Joosep Põllumäe: su klienti ei huvita, et sina polnud nende andmete lekkimises süüdi

Iga ettevõte, kes peab oma töös kokku puutuma suurema hulga klientide andmetega, kõnnib iga päev katastroofi ja meeletute võimaluste piiril – ühelt poolt lubavad asjalikud andmed luua teenuseid ja süsteeme, mis tagavad meeletu äriedu ja klientide heakskiidu, samas kui kasvõi üks libastumine ja kõige väiksemgi andmeleke toob endaga kaasa klientide usalduse kaotamise ning mõnel juhul ka ettevõttele surmahoobi andva trahvi, räägib arvamusloos Elisa valdkonnajuht Joosep Põllumäe.

Andmete mõju tänapäevases ärikeskkonnas on võimatu alahinnata, sest just need on markerid, mille põhjal saab oma kliente kõige paremini mõista, tagada teenuste veatu toimimine ja asjakohane kommunikatsioon ning pakkuda oma klientidele midagi sellist, mida nad ise oodatagi ei osanud. Kui ühelt poolt loob see reaalsus pea piiramatult võimalusi, siis teisalt püstitab see ka pea hoomamatud riskid, mis võivad osadel juhtudel realiseeruda ilmagi, et klientide andmete eest vastutav firma ise midagi valesti oleks teinud. 

Mida suuremaks ettevõtted kasvavad ja mida keerulisemaks muutuvad teenused ja äriprotsessid, seda keerulisemaks ja mitmetahulisemaks muutub ka andmetega töötamine. Kui väiksema veebipoe puhul võib kogu andmestik koosneda müügiandmetest, millele vaadatakse lihtsalt peale ja tehakse otsuseid, siis sadu tuhandeid kliente haldav suurfirma peab hakkama saama sadade ja sadade terabaitide andmetega, igal sammul järjest kaitstumaks muutuvate andmeliikidega ning meeletu kogusega töötajatega, kes seadustele vastates mingit väikest lõiku kogutud andmetest oma töö jaoks vajavad.

Riskid suurenevad hüppeliselt

See ongi koht, kus riskid järjest kasvama hakkavad. Kui ettevõttel on seitse klienti ja kaks töötajat, on üsnagi lihtne paika panna, kes ja kuidas andmetega töötada saab ning millele ligi pääsetakse. Kui aga ühtäkki vajab üks osakond mingi olukorra läbi modelleerimiseks 1000 suvaliselt valitud kliendi anonümiseeritud andmeid, teine osakond tahab katsetada uut turundusautomaatikalahendust, mille jaoks on vaja valitud klientide meiliaadresse ning kolmas osakond tahaks reaalsete andmetega testida, kas äsja loodud IT-lahendus töötab nagu arvatud, on ohukohad kiired tekkima.

Mida laiemaks muutub spekter inimestest ja teenustest, kellel on mingiski osas ligipääs tundlikele andmetele, seda enam kasvab risk, et kellegi tähelepanu korraks kaob või mõni seni usaldusväärsena tundunud teenus langeb omakorda saatusliku andmelekkega rünnaku ohvriks. Kui arendaja, kellele on mõistliku põhjusega antud ligipääs mingile osale andmetele, lekitab kogemata oma parooli ja seeläbi pääseb keegi võõras ligi tundlikele andmetele, või häkitakse ära usaldusväärsena tundunud uudiskirjade saatmise platvorm, kuhu olid üles laetud ka konkreetse ettevõtte kliente meiliaadressid, ollaksegi ühe jalaga kuristiku kohal kõikumas.

Kuigi enamasti saab sellised olukorrad piisavalt kiire avastamise korral ära lahendada veel enne, kui see muutub päris katastroofiks, siis knee-jerk tegevustega jätkusuutlikku andmehaldus- ja küberturvalisuspraktikaid üles ei ehita. Seetõttu muutub andmete hulga ja tundlikkuse kasvamisega järjest olulisemaks ka etteplaneerimine, riskihinnangute koostamine ning õigete praktikate juurutamine. Kui üldine küberhügieen on on valemi ükspool, siis just andmeid silmas pidades tuleb vaadata märksa laiemalt pilti.

See tähendab, et lisaks kaitsmisele endale tuleb silmas pidada ka laiemat ökosüsteemi ning seda, et omad piirangud ja nõuded seavad ka regulatsioonid. Klientide andmete eest on lõpuks vastutav see ettevõte, kelle kätte need algselt usaldati ja seda vastutust on võimatu lükata kellegi teiste õlgadele. Kuigi maailmas võib olla mõni vahva teenus, mis teeks mõne protsessi lihtsamaks, siis 99% juhtudest peab see jääma kasutamata, kuna risk tõuseks sellega lihtsalt liiga kõrgeks. Iga ettevõtte ja iga töötaja kohustuseks on mõista, miks on mingid reeglid kehtestatud ning kuidas nende nõudmistega oma töövoogudes kohanduda.

Andmed ja privaatsus on tänapäevases ärimaailmas kulla kaaluga, mis tähendab, et nende kaitsmisele ja kasutamisele peab lähenema kui millessegi asendamatusse. See võib küll mingitel hetkedel olla tüütu ja tunduda kui liigne võimlemine, kuid nõuetele vilistamine ja klientide usalduse kuritarvitamine on oluliselt hullemate tagajärgedega, kui veidi tüütumate protsesside läbimine.