Ovatko yrityksesi tietoriskit hallinnassa? Käytännön tietoturvallisuusopas PK-yrityksille Uudistettu laitos Teollisuus ja Työnantajat 3
010 1101001010011 010010111010001
4
Sisällysluettelo SAATTEEKSI 6 1. Johdanto 7 2. Tietoturvallisuuden merkitys yritystoiminnalle 8 3. Mitä tietoturvallisuus on 13 4. Mitä laki sanoo tietoturvallisuudesta 14 5. Yrityksen yleinen tietoturvallisuus 16 5.1. Tietoturvallisuus ja laatu 16 5.2. Yrityksen tietoturvallisuusperiaatteet ja -politiikka 17 5.3. Tietoturvallisuusohjelma 18 5.4. Tietoturvallisuusvastuut yrityksessä 19 LÄHTEET 33 YHTEYSTIETOJA 33 LIITTEET 34 1 Yrityksen tietoriskien hallinta: työvälinekortti 2 Arvio tietoturvallisuuden tasosta: arviolomake 3 Tietoturvallisuuden perusteet ja organisointi : kalvopohjat 4 Vaitiolo- ja salassapitosopimukset: mallisopimuksia eri tilanteita varten 5 Tietoturvallisuuden torjuntakeinot: luettelo ja määritelmät 5.5. Tietoaineiston luokittelu 20 5.6. Tietoturvallisuus ja henkilöstö 21 5.7. Kulunvalvonta ja vierailut 23 5.8. Työ- ja liikematkat 23 6. Tietotekninen turvallisuus 25 6.1. Internet ja sähköposti 29 6.2 Tiedon käyttö- ja hallintalaitteiden turvallisuus 31 7. Tietoturvallisuusmenettelyn soveltaminen yritystoimintaan 32 5
Saatteeksi Huoli tietoturvallisuudesta on osaamisen ohella suurin pulma uuden tietotekniikan käyttöönotossa. Tietoturvallisuudesta huolehtiminen vaatii myös osaamista. Kaikkea olennaista tietoa ei tarvitse itse osata tai hallita. Koeteltua osaamista näissä kysymyksissä on runsaasti siirrettävissä yritysten käyttöön. Tärkeää onkin tietää mitä ja miten pitää tietoja turvata juuri minun yrityksessäni ja mistä tämän turvan saa. Jokaisen yrityksen on kuitenkin itse toteutettava tietoturvallisuusmenettelynsä. Tekninen tietoturvallisuus on tietysti vain osa, mutta hyvin nopeasti kasvava osa yrityksen koko tietoturvallisuutta. Tietoturvallisuus on taas puolestaan osa koko yrityksen riskien hallintaa. Kaikkia näitä kysymyksiä on käsitelty tässä lähinnä PK-yrityksille tarkeässä uusitussa oppaassa. Teollisuuden ja Työnantajain Keskusliiton PKT-valtuuskunta on pitänyt tärkeänä tietoturvallisuusasian edistämistä ja sen viemistä jäsenyrityksiin mahdollisimman käytännönläheisellä oppaalla. Opas on oheismateriaalina myös valtakunnallisissa TT:n, KTM:n ja TE-keskusten järjestämissä "Täysteho tietotekniikasta seminaareissa". Tänä päivänä harva yritys on enää vastuussa vain omasta tietoturvallisuudestaan. Erittäin nopeasti kehittyvät informaatiojärjestelmät yritysten ja niiden sidosryhmien välisessä verkottuneessa toimintaympäristössä lisäävät tietoturvallisuuden vaatimuksia ja vastuuta. Pysyäkseen mukana tässä kehityksessä yrityksen pelkkä tekninen valmius mikä tänään on jo itsestään selvä vaatimus yhteistyösuhteissa ei enää riitä. Tässä oppaassa selostetaan, mitä laki sanoo tietoturvallisuudesta ja mitä vahinkoa kärsineeltä yritykseltä on oikeuskäsittelyssä edellytetty ja mitä oikeudenkäynneistä on opittu. Yrityksen on esim. annettava henkilöstölleen riittävät ohjeet. Yrityssalaisuuden on oltava riittävän selvästi määritelty ja sillä on oltava taloudellista merkitystä. Oppaassa annetaan ohjeita yrityksen tietoturvallisuusohjelman laatimiseksi, käsitellään yrityksen tietoturvallisuusvastuita ja selvitellään tietoaineiston luokittelua. Lisäksi selostetaan millaisia sopimuksia yrityksen kannattaa tehdä tietoturvallisuuden takaamiseksi, käsitellään kulunvalvontaa ja vierailujen turvallisuusjärjestelyjä, työ- ja liikematkoja sekä atk- ja tietoteknistä turvallisuutta keskeisimpien sovellutusten kuten Internetin, sähköpostin, kotisivujen ja verkkokaupan yhteydessä. Oppaassa esitellään PK-yritysten riskien ja erityisesti tietoriskien hallintaan sopivia työkaluja. Oppaassa on myös tarkistuslista, jonka avulla yritys voi arvioida tietoturvallisuutensa nykyistä tasoa. Vaikka opas on laadittu lähinnä PK-yritysten tarpeisiin, siitä on apua kaikille yrityksille. Oppaan liitteinä on runsaasti erilaisia vaitiolo- ja salassapitosopimusmalleja, joita yritys voi käyttää palkatessaan uusia työntekijöitä avaintehtäviinsä. Helsingissä 15.2. 2001 Johannes Koroma Toimiva tiedonvälitys ja tietojärjestelmien käytön edistäminen edellyttävät, että tietojärjestelmät ovat tehokkaista ja laadullisesti tasokkaista sekä erityisesti sitä, että tiedon turvaaminen on hoidettu ja siihen luotetaan. Tietoturvallisuus on korostuva osa yritysten laatua ja luotettavuutta. 6
1. Johdanto Elämme tieto- ja systeemiyhteiskunnassa, jossa tieto, työ ja palvelut verkottuvat. Se antaa toisaalta lisääntyviä mahdollisuuksia pienille ja keskisuurille yrityksille, mutta edellyttää myös tähän kehitykseen liittyvien riskien huomioon ottamista ja hallintaa. Kaikkien yritysten keskeiset toiminnot ovat riippuvaisia tiedoista ja tietojärjestelmistä. Riippuvuus lisääntyy tietojärjestelmien kehityksen sekä tietoteknologian uusien sovellusmahdollisuuksien myötä. Teollisuuden ja Työnantajain Keskusliiton PKT-valtuuskunta on pitänyt tärkeänä tietoturvallisuusasian edistämistä ja sen viemistä jäsenyrityksiin mahdollisimman käytännönläheisellä oppaalla. edessä. Ne ovat korostuneet valtavasti lisääntyneen Internetin käytön ja sen uusien sovellusten myötä. Virukset, kotisivujen ja sähköpostin sabotointi ja eräät sähköisen kaupankäynnin tietoturvallisuusongelmat ovat asettaneet uusia haasteita. Tietoturvallisuustoimintaa ohjaavaa lainsäädäntöä on tullut olennaisesti lisää ja sitä on myös muutettu kahden viime vuoden aikana. Tämän vuoksi on tullut tarpeelliseksi päivittää alkuperäistä opasta ja käsitellä tietoturvallisuutta eräiltä osin yksityiskohtaisemmin uuden tiedon pohjalta. Kirjoittajana on toiminut edelleen TT:n yritysturvallisuustoimiston päällikkö Kalevi Tiihonen. Tuloksena syntyi maaliskuussa 1998 opas, joka käsitteli laajasta tietoturvallisuuden kentästä vain niitä keskeisiä asioita, joilla on huomattavampaa merkitystä käytännön yritystoiminnan kannalta PK- yrityksille. Tämän jälkeen tietojärjestelmien käyttö, uudet sovellukset ja erityisesti tietotekniikan kehitys ovat edenneet suurin harppauksin. Samanlainen kehitys on ollut havaittavissa myös tietoturvallisuudessa. Uusia, entistä tehokkaampia tuotteita on tullut markkinoille, mutta samalla tietoturvallisuuden rakentaminen ja ylläpito on tullut yhä vaativammaksi ja vaikeammaksi uusien uhkien 7
2. Tietoturvallisuuden merkitys yritystoiminnalle Työntekijä irtisanoutui ja meni kilpailijan palvelukseen. Tätä ennen hän oli kopioinut yrityksen kustannuslaskelmatietoja, toimintasuunnitelmia sekä kone- ja laitteistopiirustuksia tietovälineelle, jonka antoi kilpailevan yrityksen käyttöön. Taloudelliset vahingot edelliselle työnantajalle olivat merkittävät. Henkilö tuomittiin yrityssalaisuuden rikkomisesta ja kilpailevan yrityksen toimitusjohtaja yrityssalaisuuden väärinkäytöstä. Yrityssalaisuuden rikkomisesta tuomittiin niin ikään henkilö, joka irtisanoutui ja perusti itse saman alan yrityksen. Hän yritti varmistaa uudet asiakassuhteet kopioimalla entisen työnantajansa asiakasrekisterin. Tekijälle tuomittiin lisäksi tuntuva vahingonkorvausvelvollisuus ja velvoite palauttaa kopioitu materiaali. Alihankintaketjussa oli useita toimittajia, jotka valmistivat komponentteja elektroniseen laitteeseen. Laitteen oli kehittänyt henkilö A, jolla oli sellainen määräämisvalta alihankinnassa tapahtuvaan tuotantoon, että ilman hänen lupaansa ei piirustuksia eikä tuotanto-ohjelmaa saanut luovuttaa kenellekään. Lopullisen tuotteen tilaaja halusi ottaa koko tuotannon haltuunsa ja vaati alihankkijoilta piirustukset ja tuotanto-ohjelman itselleen. Lopputuotteen tilaaja saikin eräältä alihankkijalta piirustukset ja tuotanto-ohjelman. Alihankkija tuomittiin yrityssalaisuuden rikkomisesta ja lopputuotteen tilaajaa yritysvakoilusta. Erään tuotantolaitoksen keskusvalvomon mikrotietokone (PC), jossa oli valvomo-ohjelmisto, lakkasi toimimasta kesken kiireisen tuotannon Syyksi osoittautui tietokonevirus, joka tarttui kaikkiin ohjelmiin johtaen toimintahäiriöihin ja virhetoimintoihin. Sama virus löytyi kaikista niitä levykkeistä, joita oli käytetty tutkittaessa ao. PC:n toimimattomuutta. Viruksen siivoaminen ja toiminnan palauttaminen maksoivat sekä tuotannon keskeytymisenä että muina toimenpiteinä yritykselle satojatuhansia markkoja. Yhden tietokoneen puhdistus maksoi tietokoneen verran. Jos virus olisi päässyt leviämään mikroverkkoon liitettyihin muihin mikroihin (100 kpl) tai muihin tuotannonohjausjärjestelmiin, olisivat vahingot olleet katastrofitilanteeseen rinnastettavia. Elektroniikkayrityksen projektijohtaja vei mennessään tuotantotietoja ja häntä seurasi joukko työntekijöitä, joilla oli tärkeitä projektitietoja. Suuryrityksen ulkomaanyksikössä työskentelevä henkilö tallensi esimiehensä työasemalta tiedostoja, joita hyödynsi 8
omiin tarkoituksiinsa ja luovutti niitä kolmannelle osapuolelle. Ulkomaanyksikössä toimiva ulkomaalainen asiantuntija jäi verekseltään kiinni imuroidessaan tietokoneen kovalevyltä yrityssalaisia tietoja. Samasta hakkerikeskuksesta sabotoitiin erään merkittävän kansainvälisen pörssiyrityksen ja useiden viranomaisten kotisivuja siten, että niillä olevia tietoja hävitettiin ja muunneltiin ja niihin lisättiin asiattomia kuvia, tekstejä ja muita yksityiskohtia. Näin aiheutettiin ao. yritykselle ja viranomaisille merkittäviä toiminnallisia ja taloudellisia vahinkoja sekä uskottavuusongelmia. Erään pohjoismaisen energiayhtiön sähköpostijärjestelmä saatiin lähes vuorokauden ajaksi toimintakyvyttömäksi, kun sen järjestelmään lähetettiin eri paikoista yhtäaikaisesti valtava määrä asiattomia sähköpostiviestejä - nämäkin harkitusti vahingoittamistarkoituksessa. Ongelman hoitaminen maksoi tuolloin miljoonia markkoja. Edellä kuvatut esimerkit ovat kaikki yrityksen tietoturvallisuuteen liittyneitä käytännön tapauksia, joiden vaikutukset ao. yrityksille ovat olleet merkittäviä sekä taloudellisesti että toiminnallisesti. Jonkinlaista kuvaa rikoslain tietoturvallisuuteen liittyvien säännösten vastaisen toiminnan kehityssuunnasta voidaan saada esimerkiksi tarkastelemalla vuosien 1997-1999 poliisille tehtyjä rikosilmoituksia rikosnimikkeillä yritysvakoilu (RL 30:4), yrityssalaisuuden väärinkäyttö (RL 30:6), viestintäsalaisuuden loukkaus (RL 38:3), törkeä viestintäsalaisuuden loukkaus (RL 38:4) ja tietomurto (RL 38:8). Valtaosa rikosilmoituksista - joita on yhteensä 391 - liittyi viestintäsalaisuuden rikkomiseen ja tietomurtoon, mutta 20-30 tapauksista oli mielenkiintoisia yritysvakoilun kannalta. Näiden rikosten yksityiskohdista voidaan päätellä tekotapojen muuttuneen siten, että tietotekniikan hyväksikäyttö on lisääntynyt ja teko on tehty yhä useammin kaupallisen tai ammatillisen hyödyn tavoittelemiseksi. Näistä luvuista huolimatta suuri osa yrityssalaisuuksiin tai yksityisyyden suojaan liittyvästä rikollisesta toiminnasta on piilorikollisuutta eivätkä läheskään kaikki rikosilmoitukset johda oikeusprosessiin. Muista selvityksistä ilmenee edelleen, että joka kymmenes suomalainen pk- huipputeknologiayritys on joutunut yritysvakoilun tai muutoin sopimattoman, tiedustelutarkoituksessa tapahtuvan tiedonhankinnan kohteeksi. Valtaosa näistä yrityksistä katsoo, että niillä on merkittävää yrityssalaisuudeksi katsottavaa taitotietoa sähköisessä muodossa tietojärjestelmissään. Käsiteltyjen oikeustapausten perusteella voidaan arvioida, mitä yrityksissä tulisi tehdä yrityssalaisuuksien suojelemiseksi. Yleisesti voidaan todeta, että lähes kaikissa tarkastelluissa oikeustapauksissa rikoksen tekijänä on ollut yrityksen oma tai entinen työntekijä. Kyseessä ovat olleet tietojärjestelmissä ja piirustuksissa olevat yrityssalaisuudet. Kaikissa tapauksissa vahinkoja kärsineeltä asianomistajalta (yritykseltä) on vaadittu huomattavia ja riidattomia näyttöjä tietoturvallisuustoimenpiteistä ja taloudellisista vahingoista. Mitä oikeuden päätöksissä on edellytetty vahinkoa kärsineeltä yritykseltä esimerkiksi tosiasiallisen salassapidon osalta? Selvitystä siitä, mikä on turvallisuustyön merkitys yrityksen strategioissa ja liiketoiminnan tavoitteissa. Selvitystä siitä. millaisia salassapitosopimuksia työsopimuksen solmimisen tai toimeksiantojen yhteydessä on tehty. Selvitystä tietoturvallisuusohjeista ja siitä, että henkilöstö on saanut ohjeet tietoonsa. Selvitystä annetusta tietoturvallisuuskoulutuksesta ja sen aiheista sekä henkilöstön osallistumisesta. Selvitystä käytännössä toteutetuista tietoturvallisuustoimenpiteistä. Mitä oikeudenkäynneistä on opittu? Mikäli yrityssalaisuuksia ei ole riittävästi yksilöity eli luokiteltu eikä niiden taloudellista arvoa ole määritelty ennen rikollista toimintaa, ei tapauksen jälkeen tapahtunut herääminen ole johtanut yleensä edes syyteharkintaan. Yrityksen johtoa ja ulkopuolisia (toimeksiantotapaukset) lukuun ottamatta kaikki kriminalisoinnit ovat rajoittuneet 9
palvelusaikaan tai työsopimussuhteen kestoon (ml. irtisanomisaika). Yrityssalaisuudella on täytynyt olla taloudellista arvoa yrityksen elinkeinoeli liiketoiminnan kannalta. Ilman konkreettista taloudellista arvoa tieto tai seikka ei voi olla yrityssalaisuus. Kaikki rikoslain yrityssalaisuutta koskevat teot ovat ns. asianomistajarikoksia. Tämä tarkoittaa käytännössä sitä, että syyte nostetaan asianomistajan aloitteesta ainoastaan niissä tapauksissa, joissa on esitetty riittävästi näyttöä tehdystä rikoksesta ja aiheutetuista vahingoista. Turvallisuus- ja tietoturvallisuuspolitiikalla osoitetaan salassapitointressi eli se, että yrityssalaisuuksien ilmaiseminen aiheuttaa taloudellista vahinkoa yritykselle. Salassapitosopimuksilla, yrityssalaisuuksien luokittelulla ja niiden taloudellisten arvojen määrittelyllä osoitetaan erityinen salassapitotahto eli se, että tieto on tosiasiallisesti suojattu ulkopuolisilta, ja sen kanssa tekemisissä olevat mieltävät tiedon yrityssalaisuudeksi. Tietoturvallisuusohjeistolla, koulutuksella, henkilökohtaisen tietoturvallisuusvastuun toteuttamisella ja erityisillä tietoturvallisuustoimenpiteillä osoitetaan, mitä tosiasiallisia salassapitotoimenpiteitä on tehty yrityksessä. Suurimmat tietoturvallisuuden ongelmat liittyvät huolimattomuuteen, ymmärtämättömyyteen, osaamattomuuteen ja muihin tietojärjestelmien teknisen toteutuksen ja käytön laadullisiin tekijöihin. Panostaminen tietojärjestelmien käyttö- ja toimintaympäristössä työskenteleviin ihmisiin ja turvallisuustietoisuuden lisäämiseen sekä yhteiskunnan tuki tehokkaalle ja turvalliselle tietojenkäsittelylle menevät aina yksinomaisten tietoteknisten ratkaisujen edelle tietoturvallisuuden rakentamisessa. Tietotekniikan merkitys on kuitenkin korostunut ja tulee korostumaan entisestään tietojärjestelmien ja rakenteiden monimutkaistuessa. Tämä taas on suuri ongelma tiedon käytettävyyden ja saatavuuden näkökulmasta. Informaatioteknologian sovellukset sekä tietoverkkojen hallinta ovat monimutkaistuneet ja vaikeutuneet. Yhä harvemmat hallitsevat niiden toimintaa ja tietoverkkojen turvallisuutta. Sen vuoksi tietoturvallisuutta ja erityisesti tietojärjestelmiin tunkeutumiseen käytettyjä tekniikoita, menetelmiä ja niiden vastatoimia hallitsevien henkilöiden palkkaaminen on selvästi lisääntynyt niin kansainvälisesti kuin Suomessakin. Myös tietojärjestelmään tunkeutumisen ilmaisevia ohjelmia on tuotu markkinoille ja niitä on alettu hankkia (esim. RealSecure, Net- Ranger jne.). Eräiden arvioiden mukaan vain viidesosa suomalaisista yrityksistä havaitsee tällaiset tunkeutumisyritykset. Tältä pohjalta voisi olettaa, että suuri osa yrityksistä ei tiedä tai ei seuraa sitä, mitä luvatonta tai vahingollista toimintaa omissa tietojärjestelmissä tapahtuu. Suurin uhka on, että tietojärjestelmään kertyy luvattomien tunkeutumisten kautta ongelmia, jotka kumuloituvat välittömästi tai ajan mittaan tietojärjestelmien toimimattomuutena ja häiriöinä. Mitä käytännön toimenpiteitä kannattaa tehdä verkkotunkeutumisen havaitsemiseksi? Luo valmiudet vastatoimiksi: yleiset periaatteet ja tarpeelliset toimenpiteet tällaisen tilanteen varalle. Analysoi kaikkea käytettävissä olevaa loki- ym. tietoa, joka kertoo tunkeutumisesta tai sen yrityksestä keskustele kaikkien niiden osapuolten kanssa, joiden on hyvä tietää tunkeutumisesta kerää ja säilytä sellaista tietoa, joka käsittelee tunkeutumista tietoverkkoon käytä lyhytaikaisia ratkaisuja verkkotunkeutumista vastaan poista kaikki sellaiset keinot, jolla tunkeutuja voi helposti päästä verkkoon palauta järjestelmät normaaliin toimintaan Seuraa riittävästi tietojärjestelmääsi varmistaaksesi, että turvallisuus verkkoympäristössä on parantunut niiden toimenpiteiden johdosta, joita on tehty tunkeutumisen ja sen vaikutusten eliminoimiseksi. Eräs mielenkiintoinen selvitys Yhdysvalloista (v. 1999 ) käsittelee henkilöstön väärinkäytöksiä yrityksen tietojärjestelmissä. Kyselyyn vastanneista 200 yrityksestä 26,9 % ilmoitti rankaisseensa tai erottaneensa työntekijän tai ali- 10
urakoitsijan yrityksen tietoturvallisuusmenettelyn rikkomisesta. Tavallisin syy oli sopimaton Internetin / WEB -sivujen käyttö tai katselu (21,4 %) sekä sopimaton toiminta sähköpostiliikenteessä (15,3 %). Liiallinen tai kohtuuton yrityksen tietojärjestelmien käyttö omaan tarkoitukseen oli rangaistuksen perusteena 10,2 %:ssa tapauksista. Tapauksista 4,6 %:ssa yrityksen tietojärjestelmillä oli pyöritetty henkilön oman liiketoiminnan vaatimia järjestelmiä ja 3,1 % tapauksista oli selkeitä rikolliseen toimintaan liittyviä, kuten murtautuminen yrityksen tietokoneella toisiin tietojärjestelmiin. Vastanneista yrityksistä 73,7 % kertoi omaavansa politiikan tai yleiset periaatteet siitä, miten henkilöstö käyttää Internetiä ja sähköpostia. Näistä yrityksistä 28,4 % myös valvoi käytännössä jollakin tavoin Internetin/sähköpostin käyttöä ja vain 16,3 % niiden asiasisältöä. Suomalaisista yrityksistä ei ole toistaiseksi vastaavanlaisia selvityksiä käytettävissä. Meillä ei juurikaan yrityksissä valvota järjestelmällisesti Internetin tai sähköpostin luvatonta käyttöä - ja jos valvotaankin, tuloksia ei tuoda julkisuuteen. Oikeaan aikaan saatu oikea tieto antaa hyvän perustan yritysjohdon päätöksenteolle, mikä merkitsee kilpailuaseman säilyttämistä, liiketoiminnan kannattavuutta ja usein jopa selvää kilpailuetua. Kilpailuedun säilyttäminen edellyttää tietojärjestelmien ja -tekniikan tehokasta ja turvallista käyttöä. Toisaalta yrityksen toiminnasta, kannattavuudesta, taitotiedosta, jopa asiakkaista ja heidän tiedoistaan ovat kiinnostuneita myös toimivat ja perusteilla olevat kilpailijayritykset. Sisällöllisesti oikean tiedon hallinta kotisivujen, sähköpostiliikenteen ja yleisemminkin Internetin käytössä, käyttäjän tunnistaminen ja monet ratkaisemattomat turvallisuusongelmat odottavat selkeitä ja toimivia malleja. Työvälineitä kyllä on käytettävissä ja suomalaista osaamistakin. Uudet turvallisuus- ja yhteensovittamisongelmat ovat vakava ja pysyvä haaste yrityksen tietojärjestelmistä vastaaville henkilöille ja erityinen haaste yrityksen tietoturvallisuudelle. Tietojärjestelmien ja -tekniikan hyväksikäytön mahdollisuudet esimerkiksi sähköisessä kaupankäynnissä tukemassa tuotteiden ja palveluiden myyntiä sekä markkinointia ovat edellyttäneet uusien tietoturvallisuusmenetelmien käyttöönottoa. Yrityksen tietoturvallisuuden lähtökohtana tulee olla sen tosiasian tunnustaminen, että jokaisen yrityksen tiedot voivat olla väärinkäytösten kohteena. Tämän todellisuuden vähätteleminen voi olla koko yritystoiminnan kannalta kohtalokasta. Jokaisen yrityksen on hyvä tiedostaa, että tietoturvallisuus ei merkitse vain yritystä itseään koskevien vaan myös asiakastietojen hallintaa. Erityisen suuri merkitys hyvin hoidetulla tietoturvallisuudella on nopeasti kehittyvässä verkostotaloudessa. Tietoturvallisuus ja luottamuksellisuus ovat tämän kehityksen avainasioita. Tietoturvallisuustoimenpiteiden tarkoituksena on varmistaa yritystoiminnan kannalta tärkeiden tietojen hallinta sovittavien pelisääntöjen mukaisesti. Pelisäännöt tarkoittavat yritysjohdon kannanottoa siihen, miten järjestetään se, että asiattomat ja ulkopuoliset eivät saa kontrolloimattomasti haltuunsa yrityksen tärkeitä tietoja Miksi? Tietojärjestelmässä oleva tieto voi paljastua hallitsemattomasti, kun - ulkopuolinen käyttäjä pääsee järjestelmään ja tietoihin - valtuutettu käyttäjä pääsee tietoihin, joihin hänellä ei ole oikeutta - valtuutettu käyttäjä lähettää sopimattomasti tietoa tietoverkon kautta tiedot ovat yhtäpitäviä ja oikeita kaikkialla yrityksessä esitysmuodosta riippumatta Miksi? Tietojärjestelmässä oleva tieto voi muuttua tai hävitä tahallisen toiminnan johdosta tai vahingossa. tiedot ja palvelut ovat niiden henkilöiden käytettävissä, joilla on siihen oikeus Miksi? Valtuutetut käyttäjät eivät mahdollisesti voi 11
käyttää työasemaa, tietoverkkoa, tietoja tai tietojärjestelmän palveluja, jolloin heidän työtehtäviensä suorittaminen vaikeutuu, häiriintyy tai estyy kokonaan, kun tiedot ovat vaurioituneet, hävinneet tai niihin pääsy on muutoin estynyt tietojärjestelmän kapasiteetti on siinä määrin vaurioitunut tai ylirasitettu, että se estää valtuutetun käyttäjän järkevän työskentelyn pääsy tietojärjestelmän palveluihin on estynyt Oikein toteutettu tietoturvallisuus antaakin tiedolle kolme tärkeää ominaisuutta: luottamuksellisuuden, eheyden ja käytettävyyden. Tietoturvallisuuden perusta on tunnistaa oman yrityksen toimintaan liittyvät tietoriskit ja sen pohjalta tietää, mitä suojataan. Kukaan ei tunne näitä asioita paremmin kuin yrityksen henkilöstö itse. Tiedon suojaaminen edellyttää tiedon luokittelua eli tiedon merkityksen arviointia liiketoiminnan kannalta. Tässä yhteydessä on muistettava yhtäläisesti kaikki tiedon kolme ominaisuutta. Pelkkä luottamuksellisuus käytännössä tarkoittaa usein vain yrityssalaisuuksiksi katsottavien tietojen luokittelua, merkitsemistä ja käsittelyä. Tilastokeskuksen tutkimuksen Internet ja sähköinen kauppa yrityksissä (Tiede, teknologia ja tutkimus 2000:2) mukaan yrityksiä pyydettiin arvioimaan Internetin käyttöön yleisesti ja sähköiseen kauppaan erityisesti liittyviä esteitä. Selvästi suurimmat ongelmat Interetin käytössä liittyivät tietoturvallisuuteen, johon kuuluivat myös tietokoneviruksista ja niiden ehkäisystä mahdollisesti aiheutuvat ongelmat. Noin 30 % yrityksistä piti näitä ongelmia suurina ja vain 6 %:lle ei aiheutunut minkäänlaisia ongelmia. Tietoruvallisuusongelmat huolettivat yleisemmin suurissa yrityksissä. 25 % 10-19 hengen yrityksistä piti ongelmaa suurena, yli 100 hengen yrityksissä 41 % yrityksistä oli huolissaan tietoturvallisuudestaan. Toimialoista tietoturvallisuushuoli korostui liike-elämän palveluissa ja teollisuudessa. Koska tietoturvallisuus riippuu yrityksen jokaisen henkilön toiminnasta, on tärkeää, että yrityksellä on tietoturvallisuuden keskeisiä asioita koskeva ohjelma, josta käyvät selkeästi ilmi vastuut, yleiset periaatteet, yrityksen tietoturvallisuusohjeistus, perehdyttäminen, koulutus, ylläpito ja kehittäminen sekä toimintaohjeet ongelma- ja väärinkäyttötapausten varalta. Tietoturvallisuustoimenpiteillä tuetaan yrityksen päätoimintaa ja siihen liittyvien tavoitteiden toteuttamista. Hallittu ja toimiva tietoturvallisuusmenettely ennalta ehkäisee ja estää yritysvakoilua sekä yrityssalaisuuksien rikkomista ja väärinkäyttöä eli turvaa taitotiedon säilymisen yrityksessä. Tietoturvallisuustoimilla voidaan ohjata tietojen, tietojärjestelmien ja -palvelujen tehokasta ja oikeaa käyttöä. Voidaan välttää yritystoiminnan häiriöitä ja vahinkoja ja kohdistaa resurssit toimintaedellytysten turvaamiseen ja ydintoimintoihin eli siihen, minkä vuoksi yritys on olemassa. Toimimaton tietoturvallisuus on omiaan lisäämään epäluottamusta tietojärjestelmiin ja niiden käyttöön. Tämän vuoksi tietoturvallisuus on myös yhteinen ja yhteiskunnallinen kysymys. Luottamus hyvin toimivaan, tehokkaaseen tietojärjestelmään ja -teknologiaan lisää olennaisesti niiden käyttöä. 12
3. Mitä tietoturvallisuus on Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palveluiden asianmukaista suojaamista sekä normaali- että poikkeusoloissa. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä suojataan erilaisten vikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten tai tapaturmaisten tekojen aiheuttamilta uhilta ja vahingoilta. liittyvien, henkilöä koskevien tietojen käsittelyä ja siihen liittyviä oikeuksia ja velvollisuuksia. Tietoturvallisuus on siis huomattavasti laajempi käsite kuin ns. atk-turvallisuus tai henkilötietoihin liittyvä tietosuoja. Kontrollit eli torjuntakeinot on lueteltu erillisessä liitteessä 5. Tietoturvallisuus on yläkäsite, johon sisältyy mm. atk- tai tietotekninen turvallisuus kaikkine järjestelmineen. Tietosuojalla taas tarkoitetaan ihmisen yksityisyyteen ja yksityiselämään 13
4. Mitä laki sanoo tietoturvallisuudesta Suomen lainsäädäntö on kansainvälisestikin arvioiden varsin edistyksellinen tiedon salassapidon ja erityisesti yritysvakoilun, yrityssalaisuuden väärinkäytön ja yrityssalaisuuden rikkomisen osalta. Viime vuosina tietoturvallisuuteen liittyvää lainsäädäntöä on lisätty ja kehitetty edelleen. Vakoilulainsäädäntö on niin ikään varsin uutta, samoin kuin tieto- ja viestintärikosten kriminalisointi. Atk ja tietotekniikka on otettu huomioon kohteena tai rangaistavan teon tekemisen välineenä useissa ns. tavallisissa rikoksissa, kuten vahingonteossa, petoksessa, kavalluksessa, luvattomassa käytössä jne. Ehdotetulla lailla säädettäisiin yrityksissä noudatettavista menettelytavoista eli valvonnan järjestämisestä sähköpostin ja tietoverkon käytössä. Valvonta voi kohdistua myös tietojenkäsittelyn kirjautumisjärjestelmiin ja puhelimen käyttöön. Yhteistoimintamenettelyn piiriin kuuluisivat vastedes myös sähköpostin ja tietoverkon käyttö. Työnantajalla voi olla myös hyväksyttävä peruste rajoittaa työntekijän sähköpostin tai muun tietoverkon kautta tapahtuvaa viestintää. Lakiesityksessä yksityisyyden suojasta työelämässä ei myöskään ehdoteta määriteltäväksi työnantajan oikeuksia työntekijän valvonnassa. Laissa säädettäisiin ainoastaan menettelytavoista valvonnan sekä sähköpostin ja tietoverkon käytön järjestämisessä. Jos laki esitetyssä muodossaan hyväksytään, jokaisen yhteistoimintamenettelyn piiriin kuuluvan yrityksen on vastedes laadittava sähköpostin ja Internetin käyttöön liittyvät pelisäännöt. Menettelyllä edistetään tietoturvallisuutta ja tietosuojaa. Tällä tavoin ovat monet edistykselliset yritykset hoitaneetkin ongelmalliset tietojärjestelmien käyttö- ja valvontakysymykset. Suomi on ollut esimerkillinen myös virusongelmien vastaisessa kansainvälisessä toiminnassa, kun se ensimmäisenä on kriminalisoinut tietokonevirusohjelman tekemisen ja levittämisen (RL 34:9a: Vaaran aiheuttaminen tietojenkäsittelylle). Yksityiselämän suojaan liittyvä henkilötietojen käsittely eli tietosuoja on saanut uutta sääntelyä henkilötietolain myötä (523/ 1999) sekä useina erityislakeina. Niitä ovat laki yksityisyyden suojasta televiestinnässä ja teletoiminnan tietoturvasta 565/1999 sekä hallituksen esitys laiksi yksityisyyden suojasta työelämässä (HE 75/2000). 14
Hallituksen esityksen keskeinen säännös on 8 Menettelytavat teknisen valvonnan ja tietoverkon käytön järjestämisessä Työntekijöihin kohdistuvan, työnantajan työnjohto- ja valvontaoikeuteen perustuvan teknisen valvonnan tarkoitus, käyttöönotto ja siinä käytettävät menetelmät sekä sähköpostin ja tietoverkon käyttö kuuluvat yhteistoiminnasta yrityksissä annetussa laissa sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa tarkoitetun yhteistoimintamenettelyn piiriin. Muissa kuin yhteistoimintalainsäädännön piiriin kuuluvissa yrityksissä ja julkisoikeudellisissa yhteisöissä työnantajan on ennen päätöksentekoa varattava työntekijöille tai heidän edustajilleen tilaisuus tulla kuulluksi edellä sanotuista asioista. Yhteistoiminta- tai kuulemismenettelyn jälkeen työnantajan on määriteltävä työntekijöihin kohdistuvan teknisen valvonnan käyttötarkoitus ja siinä käytettävät menetelmät sekä tiedotettava työntekijöille teknisen valvonnan tarkoituksesta, käyttöönotosta ja siinä käytettävistä menetelmistä sekä sähköpostin ja tietoverkon käytöstä. Uusi julkisuuslaki, laki viranomaisten toiminnan julkisuudesta (621/1999) ja siihen liittyvä asetus (1030/1999) sisältävät avoimuuden ja julkisuuden vastapainoksi merkittäviä tiedon salassapitoon ja tietoturvallisuuteen liittyviä säännöksiä. TYÖSOPIMUSLAKI kieltää ilmaisemasta muille niitä tietoja, jotka henkilö on saanut työnantajalta sen liike- ja ammattisalaisuuksista (=yrityssalaisuuksista). Säännöksen rikkominen voi johtaa työsopimuksen purkamiseen. YHTEISTOIMINTALAKI toteaa samalla tavoin, että niitä tietoja, jotka työnantaja on määritellyt salassapidettäviksi ei saa antaa ulkopuolisille, mikäli tietojen leviäminen olisi omiaan vahingoittamaan yritystä tai sen liike- tai sopimuskumppania. Tämä on merkittävä laissa ilmaistu periaate, jonka tulisi myös toteutua käytännössä. Sama laki säätää myös yksityisen henkilön taloudellista asemaa, terveydentilaa tai muutoin häntä koskevien tietojen salassapitovelvollisuudesta. VILPILLINEN KILPAILU eli laki sopimattomasta menettelystä elinkeinotoiminnassa säätää niin ikään liikesalaisuudesta. Yleinen liikesalaisuuden oikeudeton hankkiminen tai sen yritys sekä sen käyttäminen tai ilmaiseminen on kielletty. Samoin on kielletty toisen palveluksessa tai toimeksiantosuhteessa saadun liikesalaisuuden, teknisen esikuvan tai teknisen ohjeen käyttö ja ilmaiseminen palvelusaikana. Toimeksiantosuhteessa kielto ei ole sidottu toimeksiannon kestoon, vaan on pysyvä. Jos henkilö on saanut toiselta tiedon em. asioista tietäen, että tämä on hankkinut tai ilmaissut tiedon oikeudettomasti, ei hän saa sitä käyttää eikä ilmaista. Teknisen esikuvan tai ohjeen tahallinen käyttö tai ilmaiseminen rangaistaan sakolla, muissa tapauksissa rikoslain yritysvakoilua, yrityssalaisuuden rikkomista tai yrityssalaisuuden väärinkäyttöä koskevien säännösten mukaisesti. Oikeuskäytännössä ei enää juuri sovelleta vilpillisen kilpailun rangaistussäännöksiä vaan rikoslakia. RIKOSLAKI määrittelee yrityssalaisuuskäsitteen ja salassapitovelvollisuudet sekä näiden kriminalisoinnit. Yrityksen tietoturvallisuuden kannalta ne ovat yhdessä vakoilusäännösten kanssa aivan keskeisessä asemassa. YRITYSSALAISUUDELLA tarkoitetaan liike- tai ammattisalaisuutta taikka muuta vastaavaa elinkeinotoimintaa koskevaa tietoa, jonka elinkeinonharjoittaja pitää salassa ja jonka ilmaiseminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko hänelle tai toiselle elinkeinonharjoittajalle, joka on uskonut tiedon hänelle. Yrityssalaisuus on yrityksen kilpailun ja menestymisen kannalta aivan keskeinen tieto. Jotta kyseessä olisi rikoslain suojaama yrityssalaisuus, tulee yrityksen ilmaista salassapitotahtonsa ja -intressinsä sekä toteuttaa tosiasialliset toimenpiteensä tiedon salassapitämiseksi. Muussa tapauksessa ja ilman näitä toimenpiteitä rikoslaki ei anna suojaa yritysvakoilua, yrityssalaisuuden rikkomista tai väärinkäyttöä vastaan. Tämä tarkoittaa sitä, että yrityksen on itse ryhdyttävä konkreettisiin tietoturvallisuustoimiin. 15
5. Yrityksen yleinen tietoturvallisuus Kaikki tietoturvallisuustyö yrityksessä lähtee tietoriskien arvioinnista ja niiden hallinnasta. Toimialasta ja tietojärjestelmistä riippuen riskit voivat vaihdella suurestikin. Valtakunnallinen PK-yritysten riskienhallintaprojekti on tuottanut käyttökelpoisen työvälineen - eräänlaisen riskikortin - pienten ja keskisuurten yritysten tietoriskien kartoittamiseen (Liite). On hyvä vielä muistuttaa, että reilusti yli puolet tietoturvallisuuden ongelmista tietojärjestelmissä johtuu ihmisen toiminnasta, vain pieni osa laitteista, olosuhteista ja ohjelmistoista. Kun tilanne on tämä, ei pienenkään yrityksen tietoturvallisuutta voida hoitaa yksinomaan tietoteknisin ratkaisuin. Tarvitaan yleisiä periaatteita ja ohjeita tietoturvallisuudesta yrityksessä. Tietoturvallisuuden määritelmä sisältää keskeiset uhat ja riskit. Kun yrityssalaisuuksien hallittu käyttö liittyy usein yritysten väliseen kilpailuun, on tässä yhteydessä syytä tarkastella tietoturvallisuutta myös kilpailun näkökulmasta. Kysymys on usein kilpajuoksusta ja siihen liittyvästä taloudellisen hyödyn tavoittelusta. Yritysvakoilua tai muuta vastaavaa kiellettyä toimintaa harjoittavan kilpailijan motiivi on usein maksattaa muilla kalliit tutkimus- ja kehityskulut ja tällä tavoin heikentää teon kohteeksi joutuneen yrityksen taloudellista pohjaa ja markkina-asemaa. Sen sijaan kaikkien terveestikin toimivien yritysten on hankittava riittävää tietoa alansa kehityksestä eikä se ole edes vaikeata. Avoimia tietolähteitä on paljon. Tiedoista 80-90 % on saatavissa julkisista tai avoimista lähteistä. Loppu tiedoista luottamuksellista tai yrityssalaista, joka voi tuhoutua, muuttua tai joutua hallitsemattomasti ulkopuolisille. Salainen tieto voi koskea yrityksen teknologiatasoa, uusien tuotteiden ominaisuuksia, tuotteen kustannusrakennetta, tuotannon volyymia, toimintatapoja ja organisaatiota, markkinointisuunnitelmia, tarjousstrategiaa ja vastaavia muita yrityksen kannalta erittäin tärkeitä tietoja. Valikoidusti tulisi ainakin tällaisia tietoja suojella. 5.1 Tietoturvallisuus ja laatu Useissa PK-yrityksissä on valmisteilla tai jo käytössä joko laatustandardi tai vastaava laatuohjelma. Tämä tarkoittaa sitä, että yrityksen kannalta tärkeimmät toiminnat ja prosessit ovat dokumentoidut ja jatkuvan parantamisen kohteena. Turvallisuus on tukitoiminto, jota kaikessa laajuudessaan ei ole vielä toteutettu osana yrityksen kokonaislaatua. Parempaan suuntaan ollaan selkeästi menossa mm. EU:n piirissä tehtävän turvallisuusstandardointityön myötä. Sen sijaan useilta yritysturvallisuuden osaalueilta kuten prosessiturvallisuuden, työturvallisuuden ja ympäristönsuojelun sektoreilta on jo olemassa standardeja ja sovelluksia yrityksen laatutoimintaan. Yrityksen tietoturvallisuus on sellainen tärkeä alue eli laatutoiminnan moduli, joka myös olisi toteutettavissa osana yrityksen muun toiminnan laatua (laatukäsikirjaa). Tällä tavoin tietoturvallisuusasiat tulisivat osaksi päivittäisen 16
toiminnan dokumentointia, ylläpitoa, koulutusta ja jatkuvaa parantamista. Kansainvälisiä tietoturvallisuusstandardejakin on olemassa kuten esimerkiksi BS 7799:1995, jota kyllä voi hyödyntää laatutyössä, mutta se on sellaisenaan melko raskas työväline käyttöön otettavaksi PKympäristössä. Standardi on käännetty myös suomeksi ja saatavissa Suomen standardisoimisliitosta (BS 7799-1:fi). 5.2 Yrityksen tietoturvallisuusperiaatteet ja -politiikka Yrityksissä, joissa tietoturvallisuudella on strategista, toimintaan ja kilpailuun liittyvää merkitystä, laaditaan usein toiminnan perusteeksi erillinen tietoturvallisuuspolitiikka. Muutoin kirjataan yleensä keskeiset periaatteet käytännön tietoturvallisuustyölle. Hyväksyessään nämä periaatteet yritysjohto sitoutuu noudattamaan tietoturvallisuuspolitiikkaa ja velvoittaa henkilöstöä noudattamaan sitä. Yritys PK Oy:n tietoturvallisuuspolitiikka voisi olla seuraavan sisältöinen: Yrityksen liiketoiminnan ja taloudellisten etujen turvaamiseksi sekä erityisesti oikean, luotettavan tiedon saamiseksi ja tietojen käsittelyssä mahdollisesti aiheutuvien vahinkojen ennalta ehkäisemiseksi toteutetaan PK Oy:ssä tietoturvallisuutta korostaen, että yrityksen tietoasiakirjat, tietovälineet, tekniset tallenteet ja suullinen infor- maatio ovat yrityksen omaisuutta ja niiden antaminen yrityksen ulkopuolelle saa tapahtua vain yhtiön eduksi, yrityksellä on erilliset, kirjalliset ohjeet yrityssalaisen informaation merkitsemistä, käsittelyä, säilyttämistä ja hävittämistä varten, esimies antaa ohjeet tiedoksi jokaiselle työntekijälle työsopimuksen solmimisen tai toimeksiannon yhteydessä, jokainen työntekijä noudattaa tietoturvallisuudesta annettuja ohjeita ja vastaa omalta osaltaan tietoturvallisuudesta yrityksessämme. Tämän pohjalta voidaan kirjoittaa tietoturvallisuusmenettelyn perusteet ja yleinen sisältö, esimerkiksi seuraavasti: TIETOTURVALLISUUS PK Oy:ssä Tietoturvallisuudella tarkoitetaan yhtiömme tietojen, järjestelmien ja palvelujen suojaamista lainsäädännön ja yhtiön tietoriskien hallintaan perustuvien omien erityistoimenpiteiden avulla. Tietojen luottamuksellisuutta, eheyttä ja käytettävyyttä suojataan laitteisto- ja ohjelmistovikojen, luonnontapahtumien tai tahallisten, tuottamuksellisten ja tapaturmaisten inhimillisten tekojen aiheuttamilta uhilta ja vahingoilta. Tällaisia voivat olla esim. yhtiötä vastaan kohdistettu vakoilu, yritysvakoilu tai muu rikollinen toiminta, 17
hallitsematon julkisuus ja tiedottaminen, yksityisyys eli tietosuoja, tahattomat tietovuodot sekä välinpitämättömyys, huolimattomuus ja osaamattomuus tietoja käsiteltäessä. Kaikki nämä asiat voivat aiheuttaa yrityksellemme merkittäviä taloudellisia menetyksiä, tuotannollisia tai toiminnallisia vahinkoja kuten kilpailuaseman menetyksiä, tappioita tarjouskilpailussa tai yksityisyyden suojan loukkauksia. Menettely ja tiedon luokitus on sisällytetty tietoturvallisuusohjeistoon, jota noudatetaan yhtiön kaikilla toimipaikoilla. Yrityssalaisuuksina käsiteltävät tiedot on jaettu kahteen luokkaan: A= strictly confidential / erittäin luottamukselliset tiedot ja B= confidential / luottamukselliset tiedot. Luokitus määrää toimenpiteet tiedon käsittelyssä, jakelussa, säilyttämisessä ja hävittämisessä. Turvallisuusohjeisto antaa yhteisen pohjan yhtiön eri toimintayksiköiden tietoturvallisuusmenettelylle. Ohjeistoon ja menettelyyn perehdyttävät esimiehet ja yhdyshenkilöt, jotka on nimetty toimintayksiköihin linjavastuun mukaisesti. Lisäksi kaikissa tietoturvallisuusasioissa voi kääntyä PKT Oy:n tietojärjestelmävastuuhenkilöiden puoleen. Tiedon luokitukseen ja tietoturvallisuusmenettelyyn tarvittavia materiaaliresursseja kuten leimasimia, tietovälineiden( papereiden, diskettien yms. teknisten tallenteiden tuhoajia, turva- tai kassakaappeja yms.) hankitaan normaalin budjetointimenettelyn mukaisesti. 5.3 Tietoturvallisuusohjelma Yrityksen tietoturvallisuusohjelma perustuu tietoturvallisuuspolitiikkaan ja yrityskohtaiseen tietoriskien analyysiin. Mitkä ovat meidän toimintamme kannalta kaikkein merkittävimmät tietoriskit ja miten ne hallitaan yrityksessämme? Mikä on yritysjohdon kannanotto ja sitoutuminen tietoturvallisuuden edistämiseen ja ylläpitämiseen yrityksessä eli tietoturvallisuuspolitiikka? Tietoturvallisuusohjelman vuosittaiset tavoitteet tulee sovittaa yrityksen lyhyen ja pitkän aikavälin tavoitteisiin. Jos yrityksen tärkein tavoite on uuden tuotteen tuominen markkinoille ja tähän liittyvä tuotekehitys- ja tutkimustyö, ovat varmasti tietoturvallisuusohjelman painotukset markkinointistrategian sekä tutkimus- ja kehitystiedon suojaamisessa. Nämä voivat olla myös pysyviä painotuksia ohjelmassa esimerkiksi silloin, kun yrityksen päätoiminta on tuottaa huipputeknologian tuotteita tai sovellettuja palveluja. Tietoturvallisuusohjelman ei tarvitse olla laaja. Sen keskeinen tavoite on antaa suuntaviivat ja sisältö yrityksen tietoturvallisuusmenettelylle ja -kulttuurille. TIETOTURVALLISUUSOHJELMAN AVAINKOHDAT Sisällytä yrityksen hallituksen tai toimitusjohtajan kannanotto tietoturvallisuusohjelman johdanto-osaan. Tietoturvallisuuden ja yrityssalaisuuksien suojaamisen arvostuksen on lähdettävä yrityksen johdon tahdosta. Kuvaile ohjelman tarkoitus ja tärkeys. Henkilöstön on ymmärrettävä ja miellettävä keskeinen roolinsa ja vastuunsa tietoturvallisuuden toteuttamisessa. Erittele tarkoin, keitä kaikkia toimintaohjelma koskee. Muista oman henkilöstön osalta myös toisiin tehtäviin siirtyvät, eroavat ja erotetut henkilöt sekä laajasti kaikki ulkopuoliset sidosryhmät (ulkopuoliset palvelut, alihankkijat jne.). Tee yrityssalaisuuksien käsittelyn ja muun tietoturvallisuuden kannalta tärkeiden avainhenkilöiden kanssa salassapitosopimus, joka koskee yrityssalaisuuksien lisäksi mm. kilpailevaa toimintaa ja työsuhdekeksintöjä. Tämä on tärkeää tehdä myös ulkopuolisten alihankkijoiden ja järjestelmätoimittajien kanssa sekä kaikkien niiden kanssa, joilta hankitaan palveluja. Muista, että yrityksesi on vastuussa myös 18
asiakkaiden, laitetoimittajien ja muiden sidosryhmien tietojen turvallisuudesta. Esimerkkejä salassapitosopimuksista on liitteenä. Määrittele, mikä tietoaineisto on suojattava. Ohjelmaan sisällytetään suojattavan tiedon yleiset ja erityiset periaatteet. Määrittele ja ohjeista tiedon luokitteluperiaatteet siten, että jokainen tuntee ja tietää menettelyn. Nimeä yhdyshenkilöt tärkeimpiin toimintayksiköihin tukemaan tietoturvallisuusmenettelyä ja vastuita. Tiedota nimetyt henkilöt yrityksen koko henkilöstölle. Määrittele toimenpiteet väärinkäytösten tai rikollisen toiminnan varalta. Kirjaa ne toimenpiteet, jotka ovat tärkeitä selvitettäessä, mitä ja milloin on tapahtunut. Nimeä henkilö, johon otetaan yhteyttä, kun jotain yrityksen tietoturvallisuuspelisääntöjen kannalta epäilyttävää on tapahtunut. Määrittele tiedon käsittelyn, säilyttämisen, välittämisen, kirjaamisen, kopioinnin sekä hävittämisen periaatteet ja menettelytavat. Järjestä tietoturvallisuuskoulutusta ja - valmennusta henkilökunnalle. Käytä tiedottamista ja julkaisuja hyväksesi pitääksesi yllä turvallisuustietoisuutta yrityksessäsi. Määrittele, kuka on vastuussa tietoturvallisuusohjelman toteuttamisesta. TÄRKEITÄ PERIAATTEITA TIETOTURVALLISUUSOHJELMAA RAKENNETTAESSA NEED TO KNOW - kuka tietoa tarvitsee NEED TO HOLD - kuka tietoa säilyttää CLOSE TO YOU - tietoturvallisuusvälineet (kaapit, paperisilppurit, yms.) ovat lähellä Sinua ja työskentelytiloissasi Tietoa on paljon ja sitä on yrityksessä eri muodoissa. Hallittu tietojen käsittely edellyttää yhteisiä pelisääntöjä. Edellä kirjatut periaat- teet tarkoittavat käytännössä mm. sitä, että kaikki se tieto, joka on kunkin henkilön tehtävän kannalta tärkeää, on hänen saatava. Kaikkia tietoja ei jaeta kaikille. Entä kuka saa tiedon asiakirjasta tai tietovälineestä? Kuka sen tiedon säilyttää? Tietoteknisenä sovellutuksena samanlaista ongelmaa ei juuri ole. Paperidokumenttien ja vastaavien osalta on toisin: jokainen ylimääräinen kappale asiakirjaa lisää tietoturvallisuusriskiä ja on usein tarpeetonta arkistomateriaalia. Eräissä yrityksissä tehty selvitys siitä, kuinka paljon turhaa asiakirjamateriaalia on taltioituna eri paikkoihin, johti useiden paperitonnien hävittämiseen. Tietoturvallisuuden hoitamiseksi tarvittavat välineet on hankittava ja sijoitettava järkevästi: paperisilppuri kopiokoneen viereen tai läheisyyteen ja avainhenkilön työhuoneeseen. Muutoin niitä ei juurikaan käytetä. Sama koskee palo- ja murtoluokiteltua kassa- tai turvakaappia, jossa säilytetään tärkeimpiä asiakirjoja ja tietovälineiden varmuuskopioita. 5.4 Tietoturvallisuusvastuut yrityksessä Pääperiaatteena on linjavastuu. Tulosyksikön johtaja vastaa tietoturvallisuusmenettelyn toteuttamisesta omassa yksikössään. Henkilöstö vastaa omiin tehtäviinsä liittyvistä tietoturvallisuustoimenpiteistä, mutta yleisen vastuun lisäksi on myös erityisvastuu tietoturvallisuusasioissa osoitettava jokaiselle henkilökohtaisesti. Jos yrityksessä on turvallisuus- tai tietoturvallisuusvastaava, hänellä on yleensä ns. asiantuntijavastuu. Lakisääteistä vastuuta turvallisuusasioissa ei yleisesti voida delegoida - omaehtoista (jota tietoturvallisuus pitkälti on) sen sijaan voidaan. Avainhenkilöiden erityiset tietoturvallisuusvastuut voidaan luontevasti sisällyttää heidän työtehtäviinsä. 19
5.5. Tietoaineiston luokittelu Tietoaineiston luokittelulla tarkoitetaan yrityksen toiminnassa tarvittavan tiedon järjestämistä sen mukaisesti, mikä merkitys kullakin tiedolla on yritystoiminnalle. Yksinkertaisimmillaan se tarkoittaa yrityssalaisten tai muulla perusteella salassapidettävien tietojen luokittelemista eli erottamista yrityksen muista tiedoista. Tärkeä lähtökohta tietoaineiston luokitukselle on nykyinen ja tulevakin lainsäädäntö, joka useissa yhteyksissä edellyttää toiminnanharjoittajan ilmoittavan esimerkiksi tietoja saavalle viranomaiselle tai muulle taholle, mitkä tiedot ovat luottamuksellisia tai muulla tavoin yrityssalaisia. Edelleen erityissäännöksillä järjestetään se, miten tällaisia tietoja on käsiteltävä: tietosisällön ilmaisukielto, säilyttäminen, kopiointi, hävittäminen jne. Tietoaineiston luokituksella ilmaistaan samalla salassapitotahto ja tehdään konkreettisia tietoturvallisuustoimenpiteitä. Tietoaineiston luokittelu on resurssien kannalta tietoturvallisuusmenettelyn raskain vaihe sen vuoksi, että kaikki tärkeät tietoryhmät on käytävä läpi ja päätettävä toiminnallistaloudellisin perustein, mitkä tiedot luokitellaan yrityssalaisiksi, mitkä jäävät luokittelun ulkopuolelle. Kun tämä on tehty, on menettelyn ylläpitäminen varsin vaivatonta. Tietoaineisto tarkoittaa kaikkea kirjallista tai kuvallista esitystä sekä tallennetta, mikä voidaan lukea, kuunnella tai saada muulla tavoin ymmärretyksi teknisin apuvälinein. Tietoteknisenä sovelluksena tietojen luokittelu ja menettelyn toteuttaminen on yksinkertaisempaa; on vain muistettava, että tärkeitä tietoja on muuallakin kuin vain tietojärjestelmissä, ja nekin on otettava huomioon tietoja luokiteltaessa. Tietoaineisto voidaan luokitella sen sisällön, käytön ja salassapitotarpeen mukaan esimerkiksi seuraavasti: ERITTÄIN LUOTTAMUKSELLISET tiedot, joiden tuhoutuminen, muuttuminen, häviäminen, hävittäminen tai luvaton joutuminen ulkopuolisten haltuun voi aiheuttaa yritykselle huomattavan suuria (miljoonia, satojatuhansia, kymmeniätuhansia markkoja) taloudellisia vahinkoja tai olla muusta erittäin tärkeästä syystä (turvallisuusjärjestelmät, tietosuoja eli esim. arkaluontoiset tiedot jne.) salassapidettäviä. LUOTTAMUKSELLISET tiedot, joiden tuhoutuminen, muuttuminen, häviäminen, hävittäminen tai luvaton joutuminen ulkopuolisten haltuun voi aiheuttaa yritykselle taloudellisia vahinkoja tai muuta vakavaa haittaa (goodwill, yrityskuva, julkisuus jne.) LUOKITTELEMATTOMAT joita ovat muut yrityksen tiedot. Niidenkin saattamisen ulkopuolisten haltuun tulee tapahtua vain yrityksen eduksi. Kokemusten perusteella tiedon luokitus on järkevää tehdä yrityskohtaisesti siten, että tärkeimpien toimintojen avainhenkilöt päättävät luokituksen käytännön sisällöstä tietoryhmittäin ja tätä jaottelua noudatetaan koko yrityksessä esimerkiksi seuraavasti: Yrityssalaiset tiedot ryhmitellään yrityksessä viiteen eri ryhmään. Yksittäisen tiedon luokituksen määrää sen taloudellinen tai muu merkittävyys yritystoiminnalle. Luokituksesta päättää asiakirjan, tietovälineen tai tiedon laatija. Hän määrittelee myös tiedon jakelun. Tietoryhmät ovat: 1. STRATEGISET TIEDOT - eräät yrityksen johtoelinten pöytäkirjat, PTS-tiedot, markkinatutkimukset, yrityksen tulevaa teknologista kehitystä koskevat ennusteet, omistajalle menevät kannattavuus- ja investointiselvitykset, sisäisen tarkastuksen raportit. 2. TOIMINNALLISET, TALOUDELLISET JA KAUPALLISET TIEDOT - osto- ja myyntisopimukset, kilpailunrajoitussopimukset, tarjousstrategia, osto- ja myyntihinnat asiakaskohtaisina, kustan- 20
nukset, muut hintatekijät, kalkyylit, tulosraportit, taloushallinnon seurantalomakkeet, katetiedot ja niihin liittyvät laskelmat, tilinpäätöserittelyt. 3. TUTKIMUS-, KEHITYS JA TUOTETIE- DOT (PALVELUT) - oma taitotieto, jolla on merkittävää kilpailuarvoa, patentoitavat tuotteet, laitteet ja menetelmät, tutkimusanalyysit, kilpailijaanalyysit, asiakaskohtaiset tutkimusraportit, markkinatutkimukset, laadun ja teknologian muutokset. 4 TUOTANTOMENETELMIÄ, KONEITA JA LAITTEITA KOSKEVAT TIEDOT - erittäin tärkeät prosessinohjaustiedot, täydelliset tuotannon suunnittelu- ja käyttötiedot, projektien täydelliset hankinta- ja tarjousvertailutiedot, tärkeät alkuperäispiirustukset, salaiset tai luottamukselliset toimitukset, erikoistuotteiden materiaalit, koostumukset ja ominaisuudet. 5. TALOUSHALLINNOLLISET TIEDOT - avainhenkilöiden työ- ja salassapitosopimukset, sosiaali-, terveys-, palkka- ja muut arkaluontoiset tiedot, koulutus-, resurssi- ja urakehitysarvioinnit, erittäin tärkeät turvallisuusohjeet. Tietoaineiston luokittelu ohjaa tietojen käsittelyä. Luokiteltua tietoa ja niiden varmuuskopioita säilytetään yleensä muussa muodossa kuin teknisenä tallenteena (asiakirjoina, piirustuksina, valokuvina jne.) muusta aineistosta erillään palo- ja murtosuojatuissa tiloissa (holvissa, kassakaapissa), lisäkopioita otetaan vain laatijan luvalla, lähettämiseen yrityksen sisälle tai ulkopuolelle kiinnitetään riittävää huomiota (kuriirit, sinetöinti tms.) ja asiakirjat ja tietovälineet hävitetään paperisilppurissa tai muuten tuhoamalla. Luokiteltujen tietojen käsittelystä tietojärjestelmissä annetaan erilliset ohjeet. 5.6 Tietoturvallisuus ja henkilöstö TURVALLISUUSSELVITYKSET, VAITIOLO- JA SALASSAPITOSOPIMUKSET Turvallisuusselvitykset tarkoittavat henkilön luotettavuuden tarkistusta esim. silloin, kun yritykseen palkataan uusia henkilöitä avaintehtäviin tai tehtäviin, joissa he joutuvat käsittelemään yrityssalaisia tietoja. Muita tilanteita ovat sellaiset sisäiset tehtäväsiirrot, jotka liittyvät yrityksen avaintehtäviin ja joiden yhteydessä on perusteltua tehdä tällainen tarkistus. Luotettavuustarkistus voi koskea myös yrityksen sidosryhmiä ja niiden edustajia, kuten ulkopuolisia palveluja, alihankkijoita tai esimerkiksi ulkomaalaisia henkilöitä, jotka tulevat yritykseen neuvottelemaan, yhteisiin projekteihin jne. Turvallisuusselvitykset ovat suojelupoliisin lakisääteistä toimintaa. Menettely perustuu poliisin hallinnosta annettuun lakiin ja asetukseen, poliisin henkilörekisterilakiin sekä sisäasiainministeriön asiasta antamaan päätökseen (no 247/18.1.1995). Selvitystä voidaan pyytää suojelupoliisilta lähinnä silloin, kun on kyseessä valtakunnan turvallisuus tai merkittävät taloudelliset edut. Menettelyssä selvitetään henkilön mahdolliset rikolliseen toimintaan liittyvät tiedot valtakunnan turvallisuuden kannalta. Yrityksen, joka voi tällaista selvitystä pyytää, on luotava kirjallinen menettely ja ohjeet luotettavuuslausuntoja varten. 21