Onko pilvi turvallinen?
Yhä suurempi osa yritysten ja yhteiskunnan kriittisistä toiminnoista pyörii pilvipalveluissa. Pilvipalvelut ja eritoten julkiset pilvet sisältävät kuitenkin turvallisuuden kannalta useita kysymysmerkkejä.
Julkisen pilven perusajatukseen kuuluu kapasiteetin myyminen useille keskenään hyvinkin erilaisille toimijoille. Tähän liittyvät myös pilvipalveluiden suurimmat riskit: pilvi-infrastruktuurin haavoittuvuuden ja yhden asiakkaan heikon tietoturvan kautta hyökkääjä voi päästä käsiksi palvelun muidenkin asiakkaiden tietoihin. Monen käyttäjän jaetussa ympäristössä myös seuraukset moninkertaistuvat.
Näin voi tapahtua erityisesti tilanteissa, joissa palvelun käyttäjä on ajatellut, että palveluntarjoaja vastaa automaattisesti myös tietoturvasta. Tämä ei kuitenkaan ole normi, lähtökohtaisesti julkipilven tarjoajat eivät mieti tietoturvaa ja riskejä jokaisen yksittäisen asiakkaan tai asiakkaan sovelluksen näkökulmasta.
Siksi vastuu tietoturvasta on aina organisaatiolla itsellään. Alan kehitys on nopeaa, ja jos oma osaaminen ei ole ajan tasalla tarvitaan hyvä kumppani, joka osaa kartoittaa keskeiset riskit ja niiltä suojautumiseen tarvittavat riittävän vahvat turvallisuusratkaisut.
Alan keskustelussa näihin asiakaskohtaisiin turvaratkaisuihin kuten palomuureihin, tunkeutumisen estojärjestelmiin, lokimonitorointiin ja DDoS-ratkaisuihin viitataan usein termillä ”boring stuff”. Ne ovat asioita, jotka tahtovat jäädä hohdokkaampana pidetyn ohjelmistokehityksen jalkoihin. Pahimmillaan tietoturva on sillä tasolla, että jopa varmuuskopiointi jää tekemättä.
Kasvollinen osaaja turva anonyymeja hyökkäyksiä vastaan
Turvallisuuteen ei kuitenkaan ole oikopolkua. Pilvipalvelut vaativat usein erilaisia ratkaisuja verrattuna perinteisempään sovellustietoturvaan. Ne vaativat myös enemmän ajan tasalla olevaa erikoisosaamista – ihmisiä, joille ”boring stuff” on kaikkea muuta kuin tylsää. Turvallisinta on, mikäli näitä asioita voi ratkoa organisaation toiminnasta ja riskeistä hyvin perillä olevan asiantuntijan kanssa. Kasvollinen osaaja on paras turva anonyymeja hyökkäyksiä vastaan.
Turvallisuuteen liittyy kiinteästi myös konesalien fyysinen turvallisuus sekä datan sijainti. Erityisesti kriittisen datan sijainti on monelle organisaatiolle entistä tärkeämpi asia – tietoturvan kannalta kaikkea ei ole tarkoituksenmukaista siirtää julkiseen pilveen. Tämä korostaa entisestään paikallisten kumppaneiden merkitystä.
Hyvä työkalu pilvipalveluiden turvallisuuden arviointiin on Traficomin Kyberturvallisuuskeskuksen julkaisema PiTuKri-kriteeristö. Myös viranomaisille tarkoitettu kansallinen turvallisuus auditointikriteeristö Katakri kuvaa tarkasti turvallisuusjohtamiseen, fyysiseen turvallisuuteen ja tekniseen tietoturvallisuuteen liittyviä vaatimuksia. Yhdessä ne muodostavat perustan myös Ficolon toiminnalle. Käytännön työssä olemme havainneet, että usein tehokkainta on yhdistää pilvipalveluiden ja datakeskusten parhaat puolet.
