VALTIOVARAINMINISTERIÖ Hallinnon kehittämisosasto LAUSUNTOVERSIO 29.9.2010 Sosiaalisen median tietoturvaohje Valtionhallinnon tietoturvallisuuden johtoryhmä LUONNOS
Sosiaalisen median tietoturvaohje 2 (45) Sisällysluettelo Esipuhe... 4 Johdon tiivistelmä... 5 1. Johdanto... 7 2. Taustaa... 8 3. Sosiaaliseen mediaan liittyvät tietoturvariskit... 9 3.1 Keskeisimmät ongelmat ja uhkakuvat... 9 3.2 Tietoaineistoon ja yksityisyyden suojaan liittyvät riskit... 9 3.2.1 Vakoilu... 10 3.2.2 Väärän tai virheellisen tiedon levittäminen... 10 3.2.4 Käyttäjätunnukset ja käyttäjätunnusvarkaudet... 10 3.3. Verkostoitumiseen liittyvät haasteet... 11 3.3.1 Tietojen kalastelu... 11 3.3.2 Henkilöstön uhkailu, häirintä ja pelottelu... 11 3.3.3 Kontaktit... 11 3.4 Tekniset uhat... 12 3.4.1 Sosiaalisen median palveluiden kautta levitettävät haittaohjelmat... 12 3.4.2 Palveluiden käytön aiheuttamat kuormitusriskit... 13 3.4.3 Palveluiden sovelluskehitykseen liittyvät riskit... 13 3.4.4 Sosiaalisen median palveluiden lisäohjelmat ja omat ohjelmarajapinnat... 13 3.4.5 Roskapostiviestit... 14 3.5. Muut uhkakuvat... 14 3.5.1 Palveluiden epäselvät ja/tai muuttuvat sopimusehdot sekä tietojen luovuttaminen ulkopuolisille tahoille... 14 3.5.2 Palvelun ja tietoaineistojen sijaintiin ja tietoturvallisuuden tilaan liittyvät epäselvyydet 14 3.5.3 Identiteettivarkaudet... 15 3.5.4 Yksityisyyden suoja... 15 3.5.5 Fyysiseen turvallisuuteen liittyvät riskit... 16 3.5.6 Organisaation maineeseen ja uskottavuuteen liittyvät uhkakuvat... 17 4. Tietoturvallisuuden toteuttaminen palveluita käytettäessä... 18 4.1 Sosiaalisen median käyttöpolitiikka... 18 4.2 Verkkoidentiteetit (roolit) sosiaalisen median palveluissa... 19 4.2.1 Erilaiset verkkoidentiteetit palveluita käytettäessä... 19 4.2.2 Organisaation käyttämät verkkoidentiteetit... 20 4.2.3 Työntekijöiden yksityinen käyttö ja työnantajan mainitseminen... 21 4.2.4 Työntekijöiden yksityinen käyttö... 22 4.3 Ohjeistus ja koulutus... 22 4.4 Tietoaineistoturvallisuus... 23 4.5 Tekniset ratkaisut... 24 4.6 Palveluiden käyttöönotto - sopimusehtojen tarkistaminen... 24 4.7 Yksityisyyden suoja... 25 4.8 Henkilöturvallisuus... 25 4.9 Maineen hallinta... 26 5. Tietoturvallisuuden toteuttaminen sosiaalisen median palveluita tarjottaessa... 27 5.1 Sosiaalisen median palveluiden tarjoaminen... 27 5.2 Suosituksia ja hyviä käytäntöjä palveluiden tarjoamista suunniteltaessa... 28 2
Sosiaalisen median tietoturvaohje 3 (45) 5.2.1 Tietoturvallisuus-asetus ja siihen liittyvien tietoturvatasojen vaatimukset sosiaalisen median palveluita tarjottaessa... 28 5.2.2 Sosiaalisen median palvelun hankinnan elinkaariajattelumalli... 28 Liitteet... 30 Liite 1. Käyttäjän 10 ohjetta... 30 Seuraavassa 10 yleisohjetta:... 30 Liite 2. Esimerkki sosiaalisen median käyttöpolitiikasta ja tietoturvaohjeesta mukautettavaksi organisaation omaan käyttöön.... 31 Sosiaalisen median ohjeet henkilöstölle... 31 Liite 3. Esimerkki sosiaalisen median käyttöpolitiikasta... 33 Liite 4. Sanasto ja määritelmät... 36 Liite 5. Lähteet... 45 3
Sosiaalisen median tietoturvaohje 4 (45) Esipuhe Sosiaalinen media on tietoverkkoja ja tietotekniikkaa hyödyntävä viestinnän muoto, jossa käsitellään vuorovaikutteisesti ja käyttäjälähtöisesti tuotettua sisältöä ja luodaan sekä ylläpidetään ihmisten välisiä suhteita. Sosiaalisen median palveluissa muun muassa verkostoidutaan, oleskellaan, tehdään yhteistyötä, keskustellaan, luodaan ja jaetaan tietoa, pelataan, ostetaan ja myydään esim. hyödyntämällä maine- tai suositusjärjestelmää sekä otetaan kantaa yhteiskunnallisiin asioihin. Sosiaalinen median suosio on viime vuosina kasvanut merkittävästi. Niin yritykset, organisaatiot, viranomaiset, yliopistot kuin yksityishenkilötkin ovat löytäneet sosiaalisen median ja siirtyneet erilaisten palveluiden enemmän tai vähemmän aktiivisiksi käyttäjiksi. Toimintakulttuuri on sitä myöten muuttumassa perustuen verkostoitumiseen ja monesta monelle -periaatteeseen. Vaikka organisaatioiden työntekijät vapaa-ajallaan saattavatkin olla hyvin aktiivisia sosiaalisen median käyttäjiä, on ilmiö kuitenkin organisaatioiden kannalta vielä varsin uusi, eivätkä organisaatiot tyypillisesti ole ehtineet muodostaa omaa käyttökulttuuria tai edes suhtautumista sosiaaliseen mediaan organisaation näkökulmasta. Tästä johtuen organisaatiot eivät tyypillisesti vielä ole ehtineet reagoida mahdollisiin tietoturvauhkiin. Valtaosa tietoturvauhkista eivät sinänsä ole uusia, mutta sosiaalisen median käyttöperiaatteet poikkeavat merkittävästi perinteisten palveluiden käytöstä ja tietoturvaperiaatteet tulee siten arvioida tätä huomioon ottaen. Tämän ohjeen tarkoitus on ensisijaisesti auttaa organisaatioita käsittelemään sosiaaliseen mediaan liittyviä tietoturvauhkia sekä tukea niitä tietoturvariskien pienentämiseksi. Ohjeen valmistelusta vastaava työryhmä suoritti keväällä 2010 kyselyn liittyen sosiaaliseen mediaan. Yhtenä keskeisenä kysymyksenä tai lähinnä pyyntönä oli kyselyyn vastanneiden tähän ohjeeseen kohdistuneita toivomuksia. Yli 800 ihmisen vastausten perusteella muodostui seuraavanlainen toivomuslista: Ohjeen pitää olla konkreettinen ja välttää yleistä höpinää Ohjetta tulee kirjoittaa selkokielellä, eikä viranomaisjargonilla Ohjeessa tulee välttää sitä, että nähdään mörköjä joka paikassa, jonka jälkeen kaikki kielletään Tulee välttää päällekkäisyyksiä muiden ohjeiden kanssa Ohjeen tulee olla lyhyt Ohjetta kirjoittaessamme pyrittiin seuraavaan: Ohje on kirjoitettu kansankielellä. Liian virallisia termejä on vältetty Konkretiaa on yritetty tuoda esille esimerkeillä. Esimerkkien tarkoitus on ollut tuoda ohjetta lähelle lukijan arkea. Esimerkeillä on helppo valaista sattuneita kömmähdyksiä ja niiden seuraamuksia, jotta yleisistä virheistä voi oppia. Lisäksi esimerkkien avulla on ollut mahdollista tuoda hyviä kokemuksia esille tai pohtia, missä menee raja sen suhteen, mikä on suotavaa ja mikä ei. Lähtökohtana on ollut, että organisaatiot ottavat sosiaalisen median palveluita käyttöön. Ohjeessa on pyritty tuomaan esille olemassa olevia riskejä niitä suurentamatta tai väheksymättä, sekä esittämään huomioon otettavia asioita riskien pienentämiseksi. Ohje on 45 sivua pitkä liitteineen. Ohje menee aika lailla suoraan asiaan päällekkäisyyksien välttämiseksi. Ohjeessa viitataan muualla valtionhallinnossa laadittuihin ohjeisiin. Toivomme, että olemme onnistuneet vastaamaan lukijoiden toiveisiin, ja että ohjeesta on hyötyä sosiaalisen median palveluiden käytössä ja/tai tarjoamisessa. 4
Sosiaalisen median tietoturvaohje 5 (45) Johdon tiivistelmä Sosiaalisen median suosio on viime vuosina kasvanut merkittävästi. Sosiaalisen median palveluita käyttävät niin yritykset, valtion- ja muun julkishallinnon organisaatiot, viranomaiset, yliopistot kuin yksityiset henkilöt. Ilmiö on kuitenkin monelle organisaatiolle uusi, jonka takia sosiaalisen median palveluiden käyttökulttuuri ei ole organisaatiotasolla vielä täysin muodostunut. Sosiaalisen median hyötyjä kuten sen riskejä ei vielä tiedosteta. Organisaatioiden työntekijät saattavat kuitenkin olla aktiivisia sosiaalisen median käyttäjiä vapaa-aikanaan. Sanastokeskus TSK:n julkaiseman Sosiaalisen median sanaston mukaan sosiaalinen media on tietoverkkoja ja tietotekniikkaa hyödyntävä viestinnän muoto, jossa käsitellään vuorovaikutteisesti ja käyttäjälähtöisesti tuotettua sisältöä ja luodaan ja ylläpidetään ihmisten välisiä suhteita. Käytännössä tämä tarkoittaa sitä, että jokaisella käyttäjällä tai käyttäjäryhmällä on mahdollisuus olla aktiivinen viestijä ja sisällön tuottaja. Sisällön tuotto ja jakelu perustuu monelta monelle - periaatteeseen, eikä perinteiseen yhdestä monelle, niin kuin perinteiset joukkoviestimet. Sosiaalisen median palveluvalikoima on laaja ja koostuu esimerkiksi seuraavista osa-alueista: Wikit, joissa käyttäjät vuorovaikutteisesti tuottavat ja muokkaavat sisältöä. Tunnetuin wikipalvelu on Wikipedia, joka on Internetissä toimiva avoin tietosanakirja. Blogit, johon yksi tai useampi kirjoittaja julkaisee sisältöä, joita lukijat voivat halutessaan kommentoida. Mikroblogit, jotka voidaan rinnastaa Internetissä toimiviin tekstiviesteihin. Niiden kautta voi esimerkiksi tiedottaa seuraajiaan ajankohtaisista asioista. Tunnetuin mikroblogipalvelu on Twitter. Mediapalvelut, joissa jaetaan materiaalia, esim. kuvia tai videopätkiä. Tunnetuimmat mediapalvelut ovat YouTube (videoiden jakelupalvelu) ja Flickr (valokuvien jakelupalvelu). Verkkoyhteisöt, joissa ihmiset voivat muodostaa verkostoja, keskustella, seurata keskustelua ajankohtaisista aiheista, pelata, jne.. Tunnetuimmat verkkoyhteisöt Suomessa lienevät Facebook (sosiaalinen verkostoituminen), LinkedIn (ammattimainen verkostoituminen) sekä Irc-galleria (erityisesti nuorten suosiossa oleva verkostoitumispalvelu). Virtuaalimaailmat, joissa käyttäjät voivat luoda virtuaalisen hahmon ja kehittää virtuaalisen elämän palvelussa. Suomessa tunnetuimmat virtuaalimaailmat lienevät SecondLife ja HabboHotel. Linkkien ja uutisten jakopalveluita, joissa vaihdetaan linkkejä ja ajankohtaisia asioita. Monet organisaatiot suunnittelevat sosiaalisen median palveluiden käyttöön ottamista tai jopa tarjoamista. Oikeusministeriön teettämässä katsauksessa Sosiaalisen median mahdollisuudet hallinnolle todettiin, että on arvo sinänsä, että julkiset organisaatiot ja virkamiehet ovat läsnä samoissa palveluissa kuin kansalaiset. Käyttöönottopäätöstä ei tosin tule tehdä pelkästään sen takia, että kaikki muutkin ovat siellä. Sosiaalisen median käyttöönotto on organisaation johdon tietoinen päätös, joka perustuu organisaation yhden tai useamman ydintoimintaan liittyvän tehtävän tukemiseen ja johon sitoudutaan asianmukaisin resurssein. Myös sosiaalisen median palveluiden käyttämättä jättäminen tulee olla tietoinen päätös. On otettava huomioon se tosiasia, että muut saattavat perustaa organisaation nimissä profiileja tai levittää organisaatioon liittyvää tietoa - myös väärää tietoa, ja siten vahingoittaa organisaation mainetta. 5
Sosiaalisen median tietoturvaohje 6 (45) Sosiaalisen median keskeisistä palveluista poissa oleminen vaikeuttaa organisaation maineen hallintaa. Riippumatta siitä, hyödyntääkö organisaatio sosiaalisen median palveluita omiin tarpeisiin vai ei, on suositeltavaa, että sosiaalisen median käytöstä linjataan käyttöpolitiikan muodossa. Käyttöpolitiikassa tulee ottaa kantaa sekä siihen, jos ja miten organisaatio itse hyödyntää sosiaalisen median palveluita, että siihen, miten suhtaudutaan henkilöstön muualla sijaitsevien sosiaalisen median palveluiden käyttöön. Käyttöpolitiikan tulee olla johdon tahtotilan mukainen sekä johdon hyväksymä. Käyttöpolitiikan yhteydessä tulee ottaa huomioon tietoturvallisuuden toteutumiseen liittyvät seikat. Sosiaalinen media ei sinänsä tuo uusia tietoturvahaasteita, mutta sosiaalisen median käyttötavat eroavat merkittävästi perinteisen median käyttötavoista ja perinteisistä Internet-palveluista, jonka takia tietoturvauhat ilmenevät eri tavalla. Tämä johtuu siitä, että sosiaalisessa mediassa käyttäjän toimenpiteet ovat normaalia palveluiden käyttöä keskeisemmässä asemassa. Tahaton hölmöily saattaa johtaa ikäviin seurauksiin, esimerkiksi organisaation tietojen vuotamiseen, henkilökohtaisen mielipiteen esittämiseen organisaation virallisena kannanottona, haittaohjelman leviämiseen tms. Henkilöstön ohjeistaminen ja selkeiden linjausten tekeminen osana käyttöpolitiikkaa on organisaation tietoturvallisuuden kannalta keskeisessä asemassa. Tämän ohjeen tavoite on avata keskeisimmät sosiaalisen median palveluiden liittyvät tietoturvallisuusuhat sekä ohjeistaa lukijaa mahdollisista ratkaisuvaihtoehdoista. Ohjeessa otetaan huomioon sekä sosiaalisen median palveluiden käyttöön että tarjontaan liittyvät asiat. 6
Sosiaalisen median tietoturvaohje 7 (45) 1. Johdanto Oikeusministeriön Demokratia- ja kieliasioiden yksikön tuottama katsaus Sosiaalisen median mahdollisuudet hallinnolle (toim. Tuija Aalto) tunnistaa useita mahdollisia käyttötarkoituksia sosiaalisen median hyödyntämisessä hallinnossa. Esimerkkeinä mainitaan muun muassa viestinnän, tiedonjakamisen, palveluiden tunnetuksi tekeminen, palautteen saaminen, osallisuuden edistäminen ja kansalaismielipiteiden luotaaminen. Sosiaalinen media mahdollistaa vuorovaikutuksen lisäämisen kansalaisten ja sidosryhmien kanssa, jonka avulla on mahdollista kehittää palvelujen laatua sekä lisätä hallintoa kohtaan tunnettua luottamusta. Lähtökohta sosiaalisen mediaan osallistumiseen on se, että läsnäolo tukee yhtä tai useampaa organisaation ydintoimintaan liittyvää tehtävää. Mitään yleisluonteista ohjetta osallistumiseen on kuitenkin vaikea antaa, sillä organisaatiot ovat luonteeltaan hyvin erilaisia. Sosiaaliseen mediaan liittyy myös tietoturvallisuuteen liittyviä tekijöitä, joita on syytä tiedostaa sekä organisaation että sen henkilöstön osallistumisen kannalta. Vaikka monet tietoturvallisuuteen liittyvät uhat eivät ole ominaisia sosiaaliselle medialle, vaan ovat yleisiä Internetissä muutenkin, saattaa sosiaalisen median käyttökulttuuri altistaa organisaatioita ja yksilöitä uhkiin eri tavalla. Tämän ohjeen tarkoitus on tunnistaa keskeiset uhkatekijät, riippumatta siitä ovatko ne ominaisia juuri sosiaaliselle medialle vai Internetille yleisemmin, sekä antaa suosituksia organisaatioille tietoturvallisuuden edistämiseksi sosiaalisessa mediassa. Ohjeessa on pyritty ottamaan huomioon kansallisesti ja kansainvälisesti tuotettu aineisto sosiaaliseen mediaan liittyen (ks. lähdeluettelo) välttääksemme pyörän keksimistä uudelleen. Tarkoitus on ollut keskittyä tietoturvallisuuteen pitäen ohjeen samalla lyhyenä ja ytimekkäänä. Ohje on tarkoitettu organisaatioiden sosiaalisen median palveluita käyttäville (viestintä, henkilöstöala, jne.), niitä tuottaville, tietohallinnolle, turvallisuusalalle sekä soveltuvin osin myös organisaatioiden johdolle ja henkilöstölle. Ohjeen sisältöä tullaan päivittämään säännöllisesti sosiaalisen median palveluiden käytön ja tarjonnan yleistyessä valtionhallinnossa. 7
Sosiaalisen median tietoturvaohje 8 (45) 2. Taustaa Tämä ohje perustuu sekä työryhmän keväällä 2010 teettämään kyselyyn että olemassa olevaan taustamateriaaliin. Keväällä 2010 suoritettu kysely kohdistettiin neljälle eri kohderyhmille: 1. Johto 2. Sosiaalisen median palveluiden suunnittelijat ja kehittäjät 3. Tietoturvavastaavat 4. Henkilöstö Kyselyn tavoite oli selvittää sosiaalisen median palveluiden käyttöaste tai käyttöönottosuunnitelmat sekä sosiaaliseen mediaan liittyvät tietoturvahaasteet. Kyselyyn vastasi yli 800 henkilöä valtionhallinnosta, muusta julkishallinnosta sekä yksityiseltä sektorilta. Vastauksista kävi selkeästi ilmi, että sosiaalista mediaa pidetään pääsääntöisesti mahdollisuutena organisaatiolle ja että niiden käyttöönottoa suunnitellaan. Tietoturvallisuusasiat mietityttivät siltä osin, että sosiaalinen media on organisaatioille ilmiönä uusi eikä henkilöstöä ole kyetty ohjeistamaan turvallisen käytön periaatteisiin. Arvioitiin kuitenkin, että tietoturvallisuusmurheet vähentyisivät organisaatiokulttuurin kehittyessä. Tätä ohjetta laatiessa keskeisimmät taustamateriaalit on ollut: 1. Oikeusministeriön Demokratia- ja kieliasioiden yksikön teettämä katsaus Sosiaalisen median mahdollisuudet hallinnolle (toim. Tuija Aalto) 4.6.2010 2. Centre for the Protection of National Infrastructure (CPNI) Good Practice Guide: Online Social Networking, heinäkuu/2010, Issue NO: 1.0 3. Department of Defence Social Media Hub: http://socialmedia.defense.gov/ Tämä ohje on osittain päällekkäinen Oikeusministeriön teettämän katsauksen kanssa, mutta ei kuitenkaan sen kanssa ristiriidassa. Eräitä katsauksen asioita on ollut tarpeen toistaa tai laajentaa, jotta tämän ohjeen lukeminen helpottuisi. Oikeusministeriön katsauksen lukeminen on erittäin suotavaa. CPNI:n tuottama käytännön ohje on vaikuttanut tämän ohjeen strukturointiin. CPNI:n ohjeessa riskit jaetaan kolmeen kategoriaan: 1. Riskit, jotka johtuvat sosiaalisen median palveluihin tuotettuun sisältöön. 2. Riskit, jotka johtuvat verkostoitumisesta ja sosiaalisesta kanssakäymisestä sosiaalisen median palveluissa. 3. Riskit, jotka johtuvat sosiaalisen median palveluiden kautta leviävistä haittaohjelmista, kalasteluyrityksistä sekä roskapostista. Yhdysvaltain Department of Defence on julkaissut www-sivuston, johon on kerätty tietoja ja ohjeita sosiaalisesta mediasta. Sivustossa käsitellään myös tietoturvallisuuteen liittyviä asioita käytännönläheisellä ja käyttäjäystävällisellä tavalla. Materiaali ei ole puhtaasti sotilaalliseen henkilöstöön suunnattu; materiaalista löytyy esimerkiksi neuvoja, miten aikuiset voivat ohjeistaa lapsiaan sosiaalisen median turvallisessa käytössä. 8
Sosiaalisen median tietoturvaohje 9 (45) 3. Sosiaaliseen mediaan liittyvät tietoturvariskit Sosiaalinen media ei sinänsä tuo uusia tietoturva-uhkia, mutta koska sosiaalisen median toimintaperiaate on erilainen kuin perinteisessä mediassa, tietoturvauhat ilmenevät eri tavalla. 3.1 Keskeisimmät ongelmat ja uhkakuvat Sosiaalisen median palveluita ei välttämättä ole rakennettu noudattamalla samanlaisia suunnitteluperiaatteita ja vaatimusmäärittelyitä sekä suoritettu samanlaisia auditointeja kuin toteutettaessa organisaation muita palveluita ja tietojärjestelmiä. Lisäksi niiden käyttöperiaatteet poikkeavat huomattavasti perinteisistä tietojärjestelmäpalveluista. Keskeisimmät tietoturvauhat perustuvat sekä käyttäjän omaan toimintaan että ammattimaiseen ja suunniteltuun toimintaan, jossa rikolliset, ääriryhmät tai valtiot pyrkivät esimerkiksi saamaan haltuunsa tietoa (luottokortti- ja henkilötietoja, yrityssalaisuuksia, valtiosalaisuuksia), vaikuttamaan päätöksentekoon (kuluttajien, yritysjohdon, valtionjohdon), tahraamaan organisaatioiden tai ihmisten mainetta tai levittämään omaa aatettaan. Osa ammattimaisista rikollisjärjestöistä hakevat mahdollisimman suurta taloudellista hyötyä hyödyntämällä sosiaalisen median palveluiden kautta levitettäviä haittaohjelmia, jotka mahdollistavat esimerkiksi käyttäjän tietokoneen etähallinnan ja käyttämisen rikollisjärjestön haluamaan käyttötarkoitukseen. Rikollisjärjestön ylläpitämä, jopa (sadoista) tuhansista kaapatuista tietokoneista koostuva ns. bot-verkosto voi toimia esimerkiksi tehokkaana roskapostipalvelinympäristönä, huijaus-verkkopalveluna, kohdistettuja palvelinestohyökkäyksiä suorittavana verkkoalustana, palveluihin eri salasanayhdistelmiä kokeilevana, tietomurtautumista yrittävänä verkostona tai salasanoja matemaattisesti murtavana laskentakeskuksena. Erityisen hankalia ovat organisaatioon kohdennetut hyökkäykset, joissa käytetään tarkoitusta varteen räätälöityä haittaohjelmaa, joita organisaation käyttämät torjuntajärjestelmät eivät tunnista. Seuraavissa kappaleissa on katsaus niihin keskeisimpiin tietoturvariskeihin, joita sosiaalisen median palveluiden käyttämiseen tai niiden tarjoamiseen liittyy. 3.2 Tietoaineistoon ja yksityisyyden suojaan liittyvät riskit Tietoturvallisuuden keskeinen tehtävä on huolehtia tietoaineistojen luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvistä seikoista palveluiden helppokäyttöisyyttä unohtamatta. Eräs merkittävimmistä sosiaalisen median palveluiden tietoturvallisuuden uhkakuvista on muun kuin julkisen tietoaineiston paljastuminen tai joutuminen väärin käsiin. Tämä voi aiheutua seuraavista seikoista: - käyttäjä saattaa jakaa tai lähettää palveluun vahingossa tai tiedostamattaan luokiteltuja, salassa pidettäviä tietoaineistoja. Mikäli palvelu on ulkomailla tai kolmannen osapuolen ylläpitämä, saattaa aineiston poistaminen olla joko mahdotonta tai se kestää niin kauan, että tieto ehtii vuotaa ja levitä myös muualle Internet-verkon palveluihin, jolloin tietoaineisto jää 9
Sosiaalisen median tietoturvaohje 10 (45) ikuisesti nettiin. Lisäksi tiedon poistoyritykset saattavat vain johtaa siihen, että tieto leviää entistäkin laajemmin. - käyttäjä saattaa aiheuttaa tiedostamattaan tietovuodon siten, että vaikka hänen yksittäiset viestinsä eivät vielä muodosta uhkaa, niin kerättäessä nämä mahdollisesti eri palveluihin tuotetut viestit yhteen tai keräämällä tietoja pitemmältä aikajaksolta, saadaan muodostettua sellainen kokonaisvaltainen tilannekuva, joka johtaa luottamuksellisen tiedon menettämiseen - vaikka käyttäjä ei itse lähetä luottamuksellista tietoa sosiaalisen median palveluun, toinen henkilö saattaa palveluun toimittamassaan viestissä, valokuvissa tai videotiedostoissa paljastaa tahattomasti käyttäjää tai organisaatiota koskevia luottamuksellisia tietoja. Koska yhä useampi kamera sisältää gps-ominaisuuden, niin tulevaisuudessa erityinen lisäongelmien aiheuttaja on maantieteellisten koordinaattien yleistyminen digi-valokuvissa (geo-tagging). 3.2.1 Vakoilu Sosiaaliset mediat tarjoavat teollisuusvakoilijoille sekä valtioiden tiedustelupalveluille loistavan alustan etsiä tarvitsemaansa tietoa ja yhdistää sitä muista lähteistä saatuihin tietoihin. Monet tutkimukset ovat osoittaneet, että ihmiset hyväksyvät helposti omaan verkostoonsa kontakteja, joita he eivät tunne. Tämä yhdistettynä liialliseen luottamukseen ja huolimattomaan toimintaan on omiaan lisäämään organisaatioiden tietoturvariskejä. 3.2.2 Väärän tai virheellisen tiedon levittäminen Sosiaalista mediaa voidaan käyttää tietoisesti väärän tai virheellisen tiedon levittämiseen. Osa organisaatioista on saattanut huomata, että Internet-verkkoon on pystytetty sen toimintaa jäljitteleviä www-palveluita tai sen roolissa yritetään toimia sosiaalisen median palveluissa. Vaikka tällaiset, usein ajattelemattomuudesta tai pilan päin syntyneet ideat ja palvelut saattavat vaikuttaa harmittomilta, saattaa niillä olla merkittävä vaikutus organisaation toimintaan tai sen julkisuuskuvaan. Havaitessaan tällaista toimintaa organisaation tulee ryhtyä tarvittaviin toimenpiteisiin virheellisen tiedon levittämisen estämiseksi. Sähköisessä muodossa olevan tiedon leviämistä on usein mahdotonta valvoa. Tiedon eheyden takaaminen on usein mahdotonta, tieto saattaa muuntua merkittävästi matkalla palvelusta ja välittäjästä toiseen. Mikäli organisaatio havaitsee sosiaalisen median palveluissa välitettävän virheellistä tietoa omasta toiminnastaan tai toimialaltaan, tulee siihen puuttua sellaisen henkilön toimesta, jolla on tarvittava toimivalta. 3.2.4 Käyttäjätunnukset ja käyttäjätunnusvarkaudet Organisaation käyttämät käyttäjätunnukset saattavat joutua vääriin käsiin, minkä jälkeen vihamielinen toimija voi tehdä organisaation tunnukselle mitä haluaa, esim. muuttamalla palvelun sisältöä, julkistaa materiaalia organisaation nimissä, levittää haittaohjelmia tai varastaa henkilötietoja. Tämä saattaa aiheuttaa harmeja organisaation maineelle sekä aiheuttaa lisätyötä tilanteen korjaamiseksi. 10
Sosiaalisen median tietoturvaohje 11 (45) 3.3. Verkostoitumiseen liittyvät haasteet Sosiaalisen median keskeinen tehtävä on yhdistää henkilöitä verkostojen avulla. Tällainen verkostoitumismalli mahdollistaa väärinkäyttäjille uuden toimintamallin, joka pohjautuu käyttäjän hyväuskoisuuteen ja luottamukseen omissa sosiaalisissa verkostoissa oleviin henkilöihin. 3.3.1 Tietojen kalastelu Sosiaalisen median palvelut tarjoavat entistä helpomman tavan lähestyä käyttäjää, koska useat sosiaalisen median palvelut pohjautuvat avoimeen ja helposti lähestyttävään käyttötapaan. Henkilöstöä on koulutettu ja ohjeistettu olemaan lukematta ja avaamatta roskapostiviestejä tai muita epäilyttäviä linkkejä, mutta sosiaalisen median palveluissa ollaan usein varomattomampia, etenkin jos kutsu uuteen toiminnallisuuteen, palveluun tai palveluun liittyvän lisäosan asentamiseen tulee tutulta henkilöltä. Kalastelu on muodostunut merkittäväksi ongelmaksi sosiaalisissa medioissa. Käyttäjiä yritetään huijata paljastamaan tietoja itsestään tai työnantajastaan aidolta näyttävillä kyselyillä. Perinteisten, sattumanvaraisten osoitelistojen sijaan nyt suoritetaan kohdistettuja hyökkäyksiä, joiden uhrit voidaan poimia tehokkaasti käyttämällä sosiaalisen median palveluista kerättyjä tietoja. Esimerkiksi keväällä 2010 Facebookissa yritettiin huijata käyttäjiä paljastamaan tietoja itsestään. 20 000 ensimmäiselle luvattiin tuhannen euron lahjakorttia Ikeaan. Kyseessä oli huijaus, joka osoittaa sen, että tarkkaavaisuus, skeptisyys ja terve järki ovat välttämättömiä ominaisuuksia sosiaalisten medioiden turvallisessa käytössä. 3.3.2 Henkilöstön uhkailu, häirintä ja pelottelu Jotkut henkilöt kertovat hyvin avoimesti tietoja itsestään ja omasta elämästään sosiaalisen median palveluissa. Osa palveluista on rakennettu siten, että hakukoneet, esimerkiksi Google, pystyvät hakemaan henkilöön liittyviä tietoja omaan tietokantaansa, jolloin tiedot ovat julkisesti löydettävissä ja nähtävissä. Mikäli väärinkäyttäjä pääsee lisäksi henkilön verkostoon, hän pystyy monin tavoin vaikuttamaan henkilön elämään joko sähköisen median kautta tai fyysisellä väkivallalla uhaten. Esimerkiksi väärennetyn profiiliin avulla väärinkäyttäjä pystyy kirjoittamaan kohteestaan perättömiä tai valheellisia viestejä sekä julkaisemaan muuta sellaista tietoa, mikä aikaisemmin olisi ollut hankalampaa. 3.3.3 Kontaktit Jos kontaktien hyväksynnässä ei ole huolellinen, saattaa verkostoon soluttautua kontakteja, joita reaalimaailmassa ei välttämättä hyväksyisi kontakteikseen tai joita ei ole oikeasti olemassa. Tämä saattaa vaarantaa käyttäjän yksityisyyttä ja mainetta, jos soluttautuja käyttää hyväkseen henkilöä kasvattaakseen luottamusta henkilön verkostoon tarkoituksenaan käyttää verkostoa myöhemmin hyväkseen esim. haittaohjelmien levittämiseen tai henkilötietojen anastamiseen. Erään turvallisuustutkijan onnistui soluttautua Yhdysvaltojen sotilas- ja tiedusteluorganisaatioihin luomalla valeprofiilin Facebookiin, LinkedIn:iin ja Twitteriin sekä liittämällä siihen kuvan naisesta nimeltä Robin Sage. Viikkojen sisään hänellä oli satoja 11
Sosiaalisen median tietoturvaohje 12 (45) ystäviä ja seuraajia Yhdysvaltain puolustushallinnosta, kansallisesta turvallisuusjärjestöstä NSA:sta, puolustusteollisuudesta sekä Iso-Britannian asevoimista. Hän onnistui verkostonsa kautta saamaan käsiinsä arkaluontoista tietoa, nimiä, osoitteita, pankkitilejä ja sähköposteja. Tämän lisäksi hän sai lukuisia esiintymiskutsuja. Valeprofiili sai myös kaveripyyntöjä senkin jälkeen, kun hänet oli paljastettu valheeksi. Kontaktien tekemisiä on mahdotonta hallita. Vaikka käyttäjä ei itse paljasta itsestään tai organisaatiostaan arkaluonteista tietoa, saattaa kontakti julkaista jotain sopimatonta tai henkilökohtaista. 3.4 Tekniset uhat 3.4.1 Sosiaalisen median palveluiden kautta levitettävät haittaohjelmat Koska sosiaalisen median palveluiden käyttäjämäärä kasvaa nopeasti, tarjoaa se väärinkäyttäjille otollisen alustan yrittää nopeasti levittää uusia haittaohjelmia mahdollisimman monen käyttäjän tietokoneisiin. Sosiaalisessa mediassa haittaohjelmien levittäminen voi olla helpompaa seuraavista syistä: - mikäli henkilö saa viestin sosiaalisen median kautta ystävältään, työtoveriltaan tai muuten tutunoloiselta lähettäjältä, se saatetaan kuvitella turvallisemmaksi kuin suoraan sähköpostitse saapuva vastaavanlainen, muuten tietosisällöltään epäilyttävä viesti. - useissa palveluissa viitataan uutisiin tai muihin keskusteluissa esillä oleviin asioihin käyttämällä url-osoitteen lyhennyspalveluita kuten bit.ly tai tinyurl.com. Näiden tarkoitus on säästää tilaa niissä sosiaalisen median palveluissa, joissa päivityksen merkkimäärä on rajoitettu (esim. Twitter). Haittapuolena on se että linkkiä napauttava ei pysty näkemään ennen osoitteessa vierailua, mihin osoitteeseen hänet johdatetaan. Tällöin on myös vaikea arvioida millaisia mahdollisia haittaohjelmia kyseiseltä www-sivulta yritetään koneelle upottaa o On myös huomattava että url-osoitteen lyhennyspalvelun luotettavuuteen tulee kiinnittää huomiota. Väärinkäyttäjä voi muuttaa aiemmin turvallisen ja oikean linkin ohjautumaan haitalliseen osoitteeseen. - sosiaalisen median palveluntarjoaja ei välttämättä ole kiinnittänyt tarpeeksi huomiota oman palvelunsa tietoturvallisuuteen ja palvelussa voi olla tietoturva-aukkoja, jotka mahdollistavat käyttäjän koneen saastuttamisen. - perinteisten haittaohjelmien rinnalle on noussut kokonaan uusi uhka, joka on käytetyimpien sosiaalisen median palveluita taidokkaasti hyödyntävät haittaohjelmat. Niiden tarkoituksena on ohjata käyttäjä hyökkääjän ylläpitämään palveluun käyttäen hyväksi henkilön luottamusta omaan verkostoon. Organisaation maine saattaa kärsiä merkittävän kolauksen, jos käy ilmi, että sen palveluiden kautta on ohjattu käyttäjiä haittaohjelmasivuille tai että organisaation tuottamaan palveluun on saatu upotettua haittaohjelma. 12
Sosiaalisen median tietoturvaohje 13 (45) Kuva x. Url-lyhennyspalvelut mahdollistavat pitkien tai muuten hankalasti muistettavien linkkien tallentamisen lyhemmiksi, helpommin muistettaviksi url-osoitteiksi. 3.4.2 Palveluiden käytön aiheuttamat kuormitusriskit Osa sosiaalisen median palveluista keskittyy video-, kuva- ja äänitiedostojen hyödyntämiseen ja jakelemiseen. Joissakin organisaatioissa on kielletty tai teknisesti estetty tällaisten sosiaalisen median palveluiden hyödyntäminen vetoamalla niiden aiheuttamaan tietoliikenneverkon ja verkkolaitteiden kuormitukseen. 3.4.3 Palveluiden sovelluskehitykseen liittyvät riskit Koska kilpailu ja tarjonta sosiaalisen median palveluissa kehittyvät muita IT-palveluita nopeammin, tämä edellyttää myös perinteisiä palveluita nopeampaa palveluiden ja sovelluskehityksen tuotantomallia. Nopeatempoisessa sovelluskehityksessä tietoturvallisuus ja testaaminen yleensä kärsivät, jolloin palveluihin saattaa jäädä käytettävästä ohjelmointi- tai sovelluspalvelinteknologiasta johtuvia haavoittuvuuksia. 3.4.4 Sosiaalisen median palveluiden lisäohjelmat ja omat ohjelmarajapinnat Yhä useampi sosiaalisen median palvelu haluaa laajentaa toimintaansa tarjoamalla kolmansille osapuolille rajapintoja omien palveluiden kehittämiseen ja näin laajentaa käyttäjäkuntaansa. Nämä palvelut pyörivät usein kehittäjien hallitsemilla palvelimilla, eikä niiden tietoturvallisuudesta pääsääntöisesti ole mitään tietoa. Käyttäjää saatetaan pyytää luovuttamaan tietoja kyseisille palveluille vaikka tiedot eivät ole välttämättömiä palvelun toiminnalle. Samoin keskeinen suuntaus on kehittää palveluita ja sovelluksia, joiden avulla käyttäjä voi hallita useita eri sosiaalisen median palvelua keskitetysti. Mikäli tällaisen keskitetyn palvelun käyttäjätunnukset ja salasanat vuotavat ulkopuoliselle, mahdollistaa se nopeasti usean eri sosiaalisen median palvelun väärinkäyttämisen. Tällainen keskitetty palvelu tarjoaa myös helpomman keinon yhdistää henkilön verkostossa olevaa tietoa, mikä luo myös väärinkäyttäjälle helpomman mahdollisuuden kerätä tietoja. Yhden palvelun sijaan murtautuja voi keskittyä sellaisen palvelun murtamiseen, joka sisältää mahdollisimman paljon tietoja useista eri sosiaalisen median palveluista valmiiksi yhdistettynä. 13
Sosiaalisen median tietoturvaohje 14 (45) 3.4.5 Roskapostiviestit Sosiaalisen median palveluiden avulla yritetään lähettää roskapostiviestejä, koska usein sosiaalisen median palveluissa roskapostisuodatusta ei ole tehty yhtä laadukkaasti kuin perinteisissä sähköpostijärjestelmissä. 3.5. Muut uhkakuvat 3.5.1 Palveluiden epäselvät ja/tai muuttuvat sopimusehdot sekä tietojen luovuttaminen ulkopuolisille tahoille Harva yksityishenkilönä sosiaalisen median palveluun yksityishenkilönä liittyvä käyttäjä vaivautuu lukemaan palvelun käyttöön liittyvät sopimus- ja palveluehdot niiden pituuden, monimutkaisuuden ja epäselvyyden takia. Tyypillisesti käyttäjä laittaa rastin ruutuun ja luottaa siihen, että koska muutkin käyttävät palvelua, ehdot on helpompi hyväksyä. Organisaation tulisi olla palveluita käyttöön ottaessaan huolellisempi riippumatta siitä, tarjotaanko palvelua henkilöstön käyttöön vai alkaako organisaatio itse tarjota palveluita sen kautta. Useissa palveluissa keskeinen haaste on toimittajan ja palvelun sijainti pelkästään ulkomailla, jolloin palvelun tarjoaja ei ole halukas muuttamaan sopimusta pienen ulkomaisen asiakkaan toiveiden vuoksi. Kenties tärkein huomioon otettava seikka koskee sitä, millaiset oikeudet palvelua ylläpitävä toimittaja saa asiakkaan palveluun tallentamaan tietoon. Pahimmillaan toimittaja pidättää itsellään kaikki oikeudet, mikä mahdollistaa tietojen levittämisen ja edelleen välittämisen tai myymisen myös kolmansille osapuolille. Monet suositut sosiaalisen median palvelut on tarkoitettu ainoastaan yksityishenkilöiden käyttöön, jolloin niiden käyttäjäehdoissa asetetut velvoitteet ja vastuut voivat olla ristiriidassa käyttäjän oman organisaation sääntöjen kanssa. Käyttäjä voidaan velvoittaa esimerkiksi puolustamaan palveluntarjoajaa ulkopuolisten tahojen, kuten käyttäjän oman organisaation, oikeusvaatimuksia vastaan. Monet sosiaalisen median palvelujen tarjoajat eivät ole Suomen lainsäädännön piirissä, jolloin sopimusehtojen lisäksi noudatettavat lainsäädännön vaatimukset voivat poiketa merkittävästi Suomessa totutuista. 3.5.2 Palvelun ja tietoaineistojen sijaintiin ja tietoturvallisuuden tilaan liittyvät epäselvyydet Sosiaalisen median palveluissa, kuten muissakin Internet-palveluissa, yleistyvät jaettua kapasiteettia eli palvelinvirtualisointia ja pilvipalvelua (cloud computing) hyödyntävät tuotantomallit. Näiden mallien suurimpia haasteita ovat tietoaineistojen sijaintiin liittyvät kysymykset, palveluiden 14
Sosiaalisen median tietoturvaohje 15 (45) käytettävyys normaaliolojen häiriötilanteissa sekä epätietoisuus palvelun tietoturvallisuuden todellisesta tilasta. Sosiaalisen median palveluun siirretty tieto saattaa sijaita maassa, jonka lainsäädäntö tietoturvaan tai tietosuojaan liittyvissä asioissa poikkeaa merkittävästi Suomen lainsäädännöstä. Joissain tapauksissa (esimerkiksi henkilötiedot) Suomen lainsäädäntö rajoittaa tietoaineiston siirtoa maahan, jossa tietosuoja- tai tietoturvasäännökset ovat Suomen tasoa heikompia. Mahdolliset ristiriitatilanteet ratkotaan useimmiten palvelun tarjoajan toimintamaan oikeudessa ja kyseessä olevan maan lainsäädännön mukaisesti. Lisätietoja löytyy tietosuojavaltuutetun toimiston wwwsivuilta (ks. Liite 5: Lähteet). Mikäli palvelu sijaitsee kokonaisuudessaan Suomen ulkopuolella, se ei ole käytettävissä kansainvälisten tietoliikenneyhteyksien ollessa poikki. Koska sosiaalisen median palvelut eivät tyypillisesti ole kriittisiä organisaation toiminnalle, tämän ei pitäisi muodostua ongelmaksi. Kuitenkin uusien, etenkin ryhmätyö- ja viestintäpalveluiden yleistyessä saattaa näiden palveluiden kriittisyysluokka nousta korkeammaksi kuin perinteisten sosiaalisen median palveluiden. Tämä tulee ottaa huomioon palveluiden varautumis- ja jatkuvuussuunnittelussa ja tarvittaessa suunnitella tarpeelliset varajärjestelyt. Lisäksi on otettava huomioon, että ulkomailla sijaitsevan palveluntarjoajan tietoturvallisuutta on yleensä mahdotonta tarkistaa (auditoida). Sosiaalisen median palvelun käyttöön ottaminen on tällöin aina riski. 3.5.3 Identiteettivarkaudet Jos henkilö julkaisee itsestään liian paljon tietoja, esimerkiksi syntymäajan, kotiosoitteen, perheenjäsenien nimet, jne., voidaan näitä tietoja käyttää identiteettivarkauksiin. Sosiaalisen median palvelut ovat usein henkilökohtaisia, ja niiden lieveilmiöt kohdistuvat myös yksittäisiin henkilöihin eivät heidän organisaatioihinsa. Suomessa identiteettivarkaus itsessään ei ole rikos, vaan kriminalisointi kohdistuu sen avulla tehtyihin petoksiin, yksityisyyttä loukkaaviin tiedon levittämisiin ja herjauksiin. Käyttäjätunnuksen varastamista edesauttaa jos henkilö julkaisee itsestään tietoja useassa paikassa Internetissä, jolloin häneltä helposti unohtuu mitä kaikkia hänen henkilökohtaisia tietojaan netistä kokonaisuudessaan onkaan löydettävissä. Vastaus verkkopalvelujen tyypillisesti esittämiin kysymyksiin unohtuneen salasanan palauttamiseksi, kuten esimerkiksi Mikä on koirasi nimi?, saattaa kyseisen henkilön kohdalla löytyä omilta profiileilta. 3.5.4 Yksityisyyden suoja Sosiaalisen median palveluita kehitettäessä ei käyttäjien yksityisyyden suoja ole ollut pääasia. Päinvastoin, monen sosiaalisen median palvelun liiketoimintamalli perustuu siihen, että käyttäjien tiedot ovat mahdollisimman julkisia. Samaan aikaan sosiaalinen normi yksityisyydestä on muuttumassa ja julkisen ja yksityisen välinen raja on hämärtymässä. Sosiaaliset mediat ovat ilmiönä 15
Sosiaalisen median tietoturvaohje 16 (45) niin uusi, että niihin ei ole osattu vielä suhtautua järkiperäisesti; erityisesti yksityisyyteen liittyvät asiat tulevat ajankohtaisiksi vasta siinä vaiheessa, kun usein on liian myöhäistä. Esimerkkinä mainittakoon kuuluisaksi muodostunut tapaus, josta uutisoitiin laajasti kesällä 2009 Iso-Britanniassa. Tapaus koski Facebookissa olevaa sivustoa, joka aiheutti kansallisen turvallisuusriskin. Maan tiedustelupalvelun (MI6) johtajan vaimo kertoi avoimesti Facebook sivustollaan hyvinkin henkilökohtaisia asioita perheestään, julkaisi valokuvia sekä paljasti kotiosoitteensa. Viattomalta vaikuttava sivusto oli kuitenkin kaikkien lontoolaisten verkostoon kuuluville avoin. Tilanne aiheutti riskin niin valtiotasolla kuin perheellekin. Vaikka käyttäjä tekee kaiken omasta mielestään oikein ja laittaa päälle keskeiset yksityisyyden suojaa koskevat asetukset ja noudattaa parhaita käytäntöjä palveluita käyttäessään, mikään ei takaa sitä, ettei joku toinen hänen verkostossaan oleva henkilö aiheuta omalla tahattomalla toiminnallaan ongelmia, jotka johtavat käyttäjän omien tietojen leviämiseen. Erityisesti valokuvat ja niiden taggaus saattavat muodostaa käyttäjästä kattavan profiilin. Lisäksi valokuvien taustoilla näkyvät muut yksityiskohdat, kuten autojen rekisteritunnukset, talonumerot jne. yhdistettynä paikkatietoon paljastavat käyttäjästä yllättävän paljon. Myös sovelluskehityksessä tapahtuvat viat saattavat paljastaa käyttäjien henkilökohtaisia tietoja, eivätkä tiedot sen jälkeen ole enää helposti poistettavissa, mikäli ne ovat ehtineet levitä Internetissä. Kevennys: Täysin turvallisia sosiaaliset mediat eivät onneksi ole rikollisillekaan. Keväällä 2010 Italian poliisi sai kiinni henkilön, jota syytetään useista murhista, huumerikoksista ja yhteydestä mafiaan. Henkilön piilopaikka jäljitettiin hänen Facebookin selaamiseen käyttämän 3G-mokkulayhteyden avulla. 3.5.5 Fyysiseen turvallisuuteen liittyvät riskit Uudet teknologiat, päätelaitteet ja palvelut hyödyntävät gps- ja 3G-laitteiden kautta myös matkapuhelinverkkojen tarjoamaa a-gps-teknologiaa, joka mahdollistaa päätelaitteen paikallistamisen muutaman metrin tarkkuudella. Tämän ohella uutena keinona paikantamiseen on tullut wlan-tukiasemapaikannus, jota voidaan käyttää myös ilman gps-ominaisuutta. Samoja teknologioita tullaan hyödyntämään myös muissa elektroniikkalaitteissa ja digikameroissa, joten paikkatiedoista on tulossa yksi uusi de facto -ominaisuus mobiililaitteisiin. Tämä tulisi ottaa huomioon sosiaalisen median palveluiden ohella muissa tietojärjestelmissä ja tietoaineistoissa ja huolehtia siitä, että organisaatio ei paljasta suotta käyttäjiin tai asiakirjoihin liittyviä paikkatietoja esimerkiksi tietoaineistojen metatiedoissa. Paikkatiedot mahdollistavat sekä asiakirjan että henkilöiden paikantamisen ja tämä tulisi huomioida riskien arvioinnissa. Sosiaalisiin medioihin liittyy myös muita fyysistä turvallisuutta koskevia väärinkäyttömahdollisuuksia. Seuraamalla henkilön vapaa-ajan sosiaalisen verkostoon liittyviä viestejä ja tilatietojen päivityksiä, voidaan yrittää päätellä, missä ja milloin henkilö on ja kenen muiden henkilöiden seurassa. Suomestakin tiedetään tapauksia, joissa murtovaras on hyödyntänyt sosiaalisen median palveluita tyhjillään olevien kotitalouksien selvittämiseksi. Murtovarkaita helpottavat erilaiset karttapalvelut, joilla potentiaalisia kohteita voidaan metsästää ja parhaan tarkkuuden omaavilla palveluilla voidaan jopa selvittää kohteessa käytössä olevia hälytys- tai muita turvajärjestelmiä. 16
Sosiaalisen median tietoturvaohje 17 (45) 3.5.6 Organisaation maineeseen ja uskottavuuteen liittyvät uhkakuvat Myös organisaatioon kohdistuu joitain samanlaisia uhkia kuin yksittäiseen henkilöön. Yhä useammassa palvelussa arvioidaan kaupallisten yritysten ja kauppaliikkeiden mainetta ja muuta toimivuutta. Tällaisten arviointien toimintaan voidaan yrittää vaikuttaa väärennettyjen käyttäjäprofiilien avulla. Vaikka jokin organisaatio tai toimittaja, liike tai palvelu olisi saanut hyvät arvosanat jossakin palvelussa, on siihen voitu vaikuttaa valheellisilla arvosteluilla, jos arvostelijoiden määrä on pieni. Valtaosa julkisista sosiaalisen median palveluista rahoittaa toimintaansa mainoksilla. Organisaatio ei voi vaikuttaa siihen, millaisia mainoksia heidän yhteisö- tai verkkopalvelunsivuillaan esitetään. Organisaation uskottavuutta saattaa heikentyä, jos sen sosiaalisen median palvelusivuilla mainostetaan jotain sellaista, joka ei sovi organisaation imagoon. Organisaation maineen mustaamisen ohella väärennettyjen tai kaapattujen profiilien avulla on myös mahdollista hyökätä yksittäistä käyttäjää vastaan. Pahimmillaan tällainen omasta verkostosta suuntautuva mustamaalaus saattaa näyttää ulkopuolisesta erittäin uskottavalta ja menetetyn maineen palauttamiseen kuluu aikaa tai maineen palauttaminen on mahdotonta. Lisäksi organisaation mainetta ja uskottavuutta saattavat haitata työntekijöiden varomattomasti esittämät mielipiteet tai väärät tiedot, erityisesti jos ei ole ilmiselvää, että kerrottu tieto tai esitetty mielipide on henkilön oma eikä organisaation virallinen kanta. Pahimmassa tapauksessa organisaatio saattaa joutua juridiseen vastuuseen työntekijän julkaisemasta asiasta. 17
Sosiaalisen median tietoturvaohje 18 (45) 4. Tietoturvallisuuden toteuttaminen palveluita käytettäessä Sosiaalisen median palveluiden käyttö tulee arvioida niiden kautta saatujen hyötyjen perusteella tasapainotettuna mahdollisiin riskeihin. Lähtökohta on, että organisaatiolla on selkeä tavoite sosiaalisen median hyödyntämisessä sekä riittävästi resursseja tavoitteen saavuttamiseksi. On suositeltavaa, että organisaatio laatii sosiaalisen median käyttöpolitiikan, joka ohjaa sekä organisaation että henkilöstön toimintaa sosiaalisen median palveluiden käytössä. 4.1 Sosiaalisen median käyttöpolitiikka Käyttöpolitiikassa tulee ottaa kantaa yleisiin sosiaaliseen mediaan liittyviin menettelyihin sekä organisaation että henkilöstön osalta. On suositeltavaa, että sosiaalisen median tietoturvallisuuteen liittyvät linjaukset liitetään osaksi organisaation sosiaalisen median käyttöpolitiikkaa. Käyttöpolitiikassa tulee määritellä: 1. Mitä organisaation ydintoimintaa liittyvää tehtävää sosiaaliseen mediaan osallistuminen tukee? 2. Mikä on sosiaalisen median käytön tavoite? 3. Mitä sosiaalisen median palveluita otetaan käyttöön? a. Kuka päättää käyttöönotosta? b. Kuka vastaa osallistumisesta ja palveluiden ylläpidosta? c. Kuka seuraa palvelusopimusten muutoksia ja arvioi organisaation käytön jatkuvuuden? d. Miten käyttö tai läsnäolo resursoidaan? e. Millä tavoin henkilöstö osallistuu palvelun toimintaan? 4. Osallistumisen periaatteet ja verkkoidentiteetin hallinta a. Käytettävät verkkoidentiteetit (ks. luku 4.2.) b. Yleiset periaatteet; mitä organisaatiosta saa/ei saa puhua jne. 5. Sosiaalisen median käyttö työpaikalta a. On/ei ole suositeltavaa? b. On mahdollistettu/rajoitettu/estetty työpaikalta 6. Sosiaalisen median käytön koulutus a. Sisällöntuottajille b. Ylläpitäjille c. Henkilöstölle 7. Miten sosiaalista mediaa seurataan? a. Kuka seuraa ja millä välineillä ja mitä palveluita? b. Kuka vastaa ja kommentoi sosiaalisessa mediassa käytävää, organisaatiota koskevaa keskustelua? 8. Tietoturvallisuus a. Riskien hallinta i. Kuka vastaa riskien arvioimisesta, toimenpiteiden suunnittelusta ja tietoturvallisuuden seurannasta? ii. Kuinka usein riskejä arvioidaan? b. Tietoaineistojen suojaaminen 18
Sosiaalisen median tietoturvaohje 19 (45) i. Miten varmistetaan, että salassa pidettävä tieto ei vuoda sosiaaliseen mediaan? c. Tietojenkäsittely-ympäristöjen suojaaminen i. Jos sosiaalisen median palvelua käytetään työpaikalta, mitä saa ja ei saa tehdä? ii. Miten estetään haittaohjelmien leviäminen organisaation tietojenkäsittelyympäristöön? iii. Millaisia teknisiä ratkaisuja löytyy sosiaalisen median palveluiden tietoturvallisen käytön parantamiseksi? d. Maineen hallinta i. Mikä on asiallista käytöstä sosiaalisessa mediassa? ii. Miten reagoidaan valeprofiileihin ja tunnuksiin tai jos organisaation tunnuksia kaapataan? e. Henkilöturvallisuus i. Miten reagoidaan häirintään ja uhkailuun? f. Henkilöstön yksityisyyden suoja i. Työ- ja vapaa-ajan verkkoidentiteettien eriyttäminen g. Yleiset asiat i. Käyttäjätunnukset ja salasanat ii. Palveluiden käyttöehdot iii. Oikeudet palveluun tallennettaviin tietoaineistoihin 4.2 Verkkoidentiteetit (roolit) sosiaalisen median palveluissa Sosiaalista mediaa käytettäessä ja organisaation käyttöpolitiikkaa suunniteltaessa keskeiseen osaan nousevat verkkoidentiteetit, joilla palveluihin kirjaudutaan ja jota kautta palveluita käytetään. 4.2.1 Erilaiset verkkoidentiteetit palveluita käytettäessä Käytettäessä sosiaalisen median palveluita, käyttäjä voi esiintyä erilaisissa rooleissa ja eri identiteettien kautta joko virkamiehenä tai yksityishenkilönä. Sosiaalisen median käytössä on tunnistettavissa kolme erilaista identiteettiä: 1. Käyttäjä esiintyy palvelussa virkamiehen identiteettiä käyttäen (virkamies organisaationsa edustajana) Henkilö kirjautuu palveluun joko käyttäen organisaation palveluun luotua, roolipohjaista (sähköposti)tunnusta tai organisaation omaa, henkilökohtaista (sähköposti)tunnusta. a) Roolipohjainen kirjautuminen palveluun Organisaation henkilöstö edustaa organisaatiota suoraan, jolloin organisaatio on kasvoton Henkilö(t) edustaa organisaation määrittelemässä tehtävässä ja roolissa organisaation omassa palvelussa tai muissa julkisissa palveluissa, käyttäen roolipohjaista tunnusta ja sähköpostiosoitetta esimerkiksi viestinta@organisaatio.fi tai tietoturva@organisaatio.fi Rooli on ammattimainen ja eriytetty henkilökohtaisesta identiteetistä, jolloin henkilön ollessa poissa työpaikalta toinen henkilö voi hoitaa rooliin liittyviä tehtäviä 19
Sosiaalisen median tietoturvaohje 20 (45) b) Kirjautuminen palveluun henkilökohtaisella virkamiestunnuksella Nimetty henkilö(t) edustaa organisaation määrittelemässä tehtävässä ja roolissa Organisaation henkilöstö käyttää palvelussa organisaation sähköpostiosoitetta ja muita tietoja, joista hänet voidaan suoraan yhdistää organisaatioon Rooli on ammattimainen ja eriytetty yksityisestä identiteetistä, jolloin henkilön ollessa poissa työpaikalta, kukaan muu ei voi käyttää kyseistä tunnusta Tämä on suositeltava tapa kirjautua organisaation sisäisiin sosiaalisen median palveluihin tai muihin työtehtävien hoitamiseen liittyviin sosiaalisen median palveluihin henkilön toimiessa esimerkiksi asiantuntija-roolissa 2. Käyttäjä esiintyy omalla nimellään mainiten työnantajan (virkamies asiantuntijaroolissa yksityishenkilönä, hybridi) Henkilö edustaa itseään, ei organisaatiota Henkilö mainitsee työnantajansa joko palveluun liittyvässä viestinnässä tai henkilö voidaan yhdistää työnantajaan palvelussa käytössä olevan sähköpostiosoitteen (etunimi.sukunimi@organisaatio.fi) tai muiden henkilön palvelussa julkaisemien tietojen perusteella. 3. Käyttäjä esiintyy omalla nimellään tai anonyymisti (täysin yksityinen henkilö) Henkilö edustaa itseään, ei organisaatiota Henkilö ei mainitse työnantajansa millään tavalla Vaikka henkilö ei kerro työnantajaansa, hänet on helppo yhdistää siihen hänen verkostossaan olevien muiden henkilöiden ja nettihakukoneiden avulla. 4.2.2 Organisaation käyttämät verkkoidentiteetit Sosiaalisen median palveluiden käyttöönotossa sekä henkilöstön ohjeistamisessa on tehtävä selkeäksi, minkälaista verkkoidentiteettiä käytetään milloinkin (ks. edellinen kohta 1a vai 1b). On huolehdittava siitä, että henkilön vapaa-ajan sosiaalisen median palveluissa oleva verkkoidentiteetti on erotettavissa henkilön virkatehtävissä käyttämän roolin kanssa. Ulkopuolisen kontaktin on hankala erottaa, onko henkilön vapaa-ajan sosiaalisen median palvelussa kirjoittama viesti yksityishenkilön mielipide vai organisaation työntekijänä esitetty organisaation virallinen kanta. Poliisin läsnäolo Facebookissa on toteutettu siten, että poliisit esiintyvät virkanimikkeellä ja kustumanimellä (nickillä). Facebook-sivusta löytyy linkki poliisin www-sivuille, joissa nettipoliisien oikeat nimet ja valokuvat on julkaistu. Lähtökohtana toteutuksessa on ollut, että sosiaalisessa mediassa läsnä olevat poliisit ovat siellä omasta vapaasta tahdostaan eivätkä esimerkiksi käskettyinä esimiesten toimesta. Linkittämällä sivusto poliisin virallisiin www-sivuihin on haluttu osoittaa, että palvelun käyttäjät voivat olla varmoja siitä, että keskustelevat oikean poliisin kanssa, eivätkä valepoliisin kanssa. 20