Pilvipalvelujen tietoturvavastuut yrityksessä: kuka vastaa mistäkin – ja miten hallitset riskit käytännössä?
Pilvipalvelujen tietoturvavastuut yrityksessä: mistä väärinkäsitys yleensä alkaa
Pilveen siirtyminen on monessa organisaatiossa ollut nopein tapa saada käyttöön moderneja työtapoja: Microsoft 365, pilvipohjaiset ERP- ja CRM-järjestelmät, pilvitallennus ja erilaiset SaaS-palvelut. Samalla syntyy yleisin ja kallein oletus: “pilvi hoitaa tietoturvan”. Totuus on käytännössä aina jaettu vastuu, jossa palveluntarjoaja suojaa oman alustansa, mutta yritys vastaa siitä, miten palvelua käytetään, miten käyttäjät tunnistetaan, mitä dataa jaetaan ja miten palautuminen varmistetaan.
Kun vastuut jäävät epäselviksi, riski ei ole vain teoreettinen. Se näkyy arjessa esimerkiksi näin:
- käyttäjätili kaapataan ja hyökkääjä liikkuu palvelussa kuin oikea käyttäjä
- tärkeitä tiedostoja poistetaan tai ylikirjoitetaan eikä palautus onnistu riittävällä tarkkuudella
- ylläpito-oikeuksia jaetaan “varmuuden vuoksi”, jolloin haittaohjelma tai väärinkäyttö saa liian laajat oikeudet
- lokit ja hälytykset eivät ohjaa toimintaa, joten poikkeama havaitaan vasta kun vahinko on tapahtunut
Tässä artikkelissa käydään läpi pilvipalvelujen tietoturvavastuut yrityksessä käytännön tasolla ja kuvataan, miten Käpy A.I. Oy:n tarjoamat ratkaisut (Heimdal Security, Veeam ja Admin By Request) tuovat vastuut näkyviksi ja hallittaviksi ilman raskaita prosesseja.
Jaettu vastuu pilvessä: mitä palveluntarjoaja tekee ja mistä yritys vastaa
Jaetun vastuun malli (shared responsibility) on yksinkertainen ajatus: pilvipalvelun toimittaja vastaa “pilven turvallisuudesta” (infrastruktuuri, palvelun saatavuus, fyysinen suojaus, alustan haavoittuvuudet), mutta asiakas vastaa “turvallisuudesta pilvessä” (käyttöoikeudet, konfiguraatiot, data, päätelaitteet ja käyttäjätoiminta).
Yrityksen kannalta vastuukysymys kannattaa pilkkoa neljään käytännön osa-alueeseen:
- Identiteetti ja käyttöoikeudet: kuka pääsee sisään, millä ehdoin ja kuinka laajoilla oikeuksilla.
- Päätelaitteet: miltä laitteelta palvelua käytetään ja onko laite luotettava.
- Data ja palautuminen: miten tietoa suojataan, säilytetään ja palautetaan virhe- tai hyökkäystilanteessa.
- Havaitseminen ja reagointi: miten poikkeamat huomataan ajoissa ja miten toimet dokumentoidaan.
Kun nämä ovat kunnossa, “pilvipalvelun tietoturvavastuut” eivät jää PowerPointiin, vaan muuttuvat operatiivisiksi käytännöiksi.
Käytännön vastuut 2026: kolme yleistä riskikohtaa ja miten ne korjataan
1) Käyttäjätilit ja oikeudet: liian laajat oikeudet ovat edelleen yleisin riski
Pilvipalveluissa suurin osa vahingoista alkaa käyttäjätunnuksesta: tunnus kalastellaan, laite saastuu tai salasana kierrätetään ja päätyy vääriin käsiin. Tämän jälkeen hyökkääjän tavoite on usein nostaa oikeuksiaan ja laajentaa vaikutusta.
Admin By Request ratkaisee juuri tämän arjen ongelman: paikallisia ylläpito-oikeuksia ei pidetä pysyvästi käyttäjillä, vaan oikeudet korotetaan Just-in-Time -mallilla vain tarvittaessa. Tämä vähentää merkittävästi tilannetta, jossa haittaohjelma saa käyttöönsä admin-oikeudet “vahingossa”. Lisäksi organisaatio saa läpinäkyvyyttä siihen, kuka pyytää oikeuksia, mihin ja milloin.
Jos organisaatiossa on jo tarve kehittää laajempaa kokonaisuutta, Admin By Request toimii käytännönläheisenä askeleena kohti privileged access management -ajattelua: vähiten oikeuksia, mahdollisimman lyhyeksi ajaksi, selkeällä hyväksyntäketjulla.
2) Päätelaitteet ja haittaohjelmat: pilvi ei poista endpoint-riskiä
Vaikka data ja sovellukset olisivat pilvessä, käyttäjä tekee työnsä päätelaitteella. Jos päätelaite on kompromissoitu, pilvipalvelun suojaukset eivät yksin estä tilikaappausta, tietojen vuotamista tai haitallista toimintaa.
Heimdal Security tuo tähän kerrokseen käytännön suojausta: päätelaitteiden uhkien havaitseminen ja torjunta, haitallisten yhteyksien esto sekä näkyvyys siihen, mitä laitteilla tapahtuu. Olennaista ei ole pelkkä “virustorjunta”, vaan kyky havaita poikkeamia ja katkaista hyökkäysketju ajoissa. Tätä kokonaisuutta on usein järkevää tarkastella EDR-tietoturvan näkökulmasta: havainto, tutkinta ja reagointi päätelaitteella.
Lisäksi Heimdal auttaa käytännössä vähentämään “hiljaisia” riskejä, kuten päivittämättömät sovellukset ja haavoittuvuudet. Pilvessäkin endpointin haavoittuvuus on reitti sisään.
3) Data ja palautuminen: “meillä on pilvi” ei ole sama kuin varmuuskopio
Monessa organisaatiossa pilvipalvelun käyttö tulkitaan varmistukseksi. Käytännössä pilvipalvelu on ensisijaisesti tuotantoympäristö, ei yrityksen varmistus- ja palautusstrategia. Palautumisen kannalta kriittistä on, pystytäänkö data palauttamaan:
- riittävän pitkältä ajalta (retention)
- riittävällä tarkkuudella (yksittäinen tiedosto, postilaatikko, tiimi, sivusto)
- riittävän nopeasti (RTO)
- luotettavasti myös hyökkäyksen jälkeen (immutability, eriytys)
Veeam on Käpy A.I. Oy:n ydinratkaisu liiketoiminnan jatkuvuuden näkökulmasta: sillä rakennetaan hallittu varmistus- ja palautusketju niin on-prem- kuin pilviympäristöihin, ja tarvittaessa myös Microsoft 365 -datan suojaukseen Veeamin ratkaisuilla. Kun tavoitteena on siirtyä “toivotaan että palautus onnistuu” -mallista hallittuun toimintatapaan, Veeam tuo raportoitavuuden, testattavuuden ja toipumiskyvyn konkreettisiksi.
Jos Microsoft 365 -palvelut ovat keskeinen osa arkea, kannattaa lukea myös näkökulma tarvitseeko Microsoft 365 varmuuskopioinnin. Usein kyse ei ole siitä, saako jotain palautettua, vaan siitä, saako sen takaisin liiketoiminnan edellyttämässä ajassa ja tarkkuudessa.
Miten vastuut saadaan hallintaan: kevyt malli, joka toimii pienessäkin IT-tiimissä
Hyvä uutinen on, että pilvipalvelujen tietoturvavastuut eivät vaadi raskasta kehitysohjelmaa. Usein toimivin eteneminen on kolmessa vaiheessa:
- Nykytilan näkyvyys: mitä käytetään, ketkä ovat admin-oikeuksilla, mitä varmistetaan ja miten poikkeamia havaitaan.
- Riskien pienentäminen: poistetaan pysyvät admin-oikeudet (Admin By Request), vahvistetaan päätelaitesuojaus ja poikkeamahavainnointi (Heimdal Security) ja rakennetaan palautuskyky (Veeam).
- Toimintatapa ja testit: sovitaan hyväksyntä- ja reagointimalli, testataan palautus säännöllisesti ja varmistetaan, että hälytykset ohjaavat oikeisiin toimiin.
Monessa organisaatiossa tämä kulkee käsi kädessä tietoturvariskien hallinnan kanssa: kun riskit on tunnistettu ja priorisoitu, tekniset kontrollit valitaan tukemaan juuri niitä käytännön uhkia, joita organisaatio kohtaa.
Yhteenveto: pilven tietoturva on hallittavissa, kun vastuut tehdään näkyviksi
Pilvipalvelujen tietoturvavastuut yrityksessä tiivistyvät lopulta siihen, että pilvessäkin pitää hallita kolme asiaa: oikeudet, päätelaitteet ja palautuminen. Kun nämä on rakennettu järkevästi ja mitattavasti, pilvi tukee liiketoimintaa ilman turhia riskejä.
Käpy A.I. Oy auttaa organisaatioita ottamaan tämän haltuun käytännön ratkaisuilla:
- Admin By Request: pysyvien admin-oikeuksien poistaminen ja hallitut Just-in-Time -korotukset.
- Heimdal Security: päätelaitteiden suojaus, uhkien havaitseminen ja hyökkäysketjujen katkaisu.
- Veeam: varmistus- ja palautuskyky, raportointi ja palautustestit myös pilviympäristöissä.
CTA: tee vastuut näkyviksi ja rakenna toimiva suojaus- ja palautumismalli
Jos pilvipalvelujen vastuut ovat epäselvät tai palautuminen, oikeudet tai päätelaitesuojaus mietityttävät, Käpy A.I. Oy:n kanssa voidaan käydä läpi nykytila ja rakentaa selkeä eteneminen. Ota yhteyttä ja sovitaan demo tai kartoitus, jossa nähdään nopeasti, mitä kannattaa korjata ensin ja millä työkaluilla.



