Näin asiakkaan sensitiivistä dataa voi käsitellä tietoturvallisesti

Vielä muutama vuosikymmen sitten tietoturvallisuus oli huomattavasti yksinkertaisempi asia kuin nykyään. Ennen internetiä yritys sai asiakkaidensa tietoja hyvin rajallisesti ja tietojen turvallisuudesta huolehtiminen liittyi asiakirjojen fyysiseen turvallisuuteen. Nykyään yritys sen sijaan voi saada verkossa valtavan määrän tietoa esimerkiksi kaikista verkkosivujensa kävijöistä, oli kyseessä asiakas tai ei. Informaatio elää myös erilaisissa muodoissa kuin aiemmin.

Aditron tietoturvapäällikkö Jussi Wallendahr kertoo, että kaiken tietoturvan keskiössä on niin kutsuttu tietoturvakolmio, jonka muodostavat luottamuksellisuus (confidentiality), eheys (integrity) ja saatavuus (availability).

Wallendahr avaa kolmion seuraavasti:

  • Luottamuksellisuus: Vain oikeat henkilöt pääsevät dataan käsiksi
  • Eheys: Data on luotettavaa ja oikeaa
  • Saatavuus: Data on käytettävissä silloin, kun sitä tarvitaan

Näiden lisäksi tärkeää on asiakasdatan tietosuoja. Kaikki sellainen tieto, jonka avulla henkilö voidaan tunnistaa, on syytä turvata ja salata.

GDPR asettaa rajoitteet yksityisyyden suojaamiseen verkossa

Jokainen internetiä käyttävä henkilö on varmasti törmännyt tavalla tai toisella GDPR-lainsäädäntöön. Kyseessä on EU-laajuinen lainsäädäntö, joka asettaa tietyt rajoitteet yksityisyyden suojaamiseen verkossa. GDPR ei vaadi tiettyjä tietoturvatoimia tai -sertifikaatteja, mutta se asettaa tietyt periaatteet, joiden mukaan kaikkea tietoa tulisi käsitellä.

Datan käsittelyyn, yksityisyyteen ja tietoturvaan liittyvät kysymykset ovat nykyään jatkuvasti pinnalla. Mediassa törmää säännöllisesti uutisiin, joissa yksityisyydensuoja on pettänyt tai yritys saa sanktioita  yksityisyydensuojan puutteellisesta hoitamisesta.  Julkisuudessa on ollut suomalaisiakin yrityksiä, jotka ovat saaneet sakkoja GDPR-lainsäädännön puutteellisesta hoitamisesta.

Wallendahr kertoo, että vaikka sakkojen yksittäiset syyt poikkeavat paljon toisistaan, on sakkojen perimmäisenä syynä useimmiten jokin alla olevista kolmesta syystä:

  • Tietoja on säilytetty väärin ja tietoja on päässyt vuotamaan yrityksen ulkopuolelle
  • Henkilötietoja ei ole suojattu riittävän hyvin, ja ne ovat tietomurron tai huolimattomuuden vuoksi päässeet vuotamaan ulos
  • Palveluntarjoaja on kerännyt liikaa informaatiota asiakkailtaan.

Myös sosiaalisen median yhtiöt ovat joutuneet viime aikoina valokeilaan tietosuojan alaisen datan käsittelystä. Tähän on useimmiten syynä se, että dataa on käsitelty väärässä paikassa.

”GDPR:n mukaan EU:n kansalaisten dataa pitää käsitellä EU-alueella. Suurten yhdysvaltalaisten some-yhtiöiden osalta tässä on tapahtunut virheitä”, Wallendahr avaa.

Sertifikaatti on osoitus tietoturvan tasosta

Aditro aloitti määrätietoisen valmistautumisen GDPR-lainsäädäntöön hyvissä ajoin. Siinä vaiheessa, kun lainsäädäntö astui voimaan, Aditron prosessit olivat jo riittävällä tasolla. Lisäksi Aditrolla on tietoturvaan liittyviä sertifikaatteja, kuten kansainvälisesti tunnistetut ISO 27701 sekä ISO 27001 -tietoturvasertifikaatit, joista jälkimmäisen yritys juuri uudisti tänä vuonna.

”Sertifikaatit ovat osoitus siitä, että tietoturvamme ja yksityisyydensuojamme ovat hyvällä tasolla ja asiakkaat voivat turvallisin mielin luottaa sensitiivisen datan Aditron käsiin. ISO 27001 -sertifikaatin uudistamiseksi haastateltiin 70 ihmistä Aditrolla, ja haastattuluihin käytettiin noin 50 tuntia aikaa.” Myös erilaiset auditoinnit ovat tärkeä osa tietoturvan turvaamista Aditrolla.

”Käytämme jatkuvasti sisäisten auditointien rinnalla ulkoisia auditoijia, jotka tarkistavat tietojen käsittelyn prosesseja ja käytänteitä ja varmistavat, että tietoa käsitellään oikein. Teemme myös omaa analyysia tiedon säilyttämisestä ja turvaamisesta.”

Tietoturva on monisyinen prosessi: jokainen tekee tietoturvatyötä

Wallendahrin mukaan asiakkaat ovat entistä enemmän kiinnostuneita siitä, mitä tietoa heistä säilytetään, ja miten se turvataan.

”Se, että asiakkaat tarkastavat tiedot, joita heistä säilytämme, on yleistynyt viime vuosien aikana.”

Asiakkaat auditoivat tietonsa yleensä osana omaa tietoturvaprosessiaan. Aditrolla taas tietoja pyritään keräämään vain sen verran, mitä aidosti tarvitaan.

”Tietoa on helpompi suojata, kun dataa ei ole liikaa”, Wallendahr tiivistää.

Wallendahr korostaa sitä, että tietoturva on monisyinen prosessi, johon ei liity pelkästään tekninen tietoturva. Ihminen on tietoturvan kriittinen piste, joten henkilöstön osaamisen kehittämiseen tulee yrityksissä panostaa myös tietoturvaan liittyvien riskien minimoimiseksi.

”Koulutamme jatkuvasti henkilöstöä tietoturvan asioista. Meillä jokainen työntekijä tekee osaltaan tietoturvatyötä.”