Digipoolin uusi opas auttaa pilvipalveluista päättämisessä
Monia organisaatioita houkuttaa pilvipalveluihin liitetyt skaalautuvuus, monipuolisuus ja ketteryys. Sääntelyyn liittyvät tiukat tulkinnat ja uskomukset voivat estää niiden käyttöönoton tai jopa käyttöönoton harkinnan. Tosiasiassa suurin osa kotimaisista ja eurooppalaisista säädöksistä ei kuitenkaan ota suoraan kantaa tiedon tallentamis- ja käsittelytapaan.
Pilvipalvelut skaalautuvat ketterästi ja lähes rajoituksetta käyttökuormaan. Siinä missä perinteisessä palveluympäristössä resurssit pitää mitoittaa suurimman kuormituspiikin mukaan, voidaan pilvipalveluresursseja käyttää joustavasti, tarpeen mukaan. Tämä säästää kustannuksia. Palveluiden avulla voidaan myös varautua häiriö- ja vikatilanteisiin esimerkiksi datakeskusten maantieteellisellä hajauttamisella ja tietokantojen kahdentamisella. Pilvipalveluita ei siis tarvitse nähdä riskinä̈ huoltovarmuudelle, sillä oikein käytettynä ne tukevat jatkuvuudenhallintaa.
Onnistunut siirtyminen pilvipalveluiden käyttöön edellyttää sekä teknistä että lainsäädännöllistä harkintaa. Alustoissa on lähes rajaton määrä mahdollisuuksia, joiden mukaan palveluita voi rakentaa. Vaatii osaamista punnita yrityksen tarpeet sekä tunnistaa ja minimoida juuri omalle yritykselle tyypilliset riskit ja poikkeamat. Hyötyjen saaminen saattaa myös vaatia vanhojen toimintatapojen muuttamista ja uutta ohjeistusta.
Lainsäädäntö ei ole niin tiukka kuin luullaan
Pilvipalveluiden käyttöönotossa koetaan usein kinkkisimmäksi moninainen ja päällekkäinen sääntely, josta viranomaistoimijat ovat tehneet erilaisia tulkintoja. EU:n ja Suomen lainsäädäntö ei suurimmalta osin kuitenkaan ota kantaa yksityisen yrityksen pilvipalveluiden käyttöön. Tietoturvaa ja tietosuojaa koskevat määräykset ovat samat, oli toteutustapa mikä hyvänsä. Tiedon säilyttämiseen tai prosessointiin liittyy karkeasti kolmenlaisia säädöksiä, jotka voivat aiheuttaa velvoitteita ja reunaehtoja pilvipalveluiden käytölle.
1. henkilötietojen käsittely
GDPR eli yleinen tietosuoja-asetus on tunnetuin ja keskeisin säädös. Se muun muassa edellyttää, että eurooppalaisten henkilötietojen käsittely ja säilyttäminen tulee tapahtua EU/ETA-alueella ja tarvittaessa rekisterinpitäjän täytyy tehdä tietosuojaa koskeva vaikutusarviointi. GDPR ei ota suoraa kantaa pilvipalveluihin, vaan säädös koskee henkilötietojen käsittelyä toteutustavasta riippumatta.
2. tiettyjen alojen erityissääntely
Sosiaali- ja terveysalan tietojen käsittelyä koskee oma erikoissääntelynsä. Lisäksi joillakin aloilla on valvontaviranomaisia, jotka antavat ohjeistuksia tiedon säilyttämiseen liittyen. Esimerkiksi Finanssivalvonta on ohjeistanut vakuutusalan toimijoita ja Liikenne- ja viestintävirasto päivittää teletoiminnan tietoturvaa koskevaa määräystä.
3. julkishallinnon lainsäädäntö
Jos yritys toimii palveluntarjoajana julkishallinnolle, se voi joutua noudattamaan julkishallintoa koskevaa lainsäädäntöä. Tämäkään ei estä pilvipalveluiden käyttöä. Julkishallinnossa käsitellään salaiseksi määrättyjä ja muita eri tavalla turvallisuusluokiteltuja asiakirjoja. Julkishallintoa ohjeistavassa valtionvarainministeriön lausunnossa sanotaan, että ei-julkista tietoa voi käsitellä myös pilvipalveluissa, mutta tietoturvan ja tietosuojan täytyy olla riittävällä tasolla.
Lisäksi lainsäädäntöä konkretisoivat erilaiset suositukset ja standardit. Nämä eivät ole yhtä lailla velvoittavia, mutta suosituksista poikkeaminen on oltava perusteltua. Jotkut standardit ovat vakiintuneet sellaisiksi, että ne ovat edellytys alalla toimimiseen. Tällainen on esimerkiksi luottokorttiostoksia koskeva tietoturvastandardi Payment Card Industry Data Security Standard (PCI DSS).
Nato-jäsenyys vaikuttaa tietoturvasääntelyyn
Lainsäätäjä pyrkii nyt ottamaan kiinni ripeästi liikkuvaa datatalouden maailmaa ja yritysten sääntely-ympäristö muuttuu jatkuvasti, mikä tekee niiden toiminnan suunnittelusta ja ennakoinnista hankalaa. Euroopan unioni kehittää esimerkiksi parhaillaan tietojen saatavuutta ja käyttöä koskevaa normistoa. Lisäksi Suomen Nato-jäsenyydestä seuraa tietoturvallisuutta koskevaa sääntelyä. Molemmat vaikuttavat pilvipalveluiden – tai oikeammin tietojen tallentamista ja käyttöä koskeviin ratkaisuihin.
“Pilvipalvelut vai oma konesali?” tuntuu edelleen olevan vallitseva organisaatioiden tietoturvan ja riskien hallinnan kysymys. Sääntelyn takia ei tarvitse jäädä oman konesalin vangiksi. Hyvin valmistellulla päätöksenteolla ja prosessilla voidaan tehdä fiksu ja lainsäädännön vaatimukset täyttävä ratkaisu, oli valinta sitten oma palvelintila, julkiset- tai yksityiset pilvipalvelut tai näiden hybridiratkaisut.
Huoltovarmuusorganisaation Digipooli on laatinut oppaan (<-linkki), joka tukee yrityspäättäjiä pilvipalveluita koskevassa päätöksenteossa. Oppaassa mukana oleva kätevä korttipakka tarjoaa vinkkejä niistä aiheista, jotka on hyvä läpikäydä järkevien päätösten tekemiseksi sekä auttaa tunnistamaan päätöksessä tarvittavan tiedon ja osaamiseen, liiketoiminnan tarpeet, lainsäädännön asettamat ehdot ja kriittisten toimintojen uhkat sekä riskit. Korttipakka mukautuu myös muihin muutostilanteisiin tai tietoturvan vuosikellon tueksi.
Tutustu oppaaseen
Digipoolin Huoltovarmuutta pilvipalveluilla opas auttaa organisaatiota päätöksentekoprosessin ääreen, joka on syytä läpikäydä tehdäkseen tiedonhallintaan liittyen harkittuja päätöksiä. Harkitut päätökset ovat edellytyksenä sille, että voi tehdä vastuullista toimintaa ja varmistaa yrityksensä huoltovarmuuden. Parhaimmillaan pilvipalvelutkin ovat varautumisen välineitä kun käyttö on tehty harkiten. Oppaan liitteenä on myös juridisen selvityksen tulokset, jossa on avattu sitä lainsäädäntöä, joka aihealueeseen liittyy.
Huoltovarmuutta pilvipalveluilla oppaan voit ladata tästä:
Huoltovarmuutta pilvipalveluilla – juridinen selvitys liitteen voit ladata tästä: