Oma data, toisen pilvi – säilytä kontrolli dataasi keskitetyllä salausavainten hallinnalla

Googlen, Azuren ja AWS:n tarjoamat pilvipalvelut sekä erilaiset SaaS-palvelut ovat tulleet jäädäkseen ja kirittävät monia yrityksiä entistä tehokkaampaan liiketoimintaan. Samalla pilvipalveluiden käytön lisääntyessä data sirpaloituu yhä laajemmin eri paikkoihin.

Datan hajaantuminen useisiin eri pilviin haastaa myös tiedon salaamisen. Mikäli päätyy käyttämään jokaisen pilven omia salausavainten hallintapalveluita, kerää itselleen huomaamattaan monia erilaisia tapoja kontrolloida salausavainten elinkaarta. Me Thalesissa keskitymme vahvasti pilven tietoturvaan. Teetimme Cloud Security Studyn, jonka mukaan peräti 64 prosentilla yrityksillä on käytössään vähintään viisi järjestelmää salausavainten hallintaan. Syntyy turhia rahallisia ja henkilöresurssien kustannuksia. Myös inhimillisten virheiden määrä kasvaa järjestelmien määrän lisääntyessä.

Moni yritys haluaa keskittää salaisavainten hallinnan yhteen paikkaan ulkopuolisen kumppanin tarjoaman ratkaisun avulla. Koordinointi helpottuu, ja automaatio voidaan valjastaa avuksi avainten turvallisen käsittelyn varmistamiseksi. Samalla huolehdit myös siitä, että salausavaimet sijaitsevat turvallisesti erillisessä ”avainkaapissa” – erillään datasta.

Kiristyvä sääntely ohjaa datan salaamiseen

Datan salaaminen on erityisen keskeistä aloilla, joissa käsitellään paljon sensitiivistä tietoa – terapeuttitaloista pankkeihin ja valtionhallintoon. Ei kuitenkaan kannata tuudittautua ajattelemaan, että mikään toimiala olisi turvassa. Käytännössä kaikissa organisaatioissa on sensitiivistä dataa, kuten tietoa asiakkaista, omista työntekijöistä tai tuotekehityksestä. Datan salauksesta ja salausavainten hallinnasta kannattaa kiinnostua, sillä sekä ulkomaailmasta että organisaation sisältä tulevat kyberuhat lisääntyvät jatkuvasti.

Kiristyvä sääntely ohjaa myös vahvasti datan salaamiseen. Vuonna 2018 voimaantullut EU:n yleinen tietosuoja- eli GDPR-asetus korosti henkilötietojen suojaamista. Kaksi vuotta tämän jälkeen tehty Schrems II -päätös johti entistä tarkempaan riskiarviointiin: henkilötietoja ei saisi siirtyä EU:n ulkopuolelle. Vaatimusta löysättiin vuoden 2023 heinäkuussa, kun Euroopan komissio päätti, että henkilötietoja voidaan jälleen siirtää yhdysvaltalaisille yrityksille, mikäli ne ovat sertifioituja ja sitoutuvat EU:n ja Yhdysvaltojen yhdessä sopimiin suojatoimiin. Julkista sektoria muutos ei koske.

Tarkkuutta vaaditaan silti edelleen! Mikään sopimus ei poista tietomurtoihin liittyviä riskejä. Vuoden 2022 lopulla voimaan astunut Network and Information Security -direktiivi (NIS2) pakottaakin yrityksiä kiinnittämään tarkemmin huomiota kyberturvallisuusriskeihin. Rahoitusmarkkinoilla toimivat yritykset valmistautuvat jo nyt vuonna 2025 voimaan astuvaan Digital Operational Resilience Act (DORA) -asetukseen, joka luo uusia vaatimuksia tietoturvalle ja salaukselle.

Koordinoitu salausavainten hallintapalvelu tehostaa toimintaa

Hyvä tietoturva on laaja kokonaisuus, jossa datan salaus on yksi tärkeä työkalu. Käytännössä kaikki isot julkipilvitoimijat ja eri SaaS-palvelut salaavat jo asiakkaidensa dataa itse. Asiakkaille tärkeintä on salausavainten turvallinen ja käyttäjäystävällinen hallinta sekä se, että avaimet ovat kyseisten pilvipalveluiden ulkopuolella. Näin tiedon salauksen kannalta tärkeä peukalosääntö toteutuu – salattu data ja salausavaimet säilytetään aina erillään toisistaan.

On ollut hienoa nähdä, miten pilvipalvelutarjoajat ovat vastanneet tähän asiakkaiden tarpeeseen kontrolloida paremmin omaa dataansa kehittämällä rajapintoja ulkoisille järjestelmille, joissa salausavaimia voidaan hallita helposti ja turvallisesti. Esimerkkeinä näistä rajapinnoista ovat esimerkiksi AWS:n XKS ja Google Cloudin EKM. Thales on kehittänyt salausavainten hallintapalvelua tiiviissä yhteistyössä muun muassa Googlen ja AWS:n kanssa. Thales on laskeutunut pilven reunalle ja tarjoaa tähän tarkoitukseen myös itse SaaS-palveluita.

Miten keskitetty salausavainten hallintapalvelu toimii? Sitä voi verrata pääkonttorin turvallisuushuoneeseen. Eri kulkijoille annetaan käyttöoikeudet juuri siihen dataan, jota he oikeasti tarvitsevat. Kun henkilön rooli muuttuu tai työsuhde päättyy, oikeuksia muutetaan tai ne lakkautetaan kokonaan. Hallintajärjestelmän automatisointi on viritetty huippuunsa.

Missä datan salausavaimia hallinnoidaan sinun organisaatiossasi? Olisiko aika keskittää ja ottaa nippu omaan avainkaappiin? Lue lisää miten vahvistaa salausavainten hallintaa on prem tai pilvessä tästä.

Miten voit salata eri pilvipalveluissa olevan datan keskitetysti? Tutustu Thalesin CipherTrust Cloud Key Manager -palveluun tästä.