Tämä jokaisen yrityksen tulee tietää datan säilyttämisestä: ”En laittaisi yhdysvaltalaiseen pilvipalveluun”, asiantuntija sanoo

Suomessa on viime vuosina siirretty tiedonhallintaa pilvipalveluihin. Suuretkin julkiset organisaatiot ovat ostaneet palveluja rapakon takaa ja siirtäneet datansa tai tunnistautumispalvelunsa esimerkiksi Googlen, Microsoftin ja Amazonin pilvipalveluun.

Viimeistään viimeisen vuoden aikana on kuitenkin myös ymmärretty, mitä riskejä datan säilytys yhdysvaltalaisissa pilvipalveluissa sisältää.

”Monet suomalaiset viranomaispalvelut, saattavat olla amerikkalaisissa pilvipalveluissa. Ne ovat luonnollisesti tietoja, jotka demokraattisen valtion olisi hyvä pitää itsellään eikä pahimmillaan luovuttaa toiselle valtiolle”, Wellbitin toimitusjohtaja Erkki-Jussi Welling sanoo.

Samat periaatteet koskevat yrityksiä, hän huomauttaa.

”Yrityksen kannattaa säilyttää kriittinen datansa niin, että riskiä sen menettämisestä tai leviämisestä vääriin käsiin ei ole.”

Welling vastaa yleisimpiin kysymyksiin, joita yritysten edustajat häneltä kysyvät datan säilyttämisestä.

Miksi yrityksen datan sijaintipaikka ei enää takaa, että data on turvassa?

”Moni luulee, että eurooppalaiset lait suojaavat Euroopassa sijaitsevilla palvelimilla olevaa dataa. Se ei kuitenkaan pidä paikkaansa.

Amerikkalaisomisteisia yhtiöitä sitoo vuonna 2018 voimaan tullut CLOUD Act -laki. Se antaa Yhdysvaltain viranomaisille oikeuden vaatia pääsyä amerikkalaisomisteisten yhtiöiden palvelimilla sijaitsevaan dataan riippumatta siitä, missä päin maailmaa palvelin sijaitsee.

Ennen vuotta 2025 moni organisaatio piti CLOUD Actia ennen kaikkea juridisena riskinä. Kun Trump valittiin toista kertaa presidentiksi, riski konkretisoitui uudella tavalla. Maailma on muuttunut, eikä mikään ole enää varmaa.”

Mitä riskejä suomalaisyritys siis ottaa, jos sen kriittinen data on yhdysvaltalaisessa pilvipalvelussa?

”Jos yritys käyttää esimerkiksi Googlen tai Microsoftin Euroopassa sijaitsevia palvelimia, voi sen data päätyä Yhdysvaltain viranomaisten saataville ja tarkasteltavaksi, jos he niin määräävät. Käytännössä yritys menettää tällöin hallinnan omaan dataansa, ja Yhdysvaltain hallinto voi halutessaan jopa rajoittaa yrityksen pääsyä tuohon dataan.

Pienet eurooppalaiset yritykset ovat haavoittuvassa asemassa, sillä ne kasvavat usein amerikkalaisten alustojen avittamana.

Kyse on muun muassa kilpailuedusta. Suuret alustat, esimerkiksi Google, Amazon ja Apple, näkevät käyttäjädatasta, mitä palveluita ihmiset etsivät ja käyttävät. Jos jokin palvelu alkaa kasvaa, alustalla on etulyöntiasema: se tietää kysynnän ennen muita, voi kopioida idean ja nostaa oman versionsa hakutulosten kärkeen. Tätä tapahtuu Yhdysvalloissa koko ajan.

Pienet eurooppalaiset yritykset ovat haavoittuvassa asemassa, sillä ne kasvavat usein juuri amerikkalaisten alustojen avittamana ja ovat siten riippuvaisia alustoista ja niissä tapahtuvista muutoksista. Jos amerikkalainen teknologiajätti päättää kilpailla pienen eurooppalaisyrityksen kanssa, on peli menetetty.”

Voiko suomalaisyritys edelleen käyttää yhdysvaltalaisia pilvipalveluja, kuten Amazon Web Servicesiä, Microsoft Azurea tai Google Cloudia?

”Yrityksen ei kannata altistaa tärkeintä omaisuuttaan eli kriittistä dataansa suurille riskeille. Suosittelen siirtymään sellaiseen pilvipalveluun, jossa sijaitsevaa dataa ei voida luovuttaa EU:n ulkopuolelle vieraiden valtioiden lakeihin vedoten.

Suosittelen siirtymään sellaiseen pilvipalveluun, jossa sijaitsevaa dataa ei voida luovuttaa EU:n ulkopuolelle vieraiden valtioiden lakeihin vedoten.

Käytännössä se tarkoittaa sitä, että palvelinten tulee olla sellaisen yrityksen omistuksessa, joka noudattaa eurooppalaista lainsäädäntöä. Lisäksi kannattaa varmistaa, että data on suojattu vahvalla kryptauksella. Näin tietojen purkaminen kestää tuhansia vuosia eikä ulkopuolinen taho voi hyötyä niistä.”

Onko amerikkalaisjäteille olemassa eurooppalaisia vaihtoehtoja?

”Kyllä. EU:n alueella on erittäin varteenotettavia vaihtoehtoja niin tekoälyassistenteiksi kuin prosessiautomaatiossa hyödynnettäviksi tekoälyiksi. Se, että joku toimija on muita suurempi, ei tarkoita, että se tekisi tietyn asian paremmin, kuten tämänhetkinen tilanne osoittaa. Eurooppalaisilla toimijoilla on inhimillinen suhtautumistapa yksilöiden ja yritysten dataan, ja esimerkiksi meidän päämiehemme on kehittänyt tiedonhallintaa tekoälyn avulla jo 10 vuotta.”