Tietoturva ja tietovuodot ovat olleet lähivuosina tapetilla todella taajaan. Tietomurtoja on ollut useissa palveluissa, jotka sisältävät arkaluontoisia tietoja, kuten terveystietoja, uskonnollisia tietoja tai muita henkilötietoja, jotka voisivat vahingoittaa yksilön arkea ja elämää. Avaamme tekstissä hieman Huiman asennetta tietoturvaan liittyen. Spoiler, tietoturva on meille tärkeä asia.
Tietoturva ja tietovuodot ovat olleet lähivuosina tapetilla todella taajaan. Tietomurtoja on ollut useissa palveluissa, jotka sisältävät arkaluontoisia tietoja, kuten terveystietoja, uskonnollisia tietoja tai muita henkilötietoja, jotka voisivat vahingoittaa yksilön arkea ja elämää. Esimerkkinä mm. Vastaamon tietovuoto Suomessa ja Punaisen Ristin tietojen säilyttäjän tietovuoto Sveitsissä.
Tietomurrot ja tietoturvaloukkaukset ovat lisääntyneet räjähdysmäisesti pandemian alkuajoista. Ihmisten siirtyminen etätöihin laajentaa merkittävästi hyökkäyspintaa, jota ulkopuoliset tekijät voivat käyttää hyödykseen. Pelkästään kiristysohjelmilla oli 151% kasvu vuonna 2021.
Suomessakin on ollut lähivuosina muutamia varoittavia esimerkkejä siitä, mitä tietovuoto voi aiheuttaa. Vakavin tietovuoto on se, kun yksityisen ihmisen henkilökohtaiset terveystiedot joutuvat vääriin käsiin. GDPR:n sääntöjen mukaan tietovuodoista pitää ilmoittaa välittömästi, kun sellainen huomataan.
Tietovuodon seurauksena yritykselle koituu mittavia kuluja ja sakkoja ja se voi pahimmassa tapauksessa päätyä lopettamaan toimintansa. Tämän lisäksi yksityishenkilöiden tietojen vuotaminen voi aiheuttaa erittäin pitkä-aikaisia ja mittavia haittavaikutuksia sekä psyykkisesti, että rahallisesti. Linkin takaa näet mitä henkilökohtaisesti tunnistettaviin tietoihin (PII) kuuluu.
Miten minä voin vaikuttaa tietoturvaani?
Suurin haavoittuvuus tietoturvassa ei ole tietokoneet, järjestelmät tai heikot ohjelmistot. Suurin haavoittuvuus olet sinä, eli käyttäjä. Me täällä Huimassa pidämme huolen siitä, että tekemämme verkkosivut ja palvelut ovat tietoturvallisia. Sinä voit auttaa itseäsi ja pitää henkilökohtaiset tietosi ja pankkitunnuksesi turvassa olemalla valppaana. Hyvät ohjeet oman tietoturvan parantamiseen löytyy kyberturvallisuuskeskuksen verkkosivuilta.
Aiemmassa tekstissä avasin hieman GDPR:ää ja tietosuojaa. Hyvät tietoturvakäytännöt mahdollistavat turvallisen tietosuojan toteuttamisen. Tietoturvallinen tiedonhallinta ja tietojen säilytys on kaiken tietosuojan ydintä ja ProcessWire tukee tätä ajatusmaailmaa hyvin. Käyttäjistä kerätään vain se tieto, mikä on palvelun kannalta välttämätöntä ja tätä tietoa säilytetään mahdollisimman turvallisessa ympäristössä. Henkilötunnusta esimerkiksi ei koskaan saisi säilöä sen oikeassa muodossa, vaan se voidaan esimerkiksi anonymisoida, jonka jälkeen alkuperäistä henkilötunnusta ei voi selvittää.
Henkilökohtaisesti tunnistettavien tietojen vuotoa voidaan estää, kun verkkosivujen taustajärjestelmän (backend) tietoturva on hoidettu hyvin. Mieti esimerkiksi, jos järjestelmään syöttämäsi henkilötiedot tai sinun terveyshistoriasi vuotaisivat väärien ihmisten käsiin.
Usein kirjautumisiin vaaditaan seuraavat tiedot ja niiden vuotaminen voi aiheuttaa suuriakin riskejä: nimi- ja osoitetiedot, syntymäaika, salasana, sähköpostiosoite. Tämä mahdollistaa jo monenlaiset hyökkäykset, kuten jos esimerkiksi käytät samaa sähköpostia ja salasanaa muissa palveluissa, ne pitäisi vaihtaa välittömästi. Tiedot vuotavat usein laajalle alueelle ja niitä voi hyödyntää kuka tahansa.
Meillä on monta syytä miksi käytämme ProcessWireä pääasiallisesti ja yksi niistä on tietoturva. ProcessWire on rakennettu tietoturvallisesti alusta lähtien ja me täällä Huimassa haluamme myöskin toteuttaa sivustomme samalla periaatteella. Tietoturvallisuuden saavutamme tekemällä itse käsin suuren osan lisäosista ja moduuleista. Tämä takaa sen, että taustajärjestelmään ei pääse huonosti tehtyjä lisäosia, joiden tietoturva on heikkoa ja tuki on loppunut. (Krhm, Wordpress ja vimpaimet)
Entä ne muut?