Pilvimyytinmurtajat: Tietoturva pilvessä – Faktoja oletusten sijaan

Toteutimme hiljattain yhteistyössä AWS:n kanssa kyselyn, jossa tutkimme Suomen julkisen sektorin pilvisiirtymää. Ottaen huomioon hallituksen suosituksen julkisille tahoille siirtyä mahdollisuuksien mukaan pilvipalveluihin ja edistyksen hitauden, kyselyn tulokset ovat mielenkiintoista luettavaa.

Tämä artikkeli on toinen Pilvimyytinmurtaja-sarjassamme, jossa tarkastelemme haasteita ja esitämme näihin myös ratkaisuja. (Ensimmäisen tietosuojaa koskevan artikkelin voit lukea täältä.)

Tässä artikkelissa murramme kolme kyselyssä esille tullutta tietoturvamyyttiä ja tarkastelemme, miten julkiset tahot voivat edetä tiellään kohti pilveä, minimoiden digitaalisten palvelujen kehittämisen riskejä. 

Voiko julkipilven tietoturvaan luottaa?

Myytti

38% kyselyyn vastanneista koki epävarmuutta siitä, kumpi tarjoaa paremman tietoturvan tason; perinteinen konesali Suomessa vai julkipilvi. Suurinta epävarmuus oli ministeriöiden ja terveysviranomaisten edustajien joukossa. 

Kyselyn perusteella osa vastaajista tunnistaa tietoturvan tason riippuvan pikemminkin palveluntuottajasta kuin teknologiasta itsestään. Myös se, että käytössä ei ole tietoturvavaatimuksia määrittelevää lainsäädäntöä tai standardia saa julkiset tahot epäröimään.

Viime kädessä ihmiset ja prosessit olivat tietoturvan tasoon liittyvien väärinkäsitysten keskiössä, ei teknologia: 

• Kyvykkyydet – Tietoturvan hallinnointi pilvessä eroaa omissa tiloissa sijaitsevan konesalin tietoturvan hallinnoinnista ja vaatii uudenlaista osaamista ja työtapoja. Sikäli kun organisaatiota tuetaan ja johdetaan oikein ja tarvittavia taitoja kehitetään, julkipilvi tarjoaa helpomman tavan saavuttaa luotettavan tietoturvan tason.
• Tietoturvan hallinnointi – Tällä tarkoitamme käytäntöjä, prosesseja ja raameja, joiden mukaan tietoturvaa hallinnoidaan niin estämisen, havaitsemisen, vastatoimien kuin korjaamisen konteksteissa. Tietoturvaa tulee hallinnoida riippumatta siitä, onko käytössä oma palvelin vai pilvipalvelu, ja valitun vaihtoehdon tehokkuus riippuu myös tästä.

Faktat

Konesalien turvaamiseen liittyvissä keskusteluissa voikin helposti kysyä

”Onko teillä paremmat teknologiat ja prosessit palvelimien suojaamiseksi kuin julkipilven alustatoimittajilla?”

Vastaus on lähes aina ”ei”, sillä hyperscalereilla (AWS, Microsoft ja Google) on skaalaetuja viimeisimpien ominaisuuksien kehittämisessä ja käyttöönotossa. Niiden avulla ne turvaavat luottamuksellisuuden, eheyden ja saatavuuden periaatteet (Confidentiality-Integrity-Availability, CIA). Tämän ansiosta ne kykenevät paremmin säilyttämään edelläkävijän asemansa nopeasti muuttuvassa kyberturvallisuusmaailmassa.

Muutamia perusteluita, miksi julkipilvi tarjoaa paremman tietoturvan tason organisaatioiden omiin konesaleihin verrattuna:

• Zero Trust periaate – Zero Trust on yksi kaikkein tietoturvallisimmista metodologioista. Tämän periaatteen mukaan tietoturvan tulee kattaa koko organisaation kaikki digitaaliset osa-alueet. Zero Trust periaatetta sovelletaan oletusarvoisesti julkipilvipalveluissa, mutta perinteisessä konesalissa se on paljon vaikeampaa toteuttaa ja ylläpitää.
• Automaatio – julkipilvi mahdollistaa ympäristön/datan/toimintojen suojaamisen sekä käyttöoikeuksien ja käytössä olevien hallintajärjestelmien ja prosessien hienosäätämisen. Pilvialustajättien toimintavarmuus antaa paremmat mahdollisuudet luoda hallinnointijärjestelmä ja skaalata sitä.
• Työkalut – Pilvipalvelujen tarjoajilla on käytössä omat työkalut ja sertifioidut tuotteet sekä ratkaisut keskeisille aloille, kuten infrastruktuurin turvaamiseen, tietoturvaperiaatteisiin, identiteetinhallintaan, tietoturvan seurantaan, haavoittuvuuksien hallintaan ja tietosuojaan. Nämä mahdollistavat parhaiden käytäntöjen soveltamisen. Ulkopuolisten palvelujentarjoajien laajaa valikoimaa erilaisia ratkaisuja voi myös hyödyntää parantamaan näitä valmiuksia entisestään.
• Sisäänrakennettu vaatimustenmukaisuus – pilvialustajätit tekevät tiiviisti yhteistyötä alan järjestöjen ja EU-viranomaisten kanssa parantaakseen tietoturvaa ja muita palveluja kehittyvien parhaiden käytäntöjen ja sääntelyä koskevien vaatimusten pohjalta, mukaan lukien Yhdysvaltain standardisointi- ja teknologiainstituutin, NIST:n, laatimat tietoturvariskien hallinnointipuitteet.

Yksi kyselyyn vastannut tiivisti asian hienosti:

”Pilvipalveluissa on aikamoisen hyvä tietoturva. Ne on helpommin säädettävissä käytön mukaan kuin on-premise-palvelut. Se on se kehittyvä puoli, jos tulee jotain uusia ominaisuuksia tai toiminnallisuuksia, niin ne tuodaan sinne pilvipuolelle, on- premiseen on vaikea saada nykyään enää kaikkia toiminnallisuuksia.” (Viranomainen)

Kaikkea ei kuitenkaan ole välttämättä mahdollista siirtää pilveen. Korkeimman turvaluokituksen data ja ympäristö voi olla tarpeen pitää organisaation omissa konesaleissa. Olennaisinta on, että varmistetaan parhaiten soveltuva vaihtoehto organisaation ympäristölle (lue lisää aiheesta täältä).

Voivatko muut tahot päästä käsiksi julkipilvessä oleviin tietoihin?

Myytti

Kyselyssä nousi esiin kaksi erilaista huolta tähän liittyen:

• Verkkohyökkäyshaavoittuvuus – tästä puhuimme ensimmäisen julkipilven ja perinteisten konesalien suhteellisen tietoturvan tasoa koskevan myytin kohdalla
• Pääsy dataan – osa kyselyyn vastanneista oli huolissaan ulkomaisessa omistuksessa olevien yritysten velvollisuudesta antaa dataa viranomaisille pyynnön perusteella

Faktat

Verkkohyökkäysmyytti – julkipilven ydintehtävä on säilyttää organisaatioiden kriittistä dataa ja infrastruktuuria luotettavasti. Jos pilvialustajättiä pidettäisiin epäluotettavana kumppanina, sen olisi varsin hankala toimia erittäin kilpaillulla alalla. Pilvialustajäteillä on maailman suurimpia kyberrikollisten kohteena olevia hyökkäyspinta-aloja, joten nämä yritykset ovat panostuksillaan tietoturvan eturintamassa ja riippumattomat elimet auditoivat niitä säännöllisesti.

tämä ei yksinkertaisesti pidä paikkaansa. Viranomaisilla ei ole suoraa pääsyä dataan. Rikostutkinta-asioissa viranomaiset voivat toki esittää pyyntöjä päästä käsiksi tietoihin. Näitä pyyntöjä käsitellään tapauskohtaisesti ja ainoastaan tutkintaan liittyviä tietoja luovutetaan näille yksiköille (tiedon omistajan hyväksynnästä riippuen). 

Jos tuomioistuin antaa määräyksen koskien pilveen tallennettua tietoa osana rikostutkintaa, pilvialustajätti esittää pyynnön tiedon omistajalle. Pilvipalvelun käyttäjä säilyttää datan omistajuutensa, joten pilvialustajätti ei voi antaa tätä dataa eteenpäin omistajan tietämättä. Faktahan on se, että samaa menetelmää noudatetaan myös vaikka organisaatio käyttäisi omia konesalejaan.

Luovunko ympäristöni kontrollista ja omistuksesta, jos siirrän sen julkipilvipalveluun?

Myytti

Tässä väärinkäsityksenä on se, että pilvituotteita ja -palveluja käytettäessä palvelun toimittajasta tulee tallennetun ja käsitellyn datan omistaja ja/tai hallinnoija.

Faktat

Palvelun käyttäjä säilyttää omistusoikeutensa kaikkeen dataan. Pilvialustajätit ainoastaan säilyttävät dataa/omaisuutta sovittujen periaatteiden mukaisesti. 

Jaetun vastuun mallin mukaisesti pilvialustajätti on vastuussa pilvipalvelun tietoturvasta ja palvelun käyttäjä on vastuussa oman pilveen ladatun datansa/omaisuutensa/toimintojen tietoturvasta. Tämän mukaisesti:

• Pilvialustajätti pitää huolen palvelun tarjoamiseen tarvittavan infrastruktuurin tietoturvasta: laitteistot, ohjelmistot, verkkoyhteydet ja tilat
• Palvelun käyttäjä on vastuussa käyttöjärjestelmien, verkkoyhteyden, palomuurien, alustojen, salauksen, sovellusten sekä identiteettien ja pääsyoikeuksien hallinnoinnista

Toisin sanoen palvelun käyttäjällä on omaisuuden suojaamiseen tarvittava hallinnointi, salaaminen ja pääsyoikeuksien hallinta täysin omissa käsissään.

Julkipilven merkittävä tietoturvaetu liittyy itse asiassa siihen, että palvelun käyttäjällä on mahdollisuus hallita missä ja miten dataa/ympäristöä suojellaan ja pitää varmuuskopioita useassa eri paikassa. Tämä on erityisen tärkeää julkishallinnon viranomaisille, jotka ovat osa Suomen kriittistä infrastruktuuria, sillä näiden toiminnan jatkuvuus ei ole riippuvaista konesalin sijainnista. Dataa ja palveluita voidaan siirtää nopeasti ja helposti kriisin sattuessa ja kustannustehokkaasti käytettävissä olevat varmuuskopiot tuovat joustavuutta ja muuntautumiskykyä entiseen verrattuna.

Kuten eräs kyselyyn vastannut sanoi:

”Pilvipalvelut koettiin aiemmin riskialttiimmiksi, mutta viimeaikaisten globaalien tapahtumien, kuten Ukrainan sodan myötä, olemme ymmärtäneet, että nämä palvelut tarjoavat hajauttamisen mahdollisuuden, mikä parantaa tietoturvaamme. Asiakkaidemme mielestä pilvialiustajättien massiiviset koneistot tuovat nyt turvaa, sillä ne ovat torjuneet hyökkäyksiä jopa sodan ollessa käynnissä Ukrainassa. Suuren pilvipalvelujen tarjoajan ulkoisia palveluja käyttäessä palvelujen tietoturva ja infrastruktuurin kapasiteetti nousee aivan uudelle tasolle.” (Kuntien IT-palvelutalot)

Lataa tutkimuksen päätulokset itsellesi

Amazon Web Services (AWS) yhdessä Nordcloudin ja muiden kumppaneiden kanssa toteuttivat loppuvuodesta 2022 markkinatutkimuksen, jossa selvitettiin pilvisiirtymää julkisella sektorilla. Lataa tiivistelmä tutkimuksen tuloksista.