Pilvisopimuksen pilkkuja kannattaa viilata

Tietomurrot ja yleisemmin datan sirpaloituminen ovat nousseet pilvipalveluja ostavien yritysten päällimmäisiksi huolenaiheiksi. Yritykset eivät aina tiedä, missä niiden omistamat tiedot fyysisesti sijaitsevat, ja millaisilla osapuolilla on pääsy herkkään dataan.

Palvelusopimus ei toki estä tietomurtoja, mutta pahimman sattuessa tiivis sopimus saattaa pitää rikoksen vahingot minimissään.

Tietosuojasta on tarpeeksi vaikeaa huolehtia silloinkin, kun yritys hallitsee kaikkia it-toimintoja itse. Entä miten se voi suojautua tietomurroilta, kun se on luovuttanut tärkeää dataa muiden käsiin?

Tarkasti neuvotellut palvelusopimukset astuvat tässä kohtaa valokeilaan, Cio.com evästää.

Tietomurto tulee aina kalliiksi

Tietomurtojen vaikutuksia ei voi aina mitata rahalla. Yrityksen maineelle koituvan kolauksen hintaa on vaikea edes määritellä.

Yhdysvalloissa, jossa kaikella on hintansa, tietomurron arvioidaan aiheuttavan keskimäärin 204 dollarin tappion jokaista murron vaikutuksista kärsivää henkilöä kohti.

Panemon Instituten tutkimuksessa käsiteltiin suurimpia, USA:ssa hiljattain sattuneita tapauksia. Tutkimuksen tietomurroista pienin vaikutti suorasti tai epäsuorasti 5 040 henkilöön, joten senkin hintalappu nousi yli miljoonaan dollariin.

Pilvisopimuksissa molemmilla osapuolilla on omat vastuunsa myös tietoturvasta. Tämän takia yrityksen kannattaa pyrkiä mahdollisimman aukottomaan ja täsmälliseen sopimukseen palvelutarjoajan kanssa.

Ensinnäkin sopimustekstissä pitää sanoa suoraan se, ettei pilven myyjällä ole oikeutta jakaa asiakkaan tietoja kenenkään muun kanssa.

Vaikka tämä pykälä on selkeästi kirjattu, voi palvelutarjoajan järjestelmiin tallennettu data silti vuotaa ulkopuolisiin käsiin, Cio.com kirjoittaa.

Sopimus määrittää vastuut

Tietomurron sattuessa on ensiarvoisen tärkeää tietää se, millaista dataa rikolliset ovat saaneet käsiinsä.

Henkilöstunnusten, luottokorttitietojen tai terveystietojen menetys on tietenkin paljon vakavampi asia kuin vaikkapa asiakkaiden mielijäätelöiden yksityiskohtien vuotaminen rikollisille.

Siksi yrityksen pitää olla aina selvillä siitä, millaista dataa pilveen on tallennettu. Hävinneen tiedon laatu voi nimittäin vaikuttaa korvausvelvollisuuteen ja korvausten suuruuteen.

Pilvisopimuksessa yksinkertaisin tapa on luokitella data kolmeen osaan.

Tärkein data kattaa viranomaisten säätelemät, aineettomiin oikeuksiin liittyvät tai firman toiminnalle elintärkeät tiedot. Melko tärkeä data voi käsittää vaikkapa henkilökohtaisia tietoja. Vähiten tärkeä tieto sisältää yleistä ja yksilöimätöntä aineistoa.

Seuraavaksi palvelusopimuksessa pitää määritellä se, kenen vastuulla on paikata tietomurron aukot, ja kuka maksaa murrosta aiheutuneet vahingot.

Sopimuksessa palvelutarjoaja kannattaa aina velvoittaa ilmoittamaan asiakkaalle kaikista tietomurroista riippumatta siitä, kenen data joutui hyökkäyksen kohteeksi. Ilmoitus pitää tehdä heti, kun turva-aukko löydetään.

Asiakkaan pitää saada tieto murron yksityiskohdista kuten siitä, miten ja milloin se sattui, millaista dataa vuosi ulkopuolisille ja kuka murron teki (jos palvelutarjoaja on saanut syyllisen selville).

Sopimustekstin pitää velvoittaa palvelutarjoaja katkaisemaan kaikki yhteydet hakkereihin niin pian kuin mahdollista.

Murron syyt ja olosuhteet pitää tutkia parhaiden käytäntöjen mukaisesti. Lisäksi palvelutarjoajan on tehtävä riittävät parannukset järjestelmiinsä niin, etteivät samanlaiset väärinkäytökset enää toistu.

Korvaukset on määritettävä etukäteen

Tietomurtojen kalleuden takia palvelusopimuksessa pitää määritellä se, kenen vastuulla tietoturva, ja sen pettäminen, loppujen lopuksi on. Ymmärrettävästi palvelutarjoaja yrittää aina minimoida omat vastuunsa.

Cio.comin mukaan moni pilvimyyjä pitää asiakkaan 12 kuukauden aikana maksamia palvelumaksuja omien vastuidensa ylärajana.

Asiakasyrityksen ja erityisesti tietohallintojohtajan kannattaa sopimusta hierottaessa miettiä sitä, riittäkö tällainen summa kattamaan kaikki murtojen aiheuttamat aineelliset ja aineettomat vahingot.

Usein se ei riitä, joten jo sopimusta neuvotelyaessa on määriteltävä korkeammat korvaustasot. Laajempi korvausvelvollisuus toimii ikään kuin yrityksen ylimääräisenä pilvipalveluvakuutuksena.

Yritysten välisissä sopimuksissa on aina kosolti pientä tekstiä. CIO:n pitää tietysti lukea sopimus huolellisesti, mutta asiakkaana hän voi myös vaatia omia, tarpeellisiksi katsomiaan lisäyksiä siihen pienellä painettuun tekstiin.

Pilkunviilausta ei siis kannata kavahtaa.

Kuten monessa muussakin pilvipalveluihin liittyvässä asiassa, yritys voi kohentaa tietoturvaansa valvomalla etujaan hyvän sään aikana eli jo silloin, kun sopimusta hierotaan.

Käännös: Markku Pervilä