Kulttuuridata ja digitaalisten palveluiden turvallisuus

Julkisen hallinnon digitaalista turvallisuutta käsiteltiin Valtiovarainministeriön julkaisussa keväällä 2020. Tarkastelun lähtökohtana oli kokonaisturvallisuuden viitekehys, ja tavoitteena suojata kansalaisia ja yhteiskuntaa digitaalisessa toimintaympäristössä. Raportti tukee 2019 kyberturvallisuusstrategiaa.

Digitaalinen turvallisuus on luonnollisesti huomioitava myös GLAM-sektorilla ja voittoatavoittelemattomassa järjestötoiminnassa. Hajautetun toimintamallin verkostoissa joissa kulttuuridataa muokkaa laaja joukko vapaaehtoisia, nousevat etenkin tietoturvakysymykset esiin. Käsiteltävät materiaalit voivat sisältää myös henkilötietoja ja niiden on siten noudatettava GDPR- ja muita yksilönsuojaa koskevia vaatimuksia. Yhtenä esimerkkinä laaja Finna-palvelu joka sisältää valtavan määrän museoiden, kirjastojen ja arkistojen materiaalia. Käyttäjät kirjautuvat Finnaan omilla henkilötiedoillaan jotta varausten tekeminen on mahdollista.

Tietokantoja on suojattava ulkopuolisilta hyökkäyksiltä. Vaikka tietojenkalastelu ja esimerkiksi ransomware-hyökkäykset kohdistuvat tyypillisemmin yrityksiin, ei niiden mahdollisuutta voida sulkea pois. Joskus motiivina voi olla yksinkertaisesti opportunismi. Järjestelmien haavoittuvuudesta toimii hyvänä esimerkkinä äskettäinen Twitter-hakkerointi jossa ilmeisesti pieni joukko nuoria tekijöitä sai käsiinsä järjestelmänvalvojan oikeudet ja ajoi yhden maailman suosituimmista digipalveluista kaaokseen.

Haavoittuvaisia ovat paitsi tietokannat, myös liitännäisjärjestelmät kuten esineiden internet (IoT) jota tulevaisuudessa pyritään yhä enemmän hyödyntämään myös kulttuurin parissa.

Open Knowledge verkostossa on mukana myös tietoturvallisuuden asiantuntijoita, perustuuhan toiminta vahvasti hakkerieetokseen. Suuren yleisön käyttöön tulevien palveluiden turvaamiseen ja varmentamiseen saattaa kuitenkin olla tarpeen hankkia ulkopuolista asiantuntemusta. Etenkin jos toimintaan liittyy myös maksuliikennettä.

Digitaalisen palvelun turvallisuus voidaan osoittaa käyttäjille myös kolmannen osapuolen sertifikaateilla kuten vaikkapa luotettavat pelisivustot toimivat hankkiessaan lisenssit viranomaisilta ja järjestelmien todennukset eCogran kaltaisilta toimijoilta.

Itsekehitetyissä palveluissa on toki etunsa muun muassa hinnan suhteen (=jopa ilmaista!), mutta ongelmaksi saattaa projektin elinkaaren aikana muodostua päivittäminen ja varmentaminen myös uusia riskejä kohtaan. Usein vapaaehtoistyöhön sitoudutaan vain lyhyeksi aikaa, vaikkapa hackathon-viikonlopuksi.

Projektien vetäjien tulisikin varmistaa että asiantuntemusta digiturvallisuudesta on käytettävissä myös jatkoa ajatellen. Lähtökohtana on mahdollisimman tarkka dokumentaatio jonka avulla myös projektiin uutena tuleva henkilö voi hoitaa jatkokehitystä.