tietoturva, pilvipalvelut

Mitä pilvipalvelun ostajan pitää tietää tietoturvasta?

Eero Vuojolahti
02.10.2019 | Eero Vuojolahti

Pilven tietoturva

Uutiset tietomurroista ovat arkipäivää, ja suurimpiin toimijoihin, kuten pankkeihin, verottajaan ja sairaaloihin, kohdistuu jatkuvasti tietomurtoyrityksiä. Vuoden 2019 alkupuolella on uutisoitu mm. kaikkien bulgarialaisten verotietojen varastamisesta sekä yhdysvaltalaispankki Capital Oneen kohdistuneesta tietomurrosta, jossa yli sadan miljoonan ihmisen luottokorttihakemukset varastettiin.

Tällaiset uutiset ovat katastrofimittaluokkaa, jonka kaltaista useimmat suomalaisyritykset eivät ehkä joudu kohtaamaan, mutta fakta on tämä: jokaisen yrityksen asiakastiedot ja liikesalaisuudet on pidettävä huolellisesti turvassa. Jos tavara osuu tuulettimeen, voi siitä seurata miljoonaluokan vahingot.

Samaan aikaan yritysmaailma pilvistyy kohisemalla. Isoimpien pilvipalvelun tarjoajien, kuten Google, Amazon ja Microsoft, tietoturva on rakenteellisesti parhaalla mahdollisella tasolla. Suuryritysten maineriski tietomurtojen sattuessa olisi yksinkertaisesti liian suuri, joten pilvijättiläisillä on omat palkka-armeijansa taistelemassa tietomurtoja vastaan.

Käyttöönoton suunnittelu ja toteutus ratkaisee lopulta sen, miten hyvä pilvipalvelun tietoturva on. Kerrataanpa siis, mitkä asiat ovat pilvipalvelun tarjoajan, ja mitkä käyttäjän vastuulla. Vastuujaon yksityiskohdat riippuvat palvelusta, ja alla olevaan kuvaan on hahmoteltu päälinjaukset.

On-Premise-palveluiden tietoturva vaatii jatkuvaa valvontaa ja osaamista

Tietoturvan ylläpito on nykyään rautaista asiantuntijuutta vaativaa kokopäivätyötä. Tietomurtoja ja palvelunestohyökkäyksiä suunnittelevat tahot kehittävät jatkuvasti uusia tapoja murtautua yritysten ja valtioiden järjestelmiin, ja tietoturvaosaajat kehittävät myös varmistusta koko ajan paremmaksi. Isossa kuvassa on siis järkevämpää uskoa tietoturva ammattilaisten käsiin, kuin yrittää yritystasolla itse pärjätä sodassa.

Tämä on yksi erinomainen syy yritysten pilvistymiseen: pilviratkaisuilla saadaan kustannustehokkuutta ja ajantasaisuutta tietoturvaan. Pilvipalvelut antavat tietoturvalle erinomaiset perustukset, ja asiakkaan vastuulle jää ratkaisusta riippuen ehkä vain identiteetin- ja pääsynhallinnan suunnittelu ja hallittu käyttö.


Tietoturva vastuualueet
Pilvipalveluiden vastuujako

Käyttäjähallinta takaa pilven tietoturvan

Tiivistäen voisi sanoa, että yleisimpien pilvipalveluiden tietoturvariskit ovat käyttäjäperäisiä. Käyttöönoton perusongelma on, että käyttäjäryhmiä ja näiden käyttöoikeustasoja ei tehdä suunnitellen, jolloin käyttäjä pääsee käsiksi sellaisiin tietoihin, jotka eivät hänelle välttämättä kuulu. EU:n tietosuoja-asetuksen myötä erityisesti asiakastietojen käsittelyssä käyttäjähallinta ei enää ole vain suositeltavaa, vaan suorastaan pakollista.

Kaikki oikeudet kaikille -mallinen käyttäjähallinta johtaa helposti myös siihen, että osa käyttäjistä ei edes tiedä olevansa tekemisissä salaisen tiedon kanssa, ja saattaa jakaa tiedoston katseluoikeudet julkisiksi eteenpäin.

Käyttäjähallinnan suunnittelu lähtee organisaatiorakenteesta

Käyttäjähallinnan suunnittelussa kannattaa yksinkertaisesti lähteä liikkeelle organisaatiorakenteesta ja mallintaa käyttöoikeudet osastoittain. Talousosaston ihmiset tarvitsevat taloustietoja, mutta eivät välttämättä ole missään tekemisissä markkinointirekisterien kanssa. Asiantuntija auttaa suunnittelemaan käyttöoikeudet niin, että työn tekeminen ei häiriinny.

Pilvipalveluiden tietoturva ei ole kustannuskysymys

Yleisimpien pilvipalvelinten tietoturva on rakennettu palvelun sisään, ja ostaja saakin palvelutasosta riippumatta käyttöönsä aina yhtä tietoturvallisen ratkaisun. Tietoturvallisen palvelun käytön suunnittelu ja palveluun mahdollisesti kytketty erillinen identiteetinhallintajärjestelmä ovat sen sijaan lisäkustannuksia, joihin kannattaa varautua.

Myös käyttäjien koulutus pilvipalveluiden käyttöön ja tietoturvaan kannattaa budjetoida ainakin resurssimielessä, koska kuten jo aiemmin todettiin, loppukäyttäjä on yleensä pilvipalveluiden suurin tietoturvariski.

 

Me lupaamme tehdä asiakkaistamme pilvionnistujia! Lataa pilvipalveluiden ostajan opas:

Lataa: pilvipalveluopas

Eero Vuojolahti
Kirjoittaja Eero Vuojolahti