Onko käyttäjädatasi pilvessä turvassa?

Log4j-haavoittuvuudesta selvittiin pienin vaurioin, sillä pahemminkin olisi voinut käydä; Entä jos haavoittuvuus olisikin koskenut vain jonkin palveluntarjoajan suljettua koodia, ja tätä ei oltaisi raportoitu? Pahimmassa tapauksessa tiedot olisivatkin esim. vuotaneet AWS:stä tai Azuresta, mutta kukaan ei tietäisi mistä tämä johtuu.

Onko käyttäjädatasi pilvessä turvassa? Viime viikkoina pilvipalveluissa on erityisesti huolta herättänyt log4j-haavoittuvuus. Haavoittuvuus raportoitiin, ja haavoittuvia internetpalveluita päivitettiin kovalla vauhdilla. Apuna olivat myös pilvipalveluita tarjoavat yhtiöt. Esimerkiksi Cloudflare tarjosi hyvin nopeasti WAF-sääntöä haavoittuvaa log4j-kirjastoa suojelemaan  https://blog.cloudflare.com/how-cloudflare-security-responded-to-log4j2-vulnerability/. Vahingot jäivät tällä kertaa onneksi suhteellisen pieniksi. Pahemminkin olisi voinut käydä: Entä jos haavoittuvuus olisikin koskenut vain jonkin palveluntarjoajan suljettua koodia, ja tätä ei oltaisi raportoitu? Pahimmassa tapauksessa tiedot olisivatkin esim. vuotaneet AWS:stä tai Azuresta, mutta kukaan ei tietäisi mistä tämä johtuu.

Tällaisessa tilanteessa palvelun tarjoaja joutuu mahdollisesti itse sulkemaan konesalinsa (tai osan niistä), jos palveluiden turvallisuudesta ei voida mennä takuuseen. Tällaiset katkot voisivat olla todella tuhoisia. Etenkin, kun nykyinen sovelluskehityksen trendi ajaa kehittäjiä eräänlaiseen vendor lockiin: AWS, Azure jne. Miten palvelullesi kävisi, jos esim. AWS olisi viikon kiinni, ja se avattaisiin uudelleen? Monet yhteiskuntamme palvelut täytyy edelleen toteuttaa, vaikka pilvipalvelu olisikin hetkellisesti pois pelistä. Energia, terveydenhuolto ja finanssiala ovat kaikki kriittisiä aloja, ja palvelut eivät saa lakata mahdollisen palveluntarjoajan ongelmien vuoksi. Huoltovarmuussuunnitelma on hyvä olla olemassa!

Entä mitäpä tapahtuisi, jos jonkin ihmisoikeuksista piittaamattoman maan lainsäädännön piiriin kuuluva yritys ostaisi merkittävän pilvipalveluita tarjoavan yrityksen pörssistä? Millään sopimuksilla ei voida tälläista tapahtumaa estää. Olisiko ongelmallista, jos vieraan vallan tiedustelupalvelu pääsisi käyttäjädataan käsiksi? Nykyisellään AWS:n vakioehtojen mukaan Yhdysvaltojen tiedustelupalvelu pääsee tarvittaessa palvelun dataan käsiksi. Tästä aiheesta on Suomessa kantanut huolta Effi, joka on vaatinut tarkempaa selontekoa suomi.fi-palvelussa käytetystä tietojen salaamisesta: https://effi.org/effi-valitti-hallinto-oikeuteen-digi-ja-vaestotietoviraston-paatoksesta/

Eurooppalaisella lainsäädännöllä on tuskin vaikutusvaltaa tilanteessa, jossa omistajan on oman maansa lakien mukaan pakko päästää tiedustelupalvelu tutkimaan konesaleja. Todennäköisesti Yhdysvallat estäisivätkin kaupan, jos heidän kansalaistensa datan tuvallisuudesta olisi epävarmuutta, mutta entä jos tälläinen menisi läpi? Onko palvelussasi mahdollisesti tiedustelupalvelua kiinnostavaa tietoa? Pitäisikö se salata?

Heräsikö huoli? Etukäteen voidaan tehdä suunnitelmia miten toimitaan, jos tietovuoto sattuisi kaikesta huolimatta tapahtumaan. Suunnitelmaan on hyvä lisätä myös jonkinlainen ajatus mitä tehdään, jos pilvessä sattuisi olemaan pitkä katko. Hyvänä lähtöruutuna toimii esim. Digi- ja väestötietoviraston julkaisema opas digitaalisen turvallisuuden harjoittelemiseen, sekä johtamiseen: https://dvv.fi/judo