Myymalat pieni

17.6.2013

Kenellä on kulkuoikeudet kassakaapillesi?

On päivän selvää, että tahdot pitää yrityksesi arvokkaat sopimustiedot lukkojen takana. Ethän luonnollisesi luota kassakaappisi avainta tai numeroyhdistelmää kenenkään ulkopuolisen haltuun.

Mitä jos vieraan valtion edustajalla olisi oikeus käydä ”ihan vain vilkaisemassa” kassakaappisi sisältöä, jos kyse on ”kansallisesta turvallisuudesta”. Tai entä jos kassakaappisi valmistajalla olisi oikeudet kassakaapin sisältöön, onhan se kuitenkin heidän valmistamansa tuote.

tiedustelupalvelu-MagicCloudOmaan korvaani kuulostaa vahvasti siltä, ettei yleisten käsitysten mukaan menevä tietoturva toteudu näissä tilanteessa lainkaan. Totuus on kuitenkin useassa tapauksessa pelottavan lähellä edellä kuvattuja tilanteita. Kesäkuun 2013 alussa tuli julki luotettavalta taholta asia, josta IT-ala oli pinnan alla tietoinen; monet suuryritykset tekevät yhteistyötä kansallisten turvallisuuspalveluiden kanssa, luovuttaen yksityistä omaisuutta olevaa dataa tiedustelupalveluiden käyttöön.

Sittemmin on käynyt ilmi, että useiden eri yritysten kautta NSA:lle työskennelleen Edward Snowdenin julki tuoma tieto urkintatapauksista oli vain jäävuoren huippu. Etenkin Yhdysvalloissa sijaitsevat verkko-operaattorit, kuten markkinajohtaja AT&T, ovat jo vuosia välittäneet verkkoliikenteensä tietoja suoraan NSA:lle.

Tietoturva on luonnollisesti heitetty nurkkaan myös siinä tapauksessa, jos palveluntarjoajalla tai kolmannella osapuolella on siihen käyttö- tai omistusoikeus. Kuulostaa fiktiiviseltä, mutta on useissa tapauksissa tämä on valitettavan totta. Miltei jokainen IT-alalla työskentelevä henkilö tietää yhden jos toisenkin tapauksen, jossa asiakkaan irtisanoessa sopimusta, ei palveluntarjoajalla sijaitsevan datan takaisinsaanti ole ollut yksiselitteistä. Pahimmissa tapauksissa data on luvattu palauttaa asiakkaalle A4-arkeille tulostettuna. Tuleepa mieleeni myös tapaus, jossa yrityksen kehittämään innovaatioon perustuvaa tuotetta oli ilmaantunut vieraan valtion armeijan käyttöön toisen yrityksen toimesta, ilman minkäänlaista yhteyttä. Kyseisessä tapauksessa yrityksen data sijaitsi globaalin palvelintarjoajan palvelinkeskuksissa.

Suomalainen lainsäädäntö sekä käytännöt ovat tällä saralla yleisesti ottaen datan omistajan puolella. Suomessa sijaitsevien konesalien käyttäjien tieto on pääsääntöisesti asiakkaan omaisuuttaa, eikä palveluntarjoajalla ole tietoon käyttöoikeuksia.

Vaikka parannettavaa toki myös Suomen lainsäädännöstä löytyy tällä saralla, voi lähtökohtaisesti suomalaisen palveluntarjoajan asiakas olla suhteellisen turvallisin mielin, mikäli palvelut tarjotaan suomessa sijaitsevista palvelinsaleista ja sopimuksessa on määritelty kirjallisesti datan omistajuussuhde.