Pilveteenused on iseenesest head asjad ning nende abil saab teha palju kasulikku. Reeglina rakendavad teenusepakkujad päris aktiivselt erinevaid turvameetmeid, et tagada nii andmete käideldavus, terviklus kui ka konfidentsiaalsus. Teisalt pole päris õige ka levinud arvamus, et pilves on kõik turvaline.
Milliste küberohtude eest peaks pilveteenuste kasutajad silmad lahti hoidma ja kuidas valida pilveplatvormi selliselt, et mitte küberpättide võrku langeda? A ja O teeb selgeks RIA järelevalveosakonna juht Ilmar Toom.
Teenuseosutaja reeglina andmete eest ei vastuta
Toomi sõnul on oluliste intsidentide toimumise tõenäosus pilves reeglina küll väiksem kui n-ö maa peal, aga kui midagi juhtub, siis on selle mõju palju suurem, tihti lausa ülemaailmne – olgu siis tegemist probleemidega teenuse kättesaadavuses või andmelekkega. Näiteks võib tuua hiljutise Teamsi logide lekke, mille tagajärjel sai avalikuks 38 terabaiti andmeid.
RIA järelevalveosakonna juhi hinnangul on Eestis üks suuremaid probleeme pilveteenuste kasutamisel see, et puudub õigusselgus, mida tohib pilve panna ja mida mitte. Avalikus sektoris on selleks vaja õiguslikku alust, mille olemasolu on täna väga ähmane. Teiseks on Eesti õiguses realiseerimata jagatud vastutuse põhimõte. See tähendab, et mitmed teenuseosutajad on selgesõnaliselt väljendanud, et nad ei vastuta nende valduses olevate andmete eest.
“Lisaks võib välja tuua selle, et tänapäevaste pilvelahenduste puhul on tehniliselt vajalik, et pilveteenuse osutajad näeks andmeid, mida nad töötlevad. Seetõttu ei ole tagatud konfidentsiaalsus. Probleemiks on see eeskätt tundlike andmete puhul,” sõnab Toom.
Tänapäevased pilveteenused on sageli ka niivõrd keerulised, et enamikul klientidel on neist raske aru saada, mistõttu käib nende sisuline haldamine üle jõu. Siis tuleb kasuks eestimaine teenusepakkuja, kellelt saab häda korral lihtsa vaevaga emakeeles abi ja nõu küsida.
“Kohati tundub, et teenusepakkujad võiksid ka konkreetse tarbija vajadusi ja eripärasid rohkem arvesse võtta, kuid see on eelkõige kinni kliendi enda teadlikkuse ja nõudlikkuse taga,” märgib Toom.
Pilveteenuse tarbija peab kõigepealt selgeks tegema, mida tal üldse vaja on
Pilveteenuse tarbija ehk andmete omanik vastutab talle usaldatud andmete turvalise hoidmise eest lõppastmes ise, mitte ei tee seda pilveteenuse pakkuja. Mõnda liiki andmed vajavad tugevamat konfidentsiaalsuse kaitset, näiteks isikuandmed, terviseandmed, juurdepääsupiirangutega andmed. Aga on ka andmeid, mis nii tugevat kaitset ei eelda.
Seega peaksid pilveteenuste tarbijad Toomi sõnul endale alustuseks hästi selgeks tegema, millise kaitsetarbega teenust nad üldse vajavad ja soovivad. Selle järgi saab hakata vaatama, millised turul pakutavatest teenustest võiksid üldse sobida. Sisuliselt tähendab see objektiivset riskianalüüsi, et välja selgitada, millised on andmete töötlemise nõuded (sh kooskõla GDPR-iga), millised turvameetmed neid tagavad ning kas pilveteenuste kasutamisega kaasnevad riskid on vähendatud aktsepteeritavale tasemele.
“Tuleb olla tark tellija ja saada kõigepealt täielik ülevaade, mida pilveteenuse pakkujalt täpsemalt sisse ostetakse, et ennetada infoturbe nõuete rikkumist ja andmete sattumist kolmandate isikute valdusesse. Sellise ohu realiseerumisel võivad olla rasked tagajärjed,” hoiatab Toom.
RIA järelevalveosakonna juhi sõnul on oluline meeles pidada, et nagu muudes valdkondades, on ka pilveteenustega tihtilugu nii, et kvaliteet (turvalisus, tõrkekindlus, käideldavus, seadistatavus, logimisvõimekus jne) on vastavuses teenuse hinnaga. See tähendab, et tasuta ning odavamates pakettides on reeglina ka vähem võimalusi erinevaid turvaabinõusid kasutada.
Teenusega ei pruugi midagi häda olla, hoopis kasutaja teadlikkus on nadi
RIA järelevalveosakonna juht hoiatab, et isegi kui on soetatud “kõikide tulede ja viledega” paketid, ei tee ükski neist tööd ise ära. “Ka neid teenuseid tuleb hallata ja seda tuleb osata teha. See tähendab IT-inimeste põhjalikku koolitamist ning ka kasutajate teadlikkuse pidevat kasvatamist,” paneb Toom südamele.
Pilveteenuste kasutuselevõtt peakski algama sellest, et koolitatakse välja ja sertifitseeritakse eksperdid, kes oskavad teenuseid õigesti rakendada, kasutades parimaid turvapraktikaid. “See on nagu maja ehitamine – alustama peab ikka vundamendist. Kui pilveteenus on juba kasutusele võetud, aga algusest peale ei ole parimaid praktikaid rakendatud, siis hiljem on maja alla vundamendi ehitamine üsna keeruline,” selgitab Toom.
Personali sertifitseerimine on aga oluline seetõttu, et sertifikaatide saamiseks ei piisa ainult klassiruumis kuulamisest, vaid saadud teadmisi tuleb ka praktiliselt rakendada, mis omakorda aitab oskusteavet kinnistada.
Mida saab teha pilveteenuse pakkuja, et kõik oleks turvaline?
Eestimaise pilveteenuse pakkuja Pilvio müügijuhi Siim Karutoomi sõnul on pilveteenused ühed peamised sihtmärgid küberrünnakutes. Tema arvates on põhjus selles, et pilveplatvormid on tihtipeale avaliku ja erasektori süsteemide alustalaks ehk infrastruktuuriks. Sagedasti esinevatest rünnakutest toob Karutoom esile järgmised:
- DDoS-rünnak (distributed denial-of-service attack ehk hajutatud teenusetõkestusrünne), kus serverid ujutatakse päringutega üle ning üritatakse seeläbi süsteeme kokku jooksutada;
- brute force rünnakud, kus otsitakse juba pilves olevate aplikatsioonide enda nõrkusi ning rünnatakse seda kasutades, et saada ligipääs andmebaasidele, süsteemidele ja programmidele, mida pilveplatvormil hoitakse. Siinkohal tuleb kasutajal endal palju ära teha ning vastavad turvameetmed seadistada;
- sisselogimisinfo tahtmatu jagamine või vargus, kus küberkurjategija saab ligipääsu ohvri arvutisse ja seeläbi kopeerib sisselogimisinfot ja paroole. See annab omakorda ligipääsu pilveplatvormile ning lubab seeläbi olemasolevas infrastruktuuris muutusi läbi viia.
Kuidas Pilvio tagab, et need ohud ei realiseeruks?
“Kasutame vahendeid DDoS-rünnakute varaseks avastamiseks ja mõjude vähendamiseks; kohtades, kus võimalik, kasutame parooli asemel tugevamaid autentimise vahendeid; kasutame tulemüüre. Infrastruktuuri kaitsest täpsemalt rääkida ei saa, kuna küberturve on kassi ja hiire mäng, kus turvatud keskkond peab alati sammu võrra ees olema potentsiaalsest ründajast,” sõnab Karutoom.
Kui valite pilveteenust, tasub alati vaadata teenusepakkujate rünnakute ajalugu ning pöörata erilist tähelepanu, kuidas on neid rünnakuid ennetatud/tõrjutud. “Siinkohal tuleb enamasti vaadata andmekeskuse enda turvalisust ning seejärel juba platvormi turvet,” selgitab Karutoom.
Pilvio müügijuhi sõnul on küberturbe tagamiseks vaja alati lisada väline monitooring kliendi enda poolt aplikatsioonidesse, et tagada hea ülevaade turvalisusest. See omakorda aitab juhtumite korral kiirelt potentsiaalsed vigased ja ebaturvalised koodiread leida.