Kyberturvallisuuskeskuksen pilvipalveluiden turvakriteeristö on herättänyt julkisella sektorilla paljon kiinnostusta. Siitä on nyt tekeillä uusi päivitys.

Liikenne- ja viestintäviraston Kyberturvallisuuskeskus julkaisi kolme vuotta sitten pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri). Johtava asiantuntija Juhani Eronen sanoo, että yhtenäiselle ja selkokieliselle ohjeistukselle oli julkisella sektorilla tilausta. "Kriteeristö on herättänyt runsaasti kiinnostusta, ja olemme saaneet paljon palautetta – valtaosin myönteistä", Eronen sanoo.

Saatua palautetta käytettiin hyväksi PiTuKrin päivityksessä. Tekeillä on nyt uusi päivitys. "Tiedonhallintalaki on uudistumassa tämän vuoden aikana. Ajoitamme päivityksen niin, että valmisteilla olevat lakimuutokset tulevat huomioiduiksi. Myös tuleva EU:n sertifiointikehys tieto- ja viestintätekniikalle vaikuttaa kansallisiin ohjeistuksiin." Kriteeristö ottaa kantaa sekä kansallisiin salassa pidettäviin että turvallisuusluokiteltuihin IV-luokan salassa pidettäviin tietoihin. Viranomaisten ohella myös pilvipalvelujen tarjoajat hyödyntävät ohjeistusta omaehtoisen turvallisuustyön tukena.

Erosen mukaan kriteeristöön kohdistuu monenlaisia odotuksia ja toiveita. Yhtäältä kaivataan yksityiskohtaisia tarkistuslistoja tietyn palvelun arviointiin. Toisaalta tarvitaan yleisemmän tason kriteeristöä, jota voidaan soveltaa erilaisiin pilvipalveluihin ja käyttötapauksiin. PiTuKrissä on päädytty jälkimmäiseen, yleisemmän tason lähestymistapaan.

Keskeinen kysymys Erosen mielestä on, kuinka palveluntarjoajan rakentama laaja infrastruktuuri saadaan tarkastettua riittävällä yksityiskohtaisuuden tasolla. "Haasteellisinta kriteeristön laatimisessa on sopivan abstraktiotason löytäminen. Se ei saa katsoa asioita pintapuolisesti ylätasolta, vaan sen tulee kuvata myös muuttuvaa tekniikkaa ja toimintaympäristöä."

Teksti: Matti Remes
Kuva: Matti Immonen

Juhani Eronen on puhumassa pilvipalvelujen turvakriteeristöstä Helsingissä 21.9. järjestettävässä Cloud Security Summit -tapahtumassa.

Lue lisää: tivia.fi/css22

TIVIA News on TIVIAn jäsenlehti, jonka ensimmäinen numero ilmestyi kesäkuussa 2016. Lehti ilmestyy myös osana painettua Tivi-lehteä.

TIVIA Newsin artikkelit julkaistaan myös digitaalisina versioina TIVIAn verkkosivustolla, jossa ne ovat myös vapaasti luettavissa. Lisäksi TIVIA Newsin digitaalinen näköislehti on vapaasti luettavissa TIVIAn verkkosivustolla.