Pilvipalveluiden hyödyntäminen on yleistynyt niiden helpon käytettävyyden, saatavuuden, skaalautuvuuden ja kustannustehokkuuden ansiosta. Pilvipalvelut tuovat kuitenkin mukanaan erilaisia tietoturvallisuuteen liittyviä tekijöitä, jotka organisaatioiden on hyvä huomioida.
Pilvipalvelun kokonaisturvallisuus muodostuu sekä palveluntarjoajan että asiakkaan tietoturvakäytännöistä ja pilveen siirrettävän sovelluksen tietoturvasta.
"Organisaatioiden omat tietoturvakäytännöt tulee olla kunnossa myös pilvipalveluita hyödynnettäessä. Pilvipalveluntarjoajan turvallinen tekninen toteutus vasta mahdollistaa turvallisen pilvipalvelun toteutuksen, mutta ei takaa sitä", tietoturva-asiantuntija Tomi Kinnari Viestintäviraston Kyberturvallisuuskeskuksesta sanoo.
Useat pilvipalveluntarjoajat käyttävät maantieteellistä hajautusta palvelun toiminnan varmistamiseksi sekä resurssien jakamiseksi. "Tässä on hyvä huomioida, että eri maiden lainsäädännössä käsitellään esimerkiksi henkilötietojen tai sähköisen viestinnän suojaa eri tavoilla. Yleissääntö on, että lainsäädännössä asetettuja vastuita ei voi ulkoistaa pilvipalveluntarjoajalle", Kinnari jatkaa.
Pilvipalveluntarjoajan tietoturva-asioihin kannattaa kiinnittää huomiota jo palveluntarjoajaa valitessa. "Esimerkiksi palvelinkeskusten välinen salaus sekä asiakkaan ja palvelimen välinen salaus on kriittisen tärkeä, koska organisaation tietoja käsitellään internetin välityksellä. Myös palveluntarjoajan tekninen ja fyysinen turvallisuus tulee joko varmistaa itse tai hyödyntää kolmannen osapuolen auditointia sen selvittämisessä", Kinnari huomauttaa.
Tietoturva-asiat kannattaa huomioida myös pilvipalveluntarjoajan kanssa solmittavassa palvelusopimuksessa. Sopimusta laadittaessa on hyvä muistaa ainakin seuraavat seikat:
Viestintäviraston Kyberturvallisuuskeskuksen laatima raportti pilvipalveluiden tietoturvasta on tarkoitettu yritysten ja muiden organisaatioiden avuksi pilvipalveluiden turvallisuuden arviointiin ja palveluntoimittajan valintaan (ks. liite).
Lisätietoja:
Tomi Kinnari, tietoturva-asiantuntija, Viestintäviraston Kyberturvallisuuskeskus, puh. 0295 390 533
Eija Alavesa, lakimies, Viestintäviraston Kyberturvallisuuskeskus, puh. 0295 390 507
© Koodiviidakko Oy - Y-tunnus 1939962-1