Yritysten hallinnoiman tietomäärän lisääntyessä ja hajautuessa erilaiset pilviratkaisut ovat yhä keskeisemmässä roolissa. Suvereeni pilvi on noussut kuumaksi aiheeksi. Mutta mikä se oikein on ja miten sinun yrityksesi voi hyötyä valjastamalla suvereenin pilven käyttöönsä?
Tiedätkö, missä datasi sijaitsee ja kuka sitä hallitsee? Jokaisella yrityksellä tulisi olla kontrolli omasta datastaan, mutta datan sirpaloituminen erilaisiin pilviympäristöihin on johtanut siihen, että yritykset eivät välttämättä tiedä kuka heidän dataansa pääsee käsiksi. Maailman talousfoorumin mukaan peräti 92 prosenttia datasta sijaitsee yhdysvaltalaisissa pilvipalveluissa, joita pyörittää muutama teknologiayritys.
– Tilanne on huolestuttava, ja jokaisen yrityksen pitäisi kiinnittää huomiota siihen, missä data sijaitsee ja kenellä siihen on pääsy. Suvereeni pilvi tarjoaa apua haasteisiin, toteaa Jukka Nokso-Koivisto Thalesin pilvitietoturvaan keskittyvästä Cloud Security & Licensing -yksiköstä.
Suvereenin pilven pääajatus on selkeä: jokaisella yrityksellä on täysi kontrolli digitaalisuudesta kokonaisuudestaan – datasta, laitteistoista ja ohjelmistoista.
– Eihän kukaan anna oman asuntonsakaan avaimia kenelle tahansa, vaan haluaa päättää siitä, kuka voi astua ovesta sisään. Suvereenissa pilvessä on sama idea, Nokso-Koivisto lisää.
Tasapainottelua sääntelyn ja pilven hyötyjen välillä
Datan määrän kasvu ja toiminnan tehostaminen ovat ajaneet yritykset käyttämään erilaisia pilviratkaisuja. Pilvipalvelut ovat tarjonneet ketteryyttä liiketoiminnan vauhdittamiseksi. Peilin kääntöpuolena on kuitenkin turvallisuus. Markkinat toimivat, mutta lainsäädäntö laahaa perästä.
Samalla EU ja Yhdysvallat ovat ajautuneet pilvitietoturvassa eri suuntiin. EU on kiinnittänyt kasvavassa määrin huomioita tietosuojaan sekä tietoturvaan. Vuonna 2018 voimaantullut yleinen tietosuoja- eli GDPR-asetus korosti henkilötietojen suojaamista. Yhdysvalloissa säädettiin samana vuonna puolestaan Cloud Act -lakipaketti, joka veti asioita toiseen ääripäähän. Käytännössä yhdysvaltalainen viranomainen voisi määrätä amerikkalaiset pilvipalvelutarjoajat luovuttamaan tietoja, joita palveluihin on tallennettu. Tältä määräykseltä ei suomalainenkaan data olisi turvassa.
EU on jatkanut otteensa kiristämistä datan suojaamiseksi. Erityisenä käännekohtana voidaan pitää niin sanottua Schrems II -päätöstä vuonna 2020. Sen jälkeen organisaatioiden on täytynyt tehdä aiempaa kattavimmin riskiarviointia ja suojauksia, jotta henkilötietoja ei siirtyisi EU:n ulkopuolelle. Sääntely auttaa riskien hallinnassa mutta jatkuvasti muuttuva lainsäädäntö on haastavaa.
Arkaluonteinen data erityistarkastelussa
Millä aloilla tulisi olla erityisen huolissaan pilvidatan omistajuudesta?
– Asia on erityisen kriittinen sellaisilla toimialoilla, joilla käsitellään arkaluonteisia tietoja. Esimerkiksi sote- ja rahoitusaloilla pitäisi viimeistään nyt herätä tarkastelemaan suvereenia pilveä, Nokso-Koivisto sanoo.
Rahoitusalaa halutaan kannustaa entistä jämerämpään ICT-riskien hallintaan myös lainsäädännön kautta. Vuodesta 2025 lähtien EU:n rahoitusmarkkinoita koskeva Digital Operational Resilience Act (DORA) luo uusia vaatimuksia tietoturvalle ja salaukselle.
Miten organisaation toimintatapoja tulisi muuttaa?
Dataan liittyvä itsemääräämisoikeus ajaa väistämättä yritykset uuteen tilanteeseen. Pilvistrategioita, hallintoa ja riskienhallintaa täytyy tarkastella uudessa valossa. Organisaation täytyy luokitella tietonsa ja arvioida, mikä on arkaluonteista tietoa. Henkilötietojen lisäksi kategoriaan kuuluu myös muuta sensitiivistä dataa.
– Täytyy tarkastella sitä, missä arkaluonteiset tiedot sijaitsevat maantieteellisesti ja sitä, kenellä on pääsy näihin tietoihin. Nokso-Koivisto kiteyttää.
Luokittelun jälkeen täytyy laatia tarvittavia lisätoimia, jotta siirrettävien tietojen suojaus saadaan paikallisen lainsäädännön edellyttämälle tasolle. Eri EU-maissa on käynnistetty kansallisia aloitteita jotka eroavat toisistaan.
– On tärkeää tarkastella asiaa kokonaisuutena ja huomioida myös eri maiden vaatimukset, Nokso-Koivisto sanoo.
Ratkaisuja yhdessä kumppanin kanssa
Yksin ei haasteiden kanssa tarvitse jäädä. Maailmanlaajuisesti toimiva tietoturvayhtiö Thales pitää antenninsa koko ajan ilmassa toimintaympäristön ja sääntelyn muuttuessa voidakseen auttaa asiakkaitaan taklaamaan pilviturvallisuusviidakkoon liittyvät haasteet. Thalesin ratkaisut auttavat organisaatioita hallitsemaan pilviriskejään.
Thales auttaa etsimään ja luokittelemaan tiedot, minkä jälkeen jokaiselle tietoluokalle voidaan luoda sen vaatimat turvatoimet. Keskeisessä roolissa ovat salausavaimet ja niihin liittyvä kontrolli.
– Avullamme yritys saa suojattua datan salausavainten avulla ja näin pidettyä kontrollin hyppysissään riippumatta siitä, missä tieto sijaitsee. Ratkaisut voidaan ottaa käyttöön konesaleissa, pilvessä tai hybridiympäristössä.
Suvereeni pilvi on tullut jäädäkseen. Nyt jos koskaan on aika tarkastella omaa pilvistrategiaa ja hoitaa suojaus ajan tasalle.
Ota yhteyttä Exclusive Networks Finlandin Mikko Strengiin saadaksesi lisää infoa Thalesista.