Lausunto valtiovarainministeriölle 8.3.2023.
Diaarinumero KKV/204/03.02/2023
Lausunto valtionhallinnon pilvipalvelulinjauksien päivittämisestä
KKV toteaa, että myös pilvipalveluiden hankinnoissa tulee noudattaa hankintalakia. Hankintayksiköiden tulee kiinnittää huomiota erityisesti suorahankintoja ja olennaisia sopimusmuutoksia koskevaan sääntelyyn. Hankintaa kilpailuttaessa hankintayksikön täytyy pyrkiä huomioimaan ja ennakoimaan myös mahdolliset tulevat lisähankintatarpeet. Lisäksi tulee huolehtia siitä, että hankintamenettelyssä ei perusteettomasti rajoiteta kilpailua tai ajauduta vahingossa toimittajaloukkuun.
Todentaminen on pilvipalveluita käytettäessä vaikeasti järjestettävää, sillä pilvipalvelut ovat lähtökohtaisesti vahvasti luottamusperusteisia. Todentamiskeino on käytännössä tällöin lähinnä se, että toimittajalla on riittävät sertifikaatit ja säännöllinen auditointi niiden noudattamisesta. Jos periaatteen 3 mukaan samalla valtion yhteisten pilvi- ja ekosysteemiratkaisujen tulee olla ensisijainen valinta, käytännössä Valtorin on huolehdittava tuotteistuksessa myös todentamisesta.
Linjauksen 9 tarkennuksessa todetaan: ”Tiedon luokittelun kautta on varmistettu, että tuotettava palvelu sisältää vain sellaista turvallisuusluokan IV tietoa, joka on luovutettavissa maihin, joilla on lainsäädännöllisiä vaikutusmahdollisuuksia kyseiseen pilvipalveluun. Mikäli tiedot eivät ole luovutettavissa palveluun määräysvallassa oleviin muihin valtioihin, on se toteutettava kansallisiin pilvipalveluihin edellyttäen, että ne on vaatimustenmukaisesti toteutettu.” Periaatteellisella tasolla tämä on hyvä ja mahdollistava linjaus, mutta vaatii soveltamista tukevaa tarkempaa ohjeistusta, mitä ”lainsäädännöllisellä vaikutusmahdollisuudella” tässä tarkoitetaan – datakeskuksen sijaintimaan vaikutusmahdollisuutta vai palveluntuottajan omistustaustan kautta tulevaa vaikutusmahdollisuutta? On mahdollista, että näennäisestä sallivuudesta huolimatta linjaus voi tulkinnasta riippuen käytännössä katsoen estää kaiken turvallisuusluokitellun tiedon käsittelyn näissä pilvipalveluissa ja mahdollistuvuus on vain näennäistä.
KKV katsoo, että tällaisenaan linjaus lähtee liikaa tiedon sijainnista ja kyseisen datakeskuksen omistavan yhtiön taustalla olevan valtion mahdollisesta määräysvallasta, eikä huomioi mahdollisia teknisiä järjestelyjä, esimerkiksi tiedonhallintayksikön omien avaimien käyttämistä tiedon salaamiseksi. Bring your own keys -mallilla voidaan ainakin teoriassa suojata tieto kolmansien valtioiden vaikutusyrityksiltä ja taata tietoturvan toteutuminen, mutta tällaisenaan linjauksen sanamuoto ei tätä mahdollista, jos jo pelkkä tiedon luonne estää turvallisuusluokitellun tiedon käsittelyn kyseisessä pilvipalvelussa, huomioimatta lainkaan mahdollisia suojaustoimenpiteitä, jolla tietojen kolmannelle valtiolle päätymisen riski voitaisiin poistaa.
Linjattaessa turvallisuusluokiteltavien asiakirjojen käsittelystä on huomioitava, että osalla tiedonhallintayksiköistä TLIV -aineisto saattaa koostua käytännössä pelkästään EU Restricted (tai vastaavasti) -leimatuista asiakirjoista, joiden käsittelyyn EU-alueella liittyvät riskit poikkeavat kansallisen turvallisuuden lähtökohdista TLIV-tasoiseksi leimatuista asiakirjoista.