Urkintaa ja Lex Nokiaa
Toukokuun 2009 lopussa (28.5.2009), juuri ennen (surullisen)kuuluisan Lex Nokian voimaan astumista Digitoday uutisoi ”Lex Nokia” –iskuryhmästä, joka olisi valmis tekemään organisoituja täsmäiskuja yrityksiin urkintalain nimissä. Samassa jutussa kerrottiin, miten tietosuojavaltuutettu Reijo Aarnio odotteli lain voimaantuloa kylmä hiki otsalla. Kevään hypetyksen pelättiin, ja jopa odotettiin, johtavan ilmoitustulvaan, josta pieni tietosuojavaltuutetun toimisto ei selviäisi.
Mutta toisin kävi. Nyt, kuukausia lain voimaanastumisen jälkeen, valtuutetun arkistot kumisevat edelleen tyhjyyttään ilmoituksista. Edes Nokia, tai muut globaalit tuotekehitykseen nojaavat pelurit, eivät ole tehneet ilmoitusta lain soveltamisesta. Näyttäisi siltä, että homma on jämähtänyt Suomessa selvitysasteelle. Pohdintoja ja esiselvityksiä tehdään kyllä ympäri valtakuntaa, mutta kukaan ei uskalla viedä asiaa sen pidemmälle. Kukaan ei uskalla olla ensimmäinen.
Ja ihmekös tuo.
Jos pelkästään lain valmistelu nostatti mediassa ja kansassa myrskyn aineksia, voi vain arvailla millaiseen ryöpytykseen sen käyttöönottava yhteisö saattaa joutua. Kritiikki voi olla hyvinkin raakaa.
Kuitenkin on outoa ettei yrityksissämme syntyneitä innovaatioita haluta suojella nykyistä enempää. Sähköposti ja sosiaaliset mediat, kuten Facebook tai YouTube saattavat vaikuttaa viattomilta yhteydenpitovälineiltä, mutta todellisuudessa niiden avulla pystytään tekemään massiivistakin tuhoa liiketoiminnalle. Luottamuksellisen tiedon vuotaminen maailmalle kun ei vaadi kuin muutaman hiiren klikkauksen. Siksi Lex Nokian kaltainen ”pelote” saattaa olla ainoa toimiva tapa kitkeä tietovuotoja.
Lex Nokian tarkoitushan ei ole paljastaa viestinnän sisältöä, vaan ainoastaan tiedot sen lähettäjästä ja vastaanottajasta.
Oli uusi urkintalaki sitten hyvä tai huono asia, ainakin se on pakottanut yhteisöt tarkastelemaan omaa tietohallintoaan ja tietoturvaansa uusin silmin. On turha tuudittautua siihen uskoon, että ”ei meillä Suomessa” mitään tapahdu, sillä hakkerit ja tietoturvaterroristit eivät tunne valtioiden rajoja. Tieto on universaalia, ja niin ovat myös tietovuodot.
Lopuksi tekee mieli vielä ihmetellä ”Lex Nokian” vastustajien kiivasta suhtautumista lakiin, jossa voidaan nähdä yksilön oikeuksia määritteleviä elementtejä aiemman viidakon lain sijaan. Eikö kuitenkin lopulta ole niin että työntekijä tuottaa ja jalostaa työnantajan omaisuudeksi luettavaa tietoa työaikana työnantajan välineillä, josta työnantaja maksaa palkaksi kutsutun korvauksen? Mikä tässä kokonaisuudessa aiheuttaa harhan, että työntekijällä pitäisi olla oikeus – tai edes mahdollisuus – levittää tahallaan tai vahingossa liikesalaisuuksia tai muita organisaation sisäisiä tietoja?
”Lex Nokia” ja sen soveltaminen tapahtuu kuitenkin aina jälkikäteen, eli silloin kun vahinko on jo tapahtunut. Lisäksi ”Lex Nokian” soveltamisohjeet on epäselvät ja varsin raskaat. Olen jutellut asiasta lakimiesten kanssa, ja on selvää että menettelyohjeet viranomaisille (lue: konstaapelille, joka lopulta avaa ja urkkii niitä sähköpostiviestejä käyttäjän läsnä ollessa) on siinä määrin epäselvät että on jopa mahdollista tehdä tutkintapyyntö menettelikö viranomaiset oikein asiaa käsiteltäessä.
Urkintalaista ja sen perusteista voi helposti keskustella pitkään ja asiaa voidaan pyöritellä paljon. Itse en osaa nähdä laissa urkinnan tai kansalaisen yksityisyyden suojan uhkaa. Mutta se, onko laki jonka soveltamisohjeet on jokseenkin tasolla ”organisaatiossa on laitettava tietoturva kuntoon” mitenkään järkevästi käytännöllinen, on ihan toinen juttu. Sama kun laissa pyydettäisiin ”ajamaan liikennesääntöjen mukaan” ilman että sääntöjä olisi missään määritelty!
Niin tai näin - yritysten pitää huolehtia tietovuodoistaan proaktiivisesti. Saatavilla on kaikki tarpeelliset työkalut joilla organisaation käyttäjien käyttöoikeudet määritellään sekä tiedot luokitellaan ja pääsyä hallitaan siten että käräjille ei tarvitse lähteä. Lisäksi, kun asia hoidetaan etukäteen, se liikesalaisuus ei vuotanut kilpailijalle, tahallaan tai vahingossa. Eikä työntekijää urkita. Eikä kansalaisen perusoikeutta loukata.
Kategoria: Blogi
Jukalla on tässä pointtia. Haaste yrityksissä(mme) on useasti se, että a) ei ole käytettävissä edes nykyistä “faktaa” mitä saa tehdä ja miten tehdään ja b) miten edes olisi mahdollista hyödyntää lain antamia mahdollisuuksia. Asiat käsitellään case-by-case ja pyritään oppimaan virheistä. Itseasiassa voisin jopa väittää, että teleoperaattorit ovat ainoita jotka ovat _joutuneet_ tekemisiin ja rakentamaan toimintammallit kuntoon. Tämä(kin) pelkästään regulaatioiden takia.
Yritysten tietovuodoista huolehtiminen on pitkä ja “monisivuinen miekka” – lanseerattakoon nyt sellainenkin. Se että tietovuodoista huolehditaan edge/pääsynhallinnan rajamailla ei riitä. Tietovuotojen tilkitseminen lähtee tiedon tuottamisesta, elinkaarenhallinnasta, käyttämisestä ym. – valitettava väittämäni on, että yrityksistä 95% ei tähän kykene – miksei?
No siksi kun palvelut ja vaateet hallinnalle eivät integroidu keskenään. On vaikea nähdä yhtään teknistä apuvälinettä jolla koko päästä-päähän tiedon käsittelyarkkitehtuuri suojamekanismeineen olisi eheä. Elämme point solution maailmassa ja elämme vahvasti siinä niian kauan kun isot pelaajat, Microsoft, Oracle etc. eivät luo yhteisiä malleja.
En ole Jukka kanssasi TÄYSIN samaa mieltä että välineet ovat olemassa. Jos välineet ovat point-solution ratkaisuja ja niillä taklataan muutama kerros koko stäkissä – se ei riitä. Välineitä on, mutta integraatio puuttuu.
Näyttäkää, oi näyttäkää minulle VÄLINE ja INTEGRAATIO jossa voin kuvata organisaation tiedonhallinnan tietoturvapolitiikan, tiedon leimaamisen ja saada sen toimimaan eheästi päästä-päähän, myös kumppaneille ja muille tahoille jotka tietoa kuitenkin tarvitsevat?