Martin JørgensenTietomurrot eivät useimmiten ala hakkereista, vaan hyvistä aikomuksista ja pienistä virheistä. Pienyrityksissä, jotka käsittelevät digitaalista sisältöä, asiakastiedostoja tai sisäisiä dokumentteja, arjen tavat — kuten sähköpostiliitteet tai ilmaiset tiedostonjakolinkit — voivat huomaamatta avata oven riskeille.
Kun työntekijät lähettävät tiedostoja suojaamattomien kanavien kautta, siirrot kulkevat usein useiden palvelimien läpi, jolloin arkaluonteiset tiedot voivat joutua siepatuiksi tai välimuistiin. Jopa väliaikaiset linkit voivat jäädä verkkoon aiottua pidemmäksi aikaa, etenkin jos niitä jaetaan ryhmäkeskusteluissa tai julkisissa kansioissa.
Ongelma ei liity pelkästään kyberrikollisuuteen, vaan hallintaan. Kun tiedosto poistuu yrityksen ympäristöstä ilman asianmukaista salausta, on lähes mahdotonta seurata, kuka siihen pääsee käsiksi. Tämäntyyppinen altistuminen voi osua kenen tahansa kohdalle. Hiljattain eräs oppimisalusta, joka on suosittu lasten oppimispeleissä, joutui tarkasteluun siitä, miten käyttäjätileihin liittyviä tietoja tallennettiin ja käytettiin.
Tärkeimmät huomiot
Suomalaisten pienyritysten data voi vaarantua pienistäkin virheistä, mutta SFTP ratkaisee tiedostonsiirtojen keskeiset tietoturvaongelmat.
- Pienyritykset altistuvat usein riskeille käyttäessään epävarmoja siirtotapoja, kuten sähköpostiliitteitä tai avoimia tiedostonjakopalveluja.
- SFTP (Secure File Transfer Protocol) salaa tiedostot siirron ja todennuksen aikana, jolloin siepattuja tietoja ei voi lukea tai muokata.
- GDPR:n mukaan tietoturvaloukkauksista on ilmoitettava 72 tunnin kuluessa, ja rekisteröityjä on tarvittaessa informoitava heidän oikeuksiensa ja vapauksiensa suojaamiseksi.
Luottamus syntyy turvallisista siirroista
Kyse ei ollut tahallisesta rikkomuksesta — vain esimerkistä siitä, miten nopeasti tilanne karkaa käsistä, jos järjestelmät eivät ole turvallisuussuunniteltuja. Pienyrityksille, jotka turvautuvat helppoihin työkaluihin, opetus on selvä: jos dataa ei salata asianmukaisesti siirron aikana, harmittomiltakin tuntuvat teot voivat johtaa pitkäkestoisiin seurauksiin.
Toinen esimerkki koski pohjoismaista radiota ja podcast-palvelua, josta tuli malliesimerkki siitä, miten digitaalista infrastruktuuria modernisoidaan tinkimättä käyttäjien luottamuksesta. Siirtyminen turvallisiin järjestelmiin paransi myös suorituskykyä kokonaisuutena.
Se vahvisti myös luottamusta siihen, että henkilötietoja ja kuunteluhistoriaa käsitellään vastuullisesti. Muutos ei tapahtunut yhdessä yössä, mutta se osoitti olennaisen — kun turvallisuus on sisäänrakennettu arjen prosesseihin, se ei hidasta liiketoimintaa.
Tässä SFTP, eli Secure File Transfer Protocol, tekee eron. Toisin kuin perinteinen FTP tai sähköpostiliitteet, SFTP salaa tiedostot siirron ja todennuksen aikana. Näin jopa siepatut tiedot pysyvät lukukelvottomina eikä niitä voi muuttaa.
Jokainen yhteys varmistetaan ja pääsy rajataan luotettuihin käyttäjiin, jolloin yrityksen data pysyy suojatussa kanavassa. Pienille yrityksille, jotka jakavat laskuja, asiakastietoja tai digitaalisia aineistoja, tämä kontrolli voi olla ero rutiinitehtävän ja julkisen vahingon välillä.
Suomen tietosuojavastuu
Suomessa digitaalisiin riskeihin liittyvä tietoisuus perustuu selkeisiin havaintoihin. Valtaosa ilmoitetuista tietoturvaloukkauksista johtuu tahattomista syistä — kuten tietojen lähettämisestä väärälle vastaanottajalle tai tahattomasta julkaisemisesta — eikä niinkään hakkeroinnista tai haitallisista hyökkäyksistä.
Samaan aikaan eräs raportti osoitti, että mikroyrityksissä 7 kymmenestä käytti heikompia suojauskäytäntöjä vuonna 2022 kuin vuonna 2019. Tämä viittaa siihen, että pienet yritykset ovat erityisen haavoittuvia inhimillisille virheille ja perusturvan laiminlyönnille. Lainsäädäntö vahvistaa tämän odotuksen.
Suomessa sovellettavan GDPR:n mukaan loukkaukset, jotka sisältävät henkilötietojen luvattoman luovuttamisen, on lähtökohtaisesti ilmoitettava 72 tunnin kuluessa havaitsemisesta. Laiminlyönneistä voi seurata sakkoja ja mainehaittaa. Lisäksi yritysten on dokumentoitava kaikki tapaukset ja ilmoitettava rekisteröidyille, kun heidän oikeuksiinsa ja vapauksiinsa kohdistuu korkea riski.
Helppoja askeleita turvallisempaan jakamiseen
Parasta on, ettei aloittaminen ole monimutkaista. Monet hosting- ja pilvipalvelut tukevat jo SFTP:tä, joten yritykset voivat siirtyä suojaamattomista latauksista salattuihin siirtoihin minimaalisella asetustyöllä. Kun ratkaisu on käytössä, siitä tulee nopeasti rutiinia: työntekijät vain raahaavat ja pudottavat tiedostot SFTP-kansioon sähköpostiliitteiden tai avointen linkkien sijaan. Se ei ole kikka, vaan kulttuuri, joka vahvistaa tietoturvaa.
Hyödyllinen resurssi aiheen ymmärtämiseen on vertailu, joka selittää FTP:n ja SFTP:n eron. Siinä näytetään, miten FTP lähettää tiedostot selväkielisinä, kun taas SFTP suojaa datan salatun kanavan kautta. Lisäksi selviää, että vanhemmat siirtomenetelmät käyttävät useita avoimia portteja, kun taas uudemmat, turvalliset vaihtoehdot toimivat yhden suojatun kanavan läpi — tämä helpottaa palomuurien hallintaa ja pitää järjestelmät turvassa.
