Wikileaks-sivusto teki 28. marraskuuta historiansa suurimman julkistuksen tuomalla julkisuuteen Yhdysvaltain keskushallinnon ja suurlähetystöjensä välistä pitkänajan viestinvaihtoa. Tämä Cable Gateksi nimetty paljastus vakiinnutti Wikileaksin asemaa mediataivaan uutena ja vaikutusvaltaisena tähtenä. Onko kyseessä pyrstötähti joka syttyi ja kohta sammuu; en aivan näin usko. Uskon, että ilmiö tulee vahvistumaan ja monien organisaatioiden on syytä miettiä ilmiön vaikutuksia.

Wikileaks on sanonut tekevänsä seuraavat paljastuksensa Yhdysvaltain pankkimaailmasta. Näin sen toiminta työntyy suoraan yritysmaailmaan ja siksi monet yritysten riskienhallinnasta vastaavat joutuvat tekemisiin uuden konkreettisen riskiprofiilin kanssa. Mitä tehdä, miten varautua? Siinäpä kysymyksiä.

Tulivatko wikileaksit jäädäkseen?

Onko kyseessä asia joka tulee ottaa huomioon, vai sammuuko tämä tähti? En usko sen sammuvan, vaan päinvastoin. On mitä ilmeisintä, että Wikileaksin toiminta tulee voimistumaan ja se saa “copy catteja” seurakseen. Wikileaks perustuu voimakkaaseen aatteellisuuteen läpinäkyvyyden positiivisista vaikutuksista korruption ja väärinkäytösten vastaisessa taistelussa. Mutta senkin toiminta saattaa toiminnan laajetessa arkipäiväistyä ja aatteellisuus työntyä sivummalle. Wikileaksin vanavedessä tullee kaupallisilla motiiveilla toimivia paljastajia, joita ei ohjaa sama aatteellinen puhtaus. Eli ilmiö tulee voimistumaan ja se pitää ottaa huomioon.

Paljastukset voivat olla laajoja kuten Cable Gate, jolloin moni muukin kuin varsinaisessa paljastuksen ytimessä oleva organisaatio tulee vedetyksi mukaan ja maineriski realisoituu. Maailman toiminnan verkostoituessa riski siihen, että tulee vedetyksi mukaan kasvaa. Riskiä kasvattaa myös se, että reaalimaailman digitaalinen ilmentymä kasvaa koko ajan. Se mitä tapahtuu reaalimaailmassa jättää yhä suuremman digitaalisen jalanjäljen.

Tätä digitaalista jalanjälkeä on merkittävästi helpompi käyttää hyvässä ja pahassa kuin muuta todistusta kyseisestä reaalimaailman tapahtumasta.

Paikan päälle meneminen ja dokumenttielokuvan tekeminen on paljon vaikeampaa ja kalliimpaa kuin samasta asiasta kertovien digitaalisten todisteiden haltuun saaminen. Toisenlainen on myös todistusvoima. Eli olemme tekemisissä pysyvän ja voimistuvan trendin kanssa.

Entä jos maineen tahraakin kumppani?

Maailman talouden verkostoitumisen kautta ei enää auta, että oma pesä pystytään pitämään puhtaana. On myös oltava varmuus siitä, että verkostokumppanit, alihankkijat, tavarantoimittajat, jakelijat, tuotekehityskumppanit jne. toimivat niin, ettei niiden kautta aiheudu kohtuutonta maineriskiä. Tämä on monesti erittäin vaikeaa. Monella alalla on raaka-aineiden ja komponenttien tuottajia hyvin vähän, niiden kanssa on toimittava tai olet ulkona bisneksestä. Ilman Kiinassa tapahtuvaa energiansäästölamppujen valmistusta eivät valot lännessä pala.

Miten sitten toimia muuttuneen riskiprofiilin kanssa? Muutama näkemys tästä:

Olisi määriteltävä mikä on salaista ja pidettävä se sellaisena. Ja loppu täytyy pitää sellaisessa kuosissa, että sillä ei mainettaan menetä. Tiedon luokittelun ja luokittelun mukaisen prosessoinnin on pääsääntöisesti nähty olevan retuperällä. Tämä ei tyypillisesti vaadi mitään järeitä investointeja, vaan prosessien viilaamista, voimaansaattamista ja laadukasta toimintaa. Toki tätä toimintaa voidaan auttaa ja parantaa esim. Data Loss Prevention -järjestelmillä (DLP). Ja se mikä ei ole salaista, se pitäisi saada oikeaan muotoon ja mieltää jo menetetyksi. Tässä sosiaalinen media toimii hyvänä opastajana. Sallimalla ja antamalla ohjeita sosiaalisen median käytöstä, organisaatio samalla opettaa itseään toimimaan puolijulkisesti ja ”vuotavan kanavan” kanssa. Uskon tämän muuttavan käyttäytymistä myös näennäisesti turvallisten viestivälineiden, kuten sähköpostiviestien suhteen.

Näemme vielä tulevaisuudessa toimijoita, jotka korvaavat sisäisen ja suljetun sähköpostin täysin julkisella viestivälineellä, jolloin kaikki on jo julkista ja mitään tietovuodon mahdollisuutta ei siltä osin enää ole.

On luonnollisesti monia tietoja, joita organisaatiot eivät voi julkistaa, koska tätä säädellään laeilla ja määräyksillä. Julkaisemattomuuteen voi olla syynä toki myös se, ettei organisaatio itse omista kyseistä tietoa. Esimerkiksi ihmisiin liittyvä ja yksityisyyden suojan alainen tieto on tällaista. En usko Wikileaksin tai sen kopioijien olevan tällaisen tiedon perässä, koska se ei palvele heidän tarkoitusperiään. Mutta organisaatiotkin koostuvat ihmisistä ja monen yksityisyyden suoja tulee noissa paljastuksissa rikottua. Tämä sinällään on väärin ja ehdottomasti tuomittavaa.

Kirjoittaja on Nixun toimitusjohtaja.

Luottokorttiyhtiöiden laatima tietoturvastandardi PCI DSS koskee kaikkia korttimaksuja vastaanottavia yrityksiä. Yritykset tulevat standardin piiriin sopimustensa kautta. Tyypillisesti kauppias tekee sopimuksen maksun vastaanottajan (acquirer) kanssa ja sitoutuu tässä sopimuksessa sekä noudattamaan kyseistä standardia että korvaamaan vahingot, mikäli kauppiaan järjestelmistä anastetaan maksukorttinumeroita.

PCI DSS -standardin vaatimukset koskevat kaikkia järjestelmiä, jotka on kytketty samaan lähiverkkoon kuin laite, joka käsittelee varsinaiset maksukorttitapahtumat.

Hyvin usein näihin kuuluvat myymälän vaa’at, turvakamerat ja pullonpalautuslaitteet.

PCI DSS -standardin vaatimusten toteuttamisen kustannukset pienessäkin vähittäiskaupassa saattavat nousta kymmeniin tuhansiin euroihin.

Standardin vaatimusten täyttämisestä syntyviä kustannuksia voi vähentää merkittävästi ottamalla käyttöön maksupääte, joka salaa maksukorttiliikenteen päästä päähän. Tällaisen maksupäätteen käyttöönotto siirtää sopimusteitse suuren osan PCI DSS -vaatimuksista maksupäätetoimittajan vastuulle ja tietyin edellytyksin poistaa kassan ja kassalähiverkon standardin vaikutusalueen ulkopuolelle.

Nixun uusi julkaisu Maksupäätteet ja PCI DSS käsittelee asioita joita maksupäätteeltä ja palveluntarjoajalta edellytetään, jotta kauppiaan PCI DSS -vastuut voidaan siirtää suurelta osin maksupäätetoimittajalle.

Muita PCI-stardardin aihepiiriin kuuluvia blogikirjoituksiamme voit lukea tästä.