Voiko mikä tahansa organisaatio mennä pilveen?
Kysymys siitä voiko organisaatio mennä pilveen tulee tänä päivänä esiin harvemmin, mutta silti yllättävän usein. Lyhyt vastaus kysymykseen on, että erittäin varmasti voi. Jos haluat kuitenkin ymmärtää tarkemmin kysymyksen taustoja ja sitä, miksi sitä vielä tänä päivänä pohditaan, jatka lukemista.
Tämä artikkeli on julkaistu alunperin 26.4.2022 ja pienen päivityksen jälkeen julkaisemme sen nyt uudestaan!!
Olemme käsitelleet aihetta useamman asiakkaamme kanssa viime aikoina ja ajattelimme tuoda mietinnät tämän kysymyksen takana laajemmin esille.
Mitä Suomen laki ja muut määräykset sanovat asiasta?
Mikään laki Suomessa ei suoranaisesti pilven käyttöä kiellä. Lisäksi muun muassa Valtiovarainministeriö on jo vuonna 2019 antanut julkisen hallinnon pilvipalveluista lausunnon, jossa linjataan seuraavat kohdat:
- Pilvipalveluita tulee käsitellä kuin mitä tahansa muutakin ICT-palvelun hankintaa tai muutosta
- Pilvipalveluissa on kiinnitettävä erityistä huomiota sopimuksiin, palvelun jatkuvuuden turvaamiseen ja tiedon saatavuuteen
- Pilvipalvelun tulee täyttää hankkivan osapuolen palveluhyöty ja -takuuvaatimukset
- Mikäli pilvipalvelu tai pilvipalveluteknologia tarjoavat parhaan palveluhyödyn ja -takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita
- Pilvipalveluiden palveluhyötyä ja -takuuta tulee arvioida säännöllisesti sekä oleellisten sopimusehtojen muuttuessa
- Julkisen tiedon käsittelyä ei rajoiteta
- Ei-julkista tietoa voi käsitellä julkisessa pilvipalvelussa, kun tietoturva ja -suoja on asianmukaisesti toteutettu ja todennettu
Lausunto toki koskee vain julkista hallintoa, mutta sitä voidaan pitää hyvänä linjauksena kaikkia organisaatioita varten. Linjaus itsessään ei ollut kovin yllättävä, sillä jos on seurannut asioita pidempään, on ollut nähtävissä, että Suomen valtio ja sen organisaatiot ovat olleet hyvin myönteisiä moderneille teknologioille. Näistä hyvänä esimerkkinä esim. Suomi.fi palveluarkkitehtuuri, jonka tehtävänä oli helpottaa kansalaisten digiasiointia.
Merkittävää näissä linjauksissa on se, että muiden esteiden puuttuessa, pilvipalvelut tulisi ensisijaisesti valita, jos ne tarjoavat parhaan palveluhyödyn ja -takuun. Tämä kohta tuppaa monelta julkiselta hallinnolta unohtumaan ja nykypäivänä julkisen pilven edut ovat kaikkien tiedossa, joten niitä pitäisi todellakin ensisijaisesti suosia. Toki niin että kaikessa on otettu huomioon muut mahdolliset säädökset ja huolehdittu kunnollisesta tietoturvasta.
Määräys, johon yleensä viitataan, kun epäillään sitä, että voidaanko sinne pilveen siirtyä, on tietenkin GDPR eli General Data Protection Regulation. GDPR asettaa vaatimuksia henkilötietojen keräämiseen, säilytykseen ja hallinnointiin, nämä vaatimukset itsessään eivät sano saako vai ei pilveä käyttää, vain määrittelevät miten tietoja käsitellään ja siirretään. Jos näitä määrityksiä seurataan, pilvi on samanvertainen muiden ratkaisujen kanssa.
Rajoittavatko toimialakohtaiset suositukset tai sopimukset siirtymää pilveen?
Tietyillä toimialoilla on olemassa tahoja, jotka antavat suosituksia alan toimijoille. Tästä hyvänä esimerkkinä toimii pankkisektori, joka seuraa Fiva:n antamia suosituksia. Nämäkään suositukset eivät nimensä mukaisesti määrää, vaan suosittelevat asioita. Tutussa ja turvallisessa pitäytyminen voi riskien hallitsemisen näkökulmasta tuntua helpommalta ja varmemmalta vaihtoehdolta, ainakin lyhyellä tähtäimellä. Pilven käyttöönotto vaatii myös teknisiä valmiuksia ja osaamista, jota ei luonnollisestikaan kaikissa organisaatioissa ole aikaisemmin tarvittu ja näin ollen se voi puuttua.
Tämä ei kuitenkaan tarkoita, etteikö pilveä voisi käyttää ja etteikö se useimmissa tapauksissa olisi kannattava vaihtoehto. Vastaavia suosituksi ovat mm. jatkuvuudenhallinta tai palveluvelvoitteet. Nämäkään suositukset eivät kiellä pilveä, mutta suositukset saatetaan tulkita siten, mikäli niiden vaikutuksia omalle toiminnalle ei täysimääräisesti ymmärretä.
Tietyissä tapauksissa myös organisaatioiden väliset sopimukset voivat olla rajoittavia tekijöitä. Olemme törmänneet tällaiseen esimerkiksi terveydenhuollon alalla, jossa sopimuksessa on kirjattu tietty lakia tiukempi määräys siitä, missä tieto sijaitsee. Vaikka laki ei tässä olisikaan velvoittava tekijä, tulee tehdyt sopimukset huomioida.
Microsoftin viesti pilven käytöstä
Microsoftilla on toki itsellään myös oma lehmä ojassa pilven käytön suhteen, mutta he joutuvat seuraamaan lakeja ja asetuksia aivan samalla tavalla kuin me muut. Heiltä löytyy paljon julkista materiaalia siitä, miten pilvi toimii eri organisaatioiden tarpeiden suhteen ja suurin osa Microsoftin pilvipalveluista täyttää tiukimmatkin tietoturvan kriteerit ja datan käsittelyyn liittyvät määräykset EU alueella.
Tietyissä palveluissa, esimerkiksi Customer Lockboxissa on mahdollisuus, että data siirtyisi EU alueen ulkopuolelle mutta suurin osa näistä ei ole siltikään este pilveen menemiseksi. Microsoftilla on tällä hetkellä käynnissä EU Data Boundary projekti, jonka kahden ensimmäisen vaiheen pitäisi valmistua vuoden 2023 loppuun mennessä. Sen puitteissa he lupaavat, että jatkossa nämäkin poikkeukset poistuvat EU alueelta. Lisätietoa tästä löydät täältä.
Olemme kokenut kumppanisi pilven tietoturva-asioissa
Asiantuntijoillamme on kokemusta pilvisiirtymistä niin teollisuuden, pankin, kaupan kuin soten alalta. Mikäli kaipaat sparrausapua tietoturva-asioissa, ole yhteydessä ja suunnitellaan tietoturvallinen siirtymä pilveen yhdessä.