“Meie ehitame ettevõtetele ja riigiasutustele andmete täiuslikuks säilitamiseks infotehnoloogilise taristu ja vastutame ka selle haldamise eest,” ütleb IT-firma Proact Estonia tegevjuht Karel Kannel.
Proact Estonia tegevjuht Karel Kannel saab oma klientidele teatud tingimustel lubada 100% andmete säilimist. Samuti on nad ise kaitstud – Proact Estonia Rootsi emaettevõte on ka kõikidele tütarfirmadele sõlminud küberkaitsekindlustuse.
Andmete kaitsel ja säilitamisel on palju kihte
“Kui algandmed on sinu firma IT-taristus katki, siis ei tööta ka su firma teenused,” toonitab Kannel ja selgitab, et ettevõtte või riigiasutuse andmete kaitse ja säilitamine hõlmab väga palju erinevaid kihte, näiteks andmesalvestust, varundust, avariitaastet, virtualiseerimist, perimeetri kaitset jmt.
Proact Estonia pakub firmadele ja riigiasutustele andmesalvestuse lahendusi ja komponente, et nende andmed säiliksid ja neid töötlevad infosüsteemid töötaksid pidevalt ja tõrgeteta ning ei oleks pahalastele ligipääsetavad.
Kui vaadata näiteks ka Andmekaitse Inspektsiooni kodulehte, siis on näha, et andmete kaitsmine jaguneb kolme suurde teemasse. Nendeks on käideldavus – et infotehnoloogiline taristu töötaks ja andmed säiliksid; terviklikkus – et andmed oleksid nii süstematiseeritud, nagu peavad olema ja oleksid kasutatavad, ning kolmandaks konfidentsiaalsus – ehk ainult need isikud pääsevad andmetele ligi, kellele on see õigus määratud.
“Oma töös näen, et andmekaitse teema puhul on tihti keskendutud vaid ühele aspektile. Kõikidele aspektidele peab aga tähelepanu pöörama,” rõhutab Kannel. Nende suuremad kliendid Eestis tegutsevad näiteks telekomisektoris, kellel on väga lai teenusteportfell koos suure hulga klientidega – alates andmesidest kuni IT teenusteni, mis peavad töötama pidevalt, seega on andmekaitse väga oluline.
Samuti märgib Kannel, et Proact Estonial palju kliente finantssektoris, kus klientide halduses või kontojääkidega ei tohi mitte mingeid probleeme tekkida. Eraldi tõi ta esile patsiendiandmete ülima kaitse vajalikkuse meditsiinisektoris, kus Proactil on samuti palju kliente. “Meditsiinisektoris on andmemahud eriti suured, lisaks patsiendi isikuandmetele ka näiteks radioloogiapildid,” ütles Kannel. “Andmete kaitse läbib kõiki valdkondi, mida meie firma oma klientidele pakub.”
Ettevõtja, ära arva, et andmemaailmas ainult välisukse kaitsmisest piisab. Ei piisa!
Praegu enam ainult andmete nn välisukse valvamisest ei piisa. Andmed peavad olema kaitstud igas olukorras. Iga firma andmete suurema kaitse tagab mitmekihiline turvamine ehk nn Šveitsi juustu meetod. Mainitud meetodi rakendamiseks on Proacti kasutuses tehnoloogiad valdkonna juhtivatelt tootjatelt, teadmised ja teenused.
“Tuleb meeles pidada, et ka aja jooksul andmete omavahelised sidemed ja seosed lähevad katki ja andmekogum võib muutuda mittekasutatavaks,” ütleb Kannel. Tehnoloogiate juures on see nüanss, et kuigi need on pidevalt kasutuses, inimene neid oma silmaga füüsiliselt ei näe. Kõik tehnoloogilised lahendused ehitatakse liiasusega ja automaatse taaskäivitamisega, mistõttu tõrkeid ei pruugigi kohe tähele panna, küll aga seda, et mingi komponent lõpetab äkki töö. Ning seda juhtub iga päev.
“Just nende ohtude vastu pakume meie lahendusi,” ütles Kannel. Proactil on olemas tiimid, kes tegelevad nii süsteemide hoolduse, halduse ja monitooringuga kui ka läbimurdetestimisega, samuti süsteemi kasutajate käitumise testimisega.
Ei teata, et andmed ja info ei pruugi pilveteenuste pakkujate juures turvatud olla
Sageli ei teata, et kui andmed, info või fotod on laaditud üles pilve, siis teenusepakkuja ei pruugi vastutada nende andmete säilimise eest.
“Pilveteenuse pakkuja hoolitseb selle eest, et süsteemid töötaksid, aga näiteks kas sealt midagi kustutatakse või valeandmed sisestatakse, selle eest nad ei hoolt ei kanna. Samuti ei toimu andmete pikaajalist varundamist,” märgib Kannel.
Tuntumad on näiteks Microsofti teenused, mida kasutavad peamiselt just väikesed ja keskmise suurusega ettevõtted. Microsofti teenuste kasutajate peamine mure on Proacti tegevjuhi sõnul see, et sealt ei ole võimalik kätte saada andmeid pikema ajaloo tagant. Paari päeva vanuseid asju on võimalik üles leida, aga kui firmal on vaja näiteks tõestusmaterjale kaugema aja tagant, siis on lugu kehv – seaduse järgi tuleb ju ettevõtte raamatupidamisandmeid säilitada seitse aastat.
“Andmekaitse valdkonnas on tekkinud ka uus mõiste – andmete autonoomia. Väga paljud panevad oma andmed või isikliku info mõne üleilmselt tuntud teenusepakkuja pilve, paberite järgi on nad siis nende andmete omanikud, aga füüsiliselt ei oma nad enam midagi. See võib olla ettevõttele risk, kuna võib kaduda juurdepääs andmetele näiteks tehnilistel või finantsilistel põhjustel või kriisiolukorras. Samuti ei pruugi teada, milleks teenusepakkuja sinu andmeid veel kasutab. Seega on mõttekas oma ettevõtte kõige ärikriitilisemate andmete koopiaid ka oma kontrollitud ressursil omada,” ütleb Kannel.
Ta toob välja ka ühe paradoksi: suured ja tuntud teenusepakkujad omavad väga palju kasutajate andmeid, mida nad võivad kasutada AI treenimiseks, ent seeläbi on võimalik, et info lekib tagasi teiste sellesama AI kasutajate juurde. Seetõttu soovitab Kannel teenusepakkuja tingimusi hoolikalt lugeda ning ettevõtte tasemel luua poliitika, millist infot võib pilves hoida ja millist mitte.
“Osalinegi lahendus oleks see, kui avalikke pilveteenuseid kasutavad firmad või eraisikud teeksid omale ka andmete varundamise süsteemi ingliskeelse nimega “back up off the cloud” ehk olgu osa andmeid pilves, aga varunda need eraldi ka enda jaoks,” soovitab Kannel. Osad väiksemad ettevõtted teevadki nii, et kasutavad Microsofti pilveteenuseid, aga varundavad samaaegselt andmed ka enda juures ehk saavad aru oma andmete väärtustest.
Pea meeles!
Andmete suurema kaitse tagab mitmekihiline turvamine ehk nn Šveitsi juustu meetod. On väga palju võimalusi, kuidas teie ettevõtte andmed võivad kaduma minna. Siin on mõned näited.
- Kõige tõsisemaks on viimastel aastatel osutunud lunavararünded. Tööstusfirma Estanc on julgelt rääkinud oma kogemusest, kus nad pidid lõpuks maksma isegi lunaraha, et andmed tagasi saada.
- Seadmerike (tulekahju, uputus, kus kaovad seadmed koos andmetega).
- Seadmekadu (telefoni või arvuti kaotamine, vargus või õnnetus).
- Süsteemirike
- Andmerike
- Kasutaja viga (näiteks juhtub sageli, et kasutaja sisestab kogemata valed andmed).
- Kasutaja pahatahtlikkus (kasutaja müüb andmed edasi konkurendile või teeb eelmise tööandja andmeid kasutades oma äri).
- Sissemurdmine ja vandalism.
Pane tähele, et ka tuntud pilveteenuses pole teie andmed vaikimisi varundatud!
- Kasutajate (jagatud) failid – sõltuvalt teenusepakkujast.
- Ettevõtete infosüsteemid – sõltuvalt teenusepakkujast.
Vaata lisa Proact Estonia veebist.