Kategoria(t): Tietoturva

Ruotsin Kela, Försäkringskassan, herättelee julkishallintoa pilvipalveluiden kansainvälisiin riskeihin

Joukko eurooppalaisia julkishallinnon organisaatioita on parin viime vuoden aikana jo siirtynyt avoimen lähdekoodin pilvipalveluihin, joita ne itse myös hallitsevat. Kansalaisten henkilökohtaisten tietojen käsittely on tietomurtojen, ransomware-datakaappausten aikakaudella ja myös Cloud Act -lainsäädännön riskialtista.

Försäkringskassanin asiantuntijat ovat kirjoittaneet White Paper -raportin, jossa he haluavat herätellä eurooppalaisia päättäjiä pohtimaan kansalaisten tietojenkäsittelyn tapoja ja luotettuja tahoja, jotka tietoja käsittelevät. Jossakin pilvessä (laajasti ymmärrettynä palvelintietokoneilla konesalissa) suurten organisaatioiden tietojärjestelmät ja niiden käsittelemät tiedot aina ovat. Se tärkeä kysymys Försäkringskassanille on kenen konesalissa ja kenen palvelimilla tiedot ovat.

On helppo kilpailuttaa suuria tunnettuja brändejä, kuten Google, Amazon tai Microsoft tarjoamaan pilvipalveluita. Monilla näistä suuryhtiöistä on konesaleja niin Ruotsissa, Suomessa kuin muualla Euroopassa. Tietoturvaa ja yksityisyydensuojaa ei kuitenkaan ratkaista vain sillä, että hankitaan amerikkalaisen yhtiön palvelu, koska sillä on konesali Euroopassa.

Yhdysvalloissa on tullut voimaan Cloud Act -nimellä tunnettu laki, jonka avulla Yhdysvaltojen viranomaiset voivat saada yrityksiltä niiden käsittelemiä tietoja myös Euroopasta. Esimerkiksi Britannia on tähän suostunut.

Försäkringskassan ruotii raportissaan asiaa yksityiskohtaisesti, ja päätyy lopulta seuraaviin johtopäätöksiin.

EU:n, Ruotsin ja kolmansien maiden lainsäädännön kesken on konflikteja sen suhteen mitä dataa palvelutarjoajilta kolmansien maiden viranomaiset voivat vaatia.

Nyt olisi tärkeintä kuitenkin luoda periaatteet kuka ja missä saa käsitellä herkkää tietoaineistoa.

Försäkringskassan ehdottaa kriittisten tietojärjestelmien olevan suoraan Ruotsin valtionhallinnon kontrollissa.

Försäkringskassan ei tule luovuttamaan tietojärjestelmiensä palvelutoimintaa sellaisille yritykselle, joiden toiminta on kytköksissä Cloud Act -lakeihin.

Ruotsin julkishallinnon digitaalinen strategia tulisi perustua digitaaliseen itsehallintoon.

Kun yksityiset yritykset tuottavat julkishallinnolle pilvipalveluita, Ruotsin ja EU:n viranomaisten tulee voida määritellä sen ehdot ja tietoturvataso.

Kyllähän tämä Försäkringskassanin paperi herättää tarkkailemaan vähintään Cloud Actia, ja muistuttaa myös ajoista, jolloin Suomessa Valtion tietokonekeskus (VTKK) oli mahtava laitos.

Toivottavasti Försäkringskassanilla on luottamusta niiden EU maiden yrityksiin, joissa Cloud Act -sopimusta Yhdysvaltojen kanssa ei ole, jolloin aivan kaikkea ei tarvitse tehdä itse.

Nextcloud on yksi pääosin Euroopassa kehitetty pilviohjelmisto, joka on avointa lähdekoodia.

Leave a Reply

Your email address will not be published.


CAPTCHA Image