Valtori parantaa asiakasorganisaatioidensa pilvitietoturvan tasoa Nixun kanssa

Valtori työntekijät tapaamisessa
Photo by
Valtori
Sakari Pihlhjerta

Sakari Pihlhjerta

Business Unit Lead, Cloud Security

Valtion tieto- ja viestintätekniikkakeskus Valtori aloitti vuonna 2019 oman pilviohjelman, jotta noin 100 suomalaista julkisen sektorin organisaatiota voisi hyödyntää turvallisesti pilviympäristöjen ominaisuuksia. Tästä syystä Valtorin piti varmistaa, että sen pilviturvaratkaisut ovat lakisääteisten vaatimusten ja kansallisen pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) mukaiset. Nixu auttoi tämän tavoitteen saavuttamisessa toimittamalla Valtorin pilvipalveluille tarkoitetun hallintamallin ja Cloud Security Posture Management (CSPM) -kehyksen. Nixu jatkaa Valtorin pilviturvallisuuden kehittämistä myös tulevaisuudessa, sillä yhteistyösopimusta on nyt jatkettu vuoteen 2025 saakka.

Valtionhallinnon toimijoiden haasteina pilvialustojen käytössä ovat olleet pilvipohjaisten palveluiden tietoturvanäkökulmat. Vallitsevana käytäntönä oli pitkään se, ettei pilveen voi viedä muuta kuin julkista tietoa. Tilanne kuitenkin muuttui vuonna 2019, kun valtiovarainministeriö julkaisi julkisen sektorin organisaatioille uudet ohjeet pilvipalveluiden käyttöön. Vuoden 2020 loppuun mennessä ministeriö piti pilveä jo tasa-arvoisena tai jopa ensisijaisena vaihtoehtona perinteisille konesaleille.

Valtori tarjoaa valtiolle toimialariippumattomia ICT-palveluita sekä tieto- ja tietoliikenneteknologiapalveluja, jotka täyttävät tiukat turvallisuuteen ja varautumiseen liittyvät vaatimukset. Valtorin asiakkaina on noin 100 valtion virastoa ja osastoa, joiden palveluilla on kymmeniä tuhansia käyttäjiä.

Siksi Valtorilla on suuri vastuu turvallisten ICT-palveluiden tarjoamisesta asiakkailleen.


Tarve pilviympäristöjen turvalliseen hallintaan

Yksi Valtorin valtion organisaatioille tarjoamista palveluista on pilviympäristöjen hallintamalli. Tämän palvelun tärkeimpiä näkökohtia on varmistaa, että palvelun tietoturvaratkaisut vastaavat lakisääteisiä vaatimuksia ja pilvipalveluiden turvallisuuden arviointikriteeristöä (PiTuKri). PiTuKri-arviointikriteeristön julkaisijana toimii Kyberturvallisuuskeskus. Kriteeristön käyttöönotto edistää viranomaisten salassa pidettävän tiedon turvallisuutta tilanteissa, joissa tietoja käsitellään pilvipalveluissa. Näin ollen se vaikuttaa myös Valtoriin ja kaikkiin sen asiakkaisiin.

Turvallisen hallintamallin tarjoamiseksi Valtorin oli löydettävä palveluntarjoaja, joka voisi hallita projektin teknistä toteutusta, eli määrittää turvallisuustason mittaamiseen tarvittavat kontrollit, jotka vastaisivat myös PiTuKri-kriteerejä. Valtori valitsi Nixun pilviturvallisuusliiketoimintayksikön palveluntarjoajaksi vuoden 2020 alussa, koska Nixulla oli aiempaa kokemusta vastaavista projekteista. Nixun pilviosaamisen takana on kymmenen ylemmän tason asiantuntijaa, jotka keskittyvät kaikkiin suuriin julkisiin pilvialustoihin (Azure, AWS ja Google Cloud Platform).

Nixu toimitti dokumentoidut ohjeet CSPM-hallintaratkaisun toteuttamiseksi Amazon AWS- ja Microsoft Azure -pilviympäristöissä sekä ohjeet jatkokehitykseen ja tietosuojaan. Vuoden kestävän alkuvalmistelutyön jälkeen hanke siirtyi jatkokehitysvaiheeseen keväällä 2021.

Valtorin CSPM-ratkaisun määritteleminen ja riskien tunnistaminen

Projekti alussa Nixu määritteli ja dokumentoi Valtorin kanssa, miten Cloud Security Posture Management -ratkaisu rakentuu Valtorin Azure- ja AWS-pilviympäristöissä. Näiden tietoturvakriteerien kehys perustuu PiTuKri-versioon 1.1 ja muihin parhaisiin käytäntöihin.

Tämän työn tuloksena saatiin suuri joukko alustanatiiveja havaitsevia kontrolleja, jotka voidaan asentaa asiakkaiden pilviympäristöihin, olipa kyseessä sitten Azure tai AWS. Näiden toimien avulla saadaan kokonaisvaltainen näkymä pilviturvallisuuden tasosta ja voidaan jatkuvasti seurata PiTuKri-kehyksen noudattamista.

Nixu loi myös käyttöönotto-ohjeet toimittajakohtaisille hallintamalleille (AWS ja Azure). Tämä tarkoitti, että Nixun pilviasiantuntijat kokosivat yhteen julkisten pilviympäristöjen parhaat käytännöt ja asiaankuuluvat tietoturvamekanismit tuottaen ohjeet, joita voitaisiin käyttää toimittajien käyttäjädokumentaation rinnalla. Merkittävä osa tätä vaihetta oli uhkamallinnus, jossa tunnistettiin ja kuvattiin hyökkäyspisteet hyökkäysten estämiseen käytettävien kontrollien lisäksi.

Nixu vastasi myös Valtorin julkisten pilviympäristöjen riskienhallintasuunnitelman laatimisesta. Tähän sisältyi riskien tunnistaminen ja dokumentointi niin strategisella, taktisella kuin operatiivisellakin tasolla sekä kontrolleihin liittyvät riskien lieventämissuunnitelmat.

Tietosuoja ja pilviturvallisuus kulkevat käsi kädessä

Nixun neljäs ja viimeinen tehtävä oli tuottaa Valtorin pilviympäristöille tietosuojaohjeet PiTuKri-kriteerien pohjalta. Dokumentoidut ohjeet luotiin osoittamaan, miten sisäänrakennettu ja oletusarvoinen tietosuoja sisällytetään Valtorin pilvialustoihin. Näin ollen tietosuojan toteutuksessa noudatetaan samoja periaatteita kuin tietoturvan toteutuksessakin: käytössä ovat yleiset ohjeet, suunnitteluohjeet ja uhkamallinnus. Lisäksi Nixun tietosuoja-asiantuntija varmisti, että Valtorin tietosuojaohjeissa noudatetaan EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimuksia sekä kansallisia ja EU-tason ohjeita ja parhaita käytäntöjä. Suunnitteluohjeet laadittiin PiTuKri-kriteerien ja
ISO 27001 -tietoturvastandardien mukaisesti.

Pilvipalveluiden tietosuojaan ja yksityisyyteen liittyvät seikat ovat olleet myllerryksessä jo muutaman vuoden ajan. Schrems II -tuomio kesällä 2020 herätti merkittävää huolta henkilötietojen laillisuudesta ja turvallisuudesta pilvessä. Se lisäsi tietosuojaan liittyvän pilviohjauksen tarvetta. Valtorin projektin aikana luoma laaja-alainen tietosuojadokumentaatio auttaa Valtorin asiakkaita selviytymään näistä haasteista.

”Valtorilla oli visio sisäänrakennetusta tietosuojasta (sisäänrakennettu ja oletusarvoinen tietosuoja), mikä tarkoittaa, että tietosuoja huomioidaan projektissa heti alusta alkaen. Tämä on tietosuoja-asiantuntijan näkökulmasta ihanteellinen ratkaisu, ja yhteistyö Valtorin monialaisen tiimin kanssa on ollut sujuvaa ja palkitsevaa”, kiittelee Nixun tietosuoja-asiantuntija Tuisku Sarrala. ”Pystyimme lähentämään tietosuojaan ja tietoturvaan liittyviä seikkoja esimerkiksi uhkamallinnuksen avulla sekä kartoittamalla PiTuKri-kriteerien ja EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimuksia. Se on ollut opettavainen kokemus molemmille osapuolille.”

Uraauurtavalla työllä reaaliaikainen tilannekuva ja jatkuva vaatimustenmukaisuus

Tehtyään Nixun kanssa onnistunutta yhteistyötä kahden vuoden ajan Valtori voi nyt tarjota julkisen sektorin asiakkailleen tietoturvapalvelun, jossa käyttäjät voivat tarkastella reaaliajassa pilvipalveluiden kontrollien tilaa. Valvontatoimet noudattavat määriteltyä kehystä ja varmistavat, että pilvialustat täyttävät jatkuvasti PiTuKri-kriteerit. Valtorin asiakkaista noin 75 prosenttia käyttää tällä hetkellä pilvipalveluita, ja palvelupaketti asennetaan kaikkiin AWS- ja Azure-tilauksiin. Tämä paitsi helpottaa loppukäyttäjien toimintaa, mutta tekee siitä myös turvallisempaa.

”Kykymme tarjota asiakkaillemme validoituja kontrolleja edistää pilven käyttöä julkisella sektorilla, koska se kannustaa varovaisia päätöksentekijöitä luottamaan pilvipalveluihin ja aloittamaan pilviympäristöjen käyttöönoton organisaatioissaan. Näin he voivat keskittyä ydintehtäviinsä ja luottaa siihen, että jos pilven kontrollit eivät ole ajan tasalla, suojauskomponentti ilmoittaa heille tarvittavien korjausten tekemisestä. Tämä antaa asiakkaillamme mielenrauhaa vaatimustenmukaisuuden näkökulmasta”, toteaa Valtorin kehityspäällikkö Juha Nieminen.

Kumppanuus on ollut rakentavaa ja kaikkien ratkaistujen haasteiden ohella myös molemmin puolin opettavaista. ”Yhteistyö Valtorin kanssa on sujunut hyvin heti projektin alusta lähtien. Valtorilla oli selkeä visio, jonka pohjalta oli helppoa aloittaa yhteistyö hyvässä hengessä. Tietoturvalla on iso merkitys Valtorille, mikä tekee työstä merkityksellistä kaikille asianosaisille”, kehuu Nixun pilviturvallisuuden liiketoimintayksikön johtaja Sakari Pihlhjerta.

”Arvostan sujuvuutta, joustavuutta ja vahvaa osaamista, koska nämä elementit varmistavat, että työ tulee tehtyä. Nixun tiimi toimitti meille kaipaamaamme erityisosaamista, enkä usko, että Suomessa on montaakaan muuta yritystä, jonka kanssa olisimme voineet toteuttaa tämän projektin”, Nieminen toteaa. ”Olimme edelläkävijöitä, jotka pyrkivät iteroinnin avulla saavuttamaan jotain, mitä ei ollut koskaan aikaisemmin tehty. Nixun kanssa luomamme tietoturvaratkaisu on ollut yksi suurimmista voitoistamme pilviohjelmamme puitteissa.”

Koska pilvialustojen taustateknologiat kehittyvät nopeasti, Nixu ja Valtori jatkavat palvelun kehittämistä julkaisuprosessin jälkeen. Jatkokehitys tuo mukanaan muun muassa uusia ominaisuuksia ja muita tarvittavia parannuksia, jotka takaavat parhaan mahdollisen käyttökokemuksen ja turvallisuustason Valtorille ja sen asiakkaille. Tulevaisuudessa esimerkiksi kriittisten havaintojen yhteydessä luodaan automaattisesti tukipyyntö asiakkaan IT-osastolle, mikä säästää aikaa, sillä nykytilan tarkistaminen ei enää vaadi varsinaiseen portaaliin kirjautumista.

Lisätietoja

  • Sakari Pihlhjerta

    Sakari Pihlhjerta

    Business Unit Lead, Cloud Security