Viranomaisten siirtyessä pilvipalveluihin turvallisuus on kaiken lähtökohta. Traficomin Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen korostaa, että pilvipalvelut ovat ennen kaikkea luottamusbisnestä – ja siksi siirtymässä on tunnettava sekä hyödyt että riskit.

Pilvipalvelut tarjoavat laajan valikoiman joustavia ja kustannustehokkaita ratkaisuja. Suurilla palveluntarjoajilla on valtava käyttäjäkunta ja resurssit, mikä tuo mittakaavaetua: tietoturvatoimet ja alustojen kehitys etenevät nopeasti ja johdonmukaisesti. Pilviä on erilaisia – julkisia, yksityisiä ja hybridiratkaisuja – mutta kaikkien tavoite on sama: tarjota toimintavarma ja turvallinen alusta palveluille.

”Pilvipalveluilla voidaan teknologianäkökulmasta saavuttaa erittäin hyvä teknisen suojan taso suurten resurssien ja modernien tekniikoiden ansiosta”, sanoo Traficomin Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen.

”Pilvipalveluiden tarjoaminen on luottamusbisnestä", hän muistuttaa.

Pilveen liittyy hyötyjä ja omia erityisriskejään

Digitaaliset palvelut voivat häiriintyä tai joutua kyberhyökkäyksen kohteeksi riippumatta siitä, tuotetaanko ne omassa konesalissa vai pilvessä.

Pilvipalveluissa laaja käyttäjäkunta voi kasvattaa häiriöiden vaikutusalaa, ja datan sijainti sekä hallintayhteyksien rakenne tuovat omia erityiskysymyksiään. Jos palvelu tuotetaan EU:n tai Suomen ulkopuolella, siihen voi kohdistua vierasta lainsäädäntöä.

Myös sopimukset ovat tärkeässä roolissa: mitä palvelua hankitaan, millaisesta palvelutasosta sovitaan, missä tieto sijaitsee ja mitä sääntelyä sovelletaan?

Oma konesali on perusteltu korkean riskin palveluissa

Kaikki palvelut eivät sovellu pilveen. Omaa konesalia tarvitaan yhä silloin, kun palvelun riskiprofiili on erityisen korkea ja käsiteltävä tieto vaatii vahvinta mahdollista suojausta.

”Viranomaistoiminnassa oma konesali on perusteltu valinta erityisesti silloin, kun palvelussa on suuria määriä korkean turvaluokituksen tietoa”, Eronen sanoo.

Suomen rajojen ulkopuolella tuotetut palvelut eivät kaikilta osin kuulu pelkästään Suomen lainsäädännön piiriin. EU:n kyberturvallisuussääntely luo vähimmäistason, mutta ei huomioi kaikkia asiakkaiden erityistarpeita, joten kokonaisuus täytyy arvioida huolellisesti.

Varautuminen ja osaaminen ratkaisevat

Viimeaikainen kehitys on vienyt monia palveluja pilveen, ja Suomessa viranomaiset ovat ottaneet ratkaisuja käyttöön harkitusti. Pilvipalvelujen hyötyjä ovat joustavuus, tietoturvan hyvä perustaso ja kustannussäästöt. Niin oman konesalin kuin pilvipalvelujenkin käyttö edellyttää osaamista käytetyistä tekniikoista ja riittävää resursointia.

Riskiarviossa painavat luottamuksen lisäksi palvelun käyttötapauksen erityispiirteet. Siksi pilvipalveluiden käyttöönottoon on syytä varautua ja toimintaa harjoitella etukäteen. Myös poikkeustilanteet ja toimintaympäristön muutokset tulee huomioida.

”Pilvipalvelun häiriöitilanteissa siitä riippumaton pääsy tietoon voi pelastaa tilanteen. Kansainvälisten yhteyksien häiriöiden aikana Suomessa sijaitseva varajärjestelmä on kullanarvoinen. Vaikka oma konesali on monesti oikea ratkaisu, moneen käyttötarkoitukseen pilvipalvelu tai hybridiratkaisu sopii hyvin”, Eronen toteaa.

Pilvipalvelu kehittyy nopeasti ja vaatii jatkuvaa seurantaa

Pilvipalveluiden tarjonta ja tietoturva kehittyvät jatkuvasti. Usein kustannusten, riskien ja saavutetun tietoturvan tason välille löytyy toimiva kokonaisuus.

”Nopeasti ja isoilla resursseilla kehittyvissä palveluissa on tärkeää seurata muutoksia ja varmistaa, että omiin palveluihin tehdyt asetukset ja valinnat vastaavat aina todellisia tarpeita. Tietoturvan tason jatkuvan seurannan ja poikkeamien havainnoinnin merkitykset korostuvat”, Eronen summaa.