EU:n tietosuojamörön matka liitukaudelta nykyaikaan

EU:n tietosuoja-asetuksen myötä yritykset ovat pian ongelman edessä: miten varmistaa riittävä tietoturvan taso? Tessa Viitanen löysi ratkaisun automaatiosta.

eun tietosuoja.jpg

Tunnetko tarinan strutseista nimeltä Kaikki, Joku, Kuka tahansa ja Ei kukaan? EU:n tietosuojamörkö pyysi strutseja tekemään pienen tehtävän ja jokainen nyökytti, että tehdään. Kuka tahansa olisi voinut sen työn tehdä, mutta Ei kukaan tehnyt, Kaikki pisti pään hiekkaan ja Joku jäi miettimään. Mihin joukkoon yrityksenne kuuluu?

Arvostan Jan Philippe Albrechtin loistavaa työtä EU-tietosuoja-asetuksen osalta, vaikka matka ei varmasti ole ollut helppo tai vähätöinen. Miksi ihmisen henkilökohtaisten tietojen tulisi ylipäätään olla turvattomampia kuin mikä tahansa tuote, mitä ostetaan markkinoilta? Tieto on nykyajan öljy, tai paremminkin kuten kollegani Tony Virtanen sen sanoiksi puki, se on nykyajan plutonium!

Aikaisemmassa blogissani kirjoitin, miksi pelkkä auditointi ja sertifiointi ei ole välttämättä paras lähestyminen EU:n tietosuoja-asetuksen täyttämiseen. Toin myös esille, miksi edelleen olen sitä mieltä, että pelkällä auditoinnilla ja sertifioinnilla saadaan aikaiseksi pitkä dominojono huteralle alustalle, jonka uudelleen pystyttäminen kaatuessaan vie aikaa enemmän kuin se, että jokaisen dominopalikan pöytään kiinnityksen laatu varmistetaan tasaisesti.

Kaivoin pääni puskasta ja lähdin tonkimaan internetin uumenia, mistä löysin juuri aiheeseen sopivan SANS Instituten raportin, jotta saisin hieman jotain konkretiaa asian tueksi. Raportti voidaan kiteyttää lauseeseen: ”Yksikään sertifioiduista pankeista tietovuodon sattuessa ei ollut enää 'Compliant'."

Olen toki sitä mieltä, että auditoinnit on hyvä toteuttaa, mutta auditoidaanko pistemäisesti per ratkaisu, toistaen samat tekniset prosessit uudelleen ja uudelleen? Olemmeko jumittuneet IT-alalla liitukaudelle?

Prosessiautomaation historia opettaa

Lähdin Digialla ratkaisemaan teknistä auditointiproblematiikkaa hyvin yksinkertaisella kaavalla: prosessiautomaatiolla, jota on käytetty tehtaissa jo 1930-luvulta lähtien, kunkin vuosikymmenen teknologian mahdollistavien prosessointitehojen mukaisesti. Laatu ja turvallisuus olivat tuolloin tärkeimpiä parametreja, jotka sisälsivät useita kontrolleja. Tähän samaan olen pohjannut myös tietosuoja-asetuksen jatkuvan auditoinnin ratkaisun, koska tietovuotohan on tavallaan IT-alan tapaturma ja turvapoikkeama. Se on myös analytiikkaa, ja uskon, että analytiikkaa osataan parhaiten juurikin aloilla, jossa se kuuluu päivittäiseen työhön.

Minulle heräsikin kysymys, koetaanko yrityksissä todella, että IT-järjestelmien tietoturva ja tietosuoja ovat laatuparametreina kompleksisempia automatisoida kuin esimerkiksi öljy- lääke- tai kaasun tuotantolaitokset, ja mistä tällainen ajatusmaailma oikein johtuu? Johtuuko se siitä, että laatu tuli IT-alalle vasta 2000- luvun alussa? Vai ihan vain sen vuoksi, että asioita on tehty vuosikymmen samalla prosessilla ja oletetaan, että nämä kapasiteetin ja saatavuuden hallintaan rakennetut monitorointijärjestelmät kykenevät tietosuoja-asetuksen mukaisten tietosuoja- ja tietoturvavaatimuksien tiedon tuottamiseen?

Laatu on sekä manuaalista, että automaattista tietojenkäsittelyä.

Kun aikoinaan tein töitä sekä muovitehtaan- ja lääketehtaan laadunvalvonnassa 90-luvun lopulla, silloinkin kyettiin tekemään kompleksisemman tason laatulaskennat, analytiikat ja automaatiot, vaikka tietokoneiden prosessointikapasiteetit eivät olleet lähelläkään nykyaikaa. Välissä oli vaan enemmän kontrollikomponentteja kuin nykyaikana. Kontrollisääntöjäkin oli tuolloin huomattavasti enemmän kuin IT-alan yhdessäkään standardissa.

Laatu on sekä manuaalista, että automaattista tietojenkäsittelyä. Koskien tietosuoja-asetusta, on mielestäni tärkeämpää, että tekniset kontrollit automatisoidaan, automaatio auditoidaan ja voilà, saadaan jatkuvaa metriikkaa siitä, miten tietosuoja-asetuksen vaatimukset täyttyvät ja pystytään reagoimaan hetkessä poikkeamiin pakottavin kontrollein.

Manuaaliset prosessit, joihin liittyy ihminen, joudutaan joka tapauksessa auditoimaan ja henkilöt sitä ennen kouluttamaan, aivan kuten tehtaissa auditoidaan työturvallisuus ja työmenetelmät. Näin saadaan loistava peruspohja tietosuojalle ja tietoturvalle, jota on helppo kehittää eteenpäin lisäämällä kontrolleja tai muuttaa vanhentuneita. Automatisoitujen kontrollien versioiden hallintakin helpottuu. Tällöin yrityksen kokonaisvaltaisen tietoturvantaso pysyy tasalaatuisena, eikä tekniseen velkaan tarvitse enää investoida vuosittaisilla budjeteilla ja tehdä koko vuosi töitä sen eteen, että saadaan taas uusi sertifikaatti. Teknisestä velasta kirjoitti jokin aika sitten kollegani Tero Niemistö.

Huomioi myös kustannukset

Suosittelen selvittämään, paljonko yksi auditointiraportti on yrityksellenne maksanut, jonka jälkeen huomioi vielä, ettei se yksi kerta tule enää riittämään, ja paljonko maksaa toimia vastoin EU:n tietosuoja-asetusta? Tässä suosittelen myös huomioimaan, ettei kyseessä ole pelkkä sanktio, vaan myös korvausvelvollisuus saattaa kasvattaa hintaa huomattavasti oikeusjuttuineen. Kumpi lopulta tulee kalliimmaksi? Haluatko tietää, missä riskit ovat nähtävillä reaaliajassa vai pelata pokeria ja jännittää, mikä auditoinnin tuloksena lopulta tulee ja siinä välissä jännittää, kuinka mahdollinen tietovuoto on ja tapahtuuko se juuri sillä hetkellä, kun yritys ei ole enää ”Compliant”?

Onko tieto vuotanut ulkoisen tekijän vuoksi?

Suosittelen myös tekemään tietovuotoon liittyvän kommunikointisuunnitelman, jos yrityksessänne ei sitä ole vielä tehty. On helpompaa, kun on valmiiksi suunniteltu prosessi, kuinka tietovuodon osalta toimitaan kuin miettiä tapahtuneen jälkeen. On hyvä myös huomioida, että suunnitelma kannattaa tehdä useamman skenaarion perspektiivistä.

Näistä esimerkkeinä seuraavat kysymykset: Onko tieto vuotanut ulkoisen tekijän vuoksi? Onko tieto vuotanut yrityksen sisältä? Onko tietoa urkittu talon sisällä? Onko tieto vuotanut heikon tietosuoja/tietoturvaprosessin vuoksi? Ostitko pilvipalvelun, mutta et lukenut pientä pränttiä, kenen vastuulla tietosisältö ja kaikki pilvestä sisään tai ulos liittyvä liikennevuo on? Oletitko, ettei tiedonsiirtoa ole tapahtunut toiseen maahan, jos tietoa esitetään tietokoneen näytöltä EU:n ulkopuolisessa maassa? Oletitko, ettet ole vastuussa, jos olet toimittanut tai myynyt tietoa kolmannelle osapuolelle eteenpäin?

Tietoisku: Tietosuoja-asetus ei vielä ole muuten täysin valmis, sillä kansalliset lait puuttuvat, ja niiden takaraja on 6.5.2018. Muutokset, joita jäsenmaat voivat asetuksen osalta tehdä ovat kokonaisuuteen verrattuna pieniä, joten ne on helppo hoitaa viimeisinä kuukausina ennen muutokseen liitännäisten sanktioiden voimaantuloa.

Seuraavassa blogissani käyn läpi, miksi EU:n tietosuoja kannattaa lähteä taklaamaan alta automaatioilla ja kuinka rakentaa yritykselle aikajana vuoteen 2018.

Digitaalisista palveluista vastaaville tahoille pieni vinkki. Uusi direktiivi astui voimaan elokuussa ja kansalliseen lakiin se tulee kirjoittaa 21 kuukaudessa. Tulen kirjoittamaan tästäkin lisää tulevissa blogikirjoituksissani, kun olen ensin pelotellut EU:n tietosuojamörön takaisin sängyn alta kaappiin mököttämään.

Lue myös Tessa Viitasen aiempi blogikirjoitus aiheesta: Kuka pelkää EU:n tietosuojamörköä?

Haluatko kuulla lisää aiheesta? Ota yhteyttä!

 

tietoturva




Tessa Viitanen | Ratkaisuarkkitehti

Tessa Viitanen | Ratkaisuarkkitehti

Tessa on laatu-, tietoturva- ja tietosuojaorientoitunut ratkaisuarkkitehti. Hänellä on kokemusta moninaisista teknologioista vuodesta 1998, vaikka kiinnostus teknologiaan heräsi jo lapsena ensimmäisen koneen ollessa Commodore 64. Tessan harrastuksiin kuuluvat musiikki, startup-yrityksessä toimiminen, kyberturvallisuusopinnot Metropoliassa, sekä lomailu lainelautailun parissa.

Kirjoittajan kaikki blogitekstit

Tilaa blogikirjoitukset sähköpostiisi




Seuraa meitä somessa

LinkedIn Twitter Facebook YouTube YouTube