PiTuKri auttaa pilvipalvelun valinnassa
Tarjolla olevien pilvipalveluiden turvallisuus on viranomaisille jatkuvasti ajankohtainen ja kiperä kysymys. Liikenne- ja viestintäviraston Traficomin Kyberturvallisuuskeskus on julkaissut kriteeristön, jonka avulla se haluaa neuvoa etenkin valtion toimijoita pilvipalvelujen hankinnassa.
Ensimmäinen versio kriteereistä julkaistiin toukokuussa 2019, ja palautteen ja käyttäjäkokemusten perusteella päivitetty uusi versio on tulossa vuonna 2020. Aiheesta järjestetyn nimikilpailun voitti lyhenne PiTuKri.
”On tärkeää ymmärtää, että täydellisen turvallista pilvipalvelua ei ole olemassa. Mutta millainen palvelu on kuhunkin tarkoitukseen riittävän turvallinen vaihtoehto – siihen uusi kriteeristö antaa neuvoja”, sanoo opasta kehittänyt Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen.
Pilvipalvelut ovat arkea
Pilvipalveluihin säilötään yhä isompi osa kaikenlaisesta tiedosta. Palvelut ovat helppokäyttöisiä, joustavia ja kustannustehokkaita ratkaisuja jatkuvasti kasvavan tietomäärän säilyttämiseen.
”Vallalla on ymmärrettävästi jonkinlainen pilvi-innostus, ja myös myyjät ovat aktiivisia. Siksi hankintoja tehtäessä ei aina muisteta miettiä tarpeeksi tietoaineiston ominaisuuksia ja niistä nousevia tietoturvatarpeita. Tiedon luokittelu on kuitenkin aina otettava huomioon”, Eronen sanoo.
Esimerkiksi tulevaisuudessa yleistyvä esineiden internet, IoT, voi lisätä tarvetta säädellä tietoturvaa.
Erityisesti salassa pidettävällä tiedolla tulee olla riittävät turvatakuut. Julkisuuslainsäädännössä on 32 kohtaa, joissa säädetään tietojen salassapidosta. Kuluvana vuonna voimaan tullut uusi tiedonhallintalaki ja turvallisuusluokitusasetus täsmentävät turvaluokiteltavan ja salassa pidettävän tiedon kriteerejä. Tämä auttaa valitsemaan tiedot, jotka ylipäätään voi säilöä pilveen, ja PiTuKri puolestaan auttaa valitsemaan kuhunkin tarkoitukseen oikean palvelun.
Kriteeristö tulee suureksi avuksi paitsi valtionhallinnossa myös erilaisia hankintoja tekevissä muissa organisaatioissa. Uusi turvallisuuden arviointikriteeristö on käytössä myös Erillisverkkojen pilvipalveluiden kehitystyössä.
”Jos tietoturva-asiantuntemusta ei käytetä pilvipalvelujen hankinnassa, on kuin rakennettaisiin talo ilman rakennustarkastajan osaamista ja valvontaa” Juhani Eronen sanoo.
Mikä on PiTuKri?
- Liikenne- ja viestintäministeriön Traficomin Kyberturvallisuuskeskuksen laatima pilvipalveluiden turvallisuuden arviointikriteeristö.
- Julkaistu 2019.
- Päivitys tulossa 2020.
- Tarkoitettu ensisijaisesti viranomaiskäyttöön, mutta soveltuu myös muille.