FiComin lausunto valtionhallinnon pilvipalvelulinjauksista

Valtiovarainministeriö on pyytänyt lausuntoja valtionhallinnon pilvipalvelulinjauksien päivittämisestä. FiCom kiittää mahdollisuudesta tulla kuulluksi ja esittää kunnioittavasti seuraavaa:

Valtionhallinnon pilvilinjaukset

1. Ensisijaisesti pilveen (Cloud 1st) strategia

Pilvipalvelun tai pilvipalveluteknologian ensisijaisuus on ehdottoman hyvä ja kannatettava tavoite. On kuitenkin tärkeää miettiä, mitä pilvilinjauksilla halutaan saavuttaa, ja kirjoittaa tavoitteet niiden mukaisesti. Pilvipalvelut ovat välttämättömiä Suomen digitaaliselle tulevaisuudelle, sillä ne antavat valtionhallinnollekin mahdollisuuden käyttää tehokasta laskentaa, tallennustilaa sekä erittäin suojattua IT-infrastruktuuria ja -palveluita. Lisäksi pilvipalvelut ovat viime vuosina olleet muiden huipputeknologioiden, kuten tekoälyn ja koneoppimisen, keskeisiä mahdollistajia. Pilvipalveluiden joustavuus, innovatiivisuus ja skaalautuvuus ovat etu erityisesti odottamattomissa olosuhteissa, ja pilvipalvelut mahdollistivat esimerkiksi globaalista koronapandemiasta selviämisen. Useat valtiot ovat jo omaksuneet ”Cloud First” -strategian ja siten varmistaneet valtionhallintonsa sekä kansalaisille suunnattujen palveluidensa jatkuvuuden. Tuoreimpana esimerkkinä Alankomaiden hallitus hyväksyi viime vuonna tulevaisuuteen suuntautuvan pilvistrategiansa, joka edistää riskiperusteiseen päätöksentekoon perustuvaa pilvipalveluiden hyödyntämistä ja mahdollistaa myös globaalien pilvipalveluntarjoajien käytön.

Mikäli linjauksissa mainittuja pilvipalvelun tai pilvipalveluteknologian valinnan estäviä perusteita on havaittu, tulee ne yksilöidä, sillä nyt linjaukseen valitulla sanamuodolla asia jää epäselväksi.  Jos estävät perusteet pohjautuvat esimerkiksi valtionhallinnon omiin ohjeistuksiin tai kansalliseen lainsäädäntöön, ne pitää tunnistaa ja tarvittaessa korjata. Lisäksi vaikka linjaukset ja lainsäädäntö mahdollistaisivatkin pilvipalveluiden käytön, niiden hankkijan on silti ymmärrettävä, mitä dataa ja mistä hänelle kertyy, missä sitä säilytetään, miten se on suojattu ja keillä on siihen pääsy.

FiCom ehdottaa tekstin kohtaa ”, mikäli estäviä perusteita valintaan ei ole” poistettavaksi tai vähintäänkin korvattavaksi selkeämmin määritellyllä muotoilulla.

2. Pilvi- ja ekosysteemiratkaisut tulee tuottaa lähtökohtaisesti EU/ETA –alueelta

Linjaukseen valittu sana ”tuottaa” aiheuttaa epäselvyydessään tulkintavaikeuksia ja jopa ristiriitoja muiden linjauksien kanssa. Tarkoitetaanko pilvi- ja ekosysteemiratkaisujen tuottamisella EU/ETA-alueella sitä, että palveluita toimittavan tahon tulee olla EU/ETA-alueelta oleva yritys vai että datakeskuksen tulee olla EU/ETA-alueella, jolloin palvelua toimittava yritys voisi olla kotoisin EU/ETA-alueen ulkopuoleltakin? Esimerkiksi hyperskaalattujen pilvipalveluiden tuoma kyberturva pohjautuu niiden globaaliuteen, mutta pilvipalvelun toimittaja voi silti tarjota asiakkaan tarpeiden mukaisia ratkaisuja, joissa data sijaitsee asiakkaan haluamalla alueella ja siihen pääsee käsiksi vain asiakkaan määrittämät tahot, asiakkaan itsensä hallinnoimilla avaimilla. Teknisiä ratkaisuja yksityisyydensuojan ja tietoturvan suojaamiseksi on siis jo olemassa. Mikäli linjauksissa halutaan puhua nimenomaan ratkaisujen ”tuottamisesta”, ohjetta tulee selkeyttää, jotta vältetään tahattomasti rajoittavat tulkinnat, jotka voivat syödä pohjan ohjeiden tavoitteilta.

Suomessa tulee noudattaa esimerkiksi yleisen tietosuoja-asetuksen (GDPR) velvoitteita, mutta ehdotettujen pilvipalvelulinjausten ei tule johtaa vakiintuneiden eurooppalaisten puitteiden kanssa ristiriitaisiin tai jopa niitä rajoittaviin tulkintoihin. Valtionhallinnon toimija voi nykyäänkin vaikutustenarvioinnin kautta päätyä hyperskaalattua pilvipalvelua hyödyntävään ratkaisuun, joka on silti sääntelykehikon mukainen ja mahdollistaa tarvittavan tietoturvan ja yksityisyydensuojan tason. Linjausten tulee keskittyä juridiseen, sopimukselliseen, organisatoriseen ja tekniseen kokonaiskuvaan rajoittavien tulkintojen sijaan.

3. Valtion yhteisten pilvi- ja ekosysteemiratkaisujen tulee olla ensisijainen valinta, mikäli estäviä perusteita valinnalle ei ole

Linjauksen osalta jää epäselväksi, mitä tarkoitetaan ensisijaiseksi valinnaksi ehdotetuilla ”valtion yhteisillä ratkaisuilla”. Paljon tärkeämpää on integroida valtion pilvi laajempaan digitaaliseen ekosysteemiin mahdollistamalla hybridi- ja monipilviympäristöt. Avoimuus, yhteensopivuus ja tiedon siirrettävyys ovat välttämättömiä digitaalisen muutoksen edistämiseksi julkishallinnossa, ja turvallinen digitaalisen muutos vaatii, että julkinen sektori voi hyödyntää myös suurien kansainvälisten toimijoiden laajaa palveluvalikoimaa.

4. Pilvialustapalveluihin liittyvät kilpailutukset ja hankinnat tulee tehdä ensisijaisesti valtionhallinnon yleisillä hankintasopimuksilla

Tällä hetkellä jokainen pilvitoimija neuvottelee erikseen ehtonsa valtionhallinnon kanssa, joten tavoitteen osalta jää epäselväksi, mitä oikeastaan tarkoitetaan ”yleisillä hankintasopimuksilla”. Perinteisesti pilvialustoja on hankittu palvelemaan vain yhtä virastoa tai toimintoa, mutta tulevaisuudessa julkishallinnon tulisi tavoitella linjauksen tavoitteissakin ilmaistun mukaisesti yhteistä hankintaa monipilviympäristössä. Palvelut voitaisiin valita omien tavoitteiden mukaisesti, mutta samalla vähennettäisiin riippuvuutta yksittäisistä palveluntarjoajista tai teknologioista.

Julkisten hankintojen tulee olla läpinäkyviä, mahdollistaa avoin kilpailu sekä edistää monipilvistrategiaa ja usean eri toimijan yhteentoimivuutta. Lähtökohtana tulisi olla eri toimijoiden syrjimätön ja tasapuolinen kohtelu. Julkisia hankintoja tehdessä tulee myös välttää toimittajaloukkua.

5. Pilvipalveluiden hankintaa, käyttöönottoa ja hyödyntämistä tulee käsitellä kuin mitä tahansa muutakin palvelun hankintaa tai muutosta

Suosituksen tavoite on kannatettava, mutta se voi ohjata rajoittaviin tulkintoihin. Pilvipalvelut toimivat digitaalisessa maailmassa, joten niiden turvallisuutta tulee tarkastella ns. Zero Trust -mallin kautta perinteisemmän perimetria-ajattelun sijaan. Päätöksenteossa tulee ottaa huomioon monipilven (multicloud) ja muiden erilaisten mallien tuomat mahdollisuudet, kuten skaalautuva kyberturva, sekä huomioida esimerkiksi ympäristövaikutukset ja EU:n tulevan datasäädöksenkin edellyttämä siirrettävyys, minkä myötä tulee myös välttää toimittajaloukkua.

6. Julkista tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä

On kannatettavaa, että tietojen käsittely julkisessa pilvipalvelussa halutaan mahdollistaa ja että päätöksenteossa halutaan hyödyntää riskiperusteista päätöksentekoa. Linjauksessa jää kuitenkin valitettavan epäselväksi, mitä ”vaatimustenmukaisuudella” tässä yhteydessä tarkoitetaan. Tavoitteiden osalta viitataan myös ”vain julkiseen tietoon”, mutta on hyvä muistaa, että pilvipalvelut sisältävät usein eri kategorioihin kuuluvia tietoja, joita käsitellään eri tavoin.

7. Salassa pidettävää turvallisuusluokittelematonta tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä

Julkinen pilvipalvelu on usein soveltuvin ja suositelluin vaihtoehto valtionhallinnon tiedon käsittelyyn, ja palveluissa voi olla samanaikaisesti useita eri tietoluokkia, joilla on erilaiset käyttöoikeudet ja suojamekanismit. Näin ollen mitään tietoluokkaa ei tule kategorisesti sulkea pois julkisista pilvipalveluista, vaan pikemminkin ohjeistaa vaikutustenarvioinnin pohjalta, miten erilaista tietoa tulee suojata.

Mikäli jokin tietoluokka halutaan kategorisesti sulkea julkisten pilvipalveluiden ulkopuolelle, tulee Suomessa samalla varmistaa, miten tuo tieto suojataan poikkeustilanteissa, joissa uhkaava toimija pyrkii pääsemään siihen käsiksi. Esimerkiksi Ukraina kykeni uuden lainsäädäntönsä ansiosta siirtämään valtionhallinnon datan Ukrainan ulkopuolelle suojaan Venäjän hyökkäykseltä, ja hyperskaalattu pilvi mahdollisti datan nopean suojaamisen ja hajauttamisen. Miten Suomen valtionhallinto kykenee skaalaamaan kyberturvansa tällä hetkellä käytössä olevilla ratkaisuilla?

8. Henkilötietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä.

Kts. kommentti kohtaan 7.

Henkilötietojen käsittelyn tulee julkisessa pilvipalvelussa tapahtua GDPR:n vaatimusten mukaisesti, ja virastojen tulee tehdä asianmukainen tietosuojaa koskeva vaikutustenarviointi. Suomessa ei kuitenkaan tule ottaa kansallisesti käyttöön GDPR:n kanssa päällekkäisiä tai mahdollisesti jopa ristiriitaisia ohjeistuksia tai käytäntöjä.

9. Turvallisuusluokan IV tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva, tietosuoja ja jatkuvuudenhallinta on vaatimustenmukaisesti toteutettu, todennettu ja käyttöönotettu tiedonhallintayksikön tai viraston johdon riskiperusteisella päätöksellä

Kts. kommentti kohtaan 7.

On kannatettavaa, että myös turvallisuusluokan IV tietojen käsittely julkisessa pilvipalvelussa halutaan mahdollistaa. Linjauksen tavoitteet on kuitenkin kirjoitettu epäselvästi esimerkiksi palvelun tuottamisessa käytetyn toimitusketjun osalta, ja paikoin vaikutus on todellisuudessa supistava. Tavoitteet eivät ole linjassa GDPR:n tai Euroopan unionin tuomioistuimen ns. Schrems II -päätöksen kanssa, eivätkä vastaa komission jo antamia tai tulevia ns. vastaavuuspäätöksiä henkilötietojen suojan riittävyydestä. Suomen ei tule luoda kansallisilla linjauksillaan EU-oikeustilan vastaisia tulkintoja.

Pilvilinjauksien jatkovalmistelua tukevat kysymykset

1. Ovatko ehdotetut linjaukset rajoittavia? Ovatko ehdotetut linjaukset mahdollistavia?

Linjausten sanamuotojen epäselvyydet voivat aiheuttaa rajoittavia tulkintoja. Linjausten tulee olla julkilausutun tavoitteensa mukaisesti aidosti mahdollistavia.

2. Miten ehdotetut linjaukset vaikuttavat edelläkävijävirastojen pilvipalvelujen hyödyntämiseen? Miten ehdotetut linjaukset vaikuttavat pilvipalvelujen käytön hyödyntämistä suunnitteleville virastoille?

Kunhan linjauksissa huomioidaan haluttu lopputulos ja jätetään riittävästi tilaa sen mahdollistaville tulkinnoille myös teknologian kehittyessä, riittävän selkeät ja tarkkarajaiset linjaukset ovat omiaan edistämään pilvipalvelujen hyödyntämistä.

3. Miten tiedon ulkomaille sijoittamiseen liittyviä riskejä voidaan vähentää ja miten riskien vähentäminen voitaisiin ottaa huomioon linjauksissa?

Valtionhallinnon toimijoiden organisatoriset, sopimukselliset sekä tekniset ratkaisut edistävät jo nykyään riskien minimointia. Hyvät käytännöt vaikutustenarvioinneissa sekä niiden jakaminen valtionhallinnon sisällä edistävät tiedon lisäämistä sekä asian ymmärrystä.

4. Mitä esteitä pilvipalvelujen hyödyntämisessä on tietosuojan ja henkilötiedonkäsittelyn osalta? Ja miten näitä esteitä voitaisiin käytännössä poistaa?

Sääntelyn tulee aina kestää aikaa ja jättää tilaa myös teknologiselle kehitykselle. Parhaiten tämä varmistetaan tavoitteisiin perustuvalla ohjeistuksella. FiCom suosittelee lisäksi harkitsemaan Zero Trust -periaatepäätöksen tekemistä valtioneuvoston tasolla, jolloin valtionhallinnon toimijoita ja toimintakenttää voitaisiin ohjata erityisesti digitaalisen turvallisuuden osalta.

5. Mitkä ovat muut merkittävimmät esteet pilvipalvelujen laajemmalle hyödyntämiselle? Ja miten esteitä voitaisiin poistaa?

Sääntely sekä siihen liittyvät ohjeistukset ovat paikoin epäselviä, varsinkin transatlanttisten tiedonsiirtojen osalta, joten niitä tulee pyrkiä selventämään.

Pilvipalvelumalleja ja -ratkaisuja on useita erilaisia, ja teknologian saralla tapahtuu jatkuvasti kehitystä, joten liian mustavalkoisen lähestymistavan sijaan pilvipalvelujen hyödyntämistä tulisi lähestyä toivottu lopputulema edellä sen sijaan, että linjauksista kirjoitetaan liian rajoittavia. Suomessa ei tule ottaa kansallisesti käyttöön EU:n linjan kanssa päällekkäisiä tai mahdollisesti jopa ristiriitaisia ohjeistuksia tai käytäntöjä.

6. Mitä muita toimenpiteitä, ehdotettujen linjauksien lisäksi, voitaisiin käynnistää pilvipalvelujen hyödyntämisen edistämiseksi?

FiCom ehdottaa lisäksi valtionhallinnon työntekijöiden kouluttamista. Koulutusmateriaaleja on jo valmiiksi tarjolla runsaasti, mutta lisäksi on tärkeää käydä vuoropuhelua pilvipalveluntarjoajien kanssa, jotta teknologian kehitys ja sen tuomat mahdollisuudet pystytään huomioimaan. Yleisemminkin taitojen kehittäminen, varsinkin teknologian osalta, on merkittävässä roolissa tulevaisuuden työelämässä.

Asko Metsola, lakimies, FiCom