Sähköisten tiedonhallintajärjestelmien lähitulevaisuuden haasteet: tietoturva, tiedon pitkäaikaissäilytys ja sähköinen arkistointi
Lainsäädäntö ja sen pohjalta annetut viranomaisohjeet ovat uudistuneet ja uudistumassa koskien verkossa liikuteltavan tiedon tietoturvaa. Lähitulevaisuudessa tiedonhallintapalveluja julkisille tahoille tarjoavien yritysten tulee täyttää minimissään kansallinen turvallisuusauditointikriteeristön mukaiset minimivaatimukset. Tietoturvallisuusvaatimusten tiukentumisen ohella tulevat voimaan vaatimukset julkisten toimijoiden tiedon pitkäaikaissäilytykselle ja sähköiselle arkistoinnille. Palveluntarjoajilta tullaa edellyttämään, että operatiivinen järjestelmä täyttää tiedon pitkäaikaissäilytykselle asetettavat järjestelmävaatimukset.
Kansallisen turvallisuusauditointikriteeristön vaatimukset edellyttävät tiedonhallintapalveluja tarjoavilta yrityksiltä hyvin järjestettyä ja dokumentoitua toimintaa ja palveluita. Kriteeristö ja sen pohjalta laadittu auditointiohjeisto muistuttavat suurelta osin akreditoidun ISO-laatujärjestelmän auditointiohjeita ja menettelyjä. Yrityksen, joka palveluja tarjoaa, on oltava hyvin johdettu ja henkilökunnan on täytettävä korkea luotettavuusvaatimus. Sertifikaatin saadakseen yrityksen koko henkilökunnasta on tehtävä hyväksytysti suojelupoliisin perusselvitys. Kriteeristö asettaa niin ikään korkeat vaatimukset tietotekniselle ympäristölle, jossa tietoja käsitellään, siirretään ja säilytetään. Järjestelmän on oltava suojattu hyökkäyksiä vastaan ja siten varmistettu, että mahdollinen toipuminen hyökkäyksestä kestää vain niin lyhyen ajan, että tiedon hyödyntäminen voi jatkua asiakkaan liiketoimintaa haittaamatta. Tiedot tulee olla kahdennettuina ja varmistukset hoidettu siten, että pahimmassakaan tapauksessa ei menetetä kuin muutamien viimeisten tuntien työt. Kriteeristö ei suoranaisesti ota kantaa siihen, missä tiedot fyysisesti sijaitsevat, mutta kriittisen tiedon tulee sijaita sellaisessa paikassa, joka on mahdollista auditoida. Kriteeristön näkökulmasta pilvipalveluja ei ole erikseen käsitelty, mutta kriteeristöä tutkiessa tulee sellainen vaikutelma, että kriittistä tietoa ei pilvessä voi säilyttää.
Buildercom Oy:n palvelu on auditoitu Senaatti-kiinteistöjen toimeksiannosta ja Netum Oy:n toimesta keväällä 2013 Katakri-kriteeristön mukaisesti. Auditoinnissa havaittiin neljä asiaa, joista auditoija antoi parantamissuosituksen. Suositusten mukaiset korjaavat toimenpiteet on tehty ja prosessi saatetaan loppuun lähitulevaisuudessa. Prosessin loppuunsaattamisen jälkeen voimme todennetusti tarjota asiakkaillemme kriteeristön vaatimukset täyttävää palvelua.
Julkisten toimijoiden tarve sähköisen tiedon pitkäaikaissäilytykselle on ollut pitkään tiedossa. Asiaa on selvitetty ja valmisteltu jonkin aikaa. Järjestelmävaatimukset ovat valmiina, mutta selkeitä auditointikriteerejä hiotaan vielä. Buildercom Oy tulee selvittämään oman tiedonhallintapalvelunsa soveltuvuuden viranomaistiedon pitkäaikaissäilytykseen. Alustavien selvitysten pohjalta voidaan todeta, että mitään ylivoimaisia ponnisteluja järjestelmän virittämiseksi täyttämään edellä mainitut vaatimukset ei näyttäisi vaadittavan. Selvitystyö valmistuu kevään 2013 aikana ja sen jälkeen olemme valmiit tekemään päätöksen järjestelmän auditoinnista viranomaistiedon pitkäaikaissälytystä varten.
Viranomaistiedon sähköinen arkistointi arkistolain hengessä on selkeästi sellainen vaatimus, että sen täyttämiseen operatiivinen järjestelmä ei taivu. Sähköisen arkistoinnin jätämme suosiolla viranomaisten itsensä hoidettavaksi.
Matti Luhtanen
Toimitusjohtaja
matti.luhtanen (at) buildercom.fi