Pilvipalveluiden suojaaminen

Julkaistu 11.9.2019.
Artikkelin lukuaika n. 5 minuuttia.

Perinteisesti yrityksen tiedot tallennetaan sisäverkossa olevaan palvelimeen ja tietoihin pääsee käsiksi silloin, kun on kytkettynä toimiston verkkoon, tai siihen muodostaa erillisen etäyhteyden. Monesti tällaisen ratkaisun käyttäminen toimiston ulkopuolelta ei toimi kovinkaan hyvin, koska sovellukset vaativat tasalaatuisen ja nopean yhteyden. Verkon rajoitukset usein estävät tietoihin pääsemisen kotikonttorilta tai työmatkalta, joka ei lisää työskentelyn tehokkuutta. Moderni tapa hoitaa tietoihin pääsy on tallentaa tiedostot pilvipalveluihin, kuten Microsoftin OneDriveen tai rakentaa yritykselle oma pilvipalvelu esim. Seafilellä. OIi kyseessä toteutus yleisestä, tai yrityksen omasta pilvipalvelusta, saadaan näihin yhteys helposti niin tien päältä kuin toimistoltakin.

Luotettavuus

Usein pilvipalveluiden luotettavuudesta ja tietoturvasta ollaan turhaan huolissaan. Isot toimijat pitävät palvelun toiminnassa ja suojattuna, tarjoavat työkaluja vahvaan kirjautumiseen ja lähettävät tietoa ylläpidolle murtautumisyrityksistä. Käytettäessä tällaisia isojen toimijoiden palveluita, ei pilvipalvelun luotettavuus ole yhtään huonompi kuin oman, yleensä huonosti valvottuun verkkoon asennetun palvelimen. Itse asiassa, tilanne on monesti päin vastoin, sillä yrityksissä ei ole yleensä riittäviä resursseja, tai tarvittavaa osaamista ylläpitämään omia palvelimia tietoturvallisesti, eikä niiden vikaantuessa monestikaan ole varalaitteita.

Salasanat

Salasanat ovat yksi isoimmista pilvipalveluiden heikkouksista silloin kun salasanakäytännöt ovat puutteelliset. Tyypillisin puute on, että salasana on liian lyhyt. Hyvän salasanan tulisi olla vähintään 8 merkkiä, mieluummin enemmän, eikä se saisi olla helposti arvattavissa. Perinteisesti salasanaan on suositeltu isoja kirjaimia, erikoismerkkejä ja numeroita, mutta vahvan salasanan tärkein perusta on riittävä pituus, arvaamattomuus ja se että käyttäjälle se on helppo muistaa. Kisu#5 voi vaikuttaa vaikeasti arvattavalta salasanalta, mutta koneellisesti se on helppo murtaa. Koneelle salasana on vain rivi merkkejä, siinä missä mikä tahansa merkkijono, joten ei vie kuin pienen hetken, kun lyhyen salasanan kaikki kirjain/merkkiyhdistelmät on kokeiltu läpi. Jokainen lisämerkki kuitenkin hidastaa salasanan murtamista eksponentiaalisesti, joten vaikkapa KoiruliKahvila_16 on huomattavasti vahvempi salasana, varsinkin jos se vain merkitsee käyttäjälle jotain asiaa, joka on helppo palauttaa mieleen. Yleensä salasana kannattaakin kytkeä johonkin vahvaan henkilökohtaiseen tunnesiteeseen, jotta se on helppo muistaa.

Toinen tyypillinen salasanakäytäntöjen puute on, että käytetään samaa salasanaa useassa eri palvelussa. Tämä on täysin ymmärrettävää nykyaikana, kun palveluita on lukuisia, eikä ihmisillä ole mahdollisuutta muistaa loputtomiin erilaisia mutkikkaita salasanoja. Tästä syystä samaa salasanaa tulee monesti käytettyä kaikkiin palveluihin, vaikka aika-ajoin palveluiden salasanatietokannat vuotavat murtautujille. Näin on käynyt mm. Adobelle, DHL:lle, Dropboxille, LinkedIn:lle sekä monille muille vuosien varrella. Jos olet käyttänyt näissä palveluissa samaa salasanaa kuin vaikkapa Facebook-tililläsi, on täysin mahdollista, että murtautujat voivat kirjautua näillä tiedoilla Facebook-tilillesi; heillähän on toisesta järjestelmästä saatu sähköpostiosoitteesi, sekä salasanasi. Tästä syystä saman salasanan käyttäminen monessa eri palvelussa ei ole hyvä idea. Käyttämällä eri palveluissa eri salasanoja, eivät muut tilit vaarannu yhden palvelun tietojen vuotaessa.

Niin kummalliselta kuin se kuulostaakin, kaikkein paras salasana on sellainen, jota ei edes itse tiedä. Se voi olla vaikka 32-merkkinen, sisältäen mitä kummallisempia koukeroita, numeroita ja erikoismerkkejä. Tällaisen salasanan muistaminen ja käyttäminen arjessa on tietenkin mahdotonta ilman apuvälineitä. Tässä kohtaa apuun otetaan ns. salasanaholvi, johon kaikki salasanat tallennetaan ja holvi suojataan yhdellä riittävän vahvalla, niin kutsutulla Master-salasanalla. Holvissa mutkikkaat salasanat ovat turvassa vahvasti salattuna ja niiden käyttäminen eri verkkopalveluissa on helppoa, koska holvista voi poimia salasanan kirjautumisikkunaan. Tällaisia tuotteita ovat esimerkiksi ilmainen LastPass, tai kotimainen F-Secure Key, joihin salasanojen tallentaminen on pöydällä olevia paperilappuja tai tietokoneella olevia tekstitiedostoja paljon turvallisempi tapa.

2-vaiheinen autentikointi (2FA*, MFA**)

* 2FA = Two Factor Authentication
** MFA = Multi Factor Authentication

Internet-verkkoon avoimiin pilvipalveluihin, jotka käyttävät sähköpostin ja salasanan yhdistelmää kirjautumisessa, voi kuka tahansa yrittää kirjautua mistä tahansa. Murtautujan on mahdollista saada käyttäjän salasana toisesta murretusta verkkopalvelusta, käyttäjän koneelta löytyvästä salasanatiedostosta, tai asentamalla koneelle taustalle piiloutuvan sovelluksen, joka kerää kaikki näppäimistön painallukset ja lähettää kirjoitetut tekstit murtautujalle. Käytännössä salasanan vuotaminen mahdollistaa pilvipalveluun kirjautumisen ja vapaan pääsyn tietoihin ilman, että käyttäjä edes tietää palveluun olevan murtauduttu. Onneksi asiaton kirjautuminen on mahdollista estää helposti kaksivaiheisella autentikoinnilla, jossa sisäänkirjautumiseen tarvitaan salasanan lisäksi toinen vahvistusmuoto, missä yleensä kyseessä on mobiililaite. Tutumpi on pankkien käyttämä avainlukulista, joka on kaikille verkkopankkia käyttäville tuttu 2FA-kirjautumisen muoto.

2FA:n etu on siinä, että vaikka salasana päätyisi hakkereille, niin sillä ei voi tehdä yhtään mitään, koska kirjautuminen verkkopalveluun varmennetaan lähettämällä matkapuhelimeen tekstiviestillä varmistuskoodi, joka pitää syöttää salasanan lisäksi. Toinen vaihtoehto on käyttää esim. yleistä Microsoft Authenticator tai Google Authenticator sovellusta, jotka tarjoavat minuutin välein vaihtuvan koodin, joka syötetään palveluun kirjauduttaessa. Lisäksi Microsoft Office 365:n kirjautumiseen on myös mahdollista valita vaihtoehdoksi Microsoft Authenticatorin hyväksymismenetelmä, jossa verkkopalveluun kirjauduttaessa mobiililaitteen ruudulle ilmestyy kysymys, jossa kirjautumisen voi sallia, tai estää jos sitä ei tunnista itse tehdyksi. Tämä on erittäin kätevää, koska mitään koodeja ei tarvitse kirjoittaa mihinkään, riittää vain hyväksymisen painaminen. Toki, on vain oltava tarkkana, ettei hyväksy mitään kirjautumista, jota ei ole itse juuri sillä hetkellä tekemässä.

Varmuuskopiointi

Yksi hyvin yleinen harhaluulo on, että pilvipalveluntarjoajat varmuuskopioivat kaikki tiedostot. Totuus on kuitenkin se, että pilvipalveluihin tallennetut tiedot voidaan menettää, eikä palveluntarjoaja ota tietojen säilyvyydestä mitään vastuuta, he vastaavat vain teknisestä alustasta. Tämä tarkoittaa sitä, että pilvipalveluun tallennetut tiedot on syytä varmuuskopioida automatisoidusti. Tämä mahdollistaa tietojen palautuksen silloin kun pilvipalveluntarjoajan järjestelmä kaatuu, tietoja menetetään esim. käyttäjän toimesta, tai tiedot muuttuvat salatuksi tietomurron vuoksi. Jos käyttäjän koneelle pääsee haittasovellus, joka salaa kaikki koneelta lyötyvät tiedot, on täysin mahdollista että myös pilvipalvelussa olevat tiedot on sen jälkeen salattuna, eikä niihin enää pääse, ellei maksa kiristäjille isoja rahallisia korvauksia salausavaimen toivossa. Lisäksi myös luotettavilla pilvipalveluntarjoajilla on aika-ajoin katkoksia palveluissaan. Tällaisessa tilanteessa varmuuskopiosta on mahdollista palauttaa kriittisiä tietoja omalle tietokoneelle siksi aikaa, kun palveluntarjoaja selvittää ongelmaa ja palauttaa alkuperäiset tiedot käyttöön.

Varmuuskopiointi tulisi suunnitella siten, että se toimii taustalla ja varmentaa tiedot eri palveluntarjoajan palveluun. Tällainen on mm. Nexetic ShieldBackup, jolla Googlen G Suite tai Microsoftin Office 365 palveluissa olevat sähköpostit, kalenterimerkinnät, yhteystiedot sekä tiedostot voidaan varmuuskopioida ajastetusti pari kertaa vuorokaudessa. Palvelu ottaa yhteyden suoraan Googlen tai Microsoftin pilvipalveluun, eikä sitä varten tarvitse pitää erikseen mitään tietokonetta käynnissä; varmuuskopiointi tapahtuu taustalla täysin automaattisesti palveluiden välillä. Nexetic ShieldBackup portaalista ylläpito voi helposti seurata, että tiedot on onnistuneesti varmuuskopioitu ja käyttäjät voivat palauttaa poistamiaan tietoja, esim. vahingossa poistetun sähköpostin tai OneDrive-tiedoston.