Asiantuntijoiden haastattelut lasten ja nuorten hyvinvoinnista 👉

Tiedon sijainti ja hajauttaminen tietoturvallisuuden varmistamisessa

Nykyisen muuttuneen turvallisuusympäristön osalta on otsikon aihe enemmän kuin ajankohtainen. Tiedon sijaintiin ja hajauttamiseen liittyy eri näkökulmia tietosuojasta tietoturvaan.
Tiedon sijainti ja hajauttaminen, tietoturva, tietosuoja

Tietosuojanäkökulma tiedon sijaintiin ja hajauttamiseen

Täyttääkseen EU:n tietosuoja-asetuksen (GDPR) vaatimukset, organisaatioiden on ymmärrettävä mihin kaikkialle henkilötietoja on tallennettu, ja niitä on tarvittaessa päästävä nopeasti tarkastelemaan.

Myös tietojen maantieteellisellä sijainnilla on merkitystä GDPR:n näkökulmasta. Tietosuoja-asetus suosittelee, että tiedot tallennetaan ja käsitellään EU-maassa. Tietoja voidaan siirtää vapaasti EU-maiden välillä, sekä maissa, jotka kuuluvat Euroopan talousalueeseen.

Hajautetun tiedonhallinnan keskeisiä kysymyksiä

Hajautetussa tiedonhallinnassa on mahdollista hyödyntää erilaisia julkipilviratkaisuja, kuten Amazon Web Services. Tällöin tietosuojan osalta keskeisiä kysymyksiä ovat muun muassa:

  • Missä maassa tietoja käsitellään?
  • Miten varmuuskopiot käsitellään ja missä ne sijaitsevat?
  • Miten palvelun tukitoiminnot on järjestetty, tehdäänkö tukea EU/ETA-alueella?

Näiden kysymysten osalta on varmistettava, että järjestelmän kaikkia tietoja käsitellään EU/ETA-alueella. Mikäli näin ei kuitenkaan ole, tulee valmistautua tietosuojan mukaiseen riskiarvioon (Transfer Impact Analysis). Analyysin perusteella arvioidaan, käsitelläänkö tietoja EU/ETA-alueen ulkopuolella tietosuoja-asetuksen mukaisesti, sekä mikä on riski itse henkilötietojen käsittelyn osalta.

Keskeiset tietosuojakysymykset on käyty läpi myös Wilman osalta. Wilma-järjestelmän kaikki henkilötiedot sijaitsevat EU:n alueella tai Euroopan talousalueella. Siirtoja näiden alueiden ulkopuolelle ei ole mahdollista tehdä ilman asiakkaiden hyväksyntää.

Tietoturvanäkökulma tiedon sijaintiin ja hajauttamiseen

Hajautettu tiedontallennus jakaa tietojen lisäksi myös niiden tallentamiseen liittyvän riskin. Tiedot eivät enää sijaitse yhdessä tietyssä paikassa, vaan samoja tietoja voidaan säilyttää eri lokaatioissa, esimerkiksi Euroopan tai Euroopan talousalueen sisällä. Tämä vähentää riskiä toiminnan jatkuvuuden osalta: mikäli yksi tai useampi lokaatio on poissa käytöstä, toiminta voi edelleen jatkua toisesta lokaatiosta käsin, ilman merkittäviä käyttökatkoja.

Suojattu hajautettu tiedontallennus voidaan nähdä järjestelmänä, joka tallentaa tietoja, ei keskitetysti, vaan hajallaan useiden fyysisten sijaintien välillä. Tietoja voidaan jakaa pilvipalvelutarjoajan useisiin pilvipalvelimiin, jotka voivat sijaita eri konesaleissa, eli laitteiden teknisissä tiloissa. Esimerkiksi Wilman osalta suunniteltu siirtymä julkipilveen tukee palveluiden hajauttamista. Siirtymän tarkoituksena on taata palvelutaso ja jatkuvuus tehdyn uhkamallinnuksen pohjalta.

>> Lue julkipilvipalveluun siirtymisen uutinen pääkäyttäjäyhteisö Communitysta (kirjautuneena).

Muista myös pääsynhallinta, päätelaitteet ja varmuuskopiointi

Myös pääsynhallinta on olennainen osa tietoturvaa, ja se kannattaa aina pitää mielessä, oli järjestelmä hajautettu tai keskitetty. Roolipohjainen valtuutus palvelun käyttöoikeuksiin sekä järjestelmään tallentuvat lokitiedot tukevat tietoturvakokonaisuutta. Kaksivaiheinen tunnistautuminen taas auttaa estämään tehokkaasti käyttäjätilin luvatonta käyttöä. Myös Wilmassa on mahdollista ottaa käyttöön kaksivaiheinen tunnistautuminen.

Pilvipalvelun käyttäjien on lisäksi hyvä muistaa omien päätelaitteiden suojaaminen. Päätelaite voi olla esimerkiksi kannettava tietokone, työasema tai mobiililaite, jonka kautta järjestelmää käytetään. Laitteen osalta kannattaa huomioida ohjelmistopäivitykset, ohjelmiston ajantasaisuus sekä virustorjunta.

Viimeisenä, mutta ei vähäisimpänä nostan tietoturvan osalta esiin myös varmuuskopioiden merkityksen. Varmuuskopioiden sykli ja niiden palautustestaaminen on tärkeää huomioida, jotta voidaan varmistua, että palvelu on mahdollista saada takaisin toimintaan.

Teemu Lehtonen

wilma logo vaalea

    Hittar du inte rätt Wilma?

    Du kan söka fram relevant Wilma genom att skriva in ortens eller läroanstaltens namn. T.ex.  Wilma-licensen för en lågstadieskola i Helsingfors ägs av Helsingfors stad.

    När du hittat rätt Wilma kan du gå vidare till inloggningen.

    Etkö löydä oikeaa Wilmaa?

    Voit hakea omaa Wilmaa paikkakunnan tai oppilaitoksen nimellä. Esimerkiksi Helsingin peruskoulun Wilma-lisenssin omistaa Helsingin kaupunki.
    Kun löydät oman Wilmasi, valitse siirry kirjautumiseen ja kirjaudu sisään.

    wilma logo vaalea