2.12.2015
Mitkä ovat seitsemän suurinta turvallisuusuhkaa pilvipalveluille? Miksi?
1. Ulkopuolisten pääsy tietoihin. Pilvipalveluntarjoajan oma henkilöstö ja mahdolliset kumppanit pääsevät käsiksi laitteistoon ja tietoliikenteeseen, mikä on turvallisuusriski. Ulkopuolisten lisäksi myös yrityksen oma henkilöstö voi olla suuri tietoturvauhka tietoisesti tai tiedosamattaan. Tietämättömyyden ja huolimattomuuden seurauksena saattaa henkilöstö vaarantaa yrityksen tietoturvan. Sen takia käyttäjille pitää opettaa tietoturvakäytänteitä yrityksessä.
2. Vastuu tallennetusta datasta. Pilvipalvelun käyttö ei vapauta yritystä vastuusta huolehtia datan säilytyksen turvallisuudesta ja luotettavuudesta. Turvallisuudesta ei tarkalleen voida huolehtia, koska aina ei tiedetä minkälaisia tiedot ovat ja kuka niihin pääsee käsiksi.
3. Tallennetun datan sijainti. Datan täsmällisestä sijainnista ei aina tiedetä. Tietosuojalaissa ja tietotekniikkaan- ja liikenteeseen vaikuttavassa sääntelyssä on kuitenkin maakohtaisia eroja, jotka täytyisi kyetä huomioimaan.
4. Datan erottaminen muiden yritysten datasta. Pilvipalveluntarjoajan täytyy kyetä takaamaan, etteivät yrityksen tiedot pääse toisten asiakkaiden käsiin ja etteivät turvatoimet hidasta palvelua liiaksi tai johda ennalta-arvaamattomiin ikäviin seurauksiin, kuten datan menettämiseen.
5. Virheistä toipuminen. On selvitettävä, kuinka palveluntarjoaja on varautunut odottamattomiin ongelmiin, kuinka niistä tiedotetaan asiakkaille ja kauanko poikkeustilanteesta normaaliin palautuminen kestää.
6. Tutkinnan suorittaminen. Pilvipalvelussa tieto ja sovellukset voivat sijaita monissa eri palvelinkeskuksissa ja useilla koneilla yhtä aikaa. Rikollisen tai muuten sopimattoman toiminnan ja siihen liittyvien vastuukysymysten selvittäminen jälkikäteen saattaa olla hankalaa, joten palveluntarjoajan kyky tähän on syytä selvittää etukäteen.
7. Palvelun elinkelpoisuus ja jatkuvuus.Vaihtoehtoisia pilvipalveluntarjoajia on markkinoilla lukuisia, joten on mahdotonta ennustaa ketkä tulevat menestymään ja keitä ei ole ehkä enää muutaman vuoden kuluttua olemassakaan. Standardoilluilla markkinoilla huoli olisi vähäisempi, koska palveluntarjoajan vaihtaminen olisi helppoa, mutta kun nyt valitaan alusta ja kehitetään ratkaisuja sille, samalla lukittaudutaan tehtyyn valintaan. Palveluntarjoajan myöhempään vaihtamiseen saattaa liittyä merkittäviäkin kustannuksia, joka puoltaa isojen palveluntarjoajien valintaa sillä olettamuksella, että suuret yritykset, kuten Google, kestävät tappioita, pieniä kolahduksia maineeseen ja markkinoiden heilahteluja, kun taas pienempien toimijoiden kohdalla tulevaisuus on epävarmempaa, koska niiden rahoituspohjat ovat huterampia.
Miksi tietoturvallisuutta tulisi toteuttaa?
Tietoturvallisuudella suojataan lakiperusteisesti organisaation omaan toimintaan, yhteiskunnan toimintaan sekä kansalaisiin liittyviä tietoja. Oikeat ja luotettavat tiedot ovat keskeinen osa valtionhallinnon organisaatioiden ja yhteiskunnan päätöksentekoa sekä toimintavarmuutta.
Tiedoista huolehtiminen on tärkeässä osassa yhteiskunnan toimintojen turvallisuuden ja jatkuvuuden varmistamisessa sekä kansalaisten perusoikeuksien toteutumisessa. Asianmukaisella tietojen suojauksella turvataan organisaation toimintaympäristöä, yhteiskuntaa sekä asiakkaiden ja yhteistyökumppaneiden tietoja.
Tietoturvallisuudella on tärkeä rooli turvallisen tietoteknisen ympäristön ja tietohallintotoiminnan ylläpitämisessä ja kehittämisessä.
Lähteet: Immo Salo: Cloud Computing, palvelut verkossa, Docendo 2010 s. 103-111 (Kohta Pilvipalvelut ja tietoturva)
Tietojen turvaluokitus ja Vahti, Johdon tietoturvaopas.
Artikkeli aiheesta:
http://www.y-lehti.fi/arkisto/artikkeli/1703/Yrityksen+tietoturvan+suurin+uhka+on+oma+ty%C3%B6ntekij%C3%A4+
Artikkelissa kerrotaan kuinka yrityksen tietoturvan suurin riski on oma työntekijä ja kuinka yrityksen kannattaa ennakoida uhkia ajatellen.
