– On siinä riskejä, sanoo kyberturvallisuuden työelämäprofessori Tapio Frantti Jyväskylän yliopistosta.

Frantti puhuu siitä, että suomalainen viranomaisportaali suomi.fi sijaitsee yhdysvaltalaisen Amazon Web Servicesin (AWS) pilvipalvelussa. Pilvipalvelu on hienompi nimi jonkun muun tietokoneelle.

Suomi.fi käsittelee muun muassa viranomaispostia ja rekisteritietoja. Rekisteritiedot kertovat, mitä tietoja viranomaisilla meistä on.

Suomi.fi:n kautta toimii myös viranomaisten verkkopalveluihin kirjautuminen: jos suomi.fi ei ole käytettävissä, kirjautuminen ei onnistu.

Viranomaispalveluilla ei ole suomi.fi:lle suoraa vaihtoehtoista kirjautumistapaa, joten suomi.fi:n kaatuminen tarkoittaisi paluuta aikaan ennen sähköistä tunnistautumista. Esimerkiksi Kelan kanssa asioitaisiin paperilla, puhelimella tai paikan päällä.

Kelan sähköisessä Omakela-palvelussa vierailtiin viime vuonna 47,1 miljoonaa kertaa, kun käyntejä palvelupisteissä oli 0,5 miljoonaa ja puheluita kaksi miljoonaa.

Asiointi on viety verkkoon

Suomalainen viranomaisasiointi on kaikkiaan viritetty sähköiseksi, eikä valmiuksia asioinnin laajamittaiseen järjestämiseen ilman verkkopalveluita ole.

Avaa alla oleva tietolaatikko, niin näet mitä seurauksia suomi.fi:n kaatumisella olisi.

Suomi.fi-data on AWS:n pilvipalvelimilla jossain päin Eurooppaa.

Frantin mukaan olisi turvallisempaa, jos tiedot olisivat Suomessa.

– Datan hallinta ei nyt ole meillä, eikä se ole meidän lainsäädäntömme piirissä, hän sanoo.

Suomen viranomaisten pilvipalvelusopimukset tekee valtion tieto- ja viestintätekniikkakeskus Valtori.

– Olemme pyrkineet mahdollisimman huolellisesti varmistamaan, että asiat ovat kunnossa. Se on paras tapa sitä eurooppatasoisesti varmistaa, sanoo Valtorin infrastruktuuripalveluiden ylijohtaja Sakari Marttila.

Esimerkiksi suomalaiset pankit pitävät yhteiskunnan toiminnan kannalta keskeisen datansa itsellään tai eivät edes kommentoi, missä se sijaitsee.

Periaatteessa turvassa, käytäntö arvaamaton

AWS:n käyttöehdot ja sopimukset takaavat suomalaisten tiedoille periaatteessa vahvan suojan. Suoja toimii kuitenkin vain silloin, kun sopimuksiin voi luottaa, eikä se nykyisessä maailmanjärjestyksessä näytä olevan taattua.

Kansainvälinen rikostuomioistuin (ICC) toimii Haagissa Alankomaissa. Yhdysvaltain presidentti Donald Trump määräsi vuosi sitten pakotteita ICC:tä vastaan. Asetuksessa Trump nimesi erikseen laitoksen pääsyyttäjän ja linjasi, että kaikkien pääsyyttäjää teknologisesti olennaisesti avustaneiden omaisuus Yhdysvalloissa voidaan jäädyttää.

Vähän asetuksen jälkeen pääsyyttäjä ei enää päässyt sisään Microsoft-sähköpostiinsa. Microsoft kiisti katkaisseensa palvelun, eivätkä ICC ja Microsoft ole kommentoineet asiaa enempää.

Useiden lähteiden mukaan ICC on päättänyt hylätä Microsoftin palvelut ja ottaa käyttöön eurooppalaisen avoimen lähdekoodin ohjelmiston. Ylelle ICC ilmoitti, ettei se tällä hetkellä kommentoi asiaa.

Kesällä avoimeen lähdekoodiin siirtymisestä kertoi Tanskan digitalisaatio- ja tasa-arvoministeriö. Vastuuministeri Caroline Stage Olsenin mukaan keskeisenä perusteena on digitaalinen itsenäisyys.

Digitaalista itsenäisyyttä ajetaan myös Suomessa. Kansalaisaloite asiasta on nimenkeruuvaiheessa. Myös kansalaisaloitteisiin kirjaudutaan suomi.fi:n kautta.

Parannuksia pilvestä

Suomi.fi -palvelusta vastaa Digi- ja väestötietovirasto DVV. Viraston pilveenmeno perustuu valtiovarainministeriön linjaukseen vuodelta 2018. Linjausta on sittemmin päivitetty.

DVV itse kertoo, että keskeinen syy pilveen siirtymiselle oli raha: heti vuoden 2022 diasarjan alussa DVV toteaa, että ”Säästämme ICT-infrastruktuurin sekä siihen liittyvän henkilötyön kuluissa ainakin 30%, parhaimmillaan jopa 60%”.

Suurella pilvioperaattorilla on myös muita hyviä puolia kuin säästö. Ne ovat esimerkiksi erittäin toimintavarmoja.

DVV:n kehitys- ja tietohallintojohtaja Eero Konttaniemi kertoo, että viime vuoden kybertilanteesta huolimatta Suomi.fi-palvelujen DVV:n vastuulla olevissa osioissa ei ole ollut juurikaan katkoja.

– Häiriöraportit osoittavat, että ero 2016–2017 tilanteeseen on huima. Omissa konesaleissa vielä tuolloin pyörineisiin suomi.fi-palveluihin kohdistuneet palvelunestohyökkäykset aiheuttivat näkyviä käyttökatkoja.

Suurtekijällä on tarjolla resursseja ja teknologioita, joiden tasolle on vaikeaa ja kallista päästä omin käsin.

– Esimerkiksi tietokantojen salaukset, joita ei perinteisissä saliratkaisuissa ole ollut samassa mittakaavassa tarjolla, Konttaniemi sanoo.

DVV:n keskeisin palvelu, väestötietojärjestelmä, sijaitsee kaikesta huolimatta Suomessa, eikä sitä olla viemässä pilveen.

AWS:n pilveen on kaavailtu myös Suomen vaalidataa, mutta oikeusministeriö pohtii nyt, kannattaako sitä sittenkään viedä markkinapilveen.

Tietoturvan asiantuntija Harri Hurstin mukaan kansalliseen turvallisuuteen liittyviä asioita ei pitäisi tehdä pilvipalveluissa.

Valtori sopii ja valvoo

Suomi.fi:n AWS-sopimukset on tehnyt Valtori. Se tekee sopimukset erilaisten pilvipalvelujen käytöstä, sillä virastojen pitää hankkia toimialasta riippumattomat tietotekniset palvelut Valtorin kautta.

Valtori tarjoaa palveluvalikoimaa: siltä voi hankkia pilvipalveluita tai erilaisia konesaleja sen mukaan, mitä kukin virasto haluaa.

– Suomi.fi:n omistaa DVV, ja he ovat päättäneet, että se on AWS:n palvelimilla, sanoo Valtorin infrastruktuuripalvelujen ylijohtaja Sakari Marttila.

Videolla Marttila kertoo yleisistä syistä pilvipalveluiden käyttöön.

Pilvijättien käyttöehtoihin Valtori ei voi vaikuttaa.

– Suomi on pilvipalveluille pieni mutta kiinnostava tekijä, mutta heidän sopimusehtonsa ovat globaaleja. Eivät he tee eri maille omia ehtoja, Marttila sanoo.

Kehitteillä onkin valtion yksityinen Suomi-pilvi. Se yhdistelisi pilviteknologian etuja siihen, että data on omassa konesalissa Suomessa.

– Siinä on selkeitä hyötyjä. Suunta tulee varmasti kasvamaan, Marttila sanoo.