Pilvipalveluiden suosio kasvaa jatkuvasti. Organisaatiot hakevat pilvipalveluista säästöjä IT-kuluihinsa, sekä välineitä toimintojensa kehittämiseen ja tuotteidensa saatavuuden lisäämiseen. Pilvipalveluiden käyttäminen herättää usein myös huolta tietoturvasta. Miten organisaatio tai yksittäinen käyttäjä voi varmistaa, että palveluntuottaja käsittelee hänen dataansa asiallisesti ja turvallisesti?
Tietoturvaa tulisi pohtia kaikissa vaiheissa datan elinkaarta, aina käyttäjältä datakeskukseen ja takaisin (Ruparelia 2016, 99). Tietoturvaan kuuluu myös datakeskuksen fyysinen turvallisuus, henkilökunta, verkkoturvallisuus, tiedon salaaminen, käyttäjien todentaminen, käyttöoikeuksien valvonta ja tiedonkäsittelyyn liittyvä lainsäädäntö (Wheeler & Winburn 2015, 119.) Erityisesti henkilötietojen käsittelyyn liittyy monia säädöksiä, kuten EU ja EEA alueella käytetty yleinen tietosuoja-asetus (GDPR).
Pilvipalveluiden käyttöä harkitessa tulee kartoittaa, minkälaista tietoa pilvipalveluun aiotaan laittaa. Esimerkiksi henkilötietojen käsittely ja fyysinen sijainti on tarkasti säädeltyä (Traficom 2020, 16). Useimmat palveluntuottajat, kuten Microsoft Azure, antavat asiakkaidensa valita mihin päin maailmaa heidän dataansa sijoitetaan. Tähän voi kuitenkin liittyä palvelukohtaisia poikkeuksia, joista asiakkaan kannattaa olla tarkkana. (Microsoft Azure.)
Tietoturva-arvioinnit kootusti yhdestä paikasta
Traficom on laatinut Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri), joka sisältää tapauskohtaisia vaatimuksia erilaisten tietotyyppien asianmukaiseen suojaamiseen. PiTuKri pohjautuu osin Cloud Security Alliancen tuottamaan materiaaliin. (Traficom 2020, 3.) Cloud Security Alliance on globaali järjestö, joka toiminnallaan pyrkii edistämään pilviympäristöjen turvallisuutta. (Cloud security alliance a.) Esimerkiksi hyvin yleisesti käytetty CAIQ -taulukko (Consensus Assessment Initiative Questionnaire) sisältää useita kyllä tai ei -kysymyksiä, joihin vastaamalla palveluntuottaja voi selkeästi avata asiakkailleen tietoturvamenetelmiään (Theimer 2021).
Palveluntuottajat voivat myös teettää ulkopuolisia tietoturva-auditointeja. Auditointituloksia, CAIQ-taulukoita ja muita tietoturvaan liittyviä materiaaleja voidaan julkaista Security, Trust, Assurance and Risk eli STAR -rekisterissä, missä ne ovat helposti asiakkaiden saatavissa. Rekisteriä ylläpitää Cloud Security Alliance ja British Standards Institution. (Cloud Security Alliance b.)
Tietoturvan vahvuus on pilvipalveluntuottajille tärkeää kilpailluilla markkinoilla. Tietoturvaan on panostettu voimakkaasti ja se otetaan vakavasti. Tietoturvaan vaikuttaa kuitenkin myös se, miten pilvipalveluita käytetään. Tietoturvaan vaikuttaa myös asiakkaan käyttämät laitteet ja pilvipalveluiden kanssa käytetyt sovellukset. (Ruparelia 2016, 99.) Lisäksi asiakkaan tulee pilvipalveluita valitessaan ottaa huomioon, minkälaista tietoa pilveen aiotaan laittaa, ja minkälainen lainsäädäntö sitä koskee (Traficom 2020, 5).
Palveluntuottajat rakentavat jatkuvasti uusia datakeskuksia ympäri maailmaa, mikä osaltaan tulee helpottamaan palveluiden hyödyntämistä myös tietoturvan kannalta. Oikein käytettyinä pilvipalvelut voivat lisätä organisaation tietoturvaa merkittävästi. Pilvipalveluiden tietoturvan arviointiin on saatavilla useita välineitä. Näitä välineitä hyödynnettiin myös opinnäytetyössä ”Web application cloud migration”, jossa kehitettiin suunnitelma web-sovelluksen julkiseen pilvipalveluun siirtämisestä. Pilvipalveluntuottajan STAR-rekisteriin tallentama materiaali auttoi selvittämään, miten tietoturvakysymykset on otettu huomioon ja miltä osin tietoturvan toteuttaminen on asiakkaan vastuulla. (Palmia 2023.)
Kirjoittajat
Mila Palmia valmistuu tieto- ja viestintätekniikan insinööriksi LAB-ammattikorkeakoulusta keväällä 2023. Hän työskentelee IT-konsulttina sovelluskehityksen parissa.
Matti Welin toimii yliopettajana LAB-ammattikorkeakoulussa Tieto- ja viestintätekniikan koulutusvastuussa.
Lähteet
Cloud security alliance a. Overview. Viitattu 21.4.2023. Saatavissa https://cloudsecurityalliance.org/about/
Cloud security alliance b. Security, Trust, Assurance and Risk (STAR). Viitattu 16.4.2023. Saatavissa https://cloudsecurityalliance.org/star/
Cloud security alliance. 2021. Cloud Controls Matrix and CAIQ v4. Viitattu 20.4.2023. Saatavissa https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4/
Cloud security alliance. 2023. STAR Registry Listing for Microsoft Azure. Viitattu 20.4.2023. Saatavissa https://cloudsecurityalliance.org/star/registry/microsoft/services/microsoft-azure/
Microsoft Azure. Data residency in Azure. Viitattu 16.4.2023. Saatavissa https://azure.microsoft.com/en-us/explore/global-infrastructure/data-residency/#overview
Palmia, M. 2023. Web application cloud migration. AMK -opinnäytetyö. LAB-ammattikorkeakoulu, tieto- ja viestintätekniikka. Lahti. Viitattu 16.4.2023. Rajoitetusti saatavissa https://www.theseus.fi/handle/10024/793313
Ruparelia, N. B. 2016. Cloud computing. Cambridge, MA: The MIT Press.
Theimer, M. 2021. What is CAIQ? Cloud security alliance. Viitattu 16.4.2023. Saatavissa https://cloudsecurityalliance.org/blog/2021/09/01/what-is-caiq/
Traficom. 2020. Pilvipalveluiden turvallisuuden arviointikriteeristö. Helsinki: Traficom. Traficomin julkaisuja 13/2020. Viitattu 16.4.2023. Saatavissa https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Pilvipalveluiden_turvallisuuden_arviointikriteeristo_PiTuKri_v1_1.pdf
Wheeler, A. & Winburn, M. 2015. Cloud storage security. Amsterdam: Elsevier.
