Tietoturva ja -suoja

Tietoturva ja -suoja on jokaisen servicalaisen asia

Tietoturvan ja tietosuojan avulla varmistamme tietojen turvallisen käsittelyn sekä yksityisyyden suojan toteutumisen. Periaatteet on kuvattu tietoturva- ja tietosuojapolitiikassa. Pyrimme varmistamaan tietoturvaan ja tietosuojaan liittyvää osaamista yhtenäisellä perehdytyksellä, ohjeistuksella ja verkkokoulutuksella.

Julkaisimme perehdytysaineiston uusille työntekijöille yhteiselle koulutusalustalle Akatemiaan. Navisec-koulutuksen on suorittanut noin 70 prosenttia henkilöstöstä. Vuosittain päivittyvä verkkokoulutus takaa koulutuksen laadun ja ajantasaisuuden. Huolehdimme perehdytysaineistolla henkilöstön perusosaamisesta sekä Servican käytäntöjen jalkauttamisesta.

Tietoturva- ja tietosuojatyöryhmä kokoontui kolme kertaa vuoden aikana. Työryhmään kuuluu tietosuojavastaavan ja tietoturvavastaavan lisäksi sisäisten palvelujen johtaja, ICT-päällikkö, turvallisuuspäällikkö, HR-tiimin edustaja sekä edustajat eri toiminnoista. Ryhmä linjaa ja ohjeistaa tietoturvaan ja -suojaan liittyviä asioita päätöksenteon tueksi ja käsittelee poikkeamat. 

GDPR:n mukaisia tietopyyntöjä ei tehty vuonna 2025. Tietosuojavaltuutetulle tehtiin kaksi ilmoitusta, joissa tietoturvaloukkaus havaittiin organisaation ulkopuolelta. Tapahtumat eivät vaarantaneet merkittävää määrää organisaation tietoja.

Harjoittelemme tietojenkalastelun torjuntaa aktiivisesti

Tietojenkalastelua tuli etenkin sähköpostilla, mutta vakavilta tietoturvaloukkauksilta vältyimme. Toteutimme vuoden aikana kahdeksan simulaatiota tietojenkalastelusta. Simulaatioiden tarkoituksena on lisätä tietoturvatietoisuutta ja auttaa henkilöstöä tunnistamaan aidot uhkatilanteet.

Yli 90 prosenttia tietomurroista yrityksiin alkaa tietojenkalasteluviesteillä. Sen vuoksi on äärimmäisen tärkeää, että opimme tunnistamaan tällaiset viestit ja raportoimaan niistä eteenpäin. Pelkästään teknisillä suojauksilla emme voi torjua nykyajan uhkia, vaan jokaisen servicalaisen on oltava valppaana sekä osallistuttava tieto- ja kyberturvan ylläpitämiseen. Vuonna 2025 toteutimme kahdeksan erityyppistä tietojenkalastelusimulaatiota. Servicalla jatketaan säännöllisiä tietojenkalastelusimulaatioita myös vuonna 2026.

Päivitimme tietoturvakäytäntöjä 

Julkaisimme kyberturvallisuuden parantamiseksi ja inhimillisten virheiden estämiseksi varoituksia ja toimintaohjeita useasti vuoden aikana. Tietoturvan parantamiseksi otimme sähköpostissa käyttöön painikkeen, jolla käyttäjä voi ilmoittaa tietojenkalastelusta. Lisäksi Servican salasana- ja pin-koodikäytäntöjä muutettiin vastaamaan tämänhetkisiä vaatimuksia. Vuoden 2025 aikana jatkoimme myös kyberturvallisuusdirektiivin NIS2:n vaatimustenmukaisuuteen tähtäävää työtä.

Servica mukana Taistossa

Servica osallistui Suomen suurimpaan kyber- ja digitaalisen turvallisuuden harjoitukseen Taistoon. Kyseessä on valtakunnallinen harjoitus, joka tarjoaa tilaisuuden harjoitella, testata ja kehittää digitaalista turvallisuutta sekä kerryttää osaamista ja varmuutta, joihin tukeutua mahdollisen tosipaikan tullen.

Taisto tarjosi monipuolisia kuvitteellisia skenaarioita muun muassa tietojenkalasteluviesteihin, tietovuototilainteisiin sekä kriittisiin haavoittuvuuksiin, joihin harjoitustiimillämme etsimme ratkaisuja ja hyödynsimme olemassa olevia toimintamalleja. Servicalta harjoitukseen osallistuivat ICT-tiimi, tietosuojavastaava, turvallisuuspäällikkö, viestintä sekä tuotannonohjausjärjestelmä Aromin käyttäjiä. Servica on osallistunut Taisto-harjoitukseen kerran aiemmin, vuonna 2022. Tarkoitus olisi, että jatkossa Taistosta tulisi myös meillä jokavuotinen perinne ja voisimme ottaa mukaan henkilöitä eri liiketoiminnan alueilta.