Pilvipalvelun tarjoaja vaikuttaa yrityksen tietoturvaan merkittävästi, koska se määrittelee sen, miten data suojataan, kuka vastaa mistäkin turvallisuuden osa-alueesta ja miten nopeasti uhkiin reagoidaan. Vastuullinen IT-kumppani ei ainoastaan tarjoa tallennustilaa ja laskentakapasiteettia, vaan rakentaa aktiivisesti turvallisen pilviympäristön yhdessä asiakkaan kanssa. Alla käymme läpi tärkeimmät kysymykset, jotka jokaisen IT-päättäjän kannattaa esittää pilvipalvelun tarjoajaa valitessaan.
Mitä tietoturvariskejä pilvipalveluihin liittyy?
Pilvipalveluihin liittyy useita tietoturvariskejä, joista keskeisimmät ovat luvaton pääsy dataan, virheellinen pilvikonfiguraatio, sisäiset uhkat ja palvelunestohyökkäykset. Näiden riskien merkitys korostuu erityisesti silloin, kun yritys hajauttaa sovelluksia ja dataa useisiin eri ympäristöihin ilman riittävää kokonaisnäkymää.
Yksi yleisimmistä ongelmista on virheellinen konfiguraatio. Pilviympäristöt ovat joustavia ja muuttuvia, mikä tarkoittaa, että yksittäinenkin väärä asetus voi avata haavoittuvuuden koko järjestelmään. Esimerkiksi liian laajat käyttöoikeudet, julkisesti auki jääneet tallennuspalvelut tai puutteellinen verkkojen segmentointi ovat tyypillisiä virheitä, joita nähdään sekä julkipilviympäristöissä että yksityisissä pilvissä.
Toinen merkittävä riskialue on identiteetin ja pääsynhallinnan puutteet. Kun käyttäjätunnuksia ja oikeuksia ei hallita järjestelmällisesti, yrityksen kriittinen data on alttiina sekä ulkoisille hyökkääjille että tahattomille sisäisille virheille. Tähän liittyy myös monivaiheisen tunnistautumisen puuttuminen, joka on edelleen yksi yleisimmistä syistä tietomurtoihin.
Pilviekosysteemissä riskit kertautuvat, koska yritykset käyttävät usein useita pilvipalveluita rinnakkain. Kun eri ympäristöjen välillä liikkuu dataa ja sovelluksia, hyökkäyspinta kasvaa. Siksi kokonaisuuden hallinta on tietoturvan kannalta yhtä tärkeää kuin yksittäisten komponenttien suojaaminen.
Miten pilvipalvelun tarjoaja jakaa tietoturvavastuun asiakkaan kanssa?
Pilvipalvelun tarjoaja ja asiakas jakavat tietoturvavastuun niin sanotun jaetun vastuun mallin mukaisesti. Käytännössä tarjoaja vastaa infrastruktuurin fyysisestä turvallisuudesta ja alustan tietoturvasta, kun taas asiakas vastaa omista sovelluksistaan, datastaan ja käyttäjähallinnastaan. Raja ei kuitenkaan ole aina selkeä, ja juuri tässä kohtaa monet yritykset kohtaavat yllätyksiä.
Mitä tarjoaja tyypillisesti vastaa
Pilvipalvelun tarjoaja vastaa yleensä fyysisen infrastruktuurin turvallisuudesta, verkkoarkkitehtuurin suojauksesta, alustan päivityksistä ja haavoittuvuuksien korjaamisesta sekä datakeskusten fyysisestä suojauksesta. Kun kyseessä on kotimainen pilvipalvelu, kuten Magic Cloud, tarjoaja vastaa myös siitä, että data pysyy Suomessa ja toiminta noudattaa eurooppalaisia tietosuojavaatimuksia.
Mitä asiakas tyypillisesti vastaa
Asiakas puolestaan vastaa omien sovellusten tietoturvasta, käyttäjätunnusten ja oikeuksien hallinnasta, datan salauksesta sovellustasolla sekä siitä, miten käyttäjät pääsevät ympäristöön. Monissa yrityksissä tämä vastuu on epäselvä tai aliresursoitu, mikä johtaa tietoturva-aukkoihin.
Managed Cloud -palvelumalli muuttaa tätä asetelmaa selvästi. Kun pilviympäristön hallinta on ulkoistettu asiantuntevalle kumppanille, vastuunjako selkeytyy ja monia perinteisesti asiakkaan harteille jääneitä tehtäviä, kuten päivitykset, valvonta ja poikkeamiin reagointi, siirtyvät palveluntarjoajalle. Tämä ei tarkoita, että asiakas menettäisi kontrollin, vaan päinvastoin: kokonaisnäkymä paranee ja tietoturva-aukot pienenevät.
Mitä tietoturvasertifikaatteja pilvipalveluntarjoajalta kannattaa vaatia?
Pilvipalveluntarjoajalta kannattaa vaatia vähintään ISO 27001 -sertifiointi, joka on kansainvälisesti tunnustettu tietoturvan hallintajärjestelmän standardi. Se osoittaa, että tarjoaja on rakentanut systemaattisen tavan tunnistaa, hallita ja pienentää tietoturvariskejä, eikä tietoturva ole vain yksittäinen tekninen ominaisuus vaan osa koko toimintamallia.
ISO 27001 on keskeinen, mutta se ei ole ainoa kriteeri. Riippuen toimialasta ja käsiteltävän datan luonteesta, yritysten kannattaa selvittää myös seuraavat:
- ISO 27001:2022 on uusin versio standardista ja kattaa myös pilvipalveluihin liittyvät erityisvaatimukset aiempaa kattavammin
- SOC 2 on erityisesti SaaS- ja pilvipalveluille suunnattu auditointistandardi, joka arvioi palvelun turvallisuutta, saatavuutta ja luottamuksellisuutta
- GDPR-vaatimustenmukaisuus ei ole sertifikaatti sinänsä, mutta tarjoajan on pystyttävä osoittamaan, miten se käsittelee henkilötietoja EU:n tietosuoja-asetuksen mukaisesti
- Datakeskuksen sijaintisertifikaatit kertovat fyysisen infrastruktuurin luotettavuudesta ja turvallisuustasosta
Sertifikaattien lisäksi kannattaa kysyä, miten tarjoaja käytännössä toteuttaa tietoturvaa. Sertifikaatti kertoo toimintamallin olemassaolosta, mutta ei siitä, miten nopeasti reagoidaan poikkeamiin tai miten haavoittuvuuksia skannataan aktiivisesti. Vastuullinen IT-kumppani pystyy vastaamaan näihin kysymyksiin avoimesti.
Miten managed cloud -palvelu eroaa tietoturvan kannalta perinteisestä pilvestä?
Managed cloud -palvelu eroaa perinteisestä pilvestä tietoturvan kannalta ennen kaikkea siinä, että tietoturvan hallinta on jatkuvaa ja proaktiivista, ei reaktiivista. Perinteisessä mallissa asiakas hankkii pilvikapasiteettia ja vastaa itse sen turvallisuudesta. Managed cloud -mallissa asiantuntijatiimi valvoo, päivittää ja kehittää ympäristöä jatkuvasti.
Käytännön ero näkyy arjessa monella tavalla. Perinteisessä pilvessä päivitykset saattavat viivästyä, koska sisäisillä tiimeillä ei ole aikaa tai osaamista hoitaa niitä säännöllisesti. Managed cloud -mallissa päivitykset, varmuuskopiot ja haavoittuvuuksien skannaus ovat osa palvelua, ei erikseen tilattava lisä.
Toinen merkittävä ero on ympäristön tuntemus. Kun sama tiimi on rakentanut ja ylläpitää pilviympäristöä alusta asti, se tuntee arkkitehtuurin juuria myöten. Tämä tarkoittaa, että poikkeamat tunnistetaan nopeammin ja niihin reagoidaan tehokkaammin, koska konteksti on jo olemassa. Ulkopuolinen tiimi, joka tulee mukaan vasta häiriötilanteessa, toimii aina viiveellä.
Meillä Managed Cloud -palveluun kuuluu valvonta, tietoturvan hallinta, varmuuskopiot, päivitykset ja häiriöihin reagointi kiinteällä kuukausihinnalla. Kun pilvi ja hallinta tulevat samalta toimijalta, kokonaiskuva pysyy kirkkaana ja tietoturva-aukot eivät pääse syntymään rakoihin eri vastuualueiden välillä.
Milloin yrityksen kannattaa vaihtaa pilvipalvelun tarjoajaa tietoturvasyistä?
Yrityksen kannattaa harkita pilvipalvelun tarjoajan vaihtamista tietoturvasyistä silloin, kun nykyinen tarjoaja ei pysty osoittamaan selkeää vastuunjakoa, sertifikaatit puuttuvat tai ovat vanhentuneita, poikkeamiin reagointi on hidasta tai ympäristön kokonaisnäkymä on kadonnut. Nämä ovat merkkejä siitä, että tietoturva ei ole osa palvelun ydintä vaan jälkikäteen lisätty ominaisuus.
Konkreettisia varoitusmerkkejä, joihin kannattaa reagoida:
- Tarjoaja ei pysty kertomaan, missä yrityksesi data sijaitsee tai kuka siihen pääsee käsiksi
- Päivitykset ja haavoittuvuuksien korjaukset viivästyvät toistuvasti
- Tietoturvapoikkeamat tulevat yllätyksenä, eikä valvonta ole jatkuvaa
- Tarjoajalla ei ole ISO 27001 -sertifiointia tai vastaavaa todennettua toimintamallia
- Data sijaitsee EU:n ulkopuolella eikä tarjoaja pysty selittämään, miten GDPR-vaatimukset täyttyvät
- Tukipyyntöihin vastataan hitaasti eikä asiantuntijoihin saa suoraa yhteyttä
AWS-pilvipalvelut ja muut suuret julkipilviympäristöt tarjoavat kattavan infrastruktuurin, mutta niiden hallinta vaatii omaa osaamista. Jos yrityksen sisäinen IT-tiimi ei pysty ylläpitämään riittävää tietoturvan tasoa julkipilvessä, siirtyminen hallittuun malliin tai kotimaisen pilvipalvelun hyödyntäminen voi olla viisas ratkaisu. Pilviekosysteemin monimutkaistuessa kokonaisuuden hallinta korostuu entisestään.
Vaihtaminen ei aina tarkoita kaiken siirtämistä kerralla. Monesti järkevä askel on aloittaa kartoittamalla nykyisen ympäristön tietoturvatilanne ja selvittää, mitkä osa-alueet vaativat välitöntä huomiota. Jos haluat arvion siitä, miten teidän pilviympäristönne tietoturva on järjestetty, ota yhteyttä niin katsotaan tilanne yhdessä. Olemme aina asiakkaan kanssa samalla puolella, myös silloin kun vastuu ei virallisesti olisi meidän.
