Pilvipalveluita siirrytään käyttämään yhä suuremmissa määrin, myös julkishallinnossa. Tällöin on tärkeää tiedostaa, ettei tietoturva voi olla prosessin jälkiajatus. Pilvinatiivi tietoturvallisuus eroaa perinteisestä sovellustietoturvasta ja vaatii ajantasaista osaamista.
Kauhutarinoita pilvipalveluiden tietoturvariskien toteutumisesta löytyy pilvin pimein. Pahamaineisessa Code Spaces -tietomurrossa hakkeri pääsi käsiksi yrityksen AWS-hallintapaneeliin ja poisti tietosäiliöitä varmuuskopiot mukaan lukien. Muita varmuuskopioita ei ollut ja yritys joutui sulkemaan ovensa. Vastaavia esimerkkejä väärin konfiguroiduista pilviresursseista löydetään jatkuvasti lisää.
Pilviympäristön suojaaminen ei ole triviaali tehtävä
Pilvipalveluiden ja DevOps-menetelmien suosio on kulkenut käsi kädessä, sillä pilviympäristö tarjoaa oivalliset puitteet pitkälle automatisoidulle ohjelmistopalvelutuotannolle. Julkisten pilvipalveluiden käytössä piilee kuitenkin omat tietoturvariskinsä.
Pilvipalveluiden käytössä on aina huomioitava, että tieto luovutetaan palvelutarjoajan käsiin. Palvelun valinnassa on tärkeää arvioida palveluntarjoajan kyky suojata tietoa koko sen elinkaaren ajan. Myös datan fyysinen sijainti on oltava tiedossa ja ulkomaisen palveluntarjoajan kohdalla on arvioitava riskit siitä, kenen käsiin tieto saattaa valua esimerkiksi palveluntarjoajan paikallisten lainsäädäntöjen perusteella.
Miten käy, jos pilvipalveluun ja sinne vietyihin tietoihin ei pääsekään enää käsiksi?
Valtion pilvistrategia kannustaa siirtymään pilveen
Valtiovarainministeriö julkaisi alkuvuodesta linjaukset julkisen hallinnon pilvipalveluista. Linjauksien mukaan pilvipalveluita tulee käsitellä samalla tavalla kuin muitakin ICT-hankkeita ja pilvipalvelu tulisi valita, jos se tarjoaa parhaan palveluhyödyn ja -takuun. Julkisissa pilvipalveluissa saa käsitellä myös ei-julkista tietoa, mikäli tieto on asianmukaisesti suojattu ja tietoturva todennettu.
Tarkentavana ohjeena Traficomin Kyberturvallisuuskeskus julkaisi äskettäin pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri). Käsiteltävän tiedon tyypin perusteella kriteeristö asettaa rajat sille, voidaanko tietyssä tilanteessa käyttää julkista pilvipalvelua vai vaatiiko palvelu yksityisen pilven käytön.
Julkishallinnon organisaatioiden siirtyminen pilveen on tästä näkökulmasta helpommin toteutettavissa kuin yksityisellä sektorilla, sillä julkishallinnossa tiedon luokittelu suojauksensa mukaan on aina oletusarvo.
Kun pilveen ja pilvikehittämiseen siirrytään rohkeasti menetelmillä joissa tietoturva on sisäänrakennettuna, on riittävän turvallinen pilvikehittäminen niin julkishallinnossa kuin yksityisellä sektorillakin totta.
DevSecOps-toimintamalli mahdollistaa turvallisen kehittämisen myös pilviympäristössä
DevOps-menetelmissä tietoturvallisuutta tulee kohdella ensimmäisen luokan kansalaisena. Maailmalla DevOps-menetelmiä käyttävissä tiimeissä on huomattu huolestuttavia aukkoja tietoturvallisuusosaamisessa ja tietoturvaan panostamisessa. CGI:n standardoitu DevSecOps-toimintamalli sisältää perusteellisen tietoturvasuunnittelun ja painottaa tietoturvaa ohjelmistoprojektin jokaisessa vaiheessa.
Tietoturvasuunnitteluun kuuluu riskien kuten palveluntarjoajan tiedonsuojaamisen kyvyn arviointi ja jatkuva seuranta tiedon koko elinkaaren ajan. Myös säännöllisesti päivitetty ja testattu jatkuvuussuunnitelma on oleellinen osa tietoturvasuunnittelua. CGI:n DevSecOps-malliin sisältyy sovelluksen tietoturvan varmistamisen lisäksi myös kehitys- ja tuotantoympäristön konfigurointi tietoturvaa ajatellen, ja ympäristön tietoturvan todentaminen.
Kun pilveen ja pilvikehittämiseen siirrytään rohkeasti menetelmillä joissa tietoturva on sisäänrakennettuna, on riittävän turvallinen pilvikehittäminen niin julkishallinnossa kuin yksityisellä sektorillakin totta.
Ovatko sovelluksesi valmiita pilveen? Tervetuloa webinaariimme 26.4.2023 klo 10.00 – 10.45 kuulemaan, miten selvityksessä kannattaa lähteä liikkeelle!
Tutustu myös
Kirjoittajasta
CGI Suomen asiantuntijat
Kirjoituksia asiantuntijoiltamme
CGI on kansainvälisesti suomalainen digitalisaatiokumppani. Suomessa noin 3 800 asiantuntijaa konsultoivat asiakkaitamme liiketoiminnan ja ICT-ratkaisujen kehittämisessä. Tällä profiililla julkaisemme kirjoituksia CGI:n eri asiantuntijoilta.
