Uutinen

Selvitys tietomurtoon liittyneeseen uutisointiin 22.3.2019

22.3.2019 mediassa uutisointiin laajasti tietomurrosta Telian/Nebulan pilvialustalla. Julkisuuteen nousi virheellinen tieto, että syynä olisi ollut Nebulan/Telian järjestelmiin kohdistunut tietomurto. Tietomurtoa ei ole kohdistunut Telian omiin järjestelmiin, eikä se ole vaarantanut Telian eikä muiden Telian asiakkaiden palveluiden tietoturvaa millään tavoin.

Tietoturva pilvipalveluissa jakaantuu asiakkaan ja toimittajan vastuuseen. Vastuunjaon raja riippuu ostettavasta palvelusta. Perusperiaatteena on, että toimittaja vastaa oman palvelun turvallisuudesta (pilvipalvelun tietoturva) ja asiakas oman palvelun/sovelluksen konfiguraation tietoturvasta (turvallisuus pilvessä).

Käytännössä tämä vastuunjako tarkoittaa esimerkiksi Telian INcloud9 -pilvipalvelun osalta, että toimittaja vastaa kapasiteettialustan turvallisuudesta ja saatavuudesta, ja asiakas (joka ei osta ylläpitoa toimittajalta) vastaa omien sovellusten, verkkojen ja käyttöjärjestelmien konfiguraatioiden turvallisuudesta. Samaa logiikkaa noudatetaan niin vuokrapalvelimissa kuin konesalipalveluissa.

Mediassa on ollut säännöllisesti tilanteita, joissa asiakkaiden ympäristö on murrettu pilvipalvelussa tai asiakkaan tiedot ovat muuten vuotaneet. Tyypillisimpiä virheitä ovat:

  • Asiakkaan omien (virtuaali)palvelinten ja näiden sovellusten päivittämättä jättäminen
  • Asiakkaan (virtuaalisten) verkkokonfiguraatioiden riittämätön suojaus ja segmentointi
  • Pääsyoikeuksien laiminlyönti, tunnusten vahvuus ja avoimet tiedonjakokansiot

Tämä vastuunjakomalli on käytännössä samanlainen kaikilla pilvi-infrastruktuurin tarjoajilla, on asiakkaalla käytössä sitten pilvi-infrastruukturipalveluita Telialta tai muilta toimijoilta. Asiakkaan ostamaan kapasiteettiin ei lähtökohtaisesti sisälly hallintapalveluita tai tietoturvapäivityksiä, ellei asiakas näitä erikseen tilaa toimittajalta. Toimittajalla ei usein ole edes pääsyä asiakkaan ympäristöön suorittamaan ylläpitoa eikä olisi ehtojen mukaista muokata asiakkaan ympäristön konfiguraatiota, joka myös voisi vaarantaa sen toimivuuden.

Telialla on runsaasti asiakkaita, jotka ostavat palvelinkapasiteettia erilaisiin tarkoituksiin. Asiakkaan valinnan mukaan joko asiakas tai Telia vastaa järjestelmien ylläpidosta. Telia suosittelee asiakkaita varmistamaan, että heidän ympäristönsä suojaamiseksi on olemassa käytännöt, jotka hoitavat mm. jatkuvien tietoturvapäivitysten jakelun. Aina kun järjestelmiä rakennetaan ja taustalla on käyttöjärjestelmiä ja ohjelmistoja, jää näihin haavoittuvaa hyökkäyspinta-alaa, jonka takia ylläpitopalveluita tarvitaan niin infrastruktuuriin kuin ohjelmistoihin.