Af hverju það er ekki nóg að vernda gögn — heldur líka að eyða þeim
Flest fyrirtæki og stofnanir starfa eftir sömu hugmyndafræði þegar kemur að gögnum; safna öllu, geyma allt og eyða aldrei neinu. Samkvæmt Arnari S. Gunnarssyni, öryggisstjóra OK, er þessi nálgun hins vegar orðin úrelt — og getur í raun skapað meiri áhættu en öryggi.
„Rökin eru yfirleitt þau sömu, að fyrirtæki telja sig þurfa að nota gögnin seinna, það kostar lítið að geyma þau og enginn fær á sig skömm fyrir að hafa of mikið af gögnum. En þessi hugmyndafræði er úrelt og hættuleg og heimurinn er að vakna,“ segir hann.
Arnar hélt nýlega fyrirlestur á hádegisfundi Ský þar sem hann lagði áherslu á einfalda en mikilvæga staðreynd:
Gagnaeyðing er ekki gagnatap — hún er öryggisaðgerð.
„Gögn sem fyrirtæki geymir ekki geta ekki lekið, verið læst aðgengi að, eða verið beitt gegn fyrirtækinu. Þetta hljómar einfalt, en breytir öllu hvernig við hugsum um gagnaöryggi ef við tökum þetta alvarlega.“
Vandinn sem enginn talar um
Þegar rætt er um gagnaöryggi snýst umræðan yfirleitt um varnir — dulkóðun, aðgangsstýringu, afritun og eldveggi. En vandinn liggur dýpra.
Hvert gagnasafn sem fyrirtæki geymir getur orðið skotmark öryggisárásar og leitt til dómsmáls eða sektar vegna brots á friðhelgi einstaklinga. Gögn eru í auknum mæli notuð sem vopn og dæmin eru fjölmörg.
Clearview AI safnaði milljörðum andlitsmynda af opnum vefsvæðum og nýtti þær í andlitsgreiningu. Lögregla í Bandaríkjunum hefur keypt staðsetningargögn borgara frá gagnamiðlurum til að komast hjá dómsúrskurði. Þá hefur einnig komið upp að ríkisstofnanir hafi keypt gögn frá hakkurum til að ná fram innheimtu.
Þetta er ekki einstakt fyrirbrigði heldur kerfislægt vandamál.
Á Íslandi eru áhrifin jafnvel meiri en annars staðar. Í litlu samfélagi þar sem flestir þekkja hvern annan verður skaðinn af gagnalekum persónulegri.
GDPR og 5. grein reglugerðarinnar kveða á um að aðeins megi geyma gögn sem raunveruleg ástæða er fyrir. Þrátt fyrir það geyma mörg fyrirtæki gögn „til öryggis“ án skýrs tilgangs, án tímamarka og án ábyrgðar.
Geymsla á gömlum gögnum getur jafnframt talist vinnsla á þeim og skapað lagalegar skyldur — jafnvel þegar gögnin eru ekki lengur í notkun.
Þrjár spurningar sem fyrirtæki ættu að spyrja
Áður en fyrirtæki ákveður að geyma gögn ætti það að geta svarað þremur einföldum spurningum:
- Tilgangur: Er skráð og virk ástæða fyrir því að geyma gögnin?
- Tímamörk: Hvenær á að eyða þeim?
- Áhætta: Hvað gerist ef gögnin leka eða verða óaðgengileg?
Ef ekki er hægt að svara þessum spurningum er líklegt að vandamál sé til staðar sem þarf að leysa.
Hvernig á að byrja?
Arnar segir að tvö skref geti skipt sköpum:
Í fyrsta lagi þarf að fara í gagnaendurskoðun — kortleggja hvaða gögn eru geymd og hvers vegna. Ef ekki er hægt að skilgreina tilgang er vandamálið augljóst.
Í öðru lagi þarf að setja skýra geymslustefnu með sjálfvirkum eyðingarferlum. Ekki handvirk verklag sem safnar ryki, heldur lausnir sem tryggja að gögn séu eydd á réttum tíma.
Sjálfvirk eyðing er bæði öruggari og hagkvæmari en að geyma allt til frambúðar.
Gamli hugsunarhátturinn er dauður
Gamla viðhorfið var einfalt: „Geymdu allt, þú gætir þurft á því að halda.“
Nýi veruleikinn er hins vegar öfugur.
Hvert gagnasafn sem fyrirtæki velur að geyma er áhætta sem það velur að bera.
Fyrirtæki sem taka gagnaeyðingu alvarlega sem öryggisaðgerð eru betur í stakk búin þegar atvik kemur upp.
Eyðing er ekki gagnatap — hún er áhættustjórnun.
