Suomi.fi-palvelu hurisee amerikkalaisessa pilvessä – pitäisikö huolestua?

kirjoittaja | tammi 17, 2022 | Ohjelmistotalot

Joulukuussa julkisuudessa on käyty jonkin verran keskustelua suomi.fi-palvelun pyörimisestä amerikkalaisen AWS:n pilvipalvelussa. Keskustelu on paljolti pyörinyt tietosuojan ympärillä. Kuten tiedetään, amerikkalaisyritykset ovat paikallisten lakien nojalla velvollisia avustamaan amerikkalaisia tiedusteluelimiä.  Digi- ja väestötietovirasto ei ole ollut halukas kertomaan sitä, miten tietosuojan toteutumisesta suomi.fi-palvelun käytössä AWS:n pilvipalvelussa on varmistuttu ja Effi onkin valittanut tästä lokakuun lopulla Helsingin Hallinto-oikeudelle. Tietosuojaan liittyy paljon avoimia kysymyksiä ja julkisuudessa olevat tiedot Digi- ja väestöviraston toiminnasta palvelun käyttöönoton yhteydessä sekä sittemmin asian noustua laajemman mielenkiinnon kohteeksi nostattavat enemmän kysymyksiä kuin antavat vastauksia.

Täysin huomiotta on jäänyt julkisessa keskustelussa palvelun käytettävyys ja mahdollisesta käytön estymisestä aiheutuvat vahingot. Suomi.fi-palveluun on keskitetty mm. julkishallinnon organisaatioiden palveluita. Monet julkisten organisaatioiden tarjoamista sähköisistä palveluista edellyttävät esimerkiksi tunnistautumista suomi.fi-palvelun kautta. Kaikkien näiden palveluiden käyttäminen estyisi mikäli suomi.fi-palvelu ei yhtäkkiä olisikaan enää käytettävissä.

Ei ole mitään syytä epäillä, etteikö maailman suurin pilvipalveluita tuottava alustapalvelu olisi varautunut palvelun toiminnan varmistamiseen epäsuotuisissa olosuhteissa. AWS:n kaltaiset mahdollisuudet varautua ongelmatilanteisiin on usein ylivertaiset verrattuna pienempien toimijoiden mahdollisuuksiin. Miksi asiasta sitten pitäisi olla huolissaan?

Koronapandemian alkuvaiheessa näimme miten valtiot takavarikoivat toisiin maihin matkalla olleita hengityskoneita omiin tarpeisiinsa täysin mielivaltaisesti. Suomen hävittäjähankinnan yhteydessä kerrottiin, miten hävittäjien huoltovarmuuteen on kiinnitetty erityistä huomiota ja hävittäjien huoltovarmuus on taattu erilaisin varmuusvarastoin myös tilanteissa, joissa syystä tai toisesta varaosia ei ole mahdollista tuoda ulkomailta. Yleisesti ottaen yhteiskunta on pyrkinyt mahdollisuuksien mukaan varautumaan kriisitilanteisiin siten, että yhteiskunta voi toimia myös silloin kun yhteydet ulkomaihin eivät toimi.

Vaikka todennäköisesti suomi.fi-palvelu onkin sijoitettu AWS:n Euroopassa sijaitseviin konesaleihin, tästä huolimatta palvelun toimivuus on viime kädessä amerikkalaisten käsissä. Niin halutessaan palvelun käyttö voidaan estää ”yhtä nappia painamalla” Yhdysvalloista käsin eikä Suomella tai Euroopalla ole tosiasiallisesti mitään teknistä eikä viime kädessä edes juridista keinoa tätä estää.

Viime aikoina monille tutuksi tullut kanta.fi-palveluun kirjautuminen tapahtuu niin ikään suomi.fi-palvelun kautta. Koska kaikkea suomi.fi-palvelun AWS-toteutukseen liittyvää tietoa ei ole saatavilla, arvioiden tekeminen on epätarkkaa. Olemassa olevien tietojen pohjalta tuntuu kuitenkin aivan käsittämättömältä sekä tietosuojan että käytettävyyden näkökulmasta, että näin kriittinen palvelu on voitu sijoittaa amerikkalaisen yrityksen pilvipalveluun.

Miksi näin on kuitenkin tehty? Vastausta meillä ei tähän ole, mutta asialla on helppo spekuloida. Ohjelmistokehittäjien keskuudessa AWS on viime vuosina ollut kovan hypen kohteena. Monet ohjelmistokehittäjät nimenomaiset haluavat käyttää AWS:n palveluita ja AWS osaajia on markkinoilla varsin paljon. Mieleeni herää kysymys siitä, onko AWS ”myyty” Digi ja väestötietovirastolle teknisesti ylivertaisena ja ainoana järkevänä toteutustapana ko. palvelulle. Jos näin on, niin myynti on kyllä onnistunut hyvin, mutta ostaminen ei ehkä niinkään.

Mielestäni olisi tärkeää jo pelkästään suomi.fi-palveluun liittyvän luottamuksen vuoksi avata julkisuuteen miten nyt tunnistettuihin mahdollisiin epäkohtiin on varauduttu ja tarvittaessa arvioida tulisiko palvelu siirtää vaikkapa kotimaiseen tai eurooppalaiseen pilveen.

Kirjoittaja on Timo Haapavuori, Magic Cloudin toimitusjohtaja, joka herää edelleen 25  yrittäjävuoden jälkeen joka aamu tekemään parempaa pilvipalvelua. Tietoturvan edistäminen on Timolla selkärangassa ja siksi usein esiintyykin tietoturvaan liittyvissä koulutuksissa ja webinaareissa tietoturvan viestintuojana.

Pilvipalveluiden kilpailutuksen sudenkuopat
Mitä kontitettu sovellus mahdollistaa?
<h6>Timo Haapavuori</h6>
Timo Haapavuori