maanantai 9. tammikuuta 2012

IT-palvelun ostaminen ja tietoturvariskit


Kun puhutaan tietoturvasta, puhutaan aina vastuusta. Vastuuta omista tekemisistään ei voi kokonaan ulkoistaa, mutta ainakin sen jakautumisen voi huomiotta jättämällä tehdä todella hankalaksi…

Useat käytännöt ja standardit ovat jo pitkään suositelleet tietoturvallisuuteen liittyvien vastuiden jakautumisen määrittelyä kirjallisesti jo IT -palvelusopimuksen tekovaiheessa. Kun asiakas ostaa palvelua toimittajalta, on mukana paljon oletuksia puolin ja toisin. Asiakas ei tiedä, miten teknisiä toteutuksia rakennetaan ja mitä niiden ylläpitoon liittyy. Infratoimittaja tietää, mutta ei osaa sanoa, ovatko asiakkaan liikuttelemat tietosisällöt lailla suojattu ja jos niin miten vahvasti. Ja vaikka tietäisi, voi päivitysten ja ylläpidon esteenä olla ohjelmistotoimittaja, joka ei voi päivittää järjestelmää. Ja niin edelleen. Välillä on tietoliikennetoimittajia, laitemyyjiä ja muita tekijöitä, joilla kaikilla on oma näkemyksensä, miten kokonaisuutta pitäisi tai ei pitäisi rakentaa.
Ja kun eräänä aamuna herätään ja todetaan, että 100 000 henkilötietokorttia sosiaaliturvatunnuksineen on Internetissä, on jokaisella oma näkemyksensä vastuun kantajasta. Niin, asiakas ei voi tietää päivittää alustaa, jolta hänen palveluidensa lisäksi ajetaan todennäköisesti, pilven henkeen, satoja muitakin. Infratoimittaja ei voinut tietää, että asiakas – joka oli apteekki – välittikin järjestelmässä lääkemääräyksiä. Ohjelmistotoimittaja tiesi, mutta vetoaa siihen, ettei asiakas suostunut ostamaan uudempaa ja kallimpaa, mutta turvallista ohjelmistoa. Asiakas ei ostanut, koska olisi pitänyt samalla päivittää alusta toimittajalta, joka vaati siitä kohtuuttomasti rahaa.
Auton katsastamisesta ei saa vapautusta sillä tekosyyllä, ettei ole rahaa katsastukseen tai huoltoon. Ei saa myöskään vastuuvapautusta tietoturvallisuudesta huolehtimisesta. Henkilötietolaki, perustuslaki ja tietosuojaan liittyvät pykälät ovat lakeja. Eivät suosituksia. Ja vaikka tietojärjestelmän murtaakin opiskelijanörtti iltatöinään, pitäisi ensimmäinen kysymys olla, että miten ihmeessä järjestelmä on sillä tolalla, että kuka tahansa opiskelijakin saa sen murrettua?
Kun ostat IT-palveluita:
·      Tee riskianalyysi koko palveluketjusta
·      Älä unohda tietoliikennettä ja ulkoistettuja järjestelmiä, koska oletat jonkun muun vastaavan niistä.

·      Määrittele kirjallisesti, miten haluat vastuun jakautuvan palveluiden toteutuksen missäkin vaiheessa
·      …vaikkapa mallilla: tiedon synty, siirto, säilytys ja poistaminen. Piirrä kuva!
·      Yksinkertainen ”missä tieto milloinkin on ja kuka siitä huolehtii” auttaa jo pitkälle

·      Vaikka sopimuksella olisi vastuut määritelty ja sanktioitu niiden laiminlyönti, mieti silti riskin toteutumisen vaikutukset itsellesi
·      Viime kädessä kuluttajan tai loppuasiakkaan sopimuskumppani vastaa hankaliin kysymyksiin, eivät hänen alihankkijansa.

Ei kommentteja:

Lähetä kommentti