Arvi Arohonka, Green Disposal: Muista tiedon koko elinkaari − hävitätkö tietosi suunnitelmallisesti vai vahingossa?

16.05.2019

Vielä muutama vuosi sitten yritysten käytöstä poistuneet tietokoneet hävitettiin hyvin vaihtelevasti. Koneet luovutettiin usein viralliseen kierrätykseen sellaisenaan. Oikeastaan olennaista oli, että joku vain vei koneen jonnekin − joskus vaikka käyttäjän lapsille leluksi! Tietojen asianmukaiseen hävittämiseen on kuitenkin syytä kiinnittää nyt entistä enemmän huomiota.

Hetkinen − onko niissäkin kiintolevy?

Useimmiten erilaiset käytöstä poistuvat päätelaitteet tyhjennetään arkaluontoisimmista tiedoista. Käytännössä yleensä poistamalla tiedostot ennen kierrätykseen toimittamista. Tämä toteutetaan käyttöjärjestelmän komennoilla, levyn alustuksella tai levyn osioinnin poistamisella. On kuitenkin syytä muistaa, että nämä toimenpiteet eivät ole alan ammattilaisille esteitä − eivätkä edes kovin suuria hidasteita − kaiken levyllä olleen datan palautukselle.

Tietosäilöjä sisältävät tyypilliset toimistolaitteet ovat jääneet edelleen kovin vähälle huomiolle. Esimerkiksi kopiokoneille ja monitoimilaitteille ei välttämättä tehdä nykyisin minkäänlaista tyhjennystä, vaikka niissä on usein yhtä suuret kiintolevyt kuin tyypillisissä tietokoneissa. Siksi skannattuja ja tulostettuja asiakirjoja sekä yrityksen ja käyttäjien tietoja voidaan valitettavasti tietämättä luovuttaa ulos ajattelematta asiaa sen enempää.

Samoin voi käydä, jos laite on rikki. Tietoturvaa tai tietosuojaa ei edes välttämättä ajatella juuri sillä hetkellä: “Ei tässä mitään riskiä ole, eihän se lähde edes käyntiin”. Kannattaa kuitenkin muistaa, että vaikka laite rikkoutuu, tiedot voidaan aina siirtää toiseen laiteympäristöön, jossa niissä olevaa tietoa voidaan edelleen lukea ja manipuloida miten tahansa.

Data ei saa paeta talosta – vastuu on lopulta talon emännällä tai isännällä

Kohta vietetään EU:n yleisen tietosuoja-asetuksen eli GDPR:n vuosipäivää. Sen lähtökohtana on kielto tietojen luovuttamisesta edelleen ilman lupaa. Siksi yritykset, julkishallinto ja muut organisaatiot vastaavat nyt vahvasti työntekijöidensä, asiakkaidensa ja yhteistyökumppaneidensa henkilötietojen suojasta. Eli käytännössä kaikkien niiden henkilöiden tietosuojasta, joiden tietoja organisaation laitteistoissa säilytetään.

Nykyisin organisaatioissa hyödynnetään runsaasti ns. leasing-tietokoneita. Niitä voidaan palauttaa omistajalle tekemättä koneella oleville tiedostoille mitään. Toki vastuullinen laitetoimittaja tyhjentää koneet sopimuksen mukaisesti, mutta on myös hyvä pohtia, miten se tehdään. Kuinka monien käsien kautta arkaluontoista tietoa sisältänyt laitteesi lopulta kulki ennen kuin joku sen tyhjensi? Miten voit varmistua, että se ylipäätänsä tyhjennettiin? Miten se tehtiin? Entä saitko tyhjennyksestä raportin, joka kertoo yksilöllisesti, että juuri sinun koneesi ja siinä olleet tiedot on oikeaoppisesti tyhjennetty?

Occamin partaveitsi

Usein yksinkertainen on kaunista. Löytyykö onni siis laitteet heti fyysisesti murskaamalla? On muistettava, että Suomen jätelainsäädäntö ei suoraan hyväksy toimivien laitteiden tai komponenttien murskaamista, vaan niiden uusiokäyttö on haluttu priorisoida. Ei siis kuulosta kovin yksinkertaiselta. On kuitenkin hyviä periaatteita, joita kannattaa noudattaa tietoja hävitettäessä laitteiden elinkaaren päättyessä.

Ensinnäkin tietojen tuhoaminen on hyvä jättää ammattilaisille, jotka hoitavat sen varmuudella huolellisesti ja turvallisesti sekä tarvittaessa paikan päällä yrityksessä. Nykyisin kaikkien laitteiden massamuistit voidaan tyhjentää luotettavasti sertifioiduin menetelmin sekä lainsäädännön ja viranomaisten ohjeistuksen mukaisesti. Tämän lisäksi on syytä edellyttää raportointia tehdyistä toimenpiteistä. Myös käytöstä poistuvat laitteet on tarpeen kuljettaa pois ja kierrättää jätelain mukaisesti ammattilaisen avustuksella. Eikä kyse ole aina vain ykkösistä ja nollista, vaan samalla kannattaa muistaa myös paperidokumenttien asianmukainen hävitys. Viime kädessä kyse on organisaation omasta riskienhallinnasta vastuullisesta tietoturvapolitiikasta.

Tällä muistilistalla pääset hyvään alkuun pohtiessasi tietojen tuhoamista.

  • Tunnista laitteesi, joissa voi olla luottamuksellista tietoa (erilaiset päätelaitteet, monitoimilaitteet, kopiokoneet jne.)
  • Hyödynnä tietojen hävityksessä sertifioituja ja lainsäädännön sekä viranomaisohjeistuksen mukaisia menettelyjä
  • Edellytä raportointia ja dokumentaatiota tietojen hävittämisestä
  • Kierrätä laitteet vastuullisesti ja lainsäädännön mukaisesti tarvittaessa ammattilaisen avustuksella
  • Muista myös paperidokumenttien tuhoamiseen liittyvät velvoitteesi

 

 

Arvi Arohonka
Sales manager
Green Disposal Oy

Lue #EKkyberblogin aiemmat kirjoitukset