Julkipilven tietoturva, muodikas aihe, josta alettiin puhumaan julkisten pilvipalveluiden, eli hyperskaalassa toimivien pilvipalveluiden (Microsoft Azure, Google Cloud Platform, Amazon Web Services jne.) yleistymisen yhteydessä.
Kokemukset ja näkemykset olivat hyvin samankaltaisia, kuin perinteisessä kyberturvallisuuskeskustelussa. Sitten tuli pandemia, Venäjän hyökkäys Ukrainaan, globaali markkinatalous heitti kuperkeikkaa ja loputkin pohjoismaat päätyivät hakemaan NATO:sta turvaa.
Näistäkin aiheista kirjoitetaan päivittäin, mutta suunnataan katse vieläkin pidemmälle.
Monelle organisaatiolle hybridi-, informaatio- ja kybersodankäynti tulee yllätyksenä. Hyvätkin tietoturvallisuusstrategiat, valmiusharjoitukset ja kyberturvallisuusratkaisut muuttuvat hyödyttömiksi, kun infrastruktuurin peruspilarit eivät ole tavalliseen tapaan käytettävissä. Olemme tottuneet, että yritysarkkitehtuurin suurimmat riskit tulevat yksittäisistä – usein satunnaisista kyberhyökkäyksistä, haittaohjelmista ja IT-infrastruktuurin ongelmista.
Ongelmilta suojaavat strategiat, politiikat ja usein teknologia. Laajamittaisessa kybersodankäynnissä isketään sinne missä se sattuu eli kansalliseen infrastruktuuriin.
Kun tietojärjestelmiin on iskenyt räätälöity kiristyshaittaohjelma, tietoliikenneyhteydet (mukaan lukien puhelin) ovat alhaalla, eivätkä asiantuntijat pääse töihin, koska maksuvälineillä ei voi ostaa polttoainetta tai bussilippua, ei auta vaatia toimenpiteitä tai syyttää palvelukumppaneita ongelmistaan. Juuri tämä laajamittaisuus on kyberturvallisuuden ja kybersodankäynnin ero.
Nyt ollaan havahtumassa siihen, että jotain on pikaisesti tehtävä, koska nyt on Suomelle riskialtis aika. Kukaan ei oikein tiedä miten Venäjä tai sen tavoitteita tukevat tahot – kuten kyberrikolliset reagoivat.
Vielä vähän aikaa sitten julkipilven tietoturvallisuutta epäiltiin ja vastuujaot olivat epäselviä. Vasta nyt ollaan ymmärtämässä, että tilanne on aivan toinen.
Hyperskaalaa tarjoavat palveluntarjoajat käyttävät massiivisia rahasummia ja työmääriä kyberturvallisuuden kehittämiseen joka vuosi.
Koska näitä palveluita tarjotaan täysin globaalisti, he myös kohtaavat hyvin erilaisia ja massiivisia kyberhyökkäyksiä, mitä pienemmät organisaatiot tai jopa valtiot kohtaavat vain kybersodankäynnissä.
Skenaariotyöskentelyn ja erilaisten riskianalyysien tuloksena onkin todettu, että julkiset pilvipalvelut ovat turvallisin paikka säilyttää organisaation tietoja ja pyörittää liiketoimintaa – fyysisesti kaukana sieltä, missä varsinainen konflikti tapahtuu.
Aluksi siis oletettiin, että data on turvassa fyysisten rajojen sisällä – kuten ihmisetkin. Vihdoin on ymmärretty, että datan kanssa tilanne on eri, se on parhaiten turvassa hajautettuna ympäri virtuaalista maailmaa.
Jos data ja liiketoiminta on turvassa julkipilvessä, niin ovatko kyberturvallisuusongelmat ohi?
Valitettavasti eivät. Kyberturvallisuusriskit ovat kuin energia, se ei koskaan häviä, se muuttaa vain ilmenemismuotoaan. Viimeisimmän kymmenen vuoden ajan onkin suurimpana haasteena julkisissa pilvipalveluissa ollut tietoturva (Flexera, State of the Cloud) ja edelleen 2022 se on ykkössijalla 85% osuudella. Alun perin suurimmat haasteet olivat oman organisaation ja IT-palvelukumppanin osaaminen julkipilven tietoturvan osalta.
Ensimmäinen tietoturvahaaste on siis riittävä osaaminen.
Julkipilvipalveluntarjoajilla on ns. jaetun vastuun tietoturvallisuusmalli, jossa käytännössä palveluntarjoaja vastaa tarjoamansa julkipilven fyysisestä- ja tietoturvallisuudesta ja palvelun käyttäjä puolestaan vastaa oman datansa (yhteydet, identiteetit, konfiguraatiot, varsinainen liiketoimintadata) turvallisuudesta.
Vaikka malli on selkeä, se aiheuttaa kuitenkin ongelman. Kyberturvallisuus vastuukysymyksenä on aina ollut haastava. Juuri kukaan ei halua olla siitä loppukädessä vastuussa ja vastuuta yritetäänkin vierittää yksin palveluntarjoajan, tietoturvakumppanin tai vaikka oman tietoturvapäällikön vastuulle.
Toinen tietoturvahaaste on siis vastuu
Mikäli julkipilveä hyödynnetään oikeaoppisesti – pilvinatiivisti, se ei myöskään oikein sovi perinteisiin toimintamalleihin. Yritysarkkitehtuurimallit kuten TOGAF-sisältävät laajennuksia julkipilven prosesseihin (Open Group Cloud Computing Work Group), mutta ovat kuitenkin usein kankeita, eivätkä pysty täysin hyödyntämään jatkuvasti muuttuvan, optimoituvan ja ketterän julkipilven prosesseja.
Kyberturvallisuuden johtamisen ja prosessien osalta käytännössä julkipilvipalveluntarjoaja huolehtii oman fyysisen infrastruktuurinsa turvallisuudesta. IT-palvelukumppani tekee mitä yhdessä asiakkaan kanssa on sovittu. Asiakas olettaa, että kumppanit hoitavat tietoturvakysymykset ja kyberturvallisuuden.
Tähän kolmiodraamaan jää usein strategisen tason koordinoinnin ja vastuukysymysten hallinnan puute. Tahtotilat ja vaatimukset välitetään operatiiviselle tasolle, joka puolestaan muuttaa ne hyvin suoraviivaisiksi teknisiksi ratkaisuiksi. Varsinainen kyberturvallisuuden johtaminen jää yksin tietoturvapäällikön tai vastaavan henkilön vastuulle, eikä todellinen kolmikantayhteistyö synny riittävän johdon tuen puutteen takia.
Kolmas tietoturvahaaste on siis johtaminen ja prosessit
”Purpose-built” eli tiettyyn käyttötarkoitukseen suunniteltu ja rakennettu on yksi suosikkitermeistäni. IT-maalimassa se tarkoittaa sitä, että jonkin asian käyttötarkoitus on rajattu. Julkipilvi ei ole tällainen ratkaisu. Julkipilvi mahdollistaa lähes rajattomia asioita, se on oikeastaan edellä mainitun vastakohta.
Uskon, että julkipilvi pystyy olemaan kyberturvallisuudeltaan varmempi, kuin mikä tahansa muu yleiseen käyttötarkoitukseen rakennettu IT-ekosysteemi.
Jos listaamani kolme julkipilven tietoturvahaastetta ovat olleet olemassa alusta alkaen, miksi vakavia tietoturvavuotoja tai kyberturvallisuusheikkouksia ei ole ollut? Käytännössä tapaukset ovat olleet satunnaisia vikatilanteita tai pieniä yksittäisen asiakasympäristön tietovuotoja. Julkipilven (hyperskaalaajan) infrastruktuurit ovat pysyneet lähes murtamattomina, eikä IT-palveluntarjoajien rakentamista palveluistakaan ole löytynyt vakavia heikkouksia.
Kun Windows-käyttöjärjestelmä siirtyi kotitietokoneista palvelimiin, suurin osa hakkeroinnista ja myöhemmin kyberrikollisuudesta otti Windows-käyttöjärjestelmät kohteekseen. Varsinkin vanhemmat Unix-järjestelmät ja niiden sovellukset saivat olla kohtuullisen rauhassa hyökkäyksiltä. Kohdevektori ei ollut kiinnostava sen vaatiman erityisosaamisen takia, Windows oli helpompi ja kiinnostavampi.
Jossain vaiheessa Linux syrjäytti Windows-palvelimet raskaassa yrityskäytössä ja nykyään suurin osa yritysten ydinliiketoimintajärjestelmistä ja resurssienhallinnasta (ERP) pyöriikin Linux-palvelinten päällä. Usein myös virtualisointialustoiden takana pyörivät Linux-pohjaiset järjestelmät. Samoin myös kyberrikollisuuden kiinnostus on muuttunut ja Linux on aivan yhtä kiinnostava – ellei jopa kiinnostavampi kuin Windows-palvelinympäristöt. Osaamista vaaditaan entistä enemmän, mutta samoin myös suojauspuolella.
Uskon, että sama syy on pitänyt julkipilven turvassa toistaiseksi.
Neljäs ja merkittävin tietoturvahaaste on siis muuttuva riskivektori
Muuttunut geopoliittinen tilanne korostaa nykyistä suurempia turvallisuusvaatimuksia. Kansallinen ja kansainvälinen taloustilanne vaatii yrityksiltä liiketoiminnan skaalautuvuutta, nopeaa reagointikykyä ja huippuketterää kustannustehokkuutta. Julkipilvestä on tullut se paikka, missä nämä kaikki saavutetaan kerralla. Alkuperäiset tietoturvahaasteet ovat kuitenkin ennallaan. Kyberrikolliset ja jopa kybersodankäynti tulevat löytämään itselleen uuden, houkuttelevan ja tehokkaan kohteen – julkiset pilvipalvelut. Tulemme vielä kuluvan vuoden aikana näkemään, miten julkipilvi nousee mielenkiintoisimmaksi kyberhyökkäysten kohteeksi.
Itse uskon vakaasti julkipilven ylivoimaisuuteen IT-ekosysteeminä. Hyperskaalaajat tekevät huipputyötä infrastruktuurin turvaamiseksi ja julkaisevat uusia tietoturvakyvykkyyksiä lähes viikoittain – valinnaisissa tietoturvakomponenteissa on jopa ylitarjontaa. IT-palveluntarjoajilla on julkipilven tietoturvaan erikoistuneita kyberturvallisuustiimejä ja -palveluita, tietoturvatalot rakentavat mitä hienostuneempia ja tehokkaampia tietoturvateknologioita julkipilvien datan turvaamiseksi.
Mainitsemieni haasteiden taklaamiseksi tarvitaan vielä yksi muutos. Julkipilven hyödyntäjien pitää ymmärtää, että kustannustehokkuus ei tarkoita samaa asiaa, kuin automaattisesti halpa. Kaikkeen uuteen pitää perehtyä ja investoida. Monelle syy mennä julkipilveen on rahan säästö. Ei sillä ole merkitystä säästääkö perinteisessä vai julkipilvessä, aina säästöä väärässä paikassa pääsee katumaan jälkikäteen
Pete Nieminen toimii Kempowerin tietohallintojohtajana. Hänellä on pitkä tausta tieto- ja kyberturvallisuuden kehittämisessä ja johtamisessa. Hän on tukenut eri julkisten organisaatioiden kriisivalmiuksien kehittämisessä ja harjoitellut kybersodankäynnin valmiusharjoituksissa. Verkottumista ja luottamustehtäviä Pete on hoitanut yritysten hallitusrooleissa ja lisäksi vaikuttanut Tietoturva, ICT Leaders Finland ja TIVIA hallituksissa.
Artikkeli on ensimmäistä kertaa julkaistu Sytyke -lehdessä.
Lisätietoja www.sytyke.org