EU:n tietosuoja-asetus GDPR astui voimaan 25.5.2018. Asetuksen ensisijainen tarkoitus oli ja on edelleen suojata EU-kansalaisten henkilötietoja. GDPR sai erittäin paljon julkisuutta ja monissa yrityksissä tietosuoja-asetuksen voimaan tuloon todella valmistauduttiin. Julkisuudessa GDPR:ää on pidetty maailman parhaana tietosuojan sovellutuksena ja EU onkin tämän myötä nähty asettavan standardin koko maailmalle tietosuojan vähimmäisvaatimuksien suhteen. Nykyään kuulee usein julkisuudessa keskusteltavan kuinka GDPR on nostanut henkilötietojen käsittelyn EU:ssa aivan uudelle tasolle ja GDPR:ää on pidetty yksityisyyden suojan suurimpana voittona historiassamme. Viime päivinä on kuitenkin ollut otsikoissa case Vastaamo, jossa erittäin arkaluonteista GDPR:n alaista tietoa on vuotanut yrityksen järjestelmästä nettirikollisten hallintaan. Miten tämä on mahdollista? Ja olisiko tämä Vastaamoon kohdistunut tietovuoto ollut jollain tavalla vähemmän tuomittava ennen GDPR:n voimaantuloa? Olemmeko tuudittautuneet ajatukseen, että EU:n antama mahtikäsky on taianomaisesti korjannut tietosuojaan liittyvät riskit ja ongelmat?
Olen luennoinut tietoturvasta ja tietosuojasta ennen GDPR:ää ja GDPR:n jälkeen. Olisi aivan mahtavaa, jos voisin tässä todeta olleeni todistamassa tietosuojan parantuneen GDPR:n ansioista merkittävästi. En ole kuitenkaan havainnut mitään tämänkaltaista kehitystä. On toki yrityksiä, jotka ovat hoitaneet asiansa paremmin ja niitä, jotka ovat hoitaneet ne huonommin, mutta näin oli jo ennen GDPR:ää, eikä GDPR merkittävästi muuttanut tilannetta.
Mitä yritysten GDPR valmistautuminen ja siihen liittyvät projektit ja kustannukset sitten olivat? Savua ilman tulta? GDPR on ollut ja on edelleen yrityksille ennen muuta juridinen projekti. Yritykset ovat käyttäneet valtavia rahasummia ja työllistäneet valtavan määrään juristeja kirjoittaessaan uusiksi tietosuojaselosteensa, liittäessään sopimuksiinsa erilaisia tietosuojaliitteitä ja yleisesti ottaen kuvatessaan toimintaansa tapahtuvaksi GDPR:n mukaisesti. Paperilla tietosuoja on GDPR:n ansiosta hoidettu todella monessa yrityksessä viimeisen päälle. On tehty se, mitä on osattu ja se mitä yrityksille on myyty. On käytetty valtava määrä resursseja siihen, että yritys täyttää paperilla siihen kohdistuvat tietosuojavaatimukset. Vähemmälle huomiolle ja usein vaille huomiota kokonaan on jäänyt käytännön tekniset ja organisatoriset toimenpiteet, joilla yrityksen arki todellisuudessa olisi GDPR:n mukaista. Kun paperit ovat kunnossa ja puutteista ei suurempaa meteliä pidä – jos niitä nyt on tiedostettukaan – kaikki ympärillä ovat tyytyväisiä aina niin pitkään, kun jotain sattuu. Nyt näyttää siltä, että Vastaamolle sattui ja sattui aika isosti. Ketään ei tässä tilanteessa kiinnosta, kuinka yritys on kuvannut tietosuojan sopimuksiinsa ja selosteisiinsa, mutta se kiinnostaa tasavallan presidenttiä myöten, että teknisesti tietosuoja ei ole toteutunut ja siitä on nyt aiheutunut valtava inhimillinen ja myös taloudellinen katastrofi.
Jos julkisuudessa olevat tiedot pitävät paikkansa, niin tietomurto on tapahtunut käyttämällä hyväksi järjestelmän oletussalasanaa, joka on periaatteessa kaikkien tiedossa tai erittäin helposti arvattavissa. Kuinka näin on voinut tapahtua? Vastaamon tapausta en tunne, mutta on hyvin tyypillistä, että tietoturvaosaaminen on yrityksissä usein varsin vähäistä ja tämä pätee varsin usein myös ohjelmistokehitystä tekeviin yrityksiin. Ohjelmistokehittäjien tehtävä on yleensä kehittää ohjelmistoa nopeasti ja saada se palvelemaan loppukäyttäjää mahdollisimman hyvin. Aivan liian usein tietoturva-asiat jäävät tässä yhteydessä muun tekemisen jalkoihin ja usein ajankäytön lisäksi aiheeseen liittyvä osaaminen on puutteellista. On helppoa ymmärtää, että oletussalasana sinänsä on tietoturva riski, mutta on merkittävästi vaikeampaa tunnistaa potentiaaliset riskit. Kuvittelen, että Vastaamon tapauksessakin tekninen osaaminen salasanan vaihtamiselle olisi varmasti ollut olemassa, jos tähän liittyvä ja nyt ilmeiseltä tuntuva riski olisi ensin tunnistettu.
Usein sanotaan, että tosiasioiden tunnustaminen on viisauden alku. Jos ensin voisimme yrityksissä kyseenalaistaa tietosuojan toteutumisen poikkeuksellisissa olosuhteissa ja raottaa ovea sille mahdollisuudelle, että kenties kaikkia tarpeellisia toimenpiteitä ei ehkä sittenkään ole tehty. Tämän jälkeen yrityksissä olisi aidosti mahdollisuus havahtua siellä kenties oleviin epäkohtiin ja lähteä korjaamaan niitä. Niin kauan kuin luotamme sokeasti asioiden olevan kunnossa, nukumme ruususen unta. Toisilla tämä uni voi jatkua ikuisesti, mutta ne, jotka siitä unesta heräävät, saattaa tämä herätys olla varsin epämiellyttävä.
Meillä Magic Cloudilla kaiken toimintamme perusta on tietoturva, sillä ilman sitä meitä ei yrityksenä ole olemassa. Olemme parhaillaan sertifioitumassa tietoturvan ISO27001 standardin mukaisesti. Oman toimintamme kehittämisen ohella olemme erittäin usein kehittämässä myös asiakkaiden tietoturvaa ja sen kautta osallistumassa tietosuojan kehittämiseen. Tietoturvan kehittäminen ei ole yksittäinen toimenpide tai projekti, vaan se on jatkuva prosessi. Tietoturvan kehittäminen myös maksaa ja se saattaa maksaa varsin paljon. Lisäksi tietoturvan kehittäminen sitoo yrityksen resursseja. Yrityksessä joudutaan usein opettelemaan hieman uusia tapoja toimia ja aika harvoin tietoturvaa tai tietosuojaa koetaan erittäin hohdokkaana osana yrityksen toimintaa. Meidän analyysimme Magic Cloudista on ollut, että olemassaolomme edellytys on huolehtia tietoturvasta. Luulen, että moni muukin yritys saattaa päätyä samankaltaiseen johtopäätökseen, jos hieman pohtii asiaa. Me nimenomaisesti emme koe tietoturvaa kilpailuetuna, vaan olemassaolomme edellytyksenä ja tällä on jokapäiväisessä arjessa iso ero.