Digitalisaatio järjestöissä

10.2.2015 09:49

Mihin uhkiin verkossa tulisi varautua?

Lähes jokainen joskus pohtii oman järjestönsä tietoturvaa verkossa. Kysymykset jäsenrekisterin verkossa ylläpitämisen turvallisuudesta ja sivustolle kohdistusvan tietomurron todennäköisyydestä liikkuvat monen käyttäjän mielessä. Varovaisuus on hyvästä, mutta uhkakuvat on hahmotettava oikein.

Kohdistuuko järjestöihin uhkia verkossa?

Kaikki verkossa olevat palvelut eivät ole yhtä potentiaalisia hyökkäysten kohteita. Tärkeää on kysyä miksi joku haluaisi hyökätä juuri tiettyyn kohteeseen – esimerkiksi järjestön verkkosivuille. Keskeisin syy, miksi mikään kohde verkossa joutuu hyökkäyksen kohteeksi, on luonnollisesti taloudellinen hyöty hyökkääjälle tai tämän toimeksiantajalle. ”Hyökkääminen vaatii päättäväisyyttä ja rahaa”, Avoinen tietohallintopäällikkö Mikko Kauttu toteaa. Satunnaiset kiusantekoyritykset ovat useimmiten harmittomia, sillä todellisen vahingon tekeminen vaatii nykyaikana paljon resursseja.

”Etenkään yhdistykset eivät ole parhaita kohteita mitä taloudellisiin hyötymismahdollisuuksiin tulee”, Kauttu sanoo. Puhtaasti ideologisesti motivoituneita hyökkäysyrityksiä järjestöjen verkkopalveluihin esiintyy, mutta nekin ovat Kautun mukaan perin harvinaisia. Satunnaisten kokeilijoiden automaattiset, tunnettuja haavoittuvuuksia hyödyntävät hyökkäysyritykset järjestö voi ennalta torjua käyttämällä luotettavia, tietoturvaan huomiota kiinnittäviä palveluita. Esimerkiksi jäsenrekisterit itsessään eivät ole kovin kiinnostavia kohteita: pelkillä nimi- ja osoitetiedoilla tai sillä, tilaako joku jäsenlehden, on harvalle hyökkääjälle mitään käyttöä.

”Suuremassa vaarassa ovat yksityiset ihmiset”, Kauttu kertoo. ”Yksityisillä ihmisillä on erilaisia murtautujan näkökulmasta hyödynnettäviä resursseja: verkkopankkitunnuksia, koneita jotka voidaan valjastaa bottiverkkojen käyttöön ja identiteettejä, jotka voidaan varastaa.” Tämän takia henkilökohtaiseen tietoturvaan omalla koneella kannattaa kiinnittää riittävästi huomiota. Tämä palvelee välillisesti myös järjestön turvallisuutta, sillä omalta koneelta käytetään usein järjestön jäsenrekisteriä tai päivitetään kotisivuja.

Uhkien ennaltaehkäisy päivittäisessä toiminnassa

Tietoturvauhkien toteutuminen liittyy kiinteästi huonoihin käytäntöihin. Huolimaton toiminta ei ole pelkästään ei-toivottavaa vaan suoranaisesti vaarallista. ”Jo lainsäädännön perustella järjestön on huolehdittava jäsenrekisteristä hyvin”, Kauttukin painottaa. Järkevintä on siis omaksua hyvät toimintatavat ja olla koskaan poikkeamatta niistä: ”Esimerkiksi nimenkirjoitusoikeus yhdistyksessä on todella iso juttu. Samoin verkkopankkitunnukset kannattaa rajata mahdollisimman tarkasti vain ihmisille, jotka niitä oikeasti tarvitsevat.”

Pahimmaksi uhkatekijäksi muodostuvatkin usein arkipäiväiset pikkuasiat: tavalliset salaamattomat sähköpostiviestit (jotka osaavan on helppo matkan varrella lukea), entisille vastuuhenkilöille jääneet käyttäjätunnukset ja jaetut yhteiskäyttötunnukset, eivät niinkään palveluihin määrätietoisesti ulkoapäin kohdennetut hyökkäykset.

Sisäiset ristiriidat ongelmien lähteenä

”Mikään tietoturvauhka ei realisoidu ilman syytä ja syy tulee henkilöistä”, Kauttu huomauttaa. Paras tapa välttää uhkia verkossa on pysytellä hyvissä väleissä sekä verkossa että sen ulkopuolella. Kauttu toteaa, että kärjistyvät mielipide-erot voivat pahimmassa tapauksessa johtaa yksittäisen ihmisen tekemään suureenkin haittaan – jos ei suoranaisten tietomurtojen muodossa, niin ainakin verkossa tapahtuvien negatiivisten huomionosoitusten kautta.

Myös  diplomaattinen tapa hoitaa asioita on tietoturvan yksi elementti. Paras strategia on huolehtia järjestön turvallisuudesta sisältäpäin: olla antamatta kenellekään syytä tehdä haittaa järjestölle ja toisaalta huolehtia, että käyttöoikeuksia eri palveluihin ja järjestelmiin ei pidetä kenelläkään tarpeettomasti.

 

Kuva: Flickr - DaveBleasdale


Yhdistysavain - digitaalinen ympäristö yhdistyksille. Tutustu!