Yrityksen tiedot turvassa pilvessä – vai onko sittenkään?
Lähes kaikki yritykset ovat ottaneet käyttöön pilvipalveluita esimerkiksi julkisesta pilvestä, kotimaiselta konesalitoimittajalta tai tuotannonohjausjärjestelmän toimittajan pilvestä. Moni elää siinä uskossa, että pilvipalvelut ovat aina automaattisesti tietoturvallisia ja käytön jatkuvuus taattu kaikissa tilanteissa.

Tämähän ei pidä paikkaansa, ainakaan siinä laajuudessa ja muodossa kuin yleinen usko on. Lisäksi yritys ei voi (tai sen ei yleensä kannata) ulkoistaa vastuuta tiedoista tai liiketoiminnan jatkuvuudesta muille.

Kyse ei ole mitenkään pienestä ja mitättömästä ongelmasta. Monen yrityksen koko toiminta on enemmän tai vähemmän ATK:n varassa. On asiakastietojärjestelmiä, tuotannon ohjausta, asiakasrekistereitä ja muita järjestelmiä tai tietopaikkoja – kriittisiä asioita yrityksen toiminnalle. Joissain yrityksissä toimintojen kriittisyys on tunnistettu. Valitettavasti monesti käy niinkin ettei tietojen tai tietojärjestelmien tärkeyttä ei ole edes ajateltu. Tätä kutsutaan “tuurilla ne laivatkin seilaa” – tilanteeksi.

Keräsin alle lyhyen yhteenvedon eri pilvipalveluhin liittyvistä yleisimmistä uskomuksista ja toisaalta asioista, mitkä oikeasti ovat niissä kunnossa.

Julkisen pilven kapasiteettipalvelut

Julkisen pilvipalvelun, kuten Microsoftin Azuren, pohja on yleensä tehty hyvin ja tietoturvallisesti. Isoilla toimijoilla on resursseja käytössään paljon ja mahdolliset tietoturvaongelmat näkyisivät välittömästi mainehaittoina.

Mihin kiinnittää huomiota? Vaikka pohja on kunnossa, on vastuun rajapinta tiukka: asiakas vastaa itse täysin itse palvelinten tietoturvasta. Palvelun tuottaja vastaa kyllä siitä, että virtuaalipalvelimelle riittää resursseja, mutta tietoturvamielessä se on kuin lumipallo helvetissä. Virtuaalikoneet pitää suojata palomuureilla ja virustorjunnoilla ihan samalla tavalla kuin omassakin konesalissa. Myöskään varmistuksia ei tehdä oletuksena välttämättä tehdä ollenkaan.

Muut kapasiteettipalvelut

Globaaleja pienemmät toimijat voivat toimittaa räätälöidympiä ratkaisuita konesalipalveluiksi. Tällöin palvelukokonaisuutta voidaan räätälöidä asiakkaan tarpeisiin ja sopia mistä maksetaan ja mistä ei. Varmistukset voivat kuulua automaattisesti palveluun. Lisäpalveluina on saatavilla hyvinkin eksoottisia ratkaisuita.

Mihin kiinnittää huomiota? Pienempää toimittajaa käyttäessä kannattaa aina tarkastaa tuotantoympäristön taustat. Konesalipalveluiden tuottaminen oikeaoppisesti vaatii resursseja ja pitkäjänteistä toimintaa. Näistä tinkiminen johtaa tietoturvan ja jatkuvuuden kannalta ikäviin tilanteisiin. Toimittajalta kannattaa vaatia jatkuvuussuunnitelmaa sekä esimerkiksi ISO27001 – sertifikaattia osoitukseksi toiminnan laadusta. Hyvin tärkeää on myös tietää, mitä ostaa sekä mitä palveluun kuuluu ja mitä ei.

Julkisen pilven sovelluspalvelut

Microsoftin 365-ympäristö on yleisin esimerkki julkisen pilven sovelluspalveluista. Julkisen pilven sovelluspalvelut ovat hyvin joustavia ja päivittyvät jatkuvasti. Asiakas hyötyy tietoturvan tasosta ja uusista ominaisuuksista. Lisenssiviidakosta löytyy yleensä juuri oikea lisenssikin kaikkiin tarpeisiin. Microsoft esimerkiksi tarjoaa laajan työkaluvalikoiman tietojen ja identiteetin suojaamiseksi palvelussa.

Mihin kiinnittää huomiota? Vastoin yleistä harhaluuloa, esimerkiksi Microsoft ei varmista palvelussa olevia tietoja. Se takaa niiden saatavuuden, mutta hallintatunnuksilla tehty oho ja hups (tai rikollisen tekemä vastaava toimi) voi hävittää tiedot niin, etteivät ne ole saatavilla enää yhtään missään. Tietoturvatyökalut saattavat vaatia lisälisensointia ja niiden käyttöönotto ammattitaitoa.

Sovellustoimittajien pilvipalvelut

Moni toiminnanohjausjärjestelmä tai vastaava toimija tarjoaa nykyään mahdollisuutta ostaa ohjelmistoa käyttöpalveluna. Tämä on yleensä paljon joustavampi ja tehokkaampi tapa hankkia sovellusta. Tällöin myöskään yritys itse ei tarvitse omaa osaamista tai alustaa sovelluksen ajamiseen.

Mihin kiinnittää huomiota? Sovellustoimittaja usein vastaa alustasta, hyvässä ja pahassa. Hyvä käytäntö on varmistaa, että sovellustoimittaja tuottaa palveluaan riittävän turvallisella tavalla, huolehtii varmistuksista ja jatkuvuudesta. Asiakas ei voi näihin useinkaan vaikuttaa, mutta niistä kannattaa vaatia tietoa.

Vielä isompi asia on tehdä exit-suunnitelma, kun palveluita hankitaan. Moni sovellustoimittaja tekee sovelluksen itse ja tiedot voivat olla siellä sellaisessa muodossa, että niitä ei saada siirrettyä mihinkään. Tällöin asiakassuhde toimittajan kanssa on käytännössä pakkoavioliitto. Ainakin uusissa sopimuksissa exit-suunnittelma kannattaa miettiä jo ennakkoon ja vaatia sitä sovellustoimittajalta.

Tietoturvarikolliset etsivät aktiivisesti aukkoja – yrityksen koko ei suojaa hyökkäyksiltä

Tietoturvan laiminlyönti voi johtaa äkkiä katastrofiin. Nykypäivän tietoturvakenttä on muuttunut siihen suuntaan, että enää hyökkäystä ei välttämättä kohdenneta tiettyyn yritykseen vaan etsitään automatiikan avulla pienet ja suuret yritykset meiltä ja maailmalta. Kun pääsy on löytynyt, mietitään vasta, mitä sillä tehdään. Aiheeseen voit perehtyä tarkemmin blogitekstissä: Tietoturvarikollisuus automatisoituu vauhdilla – mitä se tarkoittaa >>

Jos kirjoitukseni aiheuttaa sinussa pienintäkään kysymysmerkkiä, ota meihin yhteyttä vaikka chatissa tai jätä yhteydenottopyyntö!

Mikäli aihe kiinnostaa, lue myös toinen kirjoitukseni täältä. Blogissa kerron käytännön tasolla, miten me Wisdomicilla rakennamme pilvipalvelut tietoturvaa unohtamatta.

Tuomas Karhula

Kaipaatko lisätietoa aiheesta? Ota yhteyttä!

Tietoturva-syöte