Tietoturvaan panostetaan oikeushallinnossa ja asianajo­toimistoissa

Kun pandemia ajoi ihmisiä keväällä etätöihin, sekä tuomioistuinten sisällä että oikeusministeriöstä täsmennettiin ohjeistusta ja etätöiden reunaehtoja.

Tuomioistuimet ja asianajajat käsittelevät luottamuksellisia tietoja, mutta tietoturvaan ja koulutuksiin on myös panostettu huomattavan paljon.

Suomen Asianajajaliitossa on oltu ajoissa liikkeellä: tietoturvaohjeet asianajajille tulivat voimaan vuoden 2013 alussa. Seikkaperäiset ohjeet päivitettiin viime vuonna.

‒ Tietoturvasta pitää jatkuvasti huolehtia. Sitä on kehitettävä, tehostettava ja parannettava. Alana emme halua olla heikoin lenkki vaan ennemminkin suunnannäyttäjä, kiteyttää liiton it-valiokunnan jäsen, asianajaja Niko Jakobsson.

Jakobsson työskentelee Borenius Asianajotoimisto Oy:n lakiasiainjohtajana ja kehitysjohtajana. Hän toimi myös asianajajien tietoturvaohjeistuksen päivitystä valmistelleen työryhmän puheenjohtajana.

Jokainen tuomioistuin on itsenäinen rekisterinpitäjä ja huolehtii siten myös tietoturvastaan.

Oikeushallinnossa suuntaus on sama. Kaikkien tuomioistuinten verkkosivuilta löytyvät tietosuojaselosteet, joissa tietoturva on otettu huomioon niin lainkäyttöasioissa kuin henkilöstöön ja sivullisiin liittyvissä asioissa.

‒ Jokainen tuomioistuin on itsenäinen rekisterinpitäjä ja huolehtii siten myös tietoturvastaan. Oikeusministeriö ja Tuomioistuinvirasto ovat tukeneet tuomioistuimia tietosuojatyössä, kertoo tietosuojavastaava Raisa Leivonen Tuomioistuinvirastosta.

Yli sadassa virastossa kymmeniä tietojärjestelmiä

Oikeusrekisterikeskus huolehtii oikeusministeriön hallinnonalan tietojärjestelmien ylläpidosta ja kehittämisestä. Kokonaisuus yli sadassa virastossa käsittää useita kymmeniä tietojärjestelmiä. Suuri osa hallittavasta tiedosta on salassa pidettävää, joten toiminnassakin korostuvat tietoturvallisuuden tekniset vaatimukset.

Valtiolla on onneksi omat palveluntarjoajat, ettei tietoturva ole yksittäisen ihmisen tai organisaation vastuulla.

Valtion tieto- ja viestintätekniikkakeskus Valtori puolestaan tuottaa korkean varautumisen ja turvallisuuden vaatimukset täyttäviä tieto- ja viestintäteknisiä palveluja.

‒ Valtiolla on onneksi omat palveluntarjoajat, ettei tietoturva ole yksittäisen ihmisen tai organisaation vastuulla, Leivonen miettii.

Auditointivelvollisuus ja toimistotarkastuksia

Jakobssonin mukaan yli kymmenen työntekijän asianajotoimistoilla on auditointivelvollisuus. Ulkopuolisen it-asiantuntijan on tarkistettava toimiston tietoturva, vaikka toimistolla olisi omaa it-henkilökuntaa tai säännöllisesti käytettyjä it-palveluntarjoajia.

Yli kymmenen työntekijän asianajotoimistoilla on auditointivelvollisuus.

‒ Tarkoituksena on varmistaa, että tietoturva on korkeatasoista nimenomaan ulkopuolisen tahon tarkistamana. Se voidaan tehdä erillisenä it-asiantuntijapalveluna tai nimenomaisena auditointina jonkin it-sertifioinnin yhteydessä, kuten Vahti tai ISO.

Lisäksi liiton yhteydessä toimiva riippumaton valvontalautakunta valvoo sekä asianajajia että myös heitä velvoittavan tietoturvaohjeen toteutumista. Liiton hallituksen määräämänä asianajotoimistoihin tehdään toimistotarkastuksia.

Mikäli puutteita havaitaan, asia etenee valvonta-asiana valvontalautakuntaan.

Jakobssonin mukaan asia voi päätyä valvontalautakunnalle myös liiton hallituksen yleisvalvonnan kautta tai lautakunnalle tehtynä suorana kanteluna. Sitova tietoturvaohje velvoittaa asianajajia järjestämään toimintansa sen mukaisesti.

Toimiston koon kasvaessa osaaminen voi loppua, kun erilaisia järjestelmiä ja niiden välisiä integraatioita tarvitaan.

‒ Pienet yksiköt toimivat pilvimaailmassa, mutta toimiston koon kasvaessa osaaminen voi loppua, kun erilaisia järjestelmiä ja niiden välisiä integraatioita tarvitaan. Käyttäjämäärän kasvu lisää myös tietoturvariskiä. Avuksi voi aina hankkia it-tukea ja turvautua liiton tietoturvaohjeisiin, jotka ovat kaikille samat.

Uhat ovat todellisia

Leivosen mukaan tuomioistuimissa alkaisi heti tietosuojasäännösten edellyttämä henkilötietojen tietoturvaloukkausprosessi, jos Vastaamon kaltainen tietomurto tulisi ilmi. Menettelytavat ja toimintaohjeet on suunniteltu valmiiksi etukäteen.

‒ Jokaisella rekisterinpitäjällä tai tietosuojavastaavalla on valvontavelvollisuus. Jos henkilötietojen tietoturva vaarantuu, siitä on ilmoitettava valvontaviranomaiselle eli tietosuojavaltuutetun toimistoon 72 tunnin sisällä ilmitulosta.

Jos henkilötietojen tietoturva vaarantuu, siitä on ilmoitettava valvontaviranomaiselle 72 tunnin sisällä ilmitulosta.

Henkilölle, jonka tiedot ovat tietomurron kohteena, tulee asiasta ilmoittaa ilman aiheetonta viivästystä. Joskus ilmoittamista voi olla tarpeen viivyttää murrosta aiheutuvan vahingon rajoittamiseksi.

Leivonen toteaa, että valtiolla on kiinnitetty paljon huomiota tietoturvaan. Tiedossa ei ole, että tietomurtoja olisi tapahtunut.

Tietoturvan toteutuminen on jokaisesta yksilöstä kiinni.

‒ Välinpitämättömyys ja huolimattomuus saavat tuhoja aikaan. Tietoturvan toteutuminen on jokaisesta yksilöstä kiinni. Lisäksi toimintaympäristö on järjestettävä huolellisesti. Uhat ovat todellisia, korostaa Jakobsson.

Ajantasaista koulutusta tarjolla koko ajan

Asianajajaliitto on järjestänyt tietoturvakoulutusta eri paikkakunnilla kautta Suomen. Lisäksi Asianajaja-akatemian juuri lanseeratussa verkkokoulutusympäristössä on tarjolla maksuton tietoturvakoulutus. Se tarjoaa myös käytännön vinkkejä itsenäisille, pienille toimistoille.

‒ Verkossa on 14-kohtainen check-lista, josta voi tarkistaa, onko tietoturva kunnossa. Tarjolla on myös monikymmensivuinen käytännön tietoturvaopas. Olen osallistunut asianajajille ja asianajotoimistossa työskenteleville suunnatun verkkokoulutussisällön luomiseen, ja loppuvuodesta järjestämme vielä livekoulutuksia, kertoo Jakobsson.

Loppuvuodesta järjestämme vielä livekoulutuksia.

Myös oikeushallinnossa henkilöstöä on koulutettu ja perehdytetty. Tietosuojan ABC julkishallinnon henkilöstölle -koulutus on kaikille saatavilla.

‒ Useat tuomioistuimet ovat ottaneet sen osaksi perehdytysohjelmiaan ja vuosittaista henkilöstön kouluttamista, Leivonen lisää.

Lisäksi Tuomioistuinvirasto on järjestänyt tuomioistuinten henkilöstölle tänä vuonna yli 12 koulutus- ja verkostotilaisuutta, joissa tietosuojaan ja tiedonhallintaan liittyvät asiat ovat olleet esillä. Tapahtumissa on ollut parhaimmillaan yli sata osallistujaa.

Pyyntöjä koulutuksista tulee koko ajan. Tietosuoja ja tietoturva-asiat kiinnostavat.

‒ Pyyntöjä koulutuksista tulee koko ajan. Tietosuoja ja tietoturva-asiat kiinnostavat, ja henkilökunta on valveutunutta.

Luottamuksellisuus säilyy etätöissäkin

Kun pandemia ajoi ihmisiä keväällä etätöihin, sekä tuomioistuinten sisällä että oikeusministeriöstä täsmennettiin ohjeistusta ja etätöiden reunaehtoja.

‒ Asiakirjat on pidettävä suojatulla koneella eikä asiakkaiden henkilötietoja sisältäviä paperisia asiakirjoja saa viedä kotiin. Perheenjäsenetkin ovat sivullisia eivätkä saa päästä luottamuksellisiin tietoihin käsiksi.

‒ Turvattujen ja suojattujen yhteyksien käyttö tulee muistaa myös viestinnässä. Tietosuojaa on korostettu myös intrassa ja sähköpostimuistutuksin, Leivonen kertoo.

Perheenjäsenetkin ovat sivullisia eivätkä saa päästä luottamuksellisiin tietoihin käsiksi.

Jakobssonin mukaan asianajajat työskentelevät paljon asiakkaiden luona ja tuomioistuimissa, joten he ovat tottuneet siihen, ettei salattuja tietoja käsitellä avoimesti. Jos tulosteita tarvitaan tai niitä pitää tuhota, se hoidetaan toimistolla, ei kotikonttorissa. Boreniuksella on luovuttu jo 15 vuotta sitten henkilökohtaisista tulostimista.

Jos tulosteita tarvitaan tai niitä pitää tuhota, se hoidetaan toimistolla, ei kotikonttorissa.

‒ Asianajajille on asiakirjojen säilytystä varten oma ohjeensa: kaikki säilytetään digitaalisena. Tuomioistuimetkin ovat digitalisoitumassa, eikä jatkossa enää tarvita paperisia dokumentteja.

Työtapamuutokset tuovat haasteita

Leivosen mukaan keväällä henkilöstöltä tuli kysymyksiä muun muassa työkaluista, kuten Skypen tietoturvallisuudesta. Sen käyttöön annettiin ohjeistusta. Lisäksi asianajajien ohjeissa korostetaan, ettei omia mobiililaitteita lainata edes perheenjäsenille.

‒ Maailma muuttuu koko ajan ja kehitettävää löytyy, mutta pyrimme tukemaan tuomioistuimia kaikin tavoin tietosuojaan liittyvässä työssä, Leivonen sanoo.

Jakobsson toteaa, että työtapamuutokset tuovat aina haastetta. Maailman muuttuessa tarvitaan jatkuvaa seurantaa ja hereillä oloa.

Digitaalisuus on iso hyppy, mutta sitä voidaan tukea koulutuksin ja asiantuntijoiden avulla.

‒ On hyvä asia olla kiinnostunut ja huolissaan. Digitaalisuus on iso hyppy, mutta sitä voidaan tukea koulutuksin ja asiantuntijoiden avulla.

‒ Suomessa olemme olleet edistyksellisiä verrattuna isompiinkin maihin. Tietoturvaa on jumpattu jo kohta kymmenen vuotta, joten asianajotoimistoissa se on hyvällä tasolla, Jakobsson uskoo.