Pilvipalveluiden tietoturva : standardit ja viitekehykset sekä erityyppisen tiedon suojaaminen

Abstract

Tämän pro gradu -tutkielman tarkoituksena oli tutkia pilvipalveluiden tietoturvaa käsitteleviä standardeja ja viitekehyksiä sekä niiden noudattamista erityyppisen tiedon näkökulmasta. Tietoturvan tasoa on hyvin vaikea arvioida ilman tiedossa olevaa käyttötapausta, joten vaatimusten noudattamisen selvittäminen eri tietotyyppien näkökulmasta on käytännön ongelma, johon tällä tutkielmalla pyrittiin vastaamaan. Tutkielman teoriaosuus toteutettiin kirjallisuuskatsauksena, jonka tarkoitus oli luoda teoreettinen pohja tutkielman empiiriselle osuudelle, sekä vertailla tietoturvastandardeja ja -viitekehyksiä. Tutkielman empiirisessä osuudessa tutkittiin, miten eri pilvipalveluntarjoajat noudattavat Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) vaatimuksia eri tietotyyppien näkökulmasta. Tietotyyppejä tässä tutkielmassa olivat liiketoimintatieto, viranomaisen salassa pidettävätieto, henkilötieto ja turvallisuusluokiteltu tieto. Tutkimus toteutettiin laadullisena tutkimuksena ja pääasiassa dokumenttianalyysina, jota onnistuttiin tukeman myös yhdellä teemahaastattelulla. Yhtenä keskeisenä tuloksena todettiin, että tietoturvastandardit ja –viitekehykset noudattavat melko yhdenmukaisia rakenteita ja esitystapoja. PiTuKrin havaittiin soveltuvan parhaiten erityyppisen tiedon suojaamisen arviointiin. Lisäksi keskeisenä tuloksena tutkielman empiirisessä osuudessa havaittiin, että pilvipalveluntarjoajat noudattavat PiTuKrin vaatimuksia pääosin hyvin, kun vaatimustenmukaisuutta tarkastellaan liiketoimintatiedon tai salassa pidettävän tiedon näkökulmasta. Henkilötietojen ja turvallisuusluokiteltujen tietojen näkökulmasta rajoitteet tietojen käsittelyn sijaintiin ja pilvipalveluntarjoajaan liittyen havaittiin vaatimustenmukaisuuden kannalta haastaviksi. Keskeisenä johtopäätöksenä tehtiin se, että arkaluonteisen tiedon suojaamisessa pilvipalveluympäristössä korostuvat salaaminen, käsiteltävän tiedon sijainti sekä lainsäädäntöjohdanneiset riskit. Näihin asioihin PiTuKri ottaa kantaa muita viitekehyksiä selkeämmin, mutta pilvipalveluntarjoajat eivät kovinkaan helposti pysty osoittamaan vaatimustenmukaisuutta eri tietotyyppien tapauksessa. Tutkielma toteutettiin toimeksiantona suunnittelutoimisto Huld Oy:lle, joka hyödyntää tutkimustietoa asiantuntijatehtävissään asiakkaiden kysynnän kasvaessa pilvipalveluinfrastruktuurin hyödyntämisen suhteen.

The purpose of this master's thesis was to study the information security stand-ards and frameworks of cloud services and their compliance from the perspective of different types of information. It is very difficult to assess the level of information security without a known use case. Therefore, determining compliance from the point of view of different information types is a practical problem that this thesis sought to address. The theoretical part of the thesis was carried out as a literature review, the purpose of which was to create a theoretical basis for the empirical study, and to compare information security standards and frameworks. The empirical part of the thesis examined how different cloud service providers comply with the requirements of the Criteria to Assess the Information Security of Cloud Services (PiTuKri) from the perspective of different information types. The information types in the thesis were business confidential information, in-formation of the authorities to be kept secret, personal information, and classified protection level information of the authorities. The study was carried out as a qualitative research and mainly as a document analysis. In addition, research data was also collected through one theme interview. A key finding was that the security standards and frameworks follow fairly consistent structures and for-mats. PiTuKri was found to be best suited for assessing the protection of different information types. In addition, it was found as a key finding that cloud service providers largely comply with PiTuKri's requirements when assessing the com-pliance from the perspective of business confidential information or information to be kept secret. From the perspective of personal data and classified protection level information, constraints on the location of data processing and the cloud service provider were found to be challenging for compliance. The main conclu-sion was that encryption, the location of the information processing and the leg-islation-derived risks are emphasized in the protection of sensitive information in the cloud environment. PiTuKri takes a clearer position on these issues than other frameworks, but cloud service providers are not easily able to demonstrate compliance for different information types. Thesis was carried out as an assign-ment for a technology design company Huld Oy, which utilizes research data in its expert tasks as customer demand grows for the utilization of cloud service infrastructure.