Tietoturva on jokaisen asianajajan ja asianajotoimistossa työskentelevän vastuulla
Asianajajia velvoittavat tietoturvaohjeet ovat viime vuosina tehtyjen päivitysten myötä nostaneet asianajosalaisuuksien suojausvaatimuksia asianajotoiminnan digitalisoituminen huomioiden.
Tietoturvaa ei kuitenkaan hoideta vain velvoitteita antamalla tai laajentamalla, vaan korkean tietoturvan toteutuminen on meidän jokaisen asianajotoimistossa työskentelevän henkilön vastuulla. Asianajotoimistoissa tietoturvaa on ylläpidettävä ja kehitettävä jatkuvana prosessina, joka on vastuutettu ja jota seurataan myös toimiston johdossa ja osakaskunnassa. Myös asiakkaita on tarvittaessa neuvottava tietoturvan huomioimisessa luottamuksellisten materiaalien toimittamisessa ja niiden yhteiskäsittelyssä.
Korkean tietoturvan toteutumisen edellytyksenä on teknisesti rakennetun suojan lisäksi osaamisen ylläpitäminen. Jokaisen yksittäisen käyttäjän on paisi tunnettava perusasiat, mutta vielä tärkeämpää on, että yksittäiset asianajotoimistossa työskentelevät käyttäjät osaavat toimia oikein esimerkiksi kohdatessaan kalasteluviestin tai pohtiessaan, miten materiaalia siirretään asiakastoimeksiannoissa. Osaamista voi nostaa vain kouluttautumalla – ei pelkästään lukemalla velvoittavaa liiton tietoturvaohjetta ja -opasta, vaan järjestämällä tietoturvakoulutusta paitsi uuden työntekijän perehdytyksessä, mutta myös jatkuvana osana asianajajan kouluttautumisvelvollisuutta eli huolehtimalla myös senioriteettijuristien osaamisen ylläpitämisestä substanssin ohella asianajosalaisuuksia suojaavasta tietoturvasta.
Tähän tarpeeseen vastatakseen Asianajajaliitto on tarjonnut velvoittavan ohjeistuksen päivitysten yhteydessä koulutusta valtakunnallisesti ja koronatilanteen myötä livestreamina. Nyt liitto on julkaissut maksuttoman verkkokoulutuksen juuri lanseeratussa Asianajaja-akatemiassa (https://asianajaja-akatemia.fi) edellä mainittujen velvoittavien tietoturvaohjeiden jalkauttamiseksi. Koulutuksessa käydään konkreettisesti läpi velvoitteet ja annetaan ohjeita niiden noudattamiseksi – näkökulma on velvoitteiden ymmärtämisessä yksittäiselle asianajajalle tai asianajotoimistossa työskentelevälle, mutta myös toimiston järjestämisestä, tai tarkemmin tietoturvasta, vastaavalle. Lisäksi koulutuksesta voi kerryttää koulutustunteja, ja koulutuksen sisältöä kehitetään ja tietoturvakoulutusta laajennetaan osallistujien antaman palautteen perusteella.
Asianajotoimiston koon kasvaessa on ymmärrettävä käyttää ulkopuolista IT-osaamista, mutta myös ulkoista osaamista on arvioitava. Siksi yli 10 työntekijän asianajotoimistoilla on velvollisuus suorittaa ulkoinen IT-auditointi. Tässä yhteydessä auditointi tarkoittaa asianajotoimiston IT-ympäristön, -prosessien ja tietoturvan toteutumisen arvioimista vertaamalla näitä velvoittaviin tietoturvaohjeisiin. Auditointivelvollisuus ei ole kertaluonteinen vaan se on toteutettava säännöllisesti – tarvittaessa osa-auditointeina uusia järjestelmiä käyttöönotettaessa tai fyysisen tietoturvaympäristön muuttuessa esimerkiksi toimiston siirtyessä uuteen osoitteeseen. Tarvittaessa voi suorittaa kohdennettuja tietoturvatestejä. Tärkeä havainto tässä on kuitenkin se, että vastuu tietoturvasta ja sen järjestämisestä on kuitenkin toimistolla itsellään eikä tätä vastuuta (=liiton velvoittavan tietoturvaohjeen noudattamatta jättämistä) voi ulkoistaa.
Tietoturvan ylläpitäminen vaatii pitkäjänteistä työtä ja jatkuvaa huomiota – etenkin toimintaa järjestettäessä ja muutettaessa katseen ollessa nykyhetken sijaan jatkuvasti ainakin hieman tulevaisuudessa. Kun toimintaympäristö muuttuu, tietoturvaa on uudelleenarvioitava. Kun pitää huolen siitä, että hoitaa oman käyttäjäroolin, vastuuttaa tietoturvan asianajotoimiston sisällä, hoitaa auditointivelvollisuuden ja jakaa hyviä tietoturvakäytäntöjä, ollaan jo pitkällä.
Nyt olisi hyvä hetki pohtia tietoturva-asioita eri tasoilla: Henkilökohtaisesti esimerkiksi sitä, olethan osallistunut tarjottuun tietoturvakoulutukseen, huolehtinut salasanaturvallisuudesta, säilyttänyt asianajosalaisuuksia vain salatuilla laitteilla sekä käyttänyt saatavilla olevia lisävarmenteita (kaksi-/monivaiheinen tunnistaminen esim. tekstiviestillä tai varmennusapplikaatiolla) kirjautumisessa ja niin edelleen. Toimiston järjestämisen näkökulmasta esimerkiksi sitä, kuka toimistolla vastaa tietoturvasta, onhan tietoturva järjestetty velvoittavien ohjeiden mukaan ja toimiston koon edellytettäessä auditoitu, miten jokaisen osaamisesta on huolehdittu ja niin edelleen. Toimiston järjestämisessä on otettava myös jatkuvuus huomioon: jatkuvuus on dokumentoitava ja kriisistä palautumiseen on oltava oma prosessinsa.
Tietoturvan järjestämiseen ei ole yhtä ainoaa mallia, ja liiton tietoturvavelvoitteet skaalautuvat eri kokoisiin toimijoihin. Tärkeää on olla proaktiivinen ja pyrkiä parantamaan tietoturvaa paitsi jatkuvalla osaamisen kehittämisellä myös tietoturvaprosessien kehittämisellä ja vastuuttamisella. Siten, että työntekijöiden lisäksi asianajotoimiston jokainen johdon edustaja ja osakaskin tietää, miten tietoturva on järjestetty ja kuka siitä vastaa.
Maksuton tietoturvakoulutus asianajajille ja asianajotoimistoissa työskenteleville:
Ilmoittaudu Asianajaja-akatemian tietoturvakoulutukseen >>
Asianajajia velvoittavat ohjeet ja oppaat:
B 05.1 Tietoturvaohje (valt.kunta 16.1.2020, voimassa 1.2.2020 alkaen)
B 05.2 Tietoturvaopas (hallitus 23.11.2018, päiv. 24.9.2021)
B 10 Asiakirjojen säilyttämistä koskeva ohje (valt.kunta 24.1.2019, muut. 29.10.2021)
Kirjoittaja
Niko Jakobsson
Moi,
Kaksi jälkimmäistä linkkiä eivät toimi:
B 05.2 Tietoturvaopas (hallitus 12.12.2019)
B 10 Asiakirjojen säilyttämistä koskeva ohje (valtuuskunta 24.1.2019, voimaan 1.6.2019)
Yst. Terveisin
—
Eero Järvenpää