Johto kantaa vastuun myös tietoturvakompasteluista

Uhka tietomurroista ja tietoturvaloikkauksista alkaa olla arkea likipitäen jokaisessa organisaatiossa. Kun sellainen osuu omalle kohdalle, saattaa jälki olla hyvinkin ikävää – varsinkin, jos sen varalle ei ole riittävää ohjeistusta ja sisäistä vastuunjakoa.

Tätä korosti myös Helsingin kauppakamarin webinaarissa perjantaina 19.2. esitelmöinyt asianajaja Kaj Aaltonen lakitoimisto Focuslaw Oy:stä. Hän vertasi tietomurtoa tilanteeseen, jossa tuulettimeen heitetään kuraa.

”Jos tuuletinta osataan säätää ja suunnata, lentävät roiskeet hallitusti haluttuun suuntaan. Päinvastaisessa tapauksessa tuuletin pyörii täysillä ja tavara lentää sinne tänne”, Aaltonen kuvaili.

Yrityksen arkeen vietynä täysillä pyörivä tuuletin tarkoittaa vastuunpakoilua ja syyllisten hakemista organisaation alemmilta portailta, vaikka vastuu on johdolla.

”Jos tuulettimen kytkin on väärässä asennossa eikä sen käyttöön ole annettu riittävää ohjeistusta, niin ei siitä voi alaisia syyttää”, Aaltonen muistutti.

Hän painottikin, että ylimmän johdon vastuu mahdollisissa laiminlyönneissä on painava. Raskaimmillaan se voi tietää potkuja ja jopa rikosoikeudellista prosessia.

Kasvava tietomassa tuo lisää haasteita

Kaiken kukkuraksi tietoturvaan ja tietosuojaan liittyvät haasteet eivät  tule kerralla kuntoon, vaan vaativat jatkuvaa päivittämistä. Tallennetun ja jaettavan tiedon määrä kasvaa jatkuvasti ja samalla kasvaa myös riski niiden väärinkäytölle.

”Toimimme verkostoissa, jossa suojattavaa tietoja jaetaan ja luovutetaan myös alihankkijoille, yhteistyökumppaneille, konsulteille sekä vuokratyösuhteessa oleville. Lisänä on etätyö. Tietoa tallennetaan moneen paikkaan ja siksi organisaatiolla on oltava edes jonkinlainen tietoturvan ja -suojan hallintajärjestelmä”, Aaltonen muistutti.

Monelta menevätkin tässä hässäkässä sekaisin myös tietoturva ja tietosuoja. Aaltoselta saatiin tähänkin selkeä neuvo ja jakolinja.

”Tietoturva koskee kaikkea suojattavaa tietoa, jolla turvataan organisaatiota ja sen toimintaa. Sen järjestäminen on myös täysin organisaation vastuulla. Tietosuoja on puolestaan organisaation hallussa olevien yksittäisten ihmisten henkilötietojen suojaamista. Tämä velvoite tulee lainsäädännöstä ja tietosuoja-asetuksesta”, Aaltonen tiivisti.

Tietoturva on osa yritysstrategiaa

Suojattavaa ja luottamuksellista tietoa käsitellään yritysten sisällä muuallakin kuin vain johdon kulmahuoneissa. Niiden parissa työskentelevät usein myös esimerkiksi logistiikan, henkilöstöhallinnon sekä myynnin ja markkinoinnin ammattilaiset.

”Silti tietoturva- ja tietosuoja-asiat sälytetään usein suoraan it-osaston hoitoon. Sen sijaan olisi hyvä pohtia, kannattaisiko ne vastuuttaa eri henkilöille tai tahoille, sillä matkan varrella voi tulla vastaan myös intressikonflikteja”, Aaltonen opasti.

Tietosuojan vaateena on taannoinen EU:n tietosuoja-asetus. Tietoturvasta huolehtiminen on sen sijaan edelleen yritysten omalla kontolla,  eikä sille löydy yksiselitteistä vastuutusta myöskään osakeyhtiölaista. Laiminlyönneistä kuitenkin vastaavat hallitus ja toimitusjohtaja.

”Tietoturva voidaan tulkita strategiseksi linjaukseksi, joka on hallituksen työtä. Toimitusjohtaja puolestaan vie sen käytännöiksi. Kyse on lopulta siitä, onko vahingon sattuessa toimittu riittävän huolellisesti vai tehty laiminlyöntejä”, Aaltonen totesi.

Eikä vastuuta pääse yritysjuristin mukaan pakoon, vaikka tietoturva- ja tietosuojapalvelut olisi ostettu talon ulkopuolelta.

”Hallitus ja toimitusjohtaja eivät voi siirtää omaa vastuutaan kokonaan kolmannelle osapuolelle, vaikka ulkoistuskumppanin toiminnassa olisikin puutteita.”