Skip to Main Content

Oma konesali vai pilvi

Tietoturvallisuus on päivän puheenaihe
Heikki Ojala päivitys 8.12.2020
Tietoturvallisuuden dilemma
Turvallisuus
Kuva: Luottamuksen menetys tietoturvallisuusasiassa olisi katastrofi suurelle IT-talolle. Syy, miksi ne resursoivat valtavasti *tieto- ja kyberturvallisuuteen.
____________________________
Elämme ristiriitaisia aikoja -- myös digitalisoidussa maailmassa . Tietomurrot lisääntyvät, kehittyvät ja tulevat katalimmiksi vuosi vuodelta (Vastaamon hakkerointi). Sensitiivisten, henkilökohtaisten tietojen suojaustarve kasvaa.
Tietoturvallisuuteen liittyvän teknologian muuttuessa yhä monikerrostuneemmaksi, sen hintalappu rumenee. Samalla *tieto- ja kyberturvallisuuden hallinta vaatii jatkuvaa opiskelua sen ylläpitäjiltä. Turvallisuustason säilyttäminen edellyttää ohjelmistojen ja osin myös laitteiden tihenevää päivittämistä. Harvalla yrityksellä on resursseja pitää suojaukset ajantasaisina.
Yhtenä ratkaisuna tietoturvallisuuden hoitamiseen voi olla *palomuureilla eristetyt lähiverkot. Ne ovat olleet kestävä tapa suojautua vihamielisiltä hakkereilta (krakkereilta). Pilviteknologian tietoturvallisuuden ripeä parantuminen on tehnyt niistä varteenotettavan vaihtoehdon myös omalle konesalille.
Avaamme alla joitain tietoturvallisuuteen liittyviä kysymyksiä, muun muassa pilven ja oman konesalin käytön etuja ja haittoja. Kerromme myös, miten suojautua tietomurroilta. Koska tunnemme Oraclen pilviarkkitehtuurin parhaiten, käytämme sitä vertailussa.
Oma konesali
Oma konesali
Kuva: Omassa lähiverkossa kaikki piuhat ovat omissa käsissä.
____________________________
Edut
  1. Oman konesalin ratkaisut ovat täysin organisaation käsissä. Se antaa mahdollisuuden vastata nopeasti esimerkiksi organisaation tietoturvallisuudelle asetettuihin vaateisiin.
  2. Sensitiivistä dataa käsitteleveien yksikköjen toimintaa ohjaavat valtiovallan ja EU:n tietoturvasäännökset. Niissä on tiukat ehdot pilvipalvelimien laadusta ja turvallisuusratkaisuista. Oma konesali saattaa olla joustavin ratkaisu muuttuvien turvasäännösten viidakossa.
  3. Jos yrityksessä on paikalliset tiedonhallintaratkaisut tunteva ja riittävä IT-henkilökunta, jonka tietoturva-tietotaitoa pidetään yllä koulutuksella, ei yrityksellä ole kiirettä ryhtyä siirto-operaatioihin pilveen.
Haittapuolet
  • IT-teknologian kehityksen ollessa lähes eksponentiaalisessa vaiheessa henkilöstön kouluttaminen voi muodostua ajan kuluessa taloudellisesti raskaaksi.
  • Myös laitteiston ja ohjelmistojen päivittäminen turvallisempiin versioihin vaatii mittavaa resurssointia.
  • Konesalin sijaitessa omassa organisaatiossa vierailijoden toimet saattavat aiheuttaa erilaisia turvallisuusriskejä. Esimerkki todellisesta elämästä: Pahantahtoinen vierailija jättää pöydille "uusia" USB-tikkuja, jotka sisältävät haittaohjelman.
  • Jatkona edelliseen: Krakkerivieraat voivat poimia vinkkejä salasanoista. -- Sekä pilveen että omaan konesaliin liittyviä turvariskejä ja niiden tavallisimpia torjuntakeinoja käsittelemme artikkelin lopussa olevassa luvussa "Miten suojautua tietomurroilta".

Pilvi

Pilvipalvelin
Turvallisuus
Kuva: Tietoturvallisuuden laadukkuudesta kertoo paljon se, että suuret terveydenhoitolaitokset ympäri maapalloa (mm.Iso-Britanniassa) luottavat Oraclen pilviteknologiaan.
____________________________
Edut
  1. Suuret IT-yhtiöt ovat panostaneet jättisummia pilven tietoturvallisuuteen. Niissä asiantuntevaa henkilökuntaa on riittävästi ja se on keskittynyt hoitamaan dataa ja sen turvallisuutta. Suurten IT-talojen pilviratkaisut ovat teknisesti ainakin yhtä turvallisia kuin oma lähiverkko.
  2. Erityisesti Oraclen pilvipalvelun luotettavuus ilmenee siinä, että useat, että useat erittäin sensitiivistä tietoa käsittelevät terveydenhoitolaitokset maailmalla ovat valinneet Oraclen pilvipalvelun. Tässä vielä video (engl.) Ison-Britannian terveydenhuoltolaitoksesta (NHS)
  3. Pilvipalvelussa datan varmuuskopiointi tapahtuu kerran vuorokaudessa. Data hajautetaan usealle palvelimelle, mikä lisää turvallisuutta. Varmuuskopioiden uudelleenlataus tapahtuu pilvessä nopeasti.
  4. Hetkessä tapahtuva laajennattavuus on pilvipalvelun ehkä merkittävin etu. Kasvuyritykselle se on lähes 'must'. Se on myös turvallisuusnäkökohta. Poikkeustilanteissa yritys voi väliaikaisesti lisätä pilviresursseja.
  5. Tila ei lopu pilvipalvelimesta, joten dataa voi säilyttää pitkä-aikaisesti.
  6. Erityisesti Oraclen pilvipalvelussa ohjelmistopäivitykset tapahtuvat tekoälyn hoitamina. Asiakkaalla on aina käytössä ohjelmistojen viimeisimmät versiot, joissa kyberturvallisuus on yleensä aiempaa parempi.
 
Pilvitietokanta
Kuva: Pilvessä tieto varastoidaan usealle yhteistoiminnalliselle pilvipalvelimelle, mikä lisää merkittavästi turvallisuutta. Toisaalta datan täsmällinen paikka hämärtyy.
____________________________
Haittapuolet
  1. Suurin haitta pilvipalvelussa on epätietoisuus datan paikasta ja tietoturvallisuudesta. Suosittelemme varmistamaan valitun pilvipalvelun luotettavuuden Kyberturvallisuuskeskuksesta.
  2. Pilvipalvelun kattavuus vaihtelee. Se voi käsittää pelkän sovelluksen tai siihen voi kuulua esimerkiksi tietokanta varuohjelmistoineen. Riippuen kattavuudesta asiakkaan mahdollisuudet hallita palvelua ovat rajalliset.
  3. Pilvipalveluun pätevät samat turvallisuusuhkat kuin, mitkä ovat olemassa omassa konesalissakin. Niitä ovat esimerkiksi huonot salasanat, tietojen kalastelu hämärien kotisivujen avulla jne.

Suojautuminen

Miten suojautua tietomurroilta
Tietomurto
Kuva: Vastuuhenkilön painajainen: Näyttää, että jotain on tapahtunut tärkeille tiedoille.
____________________________
Turhan optimistinen ja huoleton asenne tietoturvallisuusuhkiin saattaa törmätä karuun havahtumiseen kalliiksi tulevaan tietojärjestelmämurtoon.
Tavallisia uhkia
Ihminen on valtaosassa tietoturvaloukkauksia keskeinen tekijä. Suuressakin organisaatiossa vain yksi kokematon käyttäjä (heikoin lenkki) saattaa päästää rosvon verkkoon. Tavallisia virheitä ovat:
  • Helposti arvattavat salasanat, kuten lemmikkikoiran nimi, kirosana jne.
  • Sähköpostien ns. tietokalasteluansat, joiden houkuttelemana käyttäjä paljastaa tietoja hämärillä sivuilla
  • Salasanaluettelon pistäminen lukitsemattomaan kirjoituspöytälaatikkoon
  • Salasanan jakaminen sähköpostiyhteyksissä
Palvelunestohyökkäyksillä voidaan lamauttaa verkkosivusto kohdistamalla siihen suuri määrä liikennettä esimerkiksi bottiverkolla. Bottiverkko eli botnet koostuu joukosta internetissä olevia tietokoneohjelmia (botteja).
Suoraan edelliseen liittyvät kiristysohjelmistot, joissa vaikkapa salakirjoitetaan yrityksen tietovarastot ja sitten pyydetään maksua niiden avaamiseen.
 
Tietoturvakoulutus
Kuva: Monissa yhteyksissä on todettu, että koulutus ja valistus ovat ensimmäisenä huomioonotettavia asioita tietoturvallisuudessa. Materiaalia koulutukseen löytyy runsaasti.
Viestintäviraston Kyberturvallisuuskeskus on julkaissut asiapitoisen artikkelin pilvipalvelujen tietoturvasta .
____________________________
Suojautuminen yleisiltä uhilta
Organisaatiossa olisi hyvä olla kyberasioiden vastuuhenkilö, joka:
  1. Kouluttaa, neuvoo, ohjeistaa ja valistaa tietoturva-asioissa.
  2. Osallistuu tietoturvaan liittyvien ohjelmistojen, laitteiden jne. hankintaan
Hyökkäyksen voi havaita, ei estää, hankkimalla *palomuuriin hyökkäyksen havaitsemisohjelmiston IDS:n (Intrusion Detection System).
Hyökkäyksen voi torjua hyökkäyksen esto-ohjelmistolla IPS (Intrusion Prevention System). Molemmat ohjelmistot ovat omaan palvelimeen hankittuina hinnakkaita. Pilvessä summa on pienempi tai jopa ilmainen.
Omalla palvelimella (luotettavassa pilvessä yleensä kunnossa) kannattaa tarkistaa ja päivittää säännöllisesti:
  1. Virusohjelmistot
  2. Tietokantaohjelmistot, uudet sovellukset, palomuurit, varusohjelmistot jne.
  3. Laitteistot, niiden ajurit jne.
Ainakin kriittisistä tiedoista on suositeltavaa tehdä säännölliset varmuuskopiot eristettyyn tietovarastoon. Pilvessä varmuuskopiointi on rutiinia, esimerkiksi Oraclen pilvessä kaikki tiedot varmistetaan joka päivä useille palvelimille.
Erityisesti etätyöskentelyssä kotona on hyvä muistaa:
  1. Ottaa varmuuskopiot tärkeistä tiedostoista mielellään jollekin pilvipalvelimelle.
  2. Suojata kotiverkko vahvoilla salasanoilla.
  3. Päivittää palomuuri ja reititin uusimmilla versioilla.
  4. Mikäli mahdollista, käyttää luotettavalla salausprotokollalla varustettua etäyhteyttä. Viimeisin salausprotokollaversio on TLS 1.3. Lue lisätietoa salausprotokollista ja TLS-sertifikaateista.
Kaksivaiheinen tunnistautuminen pilveen lisää merkittävästi tietoturvallisuutta. Se voidaan toteuttaa monin tavoin. Arkipäivän esimerkki on pankkitunnusten käyttö, jossa ohjelma kysyy salasanan lisäksi listalta otettavaa numerosarjaa. Esimerkiksi Oraclen pilvitunnistautumisessa ohjelma hakee käyttäjän koneelta salaisen avaimen ja kysyy lisäksi käyttäjän salasanaa.
******************************

Pohja

Yhtiö Yhteydet  Johto  Teknologia
Oy Dianti Ab P. 050 410 7410 Tiina Jokinen Heikki Ojala & Pentti Nieminen
Apilatie 8 A 20 info[ ]dianti.fi P. 041 507 3570 P. 050 410 7410
21530 Paimio tiina.jokinen[ ]dianti.fi heikki.ojala[ ]dianti.fi