä voivat liittyä esimerkiksi käyttäjän tai toisen järjestelmän tunnistamiseen, käyttäjän oikeuksien rajoittamiseen tai siihen, että käyttäjää estetään saamasta hänelle kuulumattomia tietoja ohi järjestelmän. TIETOAINEISTOTURVALLISUUS tarkoittaa tietojen ja niitä sisältävien järjestelmien tunnistusta, luokittelua ja valvontaa käsittelyn eri vaiheissa. KÄYTTÖTURVALLISUUS tarkoittaa sellaisten menettelyjen luomista, joilla tietoturvallisuuden taso säilytetään päivittäisessä toiminnassa. 47