*Lyhenne GDPR tulee sanoista General Data Protection Regulation. Se tarkoittaa uutta EU:n laajuista tietosuoja-asetusta, jonka siirtymäaika päättyi 2018.
GDPR oli muutama vuosi sitten joka toisen blogin ja kurssin kuuma peruna. Jokainen pienyrittäjä ja bloggaaja joutuu nyt miettimään tietosuoja-asioita: miten henkilötietoja kerätään ja miten niitä säilytetään, ja miten tästä kerrotaan asiakkaille ja sivuilla kävijöille.
Intoa tiedon hankintaan ja soveltamiseen riittää, ja se on hyvä. Mutta jos perusta on mätä, tietosuojaa on turha korjata pakkelilla – se on ihan sama mitä siellä tietosuojalausekkeessa tai uutiskirjeen tilauslomakkeessa lukee, jos alkeellisimmastakaan tietoturvasta ei ole huolehdittu. Rekisteriselosteen tietosuojalauseke ei estä tietojen päätymistä vääriin käsiin!
Miksi pelkkä tietosuojalauseke ei riitä?
Sain erään verkkokaupan päivitettäväkseni. Piti vain säätää ulkoasua, sillä verkkokaupan asentajan taidot eivät olleet siihen riittäneet.
Selailin siinä sitten verkkokauppaa, ja kappas. Päädyin selaimellani kansioon, jossa oli koko verkkokaupan varmuuskopiotiedostoja. Ja siellä oli ihan kaikki: mitä kaupasta oli tilattu, mitä se oli maksanut, tilaajan henkilötiedot osoitteineen… siis ihan kaikki. Siellä vaan verkkokaupan julkisessa kansiossa, jonka nimikin oli osuvasti “Varmuuskopiot”. Eikä todellakaan tarvinnut hakkeroitua – riitti kun klikkasi tiedostoa, niin se latautui omalle koneelle. Sitten vaan paketti purkuun ja tuhansien, tuhansien ihmisten tiedot lävähtivät näytölleni.
Sivuilla oli kyllä asianmukainen rekisteriseloste, jossa mm. maininta “Tietoja ei luovuteta ulkopuolisille.” Vaikka luovutettiin, ihan noin vain tarjottimella – ei tarvinnut edes vaivata verkkokauppiasta kysymällä, että saisinko kaikkien asiakkaidenne henkilötiedot omaan käyttööni. Onneksi minulla ei ollut käyttöä näille tiedoille.
Sitä en osaa kuitenkaan sanoa, että kummasta tulee kauppiaalle ikävämmät seuraukset: siitä, että uutiskirjeen tilauslomakkeesta puuttuu ruutu “Hyväksyn sen, että minulle lähetetään markkinointiviestejä”, vaiko siitä, että kaikkien asiakkaiden henkilötiedot ja tilaushistoriat ovat netissä kaikkien maailman ihmisten pällisteltävänä.
Avointen ovien päivä
Tietoturva-asioiden täydellinen laiminlyönti on yleistä. Pelkästään tänä vuonna olen tehnyt uusiksi nettisivuja, joiden aiempi versio oli poistettu netistä hakkeroinnin vuoksi. Eräässä tapauksessa yrittäjä itse ei edes tiennyt, että sivut oli hakkeroitu, sillä päällisin puolin ne toimivat.
Yhteistä näille hakkeroiduille sivustoille oli se, että sivut oli tehty joko itse tai teetetty todella edullisesti, ja ne oli asennettu halvimpaan mahdolliseen webhotelliin.
Usein sivuilla oleva WordPress lisäosineen on jätetty päivittämättä, mikä mahdollistaa ulkopuolisten pääsyn, kun tietoturva-aukkoja ei ole päivitysten myötä tukittu. Mitäpä niitä sivuja päivittämään kun ne on kerran tehty ja maksettu.
Hämmästyttävän yleinen virhe on myös se, että sivujen pääkäyttäjätunnus on nimeltään admin. Tämä on ihan TAJUTTOMAN yleistä. Monellako salasana on sitten password123 tai salasana123? Tai vaikkapa miia76? Ei muuta kuin testaamaan.
Miksi sivuille hakkeroidutaan?
On helppo käsittää, että sivustolle murtaudutaan, jos siellä uskotaan olevan jotain todella tärkeää, rahanarvoista tietoa, kuten esimerkiksi luottokorttien numeroita.
Mutta miksi joku hakkeroituisi tavallisen suomalaisen pienyrityksen nettisivuille, jossa ei ole muuta kuin viisi välilehteä ja yhteydenottolomake? Sivuille, joiden kautta ei kerätä eikä niissä säilytetä minkäänlaista arkaluontoista tietoa?
Sivuille saatetaan hakkeroitua ihan vain kokeilumielellä. Se voi olla helppoa ja hauskaa ajanvietettä. Usein sivuille laitetaan haittaohjelmia, kuten kiristysohjelmia ja hyökkäysohjelmia, jotka sitten leviävät kävijöiden mukana huomaamatta.
Helpoimmalla pääset, kun huolehdit tietoturvasta jo etukäteen
Hakkeroitujen sivujen korjaaminen on huomattavasti suurempi työ kuin tietoturvasta huolehtiminen alusta alkaen.
- Jälkien korjaamiseen menee paljon enemmän aikaa kuin siihen, että opettelet itse huolehtimaan tietoturvasta.
- Jälkien korjaaminen maksaa paljon enemmän kuin se, että ulkoistat tietoturvasta huolehtimisen!
Tarinan opetus
Kun teetät sivut siellä mistä ne halvimmalla saa – plus käytät tietysti halvinta mahdollista webhotellipalvelua – se on ihan sama, kuinka monta GDPR-koulutusta olet istunut ja kuinka huolella rekisteriselosteet on laadittu.
Lue lisää aiheesta: Mitä webhotellipalveluntarjoajan valinnassa kannattaa ottaa huomioon?
Lue lisää tietoturvasta: WordPress ja tietoturva
Lue lisää GDPR:stä:
Top 10 postausta GDPR-tietosuoja-asetuksesta (Tiia Konttisen blogissa)