ISO/IEC 27001 -standardi tietoturvan hallintajärjestelmille päivittyi vuonna 2022, jolloin liitteen A hallintakeinojen rakennetta yksinkertaistettiin ja mukaan tuotiin uusia hallintakeinoja, kuten uhkatiedon seuranta ja pilvipalvelujen turvallisuus. Hallintakeinot eivät ole pakollisia, mutta organisaatioiden on perusteltava niiden käyttäminen tai käyttämättä jättäminen. Tässä blogissa syvennymme uusista hallintakeinoista tietojen peittämiseen (data masking), joka on tapa suojata arkaluontoisia tietoja paljastumiselta. Riippuen tiedon jakamisen ja käytön tarpeista, tiedon peittäminen voi olla staattista, dynaamista tai lennossa tapahtuvaa.
Mitä on tietojen peittäminen?
Tietojen peittämisestä tulevat ehkä mieleen raflaavat lehtijuttujen kuvat, joissa asiakirjasta on mustattu tietoja. Monet ovat kuitenkin törmänneet arkipäiväiseen tietojen peittämiseen kaupassa: kuitissa luottokorttinumeroista näytetään vain neljä viimeistä.
Tietojen peittämisen tarkoitus on estää arkaluontoisten tietojen, kuten henkilötietojen, paljastuminen. Myös lainsäädännössä ja kansainvälisissä standardeissa voi olla vaatimuksia tietojen peittämisestä. Esimerkiksi luottokorttinumeroiden piilottaminen tulee Payment Card Industry Data Security Standard (PCI DSS) -standardista. Tietoja peittämällä voidaan myös luoda tutkimuskäyttöön sopiva tietoaineisto.
Mitä tietoja pitäisi peittää?
Jotta tiedon peittämisen tarve ja laajuus voidaan selvittää, ensimmäisenä on syytä miettiä, mitä arkaluontoista tietoa organisaatio käsittelee.
- Mitä tietoa on kyseessä? Mikä osa tiedoista on arkaluontoista?
- Ketkä tiedon saavat nähdä?
- Missä tietoa käsitellään? Onko tietoja tarpeen kopioida muualle?
- Liittyykö tiedon käsittelyyn tai peittämiseen vaatimuksia mm. laeista, viranomaismääräyksistä tai sopimuksista?
Ennen kuin hypätään tiedon peittämisen toteutustapoihin, kannattaa pohtia, voiko pääsyä arkaluontoiseen tietoon rajata ensin muuten.
- Pääsynhallinta. Voiko pääsyn arkaluontoisiin tietoihin rajata roolipohjaisella pääsynhallinnalla?
- Arkistointi. Tiedon siirtäminen pääsyltään rajoitettuun tallennuspaikkaan tai merkitseminen esimerkiksi vain ylläpitäjälle näkyväksi.
- Tilastointi ja koosteet. Tarvitaanko tiedosta oikeaa vastaava kopio kaikkine tietueineen, vai riittääkö yhteenveto?
- Synteettinen testiaineisto. Testiaineistoa ei kannata luoda tuotantodataa sekoittamalla. Suomessa Digi- ja väestötietovirasto ylläpitää testiaineistoa, jossa on mm. testihenkilöitä.
- Tiedon automaattinen poisto säilytysajan tai oikeutetun käyttöajan päättymisen jälkeen.
Esimerkiksi sairaalaruokailua varten käsitellään erikoisruokavaliotietoja. Ruoan jakelua varten tulostetaan kullekin ruokailukerralle jakelulista, jossa on tiedot siitä, kenelle erikoisruoka-annokset on tarkoitettu. Potilaista listalle tulostuu nimi, henkilötunnuksen alkuosa, sekä erikoisruokavalion tyyppi. Listan käyttö osastolla on asianmukaista, jotta oikea potilas saa oikean annoksen. Sen sijaan jakeluauton kuljettajan tulosteesta tulisi peittää tai poistaa nimi ja henkilötunnuksen alkuosa. Vaihtoehtoisesti voidaan toimittaa vain yhteenlasketut summat erilaisten annosten määristä.
Miten tiedon peittämisen voi toteuttaa?
ISO/IEC 27002 -standardin ohjeistus hallintakeinosta 8.11 Tietojen peittäminen kattaa useita tiedon piilotuksen tapoja anonymisoinnista ja pseudonymisoinnista tiedon maskaamiseen.
Tiedon peittäminen voi olla staattista, dynaamista tai lennossa tapahtuvaa (”on the fly”).
- Staattisessa tiedon peittämisessä tietoaineistosta luodaan erilliskopio, jossa tieto on peitetty. Tämä on hyödyllistä mm. tutkimus- tai testauskäytössä.
- Dynaamisessa tiedon peittämisessä tiedon piilottaminen perustuu pääsyoikeuksiin. Esimerkiksi jos jonkun tarvitsee työssään tarkistaa henkilötunnus tai osoite, he saavat nähdä tiedon ja muille tieto on piilotettu. Tieto voi olla aluksi piilossa, mutta esimerkiksi kirjautunut käyttäjä saa nappia painamalla tiedon esiin.
- Lennossa tapahtuvassa tiedon peittämisessä tieto peitetään vasta haettaessa. Tämä sopii tilanteisiin, joissa tieto muuttuu usein, mutta siitä tarvitaan oma peitetty kopio.
Tiedon peittämiseen on olemassa useita valmisohjelmistoja. Joissain ohjelmistoissa ja pilvipalveluissa voi myös olla valmiina tiedon peittämisominaisuuksia. Käyttötarkoituksen mukaan tiedon peittämisen toteutus voi olla esimerkiksi jokin seuraavista:
- Tiedon korvaaminen tiivisteellä. Myös tämä on pseudonymisointitekniikka.
- Maskaaminen. Tiedon voi myös asteriskeilla täysin tai osittain, kuten luottokorttinumeroiden tapauksessa. Tekstikentät voi mustata.
Mitä tietojen peittämisessä kannattaa huomioida?
Jotta tietojen peittäminen olisi toimivaa, kannattaa huomioida tyypillisiä ongelmapaikkoja:
- Toimiiko pseudonymisointi? Arvattavissa oleva algoritmi
- Peitetäänkö kuvien, liitteiden ja viittausten tieto? Peitetyn tiedon voi pystyä päättelemään oheismateriaalista.
- Onko lopputulos oikeassa muodossa? Jos reittilaskentaan tarvitaan oikeita osoitteita, Paratiisitie 13, Ankkalinna ei käy.
- Onko pääsynhallinta kunnossa? Tietojen peittäminen ei auta, jos pääsynhallinnan voi ohittaa.
- Saako tietojen peittäminen näkyä käyttäjälle? Tieto peitettyjen tietojen olemassaolosta voi mahdollistaa päätelmien tekemisen, esimerkiksi jos tietyt terveystiedot on aina tapana peittää.
Tiedon peittämisen voi toteuttaa monella tavalla. On tärkeää ymmärtää ja selvittää, mihin tietoon ja mihin käyttötilanteisiin peittämistä kannattaa soveltaa ja miten muuten tietoa kannattaa suojata. Tiedon peittämisen toteutuksen toimivuus kannattaa arvioida ja testata huolella.
2NS toimii kumppanina ISO/IEC 27001 -hallintajärjestelmän implementoinnin ja ylläpidon kumppanina. Tutustu vaihtoehtoihin, joilla voit lähtökartoittaa organisaatiosi tietoturvan ja harkita etenemistä kohti sertifiointia. Saat helposti lisätietoa ottamalla meihin yhteyttä. Blogin on kirjoittanut hallinnollisen tietoturvan asiantuntijamme Anne Oikarinen.