Ovatko regulaatiot pilvelle liian raskas taakka?
Pilvipalveluiden käyttö on yleistynyt kiivaassa tahdissa eikä vauhdin hidastumisesta näy merkkejä. Pilveen on nyt menossa myös moni sellainen organisaatio, joka ei aiemmin ole kokenut siirtymää mahdolliseksi. Pilveen ei myöskään tarvitse rynnätä pää edellä isosti ja kerralla, vaan pilvisiirtymän voi toteuttaa vakain ja harkituin siirroin.
Monet organisaatiot ovat hylänneet tai ainakin lykänneet pilvihaaveita joko omista tai viranomaismääräyksistä tai kenties jopa kirjavien ohjeistusten aiheuttamasta hämmennyksestä johtuen. Ennen siirtymää halutaan varmistua siitä, että kaikki tapahtuu määräysten mukaisesti ja parhaita tietoturvakäytäntöjä noudattaen. Yllätyksiin ei ole varaa silloinkaan, kun data sijoitetaan oman konesalin sijasta ulkoistustoimijan ympäristöihin.
Esimerkiksi Microsoftin 365-palvelun käyttö (sähköposti, Teams, SharePoint ja OneDrive) säännellyssä toiminnassa on ollut mahdollista, mutta se on vaatinut paljon aikaa ja asiaan perehtymistä. Omaan toimintaan liittyvät vaatimukset ja määräykset on pitänyt täyttää ja välillä työlään selvitystyön sijasta onkin ollut helpompi tyrmätä käyttäjien haaveet pilvipalvelussa tarjolla olevista työkaluista.
Tässä tekstissä viittaan pilvipalvelut-termillä julkipilviin ja niin sanotun privaattipilven (eli esim. automatisoitu konesalipalvelu) jätän käsittelyn ulkopuolelle. Trenditermi hybridipilvi taasen tarkoittaa sitä, että yhdistetään julkipilven ja oman konesalin palvelutuotantoa.
Liikkeelle ei-sensitiivisellä datalla?
Osa organisaatioista on ratkaissut haasteen niin, että pilvipalveluun viedään data, johon ei kohdistu erityisiä vaatimuksia. Arkaluontoinen tieto on edelleen jätetty omiin paikallisiin ympäristöihin. Näin on saatu käyttöön modernin tuottavuuden työkaluja aiheuttamatta kuitenkaan ongelmia regulaatioiden noudattamiselle. Haasteena tällaisessa mallissa on ollut käyttäjien koulutus, sillä käyttäjille on saatava selväksi, mitä dataa pilveen voi viedä ja mitä ei.
Todellisuudessa käyttäjien ymmärryksen tai muistamisen varaan ei regulaatioiden noudattamista voi uskoa. Ihminen on erehtyväinen, pätevinkin meistä. Mikäli pilvipalveluiden käyttö halutaan oikeuttaa datasegregaation kautta, täytyy asian varmistamiseen käyttää jotain tietojärjestelmää. Kun hyödynnetään vielä AI-teknologiaa, voidaan varsin luotettavasti todentaa, ettei arkaluontoista dataa pääse mitenkään valumaan vähemmän kovennettuihin ympäristöihin.
Luottamuksellisuuden varmistaminen
Tiedon lokaatiolla ei oikeasti ole mitään väliä. Oleellista on luottamuksellisuuden varmistaminen. Esimerkiksi Suomessa sijaitseva korkean tietoturvatason konesali ei sinänsä takaa vielä mitään, mikäli palveluiden tekninen operointi on ulkoistettu taholle, joka käyttää edullisen työvoiman maissa olevia tiimejä palvelutuotannossaan. Vanha viisaus kuuluu, että tietoturva on tasan niin vahva kuin sen heikoin lenkki. Julkipilviä rakennettaessa budjetit ovat olleet satakertaisia suomalaisiin parhaisiinkaan konesaleihin ja niiden operointibudjetteihin verrattuna, joten pilvet ovat onnistuneet vähentämään heikoimpia lenkkejä merkittävästi.
Julkisen hallinnon pilvipalvelulinjaukset (VM julkaisu 35/2018) ohjeistaa fiksusti:
- Pilvipalveluita tulee käsitellä kuin mitä tahansa muutakin ICT-palvelun hankintaa tai muutosta.
- Pilvipalveluissa on kiinnitettävä erityistä huomiota sopimuksiin, palvelun jatkuvuuden turvaamiseen ja tiedon saatavuuteen.
- Pilvipalvelun tulee täyttää hankkivan osapuolen palveluhyöty ja -takuuvaatimukset.
- Mikäli pilvipalvelu tai pilvipalveluteknologia tarjoavat parhaan palveluhyödyn ja -takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita.
Ja tiedon käsittelyyn liittyen linjaus ilmaisee selkeästi:
- Julkisen tiedon käsittelyä ei rajoiteta.
- Ei-julkista tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva ja -suoja on asianmukaisesti toteutettu ja todennettu.
Regulaatioiden näkökulmasta siis estettä pilvipalveluiden käyttämiseen ei ole, kunhan tietoturvan ja -suojan tasosta on huolehdittu.
Suojaako pilvipalvelun tuottaja?
Kyllä ja ei. Julkipilvistä puhuttaessa törmätään väistämättä käsitteeseen ”jaetun vastuun malli”. Asian voisi selittää siten, että pilvipalvelun tuottaja vastaa tärkeistä perusasioista kuten vaikkapa fyysisestä turvallisuudesta ja verkkojen turvallisuudesta. Ja sen julkipilvet tekevät paremmin kuin yksikään superkorkean tietoturvatason konesali Suomessa, kiitos satakertaisten budjettiensa.
Tämä artikkeli ei käsittele laajemmin jaetun vastuun mallia, mutta mikäli konsepti ei ole sinulle kristallin kirkas suosittelen lukemaan blogikirjoituksemme siitä. Julkipilven tietoturva pohjaa vahvasti siihen, että palveluiden käyttäjä eli ostaja tietää mitä tekee.
Tekninen suojaaminen pilvessä
Lisämausteen soppaan tuo tiedon suojaamisen vaade. Ikävä kyllä siihenkään ei löydy täysin yksiselitteistä patenttivastausta. Valtiovarainministeriö edellyttää linjauksessaan tietoturvan ja -suojan asianmukaista toteutusta ja todennusta. Teknisesti tämä taas riippuu merkittävästi työkuorman tyypistä. Pilvipalveluissa puhutaan tyypillisesti IaaS-, PaaS- ja SaaS-työkuormista. Näissä pilvipalvelun tuottajan vastuualueet eroavat merkittävästi. Karkeasti ottaen IaaS-työkuormissa asiakas joutuu vastuuseen suurimmasta osasta ja SaaS-työkuormissa taas pilvipalvelun tuottaja vastaa enimmästä osasta.
Teknisen suojaamisen kannalta juuri IaaS-työkuormat ovat kovennettavissa ja salattavissa julkipilvessä täysin Suomessa sijaitsevaa konesalia vastaavalle tasolle. PaaS- ja SaaS-työkuormien kovennus ja salausmahdollisuudet, esimerkiksi omilla salausavaimilla, riippuvat paljon palvelusta ja toteutustavasta.
Lähteet
Loihde Trustin blogi pilven tietoturvasta
Loihde Trustin ”Tietoturva & pilvi” -sanakirja
Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta
Microsoftin dokumentaatio pilvipalveluiden tiedonsuojasta ja vaatimuksenmukaisuudesta
PS. Koska aihealue on kuuma peruna, haluamme käsitellä aihetta erillisessä webinaarissa. Ilmoittaudu ihmeessä mukaan kuulemaan syväluotaus julkipilven ja reguloidun toimintaympäristön mahdottomasta mahdollisuudesta!
