Yhä enemmän arkaluontoista tietoa pilvipalvelussa – näin suojaat sen parhaiten

Organisaatiot ympäri maailmaa siirtävät yhä enemmän tietojaan pilvipalveluihin. Tämä on pohjimmiltaan hyvä asia, sillä pilvi on lähes aina turvallisempi kuin paikallinen toimisto tai yrityksen datakeskus. Valitettavasti tietoturva ei kuitenkaan aina pysy pilvipalveluissa olevien tietojen määrän kasvun tahdissa. Kaikki eivät esimerkiksi salaa levossa olevia tietoja, kaikilla ei ole täyttä näkyvyyttä siitä, mitä tietoja pilvisovelluksissa todella on, tai he eivät käytä DLP-ominaisuuksia (Data Loss Prevention) suojautuakseen erityyppisiltä tietojen menetyksiltä. Lisäksi monet yritykset sallivat pääsyn yrityksen hyväksymiin pilvipalveluihin henkilökohtaisista laitteista, mikä voi johtaa arkaluonteisten tietojen lataamiseen pilvestä valvomattomaan henkilökohtaiseen laitteeseen.

Jos käsittelet arkaluontoisia tietoja – etenkin henkilötietoja ja asiakastietoja – on erittäin tärkeää, että kaikki on asetettu oikein, että sinulla on oikeat turvallisuusmenettelyt (joita myös noudatetaan) ja täysi näkyvyys siihen, missä ja miten tietoja säilytetään ja suojataan.

Pilvipalvelusi voivat olla GDPR-asetuksen säännösten vastaisia

Henkilötietojen käsittelyä koskeva sääntelykehys on ollut voimassa jo joitakin vuosia, ja tähän asti suurimmat yhdysvaltalaiset pilvipalvelujen tarjoajat ovat tukeutuneet niin sanottuun Privacy Shield -sopimukseen. Koska Euroopan yhteisöjen tuomioistuin kuitenkin mitätöi Privacy Shield -sopimuksen, EU-yhteensopivuuden osoittamiseksi ei voida enää vedota pelkästään tähän sopimukseen. Sen sijaan on nyt kunkin yksittäisen organisaation tehtävä arvioida, onko käytössä riittävät suojatoimet GDPR:n noudattamisen varmistamiseksi.

Tietojen salaus voi olla tällainen suoja organisaatiolle, mutta on tärkeää muistaa, että todistustaakka on tässä tapauksessa yksittäisellä yrityksellä. Yksittäisen yrityksen on siis pystyttävä takaamaan, että mikään ulkoinen organisaatio (kuten esimerkiksi Yhdysvaltain NSA) ei ole murtanut nykyisiä salausasteita. Tällainen takuu on yksittäisille organisaatioille erittäin vaikea, ellei jopa mahdoton antaa.

Kaiken kaikkiaan olemme siis tilanteessa, jossa on lisääntynyt riski, että arkaluonteiset tiedot joutuvat vääriin käsiin – mikä voi lopulta vaikuttaa myös taloudellisesti yrityksiin, jotka käsittelevät tietoja.

Alla on muutamia tärkeitä asioita, jotka kaikkien henkilötietoja (kuten asiakastietoja) käsittelevien on varmistettava ja otettava huomioon.

5 vinkkiä herkän datan suojaamiseen

Pilvipalvelujen läpinäkyvyyden varmistaminen ja arkaluontoisten tietojen suojaaminen ei ole niin vaikeaa kuin miltä se saattaa vaikuttaa. Tärkeintä on tietää, mistä aloittaa ja mihin keskittyä. Kyse on sekä teknisistä ratkaisuista, toimintaperiaatteista ja menettelytavoista että kaikkien työntekijöiden tietoisuuden lisäämisestä.

1. Valitse pilvipalvelu, joka takaa sääntelyn noudattamisen.

Tutustu huolellisesti siihen, mitkä tietosuojalait ovat voimassa maassa, jossa tietosi tallennetaan, esimerkiksi GDPR EU:ssa, ja onko olemassa muita lakeja, jotka voivat olla kansallisia lakeja voimakkaampia, esimerkiksi Yhdysvaltain CLOUD Act. Muista, että tietojen ja sovellusten sääntelyyn vaikuttaa pilvipalveluntarjoajan kotipaikka, ei datakeskuksen maantieteellinen sijainti.

2. Salaus on välttämätöntä.

Kun siirryt pilvipalveluun tai vaihdat pilvipalvelua, sinun on varmistettava, että alustasi ja pilviratkaisusi tarjoavat mahdollisuuden salata tietoja - sekä silloin, kun tietoja tallennetaan pilvipalveluun, että silloin, kun tietoja siirretään tai jaetaan liikekumppaneiden kanssa. Pysy myös ajan tasalla salauksen suhteen - salaustekniikat ja -prosessit kehittyvät hyvin nopeasti. Organisaatiot, jotka eivät ole tarkistaneet ja tarvittaessa päivittäneet salauskäytäntöjään, ovat usein alttiita hyökkäyksille.

3. Valvonta, valvonta, valvonta.

Luo laitteiden hallintastrategia, jonka avulla voit tunnistaa ja hallita kaikkien laitteiden käyttöä, joihin voidaan tallentaa tai ladata tietoja. Tämä ei vain vähennä riskiä, että verkkoosi pääsee haitallisia asioita, vaan se voi myös auttaa estämään arkaluontoisten tietojen vuotamisen vahingossa tai tahallaan. Käytä sovellusten hallintaa tarpeettoman tai riskialttiin ohjelmiston seuraamiseen ja rajoittamiseen.

Harkitse myös asiakastietojen käyttöoikeuksien rajoittamista – kaikki organisaation jäsenet eivät tarvitse pääsyä asiakkaiden henkilökohtaisiin tietoihin. Mitä vähemmän ihmisiä tarvitsee pääsyä tietoihin, sitä vähemmän hyökkääjillä on mahdollisuuksia löytää heikko kohta ja varastaa tietoja.

Voi olla myös hyvä idea erottaa verkostosi toisistaan. Nykypäivän kyberrikolliset haluavat saada käsiinsä muutakin kuin vain käyttäjän salasanan ja muutaman tiedoston – he haluavat pääsyn back-end-tietokantoihisi, PoS-verkkoosi ja testiverkkoosi. Harkitse siis verkkojen erottamista tehokkailla palomuureilla, jotka käsittelevät sisäisiä osastoja potentiaalisesti vihamielisinä toisilleen, sen sijaan että sinulla olisi yksi suuri ”sisäinen” este pelättyä ”ulkoista” maailmaa vastaan.

4. Älä unohda perusturvallisuusominaisuuksia.

On olemassa joukko asioita, jotka sinun tulisi aina pitää työkalupakissasi turvallisuustyötä varten – riippumatta siitä, puhummeko henkilötietojen suojaamisesta pilvipalvelussa vai muualla. Varmista esimerkiksi, että sinulla on tehokas päätelaitteiden, verkon ja sähköpostin suojaus, joka suodattaa pois suurimman osan roskapostista, haittaohjelmista ja tiedostoista. Opeta työntekijöillesi, että heidän tulee suhtautua epäilevästi sähköposteihin, erityisesti niihin, joissa on liitteitä, ja ilmoittaa aina IT-osastolle kaikista epätavallisista sähköposteista tai liitteistä. Valitettavasti yhä liian monet yritysten työntekijät lataavat vahingossa haittaohjelmia klikkaamalla sähköpostiviesteissä olevia linkkejä tai liitteitä.

Lisäksi sinun tulee tietysti noudattaa tiukkoja salasanakäytäntöjä: älä salli lemmikkien nimiä, syntymäpäiviä tai suosikkijoukkueita kirjautumistunnuksina pilvipalvelualustoille, joihin on tallennettu arkaluontoisia tietoja. Jos mahdollista, ota aina käyttöön monivaiheinen todennus – itse asiassa monet ovat alkaneet puhua salasanojen poistamisesta kokonaan ja niiden korvaamisesta esimerkiksi biometrisillä ratkaisuilla.

Niin kutsuttu ”varjo-IT” on tilanne, jossa työntekijät käyttävät lukemattomia pilvipalveluita sinun tietämättäsi. Yritä saada yleiskuva siitä, mitä palveluita organisaatiossasi todella käytetään ja miten niitä käytetään. Kerro työntekijöillesi, että on erittäin sopimatonta siirtää arkaluontoisia yritystietoja yksityiseen Dropbox-tiliin tai vastaavaan. Vaikka se onkin hetkellisesti ”kätevämpää”, se voi lisätä huomattavasti riskiä, että tiedot joutuvat vääriin käsiin (varsinkin jos Dropbox-tilin salasana on heikko tai sitä ei ole koskaan vaihdettu).

Päivitysten nopea ja jatkuva asentaminen on toinen erittäin tärkeä osa tietoturvatyötäsi. Tunnettuja, mutta päivittämättömiä tietoturva-aukkoja hyödynnetään rikollisten toimesta erittäin usein hyökkäysvälineinä. Valitettavasti päivitysten asentaminen jää kuitenkin usein jälkeen ja sen prioriteetti on alhainen. Harkitse siksi työkalujen tai palveluiden hankkimista, jotka hoitavat päivitykset puolestasi. Näin varmistat, että käyttöjärjestelmäsi ja sovelluksesi ovat aina ajan tasalla uusimpien tietoturvakorjausten kanssa.

5. Säilytä vain ehdottomasti välttämättömät tavarat.

Tarpeettoman asiakastiedon kerääminen ei ole vain energian ja resurssien tuhlausta, vaan se myös tarjoaa hyökkääjille suuremman kassaholvin, johon kohdistaa hyökkäyksensä. Se voi myös helposti saada asiakkaat huolestumaan ja miettimään, miksi sinun on kerättävä niin paljon tietoa. Kerää ja tallenna siis vain se, mitä todella tarvitset liiketoimintatarkoituksiin. Voit myös mennä askeleen pidemmälle ja tarjota asiakkaille mahdollisuuden itse valita, haluavatko he jakaa henkilökohtaisia tietojaan kanssasi vai eivät.

Sen sijaan, että yrität aina saada mahdollisimman paljon irti asiakkaan tiedoista (monet yritykset tekevät edelleen asiakkaistaan automaattisesti postituslistan tilaajia heti kaupan jälkeen), voit harkita kaikkien tietojen tuhoamista, kun yrityksesi on lopettanut viestinnän heidän kanssaan. Tällainen turvallisuusajattelu vahvistaa asiakkaiden luottamusta tietosuojatyöhön.

Lopuksi – tee asiakkaan yksityisyydestä kaikkien prioriteetti

Henkilötietojen suojelu koskee kaikkia. Asiakasturvallisuus on liian tärkeä asia, jotta se voitaisiin jättää vain joidenkin valikoitujen henkilöiden hoidettavaksi. Kun olet ottanut käyttöön kattavat turvallisuusmenettelyt ja -käytännöt, varmista, että kaikki organisaatiossasi ymmärtävät ne ja – ennen kaikkea – noudattavat niitä. Esimerkiksi sinun tulisi painottaa erityisesti sitä, että työntekijäsi ymmärtävät omien laitteiden tai verkkojen käytön potentiaaliset riskit toimiston ulkopuolella.