Ads 468x60px

torstai 21. helmikuuta 2013

Huono tietoturvallisuuden hallinta johti konkurssiin



Lukuisia kertoja olen kuullut kysymyksiä siitä, että voiko huonolla tietoturvallisuuden hoidolla oikeasti olla merkittäviä vaikutuksia yrityksen toimintaedellytyksiin ja onko esittää mitään konkreettisia esimerkkejä asiasta. Jos kysyjälle on esittänyt vastauksena esimerkin ulkomailta, niin vastaus on yleensä ollut: ”Niin, mutta entäs Suomessa?”

Nyt näyttäisi olevan esittää ainakin yksi konkreettinen esimerkki myös Suomesta. Kolmen sähköyhtiön omistuksessa oleva it-palveluyritys Enerit on hakeutunut konkurssiin Vaasan hovioikeuden määrättyä yhtiön maksamaan yli 100 000 euron korvaukset tietoturva-asioiden huonon hoidon johdosta.

Eneritin palveluksessa olleen työntekijän todettiin laiminlyöneen tietoturva-asioiden hoitamisen. Vuoden 2008 lopulla alkaneen riidan taustalla näyttävät olleen näkemyserot siitä, mitä yhtiöiden väliset palvelusopimukset tarkoittivat ja kenen vastuulla kyseinen työntekijä oli. Oikeuden mukaan sopimuksen perusteella kyse oli tietotekniikkapalvelujen ulkoistuksesta, josta vastuu oli Eneritillä. Tapaus aiheutti uhkaa muun muassa asiakastiedoille ja sähkön jakelulle.


Tapauksesta pitää oppia ainakin seuraavat asiat:

  1. Tietoturvallisuuteen liittyvät roolit ja vastuut tulee selvästi määritellä yrityksen sisällä ja yritysten välillä
  2. Tietoturvallisuuteen liittyvien vaatimusten toteutuminen käytännössä tulee varmistaa – ei riitä, että ne on paperilla
  3. Työnantajalla on valvontavastuu siitä, että tietoturvamääräyksiä noudatetaan. Valvontavastuun laiminlyönnillä voi olla merkittävät seuraukset
  4. Tietoturvallisuuden laiminlyönnillä voi olla merkittävät seuraukset ja jatkossa laiminlyönneistä voi saada entistä helpommin merkittäviä sanktioita, kun EU-tietosuoja-asetus tulee voimaan

Ei kommentteja:

Lähetä kommentti