Tag: #vaatimuksenmukaisuus

Tiedon luokittelun ja vaatimuksenmukaisuuden hallinnan tulevaisuus on täällä

On By SamikidoIn SuomeksiLeave a comment

Usein on todettu, että itse datan suojaus ja sen integriteetin valvonta on tietoturvan puuttuva rengas. Organisaatioiden hallitsema tietomassa paisuu kuin pullataikina. Tietokantojen ja tiedostojen luokittelu ja governance, niiden vaatimuksenmukaisuudesta puhumattakaan, on perinteisesti toteutettuna aivan valtava urakka.

Isossa maailmassa datan suojaus on ollut pinnalla jo vuosia, mutta täällä pohjolassa siitä on puhuttu jopa hävyttömän vähän. Ilman AI:n tuomaa automaatiota valtavien datamassojen käsittely hirvittää vahvempaakin tahoa eikä ole ihme, että monet välttelevät toimeen tarttumista. Miten onnistuu kaiken tietomassan luokittelu ja vaikkapa GDPR:n alaisten tiedostojen ja tietueiden luokittelu luottamukselliseksi?

Kattavia työkaluja kehitetään kuorman helpottamiseksi koko ajan, ja vaikka työkalut yksinään eivät pysty haastetta ratkaisemaan, on niistä tekijälle valtaisa apu. Tällä kertaa esittelen yhden työkalun tai oikeastaan kokonaisen työkalupakin Microsoftilta, kun se sattuu juuri nyt olemaan erityisen ajankohtainen. Seuraavalla kerralla kurkataan seuraavaan markkinoilta löytyvään teknologiaan ja puhutaan vähän enemmän myös toimintatavoista ja siitä, miksi jokaisen pitäisi viimeistään nyt tarttua toimeen.

Microsoft Purview

Microsoft Purview julkistettiin 19.4. Kyseessä on pilvipohjainen datanhallintaratkaisu, joka yhdistää aiemman Azure Purviewin ja Microsoft 365 -palvelun tiedon suojaus- ja luokittelutyökalujen kanssa. Lopputulos on ainutlaatuinen kokonaisuus koko organisaation kaiken tietomassan luokitteluun hallintaan, suojaukseen ja vaatimuksenmukaisuuden varmistamiseen.

Viime syyskuussa Microsoft toi virallisesti saataville pitkään esikatselussa olleen datan luokittelun ja vaatimuksenmukaisuuden hallintatyökalun, Azure Purviewin. Tämä oli osittain päällekkäinen M365-palvelun kalleimpaan pakettiin (E5 / A5) tarjotun Compliance-portfolion kanssa, mutta myös täydensi sitä mainiosti tuoden luokittelu- ja hallintatyökalut myös M365-palvelun ulkopuolisiin tietomassoihin. Nyt päällekkäisyydet on poistettu ja lisensointia sekä ostomallia selkiytetty. Samalla M365-palvelusta siirretty Compliance ja entinen Azure Purview on yhdistetty ja brändätty uudelleen Microsoft Purviewiksi.

Mitä ja kenelle?

Kokoelma Microsoftin työkaluja tiedon eli datasisällön hallintaan, luokitteluun, suojaukseen ja vaatimuksenmukaisuuden valvontaan. Purview puree oman konesalin (tai siivouskomeron) palvelimiin, eri pilvipalveluihin sekä tietovarastoihin. Datakuraattorin tai tiedon luokittelusta vastaavan on helppo luoda säätöjä ja toteuttaa isoihinkin datamassoihin automaattisesti jalkautuvia politiikkoja. Purview yhdistää Microsoftin datahallinnan, AI:n sekä Microsoftin tietoturvaratkaisujen riskien- ja vaatimuksenmukaisuuden hallinnan.

Kuva 1. Microsoft Purviewin toiminnallisuuden kaksi ulottuvuutta korkealla tasolla

Microsoftin mukaan Purview auttaa etenkin tiimejä, jotka työskentelevät CDO: (Chief Data Officer), CISO:n (Chief Information and Security Officer), CRO:n (Chief Risk Officer) tai CCO:n (Chief Compliance Officer) alaisuudessa. Arvolupauksessa mainitaan kokonaisvaltainen näkyvyys läpi kaiken organisaation pirstoutuneen ja hajautuneen datamassan. Toki regulaatiot, kuten GDPR, näkyvät isona ajurina argumentaatiossa.

Mitä kaikkea Purview korvaa?

Microsoft Purview -tuoteperheeseen on ympätty M365-palveluiden datan ja tietosisällön suojaus-, hallinta- ja luokittelutyökalut sekä mm. kahden suojausavaimen käyttö (Double Key Encryption), sisäpiiririskityökalut ja datan katoamisen suojaustyökalusto.

Taulukko 1. Jälleen kerran siis tuotepaketointi ja -nimeäminen on Microsoftille tuttuun tapaan räväytetty täysin uusiksi

Microsoft Purview tukee jo nyt varsin runsasta määrää eri tietolähteitä. Mukana ovat niin on-prem-palvelimet (virtuaaliset ja fyysiset) kuin pilvipalvelut ja -tallennustilat. Tietenkin tietokantapalvelimet ja muut strukturoidut datasisällöt ovat nekin sekä omassa konesalissa että eri pilvissä. SaaS-palveluidenkin tuki on jo varsin mittava.

Kuva 2. Tietomassojen hallinnointimahdollisuuksia

Entäpä yhteensopivuus?

Tavallaan Purview yhdistää Microsoftin kaksi tarjoama-aluetta: tietoturvapinon ja dataplatformin. Microsoftin pyrkii integroimaan Purviewin kiinteäksi osaksi sekä M365-palveluiden sisältämän tiedon turvaamista että koko tietoturvapinoaan. Esimerkiksi Defender for Cloud Apps (Microsoftin CASB-työkalu) integroituu jo Purviewin kanssa tarjoten kiehtovia mahdollisuuksia näkyvyyteen siitä, missä organisaatiosta lähtöisin olevaa dataa kaikkialta pilvistä löytyy. Ja toisaalta se rajoittaa datan vientiä muihin kuin organisaation hyväksymiin pilvipalveluihin.

Purview tukee alusta alkaen Windowsin lisäksi myös esimerkiksi Mac-käyttäjiä (macOS) ja mobiilipuolella sekä iOS- että Android-ympäristöjä.

Lähteet:

Purviewin viralliset tuotesivut
Uutinen Microsoft Purviewin julkistuksesta

Tämä on “uudelleenlämmitetty” juttu jälleen. Alkuperäisen kynäilin jo keväällä 2022, Purviewin julkistuksen jälkeen, Loihde Trustille. Löydät originaalin täältä:
https://web.archive.org/web/20220428123309/https://www.loihdetrust.com/blogi/tiedon-luokittelun-ja-vaatimuksenmukaisuuden-hallinnan-tulevaisuus-on-taalla/

Ovatko regulaatiot pilvelle liian raskas taakka?

On By SamikidoIn SuomeksiLeave a comment

Pilvipalveluiden käyttö on yleistynyt kiivaassa tahdissa eikä vauhdin hidastumisesta näy merkkejä. Pilveen on nyt menossa myös moni sellainen organisaatio, joka ei aiemmin ole kokenut siirtymää mahdolliseksi. Pilveen ei myöskään tarvitse rynnätä pää edellä isosti ja kerralla, vaan pilvisiirtymän voi toteuttaa vakain ja harkituin siirroin.

Monet organisaatiot ovat hylänneet tai ainakin lykänneet pilvihaaveita joko omista tai viranomaismääräyksistä tai kenties jopa kirjavien ohjeistusten aiheuttamasta hämmennyksestä johtuen. Ennen siirtymää halutaan varmistua siitä, että kaikki tapahtuu määräysten mukaisesti ja parhaita tietoturvakäytäntöjä noudattaen. Yllätyksiin ei ole varaa silloinkaan, kun data sijoitetaan oman konesalin sijasta ulkoistustoimijan ympäristöihin.

Esimerkiksi Microsoftin 365-palvelun käyttö (sähköposti, Teams, SharePoint ja OneDrive) säännellyssä toiminnassa on ollut mahdollista, mutta se on vaatinut paljon aikaa ja asiaan perehtymistä. Omaan toimintaan liittyvät vaatimukset ja määräykset on pitänyt täyttää ja välillä työlään selvitystyön sijasta onkin ollut helpompi tyrmätä käyttäjien haaveet pilvipalvelussa tarjolla olevista työkaluista.

Tässä tekstissä viittaan pilvipalvelut-termillä julkipilviin ja niin sanotun privaattipilven (eli esim. automatisoitu konesalipalvelu) jätän käsittelyn ulkopuolelle. Trenditermi hybridipilvi taasen tarkoittaa sitä, että yhdistetään julkipilven ja oman konesalin palvelutuotantoa.

Liikkeelle ei-sensitiivisellä datalla?

Osa organisaatioista on ratkaissut haasteen niin, että pilvipalveluun viedään data, johon ei kohdistu erityisiä vaatimuksia. Arkaluontoinen tieto on edelleen jätetty omiin paikallisiin ympäristöihin. Näin on saatu käyttöön modernin tuottavuuden työkaluja aiheuttamatta kuitenkaan ongelmia regulaatioiden noudattamiselle. Haasteena tällaisessa mallissa on ollut käyttäjien koulutus, sillä käyttäjille on saatava selväksi, mitä dataa pilveen voi viedä ja mitä ei.

Todellisuudessa käyttäjien ymmärryksen tai muistamisen varaan ei regulaatioiden noudattamista voi uskoa. Ihminen on erehtyväinen, pätevinkin meistä. Mikäli pilvipalveluiden käyttö halutaan oikeuttaa datasegregaation kautta, täytyy asian varmistamiseen käyttää jotain tietojärjestelmää. Kun hyödynnetään vielä AI-teknologiaa, voidaan varsin luotettavasti todentaa, ettei arkaluontoista dataa pääse mitenkään valumaan vähemmän kovennettuihin ympäristöihin.

Luottamuksellisuuden varmistaminen

Tiedon lokaatiolla ei oikeasti ole mitään väliä. Oleellista on luottamuksellisuuden varmistaminen. Esimerkiksi Suomessa sijaitseva korkean tietoturvatason konesali ei sinänsä takaa vielä mitään, mikäli palveluiden tekninen operointi on ulkoistettu taholle, joka käyttää edullisen työvoiman maissa olevia tiimejä palvelutuotannossaan. Vanha viisaus kuuluu, että tietoturva on tasan niin vahva kuin sen heikoin lenkki. Julkipilviä rakennettaessa budjetit ovat olleet satakertaisia suomalaisiin parhaisiinkaan konesaleihin ja niiden operointibudjetteihin verrattuna, joten pilvet ovat onnistuneet vähentämään heikoimpia lenkkejä merkittävästi.

Julkisen hallinnon pilvipalvelulinjaukset (VM julkaisu 35/2018) ohjeistaa fiksusti:

  • Pilvipalveluita tulee käsitellä kuin mitä tahansa muutakin ICT-palvelun hankintaa tai muutosta.
  • Pilvipalveluissa on kiinnitettävä erityistä huomiota sopimuksiin, palvelun jatkuvuuden turvaamiseen ja tiedon saatavuuteen.
  • Pilvipalvelun tulee täyttää hankkivan osapuolen palveluhyöty ja -takuuvaatimukset.
  • Mikäli pilvipalvelu tai pilvipalveluteknologia tarjoavat parhaan palveluhyödyn ja -takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita.

Ja tiedon käsittelyyn liittyen linjaus ilmaisee selkeästi:

  • Julkisen tiedon käsittelyä ei rajoiteta.
  • Ei-julkista tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva ja -suoja on asianmukaisesti toteutettu ja todennettu.

Regulaatioiden näkökulmasta siis estettä pilvipalveluiden käyttämiseen ei ole, kunhan tietoturvan ja -suojan tasosta on huolehdittu.

Suojaako pilvipalvelun tuottaja?

Kyllä ja ei. Julkipilvistä puhuttaessa törmätään väistämättä käsitteeseen ”jaetun vastuun malli”. Asian voisi selittää siten, että pilvipalvelun tuottaja vastaa tärkeistä perusasioista kuten vaikkapa fyysisestä turvallisuudesta ja verkkojen turvallisuudesta. Ja sen julkipilvet tekevät paremmin kuin yksikään superkorkean tietoturvatason konesali Suomessa, kiitos satakertaisten budjettiensa.

Tämä artikkeli ei käsittele laajemmin jaetun vastuun mallia, mutta mikäli konsepti ei ole sinulle kristallin kirkas suosittelen lukemaan blogikirjoituksemme siitä. Julkipilven tietoturva pohjaa vahvasti siihen, että palveluiden käyttäjä eli ostaja tietää mitä tekee.

Tekninen suojaaminen pilvessä

Lisämausteen soppaan tuo tiedon suojaamisen vaade. Ikävä kyllä siihenkään ei löydy täysin yksiselitteistä patenttivastausta. Valtiovarainministeriö edellyttää linjauksessaan tietoturvan ja -suojan asianmukaista toteutusta ja todennusta. Teknisesti tämä taas riippuu merkittävästi työkuorman tyypistä. Pilvipalveluissa puhutaan tyypillisesti IaaS-, PaaS- ja SaaS-työkuormista. Näissä pilvipalvelun tuottajan vastuualueet eroavat merkittävästi. Karkeasti ottaen IaaS-työkuormissa asiakas joutuu vastuuseen suurimmasta osasta ja SaaS-työkuormissa taas pilvipalvelun tuottaja vastaa enimmästä osasta.

Teknisen suojaamisen kannalta juuri IaaS-työkuormat ovat kovennettavissa ja salattavissa julkipilvessä täysin Suomessa sijaitsevaa konesalia vastaavalle tasolle. PaaS- ja SaaS-työkuormien kovennus ja salausmahdollisuudet, esimerkiksi omilla salausavaimilla, riippuvat paljon palvelusta ja toteutustavasta.

Lähteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta
Microsoftin dokumentaatio pilvipalveluiden tiedonsuojasta ja vaatimuksenmukaisuudesta

Tämän blogahduksen kynäilin alunperin Loihde Trustille, alkuperäisen löydät täältä:
https://web.archive.org/web/20240620054533/https://www.loihdetrust.com/blogi/ovatko-regulaatiot-pilvelle-liian-raskas-taakka/