Integraatiot ja tietoturva – miksi?

Nykypäivän organisaatiot, niiden koosta riippumatta, nojaavat monenlaisiin liiketoimintajärjestelmiin ja -palveluihin. Kaikki nämä järjestelmät ja sidosryhmät on saatava toimimaan yhteen saumattomasti, ja tässä astuvat kuvaan integraatiot. Tässä blogissa kerron, miksi ja miten tietoturva on huomioitava myös integraatioarkkitehtuurissa.

Organisaatiot toimialasta riippumatta perustavat toimintansa erilaisten liiketoimintajärjestelmien ja -palveluiden varaan. Pienten ja keskisuurienkin yritysten ympäristöistä saattaa löytyä kymmeniä erilaisia liiketoimintajärjestelmiä, puhumattakaan isojen monikansallisten yritysten ja julkishallinnon toimijoiden satojen sovellusten käyttöympäristöistä. Sisäisten järjestelmien lisäksi organisaatiolla voi olla globaalisti lukemattomia ulkoisia sidosryhmiä, kuten asiakkaita, toimittajia, kumppaneita tai viranomaisia. Oli kyse sitten sisäisistä järjestelmistä tai ulkoisista kumppaneista, järjestelmien ja palveluiden integraatiot ovat organisaation toiminnan kannalta yksi liiketoimintakriittisimmistä kokonaisuuksista.

Integraatiolla tarkoitetaan kahden tai useamman järjestelmän välille rakennettua ohjelmistologiikkaa, jonka avulla pystytään siirtämään tietoa eri järjestelmien välillä. Integraatioita pystytään toteuttamaan lukemattomilla eri tavoilla ja teknologioilla. Esimerkki integraatiosta voi olla esimerkiksi myyntilaskun siirtäminen laskutusjärjestelmästä verkkolaskuoperaattorille tai asiakastietojen päivitys asiakkuudenhallintajärjestelmästä toiminnanohjausjärjestelmään. Varsinainen integraatio vaatii kytketyltä sovellukselta myös rajapinnan tiedonsiirtoa varten. Rajapintoihin viitataan nykyään yleensä termillä API eli Application Programming Interface.

Mikäli integraatiot eivät toimi, myös niihin liittyvät liiketoimintaprosessit pysähtyvät. Hyvin usein integroitava data sisältää tietoturvan ja -suojan kannalta kriittistä tietoa. Ei siis vain riitä, että tieto siirtyy paikasta toiseen, vaan tiedonsiirron pitää olla myös tietoturvallista täyttäen osaltaan seuraavat perusperiaatteet:

• Luottamuksellisuus
• Eheys
• Saatavuus 

Integraatioarkkitehtuuri tietoturvan perustana

Integraatioiden tietoturvaan liittyy läheisesti myös integraatioarkkitehtuuri – tai joissain tapauksissa sen puute. Integraatioarkkitehtuuri voidaan ymmärtää eräänlaisena kattoterminä, jonka alle sijoittuvat niin integraatioajoympäristön tekninen arkkitehtuuri kuin hallinnollisempi näkökulma, kuten dokumentointi- ja kehityskäytänteet. Integraatioarkkitehtuuri määrittelee siis suuntalinjat integraatioiden kehitykselle ja elinkaarenhallinnalle. Mikäli arkkitehtuurisuunnittelua ei ole otettu huomioon yrityksen integraatiossa, voi tuloksena olla lukematon määrä eri teknologioilla toteutettuja ad hoc -ratkaisuja, joiden hallinta on vaikeaa ja joissain tapauksissa mahdotonta. 

On siis ilmiselvää, että hallitsematon integraatioarkkitehtuuri johtaa tilanteeseen, missä ratkaisujen tietoturva on vähintäänkin vaihtelevaa. Salaamattomat yhteydet ja mahdollisesti vanhentuneet salauskirjastot altistavat organisaation tietomurroille. Lisäksi järjestelmien ja integraatioiden riippuvuudet jäävät epäselviksi ja yleensä huonosti dokumentoiduksi, jolloin esimerkiksi toimiva Disaster Recovery -varautuminen tai järjestelmällinen elinkaarenhallinta on hyvin ohuella pohjalla. 

Lainsäädännön ja erilaisten direktiivien noudattaminen vaatii myös panostusta tietoturvaan ja - suojaan. GDPR:n noudattaminen, esimerkiksi tietojen kolmansille osapuolille luovutuksen osalta, vaatii panostuksia tietoturvaratkaisuihin ja tietosuojan huomioonottamiseen. Henkilötietojen lisäksi esimerkiksi palkka-aineistojen tai terveydenhuollon tietojen osalta on noudatettava ajantasaisia asetuksia ja pykäliä. Vaatimusten noudattaminen mahdollistaa organisaation toiminnan lainsäädännön puitteissa. 

Digitalisaation vaikutukset

Integraatiot tulevat olemaan tulevaisuudessa yhä isommassa roolissa, kun digitalisaatio etenee kaikilla toimialoilla. Moderni ohjelmistokehitys perustuu mikropalveluarkkitehtuuriin ja usein myös erilaisten natiivien pilvipalvelukomponenttien hyödyntämiseen. Isot monoliitit korvataan enenevissä määrin toistensa kanssa integroituvilla komponenteilla. 

Valmissovellukset voidaan hankkia SaaS-muotoisena palveluna. Nämä sovellukset ja palvelut integroidaan osaksi organisaation ekosysteemiä hyödyntäen SaaS-sovellusten rajapintoja integraatioiden avulla. Siinä missä omassa konesalissa toimivat sovellukset voitiin aiemmin integroida esimerkiksi yksinkertaisten, mutta valitettavan hajanaisten tiedostonsiirtoskriptien avulla, täytyy integraatioiden nyt hallita varsinaisen datasiirron lisäksi monimutkaisiakin autentikointi- ja salausmenetelmiä. 

Erilaiset tekoäly- ja koneoppimisratkaisut luovat mahdollisesti täysin uusia integraatiotarpeita jo nyt. Lisäksi vaatimukset reaaliaikaiselle tiedonsiirrolle voivat olla elinehto kiristyvässä kilpailutilanteessa. Kaiken pitää tapahtua tehokkaasti ja luotettavasti, mutta myös tietoturvallisesti. 

Kehityksellä on myös varjopuolensa. Digitalisaation edetessä myös digitaalisten rikosten määrä on nousussa. Tilastokeskuksen mukaan vuonna 2018 poliisille ilmoitettiin 477 tietomurrosta, mutta jo vuonna 2021 ilmoituksia tuli 1467. Samaan aikaan tietomurtojen selvitysaste vuonna 2021 oli vain neljä prosenttia. Vaikka rikos selviäisi, on vahinko kuitenkin jo tapahtunut. (Lähde: https://yle.fi/a/3- 12596198) Pahimmillaan tietoturva- ja tietosuojaongelmat voivat johtaa liiketoiminnan päättymiseen, oikeustoimiin ja laajamittaiseen inhimilliseen kärsimykseen, kuten psykoterapiakeskus Vastaamon tapauksessa.

Modernit integraatiot ovat tärkeässä roolissa organisaation toiminnan kannalta. Ne mahdollistavat tehokkaat liiketoimintaprosessit, sujuvan poikkeushallinnan ja tarvittaessa reaaliaikaisen tilannekuvan muodostamisen. Toisaalta integraatiot ja niihin liittyvät rajapinnat lisäävät hyökkäyspinta-alaa tietomurtojen ja rikkomusten osalta. Siirrossa olevaa tietoa on myös mahdollista kaapata esimerkiksi man-in-the-middle -tyyppisten hyökkäysten avulla, kun tieto on siirtymässä paikasta toiseen. Riskienhallinnan kannata on tärkeää, että järjestelmäkokonaisuuksien tekninen tietoturva on kunnossa. Tekniikan lisäksi myös hallinnollinen tietoturva on oltava kunnossa. Hallinnollista tietoturvaa ovat mm. prosessit, dokumentaatio sekä johtamis- ja riskienhallintamallit. Tietoturva on jalkautettava osaksi päivittäistä tekemistä organisaation kaikilla tasoilla. Tietoturva ei ole erillinen kokonaisuus, vaan sen on oltava osa kaikkea tekemistä – myös integraatioita! 

Digian palvelut tukenasi

Digialta saat käyttöösi kattavat ja tietoturvalliset integraatioratkaisut. Autamme tarvittaessa myös esimerkiksi teknologiavalinnoissa ja integraatioarkkitehtuurin kokonaisvaltaisessa kehittämisessä.

Lisää tietoa palveluistamme löydät täältä. Halutessasi voit jättää meille myös yhteydenottopyynnön.

Jatkamme blogisarjaamme integraatioiden tietoturvasta lähiaikoina. Seuraavassa osassa keskitymme keinoihin, miten integraatioiden tietoturva otetaan haltuun. Palataan siis pian asiaan!

Järjestimme taannoin aiheeseen liittyvän webinaarin, katso webinaarin tallenne, jos aihe kiinnostaa:

Webinaaritallenne: Kuinka kehittää integraatioarkkitehtuuria hallitusti >