Muista Microsoft Office 365 varmuuskopiointi

Miljoonat suomalaiset yrityskäyttäjät käyttävät Microsoftin 365 (ent. Office 365) -pilvipalvelua. Tärkeimmät sovellukset ovat Outlook sähköposti sekä OneDrive tiedostojen yhteiskäyttö. Microsoft 365 on palvelukokonaisuus, joka tuotetaan Microsoftin omista konesaleista. Pilvipalvelupaketti mahdollistaa kustannustehokkaasti työkalujen käytön ja tilaamisen.

Suurin osa asiakkaista ei valitettavasti tiedä kaikkia faktoja palvelun tuottamiseen, vaan tyytyvät mieltämään, että Microsoft (tai heidän lisenssin jälleenmyyjä) hoitaa kaiken ja itse voi nostaa jalat pöydälle. Tässä kuitenkin muutama fakta:

- - - - Microsoftin asiakas vastaa oman tiedon säilyvyydestä (Microsoftia ei kiinnosta kenenkään sähköpostit tai tiedostot)
      - Microsoft ei varmuuskopioi Office -sovellusten tiedostoja, vaan ainoastaan arkistoi niitä
      - Microsoft ei ota kantaa asiakkaan compliance puoleen
      - Arkistointi ei ole varmuuskopiointia (Arkistointi tarkoittaa, varsinkin Microsoft 365 -ympäristössä, tiedon siirtämistä halvemmalle levytilalle, kun varmuuskopiointi tarkoittaa kopion luomista)
      - Vastoin yleistä uskomusta, julkisen pilven palvelut ja palvelimet eivät ole 100-prosenttisen luotettavia

Vaikka tiedot ja palvelut olisivat Microsoftin tai Amazonin pilvessä, pitää palveluita silti valvoa oma-aloitteisesti (toki esim. kumppanin avulla). Kannattaa myös muistaa, että esim. raudan ja sen päällä olevan Microsoft 365:n valvonta ja ylläpito ovat kaksi eri asiaa.

Pilvivarmistamisen laajuus

Kyselyn mukaan suurin osa organisaatioista ei varmista (eli varmuuskopio) pilvessä olevaa dataa. Erittäin suositeltavaa olisi varmistaa ne joko a)omille laitteille b)paikallisen palveluntarjoajan konesaliin tai c)toisen valmistajan pilvipalveluun.

Kyselyn vastaukset kuinka usein pilvipalveluja varmistetaan

Kuvaajan lähde: Source: 451 Research’s Voice of the Enterprise: Storage, Budgets and Outlook 2017

Microsoftin arkistoimisen toimintamallit ja riskit

Seuraavat kuvat näyttävät kuinka kauan mitäkin dataa säilytetään, jos esim. tietoja poistetaan vahingossa tai tarkoituksella (esim. lähtevä työntekijä). On tärkeä huomioida, että tiedon häviäminen, vuotaminen tai vahingoittuminen huomataan yleensä vasta pidemmän ajan kuluttua. Jos tässä kohtaa tieto on jo poistettu, niin on lähes mahdoton tutkia mitä on tapahtunut tai palauttaa tietoa. Microsoft (Office) 365:n lokipalveluiden historiatiedollakin on rajansa.

image-3-1

Mitä organisaation tulisi sitten tehdä?

Organisaation tulisi ottaa oma data omaan hallintaan. Tällä tarkoitan sitä, että ”ainut kopio” ei olisi vain yhdessä järjestelmässä. Microsoft 365 -tilit ja Office -sovellukset tulee varmistaa vaikkapa suomalaiseen konesaliin ja hyödyntää varmuuskopiointi palveluita, kuten Veeam. Josta voit arkistoida dataa tai palauttaa haluttuja viestejä tai tiedostoja jopa vuosien päästä.

- - - - Varmuuskopioi, älä arkistoi!
        
        Kaikki eniten käytetyt Microsoft 365 tiedot on mahdollista varmuuskopioida (mm. Exchange, Sharepoint, OneDrive, Teams)
      - Varmista toiseen paikkaan / eri järjestelmään
      - Mahdollista ongelmatilanteista palautuminen
      - Mahdollista esim. GDPR ja/tai Finanssivalvonnan määräysten noudattaminen
      - Ota tietosi omaan hallintaan!

image-4-1

Vastaako ympäristösi määräyksiä?

GDRP määrittää kaikille yrityksille toimintatapoja joita tulee noudattaa. Ne eivät ole vain tylsiä byrokraattisia lakipykäliä, vaan oikeasti järkeviä toimintatapoja. Finanssivalvonta pakottaa GDPR:n lisäksi rahoitusalan yrityksille lisäksi vielä tiukemmat määräykset. Niin sanotun ”Policy Compliancy” merkitys on varmistua, että organisaation toiminta vastaa viranomaisten (tai joskus jopa omien asiakkaiden) määräyksiä ja vaatimuksia. Tarkoitus on varmistua oikeista prosesseista ja käytännöistä eikä jättää asioita herran haltuun.

Tietojen pitäminen Microsoft 365:ssä ilman varmuuskopiointia rikkoo sekä GDPR että Fivan määräyksiä. Fivan kohdalla yksi rike on mm. tiedon arkistointi viideksi vuodeksi. Molemmissa tiedon varmuuskopiointi ja palautuminen ongelmatilanteesta on merkittävät vaatimus. Tämä on myös maalaisjärkeä kaikille ketkä pyörittävät minkään kokoista tietotekniikkaan nojaavaa toimintaa.

Mitkä olivat tärkeimmät yleisen tietoturvan pelot ja huolet viimeiseltä 90 päivältä?

tietoturvan_haasteet

Lähde: 451 Research’s Voice of the Enterprise: Information Security, Organizational Dynamics 2018

Iso osa näistä peloista voi realisoitua Microsoft 365:n pilvipalvelun toimintamallien takia. Näitä riskejä voidaan vähentää merkittävästi klassisella off-site varmuuskopioinnilla. Microsoft (Office) 365:ssä datan pitäminen tarjoaa helppoa käytettävyyttä ja korkea toimintavarmuutta, mutta parhaiden käytäntöjen mukaisesti tiedot tulisi silti varmistaa vähintään toiseen pilveen (kuten Amazon AWS) tai Suomen rajojen sisälle omille laitteille tai paikallisen palveluntarjoajan konesaliin.