Tietoturva ja vastuut pilvipalveluissa

Yrityksen omien vastuiden ymmärtäminen on avain pilvipalveluiden turvalliseen käyttöön

Pilvipalveluita markkinoidaan yleisesti hyödyntämällä väittämää, että muiden liiketoimintahyötyjen saavuttamisen lisäksi myös tietoturvallisuus paranee. Tämä onkin usein totta. Pilvipalveluita tarjoavat yritykset investoivat järjestelmiinsä, kehittävät teknistä tietoturvallisuuttaan ja kouluttavat henkilöstöään jatkuvasti. Monen yrityksen tekninen tietoturvallisuus ottaakin aimo harppauksen siirryttäessä pilvipalveluiden käyttöön. Tämä on kuitenkin vain yksi puoli asiasta. Monessa yrityksessä ajatellaan, että tietoturvallisuuteen liittyvät vastuut siirtyvät suurimmaksi osaksi palveluntarjoajan vastuulle. Näin ei kuitenkaan asianlaita ole, vaan yritykset vastaavat edelleen itse tietoturvallisuudestaan, suoraan ja entistä enemmän välillisesti.


Pilvipalveluihin siirtyminen tarkoittaa tietoturvallisuuden näkökulmasta vastuiden ja tehtävien muuttumista. Ylläpidettäessä omia järjestelmiä yritysten henkilöstö työskentelee kaikkien tietoturvallisuuden osa-alueiden parissa (hallinto, henkilöstö, tietoaineistot, laitteistot, ohjelmistot, tietoliikenne, fyysinen ympäristö, järjestelmien käyttöön liittyvät järjestelyt). Siirryttäessä pilviratkaisujen käyttöön osa edellä mainituista osa-alueista siirtyy osittain palveluyrityksen vastuulle ja osa jää asiakkaan vastuulle. Asiakkaan hoidettavaksi jäävistä turvallisuuden vastuista osa siis vähenee, mutta toisaalta osan merkitys voi myös kasvaa.


Se, miten vastuut ja roolit muuttuvat ja millaista osaamista yrityksen omalta IT- ja tietoturvahenkilöstöltä vaaditaan tulevaisuudessa, riippuu käyttöön otettavista palveluista. Pilvipalvelut voidaan karkeasti jakaa kolmeen kategoriaan: sovelluspalvelut, alustapalvelut ja infrastruktuuripalvelut. Näihin liittyvien, yrityksen omalle kontolle jäävien teknisten tietoturvavastuiden määrä on vähäisin sovelluspalveluissa ja isoin infrastruktuuripalveluissa.


Jokainen palvelutyyppi asettaa myös erilaisia vaatimuksia hallinnolliselle tietoturvallisuudelle. Kuten mainittu, pilvipalveluiden käyttöönotto tarkoittaa vastuun siirtämistä osittain toiselle osapuolelle ja tähän vastuun siirtämiseen liittyy olennaisesti käsite luottamus. Luottamusta rakennetaan osapuolten välille hallinnollisen tietoturvallisuuden keinoin. Yksi tällainen keino on tehdä hankintavaiheessa selvityksiä palveluntarjoajan tietoturvallisuuden kypsyystasosta. Työkaluja tähän voivat olla esimerkiksi asiakasyrityksen omat vaatimusmäärittelyt ja niihin saatavien vastausten analysointi tai kolmannen osapuolen tekemät tietoturva-auditoinnit ja varmennuslausunnot. Hankintoihin liittyy oleellisesti myös sopimusten valmistelu niin, että tietoturvallisuuteen liittyvät asiat on otettu asianmukaisesti huomioon jokaisessa tilanteessa. Hankinnan ja käyttöönoton jälkeen palveluiden tietoturvatasoa täytyy valvoa määräajoin erilaisilla hallinnollisilla menettelyillä, kuten esimerkiksi erilaisilla selvityksillä, palveluraportteihin perehtymisellä ja sertifiointien ja varmennuslausuntoraporttien ajantasaisuuden varmistamisella.


Merkittävä asia pilvipalvelujen tietoturvallisuudessa on myös itse pilviympäristöissä käsiteltävä tieto ja sen kriittisyys liiketoiminnalle. Yleistä liiketoimintaan liittyvää tietoa on kohtuullisen turvallista käsitellä tunnettujen palveluntarjoajien järjestelmissä. Tilanne voi kuitenkin olla erilainen liikesalaisuuksiksi lueteltavien tietojen kohdalla varsinkin silloin, jos yritys toimii jollain erityistä kiinnostusta herättävällä alalla – kuten esimerkiksi Suojelupoliisin vuosikirjassa 2017 mainitut korkean teknologian kone- ja laiteteollisuus tai terveysteknologia-ala – ja jos palveluntarjoajan tietoturvallisuus ei ole jostain syystä vaadittavalla tasolla. Tällaisissa tapauksissa kannattanee tehdä riskianalyyseja ja toimia niiden mukaan. Riskienhallintakeinoja voivat olla esimerkiksi tietojen salaaminen ennen pilveen siirtämistä tai päätöksen tekeminen siitä, että kriittistä tietoa käsitellään vain yrityksen omissa järjestelmissä. Vastuu tietoaineistoihin liittyvien riskien hallinnasta kuuluu aina tiedon omistajalle eli yritykselle itselleen.


Yhteenvetona voitaneen todeta, että pilvipalveluiden käyttäjäksi siirtyminen vaatii tietoturvallisuuden näkökulmasta ainakin yrityksen tietojen luokittelua niiden kriittisyyden perusteella, riskianalyysin tekemistä muutoksen vaikutuksista, henkilöstön osaamisen kehittämistä ja luottamuksen rakentamista palvelutoimittajan ja yrityksen välillä. Nämä asiat olisi hyvä tehdä ennen varsinaista palveluhankintaa.


Marko EskolaTietoturva-asiantuntija, KPMG Oy Ab

Kirjoita kommentti

Sinun on oltava kirjautunut sisään kirjoittaaksesi kommentin.