Tunnetko jo PiTuKrin?
Tietoturva Nyt!
Tiedätkö, millaista tietoa pilvipalveluissa kannattaa käsitellä ja miten palvelujen käyttöön liittyviä riskejä voi hallita? Julkaisemamme Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri) on tarkoitettu parantamaan pilvipalveluissa käsiteltävän salassa pidettävän tiedon turvallisuutta. Ensisijaisesti kriteeristö on tarkoitettu viranomaiskäyttöön, mutta sitä voivat hyödyntää myös muut organisaatiot.
Haluamme parantaa pilvipalveluiden turvallisuutta niin julkisella kuin yksityiselläkin sektorilla. Pilvipalveluiden kasvava rooli on herättänyt perustellusti kysymyksiä siitä, millaisia riskejä erilaisiin käyttötapauksiin liittyy. Pilvipalveluiden asema tulee korostumaan entisestään myös IoT-laitteiden ja palveluiden vallatessa alaa lähivuosina. Toivomme, että mahdollisimman moni organisaatio ottaa kriteeristön käyttöönsä, sanoo Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki.
Työkalu pilvipalvelujen turvallisuuden arviointiin
PiTuKri sisältää tulkintoja ja ohjeistuksia pilvipalveluihin liittyvien riskien arviointiin. Lisäksi siihen on koottu pilvipalvelujen turvallisuuteen vaikuttavia hyviä käytäntöjä, joita voivat hyödyntää myös kaupalliset toimijat.
Kriteeristö auttaa uusien pilvipalvelujen hankinnoissa ja jo käytössä olevien pilvipalveluiden suojausten arvioinnissa. Kriteeristöä voidaan hyödyntää myös yksityisellä sektorilla liiketoimintakriittisten palvelujen ja tietojen suojaamiseen.
Ohjeistusta pilvipalveluihin liittyvien riskien arviointiiin ja hallintaan on odotettu
Kulunut vuosikymmen on vakauttanut pilvipalvelut osaksi organisaatioiden tavallista tietojenkäsittely-ympäristöä. Helppokäyttöisyys, kustannustehokkuus ja kyky vastata vaihtuviin tarpeisiin tukevat monia käyttötarpeita.
Pilvipalvelujen rooli osana yhteiskuntamme toimivuuteen vaikuttavista ja verkottuneista laitteista (IoT, Internet of Things) kasvaa yhä. Kehitys on herättänyt perustellusti kysymyksiä myös siitä, millaista tietoa pilvipalveluissa voi ja kannattaa käsitellä, sekä millaisia riskejä erilaisiin käyttötapauksiin liittyy.
Tarve pilvipalveluihin liittyvien riskien arviointia ja hallintaa tukeville ohjeistuksille on ollut havaittavissa erityisesti valtionhallinnossa. Valtiovarainministeriö julkaisi alkuvuodesta 2019 Julkisen hallinnon pilvipalvelulinjaukset (Ulkoinen linkki), jotka määrittävät yleiset suuntaviivat pilvipalveluiden käyttöön. Useat organisaatiot ovat ilmaisseet tarpeen myös yksityiskohtaisempiin tulkintoihin ja ohjeistuksiin, mitkä tukisivat pilvipalvelujen turvallista hyödyntämistä myös käytännön työssä.
Kriteeristön kehitys jatkuu
PiTuKrin lähtökohtana ovat olleet kansalliset tarpeemme. Kriteeristön laadinnassa on hyödynnetty jo olemassa olevia viitekehyksiä, joita on täydennetty ja muokattu muun muassa valtionhallinnon erityistarpeet huomioiden.
Jatkamme kriteeristön kehitystä, keräämme palautetta ja kriteeristön jatkokehitystoiveita. Huomioimme ne kriteeristön päivitetyissä, myöhemmin julkaistavissa versioissa.
Kriteeristön käyttöön tulemme julkaisemaan myös tukityökaluja ja lisätietoaineistoja sekä räätälöidyn version kansalaisten ja pienyhteisöjen tarpeisiin.
Lisäksi kriteeristön ruotsin- että englanninkieliset käännökset julkaistaan verkkosivuillamme myöhemmin.
Tutustu kriiteeristöön verkkosivuillamme , NCSA-osion kohdassa Ohjeita.
Yhteydenotot ja lisätiedot
- Sauli Pahlman, osastopäällikkö, Liikenne- ja viestintävirasto Traficom, Kyberturvallisuuskeskus
- puh. 029 539 0577
- sauli.pahlman(at)traficom.fi, ncsa(at)traficom.fi
Lue myös