Safe Espoo -podcast: Keneen voi enää luottaa – ovatko tietoni turvassa?

Safe Espoo-podcastissa luomme käsitystä siitä, mitä kaikkea turvallisuus on yksilön arjessa. Lisäksi nostamme esille, kuinka jokainen voi vaikuttaa omaan ja läheistensä turvallisuuteen sekä mikä on kansalaisen oma vastuu erilaisissa kriisitilanteissa.

Tietoturva ja tietosuoja ovat olleet polttavia puheenaiheita jo usean viikon ajan. Psykoterapiakeskus Vastaamon potilasrekisteriin kohdistunut tietomurto on asia, jota alan asiantuntijat olivat osanneet pelätä, mutta joka on järkyttänyt syvästi ihan kaikkia.

Monen mielessä pyöriikin nyt oikeutetusti: Keneen voin enää luottaa? Ovatko tietoni turvassa enää missään? Voinko vaatia tietojeni poistoa eri rekistereistä? Entä miten voin itse, omassa arjessani, suojata tietojani?

Tietoturvasta ja tietosuojasta sekä siitä, millaista apua tietoturvaloukkauksen uhreille on tarjolla, ovat keskustelemassa Espoon kaupungin turvallisuuspäällikkö Petri Häkkinen, Aalto yliopiston kyberturvallisuuden professori Jarno Limnéll ja Länsi-Uudenmaan sosiaali- ja kriisipäivystyksen päällikkö Malena Segercrantz.



Voit kuunnella jakson SoundCloudissa (ulkoinen linkki, avautuu uuteen ikkunaan)tai Spotifyssa(ulkoinen linkki, avautuu uuteen ikkunaan). Jakson pituus on noin 18 minuuttia. Keskustelu on nauhoitettu 12.11.2020.

Petri Häkkinen: Tietoturva ja tietosuoja ovat olleet polttavia puheenaiheita jo usean viikon ajan. Psykoterapiakeskus Vastaamon potilasrekisteriin kohdistunut tietomurto on asia, jota alan asiantuntijat olivat osanneet pelätä, mutta joka on järkyttänyt syvästi ihan kaikkia. Se, että hyökkäys kohdistui juuri yksityishenkilöiden terapiatietoihin, joilla sittemmin on myös kiristetty ihmisiä, on erityisen tuomittavaa. Monen mielessä pyöriikin nyt oikeutetusti keneen voi enää luottaa, ovatko tietoni turvassa enää missään, voinko vaatia tietojeni poistoa eri rekisteistä? Entä miten voin itse omassa arjessani suojata tietojani? Tietoturvasta ja tietosuojasta sekä siitä, millaista apua tietoturvaloukkauksen uhreille on tarjolla, ovat tänään keskustelemassa Aalto yliopiston kyberturvallisuuden professori Jarno Limnéll ja Länsi-Uudenmaan sosiaali- ja kriisipäivystyksen päällikkö Malena Segercrantz. Tervetuloa, Jarno ja Malena.

Malena Segercrantz: Kiitos.

Jarno Limnéll: Kiitoksia.

Häkkinen: Minä olen Espoon kaupungin turvallisuuspäällikkö Petri Häkkinen ja juonnan tämän keskustelun. Kuinka Vastaamo-tapauksen kaltainen tietomurto voi olla mahdollinen Suomen kaltaisessa maassa, jota on pidetty jonkinlaisena digitalisaation edelläkävijänä? Miksi yritykset tai kaikki yritykset eivät huolehdi tietoturvastaan? Onko tämä laajakin ongelma vai ihan vain yksittäisen yrityksen moka? Mitä mieltä Jarno on asiasta?

Limnéll: Kyllä tämä herätys kaikkinensa on suomalaiseen yhteiskuntaan ollut. Ja huomannut toisaalta sen, että tämän Vastaamo-tapauksen osalta, niin kyllä sen jälkeen useissa yrityksissä ja nyt puhun muistakin organisaatioista ja yrityksistä kun terveydenhoitoalalla, niin on nämä asiat nyt nostettu vahvasti esille. Ja kysytty, että miten meidän yrityksessä tai organisaatiossa näistä asioista on huolehdittu, mitkä ovat meidän turvajärjestelyt ja miten me ylläpidämme sitä kaikkein tärkeintä eli asiakkaiden luottamusta? Täytyy aina myös muistaa kun turvallisuudesta puhutaan, että sellaista täydellistä turvallisuutta, jossa uhkia ja riskejä ei koskaan tapahtuisi, niin se ei ole mahdollista. Mutta toki kyllä meidän suomalaisessa yhteiskunnassa tulee huolehtia siitä, että erityisesti kun puhutaan arkaluontoisista, hyvin henkilökohtaisista tiedoista ja kun niitä tallennetaan digitaaliseen muotoon, niin kyllä niiden turvallisuudesta on pidettävä erityisen hyvä huoli. Ja jollei sitten yritysten oma toiminta siihen riitä ja ns. ei ole riittävästi motivaatiota, niin kyllä silloin myös yhteiskunnan ja lainsäädännön ja viranomaisten on tähän puututtava ja mm. seurantaa lisättävä.

Häkkinen: No tällaiset uutiset horjuttavat varmasti monen perusturvallisuudentunnetta ja puhumattakaan heidän, joiden yksityisiä tietoja on vuodettu nettiin. Miten luottamus yritysten ja oikeastaan koko yhteiskunnan turvallisuuteen voidaan nyt palauttaa? Ja mistä yksittäinen ihminen voi saada apua kun tapahtunut rupeaa ahdistamaan? Voisitko Malena tätä vähän avata?

Segercrantz: Joo. Elikä apua voi saada Länsi-Uudenmaan sosiaali- ja kriisipäivystyksestä, mutta myös kuntien mielenterveys- ja päihdepalveluista. Ja nyt sitten myös järjestöt ovat olleet suurena tukena. Meillä on ollut SPR ja sitten on ollut Rikosuhripäivystys ja Mielenterveysseura.

Häkkinen: Joo. Voitko kertoa, kuinka paljon yhteydenottoja Länsi-Uudenmaan sosiaali- ja kriisipäivystys on saanut tähän Vastaamo-tapauksen tiimoilta? Entä muut Espoon kaupungin palvelut?

Segercrantz: Meille on tullut tosi vähän yhteydenottoja. Mä äsken tarkistin niin on tullut viisi yhteydenottoa, elikä tosi vähän. Ja mielenterveys- ja päihdepalveluihin oli tullut vain pari kappaletta.

Häkkinen: Okei. No mikä ihmisiä erityisesti huolettaa ja miten näihin huoliin voidaan sitten vastata kun tällaisia yhteydenottoja kuitenkin joitakin tulee?

Segercrantz: Meillä on ollut suuri huoli siitä, että miten tämä prosessi etenee. Mutta siinähän sitten Rikosuhripäivystys on se oikea paikka minne ollaan ohjattu. Sitten ollaan myös kehotettu heitä jatkamaan terapiasuhdetta, jos edelleen terapiasuhde. Ja sitten kerta kaikkiaan huolettaa se, että miten se tieto heidän yksityiselämästä, että jos se vuotaa niin mitä se heille tarkoittaa. Ja tätä ollaan sitten käsitelty asiakkaiden kanssa.

0.05.07

Limnéll: Tuossa viime viikkojen aikana kun tämä Vastaamo-tapaus tuli kaikkinensa julkisuuteen niin täytyy sanoa, että minuun ihan henkilökohtaisesti on oltu lukuisten ihmisten osalta yhteydessä. Ja täytyy sanoa, että kyllä siellä vahva turvallisuuden puutteen eli turvattomuudentunteen olotila tällä hetkellä on ihmisillä. Ja nyt puhutaan siis, täytyy muistaa kymmenistä tuhansista ihmisistä, jotka miettivät ainakin minulle tulleiden yhteydenottojen perusteella kahta asiaa. Ensinnäkin missä nämä minun tiedot ovat? Onko niitä mahdollisuus ikään kuin jossain vaiheessa hävittää kokonaan vai ovatko nämä arkaluontoiset tiedot nyt päätyneet sitten ikuisiksi ajoiksi tuonne internetin syövereihin? Ja toinen liittyy sitten siihen, että miten näitä henkilökohtaisia tietoja joku pahamielinen taho ja tässä tapauksessa täysin moraaliton taho, niin voisi väärinkäyttää eli esimerkiksi erilaisten identiteettivarkauksien, petosten tai muiden ikävien asioiden tekemiseen? Ja kun ei ole ihmisillä tietoa, että missä ne tiedot ovat ja kuka niitä käyttää ja mahdollisesti millä tavalla, niin on enemmän kuin ymmärrettävää, että ihmiset ovat huolestuneita.

Häkkinen: Nuo on varmasti todella hyviä kysymyksiä. Ja ainakin itsellä tulee mieleen tästä ensimmäisestä, että mihin kaikkialle nämä tiedot on levinnyt ja missä niitä saattaa olla. Niin osaako meistä kukaan vastata tähän?

Limnéll: En usko, Petri, että tällä hetkellä kukaan osaa tuohon vastata. Ja täytyy muistaa, että kun me puhumme tästä digitaalisesta toimintaympäristöstä, niin tuossa eräässä poliisin tiedotustilaisuudessa tutkinnanjohtaja Marko Leponen totesi hyvin, että tutkinta-alue on maapallon kokoinen. Kun puhutaan rajattomasta kybermaailmasta, niin tekijä voi olla fyysisesti toisella puolella maapalloa tai viereisessä korttelissa ja sitähän me emme tiedä. Ja sitten toisaalta, että miten näitä tietoja mahdollisesti käytetään väärin, niin siitä ei ole ainakaan minulla tarkkaa tietoa.

Häkkinen: No tuossa keskustelun alkuvaiheessa mainittiin mm. yritysten tietoturvan taso. Mutta onko tämä tietoturvan taso yhtään parempi sitten julkishallinnon organisaatioissa? Osaisitko tähän vastata, Jarno?

Limnéll: No kyllä täytyy minun kokemuksella sanoa, että kyllä Suomessa on tietoturvan, kyberturvallisuuden, digitaalisen turvallisuuden, rakkaalla lapsella on monta nimeä, niin eteen tehty vuosikymmeniä pitkäjänteistä työtä. Ja kyllä voi sanoa, että Suomessa kyllä nämä asiat on tiedostettu pitkään myöskin julkisella sektorilla. Ja toki toisaalta varmasti aina on myös parantamisen varaa. Se mikä tästä tekee haastavan on se, että tämä teknologinen kehitys on tällä hetkellä hyvin nopeaa. Ja ne puolustusmekanismit, suojautumismekanismit, mitkä ovat olleet ikään kuin ajankohtaisia muutamia vuosia sitten, niin maailma on muuttunut paljon ja muuttuu edelleen. Mutta toisaalta täytyy myös sanoa, että kyllä nämä lähtökohtaisesti edelleen, ettei turhan korkealentoisesti puhuta asioista, niin perusasiat kuntoon laittamalla otetaan jo isoja askeleita eteenpäin. Ja siihen minun ajatus ei taivu, että jos ei perusasioista ole huolehdittu ja sitten tapahtuu ikäviä asioita, niin kyllä sitten organisaation ja yrityksen johdolla on niistä vastuu.

Häkkinen: No mennään sitten yksilötasolle. Miten yksittäinen kansalainen voisi suojata tietojaan tällaisia massiivisia tietomurtoja vastaan? Tai ylipäätään arjentoiminnassaan varmistaa, ettei ainakaan omalla toiminnallaan vaaranna tietojensa joutumista vääriin käsiin?

Limnéll: No tämä on asia minkä huomaan, että turvallisuusasiantuntijoiden piirissä tällä hetkellä ja ihmisten mielissä keskusteluttaa yhä enemmän. Ja kyllä pohjimmiltaan siinä on kyse luottamuksesta eli keneen voi luottaa? Kyllähän me esimerkiksi niin kuin tiedät, Petri, niin luotetaan hyvin vahvasti siihen, että meidän rahat ovat turvallisesti tuolla jossain bittiavaruudessa.

0.10.03

Limnéll: Emme tiedä tarkalleen missä digitaalisessa muodossa. Mutta meillä on luottamus siihen omaan pankkiin, että rahat siellä turvassa ovat ja saldo näyttää oikein. Ja kyllä mä tässä, tietysti yksilöllä on vastuu siinä mielessä, että mihin tietojansa jakaa ja mitä palveluita käyttää. Mutta kyllä yhä enemmän huomaan, että myöskin yritysten ja organisaatioiden suuntaan, niin nämä vastuukysymykset nyt nousevat esille. Ja jollei sitten ikään kuin näistä asioista kyetä huolehtimaan, niin kyllähän siinä asiakkaiden luottamuksen silloin menettää. Ja voi sanoa, että kyllä tänä päivänä niin yrityksen arvo määräytyy asiakkaan luottamuksena. Ja jollei sitä ole, niin ei ole kyllä yritystäkään sen jälkeen.

Häkkinen: Niinpä. Jarno, voiko kansalainen tarkistaa jostakin kootusti, mitä tietoja hänestä on kerätty vai täytyykö nämä tietopyynnöt tehdä jokaiseen yritykseen ja julkisen sektorin palveluun aina erikseen?

Limnéll: No tänä päivänä niin kuin viime vuosina on paljon tästä GDPR:stä Suomessakin puhuttu, niin kyllähän se on muuttanut tätä tiedonhallinnan periaatteita. Eli tarkoittaa siis sitä, että voidaan kysyä organisaatiosta kukin meistä, että mitä tietoja on kerätty? Ja siihen omaan tietoon on sitten mahdollisuus päästä käsiksi ja nähdä ne omat tiedot. Mutta tämäkin on, toisaalta huomaa kun puhutaan tietysti globaaleista yrityksistä ja käytetään esimerkiksi sosiaalista mediaa, niin pelinhenki onkin sitten toisenlainen. Ja sitten täytyy muistaa vielä isossa kuvassa se, että me ollaan jo nyt ja jatkossa yhä voimallisemmin elämässä maailmassa, jossa tämä data on ns. kultaakin arvokkaampaa. Eli se joka omistaa tiedot, se joka omistaa erilaiset sisällöt, on ne sisällöt oikeastaan mistä tahansa, niin se on yhä yritystoiminnan ja ylipäätänsä toiminnan kannalta merkityksellisempää. Ja tästä datasta käydään myöskin yhä kovempia kamppailuita.

Häkkinen: No näin se varmasti on. Miten sitten, voiko omien tietojen poistamista pyytää näiltä samoilta tahoilta kenties?

Limnéll: Kyllä voi. Ja minun mielestä tämä on sellainen asia, minkä uskon itse, että tulee lähivuosina korostumaan yhä enemmän. Eli tässä myöskin nyt rakennetaan tänne digitaaliseen maailmaan eräänlaista kulttuuria ja kulttuuri muuttuu niin kuin tiedämme, varsin hitaasti ja nyt näitä pelisääntöjä ollaan luomassa. Ja kyllä yksi keskeinen pelisääntö on niin kuin mainitsit, Petri tämä, että ihmisellä pitää olla oikeus tulla unohdetuksi. Eli jos haluan lopettaa jonkun palvelun ja antaa heille viestin, että voitteko hävittää kaikki tietoni, niin kyllä niin pitää sitten myös tapahtua. Tietysti siinä nyt on sitten se, että miten pystyt itse varmistumaan siitä, että ne digitaaliset mitä sinulla on, niin niitä ei ole sitten tallennettu jonnekin muualle. Mutta siinäkin on kyse luottamuksesta.

Häkkinen: Näin on. Malena, Vastaamo-tapaus on saanut aikaan sen, että moni kertoo somessa käyneensä itsekin terapiassa. Suunnitteilla on myös iso viestintäkampanja, jossa ihmisiä kannustetaan jakamaan somessa omia terapiatarinoitaan, joko aitoja tai keksittyjä. Kaikki tämä on tehty kauniilla ajatuksella, että näin osoitamme yhteisöllistä tukea Vastaamo-tietomurron uhreille. Mutta onko tämä pelkästään hyvä asia, että näin yksityisistä asioista kannustetaan tekemään julkisia? Millaisia riskejä tässä piilee?

Segercrantz: No siinä on varmaan se hyvä puoli, että mitä enemmän puhutaan terapiasta avoimesti, niin ehkä se tabu siitä teerapiaan hakeutumisesta murtuu eikä se ole niin, voiko sanoa iso paha mörkö. Koska kaikilla ihmisillä tai ainakin suurimmalla osalla ihmisillä on niitä epäonnistumisia ja vaikeita hetkiä elämässä. Jolloin tuodaan ehkä esille se, että vaan hyvä asia hakeutua terapiaan, että se ei välttämättä ole huono asia. Mutta sitten toki riskithän tässä on, että kun aletaan kirjoittamaan sinne someen, niin sehän on julkista, se jää sinne. Ja just myös se, että somessa ehkä on se mikä ollaan huomattu myös kiusaamisessa, niin se on yksi kanava. Ja tätä kauttahan myös sitten kun aletaan kirjoittamaan henkilökohtaisia asioita, niin voi tulla se kiusaamiskuvio mukaan.

Häkkinen: Eli hyvin tarkkaan kyllä kannattaa harkita, että mitä näistä asioista sinne kirjoittaa?

Segercrantz: Kyllä.

0.15.00

Häkkinen: No, meillä aika rientää niin mennään oikeastaan viimeisiin kysymyksiin. Mitkä kolme tärkeintä tietoturvaan ja tietosuojaan liittyvää asiaa, joista itse pidätte arjessanne kiinni, Jarno ja Malena? Jos Jarno aloittaa?

Limnéll: Tämä on, Petri itseaisassa helppo kysymys. Numero 1, asenne. Numero 2, asenne. Numero 3, asenne. Kun näissä turvallisuusasioissa on koko elämänsä työskennellyt, niin puhutaan sitten fyysisen maailman turvallisuudesta, puhutaan valtion turvallisuudesta, lasten koulumatkaturvallisuudesta, verkkoturvallisuudesta tai mistä vaan. Niin, niin kauan kun asenne on kunnossa, haluaa toimia vastuullisesti, ymmärtää oman vastuunsa, haluaa huolehtia turvallisuudesta niin meillä ei ole mitään hätää, kunhan asenne on kunnossa. Mutta jos asenne ei ole kääntäen ottaen kunnossa, niin sitten on ihan sama minkälaiset tekniset suojautumisvälineet, montako poliisia meillä on tuolla kaduilla tai miten me yhteiskunnan turvallisuudesta huolehditaan. Kaikki lähtee asenteesta ja se koskee ihan jokaista meitä.

Häkkinen: Noihin sanoihin on kyllä helppo yhtyä, että olen täysin samaa mieltä. Entäs Malena?

Segercrantz: No mä just ajattelin, että mitäköhän mä tämän jälkeen enää sanon, mutta varmaan se asenne.

Häkkinen: Pankki on tyhjä.

Limnéll: Asenne on hyvä.

Segercrantz: Kyllä, asenne on hyvä. Mutta toki just myös mun mielestä etenkin nuorten käyttäjien kannattaa miettiä sitä omaa somekäyttäytymistä, että mitä sinne oikeasti kirjoittaa. Sen mitä kirjoittaa ehkä nuorena, niin se on siellä edelleen sitten aikuisiässä ja vanhana, niin tätä itsekin noudatan.

Häkkinen: No, digitaalinen maailma vaatii meiltä jokaiselta ihan uudenlaista turvallisuusosaamista. Enää ei riitä se, että osaa sammuttaa vaikkapa tulipalon alun tai antaa ensiapua sairaskohtauksen saaneelle. Täytyy osata suojautua myös virtuaalimaailman tulipaloilta ja auttaa verkkorikoksen kohteeksi joutunutta. Se hyvä puoli isojen tietoturvakriisien ja julkisesti tapauksia puidessa on, että se lisää kansalaisten tietoa tietoturvan merkityksestä ja siitä, miten omia tietojaan voi suojata. Ja kyllähän tämä on herätellyt yrityksiä ja muitakin yhteisöjä tässä asiassa aivan valtavasti. Ehkä karmein esimerkki mitä voidaan vaan kuvitella, on päässyt tapahtumaan. Mutta aika on loppumassa ja haluan kiittää antoisasta keskustelusta, Jarno ja Malena. Ja pidetään Espoo yhdessä myös tietoruvallisena. Kiitos.

Segercrantz: Kiitos.

Limnéll: Kiitoksia.