Pilvipalveluita siirrytään käyttämään yhä suuremmissa määrin, myös julkishallinnossa. Tällöin on tärkeää tiedostaa, ettei tietoturva voi olla prosessin jälkiajatus. Pilvinatiivi tietoturvallisuus eroaa perinteisestä sovellustietoturvasta ja vaatii ajantasaista osaamista.

Kauhutarinoita pilvipalveluiden tietoturvariskien toteutumisesta löytyy pilvin pimein. Pahamaineisessa Code Spaces -tietomurrossa hakkeri pääsi käsiksi yrityksen AWS-hallintapaneeliin ja poisti tietosäiliöitä varmuuskopiot mukaan lukien. Muita varmuuskopioita ei ollut ja yritys joutui sulkemaan ovensa. Vastaavia esimerkkejä väärin konfiguroiduista pilviresursseista löydetään jatkuvasti lisää.

Pilviympäristön suojaaminen ei ole triviaali tehtävä

Pilvipalveluiden ja DevOps-menetelmien suosio on kulkenut käsi kädessä, sillä pilviympäristö tarjoaa oivalliset puitteet pitkälle automatisoidulle ohjelmistopalvelutuotannolle. Julkisten pilvipalveluiden käytössä piilee kuitenkin omat tietoturvariskinsä.

Pilvipalveluiden käytössä on aina huomioitava, että tieto luovutetaan palvelutarjoajan käsiin. Palvelun valinnassa on tärkeää arvioida palveluntarjoajan kyky suojata tietoa koko sen elinkaaren ajan. Myös datan fyysinen sijainti on oltava tiedossa ja ulkomaisen palveluntarjoajan kohdalla on arvioitava riskit siitä, kenen käsiin tieto saattaa valua esimerkiksi palveluntarjoajan paikallisten lainsäädäntöjen perusteella.

Miten käy, jos pilvipalveluun ja sinne vietyihin tietoihin ei pääsekään enää käsiksi?

Valtion pilvistrategia kannustaa siirtymään pilveen

Valtiovarainministeriö julkaisi alkuvuodesta linjaukset julkisen hallinnon pilvipalveluista. Linjauksien mukaan pilvipalveluita tulee käsitellä samalla tavalla kuin muitakin ICT-hankkeita ja pilvipalvelu tulisi valita, jos se tarjoaa parhaan palveluhyödyn ja -takuun. Julkisissa pilvipalveluissa saa käsitellä myös ei-julkista tietoa, mikäli tieto on asianmukaisesti suojattu ja tietoturva todennettu. 

Tarkentavana ohjeena Traficomin Kyberturvallisuuskeskus julkaisi äskettäin pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri). Käsiteltävän tiedon tyypin perusteella kriteeristö asettaa rajat sille, voidaanko tietyssä tilanteessa käyttää julkista pilvipalvelua vai vaatiiko palvelu yksityisen pilven käytön.

Julkishallinnon organisaatioiden siirtyminen pilveen on tästä näkökulmasta helpommin toteutettavissa kuin yksityisellä sektorilla, sillä julkishallinnossa tiedon luokittelu suojauksensa mukaan on aina oletusarvo.

Kun pilveen ja pilvikehittämiseen siirrytään rohkeasti menetelmillä joissa tietoturva on sisäänrakennettuna, on riittävän turvallinen pilvikehittäminen niin julkishallinnossa kuin yksityisellä sektorillakin totta.

DevSecOps-toimintamalli mahdollistaa turvallisen kehittämisen myös pilviympäristössä

DevOps-menetelmissä tietoturvallisuutta tulee kohdella ensimmäisen luokan kansalaisena. Maailmalla DevOps-menetelmiä käyttävissä tiimeissä on huomattu huolestuttavia aukkoja tietoturvallisuusosaamisessa ja tietoturvaan panostamisessa. CGI:n standardoitu DevSecOps-toimintamalli sisältää perusteellisen tietoturvasuunnittelun ja painottaa tietoturvaa ohjelmistoprojektin jokaisessa vaiheessa. 

Tietoturvasuunnitteluun kuuluu riskien kuten palveluntarjoajan tiedonsuojaamisen kyvyn arviointi ja jatkuva seuranta tiedon koko elinkaaren ajan. Myös säännöllisesti päivitetty ja testattu jatkuvuussuunnitelma on oleellinen osa tietoturvasuunnittelua. CGI:n DevSecOps-malliin sisältyy sovelluksen tietoturvan varmistamisen lisäksi myös kehitys- ja tuotantoympäristön konfigurointi tietoturvaa ajatellen, ja ympäristön tietoturvan todentaminen. 

Kun pilveen ja pilvikehittämiseen siirrytään rohkeasti menetelmillä joissa tietoturva on sisäänrakennettuna, on riittävän turvallinen pilvikehittäminen niin julkishallinnossa kuin yksityisellä sektorillakin totta.

Kirjoittaja työskentelee kehittäjänä CGI:n valtionhallinnon ja erityisesti turvaviranomaisasiakkaiden projekteissa.

Tutustu myös

Kirjoittajasta

Picture of Markus Böhling

Markus Böhling

Kehittäjä

Olen Markus Böhling ja toimin kehittäjänä CGI:n turvaviranomaisasiakkaiden Justice, Defence and Security -yksikössä. Olen ollut mukana rakentamassa asianhallinta- ja HR-järjestelmiä julkisen sektorin asiakkaille. Projekteissa olen tehnyt teknistä suunnittelua ja toteutustehtäviä.

Kirjoita kommentti

Comment editor

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
Blogi-kommentoinnin ohjeet ja käyttöehdot