Valtiollinen turvallisuuselin paljastaa: Tutkimusdataa vuodelle ulkomaille toimittanut ulkopuolinen työntekijä pidätetty
Kiinan kansallinen turvallisuuselin on pidättänyt ulkopuolisen järjestelmäylläpitäjän, joka syyllistyi ydin tutkimusdatan lataamiseen ja toimittamiseen ulkomaisille tiedustelupalveluille. Tapaus korostaa kasvavia riskejä digitaalisten palveluiden ulkoistamisessa.

Kiinan kansallinen turvallisuuselin on ilmoittanut pidätyksestä, jossa ulkopuolinen työntekijä syyllistyi ydin tutkimusdatan lataamiseen ja sen toimittamiseen ulkomaisille tiedustelupalveluille. Tapaus valottaa ulkoistettujen IT-palveluiden turvallisuushaasteita, kun yhä useampi organisaatio turvautuu kolmansien osapuolten apuun digitaalisten ja älykkäiden toimintojen hallinnassa.
Virasto varoittaa, että monet organisaatiot ulkoistavat järjestelmäylläpitoa, tiedonkeruuta ja tietoturvaa ilman riittävää valvontaa. Tämä käytäntö, jossa vastuu siirtyy palveluntarjoajalle ilman kattavia turvamekanismeja, luo merkittäviä riskejä järjestelmän tietoturvalle. Viime vuosina on raportoitu useita tapauksia, joissa ulkoistetut datapalvelut ovat johtaneet tietovuotoihin ja -hävityksiin.
Yksi tunnistettu tapaus koski tutkimuslaitosta, joka oli ulkoistanut tietokantansa ylläpidon ulkopuoliselle yritykselle. Yritys ei ollut toteuttanut riittäviä turvatoimia, kuten taustatarkistuksia tai datan käytön seurantaa. Tämä mahdollisti ulkopuolisen työntekijän lataamaan suuria määriä arkaluonteista tutkimusdataa ja toimittamaan sen ulkomaille. Tapauksessa myös tutkimuslaitoksen vastuullisia henkilöitä on asetettu vastuuseen.
Toinen esimerkki paljasti, kuinka terveydenhuollon datapalveluita tarjoava yritys keräsi salaa yli 280 000 potilastietoa ja tallensi ne omaan tietokantaansa. Lisäksi kolmas tapaus osoitti, kuinka verkkosivuston ulkoistettu ylläpito ilman asianmukaisia turvatoimia johti verkkohyökkäykseen ja laittoman sisällön levittämiseen.
Kansallinen turvallisuuselin painottaa, että ulkoistettujen datapalveluiden turvallisuusriskit keskittyvät erityisesti henkilöstön taustatarkistuksiin, käyttöoikeuksien hallintaan ja jatkuvaan seurantaan. Maan lainsäädäntö, kuten dataturvallisuuslaki, edellyttää sopimuksissa selkeitä määräyksiä datan käsittelystä ja vastuista. Ulkoistaminen ei vapauta alkuperäistä tahoa sen vastuusta datan turvallisuudesta.