Kun yrityksen toiminta siirtyy yhä enemmän pilvipalveluihin, miten huolehdit tietoturvasta? Traficomin pilvipalvelujen turvallisuuden arviointikriteeristö tarjoaa hyvän reseptin organisaation tietoturvan parantamiseen.
Yritykset ja julkishallinto ovat siirtynet pilvipalveluihin vauhdikkaasti. Murros on ollut samaa luokkaa kuin internetin läpimurrossa neljännesvuosisata sitten. Sekä nettiä että pilveä on lähdetty rakentamaan innokkaasti teknologia edellä, ja usein vasta jälkijunassa on huomattu, että tietoturvaakin tarvittaisiin.
”Viimeistään koronapandemia sai hitaimmatkin yritykset siirtämään toimintojaan pilveen”, kertoo Fortinet-tietoturvayrityksen Principal Systems Engineer Timo Lohenoja.
”Usein pilvipalveluihin on kuitenkin siirrytty hätäisesti, eikä ole kunnolla mietitty, miten palvelujen turvallisuus pystytään takaamaan. Päälle liimattu turva ei koskaan ole yhtä hyvä kuin alusta saakka turvalliseksi mietitty toimintatapa.”
Arviointikriteeristö auttaa turvan suunnittelussa
Nopean muutoksen keskellä on helppo tuntea olevansa hukassa. Mitä asioita pitäisi tehdä, jotta yrityksen tietoturva olisi riittävän hyvällä tasolla myös pilvessä? Traficom on julkaissut avuksi pilvipalvelujen turvallisuuden arviointikriteeristön, tuttavallisemmin PiTuKri.
Vaikka ohjeet on suunnattu alun perin viranomaiskäyttöön, ne sopivat erinomaisesti kaikille pilvipalveluita käyttäville organisaatioille. Se tarjoaa Traficomin mukaan yleisiä pilvipalveluihin liittyviä riskejä vasten mitoitetun viitekehyksen, johon organisaatiot voivat peilata omia riskejään eri käyttötapauksissa.
”PiTuKri on erinomainen johdatus siihen, mitkä asiat ovat pilven tietoturvassa tärkeitä. Kun yritys rakentaa pilvipalveluja, syntyy helposti erilaisia sokeita pisteitä. Ilman kunnollista näkyvyyttä ei voi puolustautua uhkia vastaan. Arviointikriteeristö voi auttaa huomaamaan ongelmakohdat, jotka jäisivät muuten piiloon”, Lohenoja sanoo.
Kriteeristö on jaettu yhteentoista osa-alueeseen, jotka on jaettu edelleen useisiin alakohtiin. Sitä voi käyttää sekä uusien palvelujen rakentamisen apuna että olemassa olevan palvelun turvallisuuden arvioinnissa.
”PiTuKri on yksi selkeimmistä pilvitietoturvan määritelmistä ja työkaluista. Se antaa hyvän reseptin, jonka ainesosia yhdistelemällä päästään hyvään perusturvatasoon”, Lohenoja toteaa.
Internet ei ole mukava paikka
Tietoturvauhkien luonne muuttuu jatkuvasti. Lohenoja toteaa, että vain harvoin hyökkäykset kohdistuvat tarkoituksellisesti juuri tiettyyn yritykseen. Tavallisinta on, että rikolliset hakevat automatiikan avulla heikosti suojattuja kohtia, ja aukon havaittuaan iskevät siihen.
”Kun tietoturva on riittävän hyvällä tasolla, hyökkääjä siirtyy seuraavaan kohteeseen. Turva kannattaa rakentaa kerroksellisesti siten, että yhden kohdan pettäminen ei avaa suoraa hyökkäysreittiä, vaan useamman kerroksen pitää pettää samanaikaisesti, jotta hyökkäys onnistuisi. Luvattomille sisäänpyrkijöille pitää antaa tarpeeksi vastusta.”
PiTuKrin kaltaista kriteeristöä kannattaa soveltaa oman tilanteen mukaisesti ja keskittyä siihen, mikä on yrityksen kannalta oleellista. Pahimmassa tapauksessa tietoturvan pettäminen kriittisessä kohdassa voi vaarantaa koko liiketoiminnan.
”On hyvä ymmärtää, että internet ei ole mikään mukava paikka. Tämä näkökulma helposti unohtuu, kun katsellaan vain pilvipalvelujen mukanaan tuomia hyötyjä”, Lohenoja sanoo.
Kuka vastaa, jos tietoturva pettää?
Jos pahin tapahtuu ja yritys joutuu hyökkäyksen tai tietomuroon kohteeksi, kenellä on vastuu? Myös pilven osalta yritys itse vastaa viime kädessä siitä, että sen tiedot ovat riittävän hyvin suojassa. Jokainen tapaus on kuitenkin erilainen, ja yrityksen ja palveluntarjoajien välisissä sopimuksissa lopulta ratkaistaan, miten poikkeustilanteita käsitellään.
Vastuualueet voivat jakautua mm. sen mukaan, kuinka suuri osa IT:stä hankitaan palveluna pilvestä. Yritys voi hankkia vain pohjalla olevan infrastruktuurin, kuten tietoliikenteen sekä tallennus- ja laskentakapasiteetin, palveluna (IaaS, Infrastructure as a Service).
Tämän lisäksi palveluntarjoajan kautta voidaan hankkia myös käyttöjärjestelmätason palvelut (PaaS, Platform as a Service). Kattavin malli on SaaS (Software as a Service), jolloin myös ohjelmistot toimitetaan palveluna pilvestä ja asiakas vastaa käytännössä lähinnä rajapinnoista yrityksen omiin järjestelmiin.
Palvelu voidaan toteuttaa niin, että se on vain asiakkaan käytössä (yksityinen pilvi eli private cloud), toimii kokonaan julkisessa pilvessä (public cloud) tai on näiden kahden yhdistelmä (yhdistelmäpilvi, hybrid cloud). Julkinen tai hybridi pilviratkaisu voi olla myös monipilvi (multi-cloud), jolla tarkoitetaan useamman eri palveluntarjoajan julkisen pilven käyttöä.
PiTuKri antaa hyvän yleiskuvan eri toteutus- ja palvelumallien riskeistä ja erityispiirteistä sekä vastuiden jakautumisesta näiden välillä esimerkkitapausten avulla. Yleispätevää ohjetta ei kuitenkaan voi antaa, vaan jokainen tilanne on käsiteltävä tapauskohtaisesti.
Tietoturva on mahdollisuus, ei este
Lohenoja kertoo, että suuret palveluntarjoajat, kuten Amazon, Google ja Microsoft, käyttävät valtavasti rahaa ja kehitysresursseja siihen, että niiden vastuulla olevat osat ovat turvallisia. Yritys voikin suhtautua varsin turvallisin mielin siihen, että infrastruktuurista ei heikkoa kohtaa löydy.
”Palveluntarjoajat kehittävät jatkuvasti pieniä perusasioita paremmiksi, jotta alusta olisi turvallinen. Tämän päälle pitää sitten rakentaa varsinainen tietoturvalinnake, ja se on yrityksen tai sen valitseman kumppanin vastuulla”, Lohenoja sanoo.
Tietoturva vaatii paljon työtä, mutta sitä ei pidä mieltää liiketoiminnan hankaloittajaksi vaan sen mahdollistajaksi. Kun asiat on hoidettu oikein, yritys voi keskittyä ydinbisneksensä tehokkaaseen pyörittämiseen. Turvan kuntoon saattamisessa ja sen tason arvioinnissa PiTuKrin kaltaiset työkalut ovat erittäin hyödyllisiä.
Oleellista on tunnistaa yritykselle relevantit avainalueet ja suojata ne. ”Tietoturvahan on yrityksen henkivakuutus! Digitaalinen pääoma on ihan samalla tavalla arvokasta kuin yrityksen kiinteä omaisuus”, Lohenoja sanoo.
Lohenojan mukaan pilveä ei kannata turhaan mystifioida. ”Itse asiassa yrityksen jokapäiväisen tietoturvatekemisen ei pitäisi juurikaan muuttua pilven myötä. Ne asiat, jotka olivat tärkeitä, kun käytettiin omaa konesalia, pätevät myös pilvimaailmassa.”
Kaipaatko lisää oppeja hyviin tietoturvakäytäntöihin? Lue lisää tietoturvapalveluistamme ja tutustu maksuttomaan oppaaseemme Kerroksia ja läpinäkyvyyttä – tietoturvan uusi muoto.
