Some seuraa kaikkialle – annatko sinä sille siihen avoimet ovet?

Useat suomalaisyritykset käyttävät Googlen ja Facebookin palveluja markkinointinsa kohdentamiseen ja luovuttavat samalla teknologiajäteille asiakastietojaan. Kuva: Juho Leskinen ja Jukka Pasonen

Suomalaiset yritykset antavat jatkuvasti asiakkaidensa tietoja teknologiajättien Googlen ja Facebookin käyttöön.

Tietoja Facebookille ovat jakaneet MT:n tekemän haun mukaan tämän uutisen tekoa edeltävän viikon aikana monet kotimaiset yritykset. Mukana on erityisesti osuuskauppojen ketjuja, suuria finanssitaloja sekä median ja viihteen palveluja (lista löytyy jutun lopusta).

Google ei näytä yhteistyöyritystensä listaa yhtä selkeästi kuin Facebook. Toisaalta se painottaa yksityistietojen puolella joka kohdassa, että se ei myy käyttäjätietoja eteenpäin.

Sosiaaliseen mediaan erikoistunut kouluttaja ja tietokirjailija Harto Pönkä Haukiputaalta epäilee, että Google kuitenkin vastaanottaa tietoja yrityksiltä siinä missä kilpailijansakin.

”Sen bisnes on, että datan avulla mainonta kohdennetaan tai sitten seurataan Google Analyticsin perusteella kävijöiden käytöstä.”

Käytännössä molemmat teknologiajätit ottavat siis rahaa siitä, että niiden palveluja käyttämällä muut yritykset voivat kohdentaa markkinointiaan jopa yksittäisen käyttäjän tasolle. Kaupan osana liikkuvat kuluttajien henkilötiedot.

Pöngän mielestä olisi syytä käydä yhteiskunnallista keskustelua siitä, miten ja mitä asiakastietoja yritykset voivat välittää eteenpäin. Tätä tulisi erityisesti pohtia, koska tiedot päätyvät monikansallisten jättiyritysten käyttöön. Sen jälkeen ne voivat olla EU:n tietosuojalainsäädännön GDPR:n ulottumattomissa.

”Ne yritykset, jotka ovat minun tietojani vieneet Facebookille ja Googlelle, eivät ole saaneet mielestäni erityisesti suostumusta siihen. Siihen, että eri palveluiden tietoja voidaan yhdistää, pitäisi aina olla käyttäjän itsensä suostumus”, hän katsoo.

Tietosuojaselosteet ovat pitkiä ja yksityiskohtaisia. Koska harva jaksaa lukea niitä, ne ohitetaan herkästi suoraan ”hyväksyn” -valinnalla.

”Säädökset kyllä vaativat, että selosteiden pitäisi olla hyvin ymmärrettäviä. Tätä on edellyttänyt muun muassa tietosuojavaltuutettu. Mutta ani harvoin ne sitä ovat”, sanoo Tietoturva-asiantuntija Perttu Halonen Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksesta.

Selosteet kannattaisi silti vähintään selata läpi. EU:n tietosuojalainsäädäntö GDPR edellyttää, että verkkopalvelun tuottajan pitää kuvata erityisesti tietohallinnan käytännöt, vastuuhenkilöt sekä esimerkiksi se, millaisin toimin henkilötiedot on suojattu.

”Vähätkään viitteet siitä, että asioita ei ole yhtään mietitty, pitäisi saada hälytyskellot soimaan.”

Toinen haara henkilötietojen käyttöä on se, mitä tietoja käyttäjä antaa itsestään vapaaehtoisesti.

Facebookista löytyy paljon testejä ja muita palveluita, joille käyttäjät luovuttavat käyttöehtojen mukaan myös oikeuden omien henkilötietojensa jakamiseen tai myyntiin eteenpäin.

On siis viisautta syöttää vain tiedot, jotka ovat todella välttämättömiä palvelun toimimisen kannalta.

Sosiaalisen median palveluja kannattaakin aina arvioida yleisemmin.

”Pystynkö katsomaan palvelusta myös jälkikäteen kaikki tiedot, mitä olen tallentanut ja voinko säädellä niiden käyttöä? Se on tärkeää. Ja näin suurimmat Facebook ja Google periaatteessa toimivatkin”, Pönkä sanoo.

On myös suuri joukko yrityksiä ja sovelluksia, jotka eivät näin toimi.

Pönkä nostaa esimerkin parin vuoden takaa. Venäläinen taksipalvelu Yango tuli myös Suomen markkinoille ja yritti kerätä asiakkaiden kännyköiltä lähes kaikki tiedot.

”Jos palvelu pyytää oikeuksia asioihin, joita se ei näytä tarvitsevan, ei pidä olla sinisilmäinen. Tähän kannattaa pysähtyä varsinkin, jos tiedot päätyvät kaiken lisäksi EU:n lainsäädännön ulottumattomiin.”

EU otti kaksi vuotta sitten käyttöön yleisen tietosuoja-asetuksen, GDPR:n, jonka tavoitteena on suojata henkilötietoja ja antaa kansalaisille mahdollisuus seurata ja hallita niiden käyttöä.

Nykyisin palvelut keräävät tietoja paikannuksen avulla. Moni käyttäjä kulkeekin puhelimensa paikannus jatkuvasti päällä.

Karttapalveluita käytettäessä se on toki välttämätöntä. Lisäksi paikannus ohjaa valitsemaan helposti palveluita ja se voi myös auttaa löytämään hukkuneen kännykän.

Perttu Halonen kertoo, että teknisen tietoturvan kannalta paikkatietojen jakamisessa on harvoin mitään riskiä. Sen sijaan ei kannata jakaa kuvaa, joka paljastaa samalla vaikkapa jonkin hotellin tai konferenssikeskuksen langattoman tietoverkon salasanan.

Sen, joka kuvaa paljon päivittäin, on helppo arkistoida ja ryhmitellä kuvia sijainnin ja päivämäärän mukaan. Samat tiedot kuitenkin kulkeutuvat niitä jaettaessa sosiaaliseen mediaan. ”Ne eivät näy välttämättä heti ulospäin. Mutta sille, joka ne osaa hakea, tiedot ovat avoimesti käytettävissä”, Halonen huomauttaa.

Tällä tavalla toimii esimerkiksi suosittu keskustelualusta Twitter. Jos puhelimessa on jatkuva paikannus päällä, viesteistä ja varsinkin kuvista löytyvät sijaintitiedot. Jos tietoja lataa palvelusta, normaalilla päättelytaidolla riittävästä määrästä paikkatietoja voi tunnistaa ahkerasti tviittaavan ihmisen työpaikan ja kodin.

Kyberturvallisuuskeskuksen asiantuntijoiden näkökulmasta yleisin tietoturvaongelma ovat edelleen erilaiset huijaukset, joihin lähdetään mukaan joko hyväntahtoisuutta tai esimerkiksi arjen kiireessä.

”Verkkorikolliset pyrkivät manipuloimaan ihmisiä, ja se on hyvin organisoitua toimintaa. Puuttuminen haittoihin on aina auttamattoman hidasta suhteessa siihen, miten nopeasti näitä automatisoituja huijauksia pystytään tekemään”, Halonen sanoo.

Yleisimmin sähköpostissa pyydetään klikkaamaan Microsoft Office -muotoista liitetiedostoa. Se lataa haittaohjelman, joka varastaa koneelta tai kännykästä tietoja. Tällainen huijaus voidaan myös pukea hupipalvelun muotoon. Oma lukunsa ovat oikeiden, tunnettujen yritysten tai viranomaisten näköissivustot. ”Uteliaisuus tappoi kissan”, ekspertti vertaa.

Lisäksi Halonen kannustaa jokaista huolehtimaan salasanakäytännöistään. Samaa salasanaa ei siis pidä antaa kahteen eri palveluun.

Monivaiheinen tunnistus kannattaa ottaa käyttöön siellä, missä se on mahdollista. Silloin uusi palveluun kirjautuminen pitää hyväksyä omasta kännykästä.

”Riittävän monimutkaisten salasanojen muistaminen on vaikeaa jokaiselle. Salasanojen hallintaohjelmat on kehitetty tätä varten, mutta ne eivät ole niin paljon käytössä kuin soisi.”

Erityisen tarkkana kannattaa olla Googlen ja Applen tunnusten kanssa. Niillä on nopea tehdä verkko-ostoksia käyttötileihin liitetyillä luottokorteilla.

Tällä hetkellä merkittävä konkreettinen ongelma niin yksityisille verkonkäyttäjille kuin yrityksille on Office365-järjestelmiin liittyvät huijaukset. Niihin liittyvästä tietojenkalastelusta tulee Kyberturvallisuuskeskukseen päivittäin toistakymmentä ilmoitusta, joista muutamissa tietomurto on onnistunut.

MT:tä julkaiseva Viestilehdet ei luovuta asiakkaidensa tietoja ulkomaisille digijäteille.

• Facebookille ovat tietoja luovuttaneet kotimaisista yrityksistä esimerkiksi:
• S-ryhmän useat eri ketjut ja alueosuuskaupat,
• Osuuspankit, LähiTapiola ja Pohjola, Oral,
• Telia Finland, Helsingin Sanomat, Ruutu.fi, Finnkino, Lippu.fi ja Veikkaus,
• Suomen Yrittäjät ja Plan International Suomi.
• Lisäksi esiin tulee useita erikoisalojen verkkokauppaa ja -markkinointia harjoittavia yrityksiä kuten Finlayson, Marimekko, Pentik ja Reima, Wolt ja Musti ja Mirri.
• Otanta perustuu MT:n toimittajien Facebook- profiileihin tammi-helmikuun vaihteen viikon aikana.