Pilvilaskenta on kaikkialla vellovan bisneksen digitalisaation yksi tärkeimmistä moottoreista. Kiistattomista eduista huolimatta pilven riesana on eräitä tietoturvaan liittyviä pulmia.

Yritys- ja it-johtajat joka puolella ovat jo kaulaansa myöten mukana liiketoimintojen digitalisaatiossa. Digibisneksiä yritetään valloittaa ja kilpailukykyä varmistaa joko elvyttämällä vanhoja bisnesmalleja tai keksimällä tykkänään uusia. Tämä digihärdelli pyörii yhden yhteisen asian eli pilven ympärillä.

Viimeisen vuosikymmenen aikana pilven suosio onkin lisääntynyt räjähdysmäisesti, eikä tälle ole loppua näkyvissä. Maailman pilvimarkkinan arvellaan kasvavan peräti 623 miljardiin dollariin vuoteen 2025 mennessä.

Ja mikäpäs on kasvaessa. Usein pilvi yhdistetään matalampiin kustannuksiin, parempaan joustavuuteen ja kohentuneeseen tietoturvaan.

Tietoturvan kohdalla asia ei kuitenkaan ole aivan yksiselitteinen. Ensinnäkin pilvessä on kyse tietoturvan jaetuista vastuista, jossa palvelutarjoaja huolehtii pilven turvasta ja asiakasyritys vastaa omien toimintojensa iskunkestävyydestä.

Useimmat pilvipaketit sisältävät vain perusturvaa. Jos asiakas ei lisää palveluihin omia tietoturvan mausteitaan, voi yrityksen koko arvoketju tarjota hakkereille helppoja kohteita. Toisaalta liian mutkikkaista tunnistautumismenetelmistä voi tulla pullonkauloja pilven sujuvalle käytölle, vallankin nykyoloissa, joissa yritykset siirtävät yhä enemmän kriittistä dataa pilveen.

Pilvessä piilee siis vakavia tietoturvan ongelmia, joista puhutaan julkisesti vieläkin liian vähän, Cio.com kirjoittaa ja valottaa joitakin pulmia.

Palvelunesto vammauttaa pilven

Viranomaiset ja tutkimuslaitokset kaikkialla pitävät palvelunestohyökkäyksiä (ddos, distributed denial of service) pilven ja tietoverkkojen suurimpana uhkana. Näistä ovat varoittaneet muiden muassa Europol, USA:n kansallisesta turvallisuudesta vastaava Homeland Security -virasto sekä Maailman talousfoorumi WEF (World Economic Forum).

Viime mainittu laskeskeli äskettäin, että yhden suuren pilvipalvelun tarjoajan halvaannuttaminen verkkohyökkäyksellä voi aiheuttaa jopa 50–120 miljardin dollarin taloudelliset menetykset. Tuhot ovat siis samassa linjassa hurrikaani Sandyn tai hirmumyrsky Katrinan vaurioiden kanssa.

Eikä ddos-uhka ole pelkkää teoriaa. Lokakuussa 2019 Amazonin pilvi kärsi noin kahdeksan tunnin palvelukatkoksesta, jonka aikana asiakkaiden verkkoyhteydet eivät toimineet maailmanlaajuisesti.

Samoihin aikoihin Googlen pilvipalveluissa oli saman tyyppisiä ongelmia, vaikka yhtiö on kiistänyt niiden johtuneet verkkohyökkäyksistä. Ja joitakin viikkoja aikaisemmin erään suuren eteläafrikkalaisen pilvipalvelujen tarjoajan yhteydet katkesivat kokonaiseksi päiväksi.

Yhdysvaltain Homeland Security -virasto on sanonut ddos-iskujen määrän kymmenkertaistuneen yhtä monen vuoden aikana. "Eikä ole mitään varmuutta siitä, kestääkö nykyinen verkkoinfra näiden hyökkäysten lisääntymistä samalla tahdilla", DHS kirjoittaa raportissaan.

Pilvi korruptoituu

Pilven korruptiolla tarkoitetaan hyökkäysten kohteiksi joutuneita pilvipalvelimia. Myös näiden saastutettujen laitteiden määrä kasvaa nopeasti. Tietomurtojen ja varastettujen luottokorttitietojen kautta rikolliset voivat perustaa esimerkiksi vääriä pilvitilejä olemattomien asiakkaiden piikkiin.

Saksalaisen kyberturvayhtiö Link11:n selvitysten mukaan saastuneiden palvelinten kautta tehdyt ddos-iskut kasvoivat 51 prosenttia viime vuoden toisella puoliskolla. Saksalaiset vertaavat tilannetta datatsunamiin, jossa iskut tukkivat laajakaistojen kapasiteetin 70–700 kertaisesti.

Tutkimusten mukaan hyökkäysten määrät kohdistuvat pilvipalvelujen isoimpiin tarjoajiin suurin piirtein näiden markkinaosuuksien mukaisesti. Korruptioiskujen kohteina ovat siis ennen kaikkea AWS, Microsoft Azure ja Google Cloud.

Pisin Link11:n löytämä ddos-isku sattui viime vuoden toisella neljänneksellä ja kesti peräti 6 459 minuuttia eli enemmän kuin sata tuntia ja pidempään kuin viisi vuorokautta. Selvää on, että näin kauan jatkuva palvelukatkos pistää sitkeimmätkin alustat, sovellukset ja verkkokaupat polvilleen.

Rajapinnat valokeilassa

Verkkohyökkäykset ovat siis ryömimässä osaksi yritysten it-infraa. Samaan aikaan monet organisaatiot alkavat käyttää pilvinatiiveja sovelluksia osana paljon puhuttua neljättä teollista vallankumousta.

Tehtaiden tuotantolinjoille, varastoihin ja muihin laitoksiin leviävät pilvinatiivit sovellukset tarvitsevat omia mittareita, antureita ja langattomia yhteyksiä. Ja näiden fiksujen iot-laitteiden ja -järjestelmien toiminta riippuu ohjelmointirajapinnoista (api, application programming interface).

Hyötyjen lisäksi ohjelmointirajapinnat voivat tuoda mukanaan suuria riskejä ja haavoittuvuuksien uhkia. Kun merkittävä bisnessovellus tai api joutuu iskun kohteeksi, seuraukset leviävät usein ketjureaktiona yrityksen kaikkiin toimintoihin.

Ilmeisistä uhkista huolimatta valpas it-johtaja voi tehdä paljonkin oman firmansa pilviyhteyksien suojaamiseksi. Ensinnäkin kannattaa perehtyä tarkasti palvelutarjoajien standarditurvaan ja siihen, että myyjän palvelutasosopimus täyttää oman yrityksen tarpeet.

Kun pilven tietoturvasta on huolehdittu kunnolla, ei sen aiheuttamia suuriakaan uhkia tarvitse pelätä. Pilvilaskenta on tullut jäädäkseen, muistakin kuin pelkistä taloudellisista syistä. Pilvi helpottaa yhteistoimintaa kumppaneiden ja asiakkaiden kanssa ja takaa yrityksille nopeamman markkinoille pääsyn.