Uusi kriteeristö ohjaa pilvipalveluiden turvalliseen käyttöön

Pilvipalveluiden tietoturvallisuus on herättänyt jo pitkään kysymyksiä hallinnossa ja useilla elinkeinoelämän sektoreilla. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus vastaa haasteeseen julkaisemalla kriteeristön pilvipalveluiden turvallisuuden arvioinnin tueksi.

Kulunut vuosikymmen on vakauttanut pilvipalvelut osaksi organisaatioiden normaalia tietojenkäsittely-ympäristöä. Nopeus, kustannustehokkuus ja kyky vastata muuttuviin tarpeisiin houkuttelevat jatkuvasti uusia käyttäjiä. Samalla on herännyt myös kysymyksiä siitä, millaista tietoa pilvipalveluissa voi ja kannattaa käsitellä sekä millaisia riskejä erilaisiin käyttötapauksiin liittyy.

Tarve ohjaaviin näkemyksiin on ollut havaittavissa erityisesti valtionhallinnossa, jossa salassa pidettävän tiedon käsittelyn tulisi tapahtua riittävän turvallisesti. Valtiovarainministeriö julkaisi alkuvuodesta 2019 Julkisen hallinnon pilvipalvelulinjaukset, jotka määrittävät yleiset suuntaviivat pilvipalveluiden käyttöön. Monet organisaatiot ovat kuitenkin ilmaisseet tarpeen myös yksityiskohtaisempiin tulkintoihin ja ohjeistuksiin, mitkä tukisivat pilvipalvelujen turvallista hyödyntämistä myös käytännön työssä.

Uusi pilvikriteeristö tukee pilvipalvelujen turvallisuuden arviointia ja hallinnointia

Kyberturvallisuuskeskuksen laatima Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri) (Ulkoinen linkki) julkaistiin toukokuun lopulla. Kriteeristö tukee viranomaisia uuden tiedonhallintalain soveltamisessa, tarjoaa työkaluja pilvipalvelujen turvallisuuden arviointiin sekä kokoaa pilvipalvelujen turvallisuuteen vaikuttavia hyviä käytäntöjä myös kaupallisten toimijoiden hyödynnettäviksi. Kriteeristö sisältää myös tulkintoja ja ohjeistuksia pilvipalveluihin liittyvien riskien arviointiin.

Kriteeristön laadinnassa hyödynnetty laajasti kansainvälisiä ohjeistuksia

Pilvipalveluiden turvallisuutta voidaan arvioida viitekehysten, toisin sanoen kriteeristöjen avulla. PiTuKrin valmistelu aloitettiin tutustumalla olemassa oleviin kansainvälisiin viitekehyksiin ja ohjeistuksiin. Taustaselvityksen keskeisenä havaintona oli se, että vaikka olemassa olevat viitekehykset eivät sellaisinaan sovellu valtionhallinnossa salassa pidettävän tiedon käsittelyyn, niitä pystytään hyödyntämään myös salassa pidettävän tiedon suojaamisessa. Havaintoa tukivat vahvasti myös kansallisessa ja kansainvälisessä viranomaisyhteistyössä saadut näkemykset. Laadinnassa hyödynnettiinkin merkittävästi olemassa olevia viitekehyksiä, joita räätälöitiin ja täydennettiin huomioimaan myös valtionhallinnon erityistarpeet.

Kriteeristölle erilaisia toiveita

Jo varhaisessa vaiheessa kriteeristön laadintaa havaittiin, että siihen kohdistuu monenlaisia odotuksia ja toiveita. Yhtäältä kaivataan yksityiskohtaisia tarkistuslistoja tietyn palvelun arviointiin, toisaalta yleisemmän tason kriteeristöä, jota voitaisiin soveltaa erilaisiin pilvipalveluihin ja käyttötapauksiin. PiTuKrin ensimmäisessä versiossa päädyttiin jälkimmäiseen, yleisemmän tason lähestymistapaan. Valintaa tuki muun muassa se, että merkittävä enemmistö toivoi yleisemmän tason kriteeristöä, ja toisaalta myös se, että eri yhdistelmien yksityiskohtaiseen kattamiseen tarvittaisiin kaksi- tai jopa kolminumeroinen määrä toisistaan eroavia kriteeristöjä. Esimerkiksi kuuden pilvipalveluntarjoajan ja kolmen yleisimmän palvelumallin palveluntarjoajakohtaiset eroavaisuudet tuottavat jo 18 erilaista kriteeristöä.

Kriteeristöä kehitetään palautteen pohjalta

Kyberturvallisuuskeskus jatkaa kriteeristön kehittämistä ja tuottaa myös erilaisia materiaaleja sen käytön tueksi. Toukokuussa 2019 julkaistiin Excel-muotoinen arviointityökalu. Työn alla ovat tällä hetkellä muun muassa muiden viitekehysten ja sertifiointien hyödyntämistä tukeva ristiinvertailu, sekä käännösversiot englanniksi ja ruotsiksi.

Kriteeristöstä on saatu huomattava määrä palautetta, josta valtaosa on ollut erittäin positiivista. Erityisesti kiitosta on saanut selkeyttävä jako turvallisuusluokitellun ja muun salassa pidettävän tiedon suojaamisen välillä sekä rohkeus avata aihepiiriin liittyviä riskejä selkokielellä. Myös vaatimusten sisältö on kerännyt runsaasti positiivista palautetta. Kehitysehdotuksissa on toivottu erityisesti yksittäisten käytettyjen termien kattavampaa määrittelyä sekä pieniä muutoksia vaatimusten jaotteluun ja termistöön. Lisäksi on kaivattu tiettyihin käyttötapauksiin keskittyviä yksityiskohtaisia ohjeistuksia ja riskienhallinnallisen liikkumavaran lisäämistä.

Uusiutuva lainsäädäntö selkeyttää ja konkretisoi viranomaisille asetettavia velvoitteita, minkä lisäksi se mahdollistaa aikaisempaa monipuolisempien digitaalisten palvelujen toteuttamisen, myös pilvipalveluja hyödyntäen. Valtionhallinnon toimijat ovat saadun palautteen perusteella ottaneet uuden kriteeristön vauhdilla käyttöönsä ja hyödyntäneet sitä erilaisiin käyttötapauksiin. Kyberturvallisuuskeskus on saanut muilta viranomaisilta myös ensimmäiset PiTuKri-arviointipyyntönsä, ja ensimmäiset uutta kriteeristöä vasten tehtävät viranomaisten tietojärjestelmien arvioinnit ovatkin jo käynnistyneet Kyberturvallisuuskeskuksessa.

Kriteeristön käytöstä saadut kokemukset sekä saadut palautteet huomioidaan kriteeristön jatkokehityksessä. Seuraava julkaisuversio on jo työn alla, ja se pyritään saamaan valmiiksi vuoden 2020 alkuun mennessä. Kaikki kommentit, parannusehdotukset ja jatkokehitysideat ovat erittäin tervetulleita ja ne voi lähettää osoitteeseen ncsa (at) traficom (piste) fi.

Kriteeristöä kehitetään saadun palautteen perusteella siten, että se tukee mahdollisimman hyvin pilvipalveluiden tehokasta ja turvallista käyttöä – nyt ja tulevaisuudessa.