Pilven tietoturva saattaa joskus olla hämmennystä aiheuttava tekijä. Tietoturva on luonnollisesti ja ehdottomasti sellainen tekijä, joka kannattaa muistaa kaikessa IT-hankkeisiin liittyvässä. Pilvipalvelut eivät tästä poikkea millään tavalla. 

Pilvipalveluiden tietoturvasta yleisesti

Yleisellä tasolla globaalisti pilviteknologiaa tarjoavien palveluntarjoajien tietoturva on korkealla tasolla. Se on markkinatekijä, josta pilvipalveluilla ei ole juurikaan varaa tinkiä. Jos missään vaiheessa käy ilmi, että pilvipalveluiden tietoturvasta johtuen asiakkaan tiedot vaarantuvat – se on kuolinisku kyseiselle palvelulle – vai onko?

Mitä suurempi palveluntarjoaja sitä parempi tietoturva

Esimerkiksi Azure on saanut yli 100 compliance-sertifikaattia todistamaan palvelun tietoturvan korkeaa tasoa. Pilvipalveluissa tietoturvaan panostetaan ja siitä huolehditaan – päinvastoin kuin erittäin monissa itsehallinnoiduissa ympäristöissä, joissa se vain ajanpuutteen tai budjetin vähäisyyden vuoksi sattuu unohtumaan.

Tietoturvan taso ja sertifikaatit luonnollisesti skaalautuu samassa suhteessa pilvipalveluiden koon kanssa. Gartner esimerkiksi pitää listaa palveluista suuruus järjestyksessä. Palveluiden tasoa kuvastaa hyvin myös Gartnerin Magic Quartal -kaavakuva, joka esittää innovaation ja toteutettujen palveluiden suhdetta nykyisillä käytössä olevilla palveluilla.

Kaavakuva löytyy täältä

https://altoros.fi/millainen-on-pilvipalveluiden-tietoturva/

Ylimpänä on AWS ylivoimaisesti suurimpana, mutta heti kintereillä pyristelee Microsoftin Azure ja kolmantena Google. Kaavio ei kuitenkaan välttämättä kuvaa palveluiden käytettävyyttä ohjelmoinnin näkökulmasta. Azurella ja Googlella on enemmän ohjelmallisia Api-ominaisuuksia AWS:ään verrattuna – jonka vuoksi ne ovat suositumpia kehittäjien parissa.

Pohjimmiltaan kyse on kuitenkin luottamuksesta. Jos tuntuu, ettei palvelun tietoturvaan voi luottaa – silloin siihen on vaikea luottaa. 

GDPR tietoturva julkisella ja yksityisellä pilvellä

Erityisen paljon huolta on aiheuttanut GDPR ja tiedon fyysinen sijainti. Pilvipalvelut jaetaan julkisuuden perusteella julkiseen pilveen (public cloud) ja yksityiseen pilveen (private cloud). Julkinen pilvi sijaitsee jaetuilla palvelimilla ja yksityinen pilvi tarkoitukseen dedikoidulla palvelimella julkisen pilven ollessa luonnollisesti edullisempaa. Yksityisen pilven tietoturvan voidaan katsoa olevan parempi – tosin ainakaan omassa tiedossani ei ole yhtään tapausta, jossa kahden eri julkisessa pilvessä sijaitsevan virtuaalipalvelimen tiedot olisivat sekoittuneet keskenään. Jos julkisesta pilvestä pääsee vuotamaan asiakastietoja – sekin saattaa pääasiassa olla seurausta käyttäjien huolimattomuudesta.

Lakisääteinen fyysinen sijainti vaikuttaa ainakin suomessa pilvipalvelun tarjoajan valintaan – kaikilla globaaleja palveluita tarjoavilla tahoilla ei ole suomessa palvelinsalia. Mikäli tietojärjestelmä säilöö asiakkaitten henkilökohtaisia tunnisteita – kannattaa valita sellainen tarjoaja, jolla palvelinsali löytyy suomesta. Palvelinta ostettaessa pilvipalvelusta – palvelinsalin saa yleensä valita palvelinkohtaisesti.

Huolenaiheita horisontissa

Kuten arvata saattaa – ei asiat ole aina niin mustavalkoisia. Jokaisessa tietojärjestelmässä löytyy puutteita – tai ainakin tietojärjestelmien tarjoajien politiikassa.

Github copilot

Viime aikoina avoimen lähdekoodin kehittäjiä on huolestuttanut Microsoftin GitHubin tietoturva. On käynyt ilmi, että Microsoft poimii Githubiin tallennetuista avoimen lähdekoodin julkisista projekteista lähdekoodia, jota se tarjoaa maksullisen palvelun kautta kehittäjille valmiina funktio-kirjastoina lisäämättä edes mainintaa alkuperäisestä kehittäjästä.

Luonnollisesti palvelu itsessään on mielenkiintoinen ja nopeuttaa kehitystyötä tarjoamalla valmiita ratkaisuja ongelmiin, joiden kanssa miljoonat kehittäjät työskentelevät päivittäin. Miksi keksiä pyörää uudelleen? Tämä kuulostaa silti aika pahalta. Kyse kun on tekijänoikeuksista.

Jos kyseessä olisi maalarin taideteos – Microsoft kopioisi luvatta maalausta ja myisi sitä alkuperäisenä asiakkailleen.

Kukaan ei todellakaan halua, että avoimeksi tarkoitetusta, ilmaiseksi tehdystä työstä joku hyötyy myymällä sitä omille asiakkailleen.

Mielenkiintoista nähdä miten Microsoft asian selittää ja yrittää luikerrella pois?

Lisää aiheesta: Kuinka turvallinen on Azure?

Googlen tietoturvaongelmat – G-Suite

Googlen G-suite tietoturvaongelmat ovat keskittyneet lähinnä käyttäjän tekemiin virheellisiin asetuksiin: G-Suitessa on useita ominaisuuksia, joiden virheellinen käyttö altistaa tietojen vuotamisen sellaisille tahoille, joille tiedot eivät kuulu. Google on vierittänyt näistä ongelmista vastuun käyttäjille ja puutteelliselle koulutukselle – jota ei missään tapauksessa pidä väheksyä, mutta oman vastuun kantamattomuus on aina hieman huolestuttavaa.

Googlen palvelimilla mahdollisesti vaarallisia tietoturva-aukkoja

Palvelimet, joilla Googlenkin palvelut toimii – toimii käyttöjärjestelmien ehdoilla. Jos käyttöjärjestelmä on virheellisesti konfiguroitu – se altistaa tietoturva vuodolle riippumatta siitä onko palvelin Googlen pilvipalvelussa vai toimiston nurkassa. Jos kuitenkin ostamme pilvestä asiantuntemusta ja turvallisuutta – voinee odottaa että palvelu huolehtii palvelinten tietoturvan tasosta.

Yrityspäättäjät haluavat panostaa kyberturvallisuuden parantamiseen

Kyberturvallisuus on nostanut viime aikoina huolta. Kyberturvallisuuden parantaminen on asetettu yritysten seuraavien vuosien prioriteetiksi. Suomessa 82% yrityspäättäjistä haluaa panostaa kyberturvallisuuden parantamiseen kuluvana vuotena. Käytännössä kyse on eri tyyppisistä enemmän ja vähemmän vahinkoa aiheuttavista hyökkäyksistä julkisessa verkossa oleville palvelimille. Tarkoituksena voi olla palvelun käytön haittaaminen tai esimerkiksi tiedon kalastelu.

Mitä kyberturvallisuuden parantaminen tarkoittaa? 

Suuressa roolissa on yrityksen sisäisen tietoturvan parantaminen – salasanapolitiikat, tietoturvakoulutus ja kulunvalvonta – ja ennen kaikkea tietoturvan tason valvominen. Suurin osa onnistuneista tietomurroista johtuu heikosta salasana politiikasta tai huolimattomuudesta ja niiden tekijänä tai aiheuttajana on yrityksen oma henkilökunta.

Monet suuryritykset panostavat mittavia summia koulutukseen, mutta käytännön tasolla tietoturvasta joustetaan. Salasanoja lähetetään chat keskusteluissa, salasanoja ei vaadita vaihdettavaksi riittävän usein tai palveluita avataan luottamukseen perustuen käyttäjille admin oikeuksilla jonkun yksittäisen operaation tekemiseksi – ja asia unohtuu siihen saakka, kunnes joku käyttää avattua tietoturva-aukkoa hyväkseen. Tässä vaiheessa vastuulliset henkilöt on jo vaihtaneet työnantajaa ja ketään ei voida asiasta asettaa vastuuseen.

Kyberturvallisuuden parantaminen – kuten tietoturvankin parantaminen tarkoittaa koko organisaation velvoittamista osallistumaan tietoturvan ylläpitoon – poikkeuksitta.

Lisäksi kyberturvallisuuden parantaminen tarkoittaa tiettyjen prosessien käyttöönottoa – kuten kyberturvallisuusraportoinnin jalkauttamista osaksi päivittäisiä työtehtäviä.

Miten pilvipalvelut vaikuttavat kyberturvallisuuteen?

Kyberturvallisuus on huomioitava pilvipalveluissa aivan samoin kuin missä tahansa muussa IT-palvelussa.

Osa palvelimiin suoraan kohdistuvista hyökkäyksistä on sellaisia, jotka on torjuttavissa palomuurilla. Ulkoistetut palvelinsalit tarjoavat vahvemmat palomuurit verrattuna itsehallinnoituihin ympäristöihin. Tehokas palomuurilaite maksaa kymmeniä tuhansia ja sen konfigurointi yksinään vaatii erityistä ammattitaitoa, johon ei välttämättä haluta investoida. Pilvipalveluissa tästä on huolehdittu tietoturvasertifikaattien edellyttämällä tasolla.

Jotkut pilviympäristöt tarjoavat keskitettyjä käyttöoikeuspalveluita ja sen kautta esimerkiksi salasanan turvallisuuteen liittyviä vaatimuksia. Koko organisaation salasana politiikka voidaan konfiguroida kerralla siten, että jokainen käyttäjä käyttää vain yhtä salasanaa ja käyttöoikeuspalvelu tarkistaa onko käyttäjällä oikeus kyseiseen palveluun – tai palvelun yksittäiseen ominaisuuteen. Edellytyksenä on kuitenkin tietoturvan sisällyttäminen IT-Strategiaan mahdollisimman laajalti mahdollisimman korkealla tasolla. 

Henkilöstön koulutuksen merkitys tietoturvan parantamisessa.

Suurin osa tietoturvamurroista johtuu yrityksen oman henkilökunnan huolettomuudesta tai huolimattomuudesta. Tämä liittyy niin pilven tietoturvaan, kuin minkä tahansa yrityksen yleiseen tietoturvaan.

Tietoturva on koko henkilöstön asia. Tietoturvalliset toimintamallit nostavat tietoturvaa vain jos niitä noudatetaan ja niistä muistutetaan henkilökuntaa. Toistuvat koulutukset ja keskustelut kannustavat henkilökuntaa toimimaan oikein.

Ei ole eroa onko IT-Infrastruktuuri pilvessä vai On-Premises – tietoturva rikkoutuu kun sitä rikotaan.

Panosta yrityksesi tietoturvaan

Jos lukemasi jälkeen tuntuu, että yrityksesi voisi panostaa enemmän tietoturvaan, Altoroksen konsultit auttavat asiassa mielellään.  Ota yhteyttä.

Kirjoittaja Antti Winter