Toukokuista GDPR-loppupaniikkia voi verrata takavuosien milleniumiin: paljon katastrofipuheita, ennakkoluuloja sekä pelkoja – ja lopulta maailmanloppu ei koittanutkaan, ja hiilitabletitkin jäivät käyttämättä.
”Kaikki haluavat tietysti noudattaa GDPR:n vaatimuksia. Tärkeintä on sisäistää, että GDPR on jatkuva ja monimutkainen prosessi, joka edellyttää yrityksiltä jatkuvaa itsearviointia. Huomioitavia asioita on paljon, ja ne liittyvät muun muassa käytössä olevaan teknologiaan sekä itse organisaatioon ja sen jäseniin”, toteaa Roberto Camilli Bird & Bird -yhtiöstä. ”Aina kun liiketoimintaa kehitetään tai tuodaan markkinoille uusia palveluita, pitää varmistaa, että kaikki toteutuu GDPR:n mukaisesti.”
Hunajapurkit on sinetöity hyvin – mutta myös palveluita käyttävien asiakkaiden tulee suojautua
Ensimmäiset GDPR-aikakauden tietovuodot ovat jo tapahtuneet. 28.6.2018 uutisoitiin haittaohjelman päässeen Ticketmasterin tietoihin. Yhtiön mukaan osa sen asiakkaiden henkilö- ja maksutiedoista on saattanut päätyä tuntemattoman kolmannen osapuolen haltuun. Yhtiöllä on asiakkaita myös Suomessa.
Camilli painottaa, että tietovuotoja tulee tapahtumaan jatkossakin, sillä hakkerit eivät ole kadonneet maailmasta mihinkään, ja verkkorikollisuus on globaalisti iso bisnes.
”Yritysten täytyy varautua tietovuotoihin ja niiden seurauksiin. Jos varautuminen on ollut asianmukaista, yritys ei välttämättä joudu maksamaan sakkoja.”
Datakeskuksia voidaan pitää hakkereiden hunajapurkkeina, joihin iskeminen on houkuttelevaa.
”Datakeskuspalveluita tarjoavilla yrityksillä on kyllä varsin korkeat tietoturvapolitiikat, mutta myös datakeskusten palveluita käyttävien asiakkaiden täytyy huolehtia, että niiden prosessit ja toimintatavat ovat tietosuoja-asetuksen mukaisia ja tietoturvallisia”, 4D Data Centres -yhtiön toimitusjohtaja Jack Bedell-Pearce muistuttaa.
Datakeskus- ja pilvipalveluita käyttävä yritys on aina itse vastuussa keräämistään tiedoista ja niiden käsittelystä
Yritykset vastaavat henkilötiedoista, joita ne keräävät ja käsittelevät. Vastuuta ei voi ulkoistaa kolmannelle osapuolelle.
”Yritykset vastaavat muun muassa siitä, miten tiedot suojataan, miten niitä käsitellään ja miten ne hävitetään. Datakeskus- ja pilvipalveluntarjoajat katsotaan datan prosessoijiksi, ja näitä palveluita käyttävillä asiakkailla on myös vastuu varmistaa, että datan prosessoija huolehtii omalta osaltaan GDPR:n asetusten toteutumisesta”, selventää Telian Senior Development Manager Eero Lindqvist.
Telia tarjoaa asiakkailleen datakeskus- ja pilvipalveluita. Esimerkiksi Telian uudessa datakeskuksessa Helsingissä tietoturva on varsin korkealla tasolla.
”Turvallisuus on huomioitu kaikessa, kuten tiukassa kulunvalvonnassa. Rakennuksen fyysisestä turvallisuudesta huolehditaan muun muassa ympärivuorokautisella vartioinnilla sekä erilaisilla rakenteellisilla ratkaisuilla”, Lindqvist kertoo. ”Datakeskuksessa on myös esimerkiksi julkishallinnon VAHTI-vaatimukset täyttäviä tiloja.”
Myös sertifioinnit takaavat erittäin korkean tietoturvatason. Telia Helsinki Data Centerille on haettu ISO 27001 -tietoturvasertifikaatin lisäksi ISO 22301 -sertifikaattia, joka tulee olemaan Suomessa ensimmäinen laatuaan. ISO 27001 -sertifikaatti takaa, että datakeskuksen prosessit ja toiminnot ovat tietoturvan osalta asianmukaisella tasolla, ja ISO 22301 -sertifikaatti varmistaa toiminnan jatkuvuuden hallinnan.
”Datakeskusten tietoturvapolitiikat eivät kuitenkaan auta tilanteessa, jossa pilvipalveluita käyttävä asiakas siirtää datansa pilveen ja jättää sen suojaamatta, jolloin tiedot ovat kaikkien halukkaiden saatavilla. Tämmöisiä tapauksia ilmenee yllättävän paljon, ja esimerkiksi hakkereille se tarkoittaa sitä, että niiden ei edes tarvitse murtautua yrityksen tietojärjestelmiin, vaan ne voivat vapaasti lukea suojaamattoman tiedon pilvipalvelusta.”
Tuoreimmasta tapauksesta kerrottiin mediassa 27.6.2018, kun Exactis-yhtiö jäi kiinni 340 miljoonan ihmisen tietojen vuotamisesta nettiin. Wiredin mukaan vuotanut tietokanta on ollut julkisesti saatavilla olevalla palvelimella, ja tietokantaa ei oltu suojattu millään tavalla.
”Yritysten tulee varmistaa, että niiden omat prosessit ja ohjeistukset ovat kunnossa. Tietovuotoja ei välttämättä pysty välttelemään ikuisesti, mutta tyhmä ei kannata olla. Sanktiot voivat tällöin olla monessakin mielessä mittavat”, Lindqvist muistuttaa.
Kirjoitus pohjautuu DataCloud Europe 2018 -tapahtuman paneelikeskusteluun, johon osallistuivat Roberto Camilli Bird & Bird -yhtiöstä, Jack Bedell-Pearce 4D Data Centres -yhtiöstä, Olivier Labbe Cap Ingelecistä sekä Alex Rabbetts EUDCA:sta. Lisäksi artikkeliin on haastateltu Telian asiantuntijaa Eero Lindqvistiä.