Kyberturvallisuuskeskus: monet tekijät vaikuttavat organisaatioiden pilvipalveluiden tietoturvaan

Pilvipalveluiden hyödyntäminen on yleistynyt niiden helpon käytettävyyden, saatavuuden, skaalautuvuuden ja kustannustehokkuuden ansiosta. Pilvipalvelut tuovat kuitenkin mukanaan erilaisia tietoturvallisuuteen liittyviä tekijöitä, jotka organisaatioiden on hyvä huomioida.

Pilvipalvelun kokonaisturvallisuus muodostuu sekä palveluntarjoajan että asiakkaan tietoturvakäytännöistä ja pilveen siirrettävän sovelluksen tietoturvasta.

"Organisaatioiden omat tietoturvakäytännöt tulee olla kunnossa myös pilvipalveluita hyödynnettäessä. Pilvipalveluntarjoajan turvallinen tekninen toteutus vasta mahdollistaa turvallisen pilvipalvelun toteutuksen, mutta ei takaa sitä", tietoturva-asiantuntija Tomi Kinnari Viestintäviraston Kyberturvallisuuskeskuksesta sanoo.

Useat pilvipalveluntarjoajat käyttävät maantieteellistä hajautusta palvelun toiminnan varmistamiseksi sekä resurssien jakamiseksi. "Tässä on hyvä huomioida, että eri maiden lainsäädännössä käsitellään esimerkiksi henkilötietojen tai sähköisen viestinnän suojaa eri tavoilla. Yleissääntö on, että lainsäädännössä asetettuja vastuita ei voi ulkoistaa pilvipalveluntarjoajalle", Kinnari jatkaa.

Pilvipalveluntarjoajan tietoturva-asioihin kannattaa kiinnittää huomiota jo palveluntarjoajaa valitessa. "Esimerkiksi palvelinkeskusten välinen salaus sekä asiakkaan ja palvelimen välinen salaus on kriittisen tärkeä, koska organisaation tietoja käsitellään internetin välityksellä. Myös palveluntarjoajan tekninen ja fyysinen turvallisuus tulee joko varmistaa itse tai hyödyntää kolmannen osapuolen auditointia sen selvittämisessä", Kinnari huomauttaa.

Tietoturva-asiat kannattaa huomioida myös pilvipalveluntarjoajan kanssa solmittavassa palvelusopimuksessa. Sopimusta laadittaessa on hyvä muistaa ainakin seuraavat seikat:

  • tiedon omistajuus ja siihen liittyvät oikeudet,
  • tiedon maantieteellinen sijainti,
  • tietoturvallisuusvaatimukset, jossa huomioidaan tiedon elinkaari, henkilötietojen käsittely ja varmuuskopiointi,
  • menettely poikkeustilanteiden, kuten palvelukatkon yhteydessä,
  • palvelutasosopimus sekä
  • sopimuksessa sovellettava lainsäädäntö ja oikeuspaikka mahdollisessa riitatilanteessa.

Viestintäviraston Kyberturvallisuuskeskuksen laatima raportti pilvipalveluiden tietoturvasta on tarkoitettu yritysten ja muiden organisaatioiden avuksi pilvipalveluiden turvallisuuden arviointiin ja palveluntoimittajan valintaan.


Asiasanat: Internet , Tietoturva , CERT , Kyberturvallisuus , Riskienhallinta , Tietosuoja , Raportit , Uutiset

LinkedIn Print