Tässä toisessa osassa pilvipalveluiden riskejä ja hallintakeinoja käsittelevässä kirjoituksessani käsittelen ensimmäiset viisi pilvipalveluiden Top-10 riskiä:
Accountability and Data Ownership eli Tilivelvollisuus ja tiedon omistajuus
User Identity Federation eli Käyttäjätietojen yhdistäminen
Regulatory non-compliance eli vaatimusten/säännösten noudattamatta jättäminen
Business Continuity and Resiliency eli Liiketoiminnan jatkuvuus ja joustavuus
User Privacy and Secondary Usage of Data eli Käyttäjän yksityisyys ja tietojen toissijainen käyttö
Ensimmäistä osaa kirjoituksesta pääset lukemaan tästä.
1. Accountability and Data Ownership eli Tilivelvollisuus ja tiedon omistajuus
Aivan kuten omassa tai ulkoistetussa konesalissa, myös pilvessä sijaitsevien virtuaalipalvelinten ja palveluiden omistajuus, vastuut ja velvollisuudet tulee määritellä tarkkaan. Pilveen (kuten myös ulkoistettuun konesaliin) viety tieto on toisen osapuolen hallussa ja palvelua käyttöönotettaessa tuleekin arvioida palveluntarjoajan luotettavuus ja mahdollisuudet siihen, että tiedot ovat käytettävissä ja omat tietonsa saa takaisin.
Uhka: Palvelu ei ole omassa hallussa
Palvelun hallintaa ja omistajuutta koskevia asioita käsitellään paitsi sopimuksessa, myös vastuunjakotaulukossa. Isojen toimijoiden kanssa ei vastuunjaosta voi neuvotella, vaan toimijat kuvaavat palvelunsa vastuunjaon palvelumallista (Iaas, PaaS, SaaS) riippuen. Vastuunjakotaulukko ja sopimus kuitenkin kuvaavat sen, mitkä asiat ovat palveluntarjoajan ja mitkä tilaajan vastuilla ja hallussa. Tärkeintä on, että vastuunjako on selvää ja tilaaja tietää, mitkä asiat edellyttävät omaa toimintaa ja missä asioissa tulee luottaa palveluntarjoajaan.
Uhka: Tiedon menetys
Tietojen menetyksen uhkaan yritys voi vastata myös pilvessä tietojen varmuuskopioinnilla ja palautumistestauksilla. Datan päätymisen oikeudettomasti ulkopuolisen käsiin yritys voi estää tietojen salaamisella, tietojen automatisoidulla poistamisella tallennusmedioilta ja tietovuotojen havaitsemiseen käytetyillä ohjelmistoilla (Data Loss Prevention, DLP), joita myös pilvipalveluihin on tarjolla. Fyysisiltä tallennusmedioilta tietojen poistamiseen yritys voi vaikuttaa sopimuksellisesti sekä varmistamalla palveluntarjoajan prosessit asiaan liittyen.
2. User Identity Federation eli Käyttäjätietojen yhdistäminen
Pilvipalveluiden määrän lisääntyessä myös eri palveluihin käytetyt kirjautumistiedot lisääntyvät jokaisen palvelun vaatiessa oman käyttäjätunnus-salasana-yhdistelmän. Tämä kuormittaa palveluiden käyttäjiä ja ylläpitäjiä useiden eri käyttäjätunnus-salasana-yhdistelmien muistamisessa ja ylläpitämisessä.
Uhka: Jokaiseen palveluun luodaan omat käyttäjätunnukset
Pilvipalveluiden integroiminen yrityksen omiin kirjautumisjärjestelmiin lieventää useiden erillisten käyttäjätunnusten ja niiden vaarantumisen uhkaa. Useimmissa pilvipalveluissa on toteutettu mahdollisuus Active Directory -integrointiin ja siten Single sign-on -mahdollisuuteen yrityksen omasta verkosta.
Uhka: Käyttäjätilien menetys ja vaarantuneet käyttäjätunnukset
Single sign-on -integrointi yrityksen omiin hallintajärjestelmiin, käyttäjätunnusten hallinnointimekanismeihin ja vaatimuksiin antaa yrityksen omalle ylläpidolle mahdollisuuden hallinnoida käyttöoikeuksia ja esimerkiksi asettaa salasanalle laatuvaatimuksia ja myös poistaa käyttäjätunnuksia tarpeen mukaan.
Lisäturvana useisiin pilvipalveluihin voi myös toteuttaa IP-rajauksen siten, että vain yrityksen omasta sisäverkosta pääsee kirjautumaan yritykselle rajattuun palveluun. Yhteyksien salaaminen ja VPN:n käyttö erityisesti hallinnointiyhteyksissä tuo lisäturvaa käyttäjätietojen välitykseen.
3. Regulatory non-compliance eli Vaatimusten/säännösten noudattamatta jättäminen
Pilvipalveluntarjoaja voi sijaita missä päin maailmaa tahansa, ja monilla palveluntarjoajilla on konesaleja kaikissa maanosissa. Tämä vaikeuttaa palvelun tilaajan lainsäädännöllisiin velvollisuuksiin vastaamista. Esimerkiksi EU:n tietosuoja-asetus (GDPR) asettaa vaatimuksia koskien tietojen siirtoa EU- tai ETA-alueen ulkopuolelle.
Uhka: Lainsäädännön noudattamatta jättämisen riski (EU vs. US vs. Aasia)
Palvelun tilaaja voi vaikuttaa kohtaamaansa lainsäädännön rikkomisen mahdollisuuteen pienentävästi esimerkiksi sopimuksellisin keinoin tai rajaamalla käyttämänsä konesalin sijaitsemaan ainoastaan EU-alueella. Vaikka useat pilvipalveluntarjoajat tarjoavatkin em. rajaamismahdollisuutta, ei se silti aina ole mahdollista. Tällöin palveluntarjoajaa valittaessa ja arvioitaessa tulisi miettiä, mitä dataa pilveen on tarkoitus siirtää ja tarkistaa, toimiiko kyseinen pilvipalvelu esimerkiksi Privacy Shield -järjestelyn mukaisesti. Privacy Shieldin lisäksi henkilötietojen salaus, pseudonymisointi ja anonymisointi lieventävät tietojen siirtoon kohdistuvaa riskiä. Palveluntarjoajan sertifioinnit, kuten edellä mainittu Privacy Shield ja muut yhteensopivuudet erilaisten standardien ja vaatimusten kanssa (ISO 27001, PCI DSS, ISAE 3402, ENISA ja useat muut) lisäävät palveluntarjoajan luotettavuutta yleisesti ja myös lainsäädännön noudattamisen suhteen.
4. Business Continuity and Resiliency eli Liiketoiminnan jatkuvuus ja joustavuus
Liiketoiminnan jatkuvuus on yrityksen toiminnan edellytys kaikissa olosuhteissa ja yrityksen käyttämien tai ulospäin tarjoamien palveluiden vienti pilveen saattaa herättää uusia huolenaiheita. Jatkuvuuteen ja joustavuuteen kohdistuvat uhat ovatkin muun muassa seuraavanlaisia:
Uhka: Pilvipalveluntarjoajan myynti kilpailijalle
Palveluntarjoajan myyntiin tilaaja voi varautua sopimukseen kirjattavilla ilmoitusvelvollisuudella ja irtisanomismahdollisuudella, jotka velvoittavat palveluntarjoajaa toimimaan tilaajan haluamalla tavalla toimintaan tapahtuvien muutosten kohdalla.
Uhka: Lukkiutuminen palveluntarjoajaan
Lukkiutumisen uhkaa voi vähentää edellä mainituilla sopimusasioilla, sekä sopimusehdolla, joka velvoittaa palveluntarjoajan toimittamaan palveluun viedyt tiedot halutussa formaatissa tilaajalle. Mikäli sopimusneuvottelumahdollisuutta ei ole, palveluntarjoajan arviointia tehdessä tulisi tarkistaa, minkälaisia tietojen ulosvientiominaisuuksia palveluun on toteutettu.
Uhka: Rahalliset menetykset palvelun toimimattomuuden vuoksi
Palvelun toimimattomuuden uhkaan useat palveluntarjoajat ovat ennakoivasti reagoineet antamalla julkisen Service Level Agreement (SLA) -lupauksen, joka kertoo palvelun palvelutason ja sen alittamisesta luvatut korvaukset. Mikäli tällaista lupausta ei ole, se on syytä erikseen neuvotella mukaan sopimukseen. SLA:n tulisi sisältää sekä palvelun saatavuus (prosenttiluku) ja sanktiot poikkeamatilanteissa, että vasteajat erilaisissa ongelma- ja muissa yhteydenottotilanteissa.
Palveluntarjoajan arviointia tehdessä tulisi myös tarkastella palveluntarjoajan jatkuvuus- ja tietoturvapoikkeaman hallintasuunnitelmia. Kyseisiä suunnitelmia ei useinkaan ole julkisesti saatavilla, mutta jo pelkkä tieto niiden olemassaolosta antaa viitteitä siitä, että palveluntarjoaja on varautunut erilaisten ongelmien mahdollisuuteen. Lisävarmuutta tuovat palveluntarjoajan sertifioinnit, kuten esimerkiksi jatkuvuudenhallintaa koskeva ISO 22301 Business Continuity Management System.
Uhka: Osaamisen ja valmiuksien puute
Kaikki edellä mainittu (sertifioinnit, suunnitelmat, SLA) ja kyseisten tietojen avoin jakaminen proaktiivisesti kertoo jo paljon palveluntarjoajan osaamisesta ja palvelun jatkuvuudesta huolehtimisesta. Erilaisten käyttöönotto- ja muiden projektien kohdalla voi myös pyytää palveluntarjoajalta projektiin osallistuvien henkilöiden CV:t kokemuksen ja osaamisen varmistamiseksi.
5. User Privacy and Secondary Usage of Data eli Käyttäjän yksityisyys ja tietojen toissijainen käyttö
Ulkopuoliseen palveluun tietoja vietäessä ja kyseisiä palveluja käytettäessä väistämättä palveluun siirtyy myös käyttäjätietoja. Lähes jokainen palvelu vaatii minimissään sähköpostiosoitteen yhteystietona. Useat palvelut myös seuraavat käyttäjän toimia palvelussa. Käyttäjän toimien seuraamista perusteellaan tietojen perusteella tapahtuvalla palvelun parantamisella, mutta samalla pahimmillaan vaarannetaan myös käyttäjän yksityisyyttä. Tietoja saatetaan myös myydä ulkopuolisille tahoille esimerkiksi paikannusta vaativien palveluiden kohdalla.
Tietoturva-arvion yhteydessä tehdyn Data Protection Impact Assessmentin (DPIA) eli tietosuojaa koskevan vaikutustenarvioinnin avulla voidaan arvioida palvelussa tapahtuvaa henkilötietojen käsittelyä, käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. DPIA:n perusteella voidaan esimerkiksi rajoittaa jonkin tietyn tiedon viemistä kyseiseen palveluun.
Uhka: Käyttäjätietojen ja käyttäjän tietojen myynti
Tietojen myyntiä voidaan rajoittaa esimerkiksi sopimusteknisin toimenpitein ja minimissään tilaajan tulisi käydä läpi toimittajan sopimusehdot ymmärtääkseen, miten tietoja käytetään. Tietosuoja-asetukseen liittyvät palveluntarjoajan dokumentit kertovat lisää tietojen keräämisestä ja käyttötarkoituksista, kuten toimiiko palvelu esimerkiksi Privacy Shield -järjestelynalaisuudessa.
Uhka: Tietojen luvaton käsittely/käyttö
Tietojen luvatonta käsittelyä ja käyttöä voidaan rajoittaa esimerkiksi tiedon sisällön mukaan tapahtuvalla salauksella, anonymisoinnilla tai pseudonymisoinnilla. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet mahdollistavat esimerkiksi tietojen keräämisen rajoittamisen, tietojen salaamisen ja käyttöoikeuksien rajaamisen siten, että pääsy sallitaan vain niille, joilla on tehtäviinsä liittyvä tarve päästä tietoihin. Palvelua valittaessa tulisi tarkistaa, että se tukee edellä mainittuja ominaisuuksia.
Petri Vetikko
Tietoturvakonsultti, ISO 27001 Lead Implementer
