Jokusen BI- ja tietovarastointiprojektin läpi kahlanneena olen usein miettinyt, kuinka suureen määrään (liiketoiminta)dataa BI-veijareilla on mahdollisuus päästä, tulivatpa sitten talon sisältä tai konsultin roolissa ulkopuolelta.
Muutaman pääkäyttäjän oikeuksin ajetun valmiin raportin kautta löytyy usein koko organisaation taloudelliset tunnusluvut, budjetit ja ennusteet, myynti, ostot, tilauskanta, merkittävimmät asiakkaat ja projektista riippuen joskus palkkatietojakin. Ja paljon muuta.
Jos taitaa muutaman lauseen SQL:ää, simppelillä SELECT-lauseellakin saa kaivettua tietokannan uumenista vaikka mitä, varsinkin jos osaa filtteröidä tilejä WHERE-ehdolla. Yleensä tätäkään ei tarvitse tehdä, sillä tulos ja tase ovat jo valmiiksi rakennettuna summariveineen tietovaraston tilidimensioon.
Oikeastaan jo lähtökohtaisesti ajatus on huvittava: suuri määrä arkaluontoista dataa kerätään yhteen paikkaan, jossa toisilleen tuntemattomat ihmiset pääsevät siihen käsiksi. Ok, useimmiten dataa rajataan raportointipäässä vaikka liiketoimintayksikön tasolla, mutta edelleen BI-veijareilla on samat admin-natsat käytettävissä. Vaikka sensitiivisempää dataa, kuten palkkatietoja, rajattaisiin tietokantapäässä näkymien avulla, kyllä ne taustalla olevat taulut ovat edelleen löydettävissä – ainakin latausalueelta.
Mitäs sitten, kun asiakas ei olekaan tylsä teollisuusyritys, vaan julkishallinnon puolelta vaikkapa sairaanhoitopiiri, Poliisi tai verottaja? Toivottavasti potilastietojen kanssa työskentelevillä BI-veijareilla on tietoturva hanskassa ja salassapitosopimukset kunnossa.
Q3-osavuosikatsaukset
Pian saadaan taas seurata, mitenkäs se kesälomien jälkeinen aika pörssiyhtiöissämme menikään. Entäpä, jos BI-veijarille tulisikin kiusaus katsoa Arvopaperi-lehdestä analyytikoiden ennusteita ja verrata BI-, suunnittelu- ja konsolidointijärjestelmistä löytyviä toteumia sekä ennusteita näihin? Siinä voi sitten tulosjulkistuksen alla arpoa, lähteekö viikonlopun viettoon short-positiolla, lyökö rahaa tiskiin vai myykö vanhat osakkeet salkusta turskaamasta. Tässä tapauksessa kun suomalainen voittaa aina.
Mitäpä jos tulisi houkutus muuttaa tulosjulkistuksen alla numeroita parempaan tai huonompaan suuntaan? Tai muuten vain tehdä pientä kiusaa naapuriyksikön mulkvistille? Ei suotta sanota SQL:n olevan ilmaisuvoimainen kieli.
Vai onko riski kuitenkin talon sisällä?
Yksi ihan mielenkiintoinen elävä esimerkki oli eräästä konsernin hankintoihin liittyvästä raportointiprojektissa, jossa olin jo vuosia sitten mukana. Yrityksessä oli muutoin tietoturva hyvällä mallilla: VPN-putkia ei ollut eli työtä tehtiin asiakkaan tiloissa, henkkarit katsottiin aulan tiskillä, omia läppäreitä ei saanut käyttää, BI-palvelimilta ei päässyt ulkoverkkoon, tiloissa kuljettiin aina saattajan kanssa ja yksin ei saanut jäädä puuhailemaan. Vessassa sai sentään käydä rauhassa.
Rakennettiin hienot tietovarastot, kuutiot ja raportit. Testausvaiheessa aloin kuitenkin saada hankintajohtajalta työsähköpostiini suojaamattomana raportteja konsernin suurimmista toimittajista euromäärineen. Tuli heti turvallinen olo.
Pitäisikö asialle tehdä jotain?
Kyllä ja ei. Varsinkin kehittäjän näkökulmasta on hyvin hankalaa ja jopa raivostuttavaa, mikäli BI-työkalut eivät ole käytettävissä ja dataa saatavilla, kun kehitystyö on kuumimmillaan. Yleensä kun näissä hommissa painaa kiire päälle.
Toisaalta huhtikuussa hyväksytty EU:n tietosuoja-asetus (täällä kauniisti visualisoituna) ohjaa yrityksiä varmistamaan tietoturvansa riittävyyden ja varautumaan ongelmatilanteisiin. Ihan älytön hoppu ei ole, sillä Suomessa asetusta ryhdytään soveltamaan kahden vuoden siirtymäajan jälkeen eli aikaisintaan keväällä 2018. Kannattaa kuitenkin varautua ajoissa, sillä jopa 20 miljoonan euron sakko tietosuojasäännösten rikkomisesta rohkaisee kyllä laittamaan henkilötietojen käsittelyn kuntoon myös BI-projekteissa.
With Great Power Comes Great Responsibility. Louhia on hyvien puolella.
