Digitalisaatio järjestöissä

14.11.2014 12:16

Sosiaalinen tietoturva järjestöissä – 6 tärkeää asiaa

Tietoturva-asiat pyörivät ainakin toisinaan melkein kaikkien mielessä. Useimmat järjestöt eivät hyvästä syystä luota jäsentietojaan minkä tahansa palveluntarjoajan käsiin, sillä virheisiin ei yksinkertaisesti ole varaa. Silti tietoturvan sosiaalinen puoli – se, mitä käyttäjät tekevät – on luultavasti suurin potentiaalinen ongelmakohta kaikissa organisaatioissa. Tämä korostuu nykyaikana kun tekninen tietoturva alkaa olla yleisesti melko korkealla tasolla.

Järjestön verkkopalveluissa kaikkien käyttäjien on pidettävä huoli tunnuksistaan, mutta erityisen suuri vastuu on heillä, jotka voivat muuttaa ja tarkastella jäsenrekisterin sisältöä. Tällöin kyseessä ei ole pelkästään omiin tietoihin liittyvä riski vaan kaikkia järjestön jäseniä koskettava potentiaalinen ongelma. Siksi tietoturva-asioita kannattaa pitää esillä ja varmistaa, että erityisesti uudet vastuuhenkilöt ymmärtävät rooliinsa liittyvät vaatimukset.     

Kaikkein tärkein asia

Ensimmäinen, jokaisen hyvin tuntema, mutta monien silti toisinaan rikkoma perussääntö kuuluu: ”Älä koskaan kerro salasanaasi kenellekään.” Jotta tietoturvasta voidaan edes vakavasti puhua, on tätä ohjetta noudatettava poikkeuksetta kaikissa tilanteissa. Oman salasanan antaminen toiselle henkilölle ei ole hyvä idea silloinkaan, kun henkilö tiedetään vilpittömäksi - hän ei silti välttämättä hallitse tietoturvakäytäntöjä riittävän hyvin ja voi vuotaa tiedot ulkopuolelle. Koska ihmisten käsitys riittävästä tietoturvan tasosta on kovin vaihteleva, voi viime kädessä ainoastaan salasanan haltija itse olla vastuussa siitä miten hänen tunnuksiaan käytetään. Kun tämän lähtökohdan tärkeys ymmärretään, voidaan siirtyä eteenpäin.  

Viisi muuta tärkeää asiaa

1. Salasanoja on usein paljon, eikä niitä kaikkia ole helppo muistaa ulkoa. Intuitiivinen tapa ratkaista tilanne on kirjoittaa salasanat ja käyttäjätunnukset jonnekin ylös. Tämän kanssa kannattaa olla erityisen varovainen, ja on aina parempi, jos kirjautumistietoja ei lue missään. Jos salasanat on kuitenkin kirjoitettava ylös, kannattaa paperit säilöä vaikeasti löydettävään paikkaan pois uteliailta katseilta – mieluiten kuitenkin niin, että tunnusten omistaja tarvittaessa löytää itse ne.

Jos tiedot on tallennettu sähköisessä muodossa, on fiksua suojata pääsy salasanatiedostoon vielä erillisellä salasanalla. Salasanojen hallintaan on kehitetty myös monia ohjelmia (esim. KeePass Password Safe), joiden avulla käyttäjän tarvitsee muistaa vain yksi pääsalasana ohjelman muistaessa kaikki muut. Tiedot tallennetaan salatussa muodossa, mikä lisää turvallisuutta. Ohjelma kulkee kätevästi mukana vaikkapa muistitikulla. 

2. Varovaisuus omalla ja erityisesti muiden koneilla on järkevää. Ellei toimintoa ole kytketty pois päältä, selaimet ehdottavat käyttäjätunnuksen ja salasanan automaattista tallentamista kirjautumisen yhteydessä. Tämä toimii hyvin niin kauan kun kukaan muu ei koskaan käytä samaa konetta tai ainakaan samaa käyttäjätiliä eikä konetta jätetä milloinkaan hetkeksikään vahtimatta. Käytännössä harvat viitsivät varjella konettaan näin huolellisesti, vaikka optimaalisen tietoturvan vuoksi pitäisikin.

Oma lukunsa ovat julkisten tilojen tai tuttavien tietokoneet, joiden selaimeen voi helposti vahingossa tallentaa kirjautumistietonsa. On siis tärkeää huolehtia, että mitään ei tallennu muiden selaimeen ja että uloskirjautuminen tulee varmasti tehdyksi oikein silloin kun käytetään konetta ja käyttäjätiliä, jota joku muukin saattaa käyttää. 

3. Saman salasanan käyttäminen monessa palvelussa on yleinen käytäntö ja erittäin huono idea. Jos yksi salasanoista vuotaa ulkopuoliselle, on ongelma kertaluokkaa suurempi kun huomataan, että järjestön jäsenrekisterin lisäksi uhattuna on sähköpostitili ja mahdollisesti monet muutkin palvelut. Käyttämällä joka palvelussa eri salasanaa ja tekemällä salasanasta riittävän vaikeasti arvattavan voi oleellisesti vähentää yhden, kaikkialla käytettävän salasanan tilanteeseen liittyvää riskiä. Koneellisesti generoidut salasanat ovat usein helpoin tapa hoitaa tämä, vaikka tuloksena saatavat salasanat ovatkin lähes mahdottomia muistaa ulkoa. Tällöin katso kohta 1.

4. Salasanat eivät pysy turvallisina loputtomasti. Vaikka mitään erityistä epäilyä salasanan vuotamisesta ei olisikaan, on silti hyvä käytäntö vaihtaa salasana riittävän usein uuteen. Tällöin salasanan joutuessa vääriin käsiin sitä ei ehkä ehditä käyttää ennen sen vanhentumista ja muuttumista. Salasanan vaihto ainakin muutaman kuukauden välein kannattaa.

5. Kun uusille pääkäyttäjille luodaan käyttäjätunnukset jäsenrekisteriin, kannattaa heitä ohjeistaa käyttämään niitä mahdollisimman turvallisesti. Jos järjestössä on määritelty selkeät tietoturvakäytännöt, tulee jokainen uusi käyttäjä ainakin ajatelleeksi kuinka on järkevää toimia. Lyhyen tietoturvakäytännön kirjaaminen ylös ei myöskään vie paljon aikaa. Tämä kannattaa ehdottomasti tehdä ja antaa ohjeistus jokaisen uuden pääkäyttäjän luettavaksi. 

Turvalliset toimintatavat eivät vaadi juurikaan enempää aikaa tai vaivaa kuin epäturvallisetkaan – kyse on lähinnä tottumuksista. Ylipäätään tietoturva on helppoa, kun muistaa tehdä asiat riittävän huolellisesti. Harvoin kyse on siitä, että ihmiset eivät ymmärtäisi tietoturvan merkitystä tai periaatteita. Välitön mukavuudenhalu ja toimiminen liki automaattisesti nostavat kuitenkin usein päätään tilanteissa, joissa haluaisi jo päästä eteenpäin muiden asioiden pariin. Mutta se yksi kerta, kun jokin menee vikaan…

Kuva: Flickr - Diego Torres Silvestre


Yhdistysavain - digitaalinen ympäristö yhdistyksille. Tutustu!