15.02.2021 15:52
Etätyön tietoturva ja tietosuoja
Vaikka koronaviruspandemian vaikutus organisaatioiden toimintaan on toivottavasti rokotteen myötä heikkenemässä, vaikuttavat etätyöt vakiintuneen monen organisaation arkeen. Äkillinen siirtyminen etätöihin keväällä 2020 ei välttämättä antanut mahdollisuutta riittävän etätöitä koskevan ohjeistuksen antamiseen, kun organisaatioiden piti keskittyä ydinliiketoiminnan jatkuvuuden varmistamiseen. Kuitenkin viimeistään nyt, tilanteen rauhoituttua, on tunnistettava etätyöskentelyyn liittyvät tietoturva- ja tietosuojakysymykset, ja organisaation etätyöohjeistus on annettava nämä näkökulmat huomioiden. Tässä blogikirjoituksessa on tiivis katsaus siitä, mitkä ovat keskeisimpiä huomioitavia seikkoja.
Etätöiden yhteydessä puhutaan usein työntekijöiden itseohjautuvuuden tärkeydestä. On otettava huomioon, että etätöissä myös jokaisen henkilöstön jäsenen oma vastuu organisaation tietoturvallisuudesta ja tietosuojan toteutumisesta kasvaa. Etätyö muodostaa haasteen erityisesti fyysiselle tietoturvalle. Organisaatioiden toimitiloissa on usein tietoturvaa ylläpitäviä tekijöitä, kuten kulunvalvonta, turvalukitus ja vartiointi, jotka estävät sivullisten pääsyn toimitiloihin. Etätöissä fyysisen tietoturvan keskeiset elementit ovat usein poissa. Tilanteen tasapainottamiseksi tulee kiinnittää erityistä huomiota päätelaitteiden teknisen tietoturvan kehittämiseen, tietoliikenneyhteyksien ja työhön liittyvän aineiston suojaamiseen sekä henkilöstön tietoturvaosaamisen kehittämiseen.
Etätyönteossa käytettävät päälaitteet vaativat erityistä tietoturvallisuutta. Laitteiden lukituksen lisäksi laitteiden sisältämät tiedot tulee tarvittaessa voida salata, ja myös etätyhjennyksen mahdollisuus voi olla tarpeen. Pilvipalveluja käytettäessä on hyvä harkita monivaiheisen tunnistautumisen käyttöönottoa. Käytettyjen tunnusten, salasanojen ja muiden tunnisteiden asianmukaisuudesta on huolehdittava, eikä salasanoja luonnollisestikaan saa luovuttaa muille.
Sivullisten pääsy työorganisaation laitteisiin ja tietojärjestelmiin tulee estää, joten on suositeltavaa lukita työasema aina, kun lopettaa sillä työskentelyn. Edes perheenjäsenten ei saa antaa käyttää työnantajan laitteita. Työntekijä ei saa myöskään käyttää organisaation laitteistoa tai tietojärjestelmiä mihinkään sellaiseen toimintaan, joka vaarantaa niiden turvallisuuden.
Lisähaasteita tietoturvallisuudelle asettaa ns. BYOD (bring your own device) -toimintamallin noudattaminen. Mikäli organisaation henkilöstö hyödyntää työnteossa omia päätelaitteitaan, voi työnantajan olla vaikea varmistua sen tietoturvasta ja siitä, että töihin liittyvät aineistot pysyvät erillään laitteen yksityisestä käytöstä.
Organisaatioiden oman VPN-yhteyden käyttäminen on suositeltavaa, sillä se salaa tietoliikenteen ja käyttäjänsä sijainnin, sekä auttaa suodattamaan verkkoliikenteestä mahdollisia haittaohjelmia. Julkisten verkkojen, ja myös työntekijän oman kotiverkon käyttäminen muodostaa riskin työpaikan tietoverkkoon nähden. Kotiverkkoihin on usein kytkettynä paljon laitteita, joiden tietoturva voi paikoin olla erittäin heikko. Tämä koskee erityisesti IoT (Internet of Things) -teknologiaa hyödyntäviä laitteita. Verkon valinnan lisäksi on huolehdittava asianmukaisesta salaus- ja suojausmenettelystä. Esimerkiksi palomuurin käyttö sekä virustorjunnan ja muiden päivitysten ajantasaisuudesta huolehtiminen ovat tietoturvallisuuden kannalta välttämättömiä.
Viestintään käytettyjen sovellusten tietoturvaan tulee kiinnittää erityistä huomiota. On hyvä selvittää, mitä tietoa organisaation käyttämät sovellukset mahdollisesti välittävät kolmansille osapuolille, ja millä tasolla sovelluksen salaus on. Tulisi vähintään tarkistaa, minkä maiden kautta viestit kulkevat ja mihin ne tallentuvat. Viestintäsovellusten turvallisuutta ja tietosuojan tasoa tulee arvioida suhteessa niiden käyttötarkoitukseen. Kaikki viestintä ei tarvitse korkeimman tason salausta ja suojausta, vaan sopiva taso on löydettävissä tapauskohtaisella harkinnalla.
On suositeltavaa tallentaa kaikki työhön liittyvä aineisto työnantajan osoittamiin yhteisiin tietojärjestelmiin ja tallennustiloihin, joko organisaation omassa tietoverkossa tai pilvipalvelussa. Organisaatioissa voidaan pohtia sitä, mihin kaikkiin tietoihin etätyötä tekevien on tarpeen päästä käsiksi, ja pyrittävä saavuttamaan tasapaino toisaalta tietoturvan ja tietosuojan toteutumisen, ja toisaalta etätyön onnistumisen ja tehokkuuden välillä. Harkittavana seikkana voi olla esimerkiksi se, voisiko pääsyä joihinkin organisaation tietoihin rajata normaalin työpaikan ulkopuolella toimiessa.
Etätyöpisteeseen tulee viedä työpaikalta ainoastaan työn suorittamisen kannalta välttämätön tietoaineisto, ja pyrkiä palauttamaan se mahdollisimman pian. Etätöissä tulee myös välttää salassa pidettävää ja luottamuksellista tietoa sisältävän aineiston tulostamista ja tallentamista työpaikan ulkopuolella säilytettäville tietovälineille. Jos työnteko kuitenkin tätä edellyttää, tulee varmistua aineiston asianmukaisesta käsittelystä ja hävittämisestä sen käyttötarpeen loputtua.
Aineisto tulee pyrkiä suojaamaan sivullisilta mahdollisimman kattavasti. Salassa pidettävää aineistoa ei tule jättää muiden nähtäville tai saataville, ja etätöissä onkin suositeltavaa noudattaa mahdollisuuksien mukaan kaiken aineiston osalta clean desk -periaatetta, eli työpöytä on päivän päätteeksi hyvä siivota kokonaan työntekoon liittyvästä materiaalista. Tarvittaessa aineiston säilytyspaikka tulee voida lukita.
Organisaation sisällä tulee laatia toimintaohjeet myös erilaisten etätöiden ongelmatilanteiden varalta. Ongelmat voivat koskea esimerkiksi työntekoa haittaavia yhteysongelmia ja laitevikoja, mutta myös mahdollisia tietoturva- ja tietosuojaloukkauksia. Erityisesti vakavampia ongelmatilanteita koskeva ohjeistus on ensiarvoisen tärkeää, jotta organisaatio voi toimia oikea-aikaisesti poikkeamien hillitsemiseksi ja niiden korjaamiseksi. Henkilötietoja koskevien tietoturvaloukkausten osalta organisaatioiden tulee muistaa, että GDPR:n mukaan ilmoitus valvontaviranomaiselle tulisi tehdä 72 tunnin kuluessa. Suuntaviivoja ja mallia oman organisaation toimintasuunnitelmiin voi hakea esimerkiksi Valtiovarainministeriön asettaman Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) kehittämistä VAHTI-ohjeista.
Työnantajan tulee antamansa ohjeistuksen avulla huolehtia siitä, että riittävä tietoturvan ja tietosuojan taso toteutuu myös etäolosuhteissa. Ohjeistuksen antamisen yhteydessä henkilöstölle voi olla hyvä myös perustella ohjeistuksen noudattamisen tärkeyttä. Erilaisia menettelytapoja ja käytäntöjä esiteltäessä voidaan tuoda esiin niitä riskejä ja vahinkoja, jotka voivat kohdata organisaatiota tilanteessa, jossa tietoturva ja tietosuoja jätetään huomioimatta. Selkeän ja tehokkaan etätyöohjeistuksen ja tätä koskevan viestinnän avulla yritys on etulyöntiasemassa tietoturvaa ja tietosuojaa koskevassa riskienhallinnassa, ja myös ongelmanratkaisussa vahinkojen sattuessa.
Tietoturvaan ja tietosuojaan liittyvät näkökulmat ovat osa organisaatioiden arkipäivää, ja ne ulottuvat koko henkilöstöön. Tämä korostuu erityisesti silloin, kun työskentely tapahtuu kokonaan tai osittain etänä. Toimistomme antaa joustavaa konsultointia aihepiiriin liittyen. Ole rohkeasti yhteydessä, mikäli kaipaat neuvontaa.
Lisätietoja:
Voimassa olevat VAHTI-ohjeet: https://www.suomidigi.fi/ohjeet-ja-tuki/vahti-ohjeet
Lakimies, OTM, CIPP/E Anni Halinen
Asianajotoimisto WINLAW Oy
anni.halinen@winlaw.fi
+358 44 766 6162
Kauppakamarin jäsenenä saat maksutonta neuvontaa laki-, talous-, vero-, GDPR- ja työsuhdeasioissa.