Kaupallinen yhteistyö Tietoevry

Tiedätkö millaisessa pilvessä datasi majailee? Nyt on korkea aika tehdä selvä ero julkisen ja suvereenin pilven välille

Vain neljä prosenttia läntisen maailman tuottamasta datasta on tallennettu Eurooppaan. Euroopan tietosuoja-asetus GDPR, Yhdysvaltain Cloud Act ja muu sääntely korostaa organisaatioiden tarvetta ymmärtää, missä oma data sijaitsee. Suvereeni pilvi on osa toimivaa hybridipilvistrategiaa. VAPAA LUKUOIKEUS

Kaupallinen yhteistyö: Tietoevry
Monimutkaistuva sääntely korostaa tarvetta ymmärtää, missä omaa dataa säilytetään. (Kuva: Tietoevry)

Cloud first-ajattelu on jo arkipäivää yritysten ja julkisten toimijoiden rakentaessa digitaalisia palvelujaan. Pilvi tarjoaa muun muassa joustavuutta ja skaalautuvuutta.

“Organisaatioiden halu käyttää pilvipalveluita on koko Euroopassa, mutta erityisesti Pohjoismaissa selkeä trendi. Enemmän ja enemmän työkuormia ja tietoa siirretään julkiseen pilveen. Myös julkinen sektori on Suomessa varsin pilvimyönteinen”, arvioi Tietoevryn pilvi- ja infrapalveluiden maajohtaja Mikko Pulkkinen.

Viimeisten viiden vuoden aikana voimaan tullut sääntely eri puolilla maailmaa on tuonut organisaatioille uudenlaisia haasteita. Datan omistussuhteita ja käytön pelisääntöjä joudutaan nyt miettimään entistä tarkemmin.

”Enemmän ja enemmän työkuormia ja tietoa siirretään julkiseen pilveen. Myös julkinen sektori on Suomessa varsin pilvimyönteinen”, arvioi Tietoevryn Mikko Pulkkinen. (Kuva: Tietoevry)

Uutta sääntelyä Atlantin molemmin puolin

EU:ssa vuonna 2016 voimaan tullut Euroopan tietosuoja-asetus GDPR toi eurooppalaisen ajattelun mukaisesti yksilön digitaalisen maailman keskipisteeksi. Yksinkertaistetusti EU halusi varmistaa kansalaisille oikeuden omaan dataansa. Käytännössä yksilön tulee vähintään saada tietää mitä tietoa hänestä on kerätty, missä sitä on ja mitä sillä tehdään.

Vuonna 2018 Yhdysvalloissa säädettiin Cloud Act-lakipaketti. “Se oli game changer”, toteaa Francisco Romero, Tietoevryn Suvereeni pilvi-palveluista vastaava palveluomistaja. 

Cloud Actin myötä yhdysvaltalainen viranomainen voi käytännössä määrätä yhdysvaltalaisen yrityksen luovuttamaan tietoja, joita sen tarjoamiin pilvipalveluihin on tallennettu. Tämä koskee myös suomalaisten dataa.

“Cloud Act haastaa osin eurooppalaista lainsäädäntöä ja herättää kysymyksiä pääsystä dataan ja sen omistussuhteista. Sama koskee käytännössä kaikkia globaaleja toimijoita”, Romero toteaa. 

Tilannetta mutkistaa se, että arviolta 92 prosenttia läntisessä maailmassa tuotetusta datasta on tallennettu Yhdysvaltoihin ja vain 4 prosenttia Eurooppaan.

Lisäksi EU-tuomioistuin totesi pari vuotta sitten Euroopan ja Yhdysvaltain välisen, tietojen siirtoa koskevan Privacy Shield-järjestelmän riittämättömäksi suojaamaan EU-kansalaisten tietoja. Uutta sääntelyä valmistellaan parhaillaan.

Oman lisänsä sääntelysoppaan tuo vielä EU:n Gaia-X:ksi nimeämä aloite, jonka tavoitteena on edistää eurooppalaista datataloutta vahvistamalla eurooppalaista yhteistyötä esimerkiksi metadatan käytössä. Tällä hetkellä euroopan kansalaisten luomaa metadataa pääsevät käyttämään hyödykseen lähinnä yhdysvaltalaiset yritykset.

Monenlaisia pilviä

Sääntelyn monimutkaisuus ja yksityisyysvaatimukset luovat tarvetta erityyppisille pilvipalveluille erilaiselle datalle ja erilaisiin käyttötarkoituksiin. Suvereeni pilvi on ratkaisu, jossa salassapidettävää dataa käsitellään kokonaisuudessaan Euroopan tai Suomen rajojen sisäpuolella, tarpeesta riippuen. Pulkkinen avaa suvereenin pilven käsitettä:

”Suvereeni pilvi mahdollistaa tietyn lainsäädännön noudattamisen ja vastaa tietosuojavaatimuksiin. Lisäksi paikallisen toimittajan toteuttama palvelu on herkkä paikallisille tarpeille. Julkisen pilven ominaisuuksista ei pysty tinkimään.” 

Datan ja palvelujen turvaaminen poikkeuksellisissa oloissa on noussut muuttuneen maailmantilanteen myötä vahvasti keskusteluun. Suvereenin pilven avulla voi tarvittaessa ohittaa avoimen netin kokonaan. 

Pulkkinen toteaa, että suvereeni pilvi mahdollistaa datan saavutettavuuden ja organisaation toiminnan jatkamisen myös tilanteessa, jossa esimerkiksi yhteydet Suomen rajojen ulkopuolelle ovat poikki. Tämä korostuu erityisesti julkisten organisaatioiden toiminnassa.

Useimmille organisaatioille paras malli onkin hybridipilvistrategia, jossa julkista ja suvereenia pilveä käytetään tarkoituksenmukaisesti.

Selvitä, missä oma datasi on

Jotta omaa pilvistrategiaansa pystyisi päivittämään ja toimimaan tehokkaasti muuttuneessa sääntely-ympäristössä, avainasemassa on oman datan ja sen rakenteiden tunteminen, Pulkkinen muistuttaa.

“Kaikki organisaatiot ovat vastuussa omasta datastaan. Oleellista on, että ymmärretään, missä data on ja mitä siitä seuraa. Kun tämän sisäistää, oikeanlaisen pilven valinta on helpompi tehdä.”

Romeron mukaan ennen GDPR:ää asiaan ei juuri kiinnitetty huomiota, mutta sääntelyn tultua voimaan, kaikki joutuivat asiaa jollain tasolla pohtimaan.

“Sen jälkeenkin on sääntelyssä tapahtunut paljon. Ymmärrys ei ehkä vieläkään ole niin hyvällä tasolla kuin pitäisi.” 

Tilanne kuitenkin vaihtelee huomattavasti toimialoittain, Romero arvioi.

Luokittelu avuksi

Pilvistrategiaa pohdittaessa pelkkä tietoisuus oman datan ja mahdollisen metadatan sijainnista ei kuitenkaan riitä. On ymmärrettävä, mikä on oman toiminnan kannalta kriittistä ja toisaalta mitä ilman voidaan ainakin tilapäisesti olla. 

“On eri asia menettää pääsy vaikkapa työntekijöiden valokuviin kuin salaisiin sopimuksiin tai toiminnanohjausjärjestelmiin”, Romero valottaa.

Datan voi jakaa karkeasti kolmeen luokkaan: 

  1. Korkein taso. Tällä tasolla ovat tiedot, joita ilman organisaatio ei pysty toimimaan. Esimerkkeinä henkilöstön tiedot ja toiminnanohjausjärjestelmien (ERP) tiedot.
  2. Keskimmäinen taso. Toiminnassa käytettävien sovellusten tiedot. Käytännössä työntekijöiden tarvitsemat sovellukset, jotka liittyvät olennaisesti organisaation toimintaan. Lisäksi työajanseuranta, intranet jne. 
  3. Alin taso. Vähiten kriittiseksi voi luokitella tiedon, jota tyypillisesti voidaan lähettää sähköpostitse: erilaiset dokumentit, luonnokset jne.

Tärkein data on sellaista, jota ilman organisaation toiminta pysähtyy, Romero kiteyttää. Kun data on luokiteltu, kullekin luokalle on helpompi hahmottaa luonteva paikkansa oikeassa pilvessä.

Tietoevryn Francisco Romero valottaa datan luokittelua: ”Tärkein data on sellaista, jota ilman organisaation toiminta pysähtyy.” (Kuva: Tietoevry)

Paikallisuus on valttia

Suvereenin pilven paikallisuutta korostavasta luonteesta johtuen luonteva kumppani ratkaisujen toteuttamiseen löytyy yleensä läheltä. Esimerkiksi Tietoevry on toteuttanut erilaisia hybridipilviratkaisuja vahvasti säännellyille toimialoille julkisorganisaatioista yritysasiakkaisiin jo toistakymmentä vuotta.

“Paikallinen toimija tuntee paikallisen lainsäädännön ja pystyy siten vahvasti tukemaan asiakkaiden tarpeita. Kun puhutaan suvereenista pilvestä, teknisen osaamisen on oltava kohdallaan, mutta ehkä sitäkin tärkeämpää on kyky tarjota tukea ja ketteryyttä tilanteen niin vaatiessa”, Pulkkinen toteaa.

Pilvimarkkinan ja -teknologioiden moninaisuus voi tänä päivänä olla haasteellinen maailma navigoitavaksi.

Valinnanvaraa ja teknologioita on tarjolla yllin kyllin, Romero toteaa. “Tärkeää on löytää kumppani, joka auttaa ymmärtämään omia tarpeita ja mahdollistaa toimivat ratkaisut oman organisaation tarpeisiin.”

Aaro Kajaste

Piditkö artikkelista?

Rekisteröidy ja kokeile MustReadia 14 päivää maksutta