Pilvipalvelut ovat puhututtaneet valtionhallinnon toimijoita jo usean vuoden ajan. Siirtymä on kuitenkin ollut hidasta ja asenteet pilveä kohtaan keskimäärin varautuneita. Laajempi muutos tähän on varmastikin horisontissa pilven käyttöä koskevien linjausten tarkentuessa, teknologian kehittyessä ja hyperskaalatoimijoiden lisätessä omaa läsnäoloaan valtionrajojen sisäpuolella. Loppupeleissä tahdin ja laajuuden määrittävät kuitenkin organisaatiot itse.
Pilvipalveluiden lähtökohtana organisaation omat tarpeet
Valtionhallinnon pilvisiirtymää (pilvipalveluilla tarkoitetaan tässä yhteydessä julkipilven IaaS, PaaS ja SaaS -palvelutarjoomaa) vauhdittaa tällä hetkellä pilven lupaamat hyödyt ja mahdollisuudet toiminnan ketteröittämisessä – toisaalta myös ohjelmistovalmistajien strategiset linjaukset painottavat pilviratkaisuja tuoteperheissään.
Siirtymistä pilvipalveluihin varjostavat kuitenkin tiukkaan pinttyneet ennakkoluulot ja tietynlainen mustavalkoisuus ajattelumalleissa. Tilannetta ei myöskään helpota olemassa olevan lainsäädännön, linjausten ja ohjeistuksien tulkinnanvaraisuus ja ristiriitaisuus. Varmasti konkreettisin kannanotto on tullut Kyberturvallisuuskeskukselta Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) muodossa. Tämä on kuitenkin vain yhden toimijan tulkinta olemassa olevasta lainsäädännöstä paketoituna ei-velvoittavan ohjeistuksen muotoon.
Päätös pilvipalveluiden hyödyntämisestä tulee lopulta tehdä aina riskipohjaisesti organisaation omista näkökulmista arvioiden.
Tietosuojariskeinä pilvipalvelutoimittajien hallintayhteydet
Keskeisimmät pilvipalveluiden hyödyntämisen riskit ja sitä kautta haasteet liittyvät tietosuojaan, tiedonhallintaan ja varautumiseen.
Kahdessa ensimmäiseksi mainitussa problematiikka on käytännössä sama: miten varmistutaan, että kukaan toinen taho ei pääse käsiksi joko henkilötietoihin tai turvallisuusluokiteltuun (TL IV) tietoon. EU-tuomioistuimen Schrems II -tuomion myötä EU:n ja USA:n välinen Privacy Shield -sopimus on pätemätön. Tämä tarkoittaa, että tietosuojariskiksi ovat nousseet pilvipalvelutoimittajan hallintayhteydet EU/ETA-alueen ulkopuolelta. Hyperskaalatoimijat ovat vastaamassa tähän haasteeseen luomalla palveluvalikoimaa, jossa palveluiden hallinta ja ylläpito on keskitetty EU/ETA-alueelle (esim. käyttöönottovaiheessa oleva Microsoftin EU data boundary).
Varautuminen erilaisiin riskeihin on välttämätöntä
On myös hyvä huomioida, että yksityisellä sektorilla on jo pitkään tunnistettu riittäväksi riskienhallinta- ja suojaustoimenpiteeksi tiedon salaus hyödyntäen omia salausavaimia ja salausavaimien hallintajärjestelmiä. Toimijat myös tarjoavat mahdollisuutta huolehtia tiedon salauksesta päästä-päähän hyödyntäen confidential computing -teknologiaa, jolloin ulkopuolisen näkökulmasta tieto pysyy salattuna paitsi säilytyksessä ja siirrossa, myös prosessoitaessa tietoa.
Varautuminen on teemana moniulotteinen ja haastava käsitellä, varsinkin jos organisaation uhkakuva-analyysit on tehty siilomaisella ajatusmallilla. Arvioitaessa varautumisen vaatimuksia ja näiden asettamia reunaehtoja pilvipalveluiden hyödyntämiselle yksittäisen käyttötapauksen kautta, tulisi vahvemmin analysoida onko järjestelmän käytölle edes edellytyksiä tunnistetussa uhkakuvassa. Tietoliikenneyhteyksien katkeaminen ulkomaailmaan on yksi useimmiten esille nostettu uhkakuva ja vasta-argumentti palveluiden siirtämiselle.
Verkottuneessa maailmassa järjestelmät nojaavat usein vahvasti rajapintoihin, jolloin uhkakuvan toteutuminen voi rampauttaa järjestelmän oli se sitten pilvessä tai perinteisessä kotimaisessa datakeskuksessa. Voi jopa olla, että järjestelmä toimisi poikkeusoloissa varmemmin pilvipohjaisissa ratkaisuissa.
Varautuminen on kansallisen turvallisuuden kannalta välttämätön toimenpide: sitä ei kuitenkaan tulisi lähestyä yksiselitteisesti pilvipalvelut poissulkevana asiana.
Deloitte auttaa tälläkin hetkellä valtionhallinnon toimijoita pilvisiirtymän suunnittelussa ja toteuttamisessa. Kansainvälinen verkostomme avaa meille pääsyn keskusteluihin myös muissa maissa, joissa valtionhallinnon ja julkisen sektorin pilvisiirtymä on yhtä lailla pinnalla oleva keskustelunaihe.
Otathan meihin yhteyttä, mikäli haluat vaihtaa ajatuksia ja keskustella lisää.
Ota yhteyttä!
Mikael Lindén
Mikael Lindén työskentelee Deloitten teknologiapalveluissa keskittyen suuriin liiketoimintaa ja teknologiaa yhdistäviin muutoshankkeisiin eri toimialoilla. Hänellä on yli 10 vuoden kokemus mm. digitalisten palveluiden, liiketoimintalähtöisten teknologiastrategioiden ja IT-toimintamallien kehittämisestä, sekä hankintoihin ja laajoihin transformaatioihin liittyvästä neuvonannosta. Hänen eritysosaamiseensa kuuluu palveluliiketoiminta, syvä teknologinen ymmärrys ja pilvipalvelut. Mikael on kokenut johdon neuvonantaja ja pystyy johtamaan eri kokoisia muutoksia strategiasta toimeenpanoon. Briefly in English Mikael Linden is working for Deloitte Technology practice in Finland and has over 10 years of experience from different roles in the technology services market. His strengths lie in technology strategy, technology-led transformation, cloud enablement, digital services, service orchestration and operating models in a wider perspective. He is a trusted advisor to IT and business executives in multiple technology related domains and has the experience required to lead large transformation initiatives.