[Teema] Näin fysioterapeutti- ja LVI-yrittäjä hoitavat tietoturvan

Miten fysioterapeutti, lvi-yritys tai mikä tahansa Suomen lähes 300 000 pk-yrityksestä voi huolehtia siitä, että omat ja asiakkaiden tiedot pysyvät tallessa tai ettei firman verkko joudu verkkorikollisten haltuun? Vieläpä niin, ettei se vie liikaa aikaa laskutettavalta liiketoiminnalta ja niin, että homma ei maksa älyttömyyksiä.

Suomessa on noin 276 000 yritystä, joista reilut 250 000 työllistää alle kymmenen henkeä *). Luotettavat sähköiset palvelut pitävät yhä useamman yrityksen toimintaa yllä. Tämä pätee myös pk-yrityksiin.

Kirjanpidon tavoin myös tietoturvasta on tullut välttämättömyys, johon jokaisen yrittäjän ei kuitenkaan itse tarvitse perehtyä. Kirjanpitoa, tietoturvaa ja tietosuojaa myös säännellään. Niistä kaikista on syytä pitää hyvää huolta, sillä laiminlyönneistä koituu vaikeuksia.

Pienten yritysten tietoturvatarpeet, -haasteet ja -resurssit ovat erilaisia kuin suuryritysten. Jyväskylän ammattikorkeakoulussa onkin kehitetty erityisesti pienille ja keskisuurille yrityksille ja yhteisöille suunnattu FINCSC-kyberturvallisuussertifikaatti, joka on sertifiointijärjestelmä liiketoiminnan jatkuvuuden turvaamiseen.

Jotta kustannus loppuasiakkaalle pysyisi kohtuullisena ja investointikynnys olisi mahdollisimman matala, sertifiointi perustuu itsearviointiin. Järjestelmällä varmistutaan organisaatioiden kyvystä huolehtia tietoturvasta ja tietosuojasta sekä taata toimivat ja luotettavat palvelut kumppaneille ja asiakkaille. FINCSC-sertifioinnin hinta on 350 euroa (ALV 0 %).

Mika Karjalainen Jyväskylän ammattikorkeakoulun IT- instituutista kehottaa yrittäjiä miettimään, mikä kyberturvallisuuden merkitys on omalle liiketoiminnalle. "Ihan ensimmäisenä kannattaa miettiä, mihin yritys käyttää nettiä ja mitä tuotteita tai palveluita sillä on netissä. Seuraavaksi voi pohtia, mikä merkitys on sillä, jos nettiyhteys ei toimikaan tai tiedot ovat kadonneet", toteaa Karjalainen.

Pienimmissäkin yrityksissä yleensä on vähintään yksi tietokone ja tiedonsiirtoyhteys. Osa käyttää tietokonetta pääasiassa asiakashallintaan ja maksuliikenteen hoitoon. Yrityksillä useimmiten on ainakin verkkosivut ja yksi sähköpostiosoite.

Jokaisen tietokonetta käyttävän yrityksen tietoturvan kolme peruspilaria ovat:

1. Ohjelmistopäivitykset

2. Varmuuskopiointi

3. Salasanojen hallinta

Sähköinen maailma on osa yritysten arkea. Yritykset, joiden sähköisiin palveluihin asiakkaat luottavat, menestyvät. Jotta asiakas ei epäröi antaa tietojaan esimerkiksi verkkokaupan tai -pankin sivuille, palvelun on oltava varmaa ja turvallista. Tietosuoja-asetus velvoittaa yrityksiä suojaamaan niin asiakkaidensa kuin työntekijöidensä henkilötiedot. Samalla varmistetaan luottamus yrityksen toimintaan.

Kaksi FINCSC-sertifikaatin hankkinutta yrittäjää kertoo tietoturvan merkityksestä juuri heidän yrityksissään:

Case Fysio Center

Fysio Center on toiminut Jyväskylän Kortepohjassa vuodesta 1994 ja Petäjävedellä vuodesta 2004. Alkuvaiheessa yritys työllisti kaksi henkilöä, nyt se on kasvanut 20 fysioterapeutin, naprapaatin ja hierojan vahvuiseksi. Yritykselle digitaalisuus ja kyberturvallisuus ovat luonnollinen osa kokonaisuutta.

Yrityksen perustaja ja toimitusjohtaja Susanna Antikainen kertoo tietoturvan ja tietosuojan merkityksestä: "Henkilötietojen käsittelyssä on tietosuoja aina tärkeää ja erityisesti ihmisten terveystietojen käsittely on tarkasti laillakin säädelty."

Fysio Centerin Susanna Antikainen, kuva: Emmi Virtanen, Fysio-Center

Fysio Centerissä podetaan samoja haasteita kuin muissakin pienyrityksissä: "Pienyrittäjän pitäisi olla kaikkien alojen asiantuntija, ja vuorokaudessa on kuitenkin vain 24 tuntia", Antikainen tuskailee.

Fysio Center päätyi FINCSC-sertifiointiin ja myös hankkimaan tietoturvaa ulkoistettuina palveluina. Esimerkiksi palomuuri tulee palveluntarjoajalta. Yrittäjä kuitenkin vastaa tietoturvan toteutumisesta ja siitä, että hyvät tietoturvakäytännöt jalkautuvat yritykseen. "Ne koskevat jokaista työntekijää", Antikainen sanoo.

Asioihin paneutuminen vie jonkin verran aikaa ulkoistuksen jälkeenkin, mutta sen ansiosta yritys voi luottaa, että asiat ovat hoidossa. "Ulkoistamiseen vaikutti aikapulan lisäksi myös se, että laki potilastietojen sähköisestä käsittelystä on muutoksen alla. Totesimme, että haluamme varmistaa oman tietoturvamme ulkopuolisen tahon toimesta", Antikainen kertoo.

Case Pohjolan LVIturva Oy

Pohjolan LVIturva Oy on valtakunnallinen omakotitalojen putkiremontteja toteuttava yritys, joka työllistää noin 200 henkilöä. Yrityksen liiketoiminta pyörii nettipohjaisen toiminnanohjausjärjestelmän kautta. Järjestelmä sisältää kaikki liiketoimintaan tarvittavat tiedot asiakastiedosta aina palkanmaksuun. Henkilöstö käyttää järjestelmää kiinteillä ja kannettavilla tietokoneilla, tableteilla ja puhelimilla. "Toimintamme alkuvaiheessa emme olleet kiinnittäneet mitään huomiota laitteiden tietoturvaan. Pahimmassa tapauksessa joku olisi laitteen varastamalla voinut tunkeutua toiminnanohjausjärjestelmäämme ja laittaa sieltä koko firman kyykkyyn", toimitusjohtaja Juhana Kilpeläinen kertoo."

Kilpeläinen kertoo, että LVIturvalle on tärkeätä suojata etenkin asiakastiedot, tarjoukset, tilaukset ja työntekijöiden henkilötiedot. Suojattu on myös toimintaa koskevat immateriaalitiedot. Lisäksi yrityksen hallussa on ainutlaatuisia asennustekniikoita, joita se ei halua levittää kilpailijoiden käsiin.

Kuva: LVIturva

"Päädyimme ulkoistamaan koko operatiivisen IT-hallinnan ulkoiselle kumppanille. Lisäksi perustimme yrityksemme sisälle tiedonhallinnan ohjausryhmän, jonka tehtävänä on olla perillä kaikista tietoturvaan liittyvistä asioista, pitää hallitus ja johtoryhmä ajan tasalla sekä kehittää tiedonhallintaa yhdessä IT-kumppaneiden kanssa. Esimerkiksi tällä hetkellä tiedonhallinnan ohjausryhmä teettää selvitystä uudesta EU:n tietosuoja-asetuksesta, informoi siitä hallitusta ja johtoryhmää sekä huolehtii yhdessä IT-kumppaneidemme kanssa, että asetuksen vaatimukset täyttyvät", Kilpeläinen jatkaa.

Kilpeläinen on sitä mieltä, että tiedostettuna kyberturvallisuus ei vaadi suuria panostuksia, mutta tiedostamattomana se saattaa kaataa koko firman. IT-asioihin ja kyberturvaan havahtuminen on ollut hyödyllistä: "IT-palveluiden ulkoistamisen jälkeen liiketoimintamme on tehostunut. Lähes kaikki IT-ongelmat ovat poistuneet, työntekijöidemme arki on helpottunut ja olemme säästäneet rahaa aikaisempaan tilanteeseen verrattuna."

Lisätietoa

Tietoa FinCSC-sertifioinnista

Tietoa EU:n tietosuojauudistuksesta

*) Lähde: Tilastokeskuksen vuoden 2015 Rakenne- ja tilinpäätöstilasto yrityssektori, pois lukien alkutuotanto ja rahoitus

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Organisaatio , Tietosuoja , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248