Tulostusversio

2/2015

Pilvessä piilee riskejä

Teksti: Antti J. Lagus

Suomalaiset rakastavat pilvipalveluita mutta eivät halua maksaa niiden käytöstä. Kun pilviyritys on yhdysvaltalainen, ei ole aina selvää, mitä lainsäädäntöä pilveen siirrettyjen tietojen käsittelyyn sovelletaan.

Suomalaiset tallettavat tietojaan pilveen poikkeuksellisen innokkaasti.

Euroopan tilastoviranomaisen Eurostatin mukaan suomalaisista yrityksistä 51 prosenttia käyttää pilvipalveluita. Ero seuraaviin maihin on kymmenisen prosenttiyksikköä, ja EU-maiden keskiarvo on vajaat 20 prosenttia.

Suomessa on edistynyt it-infrastruktuuri, mutta yritykset eivät aina ole perillä pilvipalvelujen riskeistä. Asiantuntijat suosittelevat yrityksiä luokittelemaan tietonsa ja pitämään arkaluonteisimmat tiedot omassa hallinnassa.

Kenen maa, sen laki – tai sitten ei

Suomalaisten yritysten ja kuluttajien suosimat pilvipalvelut ovat pääsääntöisesti yhdysvaltalaisten yritysten tuotteita. Näillä yrityksillä on palvelinkeskuksia Euroopassa, ja eurooppalaisten tiedot tallennetaan usein EU-maassa sijaitseville palvelimille.

”Jos palvelin sijaitsee Euroopassa, pitäisi sillä sijaitsevien tietojen olla eurooppalaisen tietosuojalainsäädännön suojaamia”, sanoo riskienhallintapalveluiden päällikkö Harri Vilander tietoturvayritys Nixusta.

Lainsäädännön pitäisi vaikuttaa myös Euroopassa toimiviin amerikkalaisiin yrityksiin, mutta nyt haetaan rajoja sille, kumpi menee edelle: palveluntarjoajan kotimaan vai tietojen sijaintimaan lainsäädäntö. Microsoft on parastaikaa oikeustaistelussa yhdysvaltalaisten viranomaisten kanssa, jotka haluaisivat päästä käsiksi yrityksen asiakkaan tiedostoihin. Kyseiset tiedot sisältävä palvelin sijaitsee Irlannissa.

Asian ratkaisulla on suuri merkitys, sillä suuri osa pilvitallennusta tarjoavista yrityksistä on amerikkalaisia. Microsoftin lisäksi suuria toimijoita ovat muiden muassa Google, IBM ja Amazon.

USA hallitsee pilvimarkkinoilla

Eurooppalaisia vaihtoehtoja suosituille pilvipalveluille on tarjolla vähän.

Tietoturvayritys F-Securen tutkimusjohtaja Mikko Hyppönen muistuttaa, että oikeastaan ainoa eurooppalainen ohjelmistoalan suuryritys on saksalainen SAP. Yritysten koosta kertoo se, että suomalainen F-Secure on vajaan 150 miljoonan euron liikevaihdollaan sadan suurimman eurooppalaisen ohjelmistoyrityksen listalla sijalla 46.

”En kuitenkaan sanoisi lähtökohtaisesti, että kaikissa amerikkalaisissa pilvipalveluissa on riskejä. Palvelun käyttäjän pitää joka tapauksessa huolehtia riskienhallinnasta ja suojautumisesta”, Nixun Harri Vilander huomauttaa.

Raha ratkaisee valinnassa

Helposti skaalautuva teknologia antaisi periaatteessa hyvät mahdollisuuden uusien markkinoiden valloittamiselle. Eurooppalaiset yritykset eivät ole kuitenkaan juuri mahdollisuutta käyttäneet, sillä useat isot amerikkalaiset toimijat ovat tarjonneet palveluitaan ilmaiseksi tai lähes ilmaiseksi. Vastineeksi ne tosin saattavat vaatia oikeuksia käyttäjän henkilötietoihin.

Eurooppalaisia palveluja on toki tarjolla. Esimerkiksi F-Secure haastoi Younited-palvelullaan amerikkalaiset jättiläiset.

”Kun Edward Snowdenin paljastukset alkoivat, joka puolelta tuli suitsutusta siitä, että F-Secure oli aloittanut suomalaisen pilvipalvelun”, Mikko Hyppönen kertoo.

Younited ei kuitenkaan F-Securen omistuksessa lähtenyt lentoon, sillä asiakkaat käyttävät ennemmin ilmaisia tai Hyppösen sanoin ”näennäisilmaisia” palveluita.

F-Secure myikin palvelun tämän vuoden helmikuussa amerikkalaiselle Synchronosille, sillä ”tuottamatonta toimintaa ei kannata jatkaa”.

Younitediin tallennetut tiedot ovat edelleen samassa datakeskuksessa. Koska palvelun omistaja on kuitenkin nyt amerikkalainen, on mahdollista, että Yhdysvaltain viranomaiset saavat pääsyn tietoihin.

”Asiakkaat voivat halutessaan vetäytyä palvelusta, ja tiedot voidaan tuhota”, Hyppönen neuvoo.

(Toim. huom. Lehden ilmestymisen jälkeen ilmeni, että Younited-palvelu ei siirry amerikkalaiselle yritykselle vaan lakkautetaan kokonaan)

Pilvipalvelu on kuin taksi

Palvelun kotimaasta riippumaton haaste on, että useat yritykset käyttävät kuluttajille tarkoitettuja pilvipalveluita. Niiden tietoturvan taso ei välttämättä vastaa yritysten tarpeita.

Vilander näkee, että usein helppokäyttöisyys on yhdessä vaakakupissa ja toisessa taas tiedon salaus.

”Yrityksen pitää miettiä, ovatko talletettavat tiedot niin arvokkaita, että ne halutaan salata”, hän sanoo.

Salaamalla tiedot tehokkaalla algoritmilla voidaan tietojen purkamista vaikeuttaa tai tehdä siitä jopa mahdotonta. Mutta Aalto-yliopiston tietoverkkoprofessori Jukka Manner huomauttaa, että emme tiedä, mitä salausalgoritmeja Yhdysvaltain turvallisuusviranomainen NSA voi tätä nykyä purkaa.

”Jos palvelin on amerikkalaisten hallussa, sille ei voi mitään. Pitää luottaa ja toivoa, että tietoja ei käytetä väärin.”

Manner pohtii, että kuluttajan kannalta ei välttämättä ole hirvittävän kriittistä säilyttää perhekuvia sellaisella palvelimella, johon voidaan päästä käsiksi laillisesti tai laittomasti.

”Sen sijaan palvelinkeskuksen palvelua ostavilla yrityksillä voi olla tietoa, jolla on kaupallista tai kilpailullista arvoa.”

Manner vertaa pilvipalvelua taksin käyttöön. Oma auto on aina käytettävissä, mutta se maksaa enemmän. Samoin oman tiedostopalvelun ylläpito on kallista, ja pilvipalvelussa saattaa päästä halvemmalla.

”Kummassakin vaihtoehdossa saadaan jotakin, mutta toisaalta menetetään jotakin – esimerkiksi käytönvalvonnassa.”

 

 

Lue myös

Pilvipalvelut: Ostajan muistilista »
Pilvessä suomalaisuus voi olla etu »
Gallup: Sijainti ja sisältö ratkaisevat pilvessäkin »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.