Ohjelmistot myrskypilvessä
Muistan elävästi projektin 2000-luvun puolivälissä, jossa asiakas halusi turvallisen sovelluspalvelimen kriittiselle, selainkäytettävälle liiketoimintatyökalulle. Projekti oli haastava ja käyttöjärjestelmän sekä sovelluksen lukuisten huonotapaisten komponenttien sovittaminen mandatory access controls (MAC) -maailmaan työlästä. Saatavilla olevat kaupalliset tuotteet olivat vielä puutteellisia ja niitä jouduttiin täydentämään itsetehdyillä ohjelmistoilla. Kaikki dokumentoitiin, ylläpitoprosessit suunniteltiin ja varmuuskopiosta palautuminen testattiin kaksi kertaa – toinen testiympäristössä ja toinen tuotantoympäristössä. Verkkoa segmentointiin ja järjestelmän toimintaa myös verkon näkökulmasta seurattiin sen aikaisten teknologioiden suomalla tarkkuudella.
Lopputulos tuotti kriittisen liiketoimintasovelluksen, jossa kokonaisuuden sielunelämää voitiin tarkastella lähes reaaliaikaisesti prosessitasolla. Jälkikäteen kuulin, että varsin mielenkiintoisia asioita tulikin vastaan: Osa oli hyväksikäyttöyrityksiä, joissa taustalla oli ilmeisesti tuntemattomia haavoittuvuuksia käytetyssä ohjelmistossa. Osa puolestaan oli outoja konfigurointivirheitä, joita ilmestyi yleensä päivitysten jälkeen. Päivitykset tekivät paljon muutakin kuin vain päivittivät haavoittuvia komponentteja.
Pilvistä, mutta silti hyvä näkyvyys?
Pikakelaus tähän päivään:
Otetaan ohjelmistosta konttiversio, laitetaan se pilvialustaan ja käytetään tyytyväisenä. Toinen vaihtoehto on, että ostetaan SaaS-palvelu, jossa päästään vielä helpommalla.
Paluuta vanhaan ei ehkä ole, mutta kontrasti näkyvyyteen ja kontrolliin on huomattava. Miksi puutteellista näkyvyyttä omasta ympäristöstä pidetään yleisesti paheksuttavana, mutta pilviympäristöissä se on hyväksyttävää? Miksi kontrollin menetystä omassa ympäristössä pidetään katastrofaalisena virheenä, mutta pilviympäristöissä se tuntuu olevan hyvä lähtökohta?
Uusien teknologioiden ilmaantuminen ja digitalisaatio eivät poista tarvetta tehdä perusriskienhallintaa hyvin.
Jokaiselle asiakkaalleni, joka on ottanut käyttöön vaikkapa vain pilviverkkojen monitoroinnin, on tullut yllätyksenä se, mihin ne verkot kommunikoivat. Yllätys myös tuntuu olevan, että vaikka liikennettä ei ole pilven käyttöliittymän kautta sallittu ulos tai sisään, niin sitä liikennettä kuitenkin on.
Riskienhallinta on viime kädessä aina yrityksellä itsellään
Vastuu yrityksen työkaluista, kontrollista, näkyvyydestä ja tietoturvasta kokonaisuudessaan on yrityksellä itsellään. Uusien teknologioiden ilmaantuminen ja digitalisaatio eivät poista tarvetta tehdä perusriskienhallintaa hyvin. Jos näkyvyyttä ja kontrollia ei ole riittävästi, sitä pitää saada lisää. Jos näkyvyyttä tai kontrollia ei ole mahdollista saada lisää, ympärille on mietittävä kompensoivia ratkaisuja ja sitä kautta pienennettävä kannettavaksi jäävän riskin määrää. Tärkein asia kuitenkin on yleisesti tunnistaa kontrollin ja näkyvyyden mahdollinen rapautuminen digitalisaation kasvaessa.
Tags: