digitalisaatio & sosiaaliala
MAHDOLLINEN YHTÄLÖ
Kyberturvallisuus on varsin arkipäiväinen asia – myös sosiaalialalla. Tietotekniikka on tunkeutunut syvälle työpäivään ja tuonut mukanaan paljon hyötyjä, mutta myös digitaalisia haavoittuvuuksia ja riskejä. Silti kyberturvallisuudesta keskustellaan alalla verrattain vähän. Tämän tekstin tarkoitus on kuvata kyberturvallisuutta sosiaalialalla ja herättää aiheesta laajempaa keskustelua. Miksi kyberturvallisuudella on väliä? Kyberturvallisuuden epäonnistumisia meillä ja muualla Esimerkkejä epäonnistuneesta kyberturvallisuuden tuottamisesta löytyy Suomestakin useita. Viimeksi joulukuussa 2022 Säkylän kunta joutui kyberhyökkäyksen kohteeksi, minkä seurauksena osa kunnan tietojärjestelmistä kaatui, mukaan lukien potilastietojärjestelmä. Tietojärjestelmiä siivottiin ja pystytettiin uudelleen parisen viikkoa, mutta vielä tammikuun alkupuolella esimerkiksi hammashoidon aikoja jouduttiin siirtämään eteenpäin. [1] Merkittävin asiakasrekistereihin kohdistunut kyberhyökkäys koettiin vuosien 2018–19 aikana ja tuli julkisuuteen lokakuussa 2020. Kyse on paljon julkisuutta saaneesta Psykoterapiakeskus Vastaamon tietomurrosta, jossa yli 30 000 henkilön tiedot varastettiin yrityksen tietojärjestelmistä ja julkaistiin ainakin osittain internetissä. Tiedot varastanut taho kiristi ensin yritystä ja sen jälkeen yksittäisiä asiakkaita maksamaan tietojen julkaisematta jättämisestä. Tietomurto johti yrityksen konkurssiin, useampaan esitutkintaan ja syyttämispäätökseen sekä monitahoisiin vaikeuksiin henkilöille, joiden tiedot tulivat julkisiksi. Kyseessä on todettu olevan Suomen rikoshistorian suurin tapaus, sillä siihen liittyviä rikosilmoituksia on tehty yli 25 000. [2] Vaikka onnistuneita kyberhyökkäyksiä on havaittu sosiaalialaa yleisemmin esimerkiksi terveydenhuollossa [3], ei sosiaalialalla voi tuudittautua ajatukseen, että kyberturvallisuus koskisi vain muita. Irlannissa tehtiin lastensuojelun asiakastietojärjestelmiin kyberhyökkäys keväällä 2021. Hyökkäyksen seurauksena työntekijät eivät voineet käyttää järjestelmää tai päässeet käsiksi asiakastietoihin. Asiakastietojärjestelmä oli vasta hiljattain digitalisoitu eikä tilanteeseen ollut varauduttu. Käytännön työn jatkuminen edellytti työntekijöiltä tiivistä yhteistyötä ja ideointia muutoinkin haastavassa COVID-19:n aiheuttamassa pandemiatilanteessa. [4] Sosiaaliala osana yhteiskuntaturvallisuutta Ensimmäinen perustelu kyberturvallisuuden merkitykselle sosiaalialalla on yhteiskuntaturvallisuus. Suomalaisessa kokonaisturvallisuuden mallissa kaikille yhteiskunnan toimijoille valtiosta yksittäisiin kansalaisiin on osoitettu vastuu koko yhteiskunnan kyberturvallisuuden ylläpitämisestä ja vahvistamisesta [5]. Hallintokieleltä kalskahtava virke tarkoittaa sitä, että yksittäisellä sosiaalialan työntekijällä on vastuu käyttää tietotekniikkaa arkipäivässään tavalla, joka ei vaaranna työnantajan, asiakkaiden, viiteryhmien tai työntekijän omia tietoja, laitteita, toimintaa tai turvallisuutta. Yleensä tässä kohtaa viitataan kyberturvallisuuden perusteisiin, joiden kouluttaminen henkilöstölle ja harjoituttaminen tulisi olla korkealla jokaisen työnantajan agendalla. Toiminnan jatkuvuus ja luotettavuus Toinen perustelu kyberturvallisuuden merkitykselle sosiaalialalla onkin työnantajan intressi turvata toiminnan luotettavuus ja jatkuvuus tilanteessa kuin tilanteessa. Niin asiakkaiden, viiteryhmien, työntekijöiden kuin yhteiskunnan laaja-alaisesti on kyettävä luottamaan siihen, että sosiaalialalla tiedot ovat oikeellisia ja turvassa, tarpeen mukaan käytettävissä, ja että niitä käsitellään asianmukaisesti. Kyberturvallisen työympäristön ja toimivan kyberturvallisuuskulttuurin luomiseksi työnantajalla on käytössä joukko teknisiä, hallinnollisia ja johtamisen turvatoimia, mutta yhtä keskeinen on kyberturvallisuutta osaava henkilöstö, joka kykenee tunnistamaan esimerkiksi tietojen kalastelun, huijaussivustot, toimitusjohtajahuijaukset ja informaatiovaikuttamisyritykset. Tällöin työntekijä on organisaatiossa aktiivinen kyberturvallisuuden tuottaja, ei kyberturvallisuuden heikoin lenkki. [6] Kyberturvallisuuden perusteet Kyberturvallisuuden perusteista on olemassa lyhyempiä ja pidempiä listauksia. Suuri osa ohjeista liittyy tietojen käsittelyyn, välittämiseen ja tuhoamiseen. Esimerkiksi kirjauksia ei sovi tehdä tilassa, jossa joku ulkopuolinen pääsee ne lukemaan. Etäyhteydellä toimittaessa on vältettävä kaikille avoimia tai huonosti salasanasuojattuja verkkoja ja muistettava VPN-yhteys. Luottamuksellisia tietoja ei pidä välittää salaamattomalla sähköpostilla ja salaisia tietoja ei netin yli lainkaan. Tiedot, joita ei enää tarvita on syytä hävittää turvallisesti, mikä koskee myös digitaalisia tietoja ja ympäristöjä. [7] Laitteisiin liittyvät turvallisuusohjeet muun muassa kehottavat lukitsemaan laitteen tai kirjautumaan siltä ulos aina silloin, kun et ole laitteen ääressä; olemaan liittämättä tuntemattomien muistitikkuja tai muita lisälaitteita omiin laitteisiin; pitämään laitteet ja ohjelmat päivitettyinä; sekä säilyttämään laitteet turvallisessa tilassa ja olemaan antamatta niitä ulkopuolisten käyttöön. [7] Lisäksi kyberturvallisuuden perusohjeistus puuttuu yksilön käyttäytymiseen digitaalisessa ympäristössä. Nykyisin suurin osa tietojen urkinnasta tai kyberhyökkäyksistä pyrkii tavalla tai toisella hyödyntämään yksilöiden varomattomuutta. Siksi kyberturvallisuusohjeistus muistuttaa vahvoista eli riittävän pitkistä ja ei-selkokielisistä salasanoista, joita ei myöskään tulisi käyttää useammassa palvelussa. Samoin se muistuttaa, ettei sähköpostiviestien sisältämiä liitetiedostoja ja linkkejä ole syytä avata ilman varmaa tietoa siitä, keneltä ne ovat tulleet ja liittyvätkö ne työn alla olevaan asiaan. Työnantajasta, työyhteisöstä tai asiakkaista ei sovi keskustella sosiaalisen median palveluissa eikä työasioita pidä hoitaa pikaviestipalveluilla kuten whatsapp. [7] Sosiaalialalle sovitettu kyberturvallisuuskoulutus ja -harjoitukset Tutkimus kuitenkin osoittaa, etteivät ohjeistukset itsessään tai kyberturvatietoisuuden nousu, joka ohjeistuksilla voidaan saavuttaa vielä riitä toimivan kyberturvallisuuskulttuurin luomiseen organisaatiossa [8]. Kyberturvallisuuden perusteiden hallinta johtaa käyttäytymisen muutokseen vasta, kun ne on sisäistetty ja mielletty osaksi arkipäivän toimintatapoja. Kolmas perustelu kyberturvallisuuden merkitykselle sosiaalialalla onkin: Kyberturvallisuuskoulutusta ja -harjoituksia tulee olla rakentamassa henkilöitä ja tahoja, jotka tuntevat sosiaalialan arkipäivän ja ne tilanteet, joissa kyberturvallisuus voi vaarantua. Siten koulutuksesta ja harjoittelusta saadaan sosiaalialan työntekijöille kohdistettu ja arkipäivän haasteisiin vastaamisessa auttava kokonaisuus. Moralisoivat ja tekniset perusohjeistukset alkavat kääntyä sosiaalialan kielelle, jolloin myös kyberturvallisuus voi muodostua osaksi toimivia käytäntöjä. Vastuu asiakkaita, viiteryhmiä, kollegoita ja itseä kohtaan Neljäs perustelu kyberturvallisuuden merkitykselle sosiaalialalla on vastuu asiakkaita ja viiteryhmiä kohtaan. Käytettävissä olevia laitteita ja ohjelmia, yhteyksiä, tietoturvallisuusratkaisuja ja organisaation johtamistapaa yksittäinen työntekijä ei pääse valitsemaan, mutta omaan tapaansa toimia asiakasta ja viiteryhmiä kohtaan hän voi vaikuttaa. Kyberturvallisuus tulee ymmärtää osaksi luottamusta herättävää tapaa toimia sosiaalialalla, eli osaksi organisaation toimintakulttuuria ja työntekijän hyvää tapaa tehdä työnsä. Tähän yhteyteen liittyy kyberturvallisuuden merkityksen viides perustelu: Kyberturvallinen toimintatapa suojaa myös niin yksittäistä sosiaalialan työntekijää kuin sosiaalialan työntekijöitä yhteisönä muun muassa oikeudellisia riskejä ja häirintää vastaan. Tietojärjestelmissä ei säilytetä, käsitellä ja siirrellä vain asiakkaiden, viiteryhmien ja työnantajan tietoja vaan myös tietoja työntekijöistä. Siten myös oman turvallisuuden ja yksityisyyden vuoksi on parempi ennakoida ja opetella kyberturvallisuuden perusteet kuin katua hyväuskoisuutta tai hölmöilyä jälkikäteen. Kirjoittaja: Mirva Salminen, YTT Assistant Professor in Societal Security The Arctic University of Norway Lähteet:
Comments are closed.
|
Blogin tarkoitusBlogissa julkaistaan tieteellisiä kirjoituksia sosiaalialan digitalisaatiosta eri näkökulmista. Blogi toimii sosiaalialan digitalisaation ajan kuvaajana ja tallentajana, sekä tietolähteenä ja keskustelun virittäjänä kaikille aiheesta kiinnostuneille. Arkisto
January 2024
Kategoriat
All
|