Globalisaatiosta lokalisaatioon ja muita mietteitä yksityisyydensuojasta
Yrityksen tietoturva ja työntekijän yksityisyys ovat haasteellisia asioita sovittaa yhteen. Yritykset haluavat suojata niin tietojaan kuin käyttäjiään, mutta se on toteutettava ilman että käytännöt rikkovat henkilön oikeutta yksityisyyteen.
Maailmassa on yhä enemmän kyberuhkia, joiden pyrkimyksenä on saada ihmisten ja yritysten tietoja käytettäväksi hyväksi rikolliseen toimintaan. Kyberuhat myös kehittyvät ja niitä vastaan pitää pystyä suojautumaan jatkuvasti paremmin. Pitkään aikaan ei kaupan isoin palomuuri ole riittänyt torjumaan kyberuhkia, vaan nykyään tarvitaan monitasoista, kerroksellista suojaa. Hybridityö ja pilvessä majailevat sovellukset laajentavat entisestään hyökkäyspintaa, jota pitää pystyä suojaamaan. Toisaalta kaupan isoimmalla palomuurilla tai mitä älykkäimmällä suojauksella ei luoda vaadittavaa yksityisyyden suojaa.
GDPR:n luoma pattitilanne globaaleilla palvelumarkkinoilla
Kesäkuussa 2020 Euroopan Unionin tuomioistuin hylkäsi EU:n ja Yhdysvaltojen välisen henkilötietojen siirtoja koskevan Privacy Shield -järjestelyn (niin sanottu Schrems II), koska järjestelyllä ei pystytty riittävällä tasolla osoittamaan, ettei tietoja käytetä muuhun kuin alkuperäiseen, luvitettuun tarkoitukseen. Siitä lähtien Euroopassa ja paikallisilla tasoilla on yritetty löytää uusia ratkaisuja, miten globaalit palveluntarjoajat voisivat tarjota palveluita tilanteessa jossa henkilötietoja siirtyy toiselle mantereelle. Edelleenkään kyseinen malli ei ole itsessään laiton, mutta palvelua käyttävällä toimijalla ei ole nykyisellään riittäviä takeita siitä, etteikö toisen valtion viranomainen voisi pyytää ja saada palveluun tallennettuja henkilötietoja palveluntarjoajalta.
Moni yritys on reagoinut tähän voimakkaasti, koska juuri EU:n ja Yhdysvaltojen välinen sopimus yksityisyyden suojasta on ollut tae sille, että vaikka palveluntarjoaja olisi yhdysvaltalainen yritys, henkilötietoja voidaan turvallisesti välittää maasta toiseen. Toiset taas eivät ole tarkemmin edes tutkineet, miten palveluntarjoaja todellisuudessa käsittelee tietoja: vaikka itse palvelu toimisi EU:n tai oman maan rajojen sisällä, siirtyvätkö henkilötiedot kuitenkin palvelun piirissä jostain syystä toiseen maahan? Ei auta vaikka oman yrityksen tietoturva olisi mitä parhaimmalla tasolla, jos käytettävä palvelu ei täytä samaa tasoa. Esimerkiksi osalta Ruotsin julkisen sektorin toimijoista on kokonaan kielletty Microsoft Teams -palvelun käyttö, koska henkilötietoja siirtyy palvelussa Yhdysvaltoihin, vaikka itse palvelu sijaitsee EU:n rajojen sisäpuolella.
Muutos juoksee kyberrikollisten edellä
Jotta globaalit palveluntarjoajat pystyvät jatkossakin tarjoamaan palveluitaan EU-säädösten ja määräysten mukaisesti, on palveluntarjoajien tehtävä muutoksia palvelunsa toteutukseen, esimerkiksi henkilötietojen käsittelyn ja sijainnin osalta. Digitaalinen transformaatio ei ole kertaluonteinen toimi tai vain palvelun käyttäjien asia, vaan se on jatkuvaa muutosta, joka koskee niin palveluntarjoajia kuin käyttäjiä. Henkilötietojen käsittelyn siirto maasta toiseen voi tuntua pieneltä asialta, mutta taustalla saattaa olla lukuisia järjestelmiä, joiden tulee mukautua muutokseen.
Paikallinen palvelu maan rajojen sisällä ei ole yhtään sen tietoturvallisempi kuin toisesta maasta tuotettu palvelu, se tuo vain henkilötietojen käsittelyn maan lainsäädännön piiriin.
Vaikka yksittäinen käytössä oleva palvelu olisikin paikallinen tai jopa vain omassa ympäristössä toimiva sovellus, sitä kuitenkin todennäköisesti käytetään henkilökohtaisella laitteella kuten älypuhelimella. Ja samaan henkilökohtaisten laitteiden jaettuun ympäristöön kuuluvat vaikkapa älykellot ja -sormukset. Näissä ympäristöissä olemme yksilöinä ja varsin henkilökohtaistenkin tietojen kanssa tekemisissä globaalien palvelutarjoajien ja -alustojen kanssa. Yksittäisen henkilön työpaikan selvittäminen on varsin helppoa, ja kyberrikolliset osaavat hyödyntää tietoa yhdessä älylaitteen haavoittuvuuden kanssa päästäkseen lopulta sisään hyvinkin kybersuojattuun ympäristöön.
Jotta saadaan varmasti kattava suojaus niin yrityksen tietoturvan kuin yksityisyyden osalta, tulisiko työympäristöissä kieltää henkilökohtaiset älylaitteet, jotka ovat globaalien palveluntarjoajien palveluissa kiinni?
Globalisaatiosta takaisin lokalisaatioon?
Riittääkö, että tietoja käsitellään esimerkiksi vain EU-alueen sisällä vai johtaako nykyinen hybridivaikuttamisen ja kyberuhkien luoma tilanne siihen, että palveluntarjoajien pitää pystyä tuottamaan palveluaan maakohtaisesti? Tähän ei tällä hetkellä ole vastausta, mutta erityisesti julkisen sektorin toimijat näyttäisivät tällaista mallia jo suosivan. Paikallinen palvelu maan rajojen sisällä ei ole kuitenkaan yhtään sen tietoturvallisempi kuin toisesta maasta tuotettu palvelu, se tuo vain henkilötietojen käsittelyn maan lainsäädännön piiriin. Varmaa on se, että erilaiset SaaS- ja pilvipohjaiset palvelut ovat muutoksen kourissa, mutta kuinka pitkälle voidaan mennä, kunnes kustannukset syövät saavutetut hyödyt? Ja tuleeko puuttua henkilökohtaisten älylaitteiden käyttöön työpaikoilla?
Miten tietoturva toteutuu erilaisissa hybridityöskentelyalustoissa, ja mikä merkitys sillä on?
Webex by Cisco täyttää kaikki vaadittavat standardit. Se suojaa henkilötietoja GDPR:n mukaisesti ja sen käyttäjillä on mahdollisuus valita, missä fyysisessä palvelinlokaatiossa tietoja käsitellään ja säilytetään.
Lue lisää >>