Tietoturvassa ihmisellä on keskeinen rooli

Tietoturvan voidaan sanoa oleva tiedon sekä tiedon luojan ja käyttäjän oikeudenmukainen liitto. Monimutkaisesti sanottu. Taustalla on runsaasti lakeja, asetuksia, määräyksiä, suosituksia jne. Tietoturvan ympärille on syntynyt ammattilaisten kolonna. On ammattilaisia, jotka keskittyvät IT-teknisten ratkaisujen tietoturvaan. On ammattilaisia, jotka keskittyvät juridiselta kannalta tietoturvaan. Sitten on meitä virkamiehiä, joilla on jokin suhde tietoturvaan. Ja lopuksi ovat vielä me kansalaiset, asiakkaat, potilaat. Olemme kiinnostuneita omista tiedoistamme ja niiden turvallisesta käytöstä.

Ajauduin itse alustajaksi tapahtumaan, jossa aiheekseni annettiin "tietoturva sosiaalipalveluissa". Tapahtuma on 12.-13.2.2013 eli tätä kirjoittaessa tulossa. Vieressäni on alustukseni kalvot. Yllä on yksi kalvoista - virallista kuvaa tietoturvan perustasta, tiedosta. Alla on puolestaan toinen kalvo, jossa avaan tietoa osiin. En paneudu asiaan juristin tai tietoturva-IT-hemmon kannalta. Mielestäni asiassa on kaksi keskeistä tekijää: tieto ja sen tulkitsi/luoja/käyttäjä. Kyse on siis inhimillisestä prosessista riskeineen, mahdollisuuksineen ja uhkineen. Prosessissa on eri vaiheita: tiedon synnyttäminen, tiedon käyttäminen ja tiedon säilyttäminen. Tietoa kasvatetaan jatkuvasti, tiedon laatua parannetaan jatkuvasti ja tiedolle luodaan uusia käyttötarkoituksia. Tietoturvan asiantuntijat sanovat, että tiedot, tietojärjestelmät tulee olla asianmukaisesti suojattua niin, että niiden luottamuksellisuuteen (Confidentiality), eheyteen (Integrity), ja käytettävyyteen (Availability) liittyvät riskit ovat hallinnassa. Nämä kolme hienoa käsitettä ymmärrän itse seuraavasti. Luottamuksellisuudella ymmärrän sitä, että tieto on oikeissa käsissä. Eheydellä ymmärrän sitä, että tieto on oikeellista, ajantasaista. Käytettävyys ilmenee minulla ymmärrettävänä tietona, joka on helposti saatavilla.

Mielestäni tieto on kuitenkin monesti kuvattu arkikielellä yksiulotteisesti. Oheisessa kuvassa tieto on avattu neljällä eri käsitteellä: data, informaatio, tieto, viisaus. Tuo inhimillinen tekijä on juuri tietoa kasvattava tekijä. Tässä mallissa tulee esille myös tiedon tulkinnallisuus ja riippuvuus tiedon käsittelijästä (tausta). Tulkinnallisuutta halutaan usein avata sillä, että määritellään tiedolle metatieto-osio. Se tekee tiedon tulkinnan avoimemmaksi ja silloin on mahdollista, että kaksi eri henkilöä voivat tulkita samaan tapaan tietoa. Niin riskinä on siis, että olemassa oleva tieto tulkitaan eri tavoin. Tässä on myös se mielenkiintoinen asia, että kuka omistaa tiedon. Data on yksittäisiä havaintoja, joita voidaan luoda erilaisin mittauksin. Informaatiossa yhdistyy dataa suhteutettuna johonkin toiseen dataan. Tieto on jo sitten tämän informaation tulkintaa. Ja viisaus on sitä, että tietoa osataan käyttää oikeaan tarkoitukseen.

Lääkkeitä tietoturvariskien minimoimiseen on monenlaisia. Kansalaisen pitää suhtautua kaikkeen tietoon kriittisesti. Toisaalta kansalaisen pitää kyllä tarjota tietoansa käyttöön, jotta sosiaali- ja terveydenhuollossa voidaan tehdä oikeita päätelmiä kansalaisen parhaaksi. Organisaatioiden pitää kytkeä tietoturva osaksi omia toimintatapoja. Sitten tietysti organisaatioiden pitää osata luokitella ja suojata tiedot niin, että niitä käytetään organisaatiossa oikeisiin tarkoituksiin. Niin se oikeudenmukainen tiedon ja tiedon käyttäjän liitto on tietoturvan tae.

Päivitys 12.2.2013: Helsingin Sanomat uutisoi 10.2.2013: "Lääkkeitä väärällä nimellä - miehelle paljastui, että hänenä esiintyvä ihminen on hakenut lääkkeitä yksityisiltä lääkäriasemilta".  Tätä voidaan pitää tietoturvaongelman äärimuotona, identiteettivarkautena.