Tietojen eheys pilvipalvelussa
Maailman organisaatiot tallentavat yhä enemmän tietojaan pilvipalveluihin. Tämä on periaatteessa hyvä asia, koska pilvipalvelu on lähes aina turvallisempi kuin paikallinen toimisto tai yrityksen oma tietokeskus. Valitettavasti turvallisuus ei aina pysy mukana pilvipalveluun tallennettavien tietojen määrän kasvussa. Esimerkiksi kaikki eivät salaa dataa ”lepotilassa”, eivätkä kaikki ole täysin tietoisia siitä, mitä dataa yrityksen pilvipalveluissa on, tai käytä DLP-toimintoja (Data Loss Prevention) suojautuakseen erilaisilta tietojen menetyksiltä. Monet yritykset sallivat lisäksi pääsyn yrityksen hyväksymiin pilvipalveluihin henkilökohtaisilta laitteilta, mikä voi johtaa arkaluonteisen tiedon lataamiseen pilvestä hallitsemattomalle henkilökohtaiselle laitteelle.
Jos käsittelet arkaluontoisia tietoja – etenkin henkilötietoja ja asiakastietoja – on erittäin tärkeää, että kaikki on asetettu oikein, että sinulla on oikeat turvallisuusmenettelyt (joita myös noudatetaan) ja täysi näkyvyys siihen, missä ja miten tietoja säilytetään ja suojataan.
Pilvipalvelusi voivat olla GDPR-asetuksen säännösten vastaisia
Henkilötietojen käsittelyä koskevat säännökset ovat olleet voimassa jo muutaman vuoden, ja tähän asti suuret yhdysvaltalaiset pilvipalvelujen tarjoajat ovat nojautuneet niin sanottuun Privacy Shield -sopimukseen. EU:n tuomioistuimen kumottua Privacy Shield -sopimuksen ei kuitenkaan ole enää sallittua viitata pelkästään tähän sopimukseen osoittaakseen EU-yhteensopivuuden. Sen sijaan jokaisen yksittäisen yrityksen on nyt arvioitava, onko suojaus riittävä GDPR-vaatimusten noudattamisen takaamiseksi.
Tietojen salaus voi olla tällainen suoja organisaatiolle, mutta on tärkeää muistaa, että todistustaakka on tässä tapauksessa yksittäisellä yrityksellä. Yksittäisen yrityksen on siis pystyttävä takaamaan, että mikään ulkoinen organisaatio (kuten esimerkiksi Yhdysvaltain NSA) ei ole murtanut nykyisiä salausasteita. Tällainen takuu on yksittäisille organisaatioille erittäin vaikea, ellei jopa mahdoton antaa.
Yhteenvetona voidaan siis todeta, että olemme tilanteessa, jossa on lisääntynyt riski, että arkaluontoiset tiedot joutuvat vääriin käsiin – mikä voi lopulta vaikuttaa myös taloudellisesti yrityksiin, jotka käsittelevät tietoja. Alla on muutamia tärkeitä asioita, jotka kaikkien henkilötietoja (kuten asiakastietoja) käsittelevien on varmistettava ja otettava huomioon.
5 vinkkiä herkän datan suojaamiseen
Pilvipalvelujen läpinäkyvyyden varmistaminen ja arkaluontoisten tietojen suojaaminen ei ole niin vaikeaa kuin miltä se saattaa vaikuttaa. Tärkeintä on tietää, mistä aloittaa ja mihin keskittyä. Kyse on sekä teknisistä ratkaisuista, toimintaperiaatteista ja menettelytavoista että kaikkien työntekijöiden tietoisuuden lisäämisestä.
- Valitse pilvipalvelu, joka takaa sääntöjen noudattamisen
Tutustu huolellisesti siihen, mitkä tietosuojalait ovat voimassa maassa, jossa tietosi tallennetaan, esimerkiksi GDPR EU:ssa, ja onko olemassa muita lakeja, jotka voivat olla kansallisia lakeja voimakkaampia, esimerkiksi Yhdysvaltain CLOUD Act. Muista, että tietojen ja sovellusten sääntelyyn vaikuttaa pilvipalveluntarjoajan kotipaikka, ei datakeskuksen maantieteellinen sijainti.
- Salaus on välttämätöntä
Kun siirryt pilvipalveluun tai vaihdat pilvipalvelua, sinun on varmistettava, että alustasi ja pilvipalvelusi tarjoavat mahdollisuuden salata tiedot – sekä silloin, kun tiedot ovat tallennettuina pilvipalveluun, että silloin, kun tietoja siirretään tai jaetaan liikekumppaneiden kanssa. Pysy myös ajan tasalla salauksesta – salaustekniikat ja -prosessit kehittyvät erittäin nopeasti. Organisaatiot, jotka eivät ole tarkastaneet ja tarvittaessa päivittäneet salausmenetelmiään, ovat usein alttiita hyökkäyksille.
- Valvonta, valvonta, valvonta.
Luo laitteiden hallintastrategia, jonka avulla voit tunnistaa ja hallita kaikkien laitteiden käyttöä, joihin voidaan tallentaa tai ladata tietoja. Tämä ei vain vähennä riskiä, että verkkoosi pääsee haitallisia asioita, vaan se voi myös auttaa estämään arkaluontoisten tietojen vuotamisen vahingossa tai tahallaan. Käytä sovellusten hallintaa tarpeettoman tai riskialttiin ohjelmiston seuraamiseen ja rajoittamiseen.
Harkitse myös asiakastietojen käyttöoikeuksien rajoittamista – kaikki organisaation jäsenet eivät tarvitse pääsyä asiakkaiden henkilökohtaisiin tietoihin. Mitä vähemmän ihmisiä tarvitsee pääsyä tietoihin, sitä vähemmän hyökkääjillä on mahdollisuuksia löytää heikko kohta ja varastaa tietoja.
Voi olla myös hyvä idea erottaa verkostosi toisistaan. Nykypäivän kyberrikolliset haluavat saada käsiinsä muutakin kuin vain käyttäjän salasanan ja muutaman tiedoston – he haluavat pääsyn back-end-tietokantoihisi, PoS-verkkoosi ja testiverkkoosi. Harkitse siis verkkojen erottamista tehokkailla palomuureilla, jotka käsittelevät sisäisiä osastoja potentiaalisesti vihamielisinä toisilleen, sen sijaan että sinulla olisi yksi suuri ”sisäinen” este pelättyä ”ulkoista” maailmaa vastaan.
- Älä unohda perusturvallisuusominaisuuksia
On olemassa joukko asioita, jotka sinun tulisi aina pitää työkalupakissasi turvallisuustyötä varten – riippumatta siitä, puhummeko henkilötietojen suojaamisesta pilvipalvelussa vai muualla. Varmista esimerkiksi, että sinulla on tehokas päätelaitteiden, verkon ja sähköpostin suojaus, joka suodattaa pois suurimman osan roskapostista, haittaohjelmista ja tiedostoista. Opeta työntekijöillesi, että heidän tulee suhtautua epäilevästi sähköposteihin, erityisesti niihin, joissa on liitteitä, ja ilmoittaa aina IT-osastolle kaikista epätavallisista sähköposteista tai liitteistä. Valitettavasti yhä liian monet yritysten työntekijät lataavat vahingossa haittaohjelmia klikkaamalla sähköpostiviesteissä olevia linkkejä tai liitteitä.
Lisäksi sinun tulee tietysti noudattaa tiukkoja salasanakäytäntöjä: älä salli lemmikkien nimiä, syntymäpäiviä tai suosikkijoukkueita kirjautumistunnuksina pilvipalvelualustoille, joihin on tallennettu arkaluontoisia tietoja. Jos mahdollista, ota aina käyttöön monivaiheinen todennus – itse asiassa monet ovat alkaneet puhua salasanojen poistamisesta kokonaan ja niiden korvaamisesta esimerkiksi biometrisillä ratkaisuilla.
Niin kutsuttu ”varjo-IT” on tilanne, jossa työntekijät käyttävät lukemattomia pilvipalveluita sinun tietämättäsi. Yritä saada yleiskuva siitä, mitä palveluita organisaatiossasi todella käytetään ja miten niitä käytetään. Kerro työntekijöillesi, että on erittäin sopimatonta siirtää arkaluontoisia yritystietoja yksityiseen Dropbox-tiliin tai vastaavaan. Vaikka se onkin hetkellisesti ”kätevämpää”, se voi lisätä huomattavasti riskiä, että tiedot joutuvat vääriin käsiin (varsinkin jos Dropbox-tilin salasana on heikko tai sitä ei ole koskaan vaihdettu).
Päivitysten nopea ja jatkuva asentaminen on toinen erittäin tärkeä osa tietoturvatyötäsi. Tunnettuja, mutta päivittämättömiä tietoturva-aukkoja hyödynnetään rikollisten toimesta erittäin usein hyökkäysvälineinä. Valitettavasti päivitysten asentaminen jää kuitenkin usein jälkeen ja sen prioriteetti on alhainen. Harkitse siksi työkalujen tai palveluiden hankkimista, jotka hoitavat päivitykset puolestasi. Näin varmistat, että käyttöjärjestelmäsi ja sovelluksesi ovat aina ajan tasalla uusimpien tietoturvakorjausten kanssa.
- Säästä vain ehdottoman välttämättömät asiat
Tarpeettoman asiakastiedon kerääminen ei ole vain energian ja resurssien tuhlausta, vaan se myös tarjoaa hyökkääjille suuremman kassaholvin, johon kohdistaa hyökkäyksensä. Se voi myös helposti saada asiakkaat huolestumaan ja miettimään, miksi sinun on kerättävä niin paljon tietoa. Kerää ja tallenna siis vain se, mitä todella tarvitset liiketoimintatarkoituksiin. Voit myös mennä askeleen pidemmälle ja tarjota asiakkaille mahdollisuuden itse valita, haluavatko he jakaa henkilökohtaisia tietojaan kanssasi vai eivät.
Sen sijaan, että yrität aina saada mahdollisimman paljon irti asiakkaan tiedoista (monet yritykset tekevät edelleen asiakkaistaan automaattisesti postituslistan tilaajia heti kaupan jälkeen), voit harkita kaikkien tietojen tuhoamista, kun yrityksesi on lopettanut viestinnän heidän kanssaan. Tällainen turvallisuusajattelu vahvistaa asiakkaiden luottamusta tietosuojatyöhön.
Lopuksi – tee asiakkaan yksityisyydestä kaikkien prioriteetti
Henkilötietojen suojelu koskee kaikkia. Asiakasturvallisuus on liian tärkeä asia, jotta se voitaisiin jättää vain joidenkin valikoitujen henkilöiden hoidettavaksi. Kun olet ottanut käyttöön kattavat turvallisuusmenettelyt ja -käytännöt, varmista, että kaikki organisaatiossasi ymmärtävät ne ja – ennen kaikkea – noudattavat niitä. Esimerkiksi sinun tulisi painottaa erityisesti sitä, että työntekijäsi ymmärtävät omien laitteiden tai verkkojen käytön potentiaaliset riskit toimiston ulkopuolella.
