IT-myytit koetuksella: Pilvi ei ole tietoturvallinen? - Tahto Group

IT-myytit koetuksella: Pilvi ei ole tietoturvallinen?

24.3.2020 Jere Virta

Datan määrä lisääntyy jatkuvasti, ja todella nopealla tahdilla. Kun datan määrä kasvaa, myös tarve tallennustilalle kasvaa. Ulkoisten tallennuskapasiteettien hinnat ovat tulleet alas viime vuosien aikana, mutta modernia työympäristöä rakennettaessa tulee miettiä kestävät ratkaisut.

Helppous ja käytännöllisyys – ne ovat valttia modernissa työelämässä – ja tuskin vähiten niiden etujen vuoksi pilvipalveluiden käyttö lisääntyy koko ajan. Käyttäjä pääsee tietoon ja resursseihin käsiksi laitteesta tai sijainnista riippumatta. Tiedon jakaminen on helpompaa, ryhmätyöskentely vaivatonta. Mutta antaako pilvipalveluiden käyttö avaimet myös hakkereille ja muille kyberrikollisille? Voivatko pilvessä sijaitsevat tiedostot vain kadota jonain kohtalokkaana päivänä?

Mitä pilvellä tarkoitetaan?

Kun tiedostot ovat “pilvessä”, ne ovat käytännössä tallennettuna kovalevylle. Tuo kovalevy on usein jonkin ison yrityksen (Microsoft, Google, Dropbox jne.) palvelimella oman henkilökohtaisen kovalevysi sijasta. Palvelimet sijaitsevat ympäri maailmaa ja ne jakavat tietoa toistensa välillä. Esimerkiksi pilveen tallentamallasi Word-tiedostolla ei ole yhtä ja samaa paikkaa jollain tietyllä kovalevyllä, vaan se voi liikkua eri palvelinten välillä.

Tätä kutsutaan työtaakan jakamiseksi eri koneiden välillä ja se mahdollistaa sen, että jos jossain noista ympäri maailmaa sijaitsevista palvelimista on ylikuormitusta tai laiterikko, tiedostot saadaan käyttöön toisaalla välittömästi. Tämän ominaisuuden ansiosta käyttäjän tiedot eivät vaarannu, vaikka jossain tietyssä pilvipalvelinsalissa sattuisi esimerkiksi tulva tai tulipalo.

Pilvipalvelut ja tietoturva

Pilvipalveluihin liittyy yhä edelleenkin useita huolia sekä yksityisten henkilöiden että organisaatioiden taholta.  On täysin ymmärrettävää, että pilvestä ollaan huolissaan. Pilvi on nykyään kaikkialla, joka tarkoittaa sitä, että tietoturvariskejä on kaikkialla. Jääkaapit voivat lähettää sähköpostispämmiä, itkuhälyttimiä voidaan kaapata ja uusimpien autojen teknologisia innovaatioita voidaan käyttää hyväksi, monien muiden uhkien lisäksi.

Toinen epävarmuutta aiheuttava seikka lienee  se, että käyttäjä luovuttaa datansa säilytettäväksi pois oman koneen näennäisestä turvasta. Tiedostot lepäävät jossain muualla, palvelimella, jota käyttäjä itse ei pysty itse hallinnoimaan. Pilvipalveluiden käyttö vaatii siis luottamusta sekä teknologiaa, että teknologian toimittajaa kohtaan.

Ihmisten huolia ei ole varmasti myöskään lieventänyt uutisoinnit pilvipalveluihin liittyvistä tietomurroista. Esimerkiksi vuonna 2014 uutisoitiin laajasti Applen iCloudiin kohdistuneesta tietomurrosta, jossa useiden julkisuuden henkilöiden arkaluontoisia kuvia vuodettiin koko maailman pällisteltäväksi nettiin. Tässä tapauksessa on kuitenkin tärkeä huomioida, että tietomurto ei kohdistunut itse pilven infraan, vaan murto toteutettiin hakkeroimalla käyttäjien henkilökohtaiset käyttäjätilit.

Ja niin tosiaan, tuo aiemmin mainittu “kohtalokas päivä” on myös todellisuutta; vuonna 2014 Dropbox ilmoitti osalle käyttäjistään, että tietojen synkronoinnin yhteydessä käynyt virhe oli aiheuttanut osan käyttäjän tiedoista katoamisen ilman mahdollisuutta palauttaa niitä mitenkään.

Pilvi suojaa monelta uhalta

Kolikon toinen puoli on kuitenkin äskeisiä kappaleita kiiltävämpi. Pilvi tarjoaa suojaa esimerkiksi erilaisissa katastrofitilanteissa. Organisaatio voi joutua äärimmäiseen tilanteeseen, jos sen paikallisesti säilytetyt tiedostot tuhoutuvat esimerkiksi tulipalossa. Esimerkiksi Microsoftin pilveen tallennetut tiedostot ovat suojassa luonnonkatastrofeilta tai laiterikoilta.

Edellä mainitusta Dropbox-esimerkistä huolimatta organisaatiot voivat olla varmoja, että heidän pilveen lataamansa data on turvassa. Yksi pilvitallennuksen parhaista puolista on se, että palvelimilla oleva data on jaettu useiden palvelimien kesken, jolloin esimerkiksi laiterikot eivät vaikuta dataan. Pilvipalvelimet myös varmuuskopioivat sisältämänsä tiedostot automaattisesti, joka lisää tietojen turvallisuutta ja vähentää manuaalisia huolto- ja ylläpitotoimenpiteitä.

Pilvipalvelimien hakkerointi on käytännössä mahdotonta. Mikään järjestelmä ei ole 100% turvallinen, mutta järkevillä tietoturvakäytännöillä (vahvat salasanat, kaksivaiheinen tunnistautuminen) ja henkilökunnan kouluttamisella pilvipalveluiden turvallisuus saadaan hilattua lähelle tuota 100% lukua. Esimerkiksi Microsoft on sitoutunut tuottamaan äärimmäisen turvattuja pilvipalveluita ja tuottaa jatkuvasti uutta ja päivitettyä tietoa pilven tietoturvaan liittyen.

Tuomio

Rahasi ovat todennäköisesti paremmassa turvassa muiden ihmisten rahojen seassa pankissa, kuin ne olisivat kotonasi kirjoituspöydän laatikossa tai vanhassa kahvipurkissa. Sama pätee myös tiedostoihisi; ne ovat todennäköisesti paremmassa turvassa jossain pilvipalvelussa muiden tiedostojen seassa, kuin omalla koneellasi. Sinun konettasi suojelet sinä itse, pilvessä olevia tiedostoja suojellaan huomattavasti isomman armeijan voimin.

Kun pilven tietoturvan yhdistää sen muihin hyötyihin, emme näe yhtään syytä, miksi tiedostoja kannattaisi enää jatkossa ylläpitää paikallisesti omalla tietokoneella. Tiedostojen yhteiskäyttö, helppo jakaminen, tallennustilan skaalautuvuus, tiedostojen saatavuus laitteella kun laitteella ja ylipäätään yleinen käytännöllisyys ja mukavuus ovat asioita, joihin kannattaa investoida.

Myytti murrettu.

Jere Virta

Jere on Tahdon pilviosaamisen sydän ja selkäranka. Jere tuo asiantuntemuksensa asiakkaiden käyttöön auliisti monenlaisissa pilviprojekteissa niin kädet savessa työskennellen kuin konsultoidenkin.