Teknologian kehittymisen haasteet turvallisuudelle

Teknologian kehittymisen haasteet turvallisuudelle

04.05.2025
00:29
business

Elina Partanen

Elina is a partner and owner of Mint Security and specializes in risk management.

Teknologian kehittyminen on johtanut siihen, että lähes jokaisella organisaatiolla on käytössään pilvipalveluita. Yksinkertaisimmillaan on hankittu sovellus, jota ei asenneta paikallisesti, vaan sitä käytetään internetin yli pilvestä. Millaisia haasteita tällaisten SaaS- eli Software as a Service -palveluiden käyttämisestä tulee organisaatiolle, ja miten hankittujen palveluiden tietoturvavaikutuksia voidaan arvioida?

Sopimuksiin panostaminen kannattaa

Kun sovellusta ostetaan palveluna, tulisi sopimuksiin kiinnittää huomiota jopa enemmän kuin paikallisesti asennettavissa palveluissa. Sopimuksissa olisi huolehdittava muun muassa versiopäivityksistä, palvelutasosopimuksista ja tietosuojasta tarkalla tasolla sekä varmistua, että kumpikin sopimusosapuoli ymmärtää sovitut käytännöt samalla tavalla. Palveluntarjoajan kokonaisvastuuseen tulisi sisällyttää myös virheenkorjaukset ja niiden käytännöistä sopiminen. Lisäksi palveluntarjoajan luotettavuus ja maine kannattaisi tarkistaa huolella.

Haavoittuvuudet eivät häviä pilveen

Haasteita ostajaorganisaatiolle aiheuttaa se, ettei pilvipalveluita hankittaessa välttämättä mielletä, että kaikki haavoittuvuudet ovat edelleen mahdollisia, vaikka palvelua tarjoaa joku muu. Riskiarviossa ei pitäisi unohtaa, että pilviympäristössä on yhtä lailla mahdollisuus esimerkiksi laitetason haavoittuvuuksille, datamanipulaatiolle ja palvelunestohyökkäyksille. Sopimus ei välttämättä pelasta mainetta tai datan menetystä, vaikka rahallisesta korvauksesta olisi sovittu.

Ostamisen osaaminen korostuu pilvipalveluiden hankinnassa

Organisaatioiden johtamiselle teknologian kehitys on tuonut haasteen ostamisen osaamisen ajan tasalla pitämisestä. SaaS-palveluista puhuttaessa kaikki käytetty teknologia taustalla ei ole myyntiesitteissä nähtävillä. Siksi olisi tärkeää, että myös näiden palveluiden hankinta olisi ohjeistettu ja otettu huomioon organisaation kyberturvallisuuden johtamisessa. Kyberturvallisuuden asiantuntijalle saattaa muodostua merkittävä rooli uusien teknologioiden ymmärtämisessä, kun varsinainen IT on ulkoistettu eikä omaa infrastruktuuria tai sovelluskehitystä ole.

Standardit tuovat luottamusta ja turvallisuutta

Ostamispäätöstä ja riskiarviota helpottaisi, jos ostettava SaaS-palvelu olisi sertifioitu esimerkiksi ISO/IEC 27001 -standardin mukaan tai noudattaisi standardin periaatteita. Standardia noudattava palveluntarjoaja huolehtii tietoturvasta todennäköisesti kokonaisvaltaisesti, ja sillä on kyvykkyys reagoida poikkeamiin. Standardin kontrolleissa on erikseen huomioitu pilvipalveluiden erityispiirteet. Standardi edellyttää myös eurooppalaisen tietosuoja-asetuksen (GDPR) noudattamista henkilötietojen osalta, jolloin palvelun ostaja voi suhtautua luottavaisemmin oman datansa säilyttämiseen SaaS-palvelussa. Ostajaorganisaation tulisi tuntea ainakin ylätasolla, mitä tämänkaltaisten standardien noudattaminen tarkoittaa kyberturvallisuuden osalta.

Alustan luotettavuus ei yksin riitä

Nykyisin suurimmat pilvi-infrastruktuurin palveluntarjoajat AWS (Amazon Web Services) ja Azure (Microsoft Azure) koetaan hyvin luotettaviksi alustoiksi. Tähän teknologiavalintaan SaaS-palvelun taustalla ei pidä kuitenkaan luottaa liikaa, sillä tietoturva-asetukset pitää sielläkin tehdä ohjekirjan mukaan, jotta turvataso on riittävällä tasolla. Haasteeksi muodostuu ostajan ymmärrys siitä, mitä AWS:n tai Azuren päälle rakennetun SaaS-palvelun tarjoajalta pitää osata kysyä selvittääkseen, miten sovellus on rakennettu ja hallittu. Alustat itsessään eivät takaa, että SaaS-palvelu on tietoturvallinen.

Ostajan vastuu liiketoiminnan jatkuvuudesta säilyy

Monessa suhteessa SaaS-palvelun käyttäminen voi olla helppoa, mutta ostajan on ymmärrettävä, millaiseen tekniseen ja sovellusympäristöön tietonsa on viemässä. Ostajaorganisaation kyvykkyys hoitaa selvityksillä ja sopimuksilla käytettävän SaaS-palvelun turvallisuus vaatii, että ostaja ymmärtää pilvipalvelun käytön riskit, teknologiat sekä sen, mitä tietoa palveluun voi turvallisesti tallentaa.

Liiketoiminnan jatkuvuuden näkökulmaa ei saisi ulkoistaa SaaS-palvelun myötä, vaan on tärkeää varmistua liiketoiminnan jatkuvuuden hallinnasta sovelluksen sijainnista huolimatta. Palveluntarjoajalle jäävät tietoturvan, jatkuvuuden ja tietojen suojaamisen tekniset haasteet sekä sopimukseen kirjattujen vaatimusten noudattaminen, mutta kokonaisvastuu liiketoiminnan jatkuvuudesta on aina organisaatiolla itsellään.