• 22.01.17, 14:12
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine

Pilveteenuste turvalisus ja andmekaitse

Kuigi järjest enam ettevõtteid usaldab oma andmed pilveteenuste osutajatele, on arvukalt ka kahtlejaid, kes on mures pilveteenuste turvalisuse pärast, kirjutab 8. veebruaril Äripäeva ITuudiste ja KPMG koostöös toimuval andmakaitse seminaril ettekandega esinev Laura Saks.
KPMG Advokaadibüroo infotehnoloogia- ja intellektuaalomandiõiguse vanemjurist Laura Saks
  • KPMG Advokaadibüroo infotehnoloogia- ja intellektuaalomandiõiguse vanemjurist Laura Saks Foto: Mihkel Jäämees, KPMG Baltics vandeaudiitor
Tule seminarile
Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks08.02.2017Viru Konverentsikeskus
Info ja registreerimine SIIN
Pilveteenuse kaudu pakutakse ja kasutatakse servereid, operatsioonisüsteeme, tarkvara, varundust ja muid võimalusi. Kasutajad saavad valida just neile sobivad tarkvara- ja infolahendused. Mitme pilveteenuse sihtrühm on ettevõtted ja organisatsioonid, kuid pilveteenust saavad otse kasutada ka eraisikud eelkõige internetipõhiste aplikatsioonide, e-kirjade ning failide salvestamise ja jagamise kaudu. Lõpptarbijana ei pruugi kasutaja teada, et tegemist on pilveteenusega või kus tema andmeid parasjagu hoitakse.
Miks on pilveteenus oluline? Eurostati 2014. aasta uuringust selgus, et iga viies ettevõte Euroopas kasutab pilveteenust ja IDC Research leidis 2013. aastal, et kasutajate arv on lausa 63%. Vahe võis tulla sellest, et Eurostat jättis välja finantssektori, mis IDC andemeil on pilveteenuse kasutajate pingereas teisel kohal. Pilveteenust kasutatakse kõige rohkem e-kirjade puhul, andmete varundamiseks ja vahetamiseks, andmekogude majutamiseks ning erinevate CRM-lahenduste tarbeks.
Pilveteenuse kasutamise põhjused
Kulude kokkuhoid
Neli ettevõtjat viiest vähendasid Euroopa Komisjoni andmetel pilveteenuse kasutuselevõtmisega kulusid 10–20%.
Kiirus ja paindlikkus
Pilveteenus annab kiiruse ja paindlikkuse. Ettevõtted ei pea kaua planeerima ega etteulatuvalt investeerima suuri summasid. Pilveteenuse osutajad võimaldavad kasutajal kiiresti suurendada või vähendada IT-lahenduste kasutamist vastavalt vajadusele. Seetõttu on pilveteenus ideaalne lahendus just väike- ja keskettevõtetele: kõrgtasemel teenust osutatakse ettevõtte enda eelneva investeeringuta.
Ligipääsetavus
Tänapäevases piiriüleses mitmekultuurilises maailmas on ka tähtis, et pilveteenuse kaudu pääseb teenusele ja oma andmetele juurde ükskõik millisest maailma punktist.
Pilveteenuse ohud
Andmete liikumine
Pilveteenuse positiivsete külgede juures on kõige enam murelikke arutelusid põhjustanud andmekaitse ja turvalisus. Tundlike andmete puhul tahab andmete omanik olla kindel ja kontrollida seda, kus andmed liiguvad ja kus neid hoitakse
Usalduse tagamine
Laadides oma andmed pilve, kaotab ettevõte otsese kontrolli andmete üle ja peab usaldama pilveteenuse osutajat. Pilves võidakse andmeid pidevalt liigutada eri riikide vahel, mis tähendab ka andmete liikumist erinevate õigusruumide vahel. Lõpptarbija ei pruugi teada, mis riigis tema andmed parasjagu on või mis riikide vahel liiguvad.
Tehnilised ohud
Kuidas olla kindel, et pahatahtlikud isikud ei saa juurdepääsu tundlikele andmetele, kui ettevõte isegi ei tea, kus need andmed parasjagu varundatud on? Eksperdid vaidlevad siinkohal küll vastu. Pilveteenuse osutaja ongi niisuguse teenuse osutamisele keskendunud, mis võimaldab ka palgal hoida parimaid turvaeksperte. Kui nemad ei suuda andmete turvalisust tagada, siis ei suudaks seda ka üksik väike- või keskettevõtja, kes varundab oma andmeid ise. Amazon näiteks rakendab parimaid taristuinsenere maailmas ja kui nemad ei suuda tagada turvalisust, siis ilmselt ei suuda seda keegi, leitakse 2016. aasta kohta Gartneri analüüsis.
Teenuseosutaja taust
Seega on pilveteenust kasutama asudes oluline uurida teenuse osutaja tausta ja võimekust. Vähem tähtsad pole ka teenuse osutamise juriidilised tingimused.
Nelja suure pilveteenuse osutaja tüüptingimusi võrreldes selgus, et teenuse osutajad väldivad vastutuse võtmist selle eest, et teenus on kättesaadav ja töötab tõrgeteta, ning kaitsevad ennast igasuguse nõude vastu, mis kasutaja võiks pilveteenuse kasutamise tõttu talle põhjustatud kahju korvamiseks esitada. Samal ajal jätsid pilveteenuse osutajad endale ulatusliku kaalutlusõiguse teenuse sisu ja kasutuse üle, õiguse muuta kasutustingimusi eelneva teavituseta ning õiguse peatada või lõpetada teenuse osutamine igal ajal.
Suurimad teenuse osutajad mõistavad privaatsuse, kasutaja nõusoleku, läbipaistvuse ja turvalisuse tähtsust. Microsoft näiteks on hakanud oma pilveteenust nende põhimõtete alusel korraldama, tuues turule „andmete usaldusisiku“ mudeli, mis pakub kasutajatele valikuvõimalust, kuidas ja kus nende andmeid hoitakse.
Isikuandmete kaitse üldmäärus
Pilveteenuse kasutamisel on positiivne, et 2018. aasta mais rakendub isikuandmete kaitse üldmäärus (GDPR). Siiani käsitleti pilveteenuse pakkujat kui andmetöötlejat (ingl data processor) kuid uue määruse kohaselt pilveteenuse osutaja staatus muutub ja talle langeb ka vastutus andmete töötlemisel (ingl data controller). Selline jagatud vastutus paneb paljud pilveteenuse osutajad oma teenuseid ja kasutustingimusi üle vaatama.
Samal ajal peaks see võimaldama kasutajale suuremat kontrolli ja läbipaistvust andmete töötlemise ja salvestamise kohta. Pilveteenuse osutajaid kohustatakse teavitama asjaomaseid asutusi, kui on toimunud andmeleke või muu rikkumine. See peaks tagama kiire reageerimise ja rikkumise võimalikult varajase avastamise, et hoida kahju võimalikult väike.
GDPR on kasulik ka seetõttu, et Euroopa andmekaitse kord rakendub nüüd ka andmepõhiselt, varem rakendus see ainult Euroopa Liidu riikide territooriumil. See tähendab, et ükskõik kus EL'i andmesubjekti andmeid hoitakse, tuleb nendega ümberkäimiseks ja nende privaatsuse ning turvalisuse tagamiseks juhinduda GDPR-ist. Seega, kui pilveteenuse osutaja hoiab andmeid kolmanda riigi jurisdiktsiooni all, kehtivad andmetega ümberkäimisele samad reeglid nagu siis, kui andmeid hoitakse Euroopa Liidu territooriumil.
Pilveteenuse kasutaja vastutus
Jagatud vastutus aga ei vabasta vastutusest pilveteenuse kasutajat. Oma kliendibaasi ja kliendi andmete eest vastutab siiski ettevõtja ise ja rikkumise korral on võimalik, et rakendatakse sanktsioone. Seega tasub olla hoolas andmetega ümberkäimisel ja pilveteenuse osutaja valikul. Tähelepanu võiks pöörata eelkõige allpool nimetatud asjaoludele.
Ole teadlik, kus pilveteenuse osutaja töötleb ja hoiab sinu andmeid.
Sellele aitab kaasa eeltöö enne pilveteenuse osutaja valikut. Teada tasub, et harva on teenuse osutaja juriidiline asukoht seal, kus ta andmeid töötleb ja hoiab ning andmed võivad olla pidevas piiriüleses liikumises.
Rakenda piisavaid turvameetmeid, et kaitsta isikuandmeid kaotsimineku, muutmise ja lubamatu töötlemise eest.
Ole teadlik, millised teenused ja lahendused on vajaliku turvastandardi kohased ja kasuta ainult neid. Vajadusel võta appi Netskope’i Cloude Confidence Index (https://resources.netskope.com/h/i/40484891-netskope-cloud-confidence-index), mis võib anda esialgse suuna.
Kui avastad, et pilveteenuse osutaja ei järgi GDPRi, turva- või muid nõudeid, siis lõpeta teenuse kasutamine.Salvesta ainult neid andmeid, mida otseselt on vaja, ja piira delikaatsete isikuandmete töötlemist.
Veendu, et kogud ja salvestad täpselt nii palju andmeid, kui on vaja, ja nii vähe, kui on võimalik. Võimaluse korral ära töötle delikaatseid isikuandmeid, näiteks rass, rahvus, poliitilised tõekspidamised, religioon jne.
Ära luba pilveteenuse osutajal kasutada andmeid muuks otstarbeks kui on konkreetselt määratud.
Veendu lepingut sõlmides ja pilveteenuse osutaja tausta uurides, et teenuse osutaja deklareerib oma kasutajatingimustes ning lepingus selgelt ja üheselt, et teenuse kasutaja on ja jääb andmete omanikuks ning pilveteenuse osutaja ei jaga andmeid kolmandate osalistega.
Veendu, et pilveteenuse osutaja kustutab kõik andmed, kui loobud teenuse kasutamisest.
Ole kindel, et pilveteenuse kasutamise leping ja tingimused võimaldavad andmeid alla laadida ja seejärel täielikult kustutada, kui lõpetatakse pilveteenuse kasutamine. Võimaluse korral tee kindlaks, kui kaua kustutamine aega võtab.
Artikli autor Laura Saks esineb 8. veebruaril toimuval seminaril  
Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks
Info ja registreerimine SIIN
IT JUHTIMISE KÄSIRAAMAT
Artikkel ilmus Äripäeva IT juhtimise käsiraamatus.
Käsiraamatus jagame head nõu, kuidas IT-rakenduste ja investeeringute abil suurendada konkurentsivõimet ning paremini rakendada tehnilisi oskusi ja võimalusi ettevõtte eesmärkide teenistusse.
Selles leiate süsteemse ülevaate infotehnoloogia võimalustest ja otstarbeka rakendamise põhimõtetest. Tippjuht, kes vastutab ettevõtte strateegia ja investeeringute eest, saab hea arusaama IT-valdkonna praktilisest poolest ning on seega võimeline tegema paremaid juhtimisotsuseid.
Käsiraamat valmib koostöös juhtiva ärinõustamisfirmaga KPMG Baltics OÜ ja peatoimetaja on IT nõustamisteenuste juht Teet Raidma.
Vaadake näidiskäsiraamatut!
Mida saate aastalitsentsi eest?
Ligipääsu igal kuul uuenevale e-käsiraamatuleVõimaluse kasutada e-nõuandekeskustPaberväljaandePaberväljaande täiendusi iga kolme kuu järelE-uudiskirja Õigusuudised 10 korda aastas
Autor: Laura Saks, KPMG Advokaadibüroo infotehnoloogia- ja intellektuaalomandiõiguse vanemjurist

Seotud lood

Uudised
  • 27.02.17, 18:12
Dell tegi hübriidpilve paigaldamise ülilihtsaks
Tehnoloogiaettevõte Dell EMC teatas, et toob enda lihtsa hübriidpilve platvormi nüüd ka Delli toodetud VxRail pilvemoodulitele, mis lubab korraliku hübriidpilve lahenduse enda ettevõtte jaoks paigaldada sisuliselt igaühel.
Uudised
  • 27.02.17, 07:30
Ainult täna veel saab Pilvekonverentsile registreeruda soodushinnaga
8. märtsil toimuv Pilvekonverents "Olla pilves või mitte - selles on äririsk" on sel aastal võtnud oluliste teemadena ette muudatused pilvevaldkonnas, trendid ja jagab kasulikke kogemuslugusid nii pilveteenuste kasutajatele kui ka loojatele. Soodushinnaga registreerumine lõppeb 27. veebruaril.
Uudised
  • 18.10.16, 22:00
E-riigi Akadeemia liitus Secure Identity Alliance’iga
E-riigi Akadeemia (eGA) liitus Secure Identity Alliance’iga (SIA), kes nõustab rahvusvaheliselt digitaalse identiteedi ja turvaliste e-teenuste loomist ja juurutamist.
Uudised
  • 23.05.16, 14:26
Andmekadu on alati kahju – kuidas seda vältida?
Kõikidel ettevõtetel on andmed ja need on kõigi jaoks olulised. Ent andmete väärtus pole alati ühesugune ja see on ajas muutuv. Igasugune andmekadu tähendab ettevõtte jaoks alati kahju – on see siis emotsionaalne, mainega seotud või rahaline. Andmekaiste korraldamist selgitab Telia IT-teenuste haldur Taavi Talve.
  • ST
Sisuturundus
  • 13.11.24, 07:00
Arvutipargi renditeenusega investeerib ettevõtja oma põhiärisse
Arvutipargi renditeenus on mugav, säästlik ja (tuleviku)kindel. Green IT tegevjuht Asko Pukk usub, et ettevõtete äriline fookus peab alati olema enda põhitegevusel, sektoril, mida teatakse peensusteni, et olla konkurentidest paremad – just selleks vajaliku aja ja raha renditeenus vabastab.

Hetkel kuum

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi ITuudised esilehele