Mitäs tietoja täällä oikein säilötäänkään?

gdpr tech

Joulu on tulossa. Ja joulupukki jos kuka kerää henkilöihin liittyviä tietoja. No, mehän emme tiedä mihin joulupukki tallentaa tietonsa ja miten hän pääsee käsiksi laajoihin tietovarantoihinsa. Jokainen voi tietty kuvitella näitä hiljaa itsekseen. Toki joitain tietoja joulupukin harjoittamista tiedonkeruumetodeista sisältyy kansanperinteeseen.

EU:n yleiseen tietosuoja-asetukseen voidaan tulkita liittyvän samantyyppistä kaikkivoipaisuuden ajatusta kuin joulupukin toiminnassa. Mitä tietovarantoja organisaatiolla on ja missä niissä on henkilöön liittyvää tietoa?

Olisi ihan kätevää jos kaikki olisi tarkkaan järjestellyissä ja hallinnoiduissa tietokannoissa (kuten ehkä joulupukillakin). Käytäntö kuitenkin osoittaa ettei näin ole. Ja sattumia, poikkeustilanteita, monimutkaisia tapahtumaketjuja ja muutoksia sisältävän tosielämän tuntemus kertoo, ettei näin voikaan ainakaan kaiken aikaa olla.

No, ei tietosuojavaltuutetun toimistolla kaiketi ole resursseja mennä tonkimaan yksittäisen firman tietovarantoja. Toisaalta yleisen hygienian, firman resurssien- sekä riskinhallinnan kannalta voisi olla hyvä tietää mitä kaikkea tietovarannot pitävät sisällään.

Entä sitten se työkalupuoli? Veritas, Varonis ja Micro Focus ovat kukin kehittäneet tähän omat ratkaisunsa. Näistä meillä on eniten kokemusta Veritaksen Data Insightista.

Ennen kesää 2017 Data Insightissa ei ollut sisältöskannausta eli varsinaista “tietosuojavaltuutetun ystävä”- ominaisuutta. Kesästä 2017 lähtien olemme käyneet läpi paljon tiedostoja, joista pukki ei kyllä olisi iloinen – voisi jäädä lahjat saamatta.

Data Insightissa on monia muitakin riskienhallintamielessä käyttökelpoisia ominaisuuksia kuten:

  • Sisällön luokittelun kautta riskien helpompi tunnistaminen – mistä korjataan ensin
  • tiedon omistajan tunnistaminen – eli kuka hyväksyy tiedon poiston
  • tieto siitä kuka on nähnyt datan / “data leak investigation”
  • epätarkoituksenmukaisten / liian lepsujen pääsyoikeuksien tunnistaminen
  • passiivisen datan hallinta
  • tiedon käytön ja yhteiskäytön sekä käyttöaktiivisuuden analyysi / mallintaminen.

Kokemuksemme rakenteettoman tiedon kartoituksesta kertoo, että aina tai lähes aina löytyy mm. seuraavia huomiota herättäviä asioita:

  • tiedostoja väärissä paikoissa, tätä kautta liikaa pääsyoikeuksia
  • suuria määriä poistuneiden/poistettujen käyttäjien tiedostoja
  • yksittäisille käyttäjille myönnetyt käyttöoikeudet (käyttöoikeuksien tulisi aina olla käyttäjäryhmäkohtaisia)

Rakenteettoman tiedon tietovarannossa on kokemuksemme mukaan yleensä aina noin 30% tietoa, mikä voitaisiin helposti siivota tarpeettomana (pois levyltä ja varmuuskopioista). Lisäksi yleensä noin 5-10% on kyseenalaisia tiedostoja, jotka pitäisi riskienhallintamielessä tutkia. Esim. 1M tiedoston varannossa tämä tarkoittaisi 50 000 – 100 000 tiedostoa. Ei kovin motivoiva työtehtävä ja tulkittavissa ehkä jopa simputukseksi jos näitä käsin aletaan tutkimaan.

Rakenteettoman tiedon kartoitus (tiedostopalvelin, SharePoint ja O365 -ympäristöt) on mahdollista toteuttaa kertaskannauksena tai jatkuvana palveluna. Mitä “vilkkaampi” ympäristö, mitä enemmän käyttäjiä ja tapahtumia, mitä arkaluonteisempaa tietoa, sitä riskialttiimpaa ja sitä tiukemmin ote rakenteettoman(kin) tiedon hallinnasta pitäisi ottaa.

Joulu tulee tänäkin vuonna. Valmistaudu ajoissa. Hyvää joulunodotusta kaikille!

Terveisin Mervi ja GDPR Techin tontut

Muista: Kansallinen tietosuojalaki hyväksyttiin eduskunnassa 13.11.2018. Laki tulee voimaan presidentin esittelyn jälkeen.