Valtion tieto- ja viestintätekniikkakeskus Valtori jatkaa pilviturvallisuutensa kehittämistä yhdessä Nixun kanssa myös seuraavan kolmen vuoden ajan

Nixu Oyj, lehdistötiedote, 19.5.2022 klo 08:00

Valtion tieto- ja viestintätekniikkakeskus Valtori aloitti vuonna 2019 oman pilviohjelman, jotta noin 100 suomalaista julkisen sektorin organisaatiota voisi hyödyntää turvallisesti pilviympäristöjen ominaisuuksia. Tästä syystä Valtorin piti varmistaa, että sen pilviturvaratkaisut ovat lakisääteisten vaatimusten ja kansallisen pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) mukaiset. Nixu auttoi tämän tavoitteen saavuttamisessa toimittamalla Valtorin pilvipalveluille tarkoitetun hallintamallin ja Cloud Security Posture Management (CSPM) -kehyksen. Nixu jatkaa Valtorin pilviturvallisuuden kehittämistä myös tulevaisuudessa, sillä yhteistyösopimusta on nyt jatkettu vuoteen 2025 saakka.

Kuva: Valtori

Valtionhallinnon toimijoiden haasteina pilvialustojen käytössä ovat olleet pilvipohjaisten palveluiden tietoturvanäkökulmat. Vallitsevana käytäntönä oli pitkään se, ettei pilveen voi viedä muuta kuin julkista tietoa. Tilanne kuitenkin muuttui vuonna 2019, kun valtiovarainministeriö julkaisi julkisen sektorin organisaatioille uudet ohjeet pilvipalveluiden käyttöön. Vuoden 2020 loppuun mennessä ministeriö piti pilveä jo tasa-arvoisena tai jopa ensisijaisena vaihtoehtona perinteisille konesaleille. 

Valtori tarjoaa valtiolle toimialariippumattomia ICT-palveluita sekä tieto- ja tietoliikenneteknologiapalveluja, jotka täyttävät tiukat turvallisuuteen ja varautumiseen liittyvät vaatimukset. Valtorin asiakkaina on noin 100 valtion virastoa ja osastoa, joiden palveluilla on kymmeniä tuhansia käyttäjiä. Siksi Valtorilla on suuri vastuu turvallisten ICT-palveluiden tarjoamisesta asiakkailleen. 

Tarve pilviympäristöjen turvalliseen hallintaan

Yksi Valtorin valtion organisaatioille tarjoamista palveluista on pilviympäristöjen hallintamalli. Tämän palvelun tärkeimpiä näkökohtia on varmistaa, että palvelun tietoturvaratkaisut vastaavat lakisääteisiä vaatimuksia ja pilvipalveluiden turvallisuuden arviointikriteeristöä (PiTuKri). PiTuKri-arviointikriteeristön julkaisijana toimii Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus. Kriteeristön käyttöönotto edistää viranomaisten salassa pidettävän tiedon turvallisuutta tilanteissa, joissa tietoja käsitellään pilvipalveluissa. Näin ollen se vaikuttaa myös Valtoriin ja kaikkiin sen asiakkaisiin. 

Turvallisen hallintamallin tarjoamiseksi Valtorin oli löydettävä palveluntarjoaja, joka voisi hallita projektin teknistä toteutusta, eli määrittää turvallisuustason mittaamiseen tarvittavat kontrollit, jotka vastaisivat myös PiTuKri-kriteerejä. Vuoden 2020 alussa Valtori valitsi Nixun palveluntarjoajakseen, koska Nixulla on todistetusti pilviturvallisuusosaamista ja aiempaa kokemusta vastaavista projekteista. Nixu toimitti dokumentoidut ohjeet CSPM-hallintaratkaisun toteuttamiseksi Amazon AWS- ja Microsoft Azure -pilviympäristöissä sekä ohjeet jatkokehitykseen. 

Nixu toimitti Valtorin pilvialustoille myös PiTuKri-yhteensopivat tietosuojaohjeet. ”Valtorilla oli visio sisäänrakennetusta tietosuojasta (sisäänrakennettu ja oletusarvoinen tietosuoja), mikä tarkoittaa, että tietosuoja huomioidaan projektissa heti alusta alkaen. Tämä on tietosuoja-asiantuntijan näkökulmasta ihanteellinen ratkaisu, ja yhteistyö Valtorin monialaisen tiimin kanssa on ollut sujuvaa ja palkitsevaa”, Nixun tietosuoja-asiantuntija Tuisku Sarrala kiittelee.

Uraauurtavalla työllä reaaliaikainen tilannekuva ja jatkuva vaatimustenmukaisuus 

Tehtyään Nixun kanssa yhteistyötä kahden vuoden ajan Valtori voi nyt tarjota julkisen sektorin asiakkailleen tietoturvapalvelun, jossa käyttäjät voivat tarkastella reaaliajassa pilvipalveluiden kontrollien tilaa. Valvontatoimet noudattavat määriteltyä kehystä ja varmistavat, että pilvialustat täyttävät jatkuvasti PiTuKri-kriteerit. Valtorin asiakkaista noin 75 prosenttia käyttää tällä hetkellä pilvipalveluita, ja palvelupaketti asennetaan kaikkiin AWS- ja Azure-tilauksiin. Tämä paitsi helpottaa loppukäyttäjien toimintaa, mutta tekee siitä myös turvallisempaa.

”Kykymme tarjota asiakkaillemme validoituja kontrolleja edistää pilven käyttöä julkisella sektorilla, koska se kannustaa varovaisia päätöksentekijöitä luottamaan pilvipalveluihin ja aloittamaan pilviympäristöjen käyttöönoton organisaatioissaan. Näin he voivat keskittyä ydintehtäviinsä ja luottaa siihen, että jos pilven kontrollit eivät ole ajan tasalla, suojauskomponentti ilmoittaa heille tarvittavien korjausten tekemisestä. Tämä antaa asiakkaillamme mielenrauhaa vaatimustenmukaisuuden näkökulmasta”, toteaa Valtorin kehityspäällikkö Juha Nieminen.

Kumppanuus on ollut rakentavaa ja kaikkien ratkaistujen haasteiden ohella myös molemmin puolin opettavaista. ”Yhteistyö Valtorin kanssa on sujunut hyvin heti projektin alusta lähtien. Valtorilla oli selkeä visio, jonka pohjalta oli helppoa aloittaa yhteistyö hyvässä hengessä. Tietoturvalla on iso merkitys Valtorille, mikä tekee työstä merkityksellistä kaikille asianosaisille”, kehuu Nixun pilviturvallisuuden liiketoimintayksikön johtaja Sakari Pihlhjerta.

”Arvostan sujuvuutta, joustavuutta ja vahvaa osaamista, koska nämä elementit varmistavat, että työ tulee tehtyä. Nixun tiimi toimitti meille kaipaamaamme erityisosaamista, enkä usko, että Suomessa on montaakaan muuta yritystä, jonka kanssa olisimme voineet toteuttaa tämän projektin”, Nieminen toteaa. ”Olimme edelläkävijöitä, jotka pyrkivät iteroinnin avulla saavuttamaan jotain, mitä ei ollut koskaan aikaisemmin tehty. Nixun kanssa luomamme tietoturvaratkaisu on ollut yksi suurimmista voitoistamme pilviohjelmamme puitteissa.”

Nixu Oyj

Lisätietoja:
Sakari Pihlhjerta, pilviturvallisuuden liiketoimintayksikön johtaja, Nixu Oyj
Puhelin: +358 45 268 6585, sähköposti: sakari.pihlhjerta@nixu.com
 

Jakelu:
Keskeiset tiedotusvälineet
www.nixu.com

Nixu lyhyesti:
Nixu on kyberturvapalveluita tarjoava yritys, jonka missiona on pitää digitaalinen yhteiskunta toiminnassa. Intohimomme on auttaa organisaatioita hyödyntämään digitalisaatiota turvallisesti. Tuotamme yhdessä asiakkaidemme kanssa käytännönläheisiä ratkaisuja liiketoiminnan jatkuvuuden, digitaalisten palvelujen helpon saatavuuden ja tietosuojan varmistamiseksi. Haluamme olla paras työpaikka noin 400 kyberturva-ammattilaisen tiimillemme, joka tekee työtä käytännönläheisten ratkaisujen löytämiseksi. Nixun juuret ovat Pohjois-Euroopassa, ja nykyään palvelemme asiakkaita ympäri maailman. Nixun osakkeet on listattu Nasdaq Helsingin pörssilistalla.

www.nixu.com