Blogi

Yrityksen tiedot turvassa pilvessä – vai onko sittenkään?

Tuomas Karhula / Frendy

Lähes kaikilla yrityksillä on käytössä pilvipalveluita esimerkiksi julkisesta pilvestä, kotimaiselta konesalitoimittajalta tai tuotannonohjausjärjestelmän toimittajan pilvestä. Pilvipalveluiden käyttöön liittyy yleisesti uskomus, että ne ovat automaattisesti tietoturvallisia, ja että käytön jatkuvuus on taattu kaikissa tilanteissa.

Tämä ei kuitenkaan pidä paikkaansa, ja valitettavasti kyseessä ei ole mitenkään pieni ja mitätön ongelma. Monen yrityksen koko toiminta on enemmän tai vähemmän ATK:n varassa. On asiakastietojärjestelmiä, tuotannon ohjausta, asiakasrekistereitä ja muita järjestelmiä tai tietopaikkoja – kriittisiä asioita yrityksen toiminnalle. Joissain yrityksissä toimintojen kriittisyys on tunnistettu, mutta harmillisen usein tietojen tai tietojärjestelmien tärkeyttä ei ole osattu edes ajatella. Tätä voimme kutsua “tuurilla ne laivatkin seilaa” – tilanteeksi.

Keräsin alle lyhyen yhteenvedon eri pilvipalveluhin liittyvistä yleisimmistä uskomuksista ja myös asioista, jotka niissä pitävät paikkansa ja toimivat.

Julkisen pilven kapasiteettipalvelut

Julkisen pilvipalvelun, kuten Microsoftin Azuren, pohja on yleensä tehty hyvin ja tietoturvallisesti. Isoilla toimijoilla on resursseja käytössään paljon, ja mahdolliset tietoturvaongelmat näkyisivät välittömästi mainehaittoina.

Mihin tulisi kiinnittää huomiota? Vaikka pohja on kunnossa, on vastuun rajapinta tiukka: asiakas vastaa täysin itse palvelinten tietoturvasta. Palvelun tuottaja vastaa kyllä siitä, että virtuaalipalvelimelle riittää resursseja, mutta tietoturvamielessä se on kuin lumipallo helvetissä. Virtuaalikoneet pitää suojata palomuureilla ja virustorjunnoilla ihan samalla tavalla kuin omassakin konesalissa. Myöskään varmistuksia ei oletuksena tehdä välttämättä ollenkaan.

Muut kapasiteettipalvelut

Globaaleja jättejä pienemmiltä toimijoilta voi saada räätälöidympiä konesalipalvelu-ratkaisuja. Tällöin palvelukokonaisuus voidaan rakentaa asiakkaan tarpeiden näköiseksi ja sopia, mistä maksetaan ja mistä ei. Varmistukset voivat kuulua automaattisesti palveluun. Lisäpalveluina on saatavilla hyvinkin eksoottisia ratkaisuja.

Mihin tulisi kiinnittää huomiota? Pienempää toimittajaa käyttäessä kannattaa aina tarkastaa tuotantoympäristön taustat. Konesalipalveluiden tuottaminen oikeaoppisesti vaatii resursseja ja pitkäjänteistä toimintaa. Näistä tinkiminen voi johtaa tietoturvan ja jatkuvuuden kannalta ikäviin tilanteisiin. Toimittajalta kannattaa vaatia jatkuvuussuunnitelmaa sekä esimerkiksi ISO27001 – sertifikaattia osoitukseksi toiminnan laadusta. Hyvin tärkeää on myös tietää, mitä palveluun sisältyy ja mitä ei.

Julkisen pilven sovelluspalvelut

Microsoftin 365 -ympäristö on yleisin esimerkki julkisen pilven sovelluspalveluista. Julkisen pilven sovelluspalvelut ovat hyvin joustavia ja päivittyvät jatkuvasti. Asiakas hyötyy tietoturvan tasosta ja uusista ominaisuuksista. Lisenssiviidakosta löytyy yleensä juuri oikeanlainen lisenssikin kaikkiin tarpeisiin. Microsoft esimerkiksi tarjoaa laajan työkaluvalikoiman tietojen ja identiteetin suojaamiseksi palvelussa.

Mihin tulisi kiinnittää huomiota? Vastoin yleistä harhaluuloa, esimerkiksi Microsoft ei varmista palvelussa olevia tietoja. Se takaa niiden saatavuuden, mutta hallintatunnuksilla tehty oho ja hups (tai rikollisen tekemä vastaava toimi) voi hävittää tiedot niin, ettei niitä ole saatavilla enää missään. Tietoturvatyökalut saattavat vaatia lisälisensointia ja niiden käyttöönotto ammattitaitoa.

Sovellustoimittajien pilvipalvelut

Moni toiminnanohjausjärjestelmä tai vastaava toimija tarjoaa nykyään mahdollisuutta ostaa ohjelmistoja käyttöpalveluna. Tämä on yleensä paljon joustavampi ja tehokkaampi tapa hankkia sovellus. Tällöin yrityksellä ei tarvitse olla omaa osaamista tai alustaa sovelluksen ajamiseen.

Mihin tulisi kiinnittää huomiota? Sovellustoimittaja usein vastaa alustasta, hyvässä ja pahassa. Hyvä käytäntö on varmistaa, että sovellustoimittaja tuottaa palveluaan riittävän turvallisella tavalla, huolehtii varmistuksista ja jatkuvuudesta. Asiakas ei voi näihin useinkaan vaikuttaa, mutta niistä kannattaa vaatia tietoa.

Vielä tärkeämpi asia palvelua hankittaessa on laatia exit-suunnitelma. Moni sovellustoimittaja tekee sovelluksen itse, ja tiedot voivat olla siellä sellaisessa muodossa, että niitä ei saada siirrettyä mihinkään muualle. Tällöin asiakassuhde toimittajan kanssa on käytännössä pakkoavioliitto. Ainakin uusia sopimuksia tehdessä kannattaa jo ennakkoon miettiä exit-suunnitelma ja vaatia sitä sitten sovellustoimittajalta.

Tietoturvarikolliset etsivät aktiivisesti aukkoja – yrityksen koko ei suojaa hyökkäyksiltä

Tietoturvan laiminlyönti voi johtaa äkkiä katastrofiin. Nykypäivän tietoturvakenttä on muuttunut siihen suuntaan, että enää hyökkäystä ei välttämättä kohdenneta tiettyyn yritykseen, vaan etsitään automatiikan avulla pienet ja suuret yritykset meiltä ja maailmalta. Kun pääsy on löytynyt, suunnitellaan vasta, mitä sillä tehdään. Pilvipalveluiden käyttöä mietittäessä ei kannata siis tuudittautua yrityksen koon tuomaan turvaan.

Jos kirjoitukseni aiheuttaa sinussa pienintäkään kysymysmerkkiä, ota ihmeessä yhteyttä meihin Frendyn ammattilaisiin!