Open search

    Pilvipalveluiden Top 10 -tietoturvariskit (OWASP-luonnos) ja niihin varautuminen, osa 2

    Tässä toisessa osassa pilvipalveluiden riskejä ja hallintakeinoja käsittelevässä kirjoituksessani käsittelen ensimmäiset viisi pilvipalveluiden Top-10 riskiä:

    • Accountability and Data Ownership eli Tilivelvollisuus ja tiedon omistajuus
    • User Identity Federation eli Käyttäjätietojen yhdistäminen
    • Regulatory non-compliance eli vaatimusten/säännösten noudattamatta jättäminen
    • Business Continuity and Resiliency eli Liiketoiminnan jatkuvuus ja joustavuus
    • User Privacy and Secondary Usage of Data eli Käyttäjän yksityisyys ja tietojen toissijainen käyttö

    Ensimmäistä osaa kirjoituksesta pääset lukemaan tästä.

     

    1.     Accountability and Data Ownership eli Tilivelvollisuus ja tiedon omistajuus

    Aivan kuten omassa tai ulkoistetussa konesalissa, myös pilvessä sijaitsevien virtuaalipalvelinten ja palveluiden omistajuus, vastuut ja velvollisuudet tulee määritellä tarkkaan. Pilveen (kuten myös ulkoistettuun konesaliin) viety tieto on toisen osapuolen hallussa ja palvelua käyttöönotettaessa tuleekin arvioida palveluntarjoajan luotettavuus ja mahdollisuudet siihen, että tiedot ovat käytettävissä ja omat tietonsa saa takaisin.  

    Uhka: Palvelu ei ole omassa hallussa

    Palvelun hallintaa ja omistajuutta koskevia asioita käsitellään paitsi sopimuksessa, myös vastuunjakotaulukossa. Isojen toimijoiden kanssa ei vastuunjaosta voi neuvotella, vaan toimijat kuvaavat palvelunsa vastuunjaon palvelumallista (Iaas, PaaS, SaaS) riippuen. Vastuunjakotaulukko ja sopimus kuitenkin kuvaavat sen, mitkä asiat ovat palveluntarjoajan ja mitkä tilaajan vastuilla ja hallussa. Tärkeintä on, että vastuunjako on selvää ja tilaaja tietää, mitkä asiat edellyttävät omaa toimintaa ja missä asioissa tulee luottaa palveluntarjoajaan.

    Uhka: Tiedon menetys

    Tietojen menetyksen uhkaan yritys voi vastata myös pilvessä tietojen varmuuskopioinnilla ja palautumistestauksilla. Datan päätymisen oikeudettomasti ulkopuolisen käsiin yritys voi estää tietojen salaamisella, tietojen automatisoidulla poistamisella tallennusmedioilta ja tietovuotojen havaitsemiseen käytetyillä ohjelmistoilla (Data Loss Prevention, DLP), joita myös pilvipalveluihin on tarjolla. Fyysisiltä tallennusmedioilta tietojen poistamiseen yritys voi vaikuttaa sopimuksellisesti sekä varmistamalla palveluntarjoajan prosessit asiaan liittyen.

     

    2.     User Identity Federation eli Käyttäjätietojen yhdistäminen

    Pilvipalveluiden määrän lisääntyessä myös eri palveluihin käytetyt kirjautumistiedot lisääntyvät jokaisen palvelun vaatiessa oman käyttäjätunnus-salasana-yhdistelmän. Tämä kuormittaa palveluiden käyttäjiä ja ylläpitäjiä useiden eri käyttäjätunnus-salasana-yhdistelmien muistamisessa ja ylläpitämisessä.

    Uhka: Jokaiseen palveluun luodaan omat käyttäjätunnukset

    Pilvipalveluiden integroiminen yrityksen omiin kirjautumisjärjestelmiin lieventää useiden erillisten käyttäjätunnusten ja niiden vaarantumisen uhkaa. Useimmissa pilvipalveluissa on toteutettu mahdollisuus Active Directory -integrointiin ja siten Single sign-on -mahdollisuuteen yrityksen omasta verkosta.

    Uhka: Käyttäjätilien menetys ja vaarantuneet käyttäjätunnukset

    Single sign-on -integrointi yrityksen omiin hallintajärjestelmiin, käyttäjätunnusten hallinnointimekanismeihin ja vaatimuksiin antaa yrityksen omalle ylläpidolle mahdollisuuden hallinnoida käyttöoikeuksia ja esimerkiksi asettaa salasanalle laatuvaatimuksia ja myös poistaa käyttäjätunnuksia tarpeen mukaan.

    Lisäturvana useisiin pilvipalveluihin voi myös toteuttaa IP-rajauksen siten, että vain yrityksen omasta sisäverkosta pääsee kirjautumaan yritykselle rajattuun palveluun. Yhteyksien salaaminen ja VPN:n käyttö erityisesti hallinnointiyhteyksissä tuo lisäturvaa käyttäjätietojen välitykseen.

     

    3.     Regulatory non-compliance eli Vaatimusten/säännösten noudattamatta jättäminen

    Pilvipalveluntarjoaja voi sijaita missä päin maailmaa tahansa, ja monilla palveluntarjoajilla on konesaleja kaikissa maanosissa. Tämä vaikeuttaa palvelun tilaajan lainsäädännöllisiin velvollisuuksiin vastaamista. Esimerkiksi EU:n tietosuoja-asetus (GDPR) asettaa vaatimuksia koskien tietojen siirtoa EU- tai ETA-alueen ulkopuolelle.

    Uhka: Lainsäädännön noudattamatta jättämisen riski (EU vs. US vs. Aasia)

    Palvelun tilaaja voi vaikuttaa kohtaamaansa lainsäädännön rikkomisen mahdollisuuteen pienentävästi esimerkiksi sopimuksellisin keinoin tai rajaamalla käyttämänsä konesalin sijaitsemaan ainoastaan EU-alueella. Vaikka useat pilvipalveluntarjoajat tarjoavatkin em. rajaamismahdollisuutta, ei se silti aina ole mahdollista. Tällöin palveluntarjoajaa valittaessa ja arvioitaessa tulisi miettiä, mitä dataa pilveen on tarkoitus siirtää ja tarkistaa, toimiiko kyseinen pilvipalvelu esimerkiksi Privacy Shield -järjestelyn mukaisesti. Privacy Shieldin lisäksi henkilötietojen salaus, pseudonymisointi ja anonymisointi lieventävät tietojen siirtoon kohdistuvaa riskiä. Palveluntarjoajan sertifioinnit, kuten edellä mainittu Privacy Shield ja muut yhteensopivuudet erilaisten standardien ja vaatimusten kanssa (ISO 27001, PCI DSS, ISAE 3402, ENISA ja useat muut) lisäävät palveluntarjoajan luotettavuutta yleisesti ja myös lainsäädännön noudattamisen suhteen.

     

    4.     Business Continuity and Resiliency eli Liiketoiminnan jatkuvuus ja joustavuus

    Liiketoiminnan jatkuvuus on yrityksen toiminnan edellytys kaikissa olosuhteissa ja yrityksen käyttämien tai ulospäin tarjoamien palveluiden vienti pilveen saattaa herättää uusia huolenaiheita. Jatkuvuuteen ja joustavuuteen kohdistuvat uhat ovatkin muun muassa seuraavanlaisia:  

    Uhka: Pilvipalveluntarjoajan myynti kilpailijalle

    Palveluntarjoajan myyntiin tilaaja voi varautua sopimukseen kirjattavilla ilmoitusvelvollisuudella ja irtisanomismahdollisuudella, jotka velvoittavat palveluntarjoajaa toimimaan tilaajan haluamalla tavalla toimintaan tapahtuvien muutosten kohdalla.

    Uhka: Lukkiutuminen palveluntarjoajaan

    Lukkiutumisen uhkaa voi vähentää edellä mainituilla sopimusasioilla, sekä sopimusehdolla, joka velvoittaa palveluntarjoajan toimittamaan palveluun viedyt tiedot halutussa formaatissa tilaajalle. Mikäli sopimusneuvottelumahdollisuutta ei ole, palveluntarjoajan arviointia tehdessä tulisi tarkistaa, minkälaisia tietojen ulosvientiominaisuuksia palveluun on toteutettu.

    Uhka: Rahalliset menetykset palvelun toimimattomuuden vuoksi

    Palvelun toimimattomuuden uhkaan useat palveluntarjoajat ovat ennakoivasti reagoineet antamalla julkisen Service Level Agreement (SLA) -lupauksen, joka kertoo palvelun palvelutason ja sen alittamisesta luvatut korvaukset. Mikäli tällaista lupausta ei ole, se on syytä erikseen neuvotella mukaan sopimukseen. SLA:n tulisi sisältää sekä palvelun saatavuus (prosenttiluku) ja sanktiot poikkeamatilanteissa, että vasteajat erilaisissa ongelma- ja muissa yhteydenottotilanteissa.

    Palveluntarjoajan arviointia tehdessä tulisi myös tarkastella palveluntarjoajan jatkuvuus- ja tietoturvapoikkeaman hallintasuunnitelmia. Kyseisiä suunnitelmia ei useinkaan ole julkisesti saatavilla, mutta jo pelkkä tieto niiden olemassaolosta antaa viitteitä siitä, että palveluntarjoaja on varautunut erilaisten ongelmien mahdollisuuteen. Lisävarmuutta tuovat palveluntarjoajan sertifioinnit, kuten esimerkiksi jatkuvuudenhallintaa koskeva ISO 22301 Business Continuity Management System.

    Uhka: Osaamisen ja valmiuksien puute

    Kaikki edellä mainittu (sertifioinnit, suunnitelmat, SLA) ja kyseisten tietojen avoin jakaminen proaktiivisesti kertoo jo paljon palveluntarjoajan osaamisesta ja palvelun jatkuvuudesta huolehtimisesta. Erilaisten käyttöönotto- ja muiden projektien kohdalla voi myös pyytää palveluntarjoajalta projektiin osallistuvien henkilöiden CV:t kokemuksen ja osaamisen varmistamiseksi.

     

    5.     User Privacy and Secondary Usage of Data eli Käyttäjän yksityisyys ja tietojen toissijainen käyttö

    Ulkopuoliseen palveluun tietoja vietäessä ja kyseisiä palveluja käytettäessä väistämättä palveluun siirtyy myös käyttäjätietoja. Lähes jokainen palvelu vaatii minimissään sähköpostiosoitteen yhteystietona. Useat palvelut myös seuraavat käyttäjän toimia palvelussa. Käyttäjän toimien seuraamista perusteellaan tietojen perusteella tapahtuvalla palvelun parantamisella, mutta samalla pahimmillaan vaarannetaan myös käyttäjän yksityisyyttä. Tietoja saatetaan myös myydä ulkopuolisille tahoille esimerkiksi paikannusta vaativien palveluiden kohdalla.

    Tietoturva-arvion yhteydessä tehdyn Data Protection Impact Assessmentin (DPIA) eli tietosuojaa koskevan vaikutustenarvioinnin avulla voidaan arvioida palvelussa tapahtuvaa henkilötietojen käsittelyä, käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. DPIA:n perusteella voidaan esimerkiksi rajoittaa jonkin tietyn tiedon viemistä kyseiseen palveluun.

    Uhka: Käyttäjätietojen ja käyttäjän tietojen myynti

    Tietojen myyntiä voidaan rajoittaa esimerkiksi sopimusteknisin toimenpitein ja minimissään tilaajan tulisi käydä läpi toimittajan sopimusehdot ymmärtääkseen, miten tietoja käytetään. Tietosuoja-asetukseen liittyvät palveluntarjoajan dokumentit kertovat lisää tietojen keräämisestä ja käyttötarkoituksista, kuten toimiiko palvelu esimerkiksi Privacy Shield -järjestelynalaisuudessa.

    Uhka: Tietojen luvaton käsittely/käyttö

    Tietojen luvatonta käsittelyä ja käyttöä voidaan rajoittaa esimerkiksi tiedon sisällön mukaan tapahtuvalla salauksella, anonymisoinnilla tai pseudonymisoinnilla. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet mahdollistavat esimerkiksi tietojen keräämisen rajoittamisen, tietojen salaamisen ja käyttöoikeuksien rajaamisen siten, että pääsy sallitaan vain niille, joilla on tehtäviinsä liittyvä tarve päästä tietoihin. Palvelua valittaessa tulisi tarkistaa, että se tukee edellä mainittuja ominaisuuksia.

    Osa kolme

    Osassa kolme käsittelen seuraavat uhat ja hallintakeinoja niiden vähentämiseen:

    • Service and Data Integration eli Palvelujen ja tietojen integrointi
    • Multi Tenancy and Physical Security eli Resurssien jako ja fyysinen turvallisuus
    • Incident Analysis and Forensic Support eli Poikkeamien analysointi ja tutkinta
    • Infrastructure Security eli Järjestelmän turvallisuus
    • Non-Production Environment Exposure eli Kehitys- ja testausympäristöjen paljastuminen

    Kirjoittaja

    Insta_Secrays_PetriVetikko

    Petri Vetikko

    LinkedIn