Tietosuojanäkökulma tiedon sijaintiin ja hajauttamiseen
Täyttääkseen EU:n tietosuoja-asetuksen (GDPR) vaatimukset, organisaatioiden on ymmärrettävä mihin kaikkialle henkilötietoja on tallennettu, ja niitä on tarvittaessa päästävä nopeasti tarkastelemaan.
Myös tietojen maantieteellisellä sijainnilla on merkitystä GDPR:n näkökulmasta. Tietosuoja-asetus suosittelee, että tiedot tallennetaan ja käsitellään EU-maassa. Tietoja voidaan siirtää vapaasti EU-maiden välillä, sekä maissa, jotka kuuluvat Euroopan talousalueeseen.
Hajautetun tiedonhallinnan keskeisiä kysymyksiä
Hajautetussa tiedonhallinnassa on mahdollista hyödyntää erilaisia julkipilviratkaisuja, kuten Amazon Web Services. Tällöin tietosuojan osalta keskeisiä kysymyksiä ovat muun muassa:
- Missä maassa tietoja käsitellään?
- Miten varmuuskopiot käsitellään ja missä ne sijaitsevat?
- Miten palvelun tukitoiminnot on järjestetty, tehdäänkö tukea EU/ETA-alueella?
Näiden kysymysten osalta on varmistettava, että järjestelmän kaikkia tietoja käsitellään EU/ETA-alueella. Mikäli näin ei kuitenkaan ole, tulee valmistautua tietosuojan mukaiseen riskiarvioon (Transfer Impact Analysis). Analyysin perusteella arvioidaan, käsitelläänkö tietoja EU/ETA-alueen ulkopuolella tietosuoja-asetuksen mukaisesti, sekä mikä on riski itse henkilötietojen käsittelyn osalta.
Keskeiset tietosuojakysymykset on käyty läpi myös Wilman osalta. Wilma-järjestelmän kaikki henkilötiedot sijaitsevat EU:n alueella tai Euroopan talousalueella. Siirtoja näiden alueiden ulkopuolelle ei ole mahdollista tehdä ilman asiakkaiden hyväksyntää.
Tietoturvanäkökulma tiedon sijaintiin ja hajauttamiseen
Hajautettu tiedontallennus jakaa tietojen lisäksi myös niiden tallentamiseen liittyvän riskin. Tiedot eivät enää sijaitse yhdessä tietyssä paikassa, vaan samoja tietoja voidaan säilyttää eri lokaatioissa, esimerkiksi Euroopan tai Euroopan talousalueen sisällä. Tämä vähentää riskiä toiminnan jatkuvuuden osalta: mikäli yksi tai useampi lokaatio on poissa käytöstä, toiminta voi edelleen jatkua toisesta lokaatiosta käsin, ilman merkittäviä käyttökatkoja.
Suojattu hajautettu tiedontallennus voidaan nähdä järjestelmänä, joka tallentaa tietoja, ei keskitetysti, vaan hajallaan useiden fyysisten sijaintien välillä. Tietoja voidaan jakaa pilvipalvelutarjoajan useisiin pilvipalvelimiin, jotka voivat sijaita eri konesaleissa, eli laitteiden teknisissä tiloissa. Esimerkiksi Wilman osalta suunniteltu siirtymä julkipilveen tukee palveluiden hajauttamista. Siirtymän tarkoituksena on taata palvelutaso ja jatkuvuus tehdyn uhkamallinnuksen pohjalta.
>> Lue julkipilvipalveluun siirtymisen uutinen pääkäyttäjäyhteisö Communitysta (kirjautuneena).
Muista myös pääsynhallinta, päätelaitteet ja varmuuskopiointi
Myös pääsynhallinta on olennainen osa tietoturvaa, ja se kannattaa aina pitää mielessä, oli järjestelmä hajautettu tai keskitetty. Roolipohjainen valtuutus palvelun käyttöoikeuksiin sekä järjestelmään tallentuvat lokitiedot tukevat tietoturvakokonaisuutta. Kaksivaiheinen tunnistautuminen taas auttaa estämään tehokkaasti käyttäjätilin luvatonta käyttöä. Myös Wilmassa on mahdollista ottaa käyttöön kaksivaiheinen tunnistautuminen.
Pilvipalvelun käyttäjien on lisäksi hyvä muistaa omien päätelaitteiden suojaaminen. Päätelaite voi olla esimerkiksi kannettava tietokone, työasema tai mobiililaite, jonka kautta järjestelmää käytetään. Laitteen osalta kannattaa huomioida ohjelmistopäivitykset, ohjelmiston ajantasaisuus sekä virustorjunta.
Viimeisenä, mutta ei vähäisimpänä nostan tietoturvan osalta esiin myös varmuuskopioiden merkityksen. Varmuuskopioiden sykli ja niiden palautustestaaminen on tärkeää huomioida, jotta voidaan varmistua, että palvelu on mahdollista saada takaisin toimintaan.
Virhe! Tietoja ei voitu hakea. Yritä myöhemmin uudelleen.