Jokin aika sitten ajattelin päivittää koululaiseni puhelimen tietoturvan. Ryhdyin puuhaan eräänä iltana koululaisen mentyä jo nukkumaan, mutta en päässyt alkua pidemmälle; lapseni oli asettanut puhelimeen salasanan, jota en tiennyt. Tapahtuma sai minut pohtimaan, mitä tietoturva oikeastaan on, mikä merkitys salasanalla on, kuuluisiko minulla olla oikeus käyttää koululaiseni puhelinta?

Mitä tietoturva on?

Näin digitalisaation aikana ei voi välttyä uutisoinnilta tietoturvasta ja siihen liittyvistä tekijöistä, mutta harvemmin oman työn lomassa tulee pohdittua, mitä tietoturva oikeasti on. Valtion taholta kiinnitetään huomiota tietoturvallisuuteen ja kehitetään erilaisia strategioita ja ohjeistuksia, miten pystytään suojaamaan kallisarvoista tietoa. Valtiovarainministeriön Vahti-sivustolla tietoturvallisuuden määritellään olevan osa organisaation toiminnan laatua. Tietoturvan tarkoituksena on varmistaa aineiston, tietojärjestelmien ja palveluiden asianmukainen suojaus siten, että niiden luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvät riskit otetaan huomioon. Tavallinen kansalainen mieltänee tietoturvan konkreettisempina asioina, kuten käyttäjätunnuksina, salasanoina tai vaikkapa siten, että pankkiautomaatilla asioidessaan peittää näkymän tunnusluvun näppäilyn ajan.

Salasanat kuntoon

Tiedon ja käyttäjän suojaamiseksi järjestelmät ja laitteet vaativat yleensä tunnistautumista. Koululaiseni oli valinnut puhelimensa tietojen suojaksi tunnistautumisen salasanalla. Salasana olisi ollut ehkä minun arvattavissa, mutta muut eivät sitä helpolla keksisi. Käyttäjätunnusta ja salasanaa voisi verrata kotioven lukkoon ja avaimeen. Lukko estää pääsyn sisälle, mutta oikealla avaimella pääset sisälle. Avaimen haluat pitää mahdollisimman hyvin tallessa, sillä sen hävittäminen tietää mahdollisuutta siihen, että tunkeilija pääsee asuntoosi sisään. Jos avain kuitenkin häviää, tietää se avaimen vaihtoa tai lisäksi myös lukon vaihtoa.

Salasanan tulee olla tarpeeksi vahva ja vaikeasti arvattava, oli sitten kyseessä oman älylaitteen tai työhön käytettävän järjestelmän suojaaminen, koska se on lähtökohta omasta tietoturvasta huolehtimiselle. Salasanan tehtävänä on suojata käyttäjätunnusta, jotta sitä ei käytetä luvatta ja väärin.

Järjestelmien salasanoille on yleensä asetettu tiettyjä vaatimuksia järjestelmän toimittajan puolelta. TyövuoroVelhossa on annettu seuraavat vaatimukset hyvälle ja vaikeasti arvattavalle salasanalle:

  • Salasanan olisi hyvä sisältää ainakin yksi: iso kirjain, pieni kirjain, numero, erikoismerkki.
  • Salasanan ei tulisi olla selkokielinen sana tai yleisesti käytetty salasana kuten: salasana, taikasana tai 12345.
  • Salasanan ei tulisi sisältää omaa nimeä tai käyttäjätunnusta, eikä yleisesti käytettyä salasanaa.
  • Salasanan tulisi olla riittävän pitkä, vähintään 6 merkkiä.

Vaatimukset saattavat tuntua ohjelmiston käyttäjästä turhauttavilta, kun on useita salasanoja keksittävänä ja muistettavana. Vaatimuksien taustalla on, että käyttäjä loisi mahdollisimman hyvän ja vahvan salasanan, joka auttaisi suojaamaan käyttäjää ja ohjelmiston sisältämää tietoa, aivan kuten avain suojaa kotiasi.

Kenelle oikeudet kuuluvat?

Koululaiseni halusi estää salasanalla puhelimensa käytön ja sen sisältämien tietojen saatavuuden muilta henkilöiltä. Neuvottelimme puhelimen käyttöoikeuden kuitenkin myös vanhemmille mahdollisten käyttötarpeiden ja tietojen tarkastamista varten. Työyhteisössäkin joudutaan pohtimaan, kuka tarvitsee oikeudet järjestelmään ja millaiset oikeudet kenelläkin kuuluu olla. Esimerkiksi työntekijä ei välttämättä tarvitse yhtä laajoja oikeuksia järjestelmään kuin esimies vaan hänelle riittää oikeudet, joilla pystyy käyttämään järjestelmää omien työtehtäviensä suorittamiseen.

TyövuoroVelhossa on kolmet eritasoiset käyttäjätunnukset: pääkäyttäjätunnukset, työvuorosuunnittelijan tunnukset ja työntekijätunnukset. Pääkäyttäjän tunnuksilla on laajimmat mahdollisuudet järjestelmän käyttöön, sillä pääkäyttäjä pystyy antamaan muille käyttäjille tunnuksia ja oikeuksia sekä muuttamaan ohjelman asetuksia. Lisäksi tunnuksilla pystyy näkemään ja käsittelemään ohjelmaan vietyä tietoa.

Työvuorosuunnittelijan tunnuksilla taas on mahdollista suunnitella työvuoroja ja kirjata toteumia, mutta niillä ei pääse muuttamaan ohjelman asetuksia. Työntekijöille on myös mahdollista luoda omat henkilökohtaiset tunnukset, joilla työntekijä pääsee tarkastelemaan omia tietoja, mutta ei pysty vaikuttamaan muiden työntekijöiden tietoihin eikä ohjelman asetuksiin.

Aina on myös tilanteita, että kaikilla ei voi olla samanlaiset oikeudet, koska kaikilla ei ole oikeutta nähdä eikä käsitellä kaikkea järjestelmän sisältämää tietoa. TyövuoroVelhossa on tämä huomioitu siten, että tunnuksiin on mahdollista valita eri käyttöoikeustasoja ja tunnuksien oikeuksia on mahdollista rajata. Esimerkiksi työvuorosuunnittelijan oikeudet voidaan rajata siten, että hän pääsee käsittelemään vain oman työryhmänsä tietoja.

Tietoturvan määritelmä saattaa tuntua korkealentoiselta sanahelinältä ja tunnuksien ja käyttöoikeuksien hallinta tuntua työläältä, mutta arkipäiväisimmillään tietoturvasta voi kuitenkin huolehtia luomalla vahvoja salasanoja, pitämällä salasanat omassa tallessa ja antamalla oikeanlaiset oikeudet niitä tarvitseville.