Tiivistelmä:
- Geopoliittinen epävarmuus ja kyberuhat pakottavat organisaatiot arvioimaan uudelleen, mihin tietoa kannattaa tallentaa ja kenelle sen hallinta uskotaan
- Hybridiympäristö yhdistää pilvipohjaisten palveluiden joustavuuden ja paikallisen infrastruktuurin hallinnan – ja säilyttää päätäntävallan asiakkaalla
- Täysin amerikkalaisten pilvipalveluiden varaan rakentaminen sisältää poliittisia ja juridisia riskejä, joita ei aiemmin ole riittävästi huomioitu
- Kokonaisnäkyvyys tietoturvavalvonnassa on avainasia: sirpaloitunut tilannekuva jättää organisaation haavoittuvaksi
- Hybridiratkaisut yleistyvät erityisesti kriittisellä infralla ja keskisuurissa sekä suurissa organisaatioissa
Maailmantilanne on muuttunut nopeasti. Geopoliittinen epävarmuus, kasvavat kyberuhat ja etätyön vakiintuminen osana arkea asettavat organisaatioiden IT-ympäristöille uudenlaisia vaatimuksia.
Samaan aikaan pilvipalveluiden käyttöönotto on kiihtynyt – ja monessa organisaatiossa se on tapahtunut ilman riittävää strategista harkintaa. Hybridiympäristöt ovat nousseet yhä useammin vastaukseksi tähän yhtälöön.
Muuttunut maailmantilanne heijastuu suoraan IT-vaatimuksiin
Kun organisaatiot ovat rakentaneet IT-ympäristöjään viime vuosina, pilvipalvelut ovat olleet luonteva suunta.
Kustannussäästöt, skaalautuvuus ja modernit palvelut ovat houkutelleet yrityksiä siirtämään yhä enemmän toimintojaan esimerkiksi Azureen, Google Cloud Platformille tai Amazon Web Servicesiin. Suomessa tämä kehitys on edennyt hieman muita maita hitaammin. Se ei kuitenkaan ole enää yksinomaan haitta.
Viimeaikaiset geopoliittiset tapahtumat ovat herättäneet monessa päättäjässä kysymyksen, millainen merkitys on sillä, että kriittiset tiedot ja järjestelmät sijaitsevat amerikkalaisten pilvipalveluntarjoajien ympäristöissä.
Poliittinen tai juridinen riski ei ole vain teoreettinen. Jos yhdysvaltalainen palveluntarjoaja saa viranomaismääräyksen tai poliittinen tilanne eskaloituu, millainen vaikutus sillä on suomalaisen organisaation tietojen saatavuudelle ja turvallisuudelle? Nämä kysymykset ovat nousseet asiakaskeskusteluissa yhä konkreettisemmiksi.
Hybridiympäristö: parempi kuin täysi pilvi tai pelkkä on prem -ympäristö?
Monille organisaatioille hybridiympäristö, jossa yhdistyvät oma tai paikallinen infrastruktuuri ja pilvipalvelut, on tällä hetkellä realistisin ja turvallisin ratkaisu. Miksi?
- Ensinnäkin monilla organisaatioilla on jo olemassa oma ympäristö. Sen kaikkien elementtien siirtäminen pilvipalveluihin ns. lift-and-shift-tyyppisesti voi helposti tuoda yllättäviä kustannuksia ja kompleksisuutta, eikä se välttämättä palvele liiketoimintaa aiottua paremmin.
- Toiseksi hybridiympäristö antaa organisaatiolle päätäntävallan. Se voi itse valita, mitä tietoja vie pilvipalveluihin ja mitä pitää omassa tai suomalaisen kumppanin hallinnoimassa ympäristössä. Tämä ei tarkoita, että kaiken pitäisi olla omassa ympäristössä – se tarkoittaa, että päätös on organisaation itsensä, ei yhdysvaltalaisen palveluntarjoajan sopimusehtojen varassa.
- Kolmanneksi hybridiympäristö mahdollistaa toimittajariippumattomuuden. Organisaatio ei ole lukittuna yhteen pilvipalveluun vuosiksi, vaan sillä säilyy mahdollisuus vaihtaa tai yhdistää eri palveluntarjoajia tarpeen mukaan.
Pienimmille yrityksille hybridimalli ei välttämättä ole oikea valinta. Heille yksinkertaisin ratkaisu on usein täysin pilvipalveluihin nojaava ympäristö.
Sen sijaan keskisuurille ja suurille organisaatioille, eli erityisesti niille, joilla on jo olemassa olevaa omaa infraa tai jotka toimivat kriittisillä toimialoilla, hybridiympäristö tarjoaa tasapainon joustavuuden ja kontrollin välillä.
Vanhan maailman ajattelutapa tietoturvan riskinä
Yksi selkeimmistä riskeistä nykypäivänä on, että organisaatiot hoitavat tietoturvan ja verkkoinfran ”niin kuin aina ennenkin on tehty”, vaikka ympäristö on jo muuttunut merkittävästi.
Pilvisiirtymä tapahtuu usein vähitellen, eikä aina strategisesti: ensin otetaan käyttöön Microsoftin pilvipalvelut, koska lisensointi sen mahdollistaa, ja sitten huomataan, että tietoturva-ajattelu on jäänyt vanhan mallin tasolle. Tällöin uuden pilviympäristön tietoturvallisuutta ei ole mietitty riittävällä syvyydellä, eikä sitä ole yhdistetty olemassa olevan ympäristön suojausmenetelmiin.
Tuloksena on pirstaloitunut tilannekuva, jossa valvontaa tehdään usealla eri työkalulla, mutta kellään ei ole kokonaisnäkyvyyttä koko ympäristöön. Tämä on valitettavasti hyökkääjille kultainen tilaisuus, sillä he löytävät organisaation ympäristön ns. blind spotit eli katvealueet, joihin kenelläkään ei ole näkyvyyttä.
Hybridiympäristö vaatii hybridin tietoturvan
Tilannekuvan pirstaloituminen ei myöskään rajoitu pelkästään oman ympäristön ja pilven väliin, vaan sitä esiintyy yhtä lailla eri pilvipalveluntarjoajien välillä.
Niiden natiivit tietoturvaratkaisut tukevat tyypillisesti jollain tasolla myös muiden pilvien suojaamista, mutta ominaisuudet ovat yleensä parhaimmillaan vain omalla kotikentällä. Devil is in the details. Natiivit työkalut eivät myöskään sovellu hybridiympäristön yhtenäisen tietoturvaratkaisun toteuttamiseen tai kokonaisvaltaisen teknisen tietoturvan tilannekuvan koostamiseen.
Tietoturvakyvykkyyksien keskittäminen yhden infrastruktuuritoimittajan ekosysteemin päälle voi nopeuttaa käyttöönottoa lyhyellä aikajänteellä. Samalla se kuitenkin ohjaa valintoja kohti saman toimittajan muita ratkaisuja, mikä lisää entisestään toimittajariippuvuutta ja siihen liittyviä riskejä.
Ratkaisu lähtee kokonaisnäkyvyyden rakentamisesta. Kun operatiivisen tason tilannekuva on koottuna yhteen paikkaan, tietoturvavalvontaa voidaan kehittää johdonmukaisesti. Samalla koko ympäristö, sekä pilvi- että oma infrastruktuuri, on katetusti saman suojauksen ja havainnoinnin piirissä.
Julkinen sektori ristiaallokossa – onni onnettomuudessa?
Suomessa on herännyt laajempaa keskustelua julkisen sektorin pilvisiirtymistä, kuten esimerkiksi Kelan ja Verohallinnon hankkeista siirtää kriittisiä järjestelmiä amerikkalaisiin pilvipalveluihin. Mittavan kokoluokan projektit ovat käynnistyneet usein kustannussäästöjen ja modernisaation ajamina, ja niiden takana on vuosien suunnittelu ja kilpailutusprosessit.
Paradoksaalisesti Suomen perinteisesti hitaampi tahti teknologioiden omaksumisessa voi osoittautua eduksi, sillä suuri osa täydestä pilvisiirtymästä on vielä kesken, jolloin on vielä mahdollista pysähtyä harkitsemaan, mitä tietoja kannattaa viedä mihinkin ympäristöön.
Suomessakin löytyy jo kotimaisia pilviratkaisuja, joissa data pysyy Suomessa. Niihin voidaan yhdistää hybridimalliin sopivia tietoturvaratkaisuja.
Kyse ei ole siitä, että kaiken pitäisi olla omassa ympäristössä tai että amerikkalaisia palveluntarjoajia pitäisi välttää periaatteen vuoksi. Pointtina on sen sijaan harkinta, mitä tietoa on turvallista ja järkevää viedä minnekin ja miten päätäntävalta säilytetään organisaatiolla itsellään.
Hybridiratkaisut yleistyvät erityisesti kriittisellä infralla
Hybridiympäristöt ovat jo nyt melko yleisiä isoissa ja kypsän tietoturvakulttuurin organisaatioissa. Lähitulevaisuudessa niiden yleistyminen näyttää todennäköiseltä etenkin kriittisillä toimialoilla, kuten energia-alalla, terveydenhuollossa ja julkishallinnossa, joissa datanhallinnan kontrolli on erityisen tärkeää.
Nykyinen epävarma maailmantilanne toimii tässä katalysaattorina. Monet organisaatiot, jotka olivat voimakkaasti siirtymässä täyteen pilviratkaisuun, ovat nyt pysähtymässä ja harkitsemassa vaihtoehtojaan uudelleen. Se ei tarkoita paluuta vanhaan, vaan harkitumpaa etenemistä.
Tärkeintä on, että organisaatio ei ole pakotettuna valitsemaan yhtä ainoaa mallia. Hyvä ratkaisu on sellainen, joka toimii niin puhtaasti pilvipohjaisessa ympäristössä, omassa infrastruktuurissa kuin näiden kahden yhdistelmässäkin – ja joka jättää päätäntävallan datan kulusta aina asiakkaalle itselleen.