Tänä syksynä on uutisoitu useista suunnitelmista siirtää kansallisia kriittisiä tietojärjestelmiä julkiseen pilveen. Ajoitus on huomionarvoinen. Vain kuukausia aiemmin Microsoft katkaisi Haagissa toimivan Kansainvälisen rikostuomioistuimen (ICC) pääsyyttäjän pääsyn sähköpostiin ja pilvipalveluihin, syynä Yhdysvaltain asettamat pakotteet. ICC on sittemmin ilmoittanut siirtyvänsä eurooppalaiseen avoimen lähdekoodin ratkaisuun.
Tämä tapaus nosti teeman keskusteluun, sillä olihan se vastaansanomaton, konkreettinen esimerkki siitä mitä riippuvuus amerikkalaisista pilvipalveluista voi pahimmillaan tarkoittaa.
Pilvisiirtymälle löytyy paljon järkiperusteita, kuten skaalautuvuutta, kustannustehokkuutta ja teknistä joustavuutta. Ammattini puolesta kiinnitän kuitenkin huomiota myös siihen, mitä riskejä näihin päätöksiin liittyy. Pilvipäätökset ansaitsevat tavanomaista teknologiapäätöstä huolellisemman pohdinnan, erityisesti jos kyse on arkaluonteisista tiedoista tai yhteiskunnan kriittisestä infrastruktuurista.
Kaksi kotimaista pilviesimerkkiä
Oikeusministeriö on päättänyt siirtää kansallisen vaalitietojärjestelmämme tietoja AWS:n Ruotsissa sijaitsevaan konesaliin. Kyseessä on ensimmäinen kerta historiassa, kun vaalidataamme ollaan viemässä maamme rajojen ulkopuolelle. Suunnitelma koskee äänestäjärekistereitä, ehdokastietoja sekä vaalitulosjärjestelmää ja tuloslaskentaa.
Kansaeläkelaitos (Kela) puolestaan uudistaa etuusjärjestelmänsä siirtymällä konsulttijätti PwC:n toteuttamaan Salesforce-pohjaiseen ratkaisuun. Muutoksen myötä Kelan asiakastiedot eivät enää sijaitsisi vain Suomessa, vaan hajautetusti Euroopan alueella. Ensimmäisinä Kelan Salesforce-pilveen siirtyvät sotilasavustuksiin, perhe-eläkkeisiin ja kuntoutusrahaan liittyvät asiat vuonna 2027.
Molemmissa tapauksissa arkaluontoista dataa päätyy amerikkalaisten yhtiöiden hallinnoimiin järjestelmiin, vaikka palvelimet sijaitsisivatkin EU:n alueella.
Pohditaanpa mitä juridisia ja käytännön seurauksia tästä voi olla?
Yhdysvaltain lainsäädännön pitkä koura
Yhdysvaltain CLOUD Act- ja FISA 702 -lainsäädäntö antavat amerikkalaisille viranomaisille laajat valtuudet päästä käsiksi yhdysvaltalaisten yritysten hallinnoimaan dataan maantieteellisestä sijainnista riippumatta. Tämä koskee kaikkia yhdysvaltalaisia yhtiöitä ja niiden tytäryhtiöitä, mukaan lukien suuret pilvipalveluntarjoajat kuten AWS, Google Cloud ja Microsoft Azure.
Microsoftin Ranskan-yksikön julkisten ja oikeudellisten asioiden johtaja Anton Carniaux totesi kesäkuussa 2025 Ranskan senaatissa valaehtoisesti, ettei hän voi taata, etteikö ranskalaista dataa voitaisi takavarikoida Yhdysvaltain viranomaisten toimesta. Valitettavasti tämä lausunto kuvaa hyvin syntynyttä tilannetta, jossa mikään sopimuksellinen järjestely tai ”EU-data region”-vakuuttelu ei poista amerikkalaisen lainsäädännön ulottumista amerikkalaisomisteisiin palveluihin.
Oikeusministeriön vaalijohtaja Arto Jääskeläinen on vakuuttanut, että EU:n ja Yhdysvaltain välinen datansiirtosopimus on sovittu kattavasti. Aalto-yliopiston tutkija Otto Kässi suhtautuu tähän kriittisemmin. Hänen mukaansa amerikkalaisten pilvipalveluiden käyttö voi altistaa eurooppalaista dataa Yhdysvaltojen viranomaisille.
Julkishallinnon erityisasema
Siinä missä yksityiset yritykset voivat tehdä riskipohjaisia päätöksiä liiketoimintalähtöisesti, julkishallinto kantaa vastuuta koko yhteiskunnan digitaalisesta resilienssistä.
Suvereniteettikysymykset – datan fyysinen sijainti, juridinen toimivalta ja kansallinen kontrolli – korostuvat erityisesti silloin, kun käsitellään kansalaisten arkaluonteisia henkilötietoja, demokraattisten prosessien kannalta kriittisiä järjestelmiä (vaalidata) tai kansallisen turvallisuuden piiriin kuuluvia tietoja.
Kriittisen infrastruktuurin tapauksessa nämä päätökset saattavat ylittää virkamiesjohdon mandaatin. Aalto-yliopiston teknologiapolitiikan professori Vili Lehdonvirta esitti haastattelussa (Uusi Juttu 7.11.2025), että yhteiskunnan perusinfrastruktuuria koskevat päätökset vaativat demokraattista legitimiteettiä – ne tulisi tehdä demokraattisesti valittujen päättäjien toimesta, ei pelkästään virkavastuulla.
Paljonko riskienhallinta maksaa?
Riittävä digitaalinen resilienssi maksaa, mutta niin maksaa myös sen puute. Säästöt ja turvallisuus eivät useinkaan kulje käsi kädessä.
Vaalidatan tapauksessa oikeusministeriö arvioi säästävänsä pilvisiirrolla noin neljä miljoonaa euroa kymmenessä vuodessa. Tutkija Otto Kässin mukaan kyseessä on oikeusministeriön toimialan budjetissa melkoisen pieni osuus. Olen taipuvainen ajattelemaan samoin, riskeihin nähden säästö tuntuu vaatimattomalta.
Julkisorganisaation johto joutuukin vastaamaan kiperiin kysymyksiin:
- Paljonko olemme valmiita maksamaan digitaalisesta suvereniteetista?
- Mikä on hyväksyttävä riskitaso kriittiselle infrastruktuurille? Millaisia riippuvuuksia on kriittisen infrastruktuurin osalta hyväksyttävää ottaa ja mihin vedämme rajan?
- Miten tasapainotetaan säästöt, tehokkuus ja turvallisuus?
Strateginen päätöksenteko ja digisuvereniteetti
Kriittisen infrastruktuurin osalta päätöksenteko ei ole pelkästään operatiivinen kysymys. Julkishallinnon organisaatioilla on oltava selkeät prosessit sen arvioimiseksi, milloin tietoturvallisuuspäätös nousee operatiiviselta tasolta strategiseksi tai jopa poliittiseksi kysymykseksi. Tämä edellyttää läpinäkyvää raportointia riskeistä sekä selkeitä eskalaatiopolkuja, jotka tarvittaessa siirtävät päätöksen poliittisen päätöksenteon piiriin.
Käytännössä tämä tarkoittaa, että organisaatioissa tulee ymmärtää kriittiset riippuvuudet (mitkä järjestelmät ovat yhteiskunnan toiminnan kannalta välttämättömiä), määrittää riskitoleranssi (mikä on hyväksyttävä taso kansalliselle digitaaliselle resilienssille) ja varata riittävät resurssit tietoturvallisuuteen. Kun kyse on yhteiskunnan perusinfrastruktuurista, lopullinen vastuu kuuluu demokraattisesti valituille päättäjille.
NIS2-direktiivi ja DORA-asetus käytännössä edellyttävät sekä yksityisen että julkisen sektorin organisaatioita arvioimaan pilvipalveluihin liittyviä keskittämisriskejä ja toimitusketjun turvallisuutta. Pelkkä GDPR-vaatimusten täyttäminen ei siis riitä kattamaan kaikkia EU-sääntelyn vaatimuksia.
Kolme epätoivottua skenaariota
Kriittisen infrastruktuurin riskienhallinnassa tulee varautua pahimpiin mahdollisiin tilanteisiin. Mitä tästä sitten voisi seurata?
Tunnistan kolme ylätason haastetta ja epätoivottua skenaariota →
- Luottamuksellisuusongelma eli jos arkaluonteisia tietoja päätyy vääriin käsiin tai ulkopuolisille tahoille, joilla ei pitäisi olla niihin pääsyä. Kansalaisten on voitava luottaa siihen, että heidän tietonsa pysyvät vain asianmukaisten tahojen käytössä.
- Eheys- eli luottamusongelma eli jos syntyy pienikin epäilys siitä, että tietoja on manipuloitu. Viivästykset tai häiriöt luovat valitettavasti hyvin otollisen maaperän kaikenlaisille spekulaatioille ja salaliittoteorioille.
- Saatavuusongelma eli jos kriittinen palvelu menee niin sanotusti pimeäksi tai hidastuu ratkaisevalla hetkellä. Suomalaiset ovat tottuneet luotettaviin julkisiin palveluihin, ja tämäntyyppiset häiriöt voivat heikentää luottamusta koko järjestelmään.
Toteutuessaan nämä skenaariot nakertavat kansalaisten luottamusta julkishallintoon. Kyse on sekä teknologiariskistä että yhteiskunnallisesta riskistä. Tietoturva-ammattilaisille nämä kolme ulottuvuutta ovat tuttuja englanniksi → confidentiality, integrity, availability – ja näitä kuvaa helposti mieleen jäävä CIA-lyhenne.
Entä kotimaiset vaihtoehdot?
Pilvipalveluiden hyödyntäminen ei tietenkään automaattisesti tarkoita amerikkalaisten suuryritysten palveluita, mutta vahva asema niillä on. Suomessa ja Euroopassa toimii lukuisia pilvipalveluntarjoajia, jotka tarjoavat vastaavia palveluja, mutta joiden suhteen meillä on parempi juridinen ote ja jotka eivät ole velvoitettuja tietojen jakamiseen Yhdysvaltain hallinnon kanssa vaikeissakaan tilanteissa.
Valinta amerikkalaisen ja eurooppalaisen palvelun välillä on strateginen päätös, joka ansaitsee huolellisen arvioinnin. Olisiko kotimainen tai eurooppalainen pilvipalvelu tarjonnut parhaat puolet molemmista maailmoista – pilven joustavuuden ja teknisen tehokkuuden yhdistettynä kansalliseen digisuvereniteettiin?
Seuraan mielenkiinnolla, miten keskustelu digitaalisesta suvereniteetista kehittyy Suomessa ja Euroopassa!
Ville
Lisälukemista aiheesta →
Civo: Cloud Act & FISA 702: https://www.civo.com/blog/is-your-cloud-truly-sovereign
Comex: US Cloud Act, FISA and theData Privacy Framework (pdf): https://www.comex.eu/wp-content/uploads/2025/04/EN-2025-03-Factcheck-US-Cloud-Act-v1.pdf
Gislen: US Cloud services and emerging risk: https://www.gislen.com/us-cloud-services-emerging-risk/
Yle: Kelan muutos vie suomalaisten arkaluontoiset terveystiedot ulkomaisiin konesaleihin: https://yle.fi/a/74-20193175
Yle: Tutkija: Suomi teki hätiköidyn päätöksen siinä, että vaalidata siirtyy Amazonin pilveen: https://yle.fi/a/74-20192719