Pilvipalvelut ovat täällä jäädäkseen. Niiden lukuisat hyödyt tuovat kuitenkin mukanaan valitettavasti uhkia, kuten mitkä tahansa muutkin tietotekniset järjestelmät tai sovellukset. Kaikki yritykset varmastikin yrittävät maksimoida pilvipalveluiden hyödyt ja minimoida uhat. Mutta miten tämä käytännössä sitten onnistuu?
Päinvastoin kuin voisi aluksi kuvitella, pilvipalvelut ovat mullistaneet kyberturvallisuutta positiivisella tavalla. Pilvipalvelut mahdollistavat helposti ja turvallisesti yrityksen IT-ympäristön kokonaisen tai osittaisen ulkoistuksen pilvipohjaiseksi palveluksi. Pilvipalvelut ovat myös vähemmän resurssi-intensiivisiä ja sen takia ne ovat todella hyvä valinta liiketoiminnan kannalta. Nykyään kaikkea – aina sähköpostista lähtien virtuaalisiin laitteistoihin asti – voidaan turvallisesti hoitaa pilvipalveluista käsin, mikä vapauttaa huomattavan ison osan yrityksen tietoturvataakasta.
Kuitenkaan pilvipalvelut eivät poista kokonaan tietoturvariskiä. Niin kuin olemme jo useamman kerran todenneet, itse käyttäjät ovat usein heikoin lenkki tietoturvan saralla. Vaikka pilvipalvelu olisi kuinka hyvin suojattu, niin sekään ei pelasta sitä tilannetta, jos pilvipalvelun vahvistettu käyttäjä on itse vuotanut tai luovuttanut vahingossa tunnistautumistietojaan ulkopuoliselle. Tällaisen estämiseksi olisikin hyvä käyttää esimerkiksi kahdenkertaista tunnistautumista eri palveluihin ja sivustoihin kirjautuessa.
Yrityksien täytyy myös ymmärtää heidän vastuut ja täyttää jaetun vastuun -mallin velvoitteensa säilyttääkseen tietoturvan taso.
Mikä on jaettu vastuu?
Kun yrityksellä on kaikki IT-ratkaisut omissa toimitiloissaan, se on silloin itse vastuussa niiden tietoturvasta ja toimivuudesta. Vastaavasti taas, jos yritys on ulkoistanut osan tai kaikki IT-palveluistaan, niin osa vastuusta jakautuu silloin palveluntarjoajalle. Yleensä pilvipalveluiden käytännöllisin hyöty onkin siinä, että se jakaa velvoitteet palveluntarjoajan ja asiakkaan kesken mutta asiakas saakin palveluiden hyödyistä kaiken itselleen. Mitä enemmän kaiken kattavia pilvipalveluita ottaa käyttöön, sitä enemmän siirtää vastuuta palveluntarjoajalle. Se, kuinka paljon vastuuta tietoturvasta palveluntarjoajalle siirtyy, riippuu pilvipalvelun muodoista. Näitä ovat infrastruktuuri palveluna, ohjelmisto palveluna ja alusta palveluna.
Infrastruktuuri palveluna (IaaS)
Infrastruktuuri palveluna -muotoisessa pilvipalvelussa, yrityksesi on itse enemmän tekemisessä tietoturvan kanssa. Yritys täten itse huolehtii myös palveluiden kapasiteetista, palomuureista ja verkkoyhteyksistä.
Itse palvelimet ovat kuitenkin palveluntarjoajan huolehdittavana. Täten infrastruktuuri palveluna poistaa huomattavasti vastuuta fyysisestä tietojen talletuksesta ja varmuuskopioinnista sekä palvelimien ylläpidosta.
Alusta palveluna (PaaS)
Alusta palveluna -muotoisessa pilvipalvelussa, verkon tietoturva ja tiedontallettaminen ovat palveluntarjoajan vastuulla. Yrityksesi on vastuussa laitteiden ja tietojen suojaamisesta sekä hallitsemisesta ja niiden oikeaoppisesta sekä tietoturvallisesta käyttämisestä.
Ohjelmisto palveluna (SaaS)
Ohjelmisto palveluna -tyylisessä pilvipalvelussa, palveluntarjoaja on vastuussa kaikesta muusta paitsi itse ohjelmiston loppukäyttäjien toimista, päätelaitteista sekä pilvessä olevista tiedoista. Siten se onkin yleensä käyttäjälle yleensä helpoin ja vaivattomin ratkaisu.
Muista silti, että kaikki palveluntarjoajat, jotka tarjoavat pilvipalveluita, eivät ole oletusarvoisesti takaa tietoturvaa, sillä kaikki, mitä tapahtuu itse päätelaitteen ja käyttäjän välissä, on silti yrityksen ja sen työntekijöiden vastuulla. Sen takia myös pilvipalveluiden tietoturvassa korostuu päätelaitteiden suojaus.
Kokosimme alle muutamia muistettavia kohtia pilvipalveluiden onnistuneessa suojaamisessa:
Tiedosta minkälaisia ovat uhat, joita vastaan tulee suojautua. Onko pelkona tiedon vuotaminen tai häviäminen vai esimerkiksi kyberrikollisuus ja haittaohjelmat?
Ole tietoinen siitä, missä maassa pilvipalvelusi tuottaja toimii. Eri maiden lainsäädäntö vaikuttaa tietojen suojaukseen ja eri suojauskäytäntöihin.
Vaikka oletkin ulkoistanut pilvipalvelusi ulkopuoliselle palveluntarjoajalle, pitää sinun silti olla tietoinen tietoturvaan vaikuttavista asioista.
Sinun täytyy myös tietää, kuinka palveluntarjoaja esimerkiksi arvioi ja seuraa tietoturvan tilaa. Palveluntarjoajan vastuulla on kuitenkin itse tietoturvan rakentaminen ja suorittaminen.
Ennen kuin avaat yhtäkään yrityksen sovellusta ulkopuolisessa verkossa, on suojattu yhteys olla kytkettynä yrityksen verkkoon VPN:n avulla.
Yhteenvetona lopuksi voidaan todeta, että pilvipalveluiden käyttöönottoa ei ole syytä pelätä. Kiistatta voidaan todeta pilvipalveluiden lukuisat hyödyt ja edut yrityksille. Lisäksi usein yrityksen omat ohjelmistot ja laitteistot ovat haavoittuvimpia kuin ulkoistetut pilvipalvelut, sillä ulkopuolisella pilvipalveluiden tarjoajalla on takanaan vahva ammattitaito, kokemus ja tietämys palveluiden turvallisesta tuottamisesta sekä hän vastaa omalla toiminnallaan palveluiden toimivuudesta ja laadusta.
Asiantuntijamme kertovat mielellään lisää pilvipalveluista ja niiden tietoturvasta.