Sähköiset palvelut tasapainoilevat tietoturvan ja helppokäyttöisyyden välillä
Palvelujen sähköistäminen on päivän sana sekä yksityisellä että julkisella sektorilla. Sähköistys helpottaa usein myös asiakkaan elämää, vaikka uutisoinnissa esille nousevat useimmiten vain palvelujen ongelmat. Vielä 1980-luvulla muutosverokortit käytiin noutamassa verotoimistosta jopa kymmenien kilometrien päästä. Tähän paperiseen nostalgiaan meistä moni ei varmaankaan haluaisi palata.
Sähköisten palvelujen lisääntymisen kääntöpuolena nousee usein esille niiden turvallisuus. Palvelun käytöstä olisi tehtävä riittävän helppoa, jotta asiakkaat haluaisivat käyttää palveluja. Helpon käytettävyyden johdosta joudutaan usein tinkimään palvelun turvallisuudesta. Palvelujen käyttöönotossa vaadittava käyttäjäksi rekisteröityminen, salasanan keksiminen ja muistaminen, käyttöehtoihin tutustuminen sekä muut turvallisuutta lisäävät toimet tuntuvat usein kohtuuttoman raskailta.
Lähes viikoittain saamme lukea uutisia murretuista tietojärjestelmistä, joista miljoonien asiakkaiden henkilötiedot ovat joutuneet vääriin käsiin, toisinaan jopa julkaistu internetissä. Juuri tällaisia vuotoja vastaan sähköisten palvelujen turvallisuusratkaisuja koetetaan kehittää kompromisseina helpolle käytettävyydelle.
Turvallisinkaan palvelu ei suojele huolimatonta
Palvelujen turvallinen kehittäminen on tiimityötä. Palvelun kehittämisessä kaikkien osallisten on ymmärrettävä oma osuutensa turvallisuuden toteuttamisessa. Kehittämisessä turvallisuus on upotettava palveluun arkkitehtuurisuunnittelusta lähtien. Turvallisuuden on myös toteuduttava koko tuotantokäytön ajan aina palvelun elinkaaren loppuun saakka.
Edes palvelun käyttäjäasiakas ei voi sysätä kaikkea vastuuta turvallisuudesta sähköisen palvelun tuottajalle. Palvelun käyttäjien on hyvä muistaa, että turvallinen palveluketju vaatii myös asiakkaan toimenpiteitä. Suurimpia riskejä henkilötietojen päätymiseen pahantahtoisille tahoille ovat heikkolaatuiset salasanat, samojen salasanojen käyttö useissa palveluissa sekä tietokoneiden ja mobiililaitteiden päivittämättä jättäminen.
Tietoturva paranee kertomalla puutteista
Traficomin Kyberturvallisuuskeskus tekee merkittävää työtä viranomaisten ja kansalaisten tietoturvallisuuden parantamiseksi valvomalla, tiedottamalla ja ohjaamalla. Kyberturvallisuuskeskuksen sivulta löytyy tietoa ajankohtaisista uhkista sekä niitä vastaan suojautumisesta. Sivusto on tarkoitettu sekä sovellusten kehittäjille että palvelujen käyttäjille. Kyberturvallisuuskeskuksen varoituksia, haavoittuvuustiedotteita ja uutiskoosteita on mahdollista tilata myös suoraan sähköpostiin. Ohjeistus tiedotteiden tilaamiseen löytyy Kyberturvallisuuskeskuksen sivuilta.
Työmarkkinatorin kehitystyö etenee vauhdilla ja myös sen äärellä vaaditaan tarkkuutta tietoturvan ja tietosuojan tiimoilta. Tietojen turvaaminen onnistuu parhaiten kun huomioimme kaikki oman roolimme lenkkinä tietoturvaketjussa. Tietoturvasta ei saada koskaan täydellistä, mutta tekemällä oma osuutemme mahdollisimman hyvin ja kertomalla löytämistämme puutteista vastuullisille tahoille, voimme kehittää jatkossakin helppokäyttöisiä ja turvallisia palveluja helpottamaan arkielämää.
Pauli Paatsola
IT-erityisasiantuntija, tietoturvallisuus, KEHA-keskus / Työmarkkinatori