Julkishallinnon kaupallisen pilven hyödyntäminen sai EU:n tietosuojaneuvostolta tammikuun puolivälissä uusia suosituksia, mutta tuovatko ne pilvirintamalle mitään uutta? Pohjaviestinään EU:n tietosuojaneuvosto muistuttaa, että julkishallinnon organisaatioiden on toimittava EU:n tietosuoja-asetuksen mukaisesti kaikissa tilanteissa. Käyn tässä kirjoituksessa tarkemmin läpi muutamia huomionarvoisia kohtia suosituksista, ja mitä niistä ajattelen.
Kaupallisia pilvipalveluita hankittaessa pitäisi erityisesti huomioida palveluiden hankintaan sekä sopimusteknisiin asioihin liittyviä yksityiskohtia, ja samalla varmistaa, että hankittavan pilvipohjaisen palvelun ehdot ovat organisaation omien pilvilinjausten mukaisia.
Yksi hankintalain noudattamista vaikeuttavista ongelmista kaupallisten pilvipalveluiden kilpailuttamisen osalta on, että hankintayksikkö ei tosiasiassa voi tarkasti määritellä keskeisimpiä sopimusehtoja. Syynä tähän on mielestäni se, että kaupallisia pilvipalveluita tarjotaan usein vakiintuneilla sopimusehdoilla, joista erityisesti ns. hyperscalerit* eivät juurikaan halua joustaa. Tietosuojaneuvoston suosituksissa kuitenkin kehotetaan tekemään yhteistyötä hankintojen osalta muiden julkishallinnon organisaatioiden kanssa, sekä neuvottelemaan tarvittaessa sopimuksia uusiksi.
Kysymykseksi nousee, onko suomalaisella julkisella sektorilla riittävästi vääntövoimaa, jotta suurimmat kaupalliset pilvipalvelutoimittajat taipuisivat ehdoissaan?
Suositukset pyytävät myös tarkistamaan ehdot, joilla julkishallinnon toimija voi osallistua mahdollisiin auditointeihin sekä selvittämään, sovelletaanko EU:n ulkopuolisen maan lainsäädäntöä pilvipalveluiden tarjoajaan ja aiheuttaako soveltaminen mahdollisen pääsyn organisaation pilvipalvelussa oleviin tietoihin. Olen ymmärryksessä, että erityisesti fyysisen turvallisuuden auditointi ei onnistu kaupallisten pilvipalvelutoimittajien kanssa, ja esimerkiksi tiedusteluviranomaisten pyyntö päästä käsiksi pilvipalvelussa oleviin tietoihin on lopulta hyvin pientä.
Lisääntyvät suositukset johtavat helposti siihen, että varovaisuus voittaa ja digitalisaatio häviää
Pitäisikö meidän ylipäätänsä luottaa suurimpiin toimittajiin tietoturvan ja zero-trust arkkitehtuuriajattelun osalta? Microsoft ilmoitti vuonna 2021 investoivansa neljä miljardia dollaria tietoturvan parantamiseen seuraavien viiden vuoden aikana. Vertailuksi Suomen valtion IT-menot kokonaisuutena olivat viime vuonna noin 1,3 miljardia euroa.
Totta kai riskienhallinta on merkityksellistä – turvamekanismeista täytyy huolehtia ja tietojen ja arkkitehtuurin siirrettävyyteen tulee varautua. Väitän kuitenkin, että organisaatiot osaavat jo lähtökohtaisesti rajata ratkaisut, joita kaupalliseen pilveen vievät ja siten minimoivat riskejä. Mielestäni nyt tuodut lisäsuositukset monimutkaistavat ja siten johtavat helposti siihen, että varovaisuus voittaa, ja digitalisaatio häviää.
Julkaistuista suosituksista useampi ottaa kattavasti kantaa tietosuojaan, alkaen organisaation tietosuojavastaavan osallistamisesta päätyen tiedon siirrettävyyteen. Tämä on hyvä asia. On lisäksi hyvä huomioida, että suurimmat kaupalliset pilvipalvelutoimittajat tarjoavat teknistä lisätukea erilaisten käytäntöjen varmistamiseksi, oli kyse sitten GDPR:stä tai PiTuKrin yhteensopivuuden varmistamisesta. Joko teknisin keinoin tai ulkopuolisia tahoja hyödyntäen.
Väitän, että jos nyt julkaistut suositukset olisivat pakottavia, pysähtyisi julkisen sektorin pilvisiirtymä hyvinkin nopeasti. Tarvitsemme selkeämpää ja mahdollistavampaa linjausta kaupallisen pilven käyttämisestä Suomen etua ajatellen. Kaupalliset pilvipalvelut ovat merkittävä IT:n rakennuspalikka niin vihreämmän digitalisaation kuin kustannussäästöjenkin saavuttamisessa. Ja molempia mainittuja tarvitsemme kipeästi.
*Hyperscaler = Suuri kaupallisen pilvipalvelun toimittajataho. Lähinnä Amazon, Microsoft ja Google.
Ovatko sovelluksesi valmiita pilveen? Tervetuloa webinaariimme 26.4.2023 klo 10.00 – 10.45 kuulemaan, miten selvityksessä kannattaa lähteä liikkeelle!
Kirjoittajasta
Tommi Gynther
johtava digitalisaatiokonsultti, valtionhallinto
Olen Tommi Gynther ja työskentelen CGI:llä valtionhallinnon yksikössä johtavana digitalisaatiokonsulttina. Taustani ovat sovelluskehityksen ja arkkitehtuurin puolelta mutta tänä päivänä katson asioita enemmänkin pehmeämpien arvojen näkökulmasta vahvalla tulevaisuusorientoitumisella.
