Ulkoistamisen lupaukset ja todellisuus

Tietokone 10/2009 Sivu 65 Pertti Hämäläinen
Ulkoistamisen lupaukset ja todellisuus

Tietoturvan sanotaan paranevan, kun järjestelmät siirretään ammattilaisten käsiin. Jos kaikista yksityiskohdista ei sovita tarkasti, voi kuitenkin käydä päinvastoin.

Vastaat pienyrityksen tietotekniikasta ja samalla firman web-palvelusta, joka on jo pitkään pyörinyt yli-ikäisessä ja alimitoitetussa palvelimessa. Lopulta päätät vuokrata uuden palvelimen valmiina pakettina web-hotellista.

Eräänä perjantai-iltana palvelu kaatuu jälleen. Lauantaina puolen päivän aikoihin web-hotellin päivystäjä kertoo, että palvelinkone on kyllä kunnossa, mutta vika on ohjelmistoissa. Kun softapojat tulevat maanantaina töihin, saat tietää, että palvelimeen oli iskenyt haittaohjelma; korjataanko tuntiveloituksella?

Haavoittuvuuden korjaava ohjelmistopaikkaushan on julkaistu neljä kuukautta sitten, joten kutsut web-hotellin edustajan käymään ja vaadit kunnon korvausta katkoksen ajalta. Enää myyntimies ei hymyile: sopimuksessa ei puhuta mitään tietoturvapäivitysten ajamisesta.

Monenlaisia mokia

”Kokonaisvastuun ottamisen” ja ”kumppanuuden” sijaan palveluntarjoaja toimittaa aina vain sellaista palvelua, josta on sovittu, pahimmassa tapauksessa ei sitäkään. Sopimusten teossa on oltava tarkkana, ja toimintaa on syytä valvoa.

Uutisiin päätyvissä tietovuotoskandaaleissa voi olla kyse vain huolimattomuudesta: turvalliseen holviin vietävät varmistusnauhat on kuljetettu erehdyksessä väärään paikkaan, tai tietosuojaromuksi määrätyt koneet onkin myyty uudelleenkäyttöön tietoineen päivineen.

Systemaattisia laiminlyöntejä esiintyy varsinkin silloin, kun ulkoistuskumppani säästää tinkimällä alan parhaista käytännöistä. Selvästi yleistä hintatasoa alempi tarjous on hälytysmerkki, jonka pitäisi herättää tutkimaan tarjouksen tekijän taustat ja referenssit tarkoin.

Törkeimmissä tapauksissa palveluntarjoajan henkilöstö on syyllistynyt suoranaisiin väärinkäytöksiin ja jopa rikoksiin. Asiakkaan palvelimilta on voitu kaivella eteenpäin myytäväksi esimerkiksi tuotepiirustuksia tai asiakasrekistereitä.

Tilintarkastus- ja konsultointiyhtiö KPMG julkaisee vuosittain maailmanlaajuista tietovuotobarometria. Sen mukaan vuonna 2008 tietovuodon uhriksi joutui 83 miljoonaa henkilöä, mikä oli 38 prosenttia enemmän kuin edellisenä vuonna. KPMG arvioi, että nimenomaan ulkoistuskumppanit ovat jatkossa suurin tietovuotoriski.

Myös Suomessa Keskuskauppakamarin tekemässä Yritysten rikosturvallisuus 2008 -tutkimuksessa pahimmaksi riskitekijäksi osoittautui yhteistyökumppanin epäluotettavuus. Se oli toteutunut joka kolmannella haastatelluista yrityksistä. Tärkein kehittämiskohde oli tietoturvallisuus, johon kertoi panostavansa 61 prosenttia yrityksistä.

Pienyrittäjän paineet

Mitä kaikkea ulkoistussopimukseen sitten pitäisi ymmärtää tietoturvasta kirjata?

Pienyrittäjän on tarkkaan harkittava, voiko ulkoistettavaa toimintoa ylipäätään jättää pitkälle tuotteistetun ”ota-tai-jätä”-palvelun varaan. Kun ulkoistus tehdään yrityksen lähtökohdista, sopimukseen voi kirjata melkein mitä tahansa, myös tietoturvasta.

Tietoturvaohjeistot keskittyvät yleensä yrityksen omien järjestelmien ja oman henkilöstön tietoturvallisuuden varmistamiseen. Ohjeita voi soveltaa myös ulkoistuksiin, mutta tämä vaatii jonkin verran luovuutta. Pk-yrityksille suunnatulle it-ulkoistajan tietoturvaohjeelle olisi tilausta.

Yrittäjille soveltuvia tietoturvaoppaita ovat julkaisseet muun muassa Tietoyhteiskunnan kehittämiskeskus Tieke sekä Tietosuojavaltuutetun toimisto. Jälkimmäisen sivustolta löytyy muun muassa henkilötietojen käsittelyn ulkoistamista koskeva ohje, joka kannattaa lukea myös yrityssalaisuuksien turvaamisen näkökulmasta.

Liikenne- ja viestintäministeriön Luottamus ja tietoturva sähköisissä palveluissa -ohjelmassa tuotettu Tietoturvaopas sähköisen palvelun tarjoajalle käsittelee lyhyesti myös alihankkijan tai muun yhteistyökumppanin toiminnalle asetettavia tietoturvavaatimuksia.

Valtionhallinnon voimassa olevat tietoturvaohjeet ja määräykset on koottu valtiovarainministeriön ylläpitämille Vahti-sivuille (www.vm.fi/vahti). Vahti-ohjeissa on paljon yleispätevää tietoa, jota voi soveltaa myös yksityisen sektorin tarpeisiin.

Suurin vastuu on asiakkaalla

Sopimuksiin voi kirjata haluttuja palvelutasoja ja euromääräisiä sanktioita niiden täyttymättä jäämisestä, mutta yksikään ulkoistuskumppani ei voi palauttaa asiakkaita, jotka on menetetty palvelukatkosten tai maineen kärsimisen takia.

Selvimmin tämä tulee esille tietoturvassa. Yritys vastaa itse liiketoimintaansa varten tallentamiensa arkaluontoisten tietojen kuten henkilötietojen käsittelyn lakienmukaisuudesta, ja niiden käsittelyn ulkoistamisessa tehdyt virheet tai laiminlyönnit voivat olla jopa rangaistavia.

Ulkoistuskumppani vastaa tietysti omien palveluidensa laillisuudesta, ja sopimusrikkomukseen tai selvään virheeseen syyllistynyt palveluntarjoaja kantaa oman vastuunsa tapahtuneesta. Tämä ei kuitenkaan poista palvelun tilaajan vastuuta.

Liikesalaisuuksien vuotamisesta kärsii eniten se, jolle niiden salaamisesta olisi ollut suurin hyöty. Liiketoiminnan jatkuvuuden varmistaminen taas kattaa myös varautumisen siihen, että ulkoistuskumppanin liiketoiminta keskeytyy.

Pilven päällä muille maille

Harva pk-yritys lähtee neuvottelemaan ulkoistuksesta suoraan ulkomaisen kumppanin kanssa, mutta globaalien toimijoiden lonkerot ulottuvat jo Suomeen joko maakonttorin tai yhteistyökumppanien kautta. Muodikkaat pilvipalvelut ovat helposti saavutettavissa myös internetin välityksellä.

Asiakas ei välttämättä edes tiedä, missä maassa hänen tietojaan tallentavat datakeskukset ovat. Palveluntarjoaja voi varata oikeuden muutoksiin ilman ennakkovaroitusta tai edes ilmoitusta. Yrityskaupan seurauksena paikallinenkin toimija voi yhdessä yössä muuttua monikansalliseksi.

Palveluiden tuottamisessa on reagoitava nopeasti poliittisten olojen muutoksiin tai tietoverkkojen alueellisiin häiriöihin, ja kuormaa on voitava siirtää sinne, missä käsittely on edullisinta ja tehokkainta. Asiakaskin hyötyy tästä, mutta samalla ulkoistamisen riskit voivat kasvaa liian suuriksi.

Erityisen tarkkana on oltava henkilötietoja käsiteltäessä, koska niitä säätelee voimassa oleva tietosuojalainsäädäntö.

Henkilötietojen luovuttamiseen kolmannen osapuolen käytettäväksi tarvitaan yleensä rekisteröidyn henkilön suostumus, mutta henkilötietojen siirtäminen ulkoistuskumppanille pelkästään tietojenkäsittelyä varten ei ole tällaista luovuttamista.

Jos kuitenkin henkilötietoja siirretään ulkomaille, henkilötietolaki edellyttää, että kyseisessä maassa taataan riittävän tietosuojan taso. Euroopan unionin ja Euroopan talousalueen maihin siirron voi tehdä samoin perustein ja rajoituksin kuin sen voisi tehdä Suomessakin.

Näiden maiden lisäksi EU:n komissio on arvioinut tietosuojan riittäväksi Argentiinassa, Kanadassa, Sveitsissä sekä muutamissa Brittein saariin kuuluvissa pienvaltioissa. Yhdysvaltoja koskee kansallisen lainsäädännön sijasta Safe Harbor -järjestely, jossa riittävä tietosuoja taataan organisaatiokohtaisesti. Yhdysvaltain kauppaministeriö pitää yllä listaa järjestelyyn sitoutuneista organisaatioista. Muihin maihin ulkoistettaessa on sovellettava jotain henkilötietolaissa määriteltyä poikkeusperustetta.

Tietosuojavaltuutettu Reijo Aarnio painottaa, että tietojen käsittelyn ulkoistaminen selvittämättä niiden todellista tallennuspaikkaa on yritysjohdolle valtava riski. Henkilötietojen osalta se ei ole edes oikeudellisesti hyväksyttävää, muiden yrityssalaisuuksien osalta se on huonoa riskienhallintaa.

Rikosilmoitus on viimeinen keino

Tätä artikkelia varten haastattelimme Nixun varatoimitusjohtajaa Jonna Särsiä ja KPMG:n tietoturvapalveluvastaavaa Mika Laaksosta. Molemmat yhtiöt myyvät muun muassa it-ulkoistuksiin liittyvän tietoturvan neuvonta- ja tarkastuspalveluita.

Kumppanin toiminnan tarkastaminen maksaa Laaksosen mukaan vähintään muutamia tuhansia, mutta rutiinitarkastuksestakin voi olla merkittävää hyötyä. Laaksonen antaa esimerkin suomaisesta tapauksesta, jossa ulkoistuskumppanin henkilöstö oli allekirjoittanut noudattavansa asiakkaansa tietoturvapolitiikkaa. Auditoinnissa ulkoistuskumppanin hallusta ei kuitenkaan löytynyt politiikan määritteleviä dokumentteja.

Särs muistuttaa, että jos sopimukseen ei ole kirjattu tarkastusoikeutta, toimittajalla on periaatteessa oikeus kieltäytyä auditoinneista tai rajoittaa niitä. Saas-periaatteella toimivien palveluntarjoajien järjestelmissä ajetaan rinnakkain useiden asiakkaiden sovelluksia, ja salassapitosopimukset voivat muodostua esteeksi tarkastuksille.

Jos asiakas alkaa epäillä kumppanin syyllistyneen tietovuotoon tai muihin väärinkäytöksiin, rikosilmoitus on äärimmäinen tapa selvittää asia. Laaksonen suosittelee mieluummin varmistamaan riittävät tarkastusoikeudet sopimusteitse, sillä rikostutkinnan käynnistäminen vaatii vahvaa näyttöä.

Särsin mukaan on viisainta keskustella väärinkäytösepäilyistä ensin toimittajan kanssa. Jos kyseessä on yksittäisen työntekijän rötös, ulkoistuskumppanikin haluaa selvittää asian ja ehkä tehdä myös itse rikosilmoituksen.

Ulkoistajan muistilista

1. Tee lista tietoturvavaatimuksista ja -käytännöistä, joita ulkoistettavaan järjestelmään kohdistettaisiin, jos se hoidettaisiin oman henkilöstön voimin omissa tiloissa. Ota huomioon käsiteltävien tietojen turvaamistarpeet, ja sovita vaatimukset niiden mukaisiksi.

2. Selvitä, mitkä vaatimukset ja käytännöt muuttuvat, kun järjestelmä siirtyy ulkoistuskumppanin hoidettavaksi. Ota huomioon, että jotkin vaatimukset voivat kiristyä, jotkin höllentyä ulkoistuksen, sen toteutustavan tai kumppanin toimintatapojen mukaan.

3. Kirjaa sopimukseen kaikki tietoturvavaatimukset ja niihin liittyvät toimintatavat. Edellytä, että kumppanisi vaatii samat asiat alihankkijoiltaan. Älä unohda ulkoistuksen aloitukseen ja lopetukseen liittyviä erityisvaatimuksia äläkä sitä, että vaatimusten toteuttaminen maksaa.

4. Kirjaa sopimukseen oikeus tarkastaa kumppanin toiminta. Käytä tarkastuksiin puolueetonta ammattilaista ja harkitse, ovatko kumppanin omat määräaikaistarkastukset tai PCI-sertifioinnit riittäviä. Muista sopia myös sanktioista, joita noudatetaan poikkeamien ilmetessä.

5. Jos kumppani ei toteuta kaikkia vaatimuksiasi, ei mukauta toimintaansa niiden toteuttamiseksi tai ei suostu haluamasi laajuisiin tarkastuksiin, harkitse vakavasti, otatko puutteista aiheutuvan riskin vai oletko neuvottelemassa sopimattoman kumppanin kanssa.

Tagit: -
Lähetä Tulosta Tilaa RSS-syöte
Takaisin ylös

Tietokone 5/2012 julkaisupäivä 16.5.2012

Katse näyttöön

Edessäsi ole oleva näyttö on kovin erilainen kuin ei-kovin-kauan-sitten yleisimmin käytetyt kuvaputkinäytöt. Eikä kehitys pysähdy. Toukokuun Tietokoneessa katsotaan näyttöjen tulevaisuuteen ja myös testataan terävät 27-tuumaiset näytöt. Ensituntumaa otetaan tulevan Windowsin palvelinversiosta. Vinkkejä tarjotaan muun muassa pc-hygienian ylläpitoon.

Tilaa Tietokone-lehti Osta digilehti
Takaisin ylös

Tietokone 10/2009

TK 10

Lehden uusimmat numerot ovat vain tilaajien luettavissa. Vanhemmat numerot ovat vapaasti kaikkien luettavissa.

Voit myös ostaa Tietokoneen digilehden.

Uusimmat uutiset

Näytä kaikki

Uusimmat softaesittelyt

Näytä kaikki

Uusimmat blogimerkinnät

Näytä kaikki

Uusimmat keskustelut

Näytä kaikki
Tietokone

IT-työpaikkailmoitukset

Näytä kaikki
TTL ry
Pieni kirjapuoti
Takaisin ylös