Etusivu: Traficom
Etusivu: Traficom
Valikko

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus tuo uuden työkalun pilvipalvelujen turvallisuuden arviointiin

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus on julkaissut Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri). Kriteeristön keskeisenä tavoitteena on edistää viranomaisten salassa pidettävän tiedon turvallisuutta tilanteissa, joissa tietoja käsitellään pilvipalveluissa. Kriteeristö soveltuu myös yritysten liiketoimintakriittisten pilvipalvelujen turvallisuuden arviointiin.

Kriteeristöä voidaan hyödyntää sekä uusien pilvipalvelujen hankinnoissa, että jo käytössä olevien pilvipalveluiden suojausten arvioinnissa. Kriteeristöä voidaan hyödyntää myös yksityisellä sektorilla liiketoimintakriittisten palvelujen ja tietojen suojaamiseen. Kriteeristö tarjoaa yleisiä pilvipalveluihin liittyviä riskejä vastaan mitoitetun viitekehyksen, jota eri organisaatiot voivat hyödyntää peilatessaan riskinottohalukkuuttaan suhteessa toiminnallisiin tarpeisiin ja kustannuksiin.

"Traficomin tahtotila on parantaa pilvipalveluiden turvallisuutta niin julkisella kuin yksityiselläkin sektorilla. Pilvipalveluiden kasvava rooli on herättänyt perustellusti kysymyksiä siitä, millaisia riskejä erilaisiin käyttötapauksiin liittyy. Pilvipalveluiden asema tulee korostumaan entisestään myös IoT-laitteiden ja -palveluiden vallatessa alaa lähivuosina. Toivomme, että mahdollisimman moni organisaatio ottaa kriteeristön käyttöönsä", sanoo johtaja Jarkko Saarimäki Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta.

Kriteeristö on laadittu Suomen kansallisten tarpeiden näkökulmasta. Laadinnassa on hyödynnetty olemassa olevia viitekehyksiä, joita on räätälöity ja täydennetty huomioimaan myös valtionhallinnon erityistarpeet. Kriteeristö sisältää tulkintoja ja ohjeistuksia pilvipalveluihin liittyvien riskien arviointiin, sekä kokoaa pilvipalvelujen turvallisuuteen vaikuttavia hyviä käytäntöjä eri toimijoiden hyödynnettäviksi.

Tarve pilvipalveluihin liittyvien riskien arviointia ja hallintaa tukeville ohjeistuksille on ollut havaittavissa erityisesti valtionhallinnossa. Valtiovarainministeriö julkaisi alkuvuodesta 2019 Julkisen hallinnon pilvipalvelulinjaukset, jotka määrittävät yleiset suuntaviivat pilvipalveluiden käyttöön. Useat organisaatiot ovat sen jälkeen ilmaisseet tarpeen myös yksityiskohtaisempiin tulkintoihin ja ohjeistuksiin, mitkä tukisivat pilvipalvelujen turvallista hyödyntämistä myös käytännön tasolla.

Kriteeristön kehitys on jatkuvaa. Kyberturvallisuuskeskus kerää palautetta ja jatkokehitystoiveita, mitkä tullaan huomioimaan kriteeristön päivitetyissä, myöhemmin julkaistavissa versioissa. Kriteeristöstä on tulossa sekä ruotsin- että englanninkieliset käännökset. Kriteeristön käytön tueksi tullaan julkaisemaan myös tukityökaluja ja lisätietoaineistoja. Myöhemmin kriteeristöstä räätälöidään myös versio kansalaisten ja pienyhteisöjen tarpeisiin.

Yhteydenotot ja lisätiedot

Sauli Pahlman, osastopäällikkö, Liikenne- ja viestintävirasto Traficom, Kyberturvallisuuskeskus
puh. 029 539 0577
sauli.pahlman(at)traficom.fi, ncsa(at)traficom.fi