Puheenvuoro

Tämä sinun on hyvä tietää pilvijärjestelmien tietoturvasta

Tietoturva on ollut enemmän tai vähemmän tapetilla viimeisen kymmenen vuotta, mutta viime aikoina se on alkanut kiinnostaa entistä enemmän organisaatioita. Esimerkiksi GDPR-säädöksissä on tietoturva sisällytetty suoraan lainsäädäntöön, jolloin jokainen tietoa käsittelevä organisaatio joutuu olemaan kiinnostunut siitä, miten muun muassa henkilötietoja käsittelee. Myös Euroopassa käynnissä oleva sotatila on lisännyt monenlaisia tietoturvauhkia mm. kyberhyökkäyksiä Suomessakin. Kaikkinensa internet on pelikenttä, joka mahdollistaa monenlaista pahaa, mutta jonka kanssa täytyy vain tulla toimeen.

Pilvijärjestelmät yrityskäytössä ovat Suomen markkinassa vielä varsin uusi asia. Suomalaisista organisaatioista vain jokunen on käyttänyt aikaisemmin pilvijärjestelmiä. Nämä yritykset ovat pääosin sellaisia, joiden bisneksestä suurin osa on verkossa. Nyt, kun tarjolla olevan pilven kypsyysaste on riittävällä tasolla, on sinne alettu siirtää perinteisempää työkuormaa, joka aiemmin on ollut kivijalkajärjestelmissä.

Kolme erilaista pilvijärjestelmää – eriävät tietoturvavastuut

Pilvijärjestelmät voi jakaa kolmeen ryhmään, joista jokaisessa järjestelmää käyttävällä organisaatiolla on erilainen tietoturvarooli. Yritysten on hyvä ymmärtää eri ryhmien osalta oma roolinsa, jotta ei tule ikäviä yllätyksiä.

SaaS eli Software as a Service -järjestelmässä, kuten esimerkiksi Oracle Fusion ERP, Oracle HCM tai muissa vastaavissa, järjestelmää käyttävällä organisaatiolla itsellään on melko vähän tietoturvahuolia. Organisaatio vastaa ainoastaan käyttäjähallinnasta eli huolehtii käyttäjätunnuksista ja -rooleista sekä eri roolien pääsystä toimintoihin (data access), kaikki muu tietoturva on pilvitoimittajan vastuulla. Pilvitoimittaja huolehtii tarvittavista tietoturvapäivityksistä sekä tietoturvan seurannasta.

PaaS eli Platform as a Service -järjestelmässä edelleen iso osa turvallisuudesta on pilvitoimittajan vastuulla. Käytännössä käytössä on alusta, kuten esimerkiksi Oracle Integration Cloud, jonka päälle organisaatio tekee koodia. Tässäkin ryhmässä organisaatio vastaa itse käyttäjähallinnasta, mutta lisäksi huolehtii koodaamisen turvallisuudesta. Alustoissa käytetään paljon valmiita komponentteja, joille annetaan parametrit. Komponentit sisältävät itsessään tietoturvariskin, sillä loppukäyttäjä on todellisuudessa täysin tietämätön mitä kaikkia haavoittuvuuksia tuotteessa voi olla. Tietoturvariskejä on samalla tavalla niin suljetun koodin tuotteissa kuin avoimen lähdekoodin (Open Source) tuotteissakin. Monesti avoimen lähdekoodin tuotteet saattavat sisältää bugeja, jotka ovat olleet vuosia havaitsematta.

IaaS eli Infrastructure as a Service -järjestelmässä, kuten esimerkiksi Oracle OCI (Oracle Cloud Infrastructure), organisaatio on suurelta osin itse vastuussa järjestelmän tietoturvasta. Pilvipalvelun toimittaja vastaa toki datakeskuksessa olevien fyysisten laitteiden tietoturvasta, mutta loppu onkin sitten käyttävän organisaation omissa käsissä. Organisaatiossa määritellään virtuaalisen verkon turvamekaniikat, esimerkiksi mikä virtuaalikone saa keskustella minkäkin koneen kanssa ja onko keskustelu yksi- vai kaksisuuntaista. Perinteisissä fyysisissä konesaleissa tietoturvan hoitavat palomuurit, verkkotekniikka- ja serveritiimit hoitavat omat vastuunsa, ja koodari tekee oman osansa. Pilvijärjestelmässä koodari saattaa tehdä kaikki nämä roolit ja sitä kautta on koodarista kiinni, miten suuria tietoturvariskejä syntyy. Lähimenneisyyden suuret tietovuototapaukset saattavat olla esimerkkejä epäonnistuneesta koodarin valinnasta. Koodarit saattavat olla itseoppineita, eikä tällöin ole välttämättä tietotaitoa riittävästi hoitaa esimerkiksi tietokantojen suojauksia. Voiko kaikkia tietovuotoja edes kutsua tietomurroksi, jos suojausta ei ollut alun perinkään.

Kuinka varmistat pilvijärjestelmäsi tietoturvan?

On hyvä tiedostaa, että aina, kun ollaan yhteydessä internetiin, on olemassa tietoturvariski. Kun järjestelmistä avataan tietoliikennereittejä verkkoon, on aina hyvä miettiä, onko se tarpeellinen ja jos on, niin mitä sellaista siitä voi seurata, jota ei haluttaisi tapahtuvan. Oracle tarjoaa asiakkailleen ilmaiset työkalut pilvijärjestelmiin. Esimerkiksi IaaS-palveluista OCI Cloudissa on tarjolla veloituksetta asiakkaille Cloud Guard. Siinä pilvijärjestelmä monitoroi kaikkia pilven määriteltyjä resursseja ja raportoi niiden tilannetta. Vastaavia skannaustyökaluja löytyy useilta ohjelmistotoimittajilta. Työkalut tarkistavat jatkuvasti järjestelmien tietoturvaa ja statustietoa.

Skannaus, lokianalytiikka, käyttöoikeuksien hallinta – eri tapoja huolehtia tietoturvasta

Kiinteässä laitetilassa järjestelmät käyttävät tiettyjä tietoturvatyökaluja ja pilvijärjestelmille on omat, pilvinatiivit työkalut. Pilviresurssien käyttöoikeuksia kannattaa miettiä etukäteen. Yhtä tärkeää on seurata, että liikenne pysyy siellä, missä pitääkin, eikä tule mitään ylimääräistä.

Jos skannausta tehdään, on toki myös tärkeää reagoida tuleviin raportteihin. Yritys voi kerätä lokitietoa (tapahtumatieto), jossa näkyvät kaikki järjestelmien virheilmoitukset ja ei-toivotut tapahtumat. Lokitiedon keräys vaatii lokianalytiikan rakentamista tai tiedon siirtämistä järjestelmään, jossa on keskitetty paikka (”järvi”), jonne kaikki mahdollinen tieto kerätään. Keskitettyyn paikkaan rakennetaan päättelyketjuja, jotka reagoivat määritellyllä tavalla tiettyihin toimintoihin. Myös lokitiedon keräämiseen on olemassa valmiita järjestelmiä, mutta ne ovat usein hyvin kalliita.

Terveellä järjelläkin pystyy valvomaan tietoturvaa, ja vaikka vain manuaalisestikin, mutta kysymykseksi nousee, päästäänkö sillä riittävälle tasolle? Tärkeintä on kerätä lokit yhteen paikkaan ja huolehtia, että ne säilyvät siellä riittävän pitkään. Lokitiedosta voidaan tehdä analyysiä, milloin jotain on tapahtunut, miten se on kehittynyt ja mitä sen seurauksena on tapahtunut. Lokitiedosta pystytään seuraamaan muun muassa hakkerointiyrityksiä tai muuta epäilyttävää toimintaa. Lokitiedon keräyksessä on tietenkin olennaista, että tietoa analysoidaan riittävän säännöllisesti, jotta pysytään perillä siitä, mitä tapahtuu.

Oraclen integraatiopalvelun, OCI Cloudin puolelta löytyy asiakkaille veloitukseton OKIT OCI -työkalu, josta saa suoraan dokumentaation pilvijärjestelmästä, esimerkiksi minkälaisia verkkoja siellä on, mitä palveluita on eri verkoissa (koneet) sekä mitä IP-osoitteita ja avaimia on käytössä. Työkalu on henkilökohtainen ja sen voi saada, jos on järjestelmässä admin-tasolla. Työkalulla voi rakentaa myös oman pilven.

Pilven tietoturva on mielenkiintoinen ja se riippuu pitkälti organisaatiosta, jonka järjestelmä pilvessä on. Jos organisaatiolla on ollut aikaisemmassa on-premise -järjestelmässä konesalikumppani, on hyvin todennäköistä, että organisaatiolla pitäisi olla pilvessä myös kumppani.  Jos organisaatio ei ole it-orientoitunut, eikä sillä ole asiantuntevia osaajia organisaatiossa, kumppani auttaa pitämään saman turvallisuustason kuin alun perin oli tarkoitus. Lopulta pilvijärjestelmät ovat yhtä turvallisia kuin perinteiset konesalijärjestelmätkin, kun tietoturvasta pidetään huolta riittävällä tasolla.


Asiakkaitamme

Kumppanimme