Pienenkin muutoksen jalkauttamiseen kannattaa panostaa

GDPRTech

Juha kirjoitti Marraskuun blogissaan suunnittelun ja valvonnan merkityksestä tietosuojan tason takaajina – tärkeitä asioita molemmat. Hyvin suunniteltu tarkoittaa, että palveluita ja järjestelmiä on myös helppo käyttää. Ylivoimaisesti suurin osa yritysten ja yhteisöjen työntekijöistä ei GDPR:stä juurikaan tiedä tai välitä: tämä on ihan normaalia eikö fanaattisinkaan tietoturvapiällikkö tai tietosuojavastaava voi enempää toivoa.

Juuri siksi suunnitteluvaiheessa on tärkeätä pohtia, miten GDPR:n vaatimukset organisaation sisäisesti kommunikoidaan, koulutetaan ja toteutetaan.

Kommunikointi olisi hyvä aloittaa jo hankkeen siinä vaiheessa, jossa tiedetään mitä ja minkälaista dataa säilötään ja käytetään, eli juuri kun datan tila ja tarve on kartoitettu. Valitettavan usein viestintä jää pariin sähköpostiin, joissa voivotellaan kiusaa, jonka lainsäätäjä on meille yksipuolisella ilmoituksella antanut ja jota nyt vaan on pakko noudattaa. Ohjeistuksessa kerrotaan sitten muutamalla ranskalaisella viivalla vain se mitä ei saa tehdä.

 Mielestäni tässä vaiheessa on riski tehdä ensimmäinen virhe, ja aika kallis sellainen. Pakko on huono motivaattori: jos henkilökunnalle edes pääpiirteittäin selitetään, mistä on kyse ja miten väärinkäytökset voivat vaikuttaa liiketoimintaan, ihmismielen on vaivattomampaa omaksua asia ja motivoitua tietosuojatyöhön. GDPR on hankalasti tulkittavaa lakitekstiä ilman suoranaisia ohjeita siitä, miten asiat pitää hoitaa. Silti siitä voidaan tunnistaa tarpeellisia käytännön toimia, jotka voidaan organisaatiossa myös suunnitella käytettävyydeltään vaivattomiksi.

Henkilökunnalle suunnattu koulutus pitäisi aina muokata asiakkaan tarpeita ja tilannetta vastaavaksi eikä oikoa mutkia ja kopioida suoraan mitä on aikaisemmin tehty. Tällöin otetaan huomioon perustelut tietosuojatyölle, jolloin henkilökunnan on helpompi ymmärtää ja hyväksyä sille asetetut vaatimukset. Tietosuoja on toki yrityksen vastuulla, mutta töppäily omassa työssä yleensä tekee hallaa urakehitykselle tai voi jopa olla sen loppu. Tietämättömyys ei ole enää käyttökelpoinen peruste.

Käytettävyys valitettavan usein jää kauniiden esitysten ja kaavioiden tasolle, joita laadittaessa henkilökunnan kokemuksia ja osaamista ei kuunnella. Kuka tietää paremmin kuin henkilökunta miten yrityksessä hoidetaan asiat? Palvelumuotoilun oma perisynti taas on testauksen puute jo suunnitteluvaiheessa; käytännössä prosessit usein kopioidaan eivätkä välttämättä sovi kyseisiin tarpeisiin.

Summa summarum: yhteistyössä asiantuntijan kanssa suunniteltu ja toteutettu GDPR- tai tiedonkartoitusprojekti onnistuu aina paremmin kuin googlettamalla kasattu lista toimenpiteistä, joiden tulkitseminen ja toteuttaminen loppukädessä jää suurelta osin henkilökunnan tehtäväksi. Pahimmassa tapauksessa, jäävät osittain tekemättä.

Meillä GDPR Tech:ssä on osaajia myös kommunikaation, koulutuksen ja palveluiden käytettävyyden suunnittelussa. Kohtuullinen lisäpanostus muutoksen jalkauttamiseen maksaa kyllä itsensä takaisin, kun projektin tuloksia arvioidaan jälkeenpäin.

Pelkkä päiväkäsky toimia niin tai näin jää todennäköisesti otsikkotason suoritukseksi eikä turvallista henkilötietojen käsittelyä saada osaksi yrityksen tai yhteisön toimintakulttuuria.

Kirjoittaja on yritystietoturvan moniottelija joka viimeaikoina on hurahtanut palvelumuotoilun koukeroihin ja kokenut valaistumisen käytettävyydestä olennaisena osana kokonaisuutta.

Vaikutustenarviointi eli Data Protection Impact Assessment – siis mikä?

Tietosuoja-asetuksen perusteisiin kuuluu henkilötietojen käsittelyn suunnittelu. Hyvä suunnitelma johtaa yleensä hyvään toteutukseen, mutta valitettavasti sekään ei riitä. Toteutusta pitää valvoa: on varmistettava, että toteutus todella vastaa suunniteltua.

Siispä – Plan – Do – Check – Act. Kuulostaa yksinkertaiselta, mutta kuten Suomessakin on nähty ensimmäisten GDPR-sanktioiden myötä, toteutus ei välttämättä vastaa suunniteltua.

Käynnistyvän projektin alussa on hyvä miettiä vaikutustenarvioinnin (DPIA) tarpeellisuutta.

Mikäli DPIA (eli Data Protection Impact Assessment) osoittaa, että henkilötietojen suojaan kohdistuu korkea riski, tietosuojavaltuutetun ennakkokuuleminen on pakollinen. Tämä voi olla haasteellista projektin aikataulutuksen osalta, sillä asetuksen mukaan (artikla 36 ) tietosuojavaltuutetun on annettava viimeistään kahdeksan viikon kuluessa ohjeet rekisterinpitäjälle. Määräaika voi kuitenkin venyä tästä vielä kuudella lisäviikolla. Tämä voi siis venyttää projektia yli kolmella kuukaudella.

Vaikutustenarviointi voidaankin kytkeä suunniteltuun projektiin näin:

Mitäs jos kylmästi jättää vaikutustenarvioinnin tekemättä?

Siinä on melkoinen riski. Esimerkkinä suomalainen yhtiö, joka otti käyttöön ääntä ja kuvaa tallentavan kameravalvontajärjestelmän eikä tehnyt vaikutustenarviointia. Toukokuussa 2020 tietosuojavaltuutettu määräsi yhtiölle kokonaisuutena hallinnollisen sakon, joka oli 0,8 prosenttia liikevaihdosta. Sakkoon vaikuttivat myös muut puutteet henkilötietojen käsittelyssä.

Milloin se kannattaa tehdä?

Otetaan esimerkiksi yhtiö, jolla on tehdasalueellaan vanhentunut kulunvalvonta, jonka uusiminen on tarpeen. Tässä vaiheessa aletaan miettiä, onko tarpeen tallentaa kävijöiden autojen rekisteritunnus, tallennetaanko tiedot pilveen vai palvelimessa toimivaan sovellukseen ja otetaanko käyttöön uusia palveluja, jotka voivat johtaa tietojen siirtoon Yhdysvaltoihin. Tärkeitä kysymyksiä – erityisesti tuo viimeinen, sillä Privacy Shield ei enää toimi mekanismina.

Tässä tilanteessa suosittelemme vaikutustenarvioinnin tekemistä. Siihen löytyy ohjeet Tietosuojavaltuutetun sivulta. Myös meiltä saat työskentelyä tukevan taulukon pyytämällä ([email protected]). Taulukkomme on muokattu yrityskäyttöön Vantaan ja Helsingin kaupungin tekemien taulukoiden ja ohjeiden pohjalta.

Henkilötietoja suojattaessa riskien hallinta on pääroolissa.
Muistetaan siis ”Plan – Do – Check ja Act”: tuumasta toimeen, varmistetaan tekeminen – ja korjataan tarvittaessa.

Infra hallussa vai hujan hajan? Infran riskit saa hallintaan vain analytiikalla!

Ympäristöissä, joissa ylläpitovastuut ja toimittajat vaihtuvat jatkuvasti, on haastavaa muodostaa tilannekuva. Tiedon saatavuutta kaikissa tilanteissa – myös poikkeustilanteiden aikana – vaativat mm. liiketoiminta, NIS-D ja GDPR. Ja juuri saatavuuden kannalta infraratkaisu on ratkaisevassa asemassa.

Myös silloin, kun käytössä on eri infraympäristöjä kuten oma konesali, toimittajan ympäristö ja pilvipalvelut, voi kokonaisuus ja sen hallinta hämärtyä täysin. Tämä koskee yhtä lailla kustannuksia kuin toiminnan varmistamista. Onnellinen on se, jolla on vain yhden, kahden toimittajan infralaitteita. Kasvun myötä ympäristöillä on taipumus monimutkaistua, niin toimittaja- kuin ympäristömielessä.

  • Pilvipalvelua tuolta. Ulkoistettua kapasiteettia toisaalta. Omaa ympäristöä tehtailla. Kaikki vähän eri toimittajilta – Rubrik, Veeam, EMC Isilon, HP Data Protector, IBM TSM, VMware, Hyper-V, AWS, Windows, HP-UX, Red Hat, noin aluksi.

Kokonaistilanne? Käytetäänköhän tätä kaikkea enää? Mikä ohjelmistoversio on käytössä – onko päivitykset ajettu? Kaikki ympäristöt varmuuskopioitu? Onnistuisiko palautus ajassa, jonka liiketoiminnan jatkuminen vaatii? Onko ympäristöön tullut lisää virtuaalipalvelimia ja onkohan niistä varmuuskopiot pyörimässä?

Kysymysten pitäisi olla rutiinia, mutta kun seuraa medioita, näin ei ole: ”Kiristysohjelma pääsi verkkoon sisälle ja varmuuskopiot eivät toimineet”. Jos varmuuskopioita ei ole, ne eivät voi toimia.

Monessa maassa ja eri konesaleissa toimivassa organisaatiossa tilanne voikin näyttää tältä: kapasiteettia on eri alustoissa, joiden käyttö maksaa maltaita.

Säädösten ja vaatimusten mukaisuus (edelleen GDPR ja NIS-D) edellyttää, että varmuuskopioiden voidaan todentaa olevan toimivia. Tämä on toki normaali vaatimus jo liiketoiminnan jatkuvuudellekin.

Yhtenäinen näkymä kytkee yhteen eri ympäristöt. Se auttaa vastaamaan tuskaisiin kysymyksiin: onko jossain palvelimia ilman varmuuskopioita? Onko kapasiteetti hallinnassa? Mitkä ympäristöt ja järjestelmät ovat tiensä päässä tai jääneet käyttämättä?

Raportit näyttivät yhtenäisiltä, vaikka tietolähteet ovat eri valmistajien tuotteita. Ne on muodostettu työkalulla, joka kaivaa eri tietolähteistä tarpeelliset tiedot ilman agentteja ja tietoturvallisesti sekä koostaa tiedoista riippuvuuksien kautta eri syväluotaavia koosteita.

 Raporteista pääsee myös ajantasaisiin syväteknisiin näkymiin, jos niin tarvitaan.

Kyseinen työkalu on Veritas APTARE IT Analytics. Teemme APTARE:lla myös infrakartoituksia, joissa käydään läpi riittävä määrä ympäristön ydinkomponentteja. Näistä tiedoista koostetaan suositukset, joissa tunnistetaan riskit ja määritellään korjattavat kohdat. Kysy lisää tai pyydä demo.

Mitä järkevää tapahtui GDPR-vuonna 2019?

GDPR Tech täytti joulukuussa 2019 kolme vuotta. Nyt onkin hyvä hetki tarkastella, mitä on saatu aikaan. Aina jää jotakin tekemättä – niin myös meillä.

Meillä GDPR Techissä on kantavana teemana ”GDPR-asioissa järjen käyttö on sallittua”. Sillä tarkoitamme, että tietosuojatyö koostuu monesta elementistä, mutta olennaisin on se, että toimitaan järkevästi henkilötietojen suojaamisessa.

GDPR:ää pidetään monimutkaisena ja hankalana toteuttaa. Kyse on kuitenkin riskien hallinnasta ja elävien ihmisten tietojen käsittelystä. GDPR määrittää puitteita, mitä saa tehdä. Tarkoitus on yhtenäistää tietojen käsittelyyn liittyviä säännöksiä Euroopan alueella ja vähän ylikin – ei estää normaalia liiketoimintaa tai hankaloittaa arkipäivää.

Kaikkihan tietenkin toimivat lakien mukaan ja tiedoistamme pidetään huolta, miksi tätä sitten tarvitaan?

 Syy tähän on se, että viime vuosien aikana tietojamme käytetään laajemmin ja laajemmin eri tarkoituksiin – ja monet yhtiöt todella luulevat omistavansa juuri SINUN tietosi. Niin, uskoakseni ne sinunkin mielestäsi kuuluvat sinulle, eivät naamakirjalle tai kuukkelille.

Euroopassa GDPR on täyttä totta

Muutamia esimerkkejä Euroopasta: mitä mieltä olet, onko näissä järki ollut mukana?

  • Englantilainen lentoyhtiö jätti web-sivunsa teknisen ylläpidon tekemättä ja noin 500 000:n ihmisen tiedot kopioitiin vääriin käsiin. Olisiko sinusta mukava olla yksi näistä, joiden tiedot ovat jossain hyödynnettävissä väärinkäytöksille?
  • Norjalainen kunta ja sen koulu tallensivat oppilastietoja mukaan lukien käyttäjätunnus ja salasana paikkaan, josta opiskelijat pääsivät toistensa tietoihin käsiksi. Haluaisitko sinä, että lastesi opiskeluun liittyviä tietoja pääsee tutkimaan koko koulu?
  • Saksalainen sairaala ei pysynyt asiakkaiden osalta laskuissa mukana, vaan laskutti tehdyistä asioista vääriä henkilöitä. Olisiko sinusta mukavaa, että Saksassa vaihto-opiskelijana olevan lapsesi terveystietoja onkin annettu jollekulle Jörgenille?

Ei ollut näiden maiden tietosuojavaltuutetun toimistonkaan mielestä järkeä ja jokaisesta ylläolevasta on määrätty korjauskehotuksia, ja lopulta kun muu ei auttanut, myös sanktioita. Kymmenistä tuhansista satoihin miljooniin euroihin, riippuen tapauksesta.

Mitä sitten pitäisi tehdä, että toiminta täyttää GDPR:n vaatimukset vuonna 2020? Riittääkö kerran tehtävä harjoitus?

GDPR-työmme jakautuu neljään osaan, josta piirakkakaaviona oheinen:

  • Regulaatioon eli asetukseen ja säädöksiin perustuvat vastuut: tyypillisesti sopimukset ja vastuuasiat

Pelkillä lainopillisilla neuvoilla ei kuitenkaan pärjätä ja tarvitaankin kolmea muuta:

  • Ohjeistukset, koulutukset ja sovellukset
  • Tietoturva: tekninen ja hallinnollinen
  • Tiedonhallinta: rakenteellinen ja rakenteeton tieto

Kertaponnistus on hyvä alku. Tietosuojan tason pitäminen hyvänä edellyttää jatkuvaa työtä.

Hyvää alkanutta vuotta 2020! Tehdään tästäkin vuodesta turvallisempi kuin menneestä vuodesta.

Juha Sallinen

Tietopyyntö johti tietoturvaloukkaukseen!

tietopyynto_johti_tietoturvaloukkaukseen

Organisaatiolle tuli tietopyyntö erossa asuvalta lapsen isältä. Pyynnössä isä väitti olevansa lapsen huoltaja, ja siten oikeutettu saamaan lapsen terveystietoja. Isä sai tietopyynnössä puhelinyhteystiedot äidistä, lapsen vanhemmuuteen liittyvää tietoa, toisen lapsen tietoja, lastensuojelutietoja poliisiraporttina sekä myös sosiaalihenkilöiden tietoja.

Viranomainen määräsi organisaatiolle 40 000 punnan sanktiot, sillä tietovuoto oli vakava. Väärälle henkilölle ja ilman oikeutusta päästä tietoihin käsiksi toimitettiin arkaluonteista tietoa sekä alaikäisten tietoja.

Organisaatio kärsi maineriskistä, oikea huoltaja kärsi stressistä, ja tietosuojaa rikottiin. Tietoja pyytävän henkilön osalta ei varmistettu hänen oikeuttaan päästä tietoihin. Tarkemmassa läpikäynnissä todettiin, että tietopyyntöä ei oltu käsitelty prosessina eikä koulutusta tai valvontaa ollut.

Valitettavasti yllä oleva on todellinen tietopyyntö Englannista vuodelta 2016.

Monessa organisaatiossa ja sivuston ”tietosuojaselosteessa” on selviä virheellisiä ajatuksia siitä, miten tietopyyntö pitäisi toteuttaa, ettei samalla itse syyllistytä tietoturvaloukkaukseen. Esimerkkejä alla.

  • Henkilöä vaaditaan tulemaan paikan päälle. Tästä muodostuu kömpelö prosessi, eikä ainakaan asiakasmyönteinen kokemus.
  • Henkilölle ei anneta vaihtoehtoa saada tietoja sähköisesti. Tätä ei toteuteta, koska organisaatio ei ole valmistautunut tähän. Organisaation täytyy toimittaa tiedot sähköisessä muodossa, jos henkilö niitä sähköisesti pyytää.
  • Henkilöä ei todenneta riittävällä tavalla, ja luotetaan esim. sähköpostin lähettäjätietoon. Organisaation velvollisuus on todentaa henkilöllisyys riittävällä tavalla. Tässä täytyy myös suhteuttaa keskenään pyydetyt tiedot ja niihin liittyvä mahdollinen riski.
  • Henkilöä pyydetään todentamaan henkilöllisyytensä esim. pyytämällä skannattu kopio passista, ja pyydetään passikopio lähetettäväksi sähköpostin välityksellä. Organisaatiolla ei todennäköisesti ole mitään passissa olevia tietoja, joita se vertaisi pyydettyyn passiin.

Fakta – rekisterinpitäjän on pystyttävä vahvistamaan tietosuojaoikeuksiaan käyttävän rekisteröidyn henkilöllisyys riittävällä tavalla.

Haluaisitko Sinä, että tietosi annetaan jollekulle täysin tuntemattomalle ihmiselle, tai ne poistetaan väärän ihmisen toimesta? Niinpä, en minäkään haluaisi.

Helppo vaihtoehto tunnistamiseen - tee tästä prosessi

Valmistaudu tietopyyntöihin, ja luo sille askeleet tai työnkulku – siis prosessi. Ensimmäinen kohta on valmistautua tietopyyntöihin siten, että ne eivät kuormita organisaatiota eivätkä toisaalta myöskään johda tietoturvaloukkaukseen.

Alla olevassa kuvassa vaiheessa (1) henkilö tunnistetaan riittävällä tavalla. Tämä voidaan helposti toteuttaa esimerkiksi käyttäen Visma Sign -lomaketta, tai Visma Sign API-rajapintojen kautta liitettävyyttä muuhun toiminnallisuuteen. Kohdissa (4) ja (5) tarkistetaan henkilön oikeus saada tietoja käyttöönsä. Kohdassa (7) on mietitty valmiiksi sopiva esitysmuoto, esim. PDF-dokumentti, ja seuraavissa kohdissa on varmistettu turvallinen toimitus tiedoista pyytäjälle.

Vaikeaa? Ei. Kun käytössäsi on esimerkiksi Visma Sign, voit tehdä tietopyyntölomakkeen helposti – esimerkki tässä:

https://www.vismasignforms.com/form/000ec743-a6b1-4aea-ba68-37d20ed0aeb0

Ota sähköisen allekirjoituksen ja sähköiset lomakkeet sisältävä Visma Sign käyttöön itse, tai pyydä meiltä tukea. Jos tarvitset tietopyyntöprosessiin apua, autamme toki siinäkin.

Visma Sign -rekisteröinti helposti tästä:

https://sign.visma.net/register?affiliate=GDPRTECH

Henkilötietoja skannatuissa kuvissa ja kuvatiedostoissa – riski tietojenkäsittelyssä?

Kun käsittelette asiakkaan tai työntekijän tietoja, käytättekö esimerkiksi skannattuja tai kuvattuja tiedostoja, kuten kuvia ajokortista tai sähköpostitse lähetettyjä passikopioita? Esimerkiksi EU GDPR ei sinällään kiellä tällaista toimintatapaa, mutta onko kuvatiedostot tallennettu paikkoihin, joissa suojaukset ovat varmasti kunnossa? Miten varmennat tilanteen?

Olemme tehneet Dark Data Assessmentia eli tiedonkartoituksia vuodesta 2016 lähtien, ja silloin tällöin olemme tehneet huomioita myös tilanteista, joissa olisi ollut hyödyllistä tietää esimerkiksi kuvien mahdolliset riskit. Kartoitusvaiheessa useimmiten käyttämämme Veritas Technologies Data Insight 6.1:n viimeisin päivitys RP4 tuo nyt mukanaan ominaisuuden, jossa voidaan sisältöskannauksen yhteydessä lukea kuvien sisältö. Ominaisuus on jo aiemmin ollut olemassa muun muassa arkistointituotteissa, joten toiminto ei ole aivan uusi.

Otetaan esimerkki tapauksesta, jossa työsopimus on skannattu .tiff-muotoon ja tallennettu tiedostopalvelimeen. Skannaus suorittaa OCR:n kuvatiedostolle ja hakee siitä säännöstöjen mukaisia osumia. Tässä tapauksessa HR-säännöstö on löytänyt ”työsopimus”-sanoja kuvatiedostosta.

Mallikuvasta nähdään, että koska kuvalle tehdään optinen merkintunnistus, on kuvatiedoston laatu tärkeä huomioida. Vaikka kuvien laatu nouseekin tunnistusprosessissa pieneksi haasteeksi, saadaan tällä menetelmällä huomattavasti parempi lopputulos, kuin käymällä käsin läpi tuhansia tai miljoonia tiedostoja.

Miten mallikuva ajokortista sitten tunnistettiin? Varsin tehokkaasti! Alla esimerkki siitä, miten osumien luottamustaso voidaan varmentaa ennen kuin aloitetaan automatisoitu kartoitus. OCR on tunnistanut Meri Anna Auroran nimen kokonaan oikein ja tunnistanut samalla myös ajokortissa olevan henkilötunnuksen (alla keltaisella korostettuna). Kuvassa olevaa sanaa ”ajokortti” ei ole tässä esimerkissä haettu, mutta sekin on täysin mahdollista lisäsäännöstöjä käyttämällä.

Palveluihimme kuuluu vakioitu tiedonkartoituspalvelu Dark Data Assessment – DDA 4D. Kysy lisää siitä, miten voimme auttaa teitä vähentämään riskejä henkilötietojen käsittelyssä! Sen lisäksi, että DDA 4D auttaa tunnistamaan henkilötietojen käsittelyn riskit, se tarjoaa myös muita hyötyjä, kuten arvion rakenteettoman tiedon tallennuksen tilanteesta sekä ehdotuksia korjaavista toimenpiteistä.

Ota kuvatiedostojen tietosuojariskit hallintaan – tilaa DDA 4D -kartoitus nyt!

#DDA #DarkDataAssessment #GDPR

Vuosi vaihtui ja työt jatkuvat – mikä muuttui?

GDPR-vuosi 2018 on takana. Taakse jäi toukokuun viestitulva ja provosoivia GDPR:aan liitettyjä otsikoita saunavuorolistoista ja seurakuntavaaliehdokkaiden nimien julkaisemisesta lähtien. GDPR:aa täydentävä, tietosuojavaltuutetun toimivaltavajeen korjaava kansallinen tietosuojalaki astui voimaan 1.1.2019.

Merkittävä määrä yleistä toimintaympäristöä heikentävää epämääräisyyttä ja höpöpuhetta on siis takana päin. Nyt on hyvät mahdollisuudet keskittyä itse asiaan, kun lainsäädännöllinen tilanne on kunnossa ja oikeaa tietoa on saatavilla eikä kaistanleveyttä toivottavasti (enää) käytetä luulojen lietsontaan.

GDPR ei edelleenkään aseta mitään sellaisia vaatimuksia, joita ei henkilötietoja käsittelevässä organisaatiossa olisi hyvä laittaa kuntoon. Asiaan kunnianhimoisimmin suhtautuvat organisaatiot analysoivat tietovarantonsa, mallintavat tietovuonsa sekä selventävät näihin liittyvien ihmisten, prosessien ja sovellusten toiminnan. Vähemmälläkin pärjää, kunhan asioiden todellisen laidan ja sen, miten niiden luullaan olevan välillä ei ole liian suurta eroa. Tämä tarkoittaa mm. sitä, että muidenkin kuin organisaation avainhenkilöiden tulee olla kartalla.

Omalta osaltani Sarasen Data Security Pro – koulutusohjelma on nyt taputeltu. Koulutusohjelma sisälsi edustavan kattauksen tietosuojaan ja käytännön tietoturvaan liittyvää koulutusta ja toimi hyvänä virikkeenä varsinaiseen työntekoon GDPR Techissa. Koulutuksen teknisimmissä osuuksissa merkillepantavaa oli se, kuinka suuri osuus käsitteli verkkosivuihin liittyvää tietoturvaa. Toki on loogista, että näin on, kun suuri osa käyttäjien vuorovaikutuksesta tapahtuu verkkosivujen kautta ja käyttäjienhän tiedot ovat ne rahanarvoisimmat.

Erinomaisia kouluttajia ja heidän tiettyjä asioita koskevaa turhautuneisuuttakin kuunnellessa tuli mieleen, että nimenomaan verkkosivujen toteutuksessa ja toteutukseen liittyvissä työkaluissa olisi syytä siirtyä tietoturvan kannalta varmatoimisempaan ja standardoidumpaan suuntaan. Olen ihan varma, että asioita olisi resursseja säästävästi toteutettavissa ilman, että niistä tulee oikeaa tekemistä estävää, hankalaa pakkopullaa.

Varmaa on myös se, että vaikka tämä koulutusohjelma ja työskentely GDPR Techissa nyt osaltani tältä erää ovat ohitse, aihealueeseen liittyvä tiedonjano ei milloinkaan. Toisin sanoen haastava, mielenkiintoinen ja paljon uuden oppimista sisältävä vuosi aluillaan. Erinomaista ja paljon olennaiseen keskittymistä sisältävää sekä mahdollisimman tietoturvallista uutta vuotta kaikille!

 

Teksti: Mervi Hongisto

Mitäs tietoja täällä oikein säilötäänkään?

gdpr tech

Joulu on tulossa. Ja joulupukki jos kuka kerää henkilöihin liittyviä tietoja. No, mehän emme tiedä mihin joulupukki tallentaa tietonsa ja miten hän pääsee käsiksi laajoihin tietovarantoihinsa. Jokainen voi tietty kuvitella näitä hiljaa itsekseen. Toki joitain tietoja joulupukin harjoittamista tiedonkeruumetodeista sisältyy kansanperinteeseen.

EU:n yleiseen tietosuoja-asetukseen voidaan tulkita liittyvän samantyyppistä kaikkivoipaisuuden ajatusta kuin joulupukin toiminnassa. Mitä tietovarantoja organisaatiolla on ja missä niissä on henkilöön liittyvää tietoa?

Olisi ihan kätevää jos kaikki olisi tarkkaan järjestellyissä ja hallinnoiduissa tietokannoissa (kuten ehkä joulupukillakin). Käytäntö kuitenkin osoittaa ettei näin ole. Ja sattumia, poikkeustilanteita, monimutkaisia tapahtumaketjuja ja muutoksia sisältävän tosielämän tuntemus kertoo, ettei näin voikaan ainakaan kaiken aikaa olla.

No, ei tietosuojavaltuutetun toimistolla kaiketi ole resursseja mennä tonkimaan yksittäisen firman tietovarantoja. Toisaalta yleisen hygienian, firman resurssien- sekä riskinhallinnan kannalta voisi olla hyvä tietää mitä kaikkea tietovarannot pitävät sisällään.

Entä sitten se työkalupuoli? Veritas, Varonis ja Micro Focus ovat kukin kehittäneet tähän omat ratkaisunsa. Näistä meillä on eniten kokemusta Veritaksen Data Insightista.

Ennen kesää 2017 Data Insightissa ei ollut sisältöskannausta eli varsinaista “tietosuojavaltuutetun ystävä”- ominaisuutta. Kesästä 2017 lähtien olemme käyneet läpi paljon tiedostoja, joista pukki ei kyllä olisi iloinen – voisi jäädä lahjat saamatta.

Data Insightissa on monia muitakin riskienhallintamielessä käyttökelpoisia ominaisuuksia kuten:

  • Sisällön luokittelun kautta riskien helpompi tunnistaminen – mistä korjataan ensin
  • tiedon omistajan tunnistaminen – eli kuka hyväksyy tiedon poiston
  • tieto siitä kuka on nähnyt datan / “data leak investigation”
  • epätarkoituksenmukaisten / liian lepsujen pääsyoikeuksien tunnistaminen
  • passiivisen datan hallinta
  • tiedon käytön ja yhteiskäytön sekä käyttöaktiivisuuden analyysi / mallintaminen.

Kokemuksemme rakenteettoman tiedon kartoituksesta kertoo, että aina tai lähes aina löytyy mm. seuraavia huomiota herättäviä asioita:

  • tiedostoja väärissä paikoissa, tätä kautta liikaa pääsyoikeuksia
  • suuria määriä poistuneiden/poistettujen käyttäjien tiedostoja
  • yksittäisille käyttäjille myönnetyt käyttöoikeudet (käyttöoikeuksien tulisi aina olla käyttäjäryhmäkohtaisia)

Rakenteettoman tiedon tietovarannossa on kokemuksemme mukaan yleensä aina noin 30% tietoa, mikä voitaisiin helposti siivota tarpeettomana (pois levyltä ja varmuuskopioista). Lisäksi yleensä noin 5-10% on kyseenalaisia tiedostoja, jotka pitäisi riskienhallintamielessä tutkia. Esim. 1M tiedoston varannossa tämä tarkoittaisi 50 000 – 100 000 tiedostoa. Ei kovin motivoiva työtehtävä ja tulkittavissa ehkä jopa simputukseksi jos näitä käsin aletaan tutkimaan.

Rakenteettoman tiedon kartoitus (tiedostopalvelin, SharePoint ja O365 -ympäristöt) on mahdollista toteuttaa kertaskannauksena tai jatkuvana palveluna. Mitä “vilkkaampi” ympäristö, mitä enemmän käyttäjiä ja tapahtumia, mitä arkaluonteisempaa tietoa, sitä riskialttiimpaa ja sitä tiukemmin ote rakenteettoman(kin) tiedon hallinnasta pitäisi ottaa.

Joulu tulee tänäkin vuonna. Valmistaudu ajoissa. Hyvää joulunodotusta kaikille!

Terveisin Mervi ja GDPR Techin tontut

Muista: Kansallinen tietosuojalaki hyväksyttiin eduskunnassa 13.11.2018. Laki tulee voimaan presidentin esittelyn jälkeen.

 

 

 

                                                                                       

 

About Rigacomm, people & robots

About Rigacomm, people & robots


Off we went with Juha to Rigacomm, the biggest business and IT technology fair in Baltics arranged this year on Oct 11 to 12. Our stand was strategically located between coffee area demonstrating InOut cloud-based queueing system and Diatom stand occupied by interactive robot, near digital marketing stage. So we received our fair share of visitors which was nice.

In quite a few conversations I ended up explaining the significance of GDPR legitimate interest and balancing test. There is no legal requirement to ask for marketing consent from customer on customer list when certain (broadly set) conditions are met. Of course regular explicit opt-our is still mandatory.

There were also many questions about what our technical solutions for GDPR are and do we develop those ourselves (answer being yes, but no for software). So, more discussions about dark data assessment in different environments (fileserver, SharePoint, O365, other cloud-based environments). There is no single patent solution for all cases. We are offering solutions based on Veritas, Varonis and Micro Focus software.

As there were vivid discussions on our SMB start package content and implementation and the effort and commitment it takes from customer organization as well (we go deep inside to verify), there was not as much time for discussions about data flow modeling ”beef” as I would have liked.

As contrast for GDPR discussions in our booth, there were two generally available robots around in the fair. I overheard someone asking the lobby robot: ”Do you like Robocop?” That confused the robot more or less (and amused me). I wonder if the robots were set to collect and store questions made by people this time. That could be really interesting machine learning data as I assume human imagination in the end is still supreme to what any machine could possibly produce.

I also had a really nice discussion with a lady who was tired of all that information available and GDPR in particular. It’s no surprise GDPR doesn’t have a good echo as so many misunderstandings and even disinformation about it around. She was open about her frustration and then we ended up talking about chocolate and ice cream. That’s what we humans are like and I appreciate it.

GDPRtech ricacomm

GDPR: Olettaminen ei ole todentamista

GDPR: Olettaminen ei ole todentamista

Sivustomme gdprtech.com aukeaa sanoilla ”GDPR Tech – Tukenasi EU:n tietosuoja-asetuksessa”.

Konkreettista ja käytännönläheistä apua ja tukea meiltä on saatavissa karkeasti luokitellen tasoille Tee-se-itse -> Vähän apua -> Paljon apua. Tee-se-itse -tasolla avuntarvitsija saa tyypillisesti käyttöönsä SaaS-ratkaisun / dokumenttipohjat joita hyödyntämällä on mahdollista dokumentoida asioita hallitusti ja pitkäjänteisesti.

Toki on hyvä muistaa etteivät dokumentit ota kantaa siihen onko niissä kuvattu esim. toivetila vai yleinen, johdonmukainen ja todennettu tapa tehdä asioita organisaatiossa.

Osastossa ”Vähän apua” apu ja tuki on konsultointia, koulutusta tai ohjelmistoja, joita asiakas itse täsmäkäyttää ja johtaa.

Tarjoamamme PK-sektorin GDPR ratkaisupaketti asettuu kategoriaan ”Paljon apua”. Siis paljon apua GDPR Tech:in johdolla pienelle tai keskisuurelle yritykselle/organisaatiolle työpajoineen, teknisen toimintaympäristön arviointeineen ja koulutuksineen ratkaisupakettina.

Edelleen, GDPR ei sisällä mitään sellaista mihin ei olisi joka tapauksessa syytä ottaa yrityksessä kantaa ja minkä suhteen on hyvä työstää ja selkiyttää yrityksen käytäntöjä.  Tämän takia on huolestuttavaa seurata uutisointia ylireagoinneista ja muista väärinkäsityksistä (esim. tivi 15.9.18: Yritykset painavat liian herkästi gdpr-liipaisinta: paljon turhia raportteja). Aikaa ja energiaa kuluu vääriin asioihin.

Meillä on asiakkaita hyvin erilaisilta toimialoilta ja toimintaympäristöistä. Kun asetettuna tavoitteena on todentaa miten asiat oikeasti ovat, sen lisäksi että on itsessään mielekästä kuunnella oman alansa osaavia ja tekeviä ihmisiä, kuuntelu ja kuullun ymmärtäminen ovat myös palvelun toimittamisen kannalta olennaisen tärkeitä.

Yksi lempilausahduksistani etenkin teknisten ympäristöjen ollessa kyseessä on brutaaliudestaan huolimatta ”ota silmä käteen ja katso”. Todennamme keskeisimmät asiat. Olettaminen ei ole todentamista.

Teksti: Mervi Hongisto