Saako TLIV-luokiteltua tietoa säilyttää EU/ETA-alueella sijaitsevassa Azure-pilvessä, kun tiedon mukana on erityistä henkilötietoja? 2NS sai tehtäväkseen selvittää onko tämä mahdollista. TLIV-tason tietoa on tässä tapauksessa sekä itse tiedostoissa että tiedon metadatassa. Nimenomaisessa tapauksessa oli haluttu muodostaa tietokanta, johon voitiin tehdä hakuja käyttäen erityistä henkilötietoa sisältäviä hakusanoja.
Toimeksiannon toteutti 2NS:n tietoturva-arkkitehti Harri Verho.
Pohjaksi on syytä tietää, että valtioneuvoston asetus asiakirjojen turvallisuusluokittelusta valtionhallinnossa (1101/2019), jatkossa turvallisuusluokitteluasetus, sääntelee turvallisuusluokiteltujen tietojen käsittelyä. Asetuksen 9 §:n mukaan tiedonhallintayksikön on määritettävä tietyt fyysisesti suojatut turvallisuusalueet turvallisuusluokiteltujen asiakirjojen käsittelyn ja tietojärjestelmien suojaamiseksi asetuksen 10 §:ssä tarkoitetulla tavalla.
Käytännössä tämä tarkoittaa velvoitetta sijoittaa turvaluokitellut tietojärjestelmät fyysisesti laissa tarkoitetulle turvallisuusalueelle, jolloin poissuljetaan mm. julkisten pilvipalveluiden tarjoamat palvelut.
Valtionhallinnon ohjeissa turva-alue määritellään tarkemmin käyttäen julkisen hallinnon tietoturvallisuuden arviointikriteeristöä (Julkri). Siellä salauksen katsotaan olevan rinnakkainen suojauskeino turva-alueen kanssa, salaukseen ja sen hallintaan on kuitenkin olemassa useita vaihtoehtoja.
Näiden lisäksi tiedonhallintalain 14 §:ssä ja vastaavasti turvallisuusluokitteluasetuksen 12 §:n 2 momentissa edellytetään tiedon salaamista sen siirtämiseksi tietoverkoissa. Turvallisuusluokiteltujen asiakirjojen käsittelyyn käytetyt tietojärjestelmät ja tietoliikennejärjestelyt on turvallisuusluokitteluasetuksen 11 §:n 1 momentin 1 kohdan mukaan toteutettava siten, että ne erotetaan niissä käsiteltyjen asiakirjojen turvallisuusluokka huomioiden riittävän luotettavasti alemman turvallisuustason tietojärjestelmistä ja tietoliikennejärjestelyistä.
JulKri:n asetetut alkuehdot olivat seuraavat:
| Esiehdot: | Käyttäjän valinnat |
| Turvallisuustasot | |
| Vaadittava luottamuksellisuuden taso | TL IV |
| Vaadittava eheyden taso | Tärkeä |
| Vaadittava saatavuuden taso | Tärkeä |
| Henkilötiedot arvioinnin kohteessa | Erityisiin henkilötietoryhmiin kuuluvia tietoja |
| Arviointiin sisällytettävät osa-alueet | |
| Hallinnollinen turvallisuus | Kyllä |
| Fyysinen turvallisuus | Kyllä |
| Tekninen turvallisuus | Kyllä |
| Tietosuoja | Kyllä |
| Varautuminen ja jatkuvuudenhallinta | Kyllä |
| Käyttötapaus | SaaS-pilvipalvelun arviointi |
Tehtäessä jäännösriskianalyysiä huomataan, että tiedon salaamisen lisäksi korkealle riskitasolle nousevat myös julkisen pilvipalvelutoimittajan palvelun sisältöön ja laajuuteen tekemät ennakoimattomat muutokset joihin palvelunkäyttäjillä ei ole mahdollisuutta vaikuttaa.
Ennakoimattomien muutosten lisäksi pilvipalveluntarjoajan toimittamissa sovelluksissa ja työkaluissa on haavoittuvuuksia tai puutteita, joita ei tunnisteta riittävällä tarkkuudella tai riittävän ajoissa. Näin on varsinkin silloin kun käytetään nk. bleeding edge-versioita palveluntarjoajan sovelluksista.
Eräänä riskitekijänä on tiedon ja siihen liittyvien kontrollien siirtyminen pois hallintoalueelta, johon asiakkaalla on riittävä lainsäädännöllinen turva. Tällöin on mahdollista, että tietoon pääsevät käsiksi henkilöt tai organisaatiot, joille ei ole annettu oikeutta tietoon, mahdollisesti jopa asiakkaan siitä tietämättä.
Oman riskinsä tuo asiakkaan kyky käyttää toimivia prosesseja ja kontrolleja, joilla on riittävä mahdollisuus hallinnoida pilvitarjoajan, ylläpitäjän ja toimittajan monitoimitusympäristöä.
Tarkastelussa nähdään kuitenkin mahdollisuuksia sekä teknisille että prosessillisille kontrolleille, joilla jäännösriskiä voidaan vähentää, joskaan ei kokonaan poistaa. Keskeisimmät keinot jäännösriskien vähentämiselle ovat seuraavia:
- Tieto suojataan joko asiakkaan tai heidän toimittajiensa avaimilla, jolloin kaikki tieto pilvessä on palveluntarjoajalle salattua. Keinot tähän ovat:
- Pilvipalvelun Key Vaultissa säilytetään asiakkaan omia pilvitoimittajasta riippumattomassa palvelussa generoituja avaimia.
- Toinen mahdollisuutena on käyttää esim. Azure Key Vault Managed Hardware Security Module (HSM). Tällöin on huomioitava, että avainten hallinta on kokonaisuudessaan EU/ETA-alueella.
- Tiedonsiirtoväylä asiakkaan ja pilven välillä suojataan monikerroksellisesti.
- Tieto jaetaan pilvessä tarkoituksenmukaisesti eriytettyihin palveluihin, joissa kaikissa on toisistaan eriytetty avaintenhallinta ja käyttövaltuutus.
- Asiakas seuraa sovellustoimittajansa ja ylläpitäjiensä kanssa tiiviisti pilvipalveluntarjoajan sopimuksellisia ja teknisiä muutoksia.
- Pilvipalvelun tarjoamista tuotteista ja toiminteista otetaan käyttöön versioita, joista on jo käyttökokemusta muillakin asiakkailla kuitenkin huolehtien, että ko. versioiden tuki on edelleen jatkuvaa.
- Sopimuksellisesti varmistetaan, että kaikki tietoturvallisuuteen ja tiedon ja kontrollien liittyvät toiminnat ovat alueella, joiden laki on yhtenevä Suomen lain kanssa ja siten turvataan toiminnan juristiikka. Minimivaatimus on EU/ETA alue.
Tämä tarkastelu tehtiin koskien Azure-pilvipalvelua ja sen tuotoksena saatiin joukko asiakkaan prosesseja sekä pilvipalvelun tarjoamia teknisiä kontrolleja, jotka ovat pilvipalvelun toimittajakohtaisia kontrolleja. Vastaava tarkastelu voidaan toteuttaa myös muille julkipilvipalveluille, jolloin voidaan määrittää tarkemmin palvelua koskevat tekniset kontrollit.
Kuitenkin on huomioitavaa, että osa käsiteltävistä riskeistä on asiakkaan omia sisäisiä prosesseja ja toimintatapoja, joiden toimivuus pitää varmistaa ja niiden laatua pitää ylläpitää jatkuvasti.