Nyt on korkea aika tehdä selvä ero julkisen ja suvereenin pilven välille
Cloud first-ajattelu on jo arkipäivää yritysten ja julkisten toimijoiden rakentaessa digitaalisia palvelujaan. Pilvi tarjoaa muun muassa joustavuutta ja skaalautuvuutta.
“Organisaatioiden halu käyttää pilvipalveluita on koko Euroopassa, mutta erityisesti Pohjoismaissa selkeä trendi. Enemmän ja enemmän työkuormia ja tietoa siirretään julkiseen pilveen. Myös julkinen sektori on Suomessa varsin pilvimyönteinen”, arvioi Tietoevryn pilvi- ja infrapalveluiden maajohtaja Mikko Pulkkinen.
Viimeisten viiden vuoden aikana voimaan tullut sääntely eri puolilla maailmaa on tuonut organisaatioille uudenlaisia haasteita. Datan omistussuhteita ja käytön pelisääntöjä joudutaan nyt miettimään entistä tarkemmin.
EU:ssa vuonna 2016 voimaan tullut Euroopan tietosuoja-asetus GDPR toi eurooppalaisen ajattelun mukaisesti yksilön digitaalisen maailman keskipisteeksi. Yksinkertaistetusti EU halusi varmistaa kansalaisille oikeuden omaan dataansa. Käytännössä yksilön tulee vähintään saada tietää mitä tietoa hänestä on kerätty, missä sitä on ja mitä sillä tehdään.
Vuonna 2018 Yhdysvalloissa säädettiin Cloud Act-lakipaketti. “Se oli game changer”, toteaa Francisco Romero, Tietoevryn Suvereeni pilvi-palveluista vastaava palveluomistaja.
Cloud Actin myötä yhdysvaltalainen viranomainen voi käytännössä määrätä yhdysvaltalaisen yrityksen luovuttamaan tietoja, joita sen tarjoamiin pilvipalveluihin on tallennettu. Tämä koskee myös suomalaisten dataa.
“Cloud Act haastaa osin eurooppalaista lainsäädäntöä ja herättää kysymyksiä pääsystä dataan ja sen omistussuhteista. Sama koskee käytännössä kaikkia globaaleja toimijoita”, Romero toteaa.
Tilannetta mutkistaa se, että arviolta 92 prosenttia läntisessä maailmassa tuotetusta datasta on tallennettu Yhdysvaltoihin ja vain 4 prosenttia Eurooppaan.
Lisäksi EU-tuomioistuin totesi pari vuotta sitten Euroopan ja Yhdysvaltain välisen, tietojen siirtoa koskevan Privacy Shield-järjestelmän riittämättömäksi suojaamaan EU-kansalaisten tietoja. Uutta sääntelyä valmistellaan parhaillaan.
Oman lisänsä sääntelysoppaan tuo vielä EU:n Gaia-X:ksi nimeämä aloite, jonka tavoitteena on edistää eurooppalaista datataloutta vahvistamalla eurooppalaista yhteistyötä esimerkiksi metadatan käytössä. Tällä hetkellä euroopan kansalaisten luomaa metadataa pääsevät käyttämään hyödykseen lähinnä yhdysvaltalaiset yritykset.
Sääntelyn monimutkaisuus ja yksityisyysvaatimukset luovat tarvetta erityyppisille pilvipalveluille erilaiselle datalle ja erilaisiin käyttötarkoituksiin. Suvereeni pilvi on ratkaisu, jossa salassapidettävää dataa käsitellään kokonaisuudessaan Euroopan tai Suomen rajojen sisäpuolella, tarpeesta riippuen.
“Suvereeni pilvi mahdollistaa tietyn lainsäädännön noudattamisen ja vastaa tietosuojavaatimuksiin. Lisäksi paikallisen toimittajan toteuttama palvelu on herkkä paikallisille tarpeille. Julkisen pilven ominaisuuksista ei pysty tinkimään”, Pulkkinen avaa suvereenin pilven käsitettä.
Datan ja palvelujen turvaaminen poikkeuksellisissa oloissa on noussut muuttuneen maailmantilanteen myötä vahvasti keskusteluun. Suvereenin pilven avulla voi tarvittaessa ohittaa avoimen netin kokonaan.
Pulkkinen toteaa, että suvereeni pilvi mahdollistaa datan saavutettavuuden ja organisaation toiminnan jatkamisen myös tilanteessa, jossa esimerkiksi yhteydet Suomen rajojen ulkopuolelle ovat poikki. Tämä korostuu erityisesti julkisten organisaatioiden toiminnassa.
Useimmille organisaatioille paras malli onkin hybridipilvistrategia, jossa julkista ja suvereenia pilveä käytetään tarkoituksenmukaisesti.
Jotta omaa pilvistrategiaansa pystyisi päivittämään ja toimimaan tehokkaasti muuttuneessa sääntely-ympäristössä, avainasemassa on oman datan ja sen rakenteiden tunteminen, Pulkkinen muistuttaa.
“Kaikki organisaatiot ovat vastuussa omasta datastaan. Oleellista on, että ymmärretään, missä data on ja mitä siitä seuraa. Kun tämän sisäistää, oikeanlaisen pilven valinta on helpompi tehdä.”
Romeron mukaan ennen GDPR:ää asiaan ei juuri kiinnitetty huomiota, mutta sääntelyn tultua voimaan, kaikki joutuivat asiaa jollain tasolla pohtimaan.
“Sen jälkeenkin on sääntelyssä tapahtunut paljon. Ymmärrys ei ehkä vieläkään ole niin hyvällä tasolla kuin pitäisi.”
Tilanne kuitenkin vaihtelee huomattavasti toimialoittain, Romero arvioi.
Pilvistrategiaa pohdittaessa pelkkä tietoisuus oman datan ja mahdollisen metadatan sijainnista ei kuitenkaan riitä. On ymmärrettävä, mikä on oman toiminnan kannalta kriittistä ja toisaalta mitä ilman voidaan ainakin tilapäisesti olla.
“On eri asia menettää pääsy vaikkapa työntekijöiden valokuviin kuin salaisiin sopimuksiin tai toiminnanohjausjärjestelmiin”, Romero valottaa.
Datan voi jakaa karkeasti kolmeen luokkaan:
Tärkein data on sellaista, jota ilman organisaation toiminta pysähtyy, Romero kiteyttää. Kun data on luokiteltu, kullekin luokalle on helpompi hahmottaa luonteva paikkansa oikeassa pilvessä.
Suvereenin pilven paikallisuutta korostavasta luonteesta johtuen luonteva kumppani ratkaisujen toteuttamiseen löytyy yleensä läheltä. Esimerkiksi Tietoevry on toteuttanut erilaisia hybridipilviratkaisuja vahvasti säännellyille toimialoille julkisorganisaatioista yritysasiakkaisiin jo toistakymmentä vuotta.
“Paikallinen toimija tuntee paikallisen lainsäädännön ja pystyy siten vahvasti tukemaan asiakkaiden tarpeita. Kun puhutaan suvereenista pilvestä, teknisen osaamisen on oltava kohdallaan, mutta ehkä sitäkin tärkeämpää on kyky tarjota tukea ja ketteryyttä tilanteen niin vaatiessa”, Pulkkinen toteaa.
Pilvimarkkinan ja -teknologioiden moninaisuus voi tänä päivänä olla haasteellinen maailma navigoitavaksi.
Valinnanvaraa ja teknologioita on tarjolla yllin kyllin, Romero toteaa. “Tärkeää on löytää kumppani, joka auttaa ymmärtämään omia tarpeita ja mahdollistaa toimivat ratkaisut oman organisaation tarpeisiin.”
Hyödynnä 30 päivän ilmainen kokeilujakso ja testaa datakeskuksen käyttöä.
Aloita kokeiluFrancisco has had senior management responsibilities on value delivery to client from portfolio of applications and services across different areas of client organisation. His passion is to focus in quality, defined as fulfillment of our promises to client, and creation of business relevant excellent customer experiences from digital services.