Rahat tai henkilötunnus – Miten pitkälle olet valmis menemään suojataksesi yksityisyytesi?

By | 8 minute read | Fri, September 3rd 2021

Jo muinaisen Rooman valtakunnan aikana valtion salaisuudet, kuten strategiset sotasuunnitelmat, poliittisten vastustajien salamurha-aikeet ja sotasaaliiden kätköpaikat ovat olleet elintärkeitä salaamisen ja suojaamisen kohteita, joita oltiin valmiit varjelemaan asein, nyrkein ja keisarille osoitetulla lojaaliuudella. Niistä luovuttiin vain oman ruumiin yli ellei sitten ollut petturi tai lahjottu virkamies. Jos viestiä vietiin hevosella kaukaisiin kohteisiin, niin oli selvää, että viestin vei eteenpäin henkilö, joka ei osannut lukea. Mikäli viestinviejä joutui ryöstön kohteeksi kesken matkanteon, piti viesti salata niin, että mahdollinen lukutaitoinen ryöväri ei ymmärtäisi viestin sisällöstä tuon taivaallista.

Jos asiakkaan yksityisyydensuoja menetetään, mitä jää jäljelle?

Tänä päivänä salaista ja arkaluontoista tietoa ei tarvitse enää suojata miekka ja kilpi – periaatteella, vaan IT-järjestelmien ja salausalgoritmien suoma tekninen kehitys tekee sen puolestamme – vai tekeekö?

Kuluttajille tuotteitaan ja palveluitaan myyvän yrityksen tärkein ja erityisen huolellisesti suojeltava tieto on asiakastieto – nimi, osoite, sähköpostiosoite, henkilötunnus, luottokortin numero, puhelinnumero. Lääkkeitä valmistavalle yritykselle uuden, testausvaiheessa olevan lääkkeen mystinen kaava tai koostumus, teknologiayritykselle uuden teknologian patenttihakemus liitteineen ja maanpuolustuksesta vastaavan organisaation sodanaikainen liikekannallepanon toimintasuunnitelma. Selväksi tuli – mikä tahansa tieto, joka vaarantuessaan vie toimijan häpeäpaaluun tai tarkoittaa liiketoiminnan loppua jättäen sadat, tuhannet tai jopa sadattuhannet asiakkaat kärsimään seurauksista on suojattava.

Miten henkilö- tai arkaluonteista tietoa sitten pitäisi suojata? Mitä keinoja, käytäntöjä tai vaiheita tietojen suojaamiseen on ja miten ne voitaisiin toteuttaa? Olennaisinta on, että henkilökohtainen asiakastieto tai arkaluontoinen yrityssalaisuus ei paljastu tai vaarannu missään sen elinkaaren vaiheessa – ei edes niiden tuhoamisen jälkeen.

Tosiasia on, että tutkimusten mukaan n. 60% yrityksistä, jotka ovat joutuneet tietovuodon kohteeksi, ja joissa asiakkaiden henkilökohtaisia tietoja on päätynyt julkisuuteen tai joutunut vääriin käsiin lopettavat toimintansa vuoden kahden kuluessa. Suomessa esimerkiksi erittäin surullinen psykoterapiakeskus Vastaamon tapauksessa uusi yrittäjä lopetti toiminnan muutama kuukausi sen jälkeen, kun tietovuoto tuli julkiseksi.

Mistä lähteä liikkeelle tietojen suojaamisen kanssa?

Tietojen suojaaminen jaetaan kuuteen eri kohtaan, jotka olisi hyvä huomioida henkilötietoa tai arkaluontoista tietoa käsiteltäessä. Ne eivät ole millään tavalla tärkeysjärjestyksessä eivätkä missään nimessä ainoat asiat, joilla tietoja suojataan, mutta näillä toimenpiteillä päästään tehokkaaseen tietojen suojaamiseen.

  1. Privilege Account -periaate ja datan maskeeraus

Yksi tapa ehkäistä henkilötietojen vääriin käsiin joutuminen ja niihin luvaton pääsy, on käyttäjien hallintaoikeudet. Käyttäjien oikeuksien lisäksi arkaa tai luottamukselliseksi luokiteltua tietoa voidaan maskeerata käyttäjiltä. Yllä olevassa taulukossa on esimerkki, jossa lokitietojen seurantataulukosta on maskeerattu käyttäjätiedot, jolloin henkilö, jolla ei ole vaadittavia oikeuksia ei voi niitä nähdä. Esimerkiksi GDPR – standardi määrittää, että henkilökohtaiset tiedot on anonymisoitava tai pseudonymisoitava.Taulukko 1. Aktiivisen lokiseurannan raportointinäkymä, jossa käyttäjien nimet ovat maskeerattu.

  1. Kryptaus

Datan suojaaminen tarkoittaa käytännössä datan kryptaamista eli selkokielen muuntamista salakirjoitukseksi, jolloin kukaan luvaton henkilö ei kykene tulkitsemaan dataa ilman asianmukaisia oikeuksia ja salauksen purkamiseen tarkoitettua avainta. Henkilöiden tunnistamiseen liittyvät tiedot, terveystiedot, yrityssalaisuudet ja vastaavat salaisiksi, luottamuksellisiksi tai yksityisyyden piiriin luokiteltavat tiedot on lakien, ohjeiden ja sääntöjen mukaan salattava aina olipa data sitten taltioituna, liikkeessä verkossa tai sitten käytössä.

IBM:n Guardium -ratkaisun avulla on mahdollista kryptata tietokannassa, tiedostoissa ja jopa konteissa oleva data, ja joka on yhteneväinen eri standardien kanssa, kuten esimerkiksi GDPR ja HIPAA.

 

  1. Datan luokittelu

Datan luokittelu tarkoittaa tiettyä prosessia, jossa yrityksen hallussa oleva data luokitellaan eri kategorioihin esimerkiksi sen mukaan, onko data julkista, yrityskohtaista, rajoitettua tai salaista. GDPR:n mukaan datan säilöminen, prosessointi ja siirtäminen on erityisen säänneltyä, kun kyse on EU:n kansalaisista. GDPR erityisesti kieltää henkilökohtaisten tietojen käsitteleminen, mikäli ne liittyvät rotuun tai etniseen taustaan, poliittisiin mielipiteisiin tai uskontoon. Kun data luokitellaan oikein, niin yritys voi selkeästi vähentää riskiä liittyen standardin vastaiseen menettelyyn.

GDPR määrittelee myös, mitkä tiedot kuuluvat henkilökohtaisiin tai henkilön tunnistamiseen liittyviin tietoihin (Personal Identifiable Information). Näitä ovat muun muassa sähköpostiosoite, kotiosoite ja puhelinnumero. Teknologian kehittyessä myös IP-osoitteet, kirjautumisen ID-tiedot, sosiaalisen median julkaisut, digitaalinen kädenjälki ja samoin myös geolokaatio ja käyttäytymiseen liittyvä data sekä biometrinen tieto kuuluvat henkilökohtaisiin tai henkilön tunnistamiseen liittyviin tietoihin.

Tunnista laitteet ja luokittele datan arvo

Mikä sitten on datan luokittelun edellytys? Luonnollisesti on tiedettävä, mitä dataa yrityksellä on ja missä se sijaitsee. Esimerkiksi IBM QRadar SIEM – järjestelmä rakentaa ja päivittää / ylläpitää jokaisesta yrityksen verkosta olevasta laitteesta ns. Asset Profilen. Laite sisältää valtavan määrän tietoa, jotka päivittyvät reaaliaikaisesti loki- ja verkkoliikenne- sekä haavoittuvuustietojen perusteella.

Esimerkiksi Asset Summaryn alla on hyvin yksityiskohtaisia tietoja, joita kannattaa datan omistajan huolellisesti täydentää, jolloin datan taltioiminen, liikuttelu ja prosessointi on reaaliaikaisella tasolla standardien mukaisiin vaatimuksiin nähden. Mitä enemmän tietoa laitteista on ja mitä enemmän laitteiden sisältämää dataa voidaan määritellä, sen helpommin dataa voidaan luokitella ja kohdistaa siihen sen edellyttämät suojaukset ja tietoturvakontrollit.

Taulukko 3: QRadar SIEM – järjestelmän Asset Profiler Asset Summary – näkymä.

Yllä olevasta kuvasta nähdään, että monessa kohtaa viitataan Compliance – asioihin, kuten esim. datan omistaja (Business Owner), Compliance Notes ja Plan, Integrity requirement, Collateral Damage Potential jne. On erittäin olennaista, että nämä tiedot kyetään täyttämään, jotta yrityksen on helpompi monitoroida sensitiivisen datan käsittelyä, tallentamista ja liikuttamista.

  1. Ohjeidenmukaisuus ja standardien noudattaminen

Sen lisäksi, että yrityksellä on käyttäjälähtöisesti määritelty pääsy asiakkaiden henkilökohtaisiin tietoihin, data on suojattu tietokannassa, tiedostoissa sekä dataa liikuteltaessa ja laitteiden taltioimat sensitiivinen data on määritelty mahdollisimman tarkasti, niin yrityksellä on oltava lakien ja/tai standardien mukaiset viitekehykset IT – järjestelmissään, jotta voidaan monitoroida reaaliaikaisesti asiakastietojen liikkumista verkossa, sen taltioimista, muuttamista, poistamista ja muokkaamista.

IBM QRadar SIEM – järjestelmään on mahdollista päivittää useampia Compliance – applikaatioita IBM:n omasta portaalista, joilla voidaan täydentää viranomaisvaatimusten ohjeidenmukaista toimintaa. Näiden applikaatioiden mukana tulee runsaasti erilaisia käyttötapauksia, sääntöjä, raportteja ja valmiita hakuja, joilla voidaan hakea tietoa kriteerien mukaan. Valmiita applikaatioita on mm. GDPR, HIPAA, SOX ja PCI DSS lakeja ja standardeja noudattaville toimijoille.

Applikaatioita on mittava määrä ja niiden sisältö hyvin kattava. Jos katsotaan esimerkkinä, mitä GDPR applikaation sisältämä ohjeistus on ja mitä erilaisia käyttötapauksia on määritelty, niin voidaan todeta, että lokitiedot sekä verkkoliikenteen reaaliaikainen seuranta on oleellista.

Taulukko 6: GDPR – applikaation säännöt / käyttötapaukset.

Kuten aiemmin todettiin, niin voidaan myös tarkasti määrittää, mitkä ovat esimerkiksi niitä palvelimia, jotka käsittelevät asiakkaiden henkilökohtaista dataa. Jos järjestelmässä olevat käyttäjät käsittelevät asiakastietoja ohjeiden vastaisesti, järjestelmä nostaa hälytyksen välittömästi.

Taulukko 7: GDPR – applikaation kategoriat, joihin voidaan luokitella esim. asiakastietoja sisältävät palvelimet.

Raporttien ja dahsboardin osalta GDPR – applikaation raportointipaketti on hyvin selkeä.

Taulukko 8: GDPR – applikaation raportointipaketti

Joissakin tapauksissa on hyvn olennaista, että tietoja seurataan reaaliajassa. Tällöin ainoa vaihtoehto on verkkoliikenteen seuranta sillä tasolla, että järjestelmä automaattisesti hälyttää, jos sensitiivistä asiakastietoa tai yrityssalaisuuksia tai muuta kriittiseksi luokiteltua tietoa ollaan siirtämässä yrityksen ulkopuolelle. Esimerkiksi GDPR – applikaation säännöt ja raportit viittaavat useassa eri kohdassa henkilötietojen siirtämisestä ja erityisesti EU:n ulkopuolelle. //– sub page text ends here –//

Reaaliaikainen verkkoliikenteen seuranta

Verkkoliikennettä voidaan seurata usealta eri tasolta ja tässä viittaan eri OSI-mallin (Open Systems Interconnection) tietosiirtoprotokollien tasoihin.

Perusverkkoliikennedataa voidaan seurata Data Link-, Network- ja Transport-tasoilta (layerit 2, 3 ja 4), mutta olennaista on seurata tapahtumia reaaliajassa applikaatio- eli sovellustasolta (layer7), jolloin nähdään erityisesti sovellusten viestinnät. Tämä tarkoittaa sitä, että käytetäänkö tiedostonsiirtoprotokollia (FTP), selainapplikaatioprotokollia (HTTP tai HTTPS) vai esimerkiksi sähköpostipalvelinprotokollaa (SMTP).

Jos näitä protokollia käytetään ja järjestelmässä on kyvykkyyttä seuloa reaaliaikaisesti, mitä tietoja näiden protokollien sisällä liikutellaan (esimerkiksi asiakkaiden henkilökohtaisia tietoja luottokorteista, sosiaaliturvatunnuksista) , niin järjestelmä automaattisesti hälyttää tällaisen tiedon siirtämisestä yrityksen ulkopuolelle.

Lopuksi olennaista on yrityksen tietoturvastrategia ja ajankohtaisen konseptin sisäistäminen ja jalkauttaminen. Zero Trust on tietoturvan viitekehys, jossa käytännössä perinteisestä end-point ja perimeter (yrityksen verkon ulkoreuna) -ajatuksesta viedään tietoturvanäkökulmaa lähemmäs käyttäjiä. Käyttäjillä tarkoitetaan paitsi ihmisiä, mutta myös applikaatioita ja muita yrityksen sisäisessä verkossa että ulkoisessa verkossa olevia laitteita, joilta vaaditaan ja tietoturvamääritysten ja -asemoinnin näkökulmasta jatkuvaa validointia päästäkseen käsiksi dataan ja/tai applikaatioihin.

Mitä tämä tarkoittaa käytännön kannalta ja miksi asiakkaan tai kenen tahansa henkilön yksityisyyttä pitäisi suojata mahdollisimman huolellisesti? Suurin motivaattori lienee GDPR. Lain erittäin tiukat ja selkeät määritykset henkilötietojen suojaamiseen eivät anna piiruakaan hölmöyksiä tai lapsuksia anteeksi, vaan pienimmästäkin puutteesta, laiminlyönnistä tai huolimattomuudesta rapsahtaa todella kovat taloudelliset rangaistukset sakkojen muodossa, ei-toivottua uutisointia julkisuudessa, vastuuhenkilöiden kepinnokkaan nostamisessa ja lopulta yhtiön maineen menetystä ja pahimmassa tapauksessa liiketoiminnan lopettamisessa.

Aina kannattaa myös muistaa, että sääntöjen ja pykälien mukainen toiminta kasvattaa luottamusta, antaa vastuuvapauden johtajille, vaikkakin tietovuoto on edelleen mahdollinen, ja vastuullinen toiminta lisää varmasti yrityksen taloudellista kasvua.

Mikäli haluat keskustella lisää IBM:n tietoturvaratkaisuista, niin ota yhteyttä

Kim Rejman
Security Threat Management
+358 50 317 66 44
kim.rejman@fi.ibm.com

 

Linkit:

IBM Security Guardium Data Protection / https://www.ibm.com/products/guardium-data-encryption

IBM Security QRadar / https://www.ibm.com/security/security-intelligence/qradar

IBM Security App Exchange / https://exchange.xforce.ibmcloud.com/hub/

 

 

 

 

 

 

[autopilot_shortcode]