Informationssäkerhet och sociala medier

Transkript

1 Informationssäkerhet och sociala medier I samarbete med datacentralen och kommunikations enheten 2012 Informationssäkerhetschef Jan Wennström

2 Version: 1.0.0, Versionsnumreringen: Version betecknas enligt: v.xx.yy, dd.mm.åååå v betecknar huvudversionen. Uppdateras endast ifall stora förändringar görs. xx betecknar förändringar av innehållet/stoffet. Uppdateras exempelvis vid insättning av nya kapitel, stycken och större omskrivningar. yy betecknar korrigeringar av skrivfel och dito. Uppdateras i samband med förändringar som inte har att göra med stoffet i sig. Datum markerat med två siffror för dag och månad samt fyra för år anger datumet då dokumentet är sparat. Källor: Sosiaalisen median mahdollisuudet hallinnolle, toim. Tuija Aalto, Oikeusministeriö, Demokratia- ja kieliasioiden yksikkö, Sosiaalisen median tietoturvaohje, VAHTI 4/2010 Yliopistojen tietoturvapäälliköiden viestintäsuositus sosiaalisen median käytöstä,

3 1 Inledning 4 2 Informationssäkerhetsrisker i samband med sociala medier De främsta utmaningarna och hotbilderna Skydd av information och privatliv Spionage Spridning av falsk och felaktig information Stöld av inloggningsuppgifter Utmaningar i samband med socialt nätverkande Nätfiske av uppgifter Hot mot eller skrämsel av personal Okända kontakter och vänner Tekniska risker Skadeprogram som sprider sig via sociala medier Risk för överbelastning (av it-infrastrukturen) Risker bundna till utvecklingen av tjänsterna och applikationerna Tilläggsprogram och programmeringsgränssnitt Skräppostmeddelanden Övriga hotbilder Oklara eller föränderliga användarvillkor och utlämning av information till utomstående parter Oklarheter angående lagringsorten och nivån av datasäkerhet Identitetsstöld Skydd av privatlivet Risker för den fysiska säkerheten Risker förknippade med skada för organisationens rykte och trovärdighet 9 3 Informationssäkerhet i samband med användning av sociala medier Policy för användning av sociala medier Identiteter/roller i sociala medier Olika identiteter i sociala medier Tjänstekonto (användaren som officiell talesperson för organisationen) Privat konto, hänvisning till arbetsgivaren (hybrid; privatperson i expertroll) Privat konto eller fullständigt anonymt (privatperson utan koppling till arbetsgivaren) Identiteter som används av organisationen Privat användning och nämnandet av arbetsgivaren Fullständigt privat användning Skolning och anvisningar Datamaterialsäkerhet Tekniska lösningar Ibruktagandet av tjänster kontroll av användningsvillkoren Skydd av privatlivet Personsäkerhet Kontroll av ryktet och anseendet 13 4 Exempel och begränsningar Exempel på användningsområdet av sociala medier Begränsningar för användning av sociala medier 14 5 Referenser och annat nyttigt 14

4 1. Inledning Detta dokument ska ses om en källa till allmän bakgrunds information angående de främsta informationssäkerhetsrisker som förknippas med sociala medier. Doku mentet är till stor del en översättning av vissa kapitel ur Finansministeriets publikation Sosiaalisen median tietoturvaohje, VAHTI 4/2010. I kapitel 2 beskrives riskerna, i kapitel 3 ges råd och anvisningar angående hantering av riskerna. Här ges också rekommendationer för hur de olika aspekterna bör lösas inom Åbo Akademi och av de enskilda användarna. Dokumentet fungerar som grund till ÅA:s instruktion om användning av sociala medier och till den vid ÅA utgivna användarguiden för sociala medier. 2. Informationssäkerhetsrisker i samband med sociala medier I sig medför användningen av sociala medier inga egentliga nya informationssäkerhetsrisker, men de får på grund av sin natur de existerande riskerna att ge sig till känna på ett annat sätt än tidigare. 2.1 De främsta utmaningarna och hotbilderna Tjänster inom de sociala medierna har inte nödvändigtvis byggts upp enligt samma designprinciper och krav som används för andra tjänster och datasystem, de har inte heller nödvändigtvis genomgått motsvarande auditeringar. Principen för användning av tjänsterna skiljer sig dessutom rejält från traditionella datasystem. De mest centrala informationssäkerhetsriskerna härstam mar från dels användarnas eget beteende, dels professionell och organiserad verksamhet driven av olika grupperingar 1. Avsikten med verksamheten är att komma åt information, såsom kreditkorts- och personuppgifter, företagshemligheter eller statshemligheter, att inverka på beslutsfattandet (antingen konsumenternas, bolagsledningens eller statsledningens beslut), att besudla en organisations eller privatpersons rykte eller att sprida grupperingens egna idéer. Sociala medier kan med fördel användas till att synliggöra de av Åbo Akademi upprätthållna tjänsterna och styra användare till dem. På så vis erhålls bättre kontroll över materialet istället för att det läggs ut på det fullt öppna internet. En del av de kriminella grupperingarna strävar efter största möjliga ekonomiska nytta genom att försöka erhålla kontroll över användares datorer med hjälp av skadeprogram som sprids (också) med hjälp av och via sociala medier. Ett s.k. bot-nät, som kan bestå av (hundra) tusentals kapade datorer, kan användas och fungera bl.a. som en effektiv omgivning att skicka ut skräppost ifrån, 1. Bl.a. kriminella grupperingar, extremister och stater. sätta upp servrar för nätfiske i eller köra riktade DoS 2 - attacker ifrån. De kapade maskinerna kan också användas för att göra inbrott i datasystem antingen genom att testa olika kombinationer av användarnamn och lösenord mot olika tjänster eller beräkningsmässigt knäcka lösenord. Speciellt besvärliga är riktade attacker; inom dessa används oftast specifika skadeprogram som är skapade dels specifikt för sitt ändamål, dels för att kringgå offerorganisationens detektionssystem. I de följande kapitlen granskas de mest centrala informationssäkerhetsrisker som sociala medier medför. 2.2 Skydd av information och privatliv Avsikten med informationssäkerhet är att sörja för informationens konfidentialitet, integritet och tillgänglighet utan att glömma användarvänligheten. En av de mest centrala hotbilderna i samband med användning av sociala medier är att information som inte är publik blottas eller kommer i fel händer, vilket kan orsakas av bl.a. att: Användaren 3 antingen omedvetet eller av misstag, råkar dela ut eller skicka information som är hemligstämplad. Ifall tjänsteleverantören befinner sig utomlands eller tjänsten upprätthålls av en tredje part kan det vara omöjligt att avlägsna informationen från tjänsten. Det kan också ta så lång tid att få det gjort att informationen hinner läcka till andra tjänster på internet och informationen blir kvar på nätet för all framtid. Även om användaren skickar meddelanden och publicerar information som i sig är publik kan det hända att de enskilda meddelandena går att plocka ihop så att konfidentiell information sprids. Meddelanden kan också samlas från en längre tidsperiod och från olika källor/sociala medier. Användaren har därmed omedvetet förorsakat en informationsläcka. Även om en användare själv inte publicerar konfidentiell information i ett socialt medium kan någon annan oavsiktligt göra det till exempel i samband med att denne publicerar text-, bild- eller videomaterial. Något att vara uppmärksam på är bland annat lägesinformation i samband med fotografier; i dagens läge kan allt flera kameror (och telefoner) spara både plats- (koordinaterna) och tidsinformation för exponeringstillfället och då blir det möjligt att ta reda på var en person varit vid en viss tidpunkt. I de sammanhang då Åbo Akademi uppträder på ett allmänt och extern socialt medium kan det för användarna vara svårt att inse att de för en dialog på ett offentligt forum, inte direkt med Åbo Akademi. Användarna bör göras uppmärksamma på att de kommunicerar i ett offentligt medium, så att de inte oavsiktligt sänder privat information om sig själva till det. 2. Denial of Service; en nätattack som strävar efter att överbelasta en tjänst så att den blir onåbar. 3. Med användare menas här både kund och personal, d.v.s. samtliga användare av den sociala medietjänsten. 4

5 Istället bör användarna uppmanas kontakta Åbo Akademis egna tjänster för att få sina ärenden uträttade. Information som användare publicerar och som skadar skyddet för deras egna privatliv bör kunna avlägsnas omedelbart Spionage De sociala medierna utgör ett ypperligt verktyg att söka information som i sin tur kan kopplas ihop med information som erhållits ur andra källor. Ett flertal undersökningar har dessutom påvisat att användare som medlemmar i sina sociala nätverk lättvindigt accepterar andra användare som inte nödvändigtvis ens är bekanta från tidigare. Detta beteende kombinerat med en alltför stor tillit och vårdslöshet ökar avsevärt informationssäkerhetsriskerna för en organisation och gör de sociala medierna till ett ypperligt verktyg för industrispioner och underrättelsetjänster Spridning av falsk och felaktig information Sociala medier kan missbrukas avsiktligt för att sprida falsk eller felaktig information. En del organisationer kan ha märkt och drabbats av bl.a. att det på internet lagts upp falska webbsidor som härmar organisationens officiella hemsida eller att någon utger sig för att vara en officiell talesperson för organisationen. Även om dessa tilldragelser kan verka rätt harmlösa kan de också medföra betydande informationssäkerhetsrisker (exempelvis en sida uppsatt för att nätfiska användares lösenord) eller inverka negativt på en organisations verksamhet eller dess publicitet. Om sådana sidor upptäcks bör organisationen vidta åtgärder för att få den missvisande informationen avlägsnad Stöld av inloggningsuppgifter De användarkonton som används av organisationen eller dess anställda kan hamna i fel händer, och då kan fientligt inställda personer ställa till stor skada. Exempelvis kan de ändra innehåll, publicera material i organisationens namn, sprida skadeprogram eller stjäla personuppgifter I den mån sådana finns bland materialet. 2.3 Utmaningar i samband med socialt nätverkande Avsikten med sociala nätverk är att förena människor med hjälp av nätverk. Detta ger skurkar nya möjligheter i och med att användarna i de flesta fall är godtrogna och har en tendens att lita på de kontakter de har i sina egna nätverk Nätfiske av uppgifter Till de sociala mediernas kännetecken hör att de är lättillgängliga, vilket också gör det enkelt att närma sig folk som använder dem. Personalen har i vanliga fall skolats att låta bli att öppna tvivelaktiga e-postmeddelanden och länkar, men i samband med sociala medier är folk ofta mindre aktsamma, speciellt om det är eller verkar vara någon ur den egna bekantskapskretsen som skickar en inbjudan att installera en ny applikation, funktion eller plug-in. Var sunt kritisk till samtliga förfrågningar och frågeformulär (exempelvis lotterier och tävlingar) som gäller din person och ditt privatliv. Idka samma kritiska förhåll ningssätt till förfrågningar om andra personer. Nätfiske har blivit ett betydande problem inom de sociala medierna. Användare försöker, med hjälp av frågor och frågeformulär, luras att ge uppgifter om sig själva eller sin arbetsgivare. I kontrast till tidigare, slumpvisa nätfiskeattacker kan attackerna nu med hjälp av den information som samlats in via sociala medier riktas mot specifika grupper av användare. Under våren 2010 försökte användare luras att uppge uppgifter om sig själva på Facebook; de första utlovades ett presentkort värt till Ikea. Det var fråga om lurendrejeri, vilket betonar behovet av uppmärksamhet, skepticism och sunt bondförnuft i samband med användningen av sociala medier Hot mot eller skrämsel av personal I sociala medier berättar en del personer mycket öppet om sig själva och sitt liv. En del av tjänsterna är i sin tur byggda så att sökmaskiner, såsom Google, kan genomsöka dem och spara information om en person i sin egen databas. Det här leder i sin tur till att informationen är publikt nåbar och sökbar. Om någon dessutom kommer in i en persons sociala nätverk och vill missbruka det kan han påverka personens liv på många sätt, antingen via det elektroniska mediet eller med hot om fysiskt våld. Med hjälp av en förfalskad profil kan personen i fråga enkelt publicera ogrundade och osanna meddelanden eller annan elakartad information om användaren. Tidigare, utan sociala nätverk, skulle motsvarande ha varit betydligt svårare. 5

6 2.3.3 Okända kontakter och vänner Man bör vara ytterst aktsam då man godkänner personer till sitt nätverk, i annat fall kan det hända att man bildar kontakter man aldrig skulle bilda och upprätthålla i det verkliga livet eller som i värsta fall inte ens existerar. Beteendet kan komma att skada användarens privatliv och ära, infiltratören kan också utnyttja användaren för att bygga upp förtroende mellan dennes nätverk och sig själv och sedan, i ett senare skede, missbruka förtroendet exempelvis för att sprida skadeprogram eller stjäla personuppgifter. En god tumregel är att inte godkänna kontakter du inte träffat i det verkliga livet. En informationssäkerhetsforskare lyckades infiltrera underrättelsetjänster och militär i USA genom att skapa sig en skenidentitet i Facebook, LinkedIn och Twitter och dessutom koppla ett fotografi till profilen; personen kallades Robin Sage 5. Inom ett par veckor erhöll personen flera hundra vänner och kontakter inom både USA:s försvar och den nationella säkerhetstjänsten NSA samt Storbritanniens militär. Forskaren lyckades via sitt nätverk komma åt känsligt material såsom namn, adresser, kontonummer och e-post och fick därutöver ett flertal förfrågningar om att hålla föredrag, också efter att profilen avslöjats vara humbug. Det är viktigt att inse att det är omöjligt att ha kontroll över sina kontakters göranden. Även om en användare själv inte avslöjar känslig information om sig själv eller sin organisation kan någon annan publicera information som är opassande eller privat Tekniska risker Skadeprogram som sprids via sociala medier Sociala medier erbjuder missbrukare en gynnsam plattform att snabbt och effektivt sprida nya skadeprogram till möjligast många användares datorer framför allt därför att antalet användare ökar snabbt. I förhållande till traditionell spridning kan användandet av sociala nätverk möjliggöra enklare spridning av skadeprogram bl.a. på grund av att: Meddelanden som kommer från vänner, kollegor och övriga användare som upplevs bekanta ofta föreställs vara säkrare än motsvarande meddelanden som kommer per e-post. Det inom flera tjänster ofta hänvisas till andra inlägg 5. För mera läsning angående Robin Sage kan hänvisas till exempelvis: science.dodlive.mil/2010/07/21/the-dangers-of-friending-strangers-the-robinsage-experiment/ (nerladdat ) 6. Ett exempel är då en nybliven far blev gratulerad till den lyckliga tilldragelsen i familjen av en halvbekant. Dessvärre hade fadern och modern själva inte meddelat om händelsen till andra än den allra närmaste kretsen; istället var det en av moderns bröder som på ett socialt forum berättat att han just blivit morbror. Meddelandet hade lästs av hela vänkretsen, som därefter kunnat dra slutsatser om vem den nyblivna fadern var. i en diskussion via förkortade webbaddresser såsom bit.ly eller tinyurl.com. Säkerhetsrisken ligger i att användaren inte vet vilken sida han styrs till innan han kommer till sidan. Förkortningstjänstens pålitlighet och säkerhet bör också beaktas; det är fullt möjligt att en förkortad, tidigare säker adress styrs om till en skadlig sida. Tjänsteleverantören inte nödvändigtvis har fäst tillräckligt stor vikt vid sin egen tjänst, vilket kan leda till att användarnas datorer smittas. Det vid sidan av de traditionella skadeprogrammen har uppstått en helt ny grupp av skadeprogram. Dessa använder sig av användarnas tillit till kontakterna i sitt eget nätverk och strävar efter att styra användarna till skadliga webbsidor. De applikationer som du godkänner kan i de flesta fall läsa din profil och ta reda på dina kontakter. Organisationens rykte kan lida avsevärd skada ifall det visar sig att det bäddats in skadeprogram i de tjänster organisationen erbjudit Risk för överbelastning (av it-infrastrukturen) En del av de sociala medierna kretsar kring utdelning av video-, bild- och ljudmaterial. En del organisationer förbjuder eller begränsar på teknisk väg användning av sådana sociala medier för att de belastar nätet och utrusningen i det Risker bundna till utvecklingen av tjäns terna och applikationerna Konkurrensen mellan olika sociala medier och utvecklingen av tjänsterna är betydligt snabbare än för andra it-tjänster. Detta medför också ett behov av en snabbare produktionsmodell än den som används vid utveckling av traditionella tjänster och traditionell mjukvara. Vid en snabb utveckling av applikationer lider oftast både säkerhetstänkandet och testningen, vilket i sin tur leder till att det i den färdiga produkten enkelt kan kvarstå sårbarheter som härstammar från den använda programmerings- eller serverteknologin Tilläggsprogram och programmeringsgränssnitt Huvudmännen till de sociala medierna vill bredda sin användarbas genom att erbjuda intressanta tjänster. Detta görs i allt flera fall genom att erbjuda tredje parter programmeringsgränssnitt för utveckling av nya applikationer. Applikationerna kör ofta på utvecklarnas servrar för vilkas säkerhetsnivåer det inte finns några som helst garantier. Användarna kan också uppmanas ge information till applikationen även om informationen i sig inte är nödvändig för applikationens funktion. Förhåll dig till applikationer som till okända vänner och kontakter. Observera att rekommendationen att 6

7 använda en applikation kan ha skickats av applikationen själv, då någon i ditt kontaktnät godkänt applikationen, kanske för att någon i hans kontaktnät godkänt applikationen. Virus, maskar och övriga skadeprogram förekommer i ökande mängd inom olika sociala medier. En annan trend är att utveckla tjänster och applikationer med vilkas hjälp användaren centralt kan administrera och använda flera olika sociala medier. Ifall användarnamn och lösenord till en dylik central tjänst kommer i utomståendes händer kan flera olika sociala medier missbrukas. En sådan central tjänst erbjuder också möjligheten att enkelt kombinera information i en persons nätverk och ger således en skurk ett enkelt sätt att samla in data. I stället för att ägna sig åt en tjänst åt gången kan en förövare koncentrera sig direkt på en tjänst som innehåller möjligast mycket samlad information från olika sociala medier Skräppostmeddelanden Sociala medier används också för att skicka skräppostmeddelanden, till stor del därför att skräppostfiltreringen inom dem för det mesta inte är av samma kvalitet som i traditionella e-postsystem. 2.5 Övriga hotbilder Oklara eller föränderliga användarvillkor och utlämning av information till utomstående parter Få privatanvändare besvärar sig att läsa användarvillkoren för de olika sociala medierna på grund av att de är långa, invecklade och oklara. Oftast godtar användaren villkoren och litar på att de är acceptabla eftersom också andra accepterat dem. Organisationer bör vara noggrannare än så då tjänster tas i bruk, oberoende av om det är fråga om att personalen tillåts/uppmanas använda tjänsterna eller om organisationen själv har för avsikt att erbjuda tjänster via dem. I de flesta fall utgörs en central utmaning av att tjänsteleverantören och tjänsten befinner sig utomlands och då är tjänsteleverantören knappast villig att göra förändringar i tjänsteavtalet på grund av en liten kund i utlandet. Kontrollera användaravtalet. Vilka rättigheter till materialet avsäger du dig? Vad händer om du eller leverantören av misstag stryker din profil? Vad händer med dina data då du beslutar dig för att sluta använda tjänsten och säger upp avtalet? Det antagligen viktigaste är att reda ut vilka rättigheter tjänsteleverantören får till kundens data. I värsta fall förbehåller sig tjänsteleverantören all rätt till materialet, vilket möjliggör distribution och försäljning av det till en tredje, utomstående part. Flera sociala medier är avsedda endast för privatpersoner, vilket gör att många av användarvillkoren kan stå i konflikt med reglerna inom användarens egen organisation. Exempelvis kan användaren förpliktigas att skydda tjänsteleverantören mot rättskrav från yttre håll, också den egna organisationen. Många av tjänsteleverantörerna av sociala medier befinner sig utanför Finland och den finska lagstiftningen, och då kan de tidigare nämnda avtalsvillkoren och den tillämpade lagstiftningen avsevärt avvika från den vi är vana med i Finland Oklarheter angående lagringsorten och nivån av datasäkerhet Inom de sociala medierna, liksom för övriga internettjänster, blir användningen av delad kapacitet, d.v.s. servervirtualisering och molntjänster (eng. cloud computing), allt vanligare. De största utmaningarna med dessa lösningar är frågan om placeringen av data, tjänsternas användbarhet i fall av störningar och oklarheter angående den verkliga datasäkerheten hos tjänsten. Vet du var dina data lagras? Vet du hur de skyddas? Spelar det någon roll? Informationen som flyttats till sociala medier kan finnas i länder i vilka lagstiftningen angående informationssäkerhet och dataskydd avsevärt skiljer sig från den finska motsvarigheten. I vissa fall (exempelvis i fråga om personuppgifter) begränsar den finska lagstiftningen flytt av information till länder vars dataskydds- och informationssäkerhetslagar inte garanterar lika högt skydd som de finska lagarna. Ifall rättstvister uppstår behandlas de oftast i det land och enligt den lagstiftning som tjänsteleverantören befinner sig i. Mera information om detta finns på dataskyddsombudsmannens webbsidor 7. Om tjänsten i sin helhet befinner sig utomlands är den inte tillgänglig om de internationella datanätförbindelserna brister. Detta torde i första hand inte utgöra något problem, eftersom de sociala medierna i de flesta fall inte är kritiska för organisationens verksamhet. I samband med att nya tjänster, framför allt för grupparbete och kommunikation, blir vanligare, kan däremot dessa tjänster blir mera kritiska än sociala medietjänster av traditionell natur. Detta behöver beaktas i samband med planeringen av verksamhetens kontinuitet och nödvändiga reservarrangemang. Utöver det ovan nämnda måste också beaktas att det för det mesta är omöjligt att kontrollera (auditera) informationssäkerheten hos en serviceleverantör som befinner sig utomlands. Ibruktagandet av sociala medier utgör i dessa fall alltid en risk Identitetsstöld Ifall en individ publicerar för mycket information om sig 7. Datskyddsombudsmannens webbsidor nås på adress: Överföring av personuppgifter till utlandet: (nerladdat )Angående utsättning på entreprenad av personuppgifter, gemensamma datasystem, networking och avtal rörande dessa: tietosuoja.fi/uploads/fqfq98_1.pdf (nerladdat ) 7

8 själv, exempelvis födelsedatum, hemadress, namn på familjemedlemmar o.s.v. kan informationen användas för identitetsstöld. Tjänsterna inom de sociala medierna är ofta personliga, vilket leder till att biverkningarna/följdfenomenen också oftast riktar sig mot de enskilda personerna, inte deras organisationer. I Finland är identitetsstöld i sig inte ett brott, men det som däremot är det är bedrägeri, smädelse och spridning av information som kränker privatlivet om det utförts med hjälp av identitetsstöld. Stöld av användarnamn och/eller lösenord kan underlättas ifall en person publicerar information om sig själv på flera olika ställen på internet. För användaren kan det då vara svårt att komma ihåg vilken information som går att finna om honom. I värsta fall kan svaret till en av de vanligaste frågorna för att återställa ett glömt lösenord: Vad heter din hund? finnas i någon av användarens profiler Skydd av privatlivet Då tjänster inom de sociala medierna utvecklats har skyddet av användarnas privatliv inte utgjort något av de viktigaste designmålen. Tvärtom baserar sig businessmodellen för många sociala medier på att informationen om användarna är möjligast publik. Samtidigt håller den sociala normen angående privatliv på att förändras och gränsen mellan privat och publikt att suddas ut. Som företeelse är de sociala medierna ännu så nya att folk i många fall inte kan förhålla sig helt klarsynta till dem. Speciellt angelägenheter som gäller privatlivet blir oftast aktuella först då det redan är för sent. Kom ihåg att kontrollera och justera inställningarna för skyddet av privatlivet. Överväg också vad som är värt att publicera om dig själv, dina familjemedlemmar och vänner. Som exempel kan nämnas ett fall i Storbritannien under sommaren Det gällde en på Facebook publicerad sida som kom att utgöra en nationell säkerhetsrisk. Det var fråga om att frun till chefen för landets underrättelsetjänst (MI6) öppet berättade mycket personliga angelägenheter om sin familj, publicerade fotografier och dessutom sin hemadress på sin Facebooksida. Sidan, som i sig verkade ofarlig, var trots allt öppen och läsbar för alla (som hörde till en öppen Londongrupp) i nätverket och utgjorde en risk på både nationell nivå och för familjen själv. Också om användaren själv gör allt korrekt, ställer in de mest centrala integritetsskydden och följer de bästa principerna för användning av tjänsterna garanterar inget att någon av de personer som hör till användarens nätverk inte ställer till med problem som leder till att användarens information sprids. Speciellt fotografier och märkning av personer på dem (eng. tagging) kan skapa en ytterst omfattande profil över användaren. Andra detaljer som syns på fotografierna, exempelvis bilars registerplåtar, gatunamn och husnummer, möjligen kombinerat med geografiska data (GPS-position), avslöjar förvånansvärt mycket om en person. Också fel i applikationerna kan blotta personlig information som inte längre enkelt går att radera såtillvida den hunnit sprida sig på internet. Å andra sidan är sociala medier inte heller helt säkra för kriminella aktörer. Den italienska polisen tog våren 2010 fast en person som åtalats för flera mord, narkotikabrott och kontakt med maffian. Tillflyktsorten spårades med hjälp av den 3G-förbindelse personen använde för att kontakta Facebook Risker för den fysiska säkerheten Ny teknologi, nya apparater och nya tjänster använder GPS-teknik, 3G-utrustning använder också a-gps-teknik för att lokalisera apparaten med några meters noggrannhet. Vid sidan av ovan nämnda tekniker används också lokalisering med hjälp av WLAN-basstationer och då behöver apparaten inte ha GPS-egenskaper för att positionsbestämning ska kunna göras. Samma tekniker kommer att börja användas (och används redan) också i övrig elektronikutrustning och kameror, och då kommer positionsbestämning med all sannolikhet att bli en de facto-egenskap hos mobil utrustning. Detta bör beaktas vid sidan av sociala medier också i samband med andra datasystem och övrigt datamaterial för att säkra att organisationen inte i onödan avslöjar geografiska data om användare eller dokument i exempelvis de metadata som läggs till data. Geografiska data möjliggör lokalisering av både användare och dokument och detta bör beaktas i samband med riskanalyser. Plocka gärna bort geografiska data från exempelvis bilder du publicerar, såtillvida det inte av motivet klart framgår var bilden är tagen. Dessutom kan det vara värt att radera metadata som anger tidpunkten då fotot är taget. Sociala medier möjliggör också andra möjligheter till missbruk då det gäller den fysiska säkerheten. Genom att följa en persons meddelanden och statusuppdateringar under fritiden kan man försöka härleda var och i vilket sällskap personen befinner sig vid ett specifikt tillfälle. Också i Finland finns exempel på att inbrottstjuvar har använt sig av sociala medier för att ta reda på hem och hus som stått tomma. Dessa inbrottstjuvar får hjälp på vägen av olika karttjänster med vilka potentiella inbrottsmål kan sökas, och om tjänsten är tillräckligt noggrann kan man till och med utreda vilka larm- eller andra säkerhetsanordningar som används. 8. The Sunday Times ( ): article ece (nerladdat ). The Sunday Times ( ): technology.timesonline.co.uk/tol/news/tech_and_web/article ece (nerladdat ) 8

9 2.5.6 Risker förknippade med skada för organisationens rykte och trovärdighet En del risker, som är typiska för privatpersoner, riktas också mot organisationer. I allt fler tjänster evalueras och poängsätts ryktet för och funktionen hos olika kommersiella företag. Sådana betygsättningar kan manipuleras med hjälp av förfalskade användarprofiler. Även om en organisation eller en leverantör skulle ha fått ett gott (eller lågt) betyg i någon tjänst, kan betyget ha manipulerats med falska bedömningar ifall antalet recensenter är lågt. Största delen av de sociala medierna finansierar sin verksamhet genom försäljning av reklam, och organisationen kan inte påverka hurdan reklam som visas på dess sida. Organisationens trovärdighet kan minska, ifall det på dess tjänstesida inom de sociala medierna görs reklam för något som inte passar organisationens image. Förutom att svartmåla en organisation kan man med hjälp av förfalskade eller kapade profiler attackera enskilda användare. I värsta fall kan en sådan svartmålning inifrån det egna kontaktnätverket verka ytterst trovärdig för en yttre part, och återbördandet av det förlorade ryktet tar tid och kan dessutom visa sig vara helt och hållet omöjligt. Utöver det ovan nämnda kan organisationens rykte skadas av oförsiktiga uttalanden av eller felaktig information från egen personal, speciellt om det inte klart framgår att det framförda är personens egen åsikt istället för organisationens offentliga ställningstagande. I värsta fall kan organisationen bli juridiskt ansvarig för något en arbetstagare publicerat. 3. Informationssäkerhet i samband med användning av sociala medier De fördelar som upplevs erhållas genom användningen och nyttjandet av sociala medier bör vägas mot möjliga risker. Utgångsläget är att organisationen har klara mål och visioner angående användningen av sociala medier och avsätter tillräckliga resurser för att uppnå målen. Det rekommenderas starkt att organisationen utarbetar en policy för både sin egen och användarnas användning av sociala medier. 3.1 Policy för användning av sociala medier Policyn bör beskriva riktlinjerna för användningen av sociala medier för både organisationen och dess personal. Det rekommenderas också att informationssäkerhetsaspekterna kring sociala medier ingår som en del av policyn. Åbo Akademis policy för användningen av sociala medier definieras i dokumentet Instruktion för användning av sociala medier vid Åbo Akademi. 3.2 Identiteter/roller i sociala medier I samband med i bruktagning av sociala medier utgör olika nätidentiteter som används vid uppkoppling till tjänsterna en central roll. Då en anställd fungerar som representant för Åbo Akademi på ett socialt forum bör hans inlägg kunna tolkas som Åbo Akademis officiella ställningstagande. Det är ytterst viktigt att personalens privata inlägg inte tolkas som Åbo Akademis officiella uttalanden Olika identiteter i sociala medier Vid användning av sociala medier kan användaren uppträda i olika roller via olika identiteter antingen som anställd eller privatperson. Inom de sociala medierna kan urskiljas åtminstone tre olika identiteter/roller: Tjänstekonto (användaren som officiell talesperson för organisationen) (kapitel ) Privat konto, hänvisning till arbetsgivaren (hybrid; privatperson i expertroll) (kapitel ) Privat konto eller fullständigt anonymt (privatperson utan koppling till arbetsgivaren) (kapitel ) Tjänstekonto (användaren som officiell talesperson för organisationen) Personen kopplar upp till tjänsten genom att som identifiering använda antingen ett rollbaserat e-postkonto (tjänste e-post) eller sitt eget, personliga e-postkonto. 1. Rollbaserad/Tjänstebunden uppkoppling: Personen/personerna företräder organisationen direkt och då blir organisationen ansiktslös. Metoden kan med fördel användas vid uppkoppling till publika tjänster eller tjänster som organisationen erbjuder sina kunder. Personen/personerna representerar organisationen i de roller/uppgifter de har inom organisationen genom att använda rollbaserad identitet och e-postadress (ex. enhet@abo.fi) vid uppkoppling till tjänsten. Rollen är professionell och separerad från den privata, och då kan en annan person sköta uppgifter som hör till rollen om den primära innehavaren är frånvarande. 2. Uppkoppling med personlig e-postadress förknippad med arbetsgivaren: Personen representerar organisationen i den roll han innehar inom sin organisation. Personen använder organisationens e-postadress (ex. ellen.exempel@abo.fi) i tjänsten och kan således direkt kopplas till organisationen. Rollen är professionell och separerad från den privata identiteten. Ingen annan av personalen får använda samma inloggningsuppgifter vid uppkoppling till tjänsten. Detta är det rekommenderade sättet att koppla upp sig till interna sociala medier eller andra tjänster som krävs för skötandet av arbetsuppgifterna. 9

10 Privat konto, hänvisning till arbetsgivaren (hybrid; privatperson i expertroll) Personen representerar sig själv, inte organisationen. Personen nämner arbetsgivaren antingen i kommunikationen eller så att personen kan kopplas till arbetsgivaren på annat sätt, till exempel genom att han uppger sin e-postadress hos arbetsgivaren, exempelvis ellen. exempel@abo.fi eller nämner sin arbetsgivare i samband med andra uppgifter i sin profil Privat konto eller fullständigt anonymt (privatperson utan koppling till arbetsgivaren) Användaren representerar sig själv, inte organisationen. Användaren nämner inte sin arbetsgivare på något sätt. Även om personen inte nämner sin arbetsgivare kan han lätt kopplas ihop med den utgående från medlemmarna i sitt nätverk och med hjälp av sökmaskiner Identiteter som används av organisationen Då sociala medietjänster tas i bruk och i samband med skolning av personalen bör man beakta vilken typ av nätidentitet som ska användas i olika fall (se , Tjänstekonto (användaren som officiell talesperson för organisationen) typ 1 eller typ 2). Det är viktigt att vara mån om att den nätidentitet som används under fritiden går att skilja från den identitet och roll som personen använder för att sköta sina arbetsuppgifter. Om så inte görs kan utomstående kontakter ha svårt att urskilja ifall ett inlägg i sociala medier är skrivet av användaren som privatperson eller som officiell representant för organisationen. Den finska polisens närvaro på Facebook förverkligas så att poliserna uppträder med smeknamn och sina officiella titlar. På deras sidor finns en länk till polisens officiella webbsida där nätpolisernas verkliga namn och fotografier finns publicerade. Utgångspunkten har varit att de poliser som är närvarande på Facebook är det av egen fri vilja, inte kommenderade att sköta verksamheten. Genom att länka sidorna i det sociala mediet till polisens officiella dito har man velat försäkra de övriga användarna om att poliserna faktiskt är poliser. Ställ dig kritiskt till vilken roll du uppträder i inom de sociala medierna. Som tumregel kan ges att du bör använda en separat, med kolleger gemensam tjänsteprofil ifall det är fråga om en specifik funktion, såsom exempelvis kommunikation eller studieärenden. På detta vis garanteras kontinuiteten av närvaron i det sociala mediet även i fall av någons frånvaro från arbetsplatsen. Observera att det är din chef som utnämner (de frivilliga) personerna som sköter en viss profil; du får inte på eget bevåg skapa en profil som officiellt representerar Åbo Akademi. Inom interna sociala medier kan du med fördel använda en egen profil bunden till dig och din arbetsuppgift inom ÅA. De interna tjänsterna är avsedda för skötandet av arbetsuppgifterna. Observera dock att en profil av denna typ inte kan uppdateras av någon annan än dig själv. Då du använder sociala medier privat, använd en profil som är fullständigt privat, utan koppling till Åbo Akademi. Nämner du Åbo Akademi som arbetsgivare så kom ihåg att du i så fall av din publik kan ses om en representant för Åbo Akademi, så bete dig därefter Privat användning och nämnandet av arbetsgivaren Inom organisationen bör man också ta ställning till hur man förhåller sig till att arbetstagarna som privata användare av sociala medier nämner sin arbetsgivare. Det kan också vara befogat att bedöma principerna för användning av sociala medier från fall till fall, exempelvis för olika personalgrupper. I regel kunde nämnandet av arbetsgivaren tillåtas, förutsatt att arbetstagaren kommer ihåg att han representerar organisationen, beter sig sakligt och följer givna föreskrifter. Det kan dock vara motiverat att avvika från grundprincipen om det är fråga om en person vars arbetsroll är sådan att hans arbetsuppgift eller hälsa kan äventyras om arbets- och fritidsrollerna blandas. I så fall är det bättre att helt och hållet avstå från att nämna arbetsgivaren. Exempelvis folk som arbetar inom hälsovården eller andra serviceyrken bör överväga huruvida det är nödvändigt att via privatprofilen ta in kunder i sitt nätverk. I anvisningar och skolning bör klargöras i vilken mån ärenden som handlar om organisationen får behandlas i sociala medier. I anvisningarna bör man ta ställning till i vilken mån en arbetstagare enligt eget gottfinnande får behandla ärenden som angår arbetsgivaren och i vilket skede han bör fråga om lov och möjligt ställningstagande av sin chef. Sekretessbelagd information och företagshemligheter ska under inga omständigheter behandlas eller nämnas i sociala medier. Det är inte tillåtet att en anställd för sina bekanta konstaterar att han är inblandad i en upphandlingsprocedur värd med de möjliga leverantörerna A, B och C. Däremot torde ett konstaterande i stil med Hälsningar från Aten! Sitter här på ett intressant seminarium som strax är slut för idag, därefter blir det att gå ut och njuta av solen! knappast äventyra organisationens informationssäkerhet Å andra sidan berättar inlägget att du befinner dig i Aten, vilket medför åtminstone två separata risker. Dels har du berättat att du inte är hemma. Bor du ensam är alltså ditt hus och hem antagligen obebott för tillfället. Dels kan skurkar försöka uppge sig vara du och meddela att du tappat ditt lösenord och behöver få ett nytt, vilket de kan försöka få per telefon. De vet ju dessutom (liksom din arbetsgivare) att du befinner dig i Aten och omöjligt kan besöka Oraklet för att visa upp ID och få ett nytt lösenord. 10

11 Kom ihåg vilket forum du rör dig i och vad du får och inte får nämna. I anvisningarna till personalen, liksom i skolningen, ska det framgå hur en person kan skilja mellan att uppträda som privatperson och som anställd. I första hand bör man, i sin privata roll, inte hänvisa till ärenden som berör arbetsgivaren och inte heller använda eller publicera sin e-postadress hos arbetsgivaren. Det här är viktigt eftersom en del av tjänsteleverantörerna förmedlar och säljer e-postadresser till tredje part. Problem kan också uppstå i de fall en person byter arbetsgivare; i dessa fall kan personen ha svårt att komma ihåg till vilka tjänster han använt arbetsgivarens e-postadress och därmed också ha svårt att byta den. En central fråga är också huruvida personalen får använda sociala medier på arbetsplatsen. Utöver det behöver det tas ställning till om användning av all sorts social media tillåts eller om användningen begränsas till endast yrkesmässig användning. Detta har att göra med dels personaladministrationen (användningen av arbetstiden), dels informationshanteringen (användning av verktyg för informationsbehandling) men kan också ha implikationer för säkerheten. Exempel 1. Om organisationen märker att sekretessbelagd information från den sprider sig inom sociala medier kan spridningen från arbetsplatsen, om inte förhindras, så åtminstone försvåras med hjälp av tekniska restriktioner. Detta förhindrar dock inte spridaren att fortsätta sprida informationen från andra ställen eller via smarttelefonen på jobbet. Oavsiktlig spridning går enklast att förhindra genom skolning och anvisningar. Vid avsiktlig spridning försöker spridaren oftast sopa igen spåren och den aktiviteten kan man försöka begränsa genom teknisk informationssäkerhet. Exempel 2. Ska användningen av LinkedIntjänsten ses som en fritidssyssla eller kan den kategoriseras som yrkesmässigt utnyttjande av sociala medier? En stor del av användarna använder tjänsten för att bygga upp sitt professionella nätverk och sin egen kunskap genom att följa kollegers diskussioner. Användningen baserar sig trots det sällan på en uppmaning från organisationens sida; istället beslutar användarna självmant att ta tjänsten i bruk. Liksom i samband med andra tjänster bör man också inom denna noga överväga vilken information man publicerar om dels sig själv, dels arbetsgivaren Fullständigt privat användning Personalen kan använda sociala medier under sin fritid antingen under eget namn, egen signatur eller fullständigt anonymt. I dessa fall är det av vikt att helt och hållet undvika alla referenser till arbetsgivaren. Det är viktigt att inse att även om arbetsgivaren inte nämns, kan denne antingen vara känd för andra i nätverket från tidigare eller avslöjas på andra sätt. Vid privat användning skall abo.fi-e-postadresser inte användas. Dessutom är det värt att använda ett visst mått av omdöme då man rör sig nära det egna ämnesområdet så att man inte av misstag röjer konfidentiell information. 3.3 Skolning och anvisningar Skolning av och anvisningar till personalen är viktigt då användningen av sociala medier blir allt allmännare. Anvisningarna och undervisningen bör nå hela personalen, eftersom alla kan tänkas använda sig av sociala medier oberoende av om arbetsgivaren är representerad i dem eller inte. Anvisningarna ska basera på den inom organisationen godkända användningspolicyn. Organisationen bör utse en instans som ansvarar för utbildningen av personalen. Anvisningarna bör i alla fall beakta följande: Tillåtna identiteter får arbetsgivaren nämnas eller inte? Vad får och får inte nämnas angående organisationen? Vilka är de allmänna förhållningsreglerna? Rekommendationer för inställningar gällande skyddet av privatliv (eng. privacy settings). Betydelsen av att läsa användningsvillkoren. Lösenordssäkerhet Att skapa ett bra lösenord. Att använda olika lösenord till olika tjänster. Rekommendation att söka på sitt eget namn för att hitta möjliga identitetsstölder. Uppmaning till eftertänksamhet i samband med uppbyggning av kontaktnätverket. Uppmaning att akta sig för skadeprogram. Uppmaning att vara försiktig vid surfning till förkortade url-adresser. Information om de allmänna dragen hos nätfiske och uppmaning om att inte på något sätt svara på nätfiske. Information om tredjepartsapplikationer och riskerna med dem samt uppmaning att använda omdöme vid möjlig installation. Det rekommenderas att sociala medier tas med i den informationssäkerhetsskolning som riktas till personalen. På webbplattformer för undervisning är det enkelt att producera ett avsnitt om sociala medier som en del av den övriga informationssäkerhetsskolningen. 3.4 Datamaterialsäkerhet För skyddet av information är utgångspunkten att inget annat än publik information ska publiceras i sociala medier. Det är också värt att notera att en samling av en- 11

12 skilda publika bitar av information kan bilda en helhet som inte längre är publik. Således bör organisationen definiera vem som får publicera information om organisationen, vilken typ av information och i vilka sociala medier. Kom ihåg att inte nödvändigtvis alltid är 2. Enskild, publik information kan i (o)lämpligt sammanhang bilda en helhet som är allt annat än publik. Ifall avsikten är att erbjuda sådana tjänster inom vilka det är meningen att lagra klassificerad information bör det fästas uppmärksamhet vid valet av plattform och underhållet av den. Tjänster inom de sociala medierna bör utvecklas som vilka andra tjänster som helst och informationssäkerheten bör beaktas helhetstäckande under hela projektets livslängd. Användarna bör också informeras om hur de kan avlägsna metainformation ur de data de lägger upp på tjänster utanför organisationen. 3.5 Tekniska lösningar Ifall sociala medier används från organisationens utrustning och/eller dess it-miljö, bör den använda utrustningen och miljön skyddas på vederbörligt sätt. It-omgivningen bör byggas kring följande krav: Statsrådets förordning om informationssäkerheten inom statsförvaltningen /681 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 Sisäverkko-ohje, VAHTI 3/2010 Därtill är det viktigt att iaktta kraven i de nationella kriterierna för auditering av säkerheten, Kansallinen turvallisuusauditointikriteeristö (KATAKRI). Som minimum rekommenderas att: 1. Datasäkerhetsstrukturen inom organisationen är tillbörlig och tidsenlig, vilket innebär: brandväggar IDS/IPS-system att uppföljningen av de larm som skadeprogramsbekämpningsprogrammen på arbetsstationerna ger upphov till är automatiserad och att det finns en klar process för utredningen av dem att lokalnäten och trafiken i dem övervakas. 2. Datasäkerheten på arbetsstationerna är skött, vilket innebär att: skadeprogramsbekämpningsmjukvaran är tidsenlig och den uppdateras automatiskt den lokala brandväggen på arbetsstationen är ibruktagen, speciellt om datorn kopplas till datanät utanför organisationens lokalnät det är omöjligt för användarna att installera programvara från sina normala konton. 3.6 Ibruktagandet av tjänster kontroll av användningsvillkoren Då en organisation tar i bruk sociala medier förbinder 12 den sig att följa det av tjänsteleverantören uppsatta tjänsteavtalet. Avtalet definierar bland annat användningsvillkoren, ägandeförhållandet till den information som laddas upp och tjänsteleverantörens rätt till materialet liksom också tjänsteleverantörens rätt att ändra avtalsvillkoren. Avtalsvillkoren bör på förhand studeras ingående och förändringar i dem bör uppföljas kontinuerligt. Sociala medier är som allmänna anslagstavlor, men ger i de flesta fall tjänsteleverantören rätt att använda den information du lagt upp. Speciellt ärenden som har att göra med immaterialrätt bör man sätta sig in i ordentligt innan information sätts upp på tjänsten. Många av de populära sociala medierna förutsätter att användaren överlåter eller lämnar över rättigheterna att kopiera, ändra, publicera, radera och kommersialisera data som laddas upp utan samtycke från användaren eller utan att användaren ens är medveten om det. Utdrag ur användaravtalet till LinkedIn ( ): License and warranty for your submissions to LinkedIn.: You own the information you provide LinkedIn under this Agreement, and may request its deletion at any time, unless you have shared information or content with others and they have not deleted it, or it was copied or stored by other users. Additionally, you grant LinkedIn a nonexclusive, irrevocable, worldwide, perpetual, unlimited, assignable, sublicenseable, fully paid up and royalty-free right to us to copy, prepare derivative works of, improve, distribute, publish, remove, retain, add, process, analyze, use and commercialize, in any way now known or in the future discovered, any information you provide, directly or indirectly to LinkedIn, including but not limited to any user generated content, ideas, concepts, techniques or data to the services, you submit to LinkedIn, without any further consent, notice and/ or compensation to you or to any third parties. Any information you submit to us is at your own risk of loss as noted in Sections 2 and 3 of this Agreement. By providing information to us, you represent and warrant that you are entitled to submit the information and that the information is accurate, not confidential, and not in violation of any contractual restrictions or other third party rights. It is your responsibility to keep your LinkedIn profile information accurate and updated. I avtalen borde också klargöras vad som händer med data i det skede avtalet upphör och/eller organisationen inte längre vill fortsätta använda tjänsten. 3.7 Skydd av privatlivet Skyddet av privatlivet lämnas ofta på användarens ansvar. Av den orsaken bör användaren, direkt efter att ha registrerat sig, ändra skyddsinställningarna till önskad nivå.

13 Kom ihåg att du själv ansvarar för inställningarna som gäller skyddet av privatlivet. Skyddet av privatlivet kan ökas genom att beakta följande: För att försvåra identitetsstöld bör man noga bekanta sig med de inställningar tjänsten erbjuder för skydd av privatlivet och i de flesta fall justera dem striktare än standardinställningarna. Publika sociala medier erbjuder ofta olika mekanismer för att återställa ett glömt lösenord. Fundera noga vilka mekanismer du vill använda eller erbjuda, speciellt ifall du själv är tjänsteleverantör. Om mekanismen baserar på frågor och svar, bör man undvika frågor av typen Vad heter ditt husdjur? eftersom svaret på frågan kan finnas direkt i personens profil eller bland övrig information på tjänsten. Betydligt bättre är att använda en mekanism som baserar på att en lösenordsbytarlänk skickas till den e-postadress användaren uppgett som sin primära. Fundera noga ifall det är ändamålsenligt att publicera sådan information som exempelvis födelsedatum, -år och -ort. Det är sannolikt är att de personer som behöver känna till informationen gör det i alla fall. Det är en god idé att förhålla sig till att publicera information på sociala medier på motsvarande sätt som till standardisering och minimering av antalet program som installeras på en arbetsstation, d.v.s. att inom de sociala medierna berätta endast det som är nödvändigt för verksamheten, på samma sätt som det på en arbetsstation installeras endast de program som verkligen behövs. Vid publicering av bilder bör uppmärksamhet fästas vid möjlig lägesinformation som kan finnas infogad i bilden. Var försiktig angående material du lägger upp på ett socialt medium. Lägg inte upp privat material om vare sig dig själv eller andra och var aktsam angående möjliga metadata som finns inbakade i dokument och datafiler. 3.8 Personsäkerhet Organisationen bör förbereda sig på att mobbning och hot kan förekomma via sociala medier. Mobbningsfallen kan vara ytterst personliga och utföras exempelvis av personens tidigare mobbare eller vara anonyma förolämpningar och/eller hot. Ifall personalen upplever mobbning eller hot på nätet bör den ha klara anvisningar angående det fortsatta förfarandet. Grundregeln är att vända sig till sin egen chef, som omedelbart bör vidta åtgärder exempelvis genom att använda de möjligheter som tjänsteleverantören erbjuder (exempelvis för att stänga den hotfulla personens konto). Vid behov ska brottsanmälan göras. I de sociala medierna är det också värt att nämna att organisationen inte godkänner vare sig mobbning av eller hot mot sin personal och skrider till tillbörliga åtgärder ifall sådant förekommer. Om det inom organisationen finns personer som besitter sådana positioner att det är nödvändigt att överväga hans närvaro inom sociala medier (eller åtminstone begränsa användningen till helt privat användning), bör också personens familjemedlemmar uppmanas till försiktighet. Det är till exempel viktigt att överväga huruvida information om familjens hus och hem och semestrar, möjligen illustrerade med fotografier, är värt att publicera. Likaså bör personerna noga överväga vem de accepterar till sitt kontaktnätverk. 3.9 Kontroll av ryktet och anseendet Organisationen kan påverka sitt eget rykte och anseende (och hoten mot dem) genom att vara aktiv inom det sociala mediet och proaktivt erbjuda riktig och korrekt information i den egna profilen eller alternativt reaktivt kommentera och korrigera felaktig information som förekommer annanstädes. Det är också viktigt att överväga vid vilka tillfällen och i vilken grad man korrigerar felaktig information. Ett diskussionsforum kan lätt uppfattas privat och då kan en organisations närvaro anses oönskad av deltagarna. Organisationen bör ta ställning till huruvida den person som ansvarar för de sociala medierna bör vara yrkesman inom kommunikation, om uppgiften kan skötas parallellt med de övriga arbetsuppgifterna och hur stor del av arbetstiden den får ta. Ifall sociala medier tas i bruk bör tillräckliga resurser reserveras så att en vederbörlig närvaro kan garanteras. Uppdateringarna bör vara regelbundna och kontinuerliga. Det i sig förutsätter skapandet av en ny verksamhetskultur, nya processer och personalstrukturer. Som exempel kan nämnas anpassandet av arbetsuppgifterna till den snabba och dygnet runt -rytm som kännetecknar sociala medier. Är man närvarande i de sociala medierna förväntas snabb reaktionstid. Det är inte alltid nödvändigt att direkt ha en lösning eller ett fullständigt svar på en fråga eller ett klagomål. Däremot är det viktigt att reagera snabbt och på så vis visa på att man är alert och att inlägget noterats. Därefter finns sedan mera tid att reda ut ärendet. Största delen av de publika sociala medierna finansierar sin verksamhet via reklamförsäljning och organisationen kan inte inverka på hurdana reklamer som visas i samband med dess profil. Av den orsaken är det viktigt att utreda de till buds stående tjänsterna och de annonsmekanismer som används inom dem innan organisationen förbinder sig att använda sociala medier. 13

14 4 Exempel och begränsningar Universitetens informationssäkerhetschefer har gemensamt 10 analyserat de möjligheter och risker som sociala medier medför liksom också de kriterier som bör uppfyllas vid i bruktagning av sociala medier. Kapitlen nedan lyfter fram vissa delar av resultaten i ifrågavarande analys. 4.1 Exempel på användningsområdet av sociala medier Universitetet kan använda sociala medier för vissa ändamål, såsom marknadsföring och publicering av publikt material. Exempel på dessa är: Marknadsföring till exempel med hjälp av bloggar. Som hjälp och kommunikationskanal vid rekrytering. Kommunikation med samarbetspartners och övriga intressentgrupper till den del informationen är publik. Utdelning av publikt material såtillvida utdelningen inte begränsas av upphovsmannarättsliga frågor. 4.2 Begränsningar för användning av sociala medier Sociala medier lämpar sig dock inte för all sorts verksamhet utan begränsas av vissa aspekter. Dessa utgörs dels av användningsändamålet, dels den använda utrustningen. Anmärkningsvärt i analysen är: Inga kärnprocesser ska vara beroende av yttre sociala medier. Verksamhet som utgör basen för finansieringen till universitetet, exempelvis forskning och undervisning, måste kunna säkerställas med hjälp av reservarrangemang och får således inte vara beroende av en specifik tjänst eller så måste tjänsten säkras. Ingen aktivitet får baseras på antagandet att en extern social medietjänst garanterat fungerar. Sociala medier får inte användas som hjälpmedel vid distansarbete, eftersom arbetsrelaterat material ofta innehåller icke publik information. Arbetsstationerna som används för uppkoppling till sociala medier får inte användas för att behandla data av säkerhetsklass II eller III enligt statsförvaltningens instruktioner. Klass II inbegriper information som har att göra med den nationella säkerheten, beredskapen och myndighetsförfarandet. Klass III inbegriper information som bör hemlighållas, såsom patientdata, affärshemligheter (t.ex. patent- och uppfinningsdata) samt basregister och känsliga personuppgifter. Sociala medier kan med fördel användas för informeringsändamål. De ska inte användas för datalagring. 5 Referenser och annat nyttigt Instruktion för användning av sociala medier vid Åbo Akademi Användarguide för sociala medier Instruktion för Åbo Akademis webbsystem En samling av olika organisationers sociala mediepolicyn finns på och kan laddas ner via webbadressen: ( ) 10. Yliopistojen tietoturvapäälliköiden viestintäsuositus sosiaalisen median käytöstä,

15 15

16 Åbo Akademi Domkyrkotorget 3, FI Åbo, Finland Tfn: (0)