Kyberturvallisuusriskit ovat lisääntyneet kaikissa digitaalisissa alustoissa pandemian aikana, mutta pilvipalveluiden ongelmat ovat kaikista korostuneimpia.
Merkittävimpiin nykyisiin pilvien tietoturvallisuusuhkiin sisältyvät:
Pilvipalvelujen tietoturvallisuus on ollut huolenaihe pitkään. Henkilökohtaiset pilvipalvelut, kuten Applen iCloud ovat olleet polemiikin kohteena, mutta nykyisin suurin huolenaihe kohdistuu yritysten ja hallitusten toimintojen turvallisuuteen.
Toimistotilojen verkkoja ja laitteistoja on helpompi hallita, kun taas etäkäytössä on useampia hyökkäyksille alttiita yhteyspisteitä. Jokainen yhteys ja komponentti täytyy varmistaa turvallisella, murrot estävällä rakenteella. Turvallisessa etätyösuunnitelmassa kannettavat tietokoneet, puhelimet ja verkkoyhteyslaitteet ovat sisäisen IT-tiimin määrittämiä ja niiden kestävyys on testattu.
Valitettavasti Covid-19-pandemian nopea globaali leviäminen johti yllättävään kotoa työskentelyyn. Etätyöskentelyinfrastruktuurit otettiin käyttöön suunnittelematta. Niiden käytännöt ja työkalut mm. pilvipalvelinten käyttöä koskien olivat vaillinaiset ja keskeneräiset. Pilvipohjaisten yhteistyöalustojen ja virtuaalikokousten lisääntynyt käyttö lisäsi nopeasti tietotekniikka-alan ongelmia.
Fugue-tutkimuksen tuloksista kävi ilmi, että lähes kolme neljästä pilvipalveluissa toimivasta tiimistä koki päivittäin yli 10 ongelmaa pelkästään sopimattomien järjestelmän asetusten takia. Säilytystilojen murrot ja liian löyhät järjestelmien käyttöoikeudet ovat saaneet 84 % yritysten IT-tiimeistä huolestuneiksi, että heidän tietoihinsa saatettu murtautua, mutta sitä ei vielä ole saatu selville. Monien tiimien käyttämä tehoton manuaalinen palauttaminen lisää yhtälöön inhimillisen virheen tekijän, minkä vuoksi pilvipalvelujen vianetsintä ei ole luotettavaa.
Rikolliset hyödyntävät pilvipalvelujen lisääntynyttä käyttöä kohdistaen hyökkäykset laajasti aina terveydenhuoltolaitoksista verkkotyöskentelypalveluihin. Tietoturvallisuudessa on jo olemassa aukkoja ja inhimilliset virheet aiheuttavat lisähuolen organisaatioille. IT-henkilökunnan ja käyttäjien tulee olla jatkuvasti tarkkana kyberuhkien suhteen. Se johtaa "hälytystilaväsymykseen" ja arvostelukyvyn heikkenemiseen.
Pilvipalvelujen tietoturvauhkat on luokiteltu seuraavalla tavoin:
Vaikka nollapäivähyökkäykset ovat täysin mahdollisia, monet hyökkääjät hyödyntävät helpompia, tunnettuja tunkeutumistapoja organisaation pilvijärjestelmiin. Tässä on esitelty joitakin pilven käyttöön vaikuttavia ongelmia:
Väärin konfiguroidut pilvijärjestelmät ovat nykyään tavanomaisia monien yritysten määrittäessä etäjärjestelmiä ensimmäistä kertaa. Pilvipohjainen ympäristö vaatii kattavan turvajärjestelmän, joka vähentää sen heikkoihin kohtiin suuntautuvia verkkohyökkäyksiä. Pilven tarkat määritykset vaativat aikaa, mutta monet IT-osastot ovat joutuneet suorittamaan määritykset kiireessä.
Fuguen huhtikuussa 2020 suorittama tutkimus mainitsee käytäntöjen tuntemuksen puutteen merkittävänä syynä, jonka vuoksi uhkia ei pystytä hallitsemaan tehokkaasti. Tiimien valvonta on puutteellista, samoin kuin myös säännökset kaikkia pilvipalvelujen kanssa toimivia ohjelmointirajapintoja koskien. Ei ole yllättävää, että IT-tiimit eivät ole valmistautuneita uuteen tilanteeseen, jossa on yllättäen monia uusia lupien ja valvonnan tasoja.
Myös kuormituksen testaamisen puuttuminen on huolenaihe siirryttäessä etätyöskentelyyn. Kun koko yritys — tai kymmenet tai jopa sadat yritykset — käyttävät pilvipalvelimia, niiden kapasiteettia pitää säännöllisesti testata. Järjestelmän vakautta ei voida taata testaamatta ja ilman testauksia muuten turvallinen infrastruktuuri saattaa toimia ei-toivotulla tavalla.
Kaikkien näiden haasteiden ollessa vielä ratkaisematta menetelmät otetaan käyttöön samalla, kun ne asennetaan tai niitä testataan. Samanaikainen ongelmien ratkaisu ja päätösten teko aiheuttavat IT-tiimeille paljon työtä, jota he eivät välttämättä pysty tekemään parhaimmillaan. Jokainen heikkous antaa rikollisille oven, josta he voivat päästä sisälle järjestelmään.
Jotkin organisaatiot ovat ottaneet käyttöön käytännön, joissa työntekijät saavat työskennellä kotoa käsin omilla laitteillaan. Näin pyritään helpottamaan etätyöskentelyn vaatimuksia ja lisäämään joustavuutta. Yritysten laitteisto- ja huoltokulut siirtyvät työntekijöille. Mutta samalla yrityksen IT-järjestelmään syntyy monia potentiaalisia murtopisteitä.
Kun laitteita käytetään sekä työhön että henkilökohtaisiin tarkoituksiin, pilvijärjestelmät altistuvat helpommin suojaamattomista laitteista peräisin oleville haittaohjelmille. Useimmilla työpaikoilla työkoneiden henkilökohtaista käyttöä ei sallita. Se myös vähentää päätepisteen käyttäjän suojaamattomien tilien ja tiedostojen kosketusta työpaikan laitteistoihin.
Toimistojen verkot on turvattu palomuureilla, Wi-Fi-reitittimet on suojattu ja jopa työnantajan antamat puhelimet ovat IT-tiimin hallitsemia. He takaavat säännöllisesti, että hyökkäyksille altistuvat pinnat noudattavat viimeisimpiä tietoturvaprotokollia ja ohjelmistopäivityksiä.
Monet organisaatiot toimivat sokeasti uudessa etätyöskentelyilmastossa. Vain muutamat, jos yksikään yrityksen tietokoneista tai puhelimista ovat valmiita työntekijöiden etäkäyttöön. Olemassa olevat haittaohjelmatartunnat ovat yksi monista suojaamattomien henkilökohtaisten laitteiden huolenaiheista. Vanhentuneet käyttöjärjestelmät ja muut laitteiden ohjelmat joutuvat helposti rikollisten hyökkäysten kohteeksi. Työntekijän kotiverkossa olevat muiden perheenjäsenten laitteet saattavat myös olla haittaohjelmien vektori.
Vaikka laitteisto olisi IT-tiimin tarkastamaa, monet työpaikkojen suojaukset ovat merkityksettömiä, kun kunkin käyttäjän kotiverkon turvallisuutta ei pystytä tarkistamaan.
Rikolliset pyrkivät yhä innokkaammin tunkeutumaan sisään pilviarkkitehtuurin valvomattomista aukoista hyödyntääkseen tai häiritäkseen organisaatioita. Sitä tapahtuu jopa tällaisina vaikeina aikoina.
Tietojenkalastelua käyttävät hyökkääjät tekeytyvät luotettaviksi henkilöiksi tai viranomaisiksi ja painostavat uhreiltaan arvokkaita tietoja tai pääsyn yksityistileille. Tällä termillä viitataan usein verkkotilin käyttöoikeuksien tai rahan varastamiseen. Tämänkaltaiset sosiaalisen manipuloinnin menetelmät ovat houkutteleva tapa hankkia työntekijöiltä pääsy pilvijärjestelmään.
Tietojenkalastelu haittaohjelmien avulla toimii niin, että hyökkääjä tekeytyy luotettavaksi tahoksi ja houkuttelee uhrit avaamaan tartunnan saaneita tiedostoja tai linkkejä. Hyökkäys voidaan kohdistaa työntekijöihin yrityksen pilvisäilytystilojen, tietokantojen ja muiden verkossa olevien rakenteiden tartuttamiseksi. Kun rakenteet on tartutettu, haittaohjelma voi levitä aiheuttaen monenlaisia häiriöitä ja yleensä aiheuttaa koko organisaation laajuisen tietomurron.
Pilvipalveluiden väsytysmenetelmähyökkäykset sisältävät mm. tunnistetietojen täytön, jossa muilta tileiltä varastettuja tunnistetietoja syötetään useisiin palveluihin. Hyökkääjät pyrkivät hyödyntämään mitä tahansa salasanan ja käyttäjänimen yhdistelmää monilla eri tileillä. Tyypillisesti varastetut tunnistetiedot ovat peräisin olemassa olevista tilimurroista ja tietoja myydään pimeässä verkossa. Nopeat kirjautumisyritykset kaukaisista paikoista voivat olla varoituksen merkki juuri tällaisesta toiminnasta.
Palvelunestohyökkäykset (DDoS) ylikuormittavat pilvipalvelimet tai niitä ympäröivät rakenteet häiritäkseen palveluja tai pakottaakseen ne pois verkosta. Niitä saattaa tapahtua botnet-pohjaisissa tai tietojenkalastelu-uhkissa, joissa hyökkääjät pääsevät käsiksi järjestelmään ja käyttävät ennalta määritettyä etätietokonearmeijaa hyökkäyksen toimeenpanemiseksi. DDoS-hyökkäykset ovat houkuttelevia, koska ne on helppo toimeenpanna ja ne aiheuttavat laajalti haittaa verkkopohjaisiin toimintoihin. Monet pilvipalveluja käyttävät organisaatiot ovat vielä haavoittuvampia puutteellisen infrastruktuurin vuoksi.
Kiinnitä huomiota muutamiin avainalueisiin parantaaksesi pilvipalvelujen datan turvallisuutta. Tietojen salaus on tärkeää pilven tietoturvallisuuden kannalta. Salaus sekoittaa tiedot niin, että ne ovat käyttökelvottomia kenelle tahansa, jolla ei ole avaukseen tarvittavia avaimia. Tässä on muutama vinkki avuksesi.
Yksityisenä kotikäyttäjänä voit tehdä seuraavat toimenpiteet:
Jos haluat turvata pienen, keskisuuren tai suuren yrityksen järjestelmät, tutustu seuraaviin ohjeisiin:
Pilvipalvelujen tietoturvahaasteiden ratkaisu voidaan aloittaa loppukäyttäjän suojaustyökalujen ja menetelmien avulla. Onpa kyse henkilökohtaisesta käytöstä tai yrityksen IT-käytäntöjen suunnittelusta, tässä on joitakin vinkkejä, joiden avulla pidät pilvipalvelusi turvassa:
Aiheeseen liittyvät tuotteet
Aiheeseen liittyvät artikkelit: