Syyskuussa 2017 tapahtuneesta Equifax-tietomurrosta, joka paljasti 147 miljoonan yhdysvaltalaisen henkilökohtaiset tiedot, ja monista muista sen jälkeen tapahtuneista korkean profiilin tietoturvaloukkauksista lähtien tietoturvasta ja yksityisyydensuojasta on tullut kiireellisiä johtoryhmässä.
”Equifax-katastrofi oli se, jossa monet luontaiset ongelmat todella nousivat esiin yritystasolla”, sanoo Aaron Shum, Info-Tech Research Groupin tietoturvan, yksityisyyden suojan, riskien ja vaatimustenmukaisuuden käytännön johtaja. ”Silloin huomasimme, miten epäpätevää organisaatiossa voi olla.”
Edelman Trust Barometer Special Report 2019 -raportin mukaan: In Brands We Trust?” 81 prosenttia kuluttajista sanoi, että brändin luotettavuudella on suuri merkitys heidän ostopäätöksissään. Toisin sanoen tietomurrot eivät nykyään merkitse pelkästään tulosriskiä rangaistusten muodossa, vaan ne myös vaarantavat organisaation brändin ja maineen, mikä vaikuttaa suoraan sen kykyyn houkutella uusia asiakkaita ja pitää nykyiset asiakkaat.
”Yritysten on kohdeltava tietosuojaa sekä vaatimustenmukaisuuteen että liiketoimintariskiin liittyvänä kysymyksenä, jotta voidaan vähentää lainsäädännöllisiä sanktioita ja kaupallisia vaikutuksia, kuten tietosuojaloukkausten aiheuttamia mainehaittoja ja asiakkaiden menettämistä”, sanoo
Steve Durbin, Ison-Britannian tietoturvafoorumin toimitusjohtaja.
Enemmän kuin semantiikkaa
Monille tietoturvayhteisön ulkopuolisille termejä ”tietoturva” ja ”tietosuoja” käytetään usein vaihdellen. Todellisuudessa ne eivät ole sama asia, vaikka niillä on yhteinen tavoite, sanoo Greg Ewing, Potomac Lawin kyberturvallisuuspartneri.
”Tietosuojan ja tietoturvan välinen ero on ero jonkun henkilökohtaisten tietojen suojaamisen ja niiden turvatoimien välillä, joilla suojaat kaikki yrityksesi tiedot”, hän sanoi.
Kun Kalifornian kuluttajansuojalain (CCPA, California Consumer Privacy Act) ja EU:n yleisen tietosuoja-asetuksen (GDPR, General Data Protection Regulation) kaltaiset säädökset ovat nyt voimassa, tämä ero on muutakin kuin pelkkää semantiikkaa. Yleisessä tietosuoja-asetuksessa määrätään esimerkiksi vakavia taloudellisia seuraamuksia, jotka voivat nousta miljardeihin dollareihin tietomurroista, joihin liittyy EU:n kansalaisten henkilökohtaisesti tunnistettavia tietoja (PII). CCPA:n mukaiset rangaistukset, jotka ovat 2 500-7 500 dollaria PII-tietuetta kohti, voivat myös nousta nopeasti.
Koska COVID-19-pandemia ei näytä laantumisen merkkejä, yhä useammat ihmiset viettävät enemmän aikaa verkossa kuin koskaan. Verkkokäytön massiivinen muutos sekä ennen että jälkeen COVID-19:n yhdistettynä yleiseen epäluottamukseen sitä kohtaan, miten suuret sosiaalisen median ja viihdealan yritykset käyttävät asiakastietoja rahana, ei ole jäänyt huomaamatta osavaltioiden sääntelyviranomaisilta. Osavaltioiden lainsäätäjien kansallisen konferenssin mukaan yksityisyyden suojaa koskevia lakiehdotuksia käsitellään parhaillaan 30 osavaltiossa.
”Tietosuoja on pohjimmiltaan organisaation tietoturvan osa-alue”, Ewing sanoi. ”Erottelu on tärkeää, koska vaikka yksityisyyden suojaamiseen ja tietoturvan varmistamiseen käytettävät välineet voivat olla päällekkäisiä, eri tiimit käsittelevät niitä yleensä eri tavoin eri välineitä käyttäen.”
Tämä päällekkäisyys voi aiheuttaa sekaannusta, jolloin yritykset, jotka keskittyvät vain tietoturvaan, saavat virheellisen vaikutelman, että oletusarvoisesti myös tietosuoja on suojattu. Näin ei kuitenkaan ole. Toisin kuin tietoturva, jossa keskitytään suojaamaan kaikki organisaation tiedot varkaudelta tai turmeltumiselta (kuten lunnasohjelmahyökkäyksen aikana), tietosuoja on yksityiskohtaisempi. Tietosuojan varmistamiseksi organisaatioiden on ymmärrettävä, seurattava ja valvottava esimerkiksi sitä, kenellä on oikeus käyttää tietoja ja missä tiedot säilytetään – esimerkiksi HIPAA:n (Health Insurance Portability and Accountability Act) mukaisessa pilvipalvelussa.
Hyvä esimerkki yksityisyyden suojan ja tietoturvan välisistä eroista oli 87 miljoonan Facebook-käyttäjäprofiilin kerääminen, jonka nyt lakkautettu poliittinen konsulttiyritys Cambridge Analytica suoritti Yhdysvaltain presidentinvaalien 2016-17 aikana, sanoi Joshua Kail, viestintäkonsultti, joka johti Cambridge Analytican PR-toimistopuolen PR-toimistoa, kunnes se lopetti toimintansa toukokuussa 2018. Vaikka tiedot olivat turvattuja, Facebook käytti väärin omaa yksityisyyspolitiikkaansa ja FTC:n vuonna 2011 antamaa suostumusta koskevaa päätöstä käyttäjätietojen käytöstä.
”Se oli omituinen tapaus tietoturvan epäonnistumisesta näkökulmasta siinä mielessä, että he periaatteessa luovuttivat tiedot, ja sitten niitä käytettiin sopimattomalla tavalla, eikä niinkään perinteisen ilkivaltaisen verkkohyökkäyksen muodossa”, hän sanoi. ”Mitä tulee tietosuojaan, me kaikki menetimme sen heti, kun rekisteröidyimme tilille. Cambridge ei oikeastaan käyttänyt ”meidän tietojamme”, vaan Facebookin tietoja meistä. Tässä erottelussa piilee nykyisen datapolitiikan todellinen vaara.”
Kail esiintyi hiljattain Bill Detwilerin TechRepublic Dynamic Developer -podcastissa keskustelemassa tietosuojasta ja -oikeuksista.
Luottamuskysymys
Vaikka tietosuojaa säännellään vuosi vuodelta enemmän, se on edelleen asia, joka on nykyään pitkälti luottamuksen varassa, sanoi Kayne McGladrey, IEEE:n jäsen ja Ascent Solutionsin kyberturvallisuusstrategi. Kuten Cambridge Analytica -skandaalin aiheuttama vastareaktio osoittaa, se, mitä ihmiset odottavat yrityksiltä, joiden kanssa he tekevät yhteistyötä, on yhtä tärkeää kuin heidän tietojensa käyttöä säätelevät lait.
”Nykyään tietosuoja koskee ensisijaisesti henkilötietojen käsittelyä lakien, asetusten ja sosiaalisten normien perusteella”, McGladrey sanoi. ”Usein tätä edustaa se, että kuluttaja jättää huomiotta käsittämättömän tietosuojakäytännön (jonka lukemiseen kuluisi lähes 20 minuuttia) ennen kuin hän klikkaa painiketta kuitatakseen suostumuksensa kyseiseen käytäntöön. Kuluttajan hyväksyntä antaa organisaatiolle mahdollisuuden käsitellä hänen tietojaan dokumentoiduilla tavoilla, kuten esimerkiksi näyttää hänelle kohdennettua mainontaa, joka perustuu hänen oletettuihin kiinnostuksenkohteisiinsa. Jos kyseinen organisaatio kuitenkin myisi nämä henkilötiedot toiselle organisaatiolle tekemään jotain odottamatonta (kuten käyttämään niitä suojatun sananvapauden tukahduttamiseen) ilman kuluttajan suostumusta, kyseessä olisi yksityisyyden suojan rikkominen joko sääntelyn valvonnan tai sosiaalisten normien rikkomisen kautta.”
Kun otetaan huomioon kaikki se, mitä viime vuosina on tapahtunut – massiivisten tietomurtojen jatkuva rummutus ja jatkuvasti lisääntyvät yrityksiin ja yksityishenkilöihin kohdistuvat verkkohyökkäykset – ei ole yllättävää, että ihmiset tuntevat, etteivät heidän tietonsa ole enää turvassa niiden yritysten käsissä, joiden kanssa he tekevät yhteistyötä, tai niiden hallitusten käsissä, jotka määräävät niiden keräämisen.
Tämän epäluottamuksen vuoksi yritysten on ehdottomasti puututtava näihin asioihin, sanoo Lili Ana, Information Security Governance Manager loanDepotissa.
”Kun hakkerointiala kasvaa nopeasti ja kyberrikolliset saavat yhä enemmän rahoitusta ja kun digitaalisten at-home-työpaikkojen maailmanlaajuinen muutos on edelleen uusi normaali, yritysten on ryhdyttävä toimiin ymmärtääkseen tietoturvaa ja sitä, miten tietosuoja ja tietoturva toimivat yhdessä yritysten ja kuluttajien suojelemiseksi”, Ana sanoi. ”Sijoittaminen yrityksen suojaamiseen ennakoivalla lähestymistavalla on paljon edullisempaa kuin vaihtoehto, joka on tietoturvaloukkaus tai tietoturvaloukkaus, joka voi paitsi tuhota yrityksen myös pilata maineen, uskottavuuden ja kuluttajien luottamuksen.”
Katso myös
- Yritykset, joilla on huonot tietosuojakäytännöt, kärsivät 80 prosenttia todennäköisemmin tietomurrosta (TechRepublic)
- Yritykset luottavat usein manuaalisiin prosesseihin noudattaakseen Kalifornian uutta tietosuojalakia (TechRepublic)
- Miten Whonixin kehittynyttä tietoturva- ja tietosuojalinjausta voi käyttää (TechRepublic)
- Zoomausta: Olemme täyttäneet kaikki tietoturva- ja yksityisyyslupauksemme yhtä lukuun ottamatta (TechRepublic)
- Asiakkaat eivät halua luopua tiedoistaan yksityisyyden suojaan liittyvien huolien vuoksi, Okta toteaa (TechRepublic)
- Suurin osa amerikkalaisista on valmis luopumaan henkilökohtaisesta tietosuojasta torjuakseen COVID-19:n leviämistä (TechRepublic)