Kaikilla yrityksillä on jo käytössään pilvipalveluita – osalla tietoisesti ja lopuilla tiedostamattaan. Monet yritykset ovat jo hyvän aikaa sitten valinneet ”cloud only” -strategian tarkoittaen, että kaikki uudet palvelut ja järjestelmät tulee tuottaa tai ostaa pilvipalveluna. Organisaatioista osa empii pilvipalveluiden tietoista käyttöä, usein tietoturva- tai tietosuojasyistä mutta myös riittävän tiedon puutteesta johtuen. Niilläkin, jotka eivät vielä tietoisesti ole ottaneet pilvipalveluita käyttöön, on niitä kuitenkin hyvin suurella todennäköisyydellä käytössään jo monia.
Pilven salakäyttö on yleistä
Yksi pilvipalveluiden merkittävimmistä eduista on käyttöönoton helppous, josta toki seuraa helposti myös ongelmia. Organisaation osat tai yksittäiset ihmiset saattavat hankkia pilvipalveluita parhaaksi katsomiinsa tarpeisiin ja lisätä tietoja, jotka näkevät osaltansa tärkeimmiksi. Riskienhallinnan, tietosuojan ja IT-ratkaisujen yhtenäisyyden kannalta tämä saattaa olla merkittävä ongelma.
Meillä KPMG:llä on ollut paljon toimeksiantoja, joissa olemme verkkoliikenteen analysoinnin kautta ja muilla keinoin auttaneet organisaatioita saamaan selville, mitä pilvipalveluita heillä oikeasti käytetään ja millainen riski näihin sisältyy. Eräässä suuressa globaalissa yhtiössä alkuperäinen arvaus oli, että yli 1000 eri palvelua, mutta lopputulos oli yli 3000. Näistä monet olivat suorastaan vaarallisia ja niiden käyttö estettiin, iso osa oli arveluttavia tai päällekkäisiä muiden järjestelmien kanssa ja osa oli sellaisia, että niiden käyttö voitiin sallia ja siirtää keskitetyn tietohallinnon ylläpidettäväksi. Oleellista oli saada tietoa käytössä olevista palveluista ja niiden käyttötarkoituksista sekä riskeistä ja niiden sisällöistä, jotta ei-toivottujen palveluiden käyttö pystyttiin estämään teknisesti yrityksen verkosta ja laitteilta.
Pilvi muuttaa tiedon suojaamisen mallin perinpohjaisesti
Perinteisesti tietoturvallisuutta on toteutettu suojaamalla paikkaa ja palvelinta, jossa tieto sijaitsee tai jossa sitä käsitellään, mutta jatkossa tämä ei enää toimi. Tieto voi olla missä tahansa. Konesalin, rakennuksen tai palvelimen suojaaminen ei enää ole se toimiva tapa, vaan tieto pitää suojata itse – sijaintipaikasta riippumatta. Tässä avainasemaan tulee erilaiset salausratkaisut, käyttöoikeudet, käyttöoikeuksien hallinta jne.
Sanotaan, että pilvimaailmassa hakkerit eivät enää murtaudu järjestelmään, he kirjautuvat sinne. Tämä korostaa sitä, että palveluihin pääsee käsiksi mistä tahansa, jolloin käyttöoikeudet ja tapa kirjautua järjestelmään tulee toteuttaa sekä suojata erityisen hyvin. Kun kyseessä on vähänkin tärkeämpiä tietoja, pelkkä salasana ja käyttäjätunnus ei ole riittävä tapa, vaan vaaditaan vahvaa tunnistautumista.
Monet laadukkaat pilvipalvelut ja ohjelmistot tarjoavat myös erittäin hyviä uusia tapoja suojata tietoa. Esimerkiksi dokumenteille voidaan asettaa elinaika, jonka jälkeen ne poistuvat, dokumenttien kopiointi voidaan estää tai niitä voidaan mm. valvoa. Parhaimmillaan nämä uudet suojausominaisuudet kuuluvat jo organisaation maksamiin pilvipohjaisten ratkaisujen lisenssiehtojen piiriin, jolloin henkilöstön tulee vain osata ottaa ne käyttöönsä. Monesti pilvipohjaisten ratkaisujen avulla on mahdollista parantaa merkittävästi tietoturvallisuutta verrattuna omiin ja itse ylläpidettyihin järjestelmiin.
Vaadi pilvitoimittajaltasi kättä pidempää turvallisuudesta ja tietosuojan toteutumisesta
Mikäli pilvipalvelun toimittajalla ei ole hyvää dokumentaatiota ratkaisun turvallisuusominaisuuksista eikä turvallisuuden ylläpitoon liittyvistä toimintamalleista ja tietosuojasta, kannattaa kääntyä toisen palveluntarjoajan suuntaan. Yleensä palveluntarjoajilla on näiden kuvausten lisäksi sertifiointeja ja varmennelausuntoja siitä, että nämä vaatimukset toteutuvat myös käytännössä ja että ulkopuolinen taho on tämän valmistanut. Pyydä myös palveluntarjoajalta nähtäväksi nämä sertifioinnit ja varmennelausunnot.
Kirjoitus on alun perin julkaisu KPMG:n blogissa kesäkuussa 2019.