IT-valdkonnajuht: pilv on küll hea, aga kas sa mõistad ka selle riske?
Tänapäevased ettevõtted sõidavad andmete peal, kuid mida mahukamaks kasvavad andmehulgad ja mida suuremaks töötajaskond, seda kiiremad on tekkima ohtlikud vead ning riskid regulatsioonidega pahuksisse sattuda, rääkis Elisa ärikliendi IT ja tehnilise halduse valdkonna juht Tarmo Linnamägi. Eriti keerukaks muutub õigel rajal püsimine tema sõnul aga siis, kui valemisse lisanduvad ka pilvelahendused.
“Vanasti oli andmetega lihtsam – neid oli vähem ja enamasti hoiti neid oma serveriruumis või äärmisel juhul mõnes kodumaises andmekeskuses. Tänapäeval saab aga minimaalse kulu eest rentida terabaitide jagu ruumi Amazoni, Google’i või Microsofti juures, säästa nii kuludelt ja tagada taastatavuse, stabiilsuse ning täienenud mugavuse,” ütles ta.
Kuigi esmapilgul võibki tunduda, et pilvelahendused on võluvits andmemurede lahendamiseks, siis soovitab Linnamägi rakendada mõõdukat ettevaatust ning mõista, millised võivad olla pimesi pilveteenuste usaldamisega kaasnevad riskid. Selle kõrval ei tasu ka unustada, et olulised piirangud pilvehiiglaste kasutamisele seavad ka andmekaitse nõuded ning majasisesed tööpõhimõtted.
“Pilveteenused on head ning kui nendega mõistlikult ümber käia, on nende pakutavad eelised oluliselt suuremad kui tuvastatud riskid. Kõikide hüvede nautimiseks peab aga esmalt mõistma, mis on need panused, millega mängitakse ja endale tunnistama, et ka ilusa-särava puhul on aspekte, mis võivad tekitada probleeme,” lausus Linnamägi.
Kolm halduslikku riski
“Oma serveriruumis toimuv on sinu oma – sa tead, mis seal on; sa tead, kes sinna ligi pääseb; sa saad aru, kuidas see töötab ja sa saad minna ja vajadusel tõrkuvale serverile restardi teha. Andes aga asjad majast välja, võtad teatava riski – seda nii toimepidevuse, turvalisuse kui ka kõige muu osas, mida said varem ise täpselt nii detailselt kontrollida kui soovisid. Need riskid pole hiigelsuured, aga siiski on need midagi sellist, millele tuleb mõelda,” selgitas ta.
Kuigi on väga harv, et hiigelsuur pilveteenusepakkuja täielikult pimedaks muutub või mõnegi baidi kliendi jaoks olulisi andmeid ära kaotab, on see Linnamägi sõnul risk, millega tuleb arvestada. “99% ajast võib küll kõik hästi töötada, aga kui teenusepakkujal midagi juhtub, on väga vähe, mida saad teha. Isegi kõige suurem Eesti ettevõte on triljoni-dollarilise käibega hiiglase jaoks väikeklient, kelle telefonikõne peale asjad kuidagi kiiremini paremaks ei muutu,” selgitas ta.
Niisamuti on Linnamägi sõnul enne andmete pilve kolimist oluline endale meenutada, et hooletusvigadest taastumine võib võrreldes oma majas andmete hoidmisega olla märkimisväärselt keerukam. “Pilves kustutatud asjad kaovad harilikult 60-90 päeva jooksul ning see on lõplik. Kui aeg on möödas, pole enam midagi teha. Miski ei garanteeri küll sajaprotsendiliselt ka seda, et oma serverist kustutatud faili iial tagasi saad, kuid vähemalt on sul olemas füüsiline ligipääs, et anda omalt poolt parim,” selgitas valdkonnajuht.
Kolmanda suurema riskina tõi Linnamägi välja liigse mugavustunde tekkimise ja tõsiasja, et kõik ettevõtte töötajad ei pruugi pilve hingeelu peenusteni tunda. “Pole haruldased olukorrad, kus välisele partnerile jagatakse ühe kausta asemel ligipääsu tervele kettale või ühe faili asemel tervele kaustale. Pilv muudab jagamise lihtsaks, kuid see tähendab ühtlasi ka seda, et keegi peab kindlaks tegema, et töötajad oskavad koostöövõimalustega pädevalt ringi käia,” rääkis ta.
Isikuandmetega ei saa mängida
Linnamägi sõnul tuleb pilvelahenduste kasutamisel selgelt kaardistada ja paika panna ka see, milliseid andmeid seal üldse hoida tohib. Kuigi varukoopiate pidamiseks võiks tunduda mõistlik laadida üles terve oma serveri koopia, siis seavad regulatsioonid väga selged piirangud sellele, milliseid ja millises vormis kliendiandmeid tohib kuskil hoida. Seetõttu on ka kriitiline aru saada, kes päriselt pilveteenust omab ning millistele regulatsioonidele see allub.
Elisa andmekaitsetiimi juhi Piia Laks-Järve kommentaar:
Isikuandmete töötlemisel tuleb lähtuda isikuandmete kaitse üldmääruses sätestatud nõuetest, kus on muuhulgas paika pandud reeglid isikuandmete edastamiseks, sh hoiustamiseks EL välistes riikides. Siinjuures on oluline tähele panna, et tähtsust ei oma see, millises riigis asub andmekeskus, vaid see, millise riigi ettevõte on pilveteenuse omanik.
Isikuandmete kaitse üldmäärus annab aga igale andmetöötlejale ükiskasjaslikud juhised iseseisvalt hinnata, kas ja milliseid isikuandmeid edastada EL välistesse riikidesse, mille andmekaitse taset ei ole hinnatud samaväärseks üleeuroopalise isikuandmete kaitsega. Näiteks võib isikuandmeid kolmandas riigis hoida kasutades siduvaid kontsernisiseseid eeskirju, standardseid andmekaitseklausleid, õiguslikult siduvaid dokumente avaliku sektori asutuste vahel, toimimisjuhendeid, või muud sarnast õiguslikku raamistikku.Oluline on tagada, et kolmandas riigis oleks Euroopa inimestele tagatud andmekaitse samaväärselt üleeuroopalisele isikuandmete kaitse üldmäärusele.
Linnamägi sõnul võib osadel juhtudel kaaluda ka isikuandmete anonümiseerimist, mis tuleb peamiselt kasuks juhtudel, kui pilvekeskkonnas soovitakse kasutada mõnd teenust, mis eeldab küll andmeid, kuid mille puhul pole kriitiline isikustatud andmete kasutamine. Näiteks saab sel viisil testida uut arendatavat teenust või viia läbi erinevaid harjutusi.
Üks on vähe, kolm on hea
“Andmete pilves hoidmine on hea mõte, aga seda tuleb teha mõistlikult. Jätkusuutlikkuse vaatest on kõige mõistlikum kriitilisi andmeid ja teenuste toimimiseks vajalikke süsteeme hoida rohkem kui ühes kohas,” rääkis Linnamägi. “Üks neist kohtades võib olla pilv, kuid sellest üksi ei piisa.”
Tema sõnul on kõige levinum praktika hoida vähemalt ärikriitilisi süsteeme ja andmeid kolmes erinevas paigas, millest üks on oma majas, üks samas riigis ja üks kuskil kaugemal. “Kui üks kolmest sussid püsti viskab, on koopia kohe võtta. Hetkeks võivad küll asjad luksatada, aga tõrge on kindlasti oluliselt lühemaajaline, kui asudes oma üht koopiat taastama ja elule äratama,” rääkis ta.
“Iga ettevõte on omanäoline ja erineva riskitaluvusega. Siiski näitab statistika, et katastroofilist andmekadu kannatanud ettevõte läheb suure tõenäosusega kolme aasta jooksul pankrotti – seetõttu ei tasu kõiki mune ühes korvis hoida. Riskide maandamine on oluline, kuid selle kõrval on oluline ka toimepidevus. Oluline on leida kuldne kesktee,” ütles ta.