Tunnetteko vanhan tarinan maanviljelijästä ja tämän hevosesta?
Tarinassa hevonen ensin karkaa, mutta palaa kotiin villihevoslauman kanssa. Sitten yksi villihevosista heittää selästään maanviljelijän pojan, jonka jalka murtuu. Siitä taas seuraa, että jalkaansa paranteleva poika välttää kylän värväysikäisistä miehistä ainoana varman kuoleman sodassa.
Kyläläisten mielestä hevonen on tarinan edetessä vuoroin hyvän ja vuoroin huonon onnen tuoja. Vanha maanviljelijä suhtautuu tapahtumiin tyynesti: ”Katsotaan mitä huominen tuo tullessaan”.
Viime aikojen keskustelu siitä, onko turvallista säilöä yhteiskunnalle kriittistä dataa ja tietojärjestelmiä ulkomaisiin pilvipalveluihin, muistuttaa karanneen hevosen tarinaa.
Ensin Suomessa suosittiin tärkeiden tietojärjestelmien rakentamista kallioluoliin louhittuihin konesaleihin. Ajateltiin, että täysin omissa käsissä olevan järjestelmän riskejä on helppo hallita.
Maantiede voi aiheuttaa riskejä.
Pilvipalvelujen tulo haastoi tätä ajattelutapaa. Pilvipalvelussa saman järjestelmän voi monistaa useisiin konesaleihin halvemmalla, ja pilvipalveluiden tarjoajilla on valtavasti resursseja järjestelmien turvaamiseen. Pilvissä käytetyssä modernissa tekniikassa vältytään myös monilta perinteisten järjestelmien ongelmilta.
Toisaalta eri eurooppalaisten viranomaisten turvallisuuskriteeristöissä on korostettu, että poikkeusoloihin varautumisen kannalta olennaisten järjestelmien tulee sietää erilaisia laajojakin häiriöitä. Koska pilvipalveluille on ominaista toimintojen hajautus useampiin maihin, jo maantiede ja palvelujen toimittajien luotettavuus voivat aiheuttaa riskejä.
Suomen tietoliikenneyhteydet ulkomaille riippuvatkin lähes täysin merikaapeleiden toiminnasta. Järjestelyn riskiä on pienennetty kaivamalla Itämeren pohjaan näitä kaapeleita roppakaupalla. Viime aikojen lukuisat kaapelikatkot eivät olekaan juuri johtaneet yhteysongelmiin.
Ukrainassa todettiin pian sodan alettua, että järjestelmiä on hyvä siirtää myös maan ulkopuolelle turvaan pommituksilta. Suomessakin monet asiantuntijat ja mediat kyselivät tällöin, miksi Suomessa ei oteta oppia Ukrainan kokemuksista ja siirretä järjestelmiä pilveen.
Kaapelikatkot eivät olekaan juuri johtaneet yhteysongelmiin.
Samaan aikaan yhä suurempi osa yrityksistä ja valtionhallinnosta oli todennut perinteisten järjestelmien rakentamistavan kalliiksi ja hankalaksi, varsinkin nopeasti kehittyviin pilvipalveluihin verrattuna. Ei ihme, että pilvisiirtymä eteni vauhdilla.
Nyt julkinen keskustelu on tehnyt täyskäännöksen. Donald Trumpin tempoileva politiikka ja voimalla uhkailu on syönyt eurooppalaisten luottamusta myös yhdysvaltalaisiin pilvipalveluihin tärkeiden tietojen ja järjestelmien turvaamisessa. Kasvava joukko kyselee, pitäisikö tärkeimmät järjestelmät sittenkin toteuttaa Suomessa tai ainakin Euroopassa?
Samalla tavoin kuin tarinassa karanneesta hevosesta, pilvipalvelut tai omat konesalit eivät itsessään ole mitenkään olennaisesti muuttuneet. Mutta eri olosuhteissa kukin ratkaisu vahvuuksineen ja heikkouksineen nähdään nyt vain vuoron perään eri valossa.
Mikään tekninen ratkaisu ei ole joka tavalla täydellinen.
Mikään tekninen ratkaisu ei yleensäkään ole joka tavalla täydellinen. Kussakin on hyvät ja huonot puolensa. Harvoin on myöskään käytettävissä niin paljon rahaa ja työvoimaa, että olisi mahdollista pitää samanaikaisesti yllä useampaa järjestelmää.
Koska riskejä on otettava, tärkeintä on, että ne ymmärretään, ja niiden toteutumista seurataan koko ajan. Poikkeusoloissa toimimisen varmistamiseksi tulee säilyttää mahdollisuus joustavuuteen.
Toisin sanottuna kriittisten palvelujen toteuttamisessa on mietittävä useita vaihtoehtoisia tapoja jatkaa toimintaa, kun kaikki menee pieleen. Yhtä yleispätevää turvallista ratkaisumallia ei ole olemassa.
Siksi haluaisin tekniikan sijaan korostaa mieluummin ihmisten osaamisen roolia tietoturvallisuuden varmistamisessa. Epätäydellisessä maailmassa asiantuntijan osana on usein valita vaihtoehtojen joukosta vähiten huonot. Ja hyvin varautuneena on helpompi jäädä odottamaan, mitä uusia huolia ja yllätyksiä huominen tuo tullessaan.
Jussi Eronen
Kirjoittaja on johtava asiantuntija Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa. Mielipiteet ovat kirjoittajan eivätkä edusta viraston virallista kantaa.
