Miksi uskoisit datasi verkkopalvelulle?

Toukokuu 2022

Saisinko luottokorttisi numeron? Henkilöturvatunnuksesi? Kotiosoitteesi? Ihan vain asiakassuhteen hoitamiseksi, ei tässä sen ilkeämmällä asialla olla liikkeellä. Jos nyt joskus lähetellään vaikkapa mainoksia, se on varmasti ihan ok?

Olet olemassa, olet siis dataa

Luottokortin numeron ja henkilöturvatunnuksen utelun tulisi aiheuttaa epämukavuutta jokaisessa. Luemme jatkuvasti uutisista, kuinka näillä tiedoilla on kansalaisia huijattu – joskus tilausansaan tai verkkokauppasumutuksiin, joskus jopa identiteettivarkauksiin.

On ymmärrettävää, miten kaikkein arkaluontoisimmilla tiedoilla voi tehdä rikollista bisnestä. Asiasta on helppo huolestua ja tietojaan voi yrittää varjella. Vaan missä menee raja, mikä on sellaista tietoa, sellaista dataa, jota ei sovi huolettomasti jaella?

Data on omaisuuttasi

Kuluttajansuojalaki muuttui 1.1.2022. Mielenkiintoinen linjaus on, että laki näkee kuluttajan antaman datan rinnastuvan palvelumaksuun. Facebookin käyttäjänä maksat palvelusta omalla datallasi. Palvelu ei siis olekaan ilmainen! Tästä seuraa palveluntuottajaan kohdistuva vastuu toimittaa sovittua palvelua aivan kuin siitä olisi maksettu rahalla.

Aiemmin on puhuttu, että ilmaisen palvelun käyttäjä ei ole asiakas vaan tuote. Tarkemmin ajateltuna käyttäjä ei ole tuote, vaan tavarantoimittaja. Itse tuote on käyttäjän data – sekä nimenomaisesti luovutettu data (henkilötiedot, profiili), että palvelua käyttäessä luotu data (käyttäytyminen, aikeet). Facebook antaa vastineeksi pääsyn yhteisöihin, jalostaa datasi kohdennuskriteereiksi ja myy eteenpäin osana mainospalveluita.

Kenen käsiin luotat omaisuutesi?

Jos luovutat autosi myytäväksi autokauppaan, oletat varmasti, että kauppa on velvollinen huolehtimaan, ettei autoa vahingoiteta tai varasteta. Verkkopalvelun ylläpitäjään kohdistuu samankaltainen vastuu huolehtia annetusta datasta.

Verkkopalveluiden tekijöinä, omistajina ja ylläpitäjinä meitä painavat lait, jotka määrittävät näitä vastuita. Lisäksi meillä on moraalinen velvoite pitää hyvää huolta asiakkaistamme – myös heidän datastaan.

Evästekyselyt, GDPR, tietoturva

Viime vuodet ovat olleet aikamoista sekamelskaa ja köydenvetoa verkkopalveluiden tuottajien, kansalaisjärjestöjen ja lainlaatijoiden painiessa tietoturva- ja tietosuojamolskeilla. Milloin on ollut ristiriitaisia viranomaisohjeita ja hirveitä sanktiopelotteita, milloin tietomurtokatastrofeja ja käyttäjää kiusaavia kyselylaatikoita. Tämä venkslaaminen on rasittanut aivan kaikkia palveluntarjoajista kuluttajiin. Ainoat, jotka ovat olleet yksiselitteisesti saamapuolella, ovat erinäiset GDPR- ym. konsultit.

Asiat alkavat tasaantua ja pikkuhiljaa kuluttaja on saamassa edut, joita on vuosia lupailtu. Datan arvo tunnustetaan, sen omistussuhteet alkavat selkeytyä ja palveluntarjoajat alkavat kantaa vastuunsa – joko pakon edessä tai näkemällä sen edut.

Ole luottamuksen arvoinen

Verkkopalvelun omistajana varmista vähintään, että tietoturva- ja tietosuoja-asiat ovat kunnossa. Laita evästekyselyt, tietosuojaselosteet ja tietysti sivuston tekniikka siihen kuntoon, mitä viranomaiset niiltä odottavat. Tarkista myös, että sivuston ylläpito ei rajoitu pelkkään palvelimen pystyssä pitämiseen, vaan että siihen sisältyvät myös tietoturvapäivitykset ja aktiivinen seuranta.

Turvallinen sivusto pysyy kunnossa ja käytettävissä, mutta valveutunut verkkopalvelun omistaja kääntää turvallisuuden arvoksi myös viestissään. Asiakkaana mieluummin asioin sellaisen yrityksen kanssa, joka aktiivisesti ja positiivisesti kertoo, että arvostaa minun dataani ja pitää siitä huolta kuin omastaan.

Verkkosaitti merihädässä

Asiakkaamme koki konkreettisesti tietoturvan merkityksen, kun yrityksen verkkosivut tulivat bottiverkon jyräämiksi. Sivustolle oli yhtäkkiä alkanut ilmestyä kummallisia linkkejä ja sen kautta levitettiin haittaohjelmia käyttäjille. Sivuston hosting-palvelun automatiikka huomasi tilanteen ja sulki sivuston.

Edellinen tekninen kumppani oli selkeästi liian syvissä vesissä. Sivustolle oli asennettu tietoturvan lisäämiseksi yhtä sun toista lisäosaa, joiden piti taata turvallisuus. Hyökkäyksen jälkimainingeissa sivusto oli palautettu ja lisäosia oli asennettu lisää. Sivusto pysyi pinnalla viikon.

Tämä on tapaus, jollaisia näemme silloin tällöin ja tulemme apuun mielellämme. Hyökkääjä ei koskaan selvinnyt, eikä salapoliisityölle ollut sen suurempaa tarvettakaan. Olennaisempaa oli saada sivusto turvalliseksi, koska jokainen päivä, jonka sivusto on saastunut, yrityksen myynti kärsii.

Ratkaisu oli tietoturvan aakkosia: Tilannekuvan selvitys, lisävahinkojen estäminen ja oikeasuhtaiset korjaustoimenpiteet. Sivuston tekniikkaa jouduttiin rakentamaan uusiksi, mutta ei lähdetty laittamaan paikkaa paikan päälle, vaan tehtiin kerralla sellainen toteutus, joka kestää.

Tärkein oppi oli, että onnettomuuden sattuessa älä panikoi ja yritä kikkailla. Ota avuksi kumppani, joka osaa asiansa.

Teemu Eskola, Smoyn CDO