Välineellä on väliä, mutta välineen käyttäjällä sitäkin enemmän

Viime aikoina on puhuttu tietoturvallisuudesta julkisuudessa eri teemojen parissa. Toisaalla epäillään että matkapuheluita salakuunnellaan, kun puhelun aiheena ovat arkaluontoiset asiat. Toisaalla puidaan sitä minkälaisia viestejä, kenelle, ja miten salattuna eräs entinen ulkoministeri ja nykyinen presidenttiehdokas-ehdokas lähetti. Näille keskusteluille on yhteistä niiden monitasoisuus: yhdet puhuvat turvallisuuden teknisestä toteutuksesta, toiset teknisten ratkaisujen oikeasta käytöstä, ja kolmannet siitä, mikä välineillä välitettyjen viestien sisältö on. Nämä kaikki ovat omia tärkeitä aiheitaan, mutta tässä blogissa keskityn kahteen jälkimmäiseen, sillä ne ovat se, mihin jokainen ihminen voi omalla toiminnallaan vaikuttaa, ja jotka toisaalta voivat tehdä hienoimmankin teknisen tietoturvaratkaisun hyödyttömäksi.

Erityisesti mobiiliteknologia on tuonut mukanaan kommunikaation helppouden: olemme tavoitettavissa aina ja kaikkialla. Mobiiliteknologioita markkinoidaan käyttäjille juuri sillä argumentilla, että ne ovat helppokäyttöisiä, ja mahdollistavat työnteon missä tahansa. Monien tehtävien kohdalla tämä ei kuitenkaan ole pelkästään positiivinen asia. Kun työnteon aika- ja paikka-rajoitteisuus poistuvat, alkaa helposti häilyä raja myös siitä missä ja minkälaisissa tilanteissa ja välineillä työhön liittyvää tietoa jaetaan. Työpaikalla ollessa on ehkä helpompi noudattaa kaikkia turvallisuusohjeita, kun ne on monesti tehty työpaikalla tapahtuvaa kommunikaatiota varten. Liikkuvaa työtä tekevän houkutus oikaista turvallisuudessa helppouden vuoksi saattaa olla suuri, jos oikeita ratkaisuja ei ole tehty mahdollisimman helpoiksi.

Jokaisen organisaation, jonka työntekijät käsittelevät jollakin tavalla luottamuksellista tietoa, pitää kiinnittää huomiota siihen, että organisaation valitsemia turvallisuusratkaisuja on mahdollista ja mielellään mahdollisimman yksinkertaista käyttää. Organisaatiossa tulee myös huolehtia siitä, että kaikki työntekijät ymmärtävät organisaation turvallisuusvaatimukset sekä niiden perusteet, ja osaavat käyttää työvälineitään oikein. Ongelmia voi aiheuttaa puhtaasti oletus siitä, että kyllähän nyt korkeasti koulutetut henkilöt osaavat näitä välineitä käyttää, ei heitä kouluttaa tarvitse. Ehkä osaavat, ehkä eivät. Emme me hitsarinkaan kohdalla luota siihen että kyllähän hän nyt tulityötä osaa turvallisesti tehdä, vaan vaadimme tästä asiasta todistuksen. Miksi tietoturvallisuuden kohdalla toimittaisiin toisin?

Viime kädessä olennaisinta on kuitenkin se, mikä on teknisten välineiden avulla jaettavan tiedon sisältö. Yksittäinen henkilö tekee jokaisen tiedon kohdalla itse päätöksen siitä mitä tietoa milläkin välineellä jaetaan, sillä ohjeiden vastaista toimintaa on erittäin vaikea kokonaan estää. Esimerkiksi poliitikot tekevät monta tällaista päätöstä päivässä, ja niiden seuraukset saattavat tulla heidän eteensä vuosien kuluttua. Juuri siksi pitäisi panostaa erityisen paljon koulutukseen siitä, mikä tieto on tärkeää, luottamuksellista, ja mahdollisesti organisaatiolle vahingollista vääriin käsiin joutuessaan. Jos arkaluontoista tietoa on jaettu sellaisella välineellä millä sitä ei tulisi jakaa, on myöhäistä keskustella välineen turvallisuusominaisuuksista. Olennaisinta olisi keskustella siitä, miksi tämä tieto ylipäätään on päätynyt väärään välineeseen, ja pyrkiä varmistamaan että niin ei käy jatkossa.

#some #sosiaalinenmedia #tty #valit #mobiili