Pilvimyytinmurtajat: Tietosuoja ja julkinen sektori – Mitä pitäisi tietää ja miten tulisi toimia

Valtiovarainministeriö kannustaa julkishallinnon organisaatioita siirtymään mahdollisuuksien mukaan pilvipalveluihin, mutta monien kohdalla tietosuojahuolet ovat olleet esteenä siirtymälle.

Mutta pitäisikö näiden huolten antaa viivyttää tärkeää digipalvelukehitystä?

Tämä artikkeli on ensimmäinen Pilvimyytinmurtajat-sarjassamme, jossa tarkastelemme haasteita ja epävarmuuksia, jotka vaivaavat julkishallinnon organisaatioita niiden matkalla kohti pilveä (ja tarjoamme näihin ratkaisuja).

Tässä tekstissä aiheena ovat tietosuoja ja pilvipalvelut – sekä askeleet, joita julkishallinnon organisaatiot voivat ottaa murtaakseen myytit ja edistääkseen digitalisaatiota tietoturvallisesti ja vaatimusten mukaisesti.

Epäselvä lainsäädäntö – pitääkö odottaa selvennystä?

Haaste

Toteutimme hiljattain yhteistyössä AWS:n kanssa kyselyn, jossa tutkimme Suomen julkisen sektorin pilvisiirtymää. Kysyimme suurimmista esteistä, jotka ovat datan ja pilvipalveluiden paremman hyödyntämisen tiellä. Toiseksi yleisin vastaus oli ”epäselvä lainsäädäntö”.

Dataan liittyvistä vaatimustenmukaisuuden vaatimuksista on paljon epävarmuutta. Melkein puolet vastaajista sanoi odottavansa Suomen hallitukselta selkeitä ohjeita ja konkreettisia kehyksiä – opastusta, jota ei ole ollut saatavilla. Tämän tuloksena virastot kokevat, että niiden mahdollisuudet edetä pilvipalvelujen saralla ovat rajalliset.

Kuten eräs vastaaja sanoi:

”Olemme odottaneet aktiivista ohjausta tietoturvaan ja tietosuojaan liittyvissä asioissa, jotta meillä olisi jotain konkreettista kartoitustyömme tueksi.” (Julkishallinnon viranomainen)

Miten tulisi toimia

Ei ole tarpeen (eikä syytä) odottaa, että Suomen lainsäädäntö on viimeistelty. Tässä syyt:

  • EU-tason ohjeet ovat olemassa – ja suurimmilla pilvialustojen tarjoajilla on sovitut kehykset, jotka ovat vaatimusten mukaiset. Näitä seuraamalla Suomen julkisen sektorin organisaatiot voivat edetä luottavaisesti matkallaan kohti pilveä
  • Olemassa oleva lainsäädäntö mahdollistaa toiminnan julkipilven tarjoajien kanssa – lisäksi virastot saavat käyttää palveluja EU-tasolla, joten mikään laillinen este ei pidättele pilvipalvelujen käytön etenemistä
  • EU käsittelee yleisiä huolenaiheita – kuten sellaisia, jotka liittyvät yhteistyöhön USA:ssa sijaitsevien pilvialustajättien kanssa. Esimerkiksi vuoden 2022 maaliskuussa USA ja EU pääsivät periaatteelliseen sopimukseen uudesta henkilötietojen suojausta koskevasta tietosuojakehyksestä

Itse asiassa on erittäin riskialtista antaa lainsäädännön hitauden pidätellä virastoa. Ne, jotka yhä vain lykkäävät toimeen tarttumista, jäävät jälkeen hallituksen asettamista tavoitteista digipalvelujen tarjoamiselle. Lisäksi on epätodennäköistä saada selvennystä, jota ei jo olisi EU:n kehyksissä ja parhaissa käytännöissä.

Julkipilvi – onko se tarpeeksi turvallinen datan tallennukseen ja säilyttämiseen?

Haaste

Pilvipalveluihin eittämättä liittyvät muutos ajattelutavassa ja siirtyminen uusiin työskentelytapoihin (lue lisää julkishallinnon organisaatioiden pilviosaamisen kehittämisestä ja kulttuurin muutoksesta täältä). Epäluuloinen suhtautuminen muutokseen kuuluu myös ihmisen luontaiseen käyttäytymiseen.

Mitä tulee tietosuojaan, julkipilvi on kuitenkin tietoturvallisempi kuin toimijan omissa tiloissa sijaitseva infrastruktuuri. Pilvialustajättien teknologia vahvistaa edellytyksiäsi saavuttaa neljä keskeistä datatavoitetta:

  • Datan suojaaminen verkkohyökkäyksiltä
  • Valmius käyttää dataa digipalvelujen toimittamiseksi
  • Vaatimustenmukaisuuden varmistaminen
  • Valmius toteuttaa eri turvallisuustasoja eri ihmisille ja tarkoituksiin

Kyselymme osoitti, että merkittäviä esteitä näiden tavoitteiden saavuttamiselle ovat asiantuntijuuden ja resurssien puute, se, että viraston toimintaympäristö koetaan monimutkaiseksi, sekä vanhentuneet työvälineet ja prosessit.

Julkipilven ominaisuudet – yhdessä pilven parhaiden käytäntöjen kanssa – auttavat ylittämään nämä esteet.

Miten tulisi toimia

Avainkysymys, joka pitää kysyä itseltä, on: ”Onko meillä paremmat teknologiat ja prosessit palvelimien suojaamiseksi kuin julkipilven tarjoajilla?”

Vastaus on lähes aina ”ei”. Koska pilvialustajäteillä on mittakaavaetuja viimeisimpien ominaisuuksien kehittämisessä ja käyttöönotossa, ne kykenevät paremmin säilyttämään edelläkävijän asemansa nopeasti muuttuvassa kyberturvallisuusmaailmassa.

Seuraavat ovat keskeisiä tekijöitä, jotka kannattaa ottaa huomioon:

  • Zero trust -periaate – se on tietoturvallisin toimintamalli ja sitä käytetään oletusarvoisesti julkipilvessä. Se tarkoittaa, että suojauksesi on hoidossa teknologisesta näkökulmasta. On paljon vaikeampaa toteuttaa tämä turvallisuustaso ja ylläpitää sitä itse aivan alusta
  • Digitaalinen itsemääräämisoikeus – tämä tarkoittaa, että määräysvalta digitaalisiin hyödykkeisiin, kuten dataan, pysyy sinulla, kun ne ovat julkipilvessä. Esimerkiksi AWS Cloudissa on sisäänrakennettu itsemääräämisoikeus, mikä tarkoittaa jatkuvia investointeja tarpeisiisi räätälöityihin ominaisuuksiin, jotka koskevat datan sijaintia, rakenteisia pääsyrajoituksia, salausta ja vikasietoisuutta
  • Sisäänrakennettu vaatimustenmukaisuus – pilvialustajätit tekevät tiiviisti yhteistyötä EU-viranomaisten kanssa parantaakseen tietoturvaa ja muita palveluja kehittyvien sääntelyä koskevien vaatimusten pohjalta. Esimerkiksi Euroopan pilvi-infrastruktuuripalvelujen tarjoajien tietosuojakäytännesäännöt (CISPE-käytännesäännöt) tarjoavat riippumattoman varmistuksen, että julkipilvipalvelut noudattavat GDPR:n vaatimuksia (ja monissa tapauksissa ylittävät ne)

Datan luokittelu – täytyykö kaikelle antaa korkean tason luokitus?

Haaste

Vielä eräs dataan liittyvä etenemisen este koskee datalle annettuja luokituksia. Monissa virastoissa datalle annetaan usein korkeamman tason luokituksia kuin on tarpeen. On vaikeaa toimittaa digipalveluja – mikä vaatii pilven käyttöä – ellei kyseisillä palveluilla ole pääsyä dataan.

Eräs vastaaja kiteytti tämän ongelman hyvin:

”Henkilötietojen käsittelyyn liittyvät tiukat säännöt voivat johtaa tilanteeseen, jossa ei uskalleta antaa pääsyä dataan – pääsystä dataan tehdään liian vaikeaa… Tämä on ristiriidassa datan avoimen käytön kanssa.” (Valtion viranomainen)

Miten tulisi toimia

Vaikka taipumuksessa antaa datalle liiankin tiukkoja luokituksia onkin taustalla hyvä tarkoitus, taipumus on turha. Kaikkea dataa ei tarvitse luokitella henkilötiedoiksi. Itse asiassa monilla virastoilla, joiden kanssa työskentelemme, ei oikeastaan ole todellisia henkilötietoja, joten tällainen ankara suhtautuminen luokitteluun aiheuttaa niille tarpeettomia vaikeuksia.

Tässä on parhaiden käytäntöjen mukainen kolmen askeleen lähestymistapa ongelman ratkaisemiseksi:

  • Askel 1: Mieti datan luokittelua strategisesti ja realistisesti – ja luo kehys, joka heijastaa viraston datatyyppien todellista tilannetta
  • Askel 2: Kehitä tietoturvapainotteinen pilvistrategia – joka vastaa myös luokittelukehyksestä. Kumppani voi auttaa tekemään tämän tietoturva- ja digitalisaatiotavoitteet tasapainottaen. Näin varmistat, että data säilytetään ja on saatavilla julkipilvessä tietoturvallisesti ja vaatimusten mukaisesti – mutta silti käyttökelpoisesti
  • Askel 3: Ota tekninen pilviperusta käyttöön – jotta voit panna strategian täytäntöön. Käytännön tasolla tämä voi sisältää sen, että aletaan hyödyntää parhaiden käytäntöjen mukaista tietoturvaa, joka mahdollistaa datan liikkumisen arkistodatajärven ulkopuolelle sekä datan käytön digipalveluissa

Tämä lähestymistapa on täysin realistinen ja toteutettavissa. Esimerkkinä tästä jotkin Suomen julkishallinnon organisaatiot, joiden kanssa työskentelemme, kehittävät pilvipohjaisia digipalveluja, jotka käsittelevät vuosittain miljoonia tapahtumia käyttäen henkilötietoja.

Kuten eräs kyselyn vastaaja sanoi:

”Aiemmin esteenä oli, että oli tiukat ohjeet siitä, ettei pilveä voinut hyödyntää mihinkään, mikä piti pitää salassa. Arvioimme datankäsittelyohjeemme uudelleen ja muutimme ne niin, että luottamuksellista aineistoa voidaan tallentaa tietoturvallisiin pilviratkaisuihin.” (Julkishallinnon viranomainen)

Lataa tutkimuksen päätulokset itsellesi

Amazon Web Services (AWS) yhdessä Nordcloudin ja muiden kumppaneiden kanssa toteuttivat loppuvuodesta 2022 markkinatutkimuksen, jossa selvitettiin pilvisiirtymää julkisella sektorilla. Lataa tiivistelmä tutkimuksen tuloksista.

Authors
Johanna Hautamäki
Ari Kuusisto
Johanna HautamäkiEngagement Director
Ari KuusistoEngagement Director
Categories
AWSCloud MigrationCloud SkillsData Estate ModernisationImplementing CloudSecuring CloudUncategorized

Get in Touch.

Let’s discuss how we can help with your cloud journey. Our experts are standing by to talk about your migration, modernisation, development and skills challenges.

Ilja Summala
Ilja Summala LinkedIn
CTO
Ilja’s passion and tech knowledge help customers transform how they manage infrastructure and develop apps in cloud.