Pilven tietoturva, hyödyt ja haitat

Pilvipalvelujen tietoturva

Yhä useampi organisaatio käyttää pilvipalveluita osana IT-palvelujensa tuottamista. Nyt aletaan hiljalleen olla siinä pisteessä missä pilvipalvelut ovat monille itsestäänselvä vaihtoehto IT-palvelujen tuottamiseksi. Yrityskäytössä pilvessä ei sinänsä ole mitään uutta. Tänä vuonna kuitenkin jopa valtio linjasi julkishallinnon pilvipalveluiden käyttöä tietoturva- ja tietosuojanäkökulmasta ja totesi mm. seuraavat asiat:

  • Mikäli pilvipalvelu tai pilvipalveluteknologia tarjoavat parhaan palveluhyödyn ja -takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita
  • Ei-julkista tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva ja -suoja on asianmukaisesti toteutettu ja todennettu

Ylläolevaa ei pidä tulkita suositukseksi käyttää pilvipalveluja, mutta linjaus antaa vahvan viestin siitä että pilvipalvelu sopii myös laajalti julkishallinnon vaatimuksiin kunhan tietyt asiat on varmistettu. Ja jos pilvipalvelu kelpaa julkishallinnolle, pitäisi sen kelvata myös suurimmalle osalle yrityksiä. Tässä postauksessa käsitellään pilven hyötyjä ja haasteita tietoturvan ja tietosuojan varmistamisessa. Aloitetaan ongelmista:

Mitä haasteita pilven käyttö aiheuttaa tietoturvalle ja tietosuojalle?

Datan olinpaikka ja saatavuus on olennaisimpia kysymyksiä pilvipalveluita valittaessa. Monella pilvipalvelun tarjoajalla ei ole konesalia Suomessa (esim. Amazon) tai Suomesta löytyy konesali mutta palvelut on tuotettu niin että datan sijaintia voi rajoittaa vain EU-alueelle (Google). Toki myös kotimaisia palveluntarjoajia löytyy, ja toisaalta palveluita jotka tuotetaan vain esimerkiksi Yhdysvalloissa. Kun data sijaitsee toisessa maassa tai jopa toisella mantereella, on perusteltua pohtia mitä vaikutuksia sillä on liiketoimintaan. Esimerkiksi GDPR asettaa omia vaatimuksiaan datan suojaamiselle ja sijainnille. Toisaalta esimerkiksi tietoliikennehäiriöt voivat tehdä datan saatavuuden mahdottomaksi mikäli palvelin itsessään sijaitsee vaikkapa Irlannissa.

Auditoitavuus on myös ongelma. Pienellä toimijalla ei ole resursseja auditoida pilvipalvelun tarjoajaa, vaan on luotettava heidän dokumentaatioonsa tai mahdollisiin jo tehtyihin auditointeihin. Tietoturva- ja tietosuojakysymyksissä pelkkä paperilla tehty vakuutus datan käsittelystä ja suojaamisesta ei välttämättä itsessään riitä.

Eräs hieman vähemmän käsitelty asia on se, että myös perinteisemmät IT-riskit koskevat pilvipalvelujen tarjoajia. Elokuun 31. päivänä Amazonin Yhdysvaltain itärannikon datakeskus joutui sähkökatkon uhriksi. Myös varageneraattoreihin tuli vikaa, ja lopputuloksena osa asiakkaiden datasta katosi peruuttamattomasti. Lopulta hienoinkin pilvipalvelu pohjautuu niihin aivan samoihin tietokoneisiin mitä muutkin käyttävät, ja varmuuskopiointi myös muualle on tarpeen.

Pilven hyödyt tietoturvalle ja tietosuojalle

Pilvipalvelujen hyödyt tietoturvan ja tietosuojan näkökulmasta johtuvat pitkälti samoista syistä kuin muutkin hyödyt: pilvipalvelujen skaalaedut ja suuret resurssit mahdollistavat myös hyvän tietoturvan ja tietosuojan ylläpidon. Pilvipalveluiden tarjoajilla on varaa panostaa konesaliensa tietoturvaan. Tietoturvan ja tietosuojan varmistaminen on kaikella todennäköisyydellä heidän prioriteettilistansa kärjessä, sillä laajan tietoturvaloukkauksen tapahtuminen palveluntarjoajan puutteellisen toiminnan takia olisi luultavasti katastrofaalista heidän liiketoiminnalleen.

Pilvipalvelujen ylläpito on myös vaivatonta, ja palvelutasosopimuksilla voidaan usein varmistaa parempi saatavuus kuin esimerkiksi palvelimia itse ylläpidettäessä. Harvalla yrityksellä on omia ylläpitäjiä valvomassa palvelimia vuorokauden ympäri.

Suurin osa pilvipalveluja kohtaavista uhista on itseasiassa aivan samoja kuin itse ylläpidettyä konesalia kohtaavat uhat, ja itse ylläpitämisessä on myös omat riskinsä.

Yhteenveto

Pilvipalvelujen tietoturvasta ja tietosuojasta huolehtiminen on täysin perusteltua, kuten kaikkien muidenkin palvelujen kanssa. Datan sijainti, saatavuus ja tietoturvan sekä tietosuojan tason auditoiminen aiheuttavat erityisiä haasteita pilvipalvelujen käyttöön. Toisaalta suurin osa pilvipalvelujen tietoturvaa ja tietosuojaa koskevista uhista ovat aivan samoja kuin itse ylläpidetyn konesalin kohtaamat uhat. Pilvipalvelut tarjoavat usein paremman palvelutason, ja hyvän tietoturvan varmistaminen on pilvipalvelujen tarjoajille liiketoiminnallisesti erittäin tärkeää.

Jos harkitset pilvipalvelun ja itse ylläpidetyn ratkaisun välillä, pohdi tarkkaan onko pilvipalveluissa todella riskejä jotka eivät toteudu itse ylläpidettäessä, ja tarjoavatko ne turvallisuuden kannalta jotain mitä et itse kykene tehokkaasti tuottamaan.

Kategoria Blogi