Pilvipalveluiden ulosrajaaminen julkishallinnossa hidastaa innovaatioiden syntymistä

Organisaatiot ja yhtiöt kautta maailman hyödyntävät pilvipalveluita enemmän kuin koskaan aiemmin. Suomessa ei kuitenkaan vielä ole valjastettu käyttöön pilvipalveluiden kaikkia hyötyjä. Esteenä ovat joskus syvään juurtuneet asenteet, jotka liittyvät näkemyksiin palveluiden turvallisuudesta. 

Pilvi mahdollistaa etätyön ja vauhdittaa innovaatioita, kun tärkeään dataan päästään käsiksi mistä ja milloin tahansa. Pilvipalveluiden teknologian perustana on muun muassa tekoälyn ja skaalautuvuuden tuomat edut, tehokas suojautuminen kyberhyökkäyksiä vastaan sekä se, että datan sijainti voidaan tehokkaasti hajauttaa maantieteellisesti ja sijoituspaikkaa vaihtaa helposti tarpeen mukaan.

Tästä huolimatta oman palvelimen käyttäminen koetaan turvallisempana kuin pilvipalvelut – data halutaan varastoida palvelimille, jotka sijaitsevat Suomen rajojen sisäpuolella. ”On premises” -varastointia, eli datan säilömistä jossain tietyssä paikassa sijaitsevilla palvelimilla, perustellaan Suomessa usein myös huoltovarmuudella. Vielä tämän vuoden alussa Ukrainassa oli voimassa laki, jonka mukaan valtiollinen data tuli varastoida maan rajojen sisäpuolella sijaitseviin datakeskuksiin. Viikko ennen Venäjän hyökkäystä maan parlamentti kuitenkin muutti lakia tavalla, joka mahdollisti tietojen siirron julkiseen pilveen. Päätös osoittautui viisaaksi, sillä Ukrainan valtion datakeskus oli yksi Venäjän ohjusiskujen ensimmäisistä kohteista sodan alkaessa. Ukrainan on-premises-ratkaisut olivat välittömästi myös toisenlaisen hyökkäyksen kohteena, nimittäin perinteisen kyberhyökkäyksen.

Suomessa ei toivottavasti koskaan jouduta kohtaamaan ohjusiskua, mutta on-premises-ratkaisuihin liittyy selkeitä riskejä. Mikäli julkishallinto siirtyisi hyperskaalatun pilviteknologian käyttöön nopeammin, data olisi paremmassa turvassa. Samalla hallinto voisi tehokkaammin käyttää teknologiaa hyväksi parempien palvelujen tarjoamiseen kansalaisilleen.

Myös tiedon luokittelua on syytä selkeyttää ja terävöittää. Suomessa pilvipalveluiden turvallisuuden arviointiin tulisi käyttää PiTuKri-kriteeristöä. Sen perusteella viranomaiset voivat arvioida, millaiset turvatoimet pilvipalvelusta tulee löytyä riippuen tiedon turvaluokituksesta. Ideaalitilanteessa palveluvalinta tehtäisiin aina käsillä olevan tiedon vaatimien turvatoimien perusteella. Todellisuudessa eri kriteeristöt tuntuvat kuitenkin lisäävän hämmennystä.

Turvallista datan käyttöä  zero trust -mallilla

Epäilevät asenteet perustuvat kuitenkin väärinkäsityksiin pilvipalveluiden turvallisuudesta. Pilvipalveluissa tietoturva perustuu tiedon elinkaaren suojaamiseen sekä käyttäjien identiteettien hallintaan zero trust -mallin mukaisesti, jossa käyttäjiltä sekä pilvipalveluun yhdistyviltä laitteilta vaaditaan aina tunnistautumista. Kyvykkyys ripeästi havaita uhka ja poikkeamat sekä estää ne ovat myös osa pilven tuomaa turvallisuutta. Toki on olemassa dataa, jonka turvaluokitus vaatii lisäelementtejä. Tällainen data liittyy esimerkiksi kansalliseen turvallisuuteen. Säilöntäratkaisu tulisi kuitenkin aina valita käsillä olevan tiedon perusteella sen sijaan, että mahdollisuus datan liikkuvuudelle ja laajemmalle hyödyntämiselle rajataan lähtökohtaisesti pois, esimerkiksi tulkitsemalla määritelmää ”kansallinen turvallisuus” liian laveasti.

Pilviteknologian poisrajaamisella on nimittäin myös merkittäviä haitallisia talousvaikutuksia. Kun terveydenhuollon toisiolain ensimmäinen tietoturvamääräysluonnos (rajaten modernin skaalautuvan pilvipalvelun hyödyntämisen) aikoinaan tuli esille, pysähtyi moni tutkimus ja osa kansainvälisistä toimijoista ohjasi investointinsa muualle. Sääntelyn ennakoitavuus on merkittävä tekijä ulkomaisia investointeja houkuteltaessa.

Suomi on monella tavalla edelläkävijä datan hyödyntämisessä – saavuttihan Suomi hiljattain ykkössijan Euroopan komission digitalisaatiovertailussa – ja meiltä löytyy erittäin korkeatasoista osaamista esimerkiksi kyberturvallisuudessa. Siksi on tärkeää, että emme omilla päätöksillämme romuta mahdollisuuksiamme säilyä digitalisaation ja datan hyödyntämisen edelläkävijämaana myös jatkossa. Digitaalisen puolustuksen kyvykkyys on jatkossakin entistä merkittävämpi tekijä suvereniteetin ylläpitämiseksi.