Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Kun tiedolla on merkitystä

5. huhtikuuta 2018

​​​​​​​Tietokantojen ja tiedostojen käytön valvonta

Tieto sen kaikissa olomuodoissa on meille itsestäänselvyys ja on lähes jokaisen yrityksen keskeisimmistä peruspilareista ja arvokkain asia heti työntekijöiden jälkeen. Tiedon merkitys yritykselle ei kuitenkaan ole välttämättä itsestäänselvyys. Silloinkin kun tiedon merkitys on ymmärretty, niin ymmärretäänkö miten tietoa pitäisi suojata. Suojauksiin on usein myös liian luja luottamus. Miten voidaan olla varmoja, että suojaukset ovat riittävät ja että ne toimivat siten kuin niiden kuvitellaan tai on ajateltu toimivan? Esimerkiksi suojaaminen voi perustua AD:n peruspolitiikkaan ja kukaan ei seuraa kuka tietoa käyttää ja miten sitä käytetään.


Tiedon määrän jatkuva kasvaminen ja laajentuminen lisää myös riskejä. Ulkoiset uhat ovat oma asiansa, mutta tässä tarkoitan riskejä tiedon käsittelystä yrityksen sisällä käsittäen myös kumppanien ja alihankkijoiden palvelut ja järjestelmät, joissa yritykselle kuuluvaa tietoa käsitellään. Nämä riskit voivat ilmetä esimerkiksi siten, että tietoa käsitellään perusteettomasti tai oikeudettomasti ja tämän myötä haittaa aiheutuu joko yritykselle tai henkilöille, jos on kyse henkilötiedoista. Tiedon käsittelyllä tarkoitetaan kaikkea tietoon kohdistuvaa toimintaa kuten tiedon katsomista, muuttamista, siirtämistä ja poistamista.


Yrityksen toiminnan kannalta kriittistä ja sensitiivistä tietoa pitäisi valvoa erityisen huolella, sillä tämä on tyypillisesti korkean riskin tietoa. Tällaisten tietojen tahallinen tai tahaton muuttaminen, tiedon "vuotaminen" ulkopuolisille tai tiedon tuhoaminen voi olla erittäin haitallista ja pahimmillaan aiheuttaa merkittäviäkin taloudellisia menetyksiä, maineen menetystä ja vaikuttaa myös liiketoiminnan jatkuvuuteen. Kriittisiä tietoja ovat esimerkiksi yrityksen strategiasuunnitelmat, markkinointisuunnitelmat, tuotekehitystiedot ja -suunnitelmat sekä talousluvut (riskinä niiden vääristely tai muuttaminen) joitain mainitakseni.


Myös pääsyä henkilötietoihin ja tämän tiedon käsittelyä pitää valvoa, jotta voidaan varmistaa henkilön oikeus tietosuojaan ja yksityisyyteen, mutta myös muihin perusoikeuksiin. Toukokuussa sovellettavaksi tuleva EU:n uusi tietosuoja-asetus edellyttää, että kaikki henkilötietoihin kohdistuva tiedon käsittely pitää pystyä jälkikäteen tarvittaessa osoittamaan. Toisin sanoen, pitää pystyä näyttämään, kuka teki, mitä teki ja milloin. Erityisesti pitää huomioida henkilöä koskevat sensitiiviset tiedot kuten terveystiedot, etninen tausta, uskonnolliset/filosofiset vakaumukset sekä korkean riskin tiedot kuten lapsia koskevat tiedot.


Koska tieto on yhä enenevässä määrin hajautettu erinäisten tietokantojen lukuisiin tauluihin ja tiedostotkin ovat usein tallennettuina tietokantoihin (dokumenttien hallintajärjestelmät, kuten SharePoint), tarvitaan sellaiset ratkaisut, joilla näkyvyys tiedon käyttöön ja sen valvontaan on selkeätä ja helposti hyödynnettävissä yrityksen päivittäisessä toiminnassa ja osana yrityksen muita prosesseja. Perinteiset tietokantojen auditointimenetelmät eivät yksinään riitä tähän tarkoitukseen. Vaikka näillä saadaankin lokitietoa tapahtumista, tätä tietoa tarkastelemalla ei ole helppoa päästä jäljille mitä tietokannassa oikeasti tapahtuu. Tätä "raakaa" tapahtumatietoa pitääkin pystyä jalostamaan käyttökelpoiseen muotoon kuten raporteille, tuottamaan hälytyksiä jne.


Vaikka pääsyä tietoihin olisikin rajoitettu tietokantaa käyttävässä sovelluksessa eritasoisten käyttövaltuuksien avulla, kysymyksesi jää miten yksittäisten tietojen tai tietoryhmien käyttöä pystytään asianmukaisesti valvomaan. Sovellusten omat sisäänrakennetut kyvykkyydet valvonnan ja lokitusten osalta eivät aina tarjoa riittävän kattavaa tai joustavaa tapaa kohdentaa valvontaa olennaiseen tietoon. Takeita ei myöskään ole, että itse sovelluksesta tiedon saisi ulos käyttökelpoisessa muodossa. Lisäksi haasteena on, että jokainen tietokantasovellus on lokitustensa osalta erilainen eikä yhdenmukaista ja yhdestä paikasta saatavaa, kaikki sovellukset kattavaa valvontatietoa ole mahdollista saada. Esimerkkinä käytännön tilanne, jossa tarvitaan näkyvyys henkilötietojen käyttöön kaikkien tietokantasovellusten osalta.


Tiedon käytön valvojana ei voi olla tietokannan pääkäyttäjä, koska myös pääkäyttäjää pitää valvoa. Pääkäyttäjä tarvitsee myös suojaa, jotta voidaan osoittaa, ettei tämä ole oikeudettomasti käsitellyt ja esimerkiksi muuttanut jotain tietoa, mukaan lukien itse valvontatieto. Siksi tarvitaan aukottomat ja automatisoidut menetelmät, joilla kaikkea tiedon käsittelyä on mahdollista valvoa siten, että myös valvontatiedon käsittelyketjun eheys voidaan varmistaa.


Jotta yritys voisi varmistaa, että sen liiketoiminnan peruspilarit seisovat vankalla pohjalla, tulisi tiedon käytön valvonta olla yhtä lailla itsestäänselvyys kuin tiedon olemassa olokin. On ensiarvoisen tärkeätä suojata ja valvoa niitä asioita, jotka yritykselle ovat arvokkaita. Henkilötietojen valvonnan kohdalla kyse ei ole pelkästään tietosuoja-asetuksen lain kirjaimen noudattamisesta vaan siitä, että huolehditaan meidän jokaisen oikeudesta yksityisyyteen ja tietosuojaan sekä se, että näiden oikeuksien toteutuminen tältä osin voidaan tarpeen tullen myös todistaa.


Lue lisää tietokantojen ja tiedostojen käytön valvonnasta. 


Pekka Vermasvuo


Olen tietosuojan, tietoturvallisuuden ja riskienhallinnan asiantuntija, jolla on pitkä kokemus niin teknisistä kuin hallinnollisistakin asioista. Olen suunnitellut ja toteuttanut lukuisia osaamisalueisiini liittyviä projekteja niin Suomessa kuin ulkomaillakin ja tukenut asiantuntijana sekä yrityksen että sen asiakkaiden toimintaa. Erityisosaamistani eivät ole niinkään yksittäiset asiat vaan kokonaisuuden näkeminen ja asioiden painotus riskienhallinnan näkökulmasta. Tietosuojaan liittyvät asiat ovat kuitenkin tällä hetkellä päällimmäisenä työpöydälläni.


Minut löytää useimmiten joko ulkoilemasta metsäpoluilla tai muualla, valokuvauksen tai musiikin tekemisen parista. Luonnollisesti minut löytää myös LinkedInistä.