Mikä on suvereeni pilvi, ja miten organisaatiosi voi hyötyä siitä? Tämä blogi opastaa sinua lainsäädännön koukeroissa ja kertoo, kuinka valita oikeat pilviratkaisut dataluokittelun mukaan.
Suvereeni pilvi (englanniksi sovereign cloud) on konkreettinen asia, mutta sen ymmärtämiseksi joudumme aluksi syventymään teoriaan, geopolitiikan käänteisiin ja juridiikan koukeroihin.
Lähtökohtana on pyrkimys toteuttaa dataa koskeva digitaalinen itsemääräämisoikeus eli suvereniteetti datatalouden aikakaudella. Datataloudessa eri organisaatioiden toiminta perustuu datan hyödyntämiseen. Siksi tavoitteen toteuttaminen herättää joukon kriittisiä kysymyksiä: Missä data sijaitsee, missä se liikkuu ja kuka sitä hallitsee? Pilvipalvelut osuvat väistämättä polttopisteeseen, koska niistä on kehittynyt datatalouden moottoreita.
Teknologia-alalla yleisesti hyväksyttyä tai käytettyä suvereenin pilven määritelmää ei ole vielä olemassa. Pohjimmiltaan kyse on datasta, sen omistajuudesta, luottamuksesta, valvonnasta, kansallisista eduista ja säännösten noudattamisesta.
Suvereeni pilvi varmistaa, että kaikki data, mukaan lukien metatiedot, pysyy suvereenilla maaperällä. Se estää ulkomaisten tahojen pääsyn dataan kaikissa olosuhteissa. Se tarjoaa luotettavan ympäristön tallentaa ja käsitellä sellaista tietoa, jota ei tule koskaan siirtää rajojen yli ja jonka on pysyttävä vain yhden lainkäyttöalueen piirissä.
Suvereeni pilvi tarkoittaa paitsi kriittisen datan suojaamista myös sitä, että tämä data mahdollistaa lisäarvon luonnin.
Suvereenit pilvet ovat kypsiä ja vakiintuneita ratkaisuja, jotka ovat osa kehittyvää monipilviympäristöä. Ne tarjoavat myös kaikki muut pilven keskeiset edut, kuten ketteryyden, turvallisuuden ja automaation.
Eurooppalaisesta näkökulmasta suvereenin pilven taustalla on se, että yritykset ja julkisen sektorin organisaatiot tallentavat yhä enemmän dataa pilven datakeskuksiin. Kuten kaikki tietävät, tätä pelikenttää hallitsevat amerikkalaiset teknologiajättiläiset.
Nyt pilven ympärille on kuitenkin syntynyt oikeudellisen epävarmuuden tila. Syitä ovat Yhdysvaltain CLOUD Act -säädös ja vastaavat lait muissa maissa, kuten Kiinassa. Ne ovat ristiriidassa Euroopan unionin uusien säännösten, EU:n tuomioistuimen päätösten ja erityisesti Schrems II -nimellä tunnetun uraauurtavan oikeustapauksen kanssa.
EU haluaakin vähentää eurooppalaisten riippuvuutta EU:n ulkopuolisista palveluista huomioiden sen, että pilvi on oleellinen esimerkiksi tekoälyn kaltaisen teknologian kannalta. Lisäksi EU on huolissaan siitä, että kriittistä dataa joutuu Euroopan ulkopuolisten viranomaisten haltuun. Tätä riskiä pienentävät EU-säännökset, jotka kontrolloivat datan siirtoa yli rajojen, kuten GDPR, Data Act ja Data Governance Act. Ne edellyttävät, että arkaluonteinen tai kriittinen data pysyy suvereenilla maaperällä, mitä korostaa varsinkin Schrems II -tuomio.
Oma lukunsa on metadata ja sen omistajuus. Pilvipalvelutoimittajat keräävät metadataa paljon laajemmassa mittakaavassa kuin yleisesti käsitetään. Tämä metadata kerätään usein automaattisesti, ja se saattaa sisältää muun muassa IP-osoitteita, tunnistetietoja sekä loki- ja diagnostiikkaraportteja.
Tämän kaiken seurauksena tietosuojapäälliköiden eri organisaatioissa täytyy nyt varmistaa vaatimustenmukaisuus datan ja sovellusten perusteellisen luokittelun avulla. Organisaatioiden täytyy varmistaa, että kunkin datatyypin ja sovelluksen kannalta käytössä on juuri niille sopiva pilvi, olkoon se yksityinen, suvereeni, hybridi tai julkinen.
On tarpeellista tunnistaa, millainen data pitää luokitella kriittiseksi kansallisten ja alueellisten turvallisuusstandardien pohjalta. Datalle on olemassa maasta tai alueesta riippuen erilaisia luokittelutasoja, kuten julkista, luottamuksellista tai rajoitettua dataa. Lisäksi on olemassa erilaista toimialakohtaista dataa, joka sisältää valtiollisia, yrityskohtaisia tai henkilökohtaisia tietoja.
Digitaalinen itsemääräämisoikeus merkitsee valtioiden, organisaatioiden ja kansalaisten oikeutta hallita digitaalista autonomiaansa ja dataansa. Suvereenin pilven infrastruktuuri avaa toisiinsa kytkettyjä ”valtateitä", joita tarvitaan datatalouksien kaiken potentiaalin hyödyntämiseen ja yhteiskunnan innovaatioiden edistämiseen digitaalisen teknologian avulla.
Digitaaliset ekosysteemit kukoistavat yhteistyön ja yhteisesti suunnitellun datan jakelun infrastruktuurin kautta. Tämä nivoutuu hyvin arvoihin, joista Pohjoismaissa olemme ylpeitä: avoimuus, luottamus, läpinäkyvyys ja osallisuus. Arvot ansaitsevat turvaa myös digitaalisessa maailmassa.
Loppujen lopuksi suvereenin pilven on oltava osa monipilvistrategiaa. Sitä varten täytyy ymmärtää, että kaikki data ei ole samanarvoista ja että pilvien välillä on eroja. Pilvillä on erilainen arvolupaus, ja organisaatioiden on käytettävä kutakin niistä eri tarpeisiin rinnakkain. Nyt on aika päivittää pilvistrategiasi nykyisen sääntelyn mukaiseksi ja ottaa suvereeni pilvi osaksi palettia.
Opastamme sinua pilven sääntelyn sokkeloiden läpi, joten älä epäröi ottaa meihin yhteyttä!
VMwaren Sovereign Cloud
VMware on osa Gaia-X-projektia ja yhtiöllä on myös oma suvereenin pilven ohjelma. VMware tunnustaa TietoEVRY:n kaltaiset kumppanit, jotka rakentavat, operoivat ja myyvät suvereeneja pilviä tietyllä lainkäyttöalueella, kuten Pohjoismaissa. VMware on määritellyt joukon kriteereitä, joiden pohjalta pilvipalveluntarjoajat voivat osoittaa, että niiden pilvialusta noudattaa datan riippumattomuuden ja digitaalisen itsemääräämisoikeuden strategisia periaatteita. Näin VMware voi yhdistää asiakkaansa hyväksyttyihin kumppaneihin erittäin nopeasti. Lue lisää täältä.
Wenche is passionate about creating value for our customers and enabling growth with attractive service offerings. She has near twenty years of experience in the IT business with different roles within management and advisory, bringing new services to the market.
In her current role as Head of Strategic Differentiation Programs at Tietoevry Tech Services, she is leading a global team of experts and managers.