Yhä useammalla on tapana varmuuskopioida henkilökohtaiset tietonsa pilvipalveluun. Tärkeät kuvat, videot ja muut tiedostot ovat aina saatavilla ajasta ja paikasta riippumatta.
Harva kuitenkaan tulee ajatelleeksi, että pilvitallennuksessa piilee riskinsä. Vaikka tiedot eivät tallennu fyysisesti omalle kiintolevyllesi, ne tallentuvat aina jonkin toisen kiintolevylle. Pilvipalveluiden kohdalla yleensä siis palveluntarjoajan hallinnoimille palvelimille. Ja kuten hyvin tiedämme, kaikki mikä on verkossa, on myös murrettavissa.
Tietojen vuotamisen riskiä ja muita vaaroja ei pysty täysin poistamaan muuten kuin pitämällä tiedostonsa vain paikallisessa tallennuksessa, kuten ulkoisilla kovalevyillä ja huolehtia niiden tietoturvallisesta säilytyksestä. Tämä voi kuulostaa epäkäytännölliseltä, sillä silloin sinun pitäisi kantaa kovalevyjä aina mukanasi, jos haluat päästä käsiksi niissä oleviin tiedostoihin.
Äkkiä pilvitallennus kuulostaakin houkuttelevammalta vaihtoehdolta. Vaikka siihen liittyviä riskejä ei voi kokonaan poistaa, tietyillä toimenpiteillä esimerkiksi tietovuodon riskiä voi pienentää merkittävästi.
Ensimmäinen oleellinen seikka liittyy pilvitallennuspalvelun valintaan. Sen tietoturvallisuus määrittää pitkälti senkin, kuinka turvallisessa säilytyksessä sinun tietosi ovat. Kysyimme liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen johtavalta asiantuntijalta Juhani Eroselta, mihin asioihin kannattaa kiinnittää huomiota, kun on valitsemassa itselleen sopivaa pilvipalvelua.
Hänen mukaansa yleisohjeet kuluttajalle pätevät melko samanlaisina kaikkiin tuotteisiin ja palveluihin.
– Ensin kannattaa yrittää selvittää, kuka palvelun tarjoaja on ja kuinka vakiintunut palvelu on. Esimerkiksi suuren yrityksen tuottama palvelu, jossa on paljon käyttäjiä, on todennäköisemmin vakaalla pohjalla ja sitä todennäköisesti tuetaan myös jatkossa, Juhani Eronen vastaa Verkkouutisille.
Lisäksi käyttäjän kannattaa tutustua palvelun turvallisuudesta saatavilla olevaan tietoon.
– On hyvä merkki, jos palvelun tarjoajalla on helposti löydettävinä tietoa palvelun turvallisuudesta ja esimerkiksi tapa ilmoittaa siihen liittyvistä tietoturvahuolista. Tietoturva-asiat nousevat monesti esille myös uutisoinnissa ja käyttäjien keskusteluissa. Monet pilvipalvelut ovat myös hankkineet erilaisia tietoturvan korkeasta tasosta kertovia sertifikaatteja, ja näiden listaaminen viittaa aktiiviseen tietoturvatyöhön, Eronen kertoo.
Palveluissa olevat tietoturvaongelmat nousevat herkästi otsikoihin ja voivat aiheuttaa palveluille pitkäkestoista tai jopa pysyvää mainehaittaa. Erosen mukaan se ei silti ole välttämättä varoitusmerkki palvelun luotettavuudesta.
– Kaikissa tietoteknisissä järjestelmissä on haavoittuvuuksia, eivätkä pilvipalvelut ole tässä suhteessa poikkeus. Tärkeämpää on, että palvelu käsittelee tietoturvaongelmat ripeästi ja läpinäkyvästi.
Hänen mukaansa tietosuojan kannalta parasta tietoa saa palvelun tietosuojaselosteesta. Harva käyttäjä kuitenkaan jaksaa lukea niitä.
– Monesti tietosuojaselosteet ovat pitkiä lakitekstejä, ja niihin perehtyminen on vaikeaa. On hyvä merkki, jos seloste on tehty käyttäjälle helposti lähestyttäväksi.
Tunnista varoitusmerkit
On tiettyjä varoitusmerkkejä, jotka viittaavat siihen, että palvelu ei ole luotettava. Erosen mukaan niitä ovat esimerkiksi se, että palvelu ei kerro avoimesti sitä tarjoavasta yrityksestä tai palvelun tietoturvasta ja tietosuojasta ei ole tarjolla tietoa. Sekin on varoitusmerkki, jos palvelun tietosuojaseloste on hankalasti ymmärrettävä.
Yksi varoitusmerkki on sekin, jos palvelun tietosuojaselosteessa listataan sellaisia tiedon käsittelytapoja, joita et voi hyväksyä.
– Näitä voivat olla esimerkiksi palveluun syötetyin tiedon oikeuksiin, käsittelyyn tai jakamiseen liittyvät ehdot, Eronen kertoo.
Hälytyskellojen pitäisi soida silloinkin, jos palvelu on esillä julkisessa keskustelussa sen epäluotettavuudesta, jatkuvista haavoittuvuuksista, huonoista tietoturvakäytännöistä tai muista ongelmista. Ennen palvelun valintaa kannattaa siis etsiä verkosta tietoa muiden käyttäjien kokemuksista.
Uusien palveluiden kohdalla tämä voi koitua ongelmaksi, jos käyttäjäkokemuksia ei vielä ole. Markkinoille tullut uusi palvelu ei silti ole automaattisesti epäluotettava.
– Uuden palvelun kannalta kannattaa tutustua erityisen tarkasti tietosuojaan ja -turvaan liittyviin materiaaleihin, kun ei pysty arvioimaan kuinka palvelu todellisuudessa toimii tiedon turvaamisessa, Eronen tuumii.
Pilvitallennuspalveluja on laidasta laitaan. Kaikkein tunnetuimpia pilvipalveluita ovat Microsoftin, Googlen ja Applen kaltaisten teknologiajättien tarjoamat palvelut. Eronen huomauttaa, että laajasti käytettyjen pilvipalveluiden tietoturvan tasoa voi pitää yleisesti ottaen korkeana.
– Vastaavan kaltaisella tavalla kuin sosiaalisen median palveluissa, käyttäjä on vastuussa syöttämistään tiedoista ja palveluiden asetuksista, esimerkiksi tiedon käyttörajoitteista, Eronen huomauttaa.
Hänen mukaansa tietosuojan osalta riskinä voi pitää tiedon erityisen laajaa ja pitkälle menevää käsittelyä.
– Jos suuri joukko yrityksiä käsittelee tietoa, esimerkiksi tiedon vuotaminen joltain käsittelijältä on todennäköisempää. Jos tietoa taas esimerkiksi käytetään tekoälyjärjestelmän opettamiseen, tiedon vuotaminen järjestelmän kautta on mahdollista.
Käyttäjien syyllistäminen ei auta palvelun parantamisessa
Toisinaan kuulee sanonnan, että yleensä suurin tietoturvariski liittyy käyttäjän omaan toimintaan. Tällä viitataan tilanteisiin, joissa käyttäjän tiedot on murrettu esimerkiksi heikon salasanan tai käyttäjän oman huolimattomuuden seurauksena. Päteekö tämä pilvipalveluidenkin kohdalla?
Erosen mukaan käyttäjien syyllistäminen ei ole omiaan parantamaan palveluiden käytön tietoturvaa.
– Käyttäjät ovat hyviä myös huomaamaan palveluiden erikoista toimintaa, ja niiden raportoimisen avulla voidaan havaita uusia palveluun kohdistuvia uusia haavoittuvuuksia, hyökkäyksiä ja huijauksia.
Erosen mukaan hyvät palvelut tekevät riskialttiit toiminnot, esimerkiksi tiedon julkistamisen ilman käyttörajoituksia, selkeiksi, ja tarjoavat työkaluja mahdollisesti haitallisen käytön seurantaan.
– Monet pilvipalvelut tekevät esimerkiksi eri kirjautumisten ja käytettyjen laitteiden listaamisesta helppoa.
Ajoittain julkisuuteen nousee tapauksia, joissa esimerkiksi julkisuuden henkilön pilvipalveluun tallennetut kuvat on vuodettu kaikkien nähtäville. Tämä voi herättää ihmisissä pelkoa siitä, voisiko hänen omillekin kuvilleen käydä samalla tavalla.
Eronen myöntää, että on olemassa käyttäjäryhmiä, joihin kohdistuu verkossa enemmän uhkia.
– Esimerkiksi julkisuuden henkilöt, varakkaat henkilöt ja vallanpitäjät ovat hyökkääjille erityisen kiinnostavia, sillä onnistuneella tietoturvaloukkauksella johtaa todennäköisesti suurempaan rahalliseen hyötyyn ja näkyvyyteen. Tämän vuoksi hyökkääjät käyttäjät enemmän aikaa heitä kohtaan tehdyissä hyökkäyksissä, mikä näkyy esimerkiksi huijausten uskottavuudessa ja hyökkäysten teknisessä laadussa.
Samalla hän huomauttaa, että tällaisia hyökkäyksiä ei tyypillisesti tehdä tavallisia käyttäjiä vastaan.
Pilvipalvelu ei saisi olla ainoa tallennuspaikka
Palataan vielä tietojen varmuuskopiointiin. Monet varmuuskopioivat tärkeät tiedostonsa pilveen ja nykyajan älypuhelimet usein tarjoavat pilvipalveluun varmuuskopiointia oletusarvoisesti.
Varmuuskopioiden kanssa kannattaisi kuitenkin muistaa eräs asia. Tärkeitä tiedostoja ei koskaan saisi pitää vain yhdessä paikassa. Jos olet tallentanut kaikki tiedostosi pilveen ja poistanut ne esimerkiksi älylaitteesi muistilta, tietosi ovat täysin pilvipalvelun armoilla. Entä jos jonain päivänä käykin niin, että käyttämäsi pilvipalvelu vain lakkaa toimimasta tai katoaa kokonaan?
Oman mausteensa tilanteeseen tekee se, että lähes kaikki suuret pilvipalvelut ovat yhdysvaltalaisia. Yhdysvaltain ja Euroopan jännitteiden kiristyessä ei ole kaukaa haettu skenaario, että osa palveluista jää tulevaisuudessa jopa eurooppalaisten ulottumattomiin.
Erosen mukaan paras tilanne varmuuskopioinnissa saavutetaan, kun tiedot varmuuskopioidaan useampaan eri paikkaan. Siksi tiedot kannattaa tallentaa myös paikallisesti, esimerkiksi ulkoiselle kovalevylle.
– Paikallinen kopio varmistaa tiedon saatavuuden erilaisissa pilvipalveluiden häiriötilanteissa. Pilvivarmuuskopio on taas saatavilla- jos paikallinen kopio hajoaa.
Toisinaan kuulee väitteen, että kaikkein arkaluontoisimpia tietoja ei kannattaisi tallentaa edes pilvipalveluun. Onko tietoturva-asiantuntija samaa mieltä tästä?
– Tavallisen käyttäjän tapauksessa on hankala nähdä tilannetta, jossa jotain tietoa ei kannattaisi käsitellä luotettavassa pilvipalvelussa, Eronen arvioi.
– Yritykset ja valtiolliset toimijat voivat joissain tapauksissa arvioida joihinkin tietoihin liittyvät riskit niin kriittisiksi, että se rajoittaa tuotteita ja palveluita, joilla tietoa voi käsitellä, hän jatkaa.
LUE MYÖS:
Tietosi ovat vaarassa: Tee nämä ennen kuin luovut vanhasta tietokoneesta tai puhelimesta
Lataatko puhelintasi näin? Tietosi ovat vaarassa
Maksatko turhaan virusturvasta? Ilmainen voi riittää paremmin kuin luulet
Teetkö salasanoillesi näin? Seuraukset voivat olla vakavat