Google on valmis tarjoamaan pilvipalveluaan Suomen valtionhallinnon palveluiden tallentamiseen.
Googlen pilvipalveluiden asiantuntija Jerry Jalava kertoo Googlen ottaneen asian esille viime kuussa sattuneiden palvelunestohyökkäysten takia. Laaja palvelunestohyökkäys kaatoi Suomessa viime kuun puolivälissä monien valtionhallinnon viranomaisten ja ministeriöiden verkkosivustoja usean tunnin ajaksi.
Lue myös: Kuka hyökkäsi juuri Suomen viranomaisverkkoihin? ”Varmasti tulevan viikon keskeinen aihe”
Jalavan mukaan Googlen pilvipalvelun käyttö on edullista ja mukautuvaa sekä energiaa säästävää.
– Palvelunestohyökkäyksiä vastaan on erittäin vaikeaa suojautua perinteisissä palvelinsaleissa tehokkaasti. Se vaatii suojausta monella tasolla. Tällainen on mahdollista ottaa käyttöön Google Cloud -palvelussa ilman kummempia konfiguraatioita, Jalava kommentoi.
"Ei hyötyä Googlelle"
Jalavan mukaan valtionhallinnon palveluiden tallentamisesta ei olisi suoranaista hyötyä Googlelle. Jalava kertoo, että palveluun tallennettuihin tietoihin ei Googlellakaan ole minkäänlaista pääsyä eikä se olisi taloudellisestikaan yhtiölle suurta liiketoimintaa.
– Taloudellisesti kyse olisi nappikaupasta, ei siitä Googlelle rahaa alkaisi tulla. Ehkä hyöty olisi referenssimielessä, jos julkishallinto haluaa sanoa, että tiedot olisivat Haminan palvelinkeskuksessa.
Jalava toteaa, että pilvipalvelu on turvallisempi kuin fyysinen konesali. Hänen mukaansa suurin riski pilvipalveluiden käytössä ovat ihmiset itsessään. Prosesseissa pitää valmistautua siihen, että ihmiset eivät olisi niitä, jotka pääsisivät vuotamaan kaiken tiedon ulos.
Tiedot Haminan palvelinkeskukseen?
Googlelta kerrotaan, että esimerkiksi Britanniassa useat valtiolliset tahot hyödyntävät Google Cloud -palveluita ja myös Suomessa monet kunnat käyttävät kyseistä palvelua.
Valtionhallinnon palvelut voitaisiin halutessa tallettaa Suomen rajojen sisäpuolelle, fyysisesti Googlen Haminan palvelinkeskukseen.
– Tieto olisi kahdennettuna palvelinkeskuksessa kahdella toisistaan erillään olevassa rakennuksessa. Tieto pilkotaan ja salataan osiksi ympäri konesalia. Jos joku varastaisi konesalista yhden kovalevyn, niin hän ei saisi sieltä mitään irti, kun siellä ei ole yhtäkään kokonaista tiedostoa mistään.
Tiedot eivät katoaisi edes siinä tapauksessa vaikka konesalissa syttyisi tulipalo. Mutta mikäli koko palvelinkeskus jostain syystä tuhoutuisi kerralla, niin silloin myös sen sisältämät tiedot tuhoutuisivat.
– Käytännössä konesaliin pitäisi tulla ns. "kertatuhoisku eli vähän isompi pommi", koska tiedot ovat tallennettuna eri fyysisissä lokaatioissa, Jalava toteaa.
Valtori: Pilvipalvelun käyttö monisyinen asia
Valtion tieto- ja viestintätekniikkakeskus Valtorin tieto- ja kyberturvallisuusyksikön päällikkö, tietoturvapäällikkö Olli Joronen ei suoralta kädeltä tyrmää Googlen ajatusta pilvipalvelun käytöstä valtionhallinnon tarpeisiin, mutta painottaa, että kyseessä on monimutkainen asiakokonaisuus, jota on tarkasteltava monelta suunnalta. Julkisen tiedon osalta pilvipalveluita on käytetty jo pitkän aikaa Suomen valtionhallinnossakin. Haasteet tulevat salassa pidettävän tiedon tapauksessa.
Esimerkiksi tietojen fyysinen sijainti ainoastaan Haminan palvelinkeskuksessa muodostaisi riskin. Joronen huomauttaa, että pilvipalveluissa pyritään juuri siihen, että tieto ei olisi yhdessä paikkaa, ettei tulisi esimerkiksi tilannetta, että yhden konesalin tuhoutuminen veisi kaikki tiedot. Tässä mielessä tiedon sijainti maantieteellisesti ei ole niin oleellinen asia kuin vaikkapa tiedon luokittelun mukainen salaus tai mistä kaikkialta tietoon loppujen lopuksi päästään käsiksi.
– Tiedon suojaukseen tulisi kiinnittää huomiota kaikissa sen elinkaaren vaiheissa. Maantieteellinenkin sijainti tulisi toisaalta huomioida tietyllä tavalla ja samalla ottaa huomioon, että tietoa voidaan kopioida muuallekin sen varalta, jos yksi konesali tuhoutuu. Mutta silloin siinä voi tulla se riski, että tieto voi päätyä jonkun muun valtion käsiin, ellei sitä ole riittävän vahvasti salattu, Joronen pohtii.
Jorosen mukaan asia tarvitseekin enemmän pilvipalveluiden piirteisiin liittyviä valtionhallinnon linjauksia, ennen kuin päätöksiä voidaan tehdä.
Jorosen mukaan koko asiaa tulisi pohtia aivan uudella otteella ja ajatusmallilla. Hänen mukaansa pilvipalvelut sopivat kyllä tietynlaisiin tapauksiin valtionhallinnossakin, mutta ei sellaisenaan ehkä joka käyttöön.
– Kyllähän pilvipalvelut ovat tulleet jäädäkseen ja niitä kannattaa käyttää valtionhallinnossakin, mutta siinä pitää olla järki päässä, että mitä sinne pilveen oikeasti viedään. Ehkä salaisimpia valtiotason tietoja ei lähtökohtaisesti kannata globaalille palveluntarjoajalle viedä. Esimerkiksi USA:ssa on erilaisia pakottavia lainsäädäntöjä, jotka saattaisivat joissakin tapauksissa johtaa siihen, että toisen valtion viranomaisilla voisikin olla pääsy tietoon.
Video: Google käyttää toiminnoissaa valtavia tietomääriä.
4:13
