Pilvipalveluiden käyttö on yhä useamman yrityksen arkea, ja se yleistyy entisestään tulevina vuosina. Samaan aikaan näiden palveluiden tietoturvaa testataan jatkuvasti, ja rikolliset etsivät päivittäin tapoja päästä pilvessä oleviin tietoihin käsiksi.
Pilvipalvelut mahdollistavat helpon pääsyn tietoihin ja sovelluksiin mistä tahansa, resurssien nopean ja joustavan skaalaamisen ja kustannussäästöjä. Samalla viime vuosina on noussut esiin useita tapauksia, joissa yrityksen käyttämät tiedot ovat vaarantuneet.
Teleoperaattori DNA:n yritysliiketoiminnan verkko- ja pilvipalveluiden liiketoimintajohtaja Kaapro Kanto kertoo pilven olevan lähtökohtaisesti erinomainen ja turvallinen ratkaisu yrityksen datan hallintaan, kunhan sitä käytetään oikein.
Hänen mukaansa esimerkiksi jo palvelun valintavaiheessa on mahdollista tehdä kallis virhe.
– Itselleni selvä hälytysmerkki on, jos palveluntarjoaja ei yhtään yksilöi, miten tietoturvaa kokonaisuudessa toteutetaan palvelussa, ja minkälaisia alan standardeja se täyttää. Jos kokonaiskuvaa ei muodostu tai palveluntuottaja ei voi toimittaa kattavaa tietoturvakuvausta, jatkaisin palveluntarjoajan etsimistä, Kanto sanoo.
Ongelmallista hänen mukaansa on myös se, jos yrityksellä ei ole yhtenäistä suunnitelmaa palveluiden hankintaan ja hallintaan. Eli puuttuu arkkitehtuuri siitä, miten eri palvelut muodostavat yhtenäisen kokonaisuuden.
– Valitettavan usein näkee eri tilkkutäkkihankintoja, joissa todellisuudessa samat ominaisuudet on hankittu moneen kertaan, eri palveluntarjoajien ratkaisuista. Niitä ei vaan ole otettu laajamittaisesti käyttöön ja integroitu yrityksen pilviarkkitehtuuriin. Jokainen tilkkutäkin pala tulee suojata huolella ja käyttäjät kouluttaa käyttämään niitä siten, että tietoturva ei vaarannu, Kanto sanoo.
Yhdeksän askelta turvallisempaan pilvipalveluun
Pilvipalveluntarjoajat investoivat merkittävästi tietoturvaan ja tarjoavat usein edistyksellisiä ratkaisuja omien palveluidensa turvaamiseksi. Näiden ratkaisujen käyttöönotto on oleellista, kun palvelut hankitaan.
Säästetty euro palvelulisenssissä voi kostautua korkeampana riskinä puutteellisten kontrollien muodossa. Jotta perusasiat saadaan kuntoon.
Kanto neuvoo yhdeksän askelta, jotka yrityksen kannattaa ottaa huomioon pilvipalvelun käyttöön ottamisessa.
1. Riskienhallinta: On tärkeä tunnistaa ja arvioida pilvipalveluiden käyttöön liittyvät riskit ja määritettävä, miten niitä hallitaan. Esimerkiksi onko yrityksellä sellaista dataa, joka voidaan viedä pilveen tai onko sen toiminta riippuvainen pilven toiminnasta ja yhteyksistä.
2. Palveluntarjoajan arviointi: Alusta lähtien kannattaa valita luotettava pilvipalveluntarjoaja, joka noudattaa tiukkoja tietoturvastandardeja ja tarjoaa kattavat tietoturvaratkaisut. Ennen palvelun valintaa tulee varmistua palveluntarjoajan tietoturvakäytännöistä ja varmistaa, että ne vastaavat kaikkia vaatimuksia ja täyttävät alan standardit.
3. Pääsynhallinta: Tietoisuus siitä, miten pilvipalveluiden käyttäjätieto liitetään yrityksen prosesseihin ja varmistetaan, että monivaiheinen tunnistaminen on otettu käyttöön kaikkien käyttäjien osalta.
4. Verkkoturvallisuus: Vaikka palvelut ovat pilvessä, on syytä varmistaa, että niihin pääsy rajataan yrityksen verkkoratkaisuihin. Tämä lisää palvelun turvallisuutta pienentämällä hyökkäyspinta-alaa. Kun yhteydet muodostuvat palveluihin yrityksen verkon kautta, rikollisten mahdollisuudet hyökkäykseen pienenevät
5. Lokitus ja valvonta: Pilvipalvelussa on oltava kattava lokitus, jota myös seurataan. Seurannan kautta on mahdollista saada kiinni väärinkäytökset jo aikaisessa vaiheessa, ennen kuin yritykselle koituu merkittävää haittaa.
6. Tietoturvaperiaatteet: On tärkeää laatia ja ylläpitää selkeitä tietoturvakäytäntöjä, jotka kattavat kaikki pilvipalveluiden käytön osa-alueet. Tämä sisältää esimerkiksi käyttöoikeuksien hallinnan, tietojen salauksen, käytön seurannan ja säännölliset tietoturvatarkastukset.
7. Koulutus ja tietoisuuden lisääminen: Työntekijät kannattaa ennaltaehkäisevästi kouluttaa tunnistamaan ja välttämään tietoturvauhkia, kuten tietojenkalastelua ja haittaohjelmia. Tietoisuuden lisääminen on tärkeää, jotta työntekijät osaavat toimia oikein mahdollisissa uhkatilanteissa.
8. Varmuuskopiointi ja palautussuunnitelmat: Riskien minimoiseksi on hyvä toteuttaa säännölliset varmuuskopioinnit ja varmistaa, että palautussuunnitelmat ovat ajan tasalla. Tämä auttaa palauttamaan tiedot nopeasti mahdollisen tietojen menetyksen tai hyökkäyksen jälkeen.
9. Sopimukset: Ajantasaiset sopimukset, joissa roolit ja vastuut on selkeästi määritelty, ovat myös pilvipalveluissa tärkeitä. Niillä varmistetaan, että tietoturvallisuutta toteutetaan oikeiden tahojen toimesta. Sopimuksissa on myös tärkeä määrittää, miten käyttö lopetetaan, jolloin datat siirretään palvelusta pois ja tuhotaan palvelussa.