Kysely: Vain 24 % Suomen suurimmista yrityksistä uskoo tietovuodon uhkaavan heitä
Suomalaisen tietoturvayhtiö Trusteqin teettämän kyselyn mukaan suomalaisyrityksistä vain neljännes on huolissaan asiakkaidensa tietojen joutumisesta vääriin käsiin. Yllättävän harva uskoi tietomurron osuvan kohdalle siitä huolimatta, että tiesivät viime aikoina tapahtuneen lukuisia tietomurtoja.
Käyttäjätietoturvaan ja pääsynhallintaan erikoistunut Trusteq on selvittänyt Suomen suurimpien kuluttajamarkkinoilla toimivien yritysten suhtautumista asiakastietojen suojaukseen. Kyselyssä selvitettiin sekä asiakastiedon käyttäjien eli markkinointi- ja viestintäjohdon sekä tiedon suojaajien eli tietoturvavastaavien ja IT-johdon näkemyksiä asiakkaidensa henkilötietojen tietoturvasta.
”Suomalaisyritysten huoleton asenne on huolestuttavaa, sillä täydellinen suojautuminen on mahdotonta. Tietomurtoja on sattunut maailmalla sellaisillekin yrityksille, jotka ovat korostaneet nähneensä paljon vaivaa tietoturvan eteen”, Trusteqin hankejohtaja Tomi Mikkonen sanoo.
”Eilen julkisuuteen tullut LinkedIn-vuoto on todella huolestuttava uutinen. Vielä ei tosin tiedetä, koska LinkedIn on mahdollisesti ”korkattu” ja paljonko hyökkääjillä on ollut aikaa salasanojen purkamiseen. LinkedInille tästä tulee varmaankin iso lasku maineen menetyksenä, myynnin laskuna, oikeudenkäyntikuluina ja siitä, että joku kallis ulkopuolinen taho tarkistaa ja mahdollisesti tekee tarvittavat korjaukset ohjelmistoihin. Olisi ollut monta kertaa edullisempaa hoitaa asiat kuntoon etupainotteisesti”, Trusteqin tietoturvakonsultoinnin johtava konsultti Jussi Perälampi sanoo.
Asiakastieto eli kuluttajien esimerkiksi verkkopalvelun kautta antamat tiedot tai yrityksen asiakkaalta keräämä tieto on monelle yritykselle liiketoimintakriittistä tietoa: tiedon tehokas käyttö mahdollistaa entistä tehokkaamman asiakaskontaktoinnin ja -profiloinnin, henkilökohtaisemman käyttökokemuksen, parempien suositusten tekemisen, mainonnan kohdistamisen sekä tuotteiden ja palveluiden räätälöinnin.
Vallitsevan lainsäädännön mukaan asiakkaiden kulutuskäyttäytymisestä saa kerätä varsin runsaastikin tietoja, jos tietojen keruusta ja käytöstä selvästi ilmoitetaan niin sanotulla rekisteriselosteella. Lisäksi tiedot pitää suojata asianmukaisesti.
”Tietoturvavastaavat ovat haastavassa tilanteessa, kun tieto tulee suojata riittävän hyvin. Lisäksi asiaa koskeva lainsäädäntö on kiristymässä sekä Euroopassa että Yhdysvalloissa lukuisten tietovuotojen ja väärinkäytösten takia”, Tomi Mikkonen sanoo.
Trusteqin viisi neuvoa yrityksille asiakastietojen suojaukseen:
- Tarkista yrityksesi rekisteriseloste. Kanta-asiakasohjelmien, asiakaspalvelun ja verkkosivujen kautta kerättyjen tietojen yksityiskohdat, käyttötarkoitukset, luovuttaminen ja suojauksen pääperiaatteet tulee dokumentoida rekisteriselosteessa. Lisäksi määritetään ja kuvataan nykyiset ja mahdolliset tulevat käyttötapaukset. Rekisteriseloste on avainasemassa asiakasviestinnässä, ja se tulee pitää ajan tasalla.
- Pidä asiakastietoja vain niin pitkään kuin tarpeellista.
- Tarjoa kuluttajille mahdollisuus nähdä mitä tietoja heistä kerätään tai on kerätty.
- Varmista, että kuluttajista kerätty tieto on riittävän hyvin suojattu. Henkilötietolain mukaan asiakastiedot tulee suojata tarvittavilla toimenpiteillä asiattoman pääsyn estämiseksi ja luvatonta luovuttamista vastaan. Suojauksen toteuttamiseksi on olemassa useita hyviksi todettuja ratkaisuja. Toimiva identiteetin ja pääsynhallinnan ratkaisu (IAM) on avainasemassa suojauksen suunnittelussa, koska pääsyä asiakastietoon pitää rajoittaa monella eri tasolla ja esimerkiksi tiedon käyttöä pitää pystyä seuraamaan ja auditoimaan jälkeenpäin. Pelkkä IAM-järjestelmä ei kuitenkaan riitä, vaan erilaisia todennus-, suojaus- ja muita ratkaisuja tulee ottaa käyttöön tiedon määrän mukaan. Perussääntö on, että mitä enemmän ja mitä luottamuksellisempaa tietoa käsitellään, sitä enemmän kontrolleja tarpeellinen suojaus vaatii.
- Tee suunnitelma mahdollista tietovuotoa varten.
Entä mitä käyttäjät voivat tehdä?
”Tiedon suojaus on palveluntarjoajan vastuulla, joten käyttäjien vaikutusmahdollisuudet ovat rajalliset. Ennen vanhaan riitti luuta talon oven eteen pitämään varkaat pois. Nyt jos luotat sinisilmäisesti palveluntarjoajien hoitavan tietojesi suojaamisen, on sama kuin luottaisit luutaan. Käyttäjien pitää tarvittaessa vaatia parempia tunnistautumismenetelmiä ja nykykäytäntöjen vallitessa oppia vaihtamaan salasanansa säännöllisesti. Samalla täytyy nöyrästi kerrata perustaitoja digitaaliseen maailmaan”, Jussi Perälampi sanoo.
Innolinkin toteuttamaan kyselyyn vastasi yhteensä 106 markkinointi- ja tietoturvavastaavaa.
Lisätietoja:
Tomi Mikkonen, hankejohtaja, Trusteq, puh. +358 40 864 3010, tomi.mikkonen@trusteq.com
Trusteq
Trusteq on tietoturvan toteutuksiin ja konsultointiin erikoistunut yritys. Autamme asiakkaitamme tehostamaan ja turvaamaan toimintaansa erityisesti käyttäjätietoturvan ja pääsynhallinnan ratkaisuilla. Trusteqin asiakkaita yritysmaailmasta ovat muiden muassa Aktia, DNA, Kone, Metso, Nordea, Samlink, Sanoma ja Tieto. Valtion organisaatioista esimerkiksi ulkoasiainministeriö, valtiovarainministeriö ja Verohallinto luottavat Trusteqin osaamiseen. Yritys on perustettu vuonna 2003 ja työllistää yli 40 alansa terävimpään kärkeen kuuluvaa ammattilaista. Liikevaihto vuonna 2011 oli 5,6 miljoonaa euroa. Trusteq on vuoden 2011 tivi-yritys. www.trusteq.com