Nykyään suuri osa päivittäisestä elämästämme verkossa nivoutuu jollain tavalla palveluihin, joita voidaan kutsua pilvipalveluiksi. Helppous voi tosin tuoda helposti valheellisen turvallisuuden tunteen. Palveluiden laaja käyttö tuo myös laajan hyökkäysalustan niitä toteuttaville tahoille. Yksittäinen käyttäjä voi menettää todella paljon, todella pienen virheen seurauksena. Jokaisen käyttäjän tulisikin tehdä ainakin seuraavaa: käyttää eri salasanoja eri palveluissa, sekä ottaa käyttöön monivaiheinen tunnistautuminen (MFA, 2FA jne). Kuten muussakin tietotekniikassa, niin myös pilvipalveluiden käytössä, on tietoturva sellainen asia mikä helposti unohtuu peruskäytössä tavalliselta käyttäjältä. Koska kyseessä on sen verran laaja kokonaisuus, yritetään rajata aihetta, käydään siis seuraavaksi läpi hiukan perusteita sekä käyttäjän näkökulmaa pilvipalveluiden tietoturvaan.
Yritetäänpä määrittää ensin mitä pilvipalvelut oikeasti ovat. Kyseessähän on käytännössä kasa palvelimia (tietokoneita), joita joku jossain hoitaa, yleensä isossa rakennuksessa. Isoon rakennukseen tulee sähköä, netti ja hyvässä tapauksessa myös jäähdytys. Näillä palvelimilla sitten pyörii erilaisia ohjelmia, joita käyttäjät voivat hyödyntää mistäpäin maailmaa tahansa. Kyseessä on siis hyvin suunniteltuja, erittäin vikasietoisia ja hyvin tietoturvallisia järjestelmiä, jotka on suunniteltu eri tarpeita varten.
• SaaS-palvelut (esim. ohjelmat & sähköposti)
• Julkinen pilvi (esim. AWS, Azure & GCP)
• Yksityinen pilvi (esim. VMWare & Hyper-V)
Tavalliselle käyttäjälle näistä tutuimpia ovat varmasti erilaiset SaaS-palvelut (Software as a Service), joita ovat esimerkiksi Dropbox, Gmail, Office 365 -sähköposti.
Mitä sitten tulisi tietää pilvipalveluiden tietoturvasta? Ainakin se, että pilven tietoturva on laaja ja kompleksinen asia. Niin kompleksinen asia, että aiheesta voisi kirjoittaa todella paksuja kirjoja.
• Palvelun tietoturva (eli pilvi-infran tietoturva)
• Verkon tietoturva (verkkoyhteyksien tietoturva)
• Ohjelmien tietoturva (miten pilvessä pyörivät ohjelmat suojataan)
Nämä kategoriat ovat niitä kategorioita, joita sovelletaan siinä tapauksessa, kun mietitään tietoturvaa kokonaisuutena. Peruskäyttäjälle nämä eivät kerro juurikaan mitään, mutta ovat silti mainitsemisen arvoisia asioita.
Käyttäjän näkökulmasta näistä näkyvin tietoturvan aspekti on ohjelmien tietoturva. Käyttäjä on toki myös se, joka loppupelissä vastaa omasta tietoturvastaan. Toki organisaatio voi kouluttaa käyttäjiä ja pakottaa heille erilaisia rajoituksia omilla tietoturvapolitiikoillaan ja ohjelmistollisesti. Tällaiset politiikat eivät kuitenkaan paljoa auta siinä vaiheessa, kun käyttäjä vastaa vahingossa phishing-viestiin ja luovuttaa siinä samalla salasanansa esimerkiksi Dropboxiin.
Kuten aiemmin kävi ilmi, niin peruskäyttäjän näkökulmasta tutuimpia pilvessä olevia palveluita ovat sähköposti ja erilaiset tiedostojen jakopalvelut. Nämä ovat myös niitä palveluita joihin kohdistuu ehdottomasti eniten hyökkäyksiä. Juurikin siitä syystä, että käyttäjä on yleensä tietotekniikassa se heikon lenkki.
Entä miten käyttäjä voi suojautua näiltä uhilta? Jos jätetään terve maalaisjärki laskematta, niin helpoin ja suosituin tapa suojata omat tiedot, on käyttää monivaiheista tunnistautumista. Mikä sitten on monivaiheinen tunnistautuminen? Lyhyesti selitettynä se on tekniikka, jossa käyttäjätunnuksen ja salasanan syöttämisen jälkeen vastaanotetaan vahvistusviesti vaikkapa tekstiviestinä. Tekniikan tarkoituksena on suojata salasanan paljastuminen ulkopuolisille jolloin kirjautuminen palveluun ei onnistu, koska varmistuskoodi tulee vain käyttäjälle.
Yritysmaailmassa käyttäjää ei onneksi juuri koskaan jätetä yksin pohtimaan ja päättämään omasta tietoturvastaan. Yleensä pilvipalveluissa on todella hyvät työkalut, millä voidaan suojata käyttäjiä. Näitä asetuksia on lukemattomia ja näistä on tehty paksuja manuaaleja ja tarjolla on kalliita koulutuksia, joissa asetuksiin syvennytään. Aiemmin mainittu monivaiheinen tunnistautuminen on silti ensimmäinen asia, joka tulee olla käytössä kaikkialla.
Tietenkin on tilanteita, jolloin yrityksellä ei ole keskitettyä tietohallintoa ja sitä kautta kunnon tietoturvapolitiikka. Voi myös olla, että MFA:ta ei ole otettu keskitetysti käyttöön, jolloin kaikki tai osa käyttäjistä on tämän palvelun ulkopuolella. Mitä tällaisessa tilanteessa kannattaa ensimmäiseksi tehdä tilanteen parantamiseksi?
Ensimmäinen keino tilanteen parantamiseksi on hankkia konsultointia asiaan liittyen asiantuntijayritykseltä. Toinen hyvä vaihtoehto on hankkia erillinen verkon tietoturvapalvelu, kuten Cisco Umbrella. Umbrellan avulla saadaan tuotua helposti sellaista tietoturvaa, joka muuten voisi vaatia aikaa vievää erityisosaamista. Cisco Umbrellalla pystytään suojamaan käyttäjiä helposti esim. phising-viesteiltä. Vaikka palvelu ei estäkään viestejä, niin sillä voidaan tehokkaasti blokata pääsy viestien sisältämiin linkkeihin. Tämän kaltaiset palvelut ovatkin siis loistava keino suojaamaan käyttäjiä heidän omilta virheiltään, sillä niitä he tulevat aina tekemään.