Datan tietoturvaa - Parhaat käytännöt tietoturvariskien vähentämiseen
Uudessa blogisarjassamme kerrotaan, miten datan tietoturvasta tulisi huolehtia ja miksi. Miten tunnistat mahdolliset haasteet ja suojaat tärkeintä eli organisaatiosi dataa?
Data on nykyisin yrityksien ja organisaatioiden keskeinen raaka-aine. Sen avulla mm. analysoidaan ja ennustetaan liiketoiminnan kehitystä sekä kehitetään kokonaan uusia toimintatapoja, palveluja ja liiketoimintaa. Data on arvokasta ja siksi siitä huolehtiminen myös keskeistä.
Datan tietoturvaa -blogisarjassa olemme kuvanneet miten tiedon ja datan tietoturvasta tulisi organisaatioissa huolehtia, ja miten tunnistaa keskeisiä haasteita ja riskejä. Sarjan viimeisessä jutussa annamme 5+1 konkreettista vinkkiä pitävän tietoturvan rakentamiseen.
1. Kerää ja käytä vain dataa, jota tarvitset ongelman ratkaisemiseen
Hyvä lähtökohta haavoittuvuusriskin pienentämiseen on kerätä ja käyttää vain dataa, jota oikeasti tarvitaan ongelman ratkaisuun, ja minimoida tallennetun datan määrä. Monesti dataa pyritään keräämään mahdollisimman paljon esimerkiksi neuroverkkojen kouluttamiseen. Tämä voi kuitenkin lisätä haavoittuvuuden riskiä, joten on hyödyllisempää kiinnittää huomiota ennemmin datan laatuun kuin määrään. Toinen hyvä periaate on säilyttää vain ajantasaiset tiedot käyttämästäsi datasta. Kun joitain tietoja ei enää tarvita, ne tulisi poistaa tietokannoista. Vanhojen tietojen turha säilyttäminen ei palvele ketään.
2. Sensitiivisen tiedon pseudonymisointi, anonymisointi tai de-identifointi
Tekoäly- ja data science -sovellukset eivät aina vaadi käyttäjäkohtaisia henkilötietoja pystyäkseen tekemään tehtävänsä. Mutta jos ongelman ratkaisuun on käytettävä arkaluonteisia tietoja, kuten henkilökohtaisia tunnisteita, tulee ne pseudonymisoida tai anonymisoida.
Pseudonymisoinnilla tarkoitetaan tietojen käsittelemistä siten, että tietoja ei voida yhdistää henkilöön tai asiaan ilman lisätietoja. Anonymisoinnissa tiedot käsitellään siten, ettei niitä voida enää yhdistää alkueräiseen tietoon tai henkilöön. De-identifioinnissa poistetaan tai peitetään suorat tunnisteet henkilöihin datatiedoston sisällä, jotta henkilöitä ei voida tunnistaa. De-identifiointi ei takaa, ettei tietoja koskaan voisi yhdistää henkilöihin muiden ulkoisten tietojen avulla, mutta riski on pieni.
Yleisesti ottaen henkilökohtaisia tunnistetietoja (Personally Indentifiable Information, PII) tulisi käsitellä arkaluontoisina tietoina. Niitä ovat esimerkiksi nimi, henkilötunnus, puhelinnumero, luottokorttitiedot, valokuvat ja biometriset tiedot. Tällaisten tietojen käsittelyssä ja tallentamisessa tulee noudattaa erityistä huolellisuutta.
3. Suojaa muutakin kuin tietokannat
On hyvä muistaa, että tietoturvaa tarvitaan muuallakin kuin vain tiedon varsinaisessa tallennuspaikassa. Tietokantojen lisäksi esimerkiksi varmuuskopiot, keskenään yhdistetyt sovellukset ja analytiikkapalvelimet tulee myös suojata, jotta ne eivät toimi takaovena tietoihisi. Myös kaikkien ohjelmien, tiedostojen ja levyjen, jotka ovat kosketuksissa tietoihisi, tulee olla suojattuja. Tämän vuoksi tietojen keskinäisten yhteyksien määrä tulee pitää hallinnassa.
4. Hyödynnä salausta mahdollisimman usein
Kun tietoja liikutellaan tai jaetaan, ne tulisi salakirjoittaa. Myös tietokantojen tiedot tulisi salata. Vaikka salaus ei ole oikotie kaikkiin turvallisuusongelmien ratkaisuun, se on edullinen tapa lisätä yksi suojakerros järjestelmääsi. Monet tietojen salaustyökaluista eivät myöskään hidasta prosesseja. Tietoturvarikkomuksen sattuessa salaus voi estää tietojen luvattoman käyttämisen.
5. Auditoi datajärjestelmät ja tunnista riskit
Tietoja ei voi suojata, jos ei tiedetä mitä dataa on olemassa ja missä sitä säilytetään. Tietoturvasuunnitelman kehittämiseksi onkin hyvä tehdä kattava auditointi. Siinä selvitetään, mitä tietoja organisaatiolla on, mihin tarkoitukseen niitä säilytetään ja kenellä on pääsy tietoihin. Oleellista on myös, miten tiedot on suojattu ja miten turvallisuutta valvotaan. Auditoinnissa tulee erityisesti selvittää, mitkä tietoturvamääräykset koskevat käytettyä dataa, ovatko järjestelmät näiden vaatimusten tasalla ja mitä muutoksia on mahdollisesti tehtävä.
Auditoinnin yhteydessä on hyvä miettiä, onko kaikkea tietoa todella tarpeen säilyttää. Jos tiedot on tallennettu useisiin paikkoihin – kuten eri laitteisiin, palvelinkeskuksiin ja pilvipalveluihin – kannattaa myös pohtia, voiko tallennuspaikkojen määrää laskea. Tarkastukseen tulee lisäksi sisältyä järjestelmän haavoittuvuuksien ja nykyisten uhkien kartoitus.
Rakenna tietoturvallista kulttuuria
Tietoturvatiimit ovat palvelleet yritysten tarpeita vuosikymmenten ajan, ja niistä on tullut varsin hyviä hallitsemaan tietoturvaan liittyviä tarpeita ja prosesseja. Tietoturva-ammattilaiset ovat rakentaneet metodeja ja kehyksiä, jotka auttavat rakentamaan turvallisia alustoja ja infrastruktuuria. Haaste on, että data science ja tekoäly tuovat mukanaan uusia työkaluja ja toimintatapoja. Yritysten tietoturva- ja riskitiimit joutuvat nyt toimimaan tilanteessa, jossa niillä ei ole suoraan vakiintuneita toimintatapoja.
Sen vuoksi on tärkeää, että datatiimien ja tietoturvatiimien välillä on tiivistä vuorovaikutusta ja tietojen vaihtoa. Näin datatiimit oppivat tietoturvallisista arkkitehtuureista. Tietoturvatiimit taas oppivat, mitä datatiimit tekevät, millaisia vaatimuksia datan hankinta ja datatyökalut asettavat ja millaisia prioriteetteja datatieteilijöillä on.
Johdon tuki ja aloite on tässä välttämätöntä. Datatiimeillä tulisi olla tietoturvapäällikön ja tietoturvatiimien tuki jo jokaisen data- ja tekoälyprojektin alussa. Kun johto kannustaa aktiivisesti ryhmiä toimimaan yhdessä, varmistetaan, että tietoturva huomioidaan dataprojekteissa, ja että se tehdään heti alusta lähtien. Näin voidaan välttää myös projektien viivästyksiä, jotka johtuvat siitä, että uusista datajärjestelmistä yritettäisiin viime tipassa tehdä vaatimusten mukaisia ja turvallisia. Rakennetaan siis yhdessä aktiivisesti tietoturvallista kulttuuria!
Digia auttaa asiakkaitaan hyödyntämään dataa uusien toimintatapojen, palvelujen ja liiketoiminnan kehittämiseksi. Datan tietoturvaa -blogissa kerromme, miten datan tietoturvasta tulisi huolehtia ja miksi. Miten tunnistat mahdolliset haasteet ja suojaat tärkeintä eli organisaatiosi dataa. Juttu on luettavissa kokonaisuudessaan myös Analyytikko-lehden elo-syyskuun numerosta (3/2022).
Tilaa blogikirjoitukset sähköpostiisi