fbpx Tietoturvallisuus tapahtumien järjestäjälle – Opens

Tietoturvallisuus tapahtumien järjestäjälle

Digitaalisuus on tullut meille kaikille osaksi päivittäistä toimintaa töissä ja vapaa-ajalla. Covid19 on vauhdittanut digitaalisten alustojen käyttöönottoa ja viimeistään nyt Vastaamon tietovuoto on pakottanut jokaisen miettimään tietoturvaa omalta kohdalta. Pohditaanpa nyt hieman mitä on tietoturvallisuus tapahtuma-alan näkökulmasta.

Tietovuoto ennen digiaikaa

Oma urani tapahtumatuottajana ulottuu 90-luvun alkuun saakka. Silloin tapahtumien tuotanto oli melko erilaista, koska käytössä ei ollut vielä kännykkää, sähköpostia ja internettiä. Tietoturvariskejä syntyi kuitenkin myös silloin.

Muistan esimerkiksi, että minulla oli ison yleisötapahtuman aineistot paperilla mapissa ja tarvitsin mappia palaverissa. Mapissa oli mm. dokumentteja, jotka olivat ainoita kappaleita. Palaveri pidettiin eräässä kahvilassa. Unohdin mappini kahvilan pöytään, mutta onneksi en ehtinyt kovinkaan kauas, kun huomasin tapahtuneen. Palasin nopeasti hakemaan tiedot talteen ja ne onneksi löytyivätkin samasta paikasta. Lähellä oli kuitenkin tietovuoto, joka olisi näin tapahtunut kauan ennen digitaalisia työvälineitä. On myös mahdollista, että mappia on joku ehtinyt selaamaan ja siitä minulla ei ole mitään tietoa.

Inhimillinen virhe onkin yksi todennäköisimmistä syistä tietovuotoon, oli menetelmä mikä hyvänsä. Digitaalisissa alustoissa toimintojen vakioimisella ja automatisoinnilla pyritään pienentämään inhimillisen virheen mahdollisuutta. Tapahtuman tietoturvallisuus oli yksi syistä miksi Opens -ohjelmiston kehittäminen aloitettiin joitakin vuosia sitten.

Millaisia tietoturvallisuusriskejä tapahtumiin liittyy?

Tyypillisesti tapahtumissa salassa pidettävät tiedot liittyvät:

  1. Liikesalaisuuksiin
  2. Turvallisuusjärjestelyihin
  3. Henkilötietoihin

Itse olen tuottajana joutunut tekemään esimerkiksi pörssiin listautuvan yrityksen sisäpiirisopimuksen, kun olen tuottanut listautumiseen liittyvää juhlaa. Monessa tilaisuudessa on liikesalaisuuksien vuoksi ollut tarkka kulunvalvonta, valvontakamerat on peitetty ja vartija kulkee tuotantohenkilöstön mukana jopa WC-käyntien aikana. Useimmiten kuitenkin on riittänyt NDA -sopimuksen tekeminen. NDA = non-disclosure agreement. NDA:n myötä tuottajalla on konkreettinen vastuu tiedon salassapidosta myös tiiminsä osalta. On siis todella tärkeää, että tapahtuman tuottajalla on tiedon käsittelylle olemassa turvallinen menetelmä.

Myös tapahtuman budjetti ja hankintasopimusten tiedot on usein salaisia ja niiden vuotaminen on sopimusrikkomus, josta on määritelty sanktioita. Esimerkiksi kansainvälisten artistisopimusten osalta salassapitorikkomus voi aiheuttaa merkittäviä korvausvaatimuksia ja todella hankalia riitatilanteita, jossa rahallisen menetyksen lisäksi menetetään myös aikaa.

Turvallisuusjärjestelyjen osalta konkreettinen esimerkki salassapidettävästä tiedosta on henkilösuojaus. Henkilösuojausta tarvitaan esimerkiksi poliitikoille, arvovieraille, julkisuuden henkilöille jne. Tällöin esimerkiksi kuljetusreitit, aikataulut ja yhteyshenkilöt on pystyttävä pitämään oikeiden henkilöiden tiedossa. Paparazzi-kuvaajat, äärikeinoja käyttävät mielenosoittajat, terroristit tai vaikkapa yli-innokkaat fanit saattaisivat aiheuttaa turvallisuusriskejä tällaisten tietojen vuotaessa vääriin käsiin.

Tapahtumissa, kuten missä tahansa liiketoiminnassa, tarvitaan henkilötietoja esimerkiksi palkkojen maksamiseen. Tapahtumiin liittyy usein myös matkustamista, esimerkiksi esiintyjien tai osallistujien toimesta. Kun heidän puolestaan tehdään matkajärjestelyjä, tarvitaan usein henkilötunnus varauksia varten. Tällaisia voivat olla esimerkiksi hotellimajoitukset, laivamatkat tai lentoliput.

Kannattaakin harkita, onko toteutus mahdollista tehdä siten, että tapahtuman järjestäjän ei tarvitse käsitellä näitä varaustietoja ja siten ylläpitää arkaluontoisten tietojen rekisteriä niiden osalta.

Miten omia tietoja kannattaisi toimittaa?

Olen huomannut että ihmisillä on taipumus lähettää oma henkilötunnus em. varauksiin liittyvissä asioissa todella huolettomasti eri kanavien kautta, kuten Whatsappissa tai sähköpostissa. Erityisesti sähköposti on ongelmallinen, koska menetät mahdollisuutesi itse vaikuttaa tiedon käsittelyyn sillä hetkellä kun viesti on lähetetty. Viestintäalustat, kuten Whatsapp tai Slack. ovat siinä mielessä hyviä, että voit halutessasi poistaa lähettämäsi viestin viestiketjusta.

Ongelmana näissä kuitenkin se, että viestiketjut ovat kaikkien ketjuun liitettyjen henkilöiden luettavissa ja ryhmäkoot kasvavat erittäin helposti. Jos viestien määrä on suuri, niin viesti saattaa unohtua viestiketjuun uusien viestien kertyessä. Kannattaa myös kiinnittää huomiota miten alustan tietoturva on määritelty, kuka sen ylläpidosta vastaa ja minne tieto on tallennettu. Tässä lisätietoa henkilötietojen käsittelystä KLIKKAA.

Tietoturvallisuus alkaa tiimistä

Tapahtumien luonteeseen kuuluu, että 1) ne ovat tilapäisiä projekteja ja 2) toteutus on verkostomaisen organisaation toteuttama. Tapahtumissa on on siis paljon alihankkijoita toteuttamassa eri osa-alueita ja ne tehdään projekteina, jolloin tiimin jäsenet vaihtuvat usein.

Mahdollisuudet tietovuotoon moninkertaistuvat, kun tieto on tallennettu ihmisten omille koneille ja näiden käyttämiin omiin pilvikansioihin. Tällöin tapahtuman järjestäjän, eli sen joka on vastuussa tapahtuman tietoturvasta, ei ole mahdollisuutta puuttua tiedon käsittelyyn muuten kuin antamalla ohjeita.

Käytännössä tämä on hankalaa, koska se edellyttäisi jokaisen tiimin jäsenen toiminnan kontrolloimista ja valvomista henkilökohtaisesti. Järkevämpää onkin, että vastuussa oleva järjestäjä omistaa tietokannan ja määrittelee haluamilleen käyttäjille työskentelyoikeuksia. Monessa pilvikansiossa, kuten Google Drivessa tai Microsoftin Onedrivessa on mahdollisuus jakaa kansio muille käyttäjille. Näiden jakamisessa on riski on samankaltainen, kuin mainituissa viestiketjuissa: Saattaa unohtua kenelle on annettu kansion tietoihin käsittelyoikeus.

Tämän välttämiseksi on tärkeää, että tapahtumanjäjestäjällä on selkeä toimintatapa ja se on koko tiimillä käytössä. Mitä enemmän tietoa on hajautettu, sen vaikeampi sitä on hallinnoida.

Näin Opens on ratkaissut tietoturva-asiat

Opens -ohjelmisto on tehty tapahtuman käytännön toteutuksen suunnitteluun ja johtamiseen. Siinä on huomioitu tapahtumien edellyttämä tietoturvallisuus valmiiksi, joten käyttäjän ei tarvitse itse miettiä miten tietoturvallisuus ratkaistaan. Valmis ratkaisu tuo mielenrauhaa.

Opensissa on valmiiksi mietitty tuotantoprosessi, minkä avulla tietoturvallisuus paranee.

Tässä yhteenveto miten Opensissa on ratkaistu tapahtuman tietoturvallisuus:

Toiminnan tietoturvallisuus periaatteet

  1. Tapahtuman tietokanta on lisenssinomistajan hallussa ja tämä voi tarkkaan määritellä kenellä on oikeus käsitellä tietoa.
  2. Tiedon polut on vakioitu, vaikka jokaisen tapahtuman tietojen sisältö on erilainen. Tiedolla on näin valmis rakenne ja järjestäjän on helpompi määritellä kenen tarvitsee käsitellä mitäkin tietoa.
  3. Jokaisella käyttäjällä on oma profiili, jonka julkisuusasetukset tämä voi itse päättää. Jokainen käyttäjä näkee myös heti missä tapahtumissa oma profiili on mukana. Huom! joskus on tarve lisätä yhteystietoja tapahtumaan, jolle ei anneta oikeuksia työskennellä ja siten tämän käyttäjän ei ole tarpeellista myöskään rekisteröityä. Näistä käyttäjistä tapahtuman suunnittelija voi tallentaa nimen, sähköpostiosoitteen ja puhelinnumeron. Tallennettavana on siis vain tapahtuman kannalta oleellinen suppea tieto, koska näiden osalta tiedot ovat silloin järjestäjän rekisterissä tallennettuna tapahtumaan.
  4. Tapahtumat ovat omia tietokantoja tallennettuna lisenssille. Lisenssille nimetyt omistajakäyttäjät voivat avata uusia tapahtumia. Muut käyttäjät pääsevät yksittäisten tapahtumien tietokantoihin annettujen oikeuksien mukaisesti. Jokainen käyttäjä määrittelee itse oman henkilökohtaisen kirjautumistunnuksen profiiliinsa ja voi vaihtaa sen halutessaan.
  5. Käyttäjän oikeudet tapahtumaan voidaan rajata tarkasti. Katso lisää TÄSTÄ. Myös tulostusoikeus on rajattu: Jos käyttäjällä on tietoon katseluoikeus, niin se on tosiaan vain katseluoikeus ilman mahdollisuutta muokata tai ladata tietoja ulos Opensista. Tarvittaessa voit poistaa käyttäjältä oikeuksia, mikäli toiminta on arveluttavaa.
  6. Tietojen muokkaushistoria tallentuu, jolloin tiedetään kuka on tehnyt muutoksia. Muut tiimin jäsenet huomaavat nopeasti poikkeamat.
  7. Kun projekti asetetaan päättyneeksi, poistuu kaikilta tapahtumaan liitetyiltä henkilöiltä muokkaus- ja tulostusoikeus. Heille jää katseluoikeus.
  8. Jos tietokone unohtuu auki, Opens kirjaa käyttäjän ulos kun tietokanta on ollut määrätyn ajan käyttämättä.
  9. Periaate on, että Opensista ladataan PDF:ksi materiaalia, joka on tarkoitus julkaista ja jakaa.
  10. Sinulle itsellesi jää päätettäväksi seuraavat asiat: 1. Kenellä tiimisi jäsenellä on oikeus käsitellä tai katsella mitäkin tapahtuman osaa 2) Mitä materiaalia ladataan PDF:ksi, 3) Mitä tietoja ei tallenneta Opensiin. Huom! On kuitenkin tärkeää että oleellinen tapahtumatieto on saatavilla Opensissa, jotta periaate toimii.

Tekninen tietoturvallisuusratkaisu

  1. Varmuuskopioimme päivittäin.
  2. Päivitykset ja tietoturva ovat ajan tasalla.
  3. Palvelu toimii suuren kansainvälisen palveluntarjoajan palvelimilla, joissa tietoturvaratkaisut ovat laadukkaita.
  4. Ohjelmiston koodiin ja tietokantaan pääsy on rajattu tiukasti vain Opens-kehityksen avainhenkilöille.
  5. Tietoturvan hyvin tuntevat kehittäjämme tarkastavat toistensa koodia, jolloin tehdyt ratkaisut eivät ole yksittäisen kehittäjän vaan koko tiimin vastuulla.

Oman tapahtuman tietoturva kannattaa tarkistaa nyt. Tapahtuman menestyksen edellytys on onnistunut esituotanto, ennakointi ja hyvä suunnitelma. Mieti toimivatko tapahtumiesi tiimit yhteisellä tavalla ja onko sinulla kaikki tapahtuman tieto hallussasi. Opens on valmis ratkaisu tiimillesi. Ottamalla sen käyttöön saat tapahtumasi kerralla haltuun ja toteutettua tapahtumasuunnitelmat laadukkaasti.

Kokeile Opensin käyttöä 7 päivän ilmaisella demotapahtumalla. Demo aukeaa kun tilaat sen Opens.fi sivulta. (Katso ohje TÄSTÄ) Jos haluat että esittelemme Opensin verkkotapaamisessa niin ota yhteyttä sales@opens.fi niin sovitaan ajankohta esittelylle.

Vesa Walden

Osoite

Feelbeat Oy
2246246-8
Kauppakatu 39, Crazy Town
40100 Jyväskylä
FINLAND

Tehty Suomessa / Made in Finland
Luotettava kumppani
© 2020 Feelbeat Oy. Oikeudet muutoksiin pidätetään. All rights reserved. › Tietosuoja