Asiakirjojen tietoturva: Uhkaavaa liiketoimintaa - kuinka asiakirjojen suojaaminen voi turvata yrityksen luottamuksellisia tietoja

Canon Euroopan dokumentinhallinnasta vastaava päällikkö Adam Gillbe tarkastelee eurooppalaisten yritysten tietoturvaa asiakirjojen suojauksen näkökulmasta. Se on aihe, joka jää usein liian vähälle huomiolle.  Artikkelissa viitataan ICM:n Canon Euroopalle tekemään tutkimukseen, jossa tutkitaan salassapitovelvollisuuden rikkomuksia eurooppalaisissa yrityksissä.

Kuinka hyvin eurooppalainen keskivertoyritys on suojattu?  Aloitetaan fyysisen omaisuuden suojaamisesta. Lähes kaikilla yrityksillä on hälytin tunkeutujien varalta, ovikoodit, palovaroitin ja vakuutus.  Tietopääoman turvaaminen on aivan yhtä tärkeää kuin fyysisen omaisuuden turvaaminen. Tietopääoma on usein asiakirjamuodossa, ja siihen kuuluvat esimerkiksi sopimukset, taloudelliset ennusteet, strategia-asiakirjat ja palkkatiedot. Jos tiedot joutuisivat vääriin käsiin, ne voisivat vahingoittaa yritystä monella tapaa ja johtaa lopulta rahallisiin tappioihin.

Arkaluontoista tietoa sisältävien asiakasasiakirjojen vuotaminen ulkopuolisten tietoon voi vahingoittaa yrityksen mainetta ja aiheuttaa menetyksiä yritykselle, jota epäillään tietojen vuotamisesta – puhumattakaan siitä, että asiakas voi ryhtyä oikeustoimiin yritystä vastaan. Tällaisissa tapauksissa ennaltaehkäisy on kaiken alku ja juuri. Kun työntekijät ovat lukeneet yrityksen luottamuksellista materiaalia, yritys ei voi kovinkaan helposti valvoa työntekijöitä tai estää heitä puhumasta aiheesta työpaikan ulkopuolella. Melkein puolet eurooppalaisista työntekijöistä myöntääkin puhuneensa työpaikan luottamuksellisista asioista työpaikan ulkopuolella.  Tässä artikkelissa tarkastellaan sitä, miten asiakirjojen tietoturva vaarantuu yrityksissä ja miten ongelma voitaisiin ratkaista.

Monet yritykset suojaavat luottamukselliset tietonsa suojaamalla IT-järjestelmänsä ulkoisilta uhilta kuten viruksilta, hakkereilta ja tietojenkalastelulta. Nämä toimenpiteet eivät kuitenkaan estä asiakirjoja joutumasta vääriin käsiin yrityksen sisällä.  Asiakirjojen tietoturvan vaarantuminen yrityksen sisällä alkaa siitä, kun johto ei ole tietoinen asiakirjojen tietoturvaa uhkaavista tekijöistä. Keskimäärin 18 % eurooppalaisista yrityksistä piti salassapitosopimuksen rikkomusta tai työntekijän tekemää petosta ongelmana.  28 % piti sitä vähäpätöisenä ongelmana. Kun kuitenkin tiedämme, että neljä työntekijää kymmenestä on nähnyt arkaluontoisia asiakirjoja ja että yli kolmannes näkee niitä päivittäin tai kuukausittain, ongelman pitäisi varmasti olla johdon käsittelemien asioiden tärkeysjärjestyksessä korkeammalla sijalla.  Kun tämä luku yhdistetään siihen tietoon, että 82 % eurooppalaisten yritysten johtajista uskoo, että luottamus työntekijöihin on paras keino ehkäistä luottamuksellisen tiedon väärinkäyttöä, on tilanne selvästikin huolestuttava. 

Asiakirjojen tietoturva ei voi perustua pelkkään luottamukseen, sillä luottamus ei anna työntekijöille selkeitä ohjeita siitä, mikä on salassapitovelvollisuuden rikkomista. Jos työntekijät eivät ymmärrä, mitä heiltä odotetaan, he voivat tahattomasti rikkoa salassapitovelvollisuuttaan. Salassapitovelvollisuutta rikotaan, olipa se sitten tahatonta tai tahallista. 38 % työntekijöistä myönsi itse nähneensä arkaluontoista tietoa tai tiesi työtoverin nähneen arkaluontoista tietoa. 

Salassapitosopimuksen sisällyttäminen työsopimuksiin (niin tekee 64 % eurooppalaisista yrityksistä) ei riitä estämään työntekijöitä keskustelemasta avoimesti luottamuksellisista asioista, sillä salassapitosopimuksen sisältöä ei useinkaan selitetä työntekijälle (eikä etenkään tilapäistyöntekijöille). Kukaan ei siis varmista, onko työntekijä ymmärtänyt sopimuksen sisällön. 

Tilapäistyöntekijät, joita on monien yritysten palkkalistoilla, tulisi myös ottaa huomioon, kun tarkastellaan yrityksen luottamuksellisten tietojen suojaamista. Alle neljäsosa eurooppalaisista yrityksistä ilmoittaa aina tarkistavansa tilapäistyöntekijöiden taustat.  Tilapäistyöntekijät tulevat yritykseen usein lyhyellä varoitusajalla tekemättä sopimusta ja/tai ilman perehdytystä.  Heillä saattaa olla pääsy arkaluontoisiin tiedostoihin yrityksen verkossa tai tulostimen kautta, tai he saattavat törmätä toimistossa lojuviin asiakirjoihin.  Sellaisen tilapäistyövoiman määrä, jolla on pääsy yrityksen tulostimelle, vaihtelee Ison-Britannian 46 prosentista Itävallan 20 prosenttiin. 

Ensimmäinen askel yrityksen tietopääoman turvaamiseksi on siis lain mukaisen salassapitosopimuksen laatiminen. Sopimus pannaan täytäntöön ja selitetään kaikille työntekijöille, jotta mahdollisuudet ja houkutukset rikkoa yrityksen salassapitosääntöjä vähenisivät nopeasti. 

Seuraava askel suojautumisessa asiakirjojen tietoturvan vaarantavia sisäisiä ja ulkoisia uhkia vastaan on IT- ja tulostintietoturvan tehokas käyttöönotto. Lähes kaikki yritykset käyttävät salasanoja työntekijöiden tietokoneiden ja yrityksen verkon suojaamiseen. Joissakin yrityksissä yhteiseen verkkoon, yksittäisille asemille, tiedostoihin ja asiakirjoihin on myös salasanat tai niiden käyttöoikeuksia on muuten rajoitettu.  Suojaaminen jää kuitenkin puolitiehen, jos ainoastaan yrityksen tietokoneet suojataan eikä tulostimiin kiinnitetä huomiota (kuten monissa yrityksissä tapahtuu). Tämä olennainen toimistotyökalu unohtuu usein asiakirjojen tietoturvaa pohdittaessa, vaikka sen pitäisi olla etusijalla tietoturvaa suunniteltaessa ja se tulisi suojata yhtä hyvin kuin tietokone.

Yli kolmannes työntekijöistä on nähnyt tulostimessa yrityksen luottamuksellisia tietoja. Nämä tiedot pitävät sisällään palkka- ja henkilöstötietoja, taloudellisia ja strategisia suunnitelmia sekä ennustesuunnitelmia, joita on nähnyt 88 % työntekijöistä.  Lisäksi 21 % työntekijöistä pitää hyväksyttävänä yhteiselle tulostimelle tai kopiokoneelle jääneiden tietojen lukemista ja 38 % työntekijöistä on nähnyt tulostimeen tai kopiokoneeseen jääneitä tietoja tai työskentelee jonkun sellaisen kanssa, joka on nähnyt tällaisia tietoja. 

On monia tapoja suojata yrityksen tulostin.  Salasanasuojaus tai työntekijöille annettavat tulostuskortit ovat kustannustehokkaita tapoja valvoa, kuka tulostaa mitä ja milloin. Lienee sanomattakin selvää, että yrityksen on varmistettava, että salasanat eivät ole näkyvillä.  Markkinoilla on myös biometristä tekniikkaa, jota yritykset alkavat pikkuhiljaa käyttää erityisesti rahoitusalalla, jossa asiakirjojen suojaus on ehdottoman tärkeää.  Biometriset toiminnot kuten sormenjälki- ja verkkokalvotunnistus ovat siis myös vaihtoehtoja, joilla voidaan suojata monitoimilaitteita. 

Salasanasuojauksen lisäksi tarjolla on myös ohjelmistoratkaisuja, jotka voivat suuresti helpottaa asiakirjojen tulostamisen hallintaa monitoimilaitteissa.  Ohjelmisto voidaan asentaa yrityksen palvelimelle, ja se antaa yritykselle mahdollisuuden tarkastella, milloin jotakin asiakirjaa toimistossa tai sen ulkopuolella on luettu, muokattu, siirretty tai jaettu – joko tulostettu, skannattu tai faksattu – ja kuka sen on tehnyt. Osa ratkaisuista tukee myös 3DES-salausta (Triple Data Encryption Standard), jonka avulla asiakirjojen luvaton käyttö voidaan estää sekä organisaation sisä- että ulkopuolella.  Ohjelmiston etuna on myös se, että asiakirjoihin johtavat kirjausketjut jäävät yrityksen verkkoon, sillä jokaiseen arkistoituun asiakirjaan jää digitaalinen allekirjoitus. 

Ohjelmistoratkaisut voivat myös auttaa yritystä luomaan käyttöoikeusjärjestelmän sähköisiä asiakirjoja varten, jotta luottamuksellisuus, tietoturva ja luotettavuus säilyisivät. Yrityksessä voidaan esimerkiksi käyttää erilaisia asiakirjojen käyttöoikeuksia ja salauksia, jotka antavat eri käyttäjille erilaiset oikeudet esimerkiksi PDF-tiedostojen käsittelyyn.  Asiakirjojen haltijat voivat hallita käyttöoikeuksia ja estää luvattoman asiakirjojen tarkastelun ja niihin kajoamisen rajoittamalla sitä, kuka saa avata, muokata, tulostaa ja kopioida yksittäisten asiakirjojen sisältöä. Käyttöoikeus monitoimilaitteella tulostamiseen voidaan antaa sen mukaan, minkä tasoisia tulostuspalveluja kukin tarvitsee. Esimerkiksi työntekijällä voi olla oikeus vain lukea tiettyä asiakirjaa, kun taas yrityksen toimitusjohtaja voi halutessaan tulostaa saman asiakirjan. 

Olipa arkaluontoisten asiakirjojen suojaamiseksi käyttöön otettu menetelmä mikä tahansa, on tärkeää käsitellä asiakirjoja vastuullisesti, jotta tulostuksen käyttöoikeusrajoitukset toimisivat käytännössä. Vaikka asianmukainen henkilö tulostaisi asiakirjan, se saattaa lojua tulostimessa jonkin aikaa, jolloin väärä henkilö saattaa saada asiakirjan käsiinsä. Työpaikalla voidaan ottaa käyttöön siistin työpöydän käytäntö, jolla varmistetaan, että kaikki yrityksen asiakirjat arkistoidaan pois näkyviltä, kunnes niitä tarvitaan. Käytäntö on erityisen tärkeä työpäivän päätteeksi.

Nämä yksinkertaiset menetelmät voivat olla erittäin tärkeitä yrityksesi tietopääoman suojaamisessa, vaikka ne eivät olekaan täysin idioottivarmoja. Ne ovat kuitenkin paljon tehokkaampia kuin asiakirjojen tietoturvan jättäminen luottamuksen varaan.  Selkeän ja yrityksessä käyttöön otetun salassapitosopimuksen avulla voidaan varmistaa, että hyväksyttävän toiminnan rajat ovat selvillä. Monitoimilaitteen käyttöoikeuksien rajoittaminen (samoin kuin yrityksen verkon käyttöoikeuksien rajoittaminen) voi estää sattumanvaraisen nuuskimisen. Monitoimilaitteen käyttöoikeuksien rajoittaminen ja asiakirjojen käsittelyn hallinta asennettujen ohjelmistoratkaisujen avulla voi estää arkaluontoisen yritykseen liittyvän tiedon eli yrityksen tietopääoman joutumisen vääriin käsiin.