Kansallisen turvallisuuden katsaus 2026

Globaali turvallisuusympäristö ja Suomi

Pilvisiirtymä hämärtää valtioiden digitaalista itsenäisyyttä

Kriittisten tietojen säilyttäminen pilvipalveluissa luo riskejä tiedon saatavuudelle ja tietoturvalle. Suomalainen yhteiskunta on entistä riippuvaisempi muualla maailmassa sijaitsevista datakeskuksista.

Viimeisen vuosikymmenen aikana pilvipalvelut ovat mullistaneet yksityisten yritysten ja julkisen sektorin tiedonkäsittelyä. Yrityksissä arjen työt on tehty pitkään pilvessä ja myös valtionhallinnot eri puolilla maailmaa ovat siirtämässä tietojärjestelmiään pois omista palvelinsaleistaan. Pilvisiirtymä koskettaa enenevissä määrin myös valtioiden kriittisiä tietojärjestelmiä.

Pilvipalvelut ovat suosittuja niiden koettujen kustannushyötyjen ja ylläpidon helppouden vuoksi. Etenkin pienille yrityksille pilvipalvelut tarjoavat lukuisia tietoturvaetuja, sillä pilvessä käytettävien ohjelmistojen päivityksistä ja huoltotoimenpiteistä on huolehdittu valmiiksi.

Pilvipalveluiden käyttäminen tarkoittaa kuitenkin väistämättä sitä, ettei niihin tallennettu tieto ole enää yhtä vahvasti organisaatioiden omassa hallinnassa. Kansallisen turvallisuuden näkökulmasta on tärkeää arvioida, kuinka suuria riippuvuuksia ulkopuolisista palveluntarjoajista voimme hyväksyä. Kaikista kriittisimmän tiedon osalta pilvisiirtymä voi heikentää valtioiden itsemääräämisoikeutta digitaalisessa maailmassa.

MIKÄ PILVI?

Pilvipalveluilla tarkoitetaan mallia, jossa yritykset voivat ostaa tietojenkäsittelykapasiteettia joustavasti kansainvälisiltä palveluntarjoajilta. Kun perinteisesti esimerkiksi verkkopalvelun ylläpitäminen vaati oman fyysisen palvelintietokoneen ja runsaasti ohjelmistoasennuksia, pilvipalveluissa tämän saman saa helposti valmiissa paketissa. Pilvipalveluissa resursseja voi usein helposti kasvattaa tai pienentää, kun käyttäjämäärä muuttuu.

Pilven luotettavuudesta ei voi varmistua

Pilvipalvelut muodostavat tiedon saatavuuden osalta riippuvuuksia palveluntarjoajaan sekä vähentävät mahdollisuuksia varmistua tietojenkäsittelyn tietoturvallisuudesta.

Viime vuosilta on lukuisia esimerkkejä, joissa kaupallisen pilvi-infrastruktuurin viat ovat aiheuttaneet maailmanlaajuisia käyttökatkoja palveluihin. Suurilla kansainvälisillä pilvipalvelutoimittajilla on usein suuri joukko suomalaisia asiakkaita, jolloin palveluntarjoajan järjestelmien vika vaikuttaa välittömästi useisiin suomalaisiin organisaatioihin. Usein käyttökatkot aiheuttavat vain pientä haittaa, mutta kriittisissä tietojärjestelmissä lyhyelläkin vikatilanteella voi olla merkittäviä vaikutuksia.

Pilvipalveluiden käyttäminen heikentää merkittävästi ymmärrystä ja edellytyksiä havaita, ketkä voivat päästä käsiksi pilvessä säilytettävään dataan. Pilvipalveluita tuotetaan usein pitkillä asiakasketjuilla eli useilla alihankkijoilla. Palveluiden tietoturvallisuuden varmistaminen perustuu ensisijaisesti asiakkaan ja tuottajan väliseen sopimukseen eikä asiakkaalla ole teknistä mahdollisuutta varmistaa asiaa. Yritysten omassa hallinnassa olevia palvelimia voidaan auditoida paremmin. 

Pilvipalvelut vaikeuttavat myös viranomaisten mahdollisuuksia muodostaa kokonaiskuvaa Suomeen kohdistuvasta vakoilusta ja vaikuttamisesta. Pilvipalveluun tai pilvipalvelua tarjoaviin yrityksiin kohdistuneet tietoturvaloukkaukset eivät välttämättä ikinä tule asiakkaiden tai Suomen viranomaisten tietoon. Valtiolliset toimijat pyrkivät yhä useammin murtautumaan suuriin pilvipalveluihin ja varastamaan asiakkaiden tiedot tätä kautta.

Euroopassa tietosuojalainsäädäntö määrittelee tarkkoja ehtoja datan säilyttämiselle Euroopassa, mutta ei poissulje mahdollisuutta sille, että tietoon voisi päästä käsiksi Euroopan ulkopuolelta. Palveluntarjoajat ovat monikansallisia yrityksiä ja esimerkiksi  monen pilvipalvelun tietoturvavalvomot on sijoitettu ympäri maailmaa, jolloin palvelimia voidaan hallinnoida myös Euroopan ulkopuolella. Ulkomaiset palveluntuottajat toimivat myös kotipaikkansa lakien ja sääntelyn alaisuudessa. Etenkin suurvaltojen lainsäädäntö mahdollistaa viranomaisille laajoja toimivaltuuksia yksityisten yritysten asiakkaiden dataa myöten.

Valtioiden kriittisessä tiedossa on voitava täysin luottaa tiedon eheyteen eli siihen, ettei sitä ole manipuloitu. Kyse on pienestä, mutta hyvin perustavanlaatuisesta kysymyksestä. Viranomaistoiminnan uskottavuus voi olla koetuksella, jos valtionhallinnon tietojenkäsittely on riippuvaista ulkomaisista palveluntarjoajista ja syntyy edes virheellinen epäily tiedon luotettavuudesta.

Suomi tarvitsee omia pilviratkaisuita

Pilvisiirtymää on syytä tarkastella huolellisesti kokonaisuutena. Etenkin valtionhallinnon kriittisimmän tiedon osalta pitää arvioida tarkasti, ettei Suomen kansalliselle turvallisuudelle muodostu tarpeettomia riskejä. Riskin muodostavia digitaalisia riippuvuuksia tulee pyrkiä vähentämään. 

Pilviratkaisuja hyödyntävien organisaatioiden olisi hyvä pohtia, pysähtyykö esimerkiksi yrityksen koko liiketoiminta käyttökatkoihin ja kuinka pitkiä vikatilanteita se voi sietää. Monesti tieto myös varmuuskopioidaan pilveen, vaikka paikalliset varmuuskopiot voisivat olla jossain tilanteissa tarpeellisia. Pilvipalveluiden käytössä tulee myös huomioida mahdollinen riippuvuus yhdestä palveluntarjoajasta. 

Suomi sijaitsee maantieteellisesti Euroopan verkkoinfrastruktuurin reunalla, joten Suomen kansallisen turvallisuuden kannalta olisi eduksi, jos kriittiset tietojärjestelmämme eivät olisi riippuvaista muista valtioista tai pitkistä tietoliikenneyhteyksistä. Kilpailukykyistä suomalaista – tai edes eurooppalaista – vaihtoehtoa kansainväliselle pilvi-infrastruktuurille on kuitenkin tarjolla hyvin rajallisesti.

Datakeskukset voivat olla pehmeän vaikuttamisen väline

Pilvi muodostuu käytännössä tavallisista palvelimista, joita on koottu ympäri maailmaa sijaitseviin datakeskuksiin. Suomi on houkutteleva sijainti datakeskuksille viileän ilmaston, jäähdytysveden saatavuuden, vakaan yhteiskunnan ja edullisen sähkön vuoksi. Suomessa on tällä hetkellä kymmeniä merkittäviä datakeskuksia. Julkisuudessa on viimeisen vuoden aikana keskusteltu erityisesti ulkomaisessa omistuksessa oleviin datakeskushankkeisiin liittyvistä riskeistä.

Ulkomaiset investoinnit ovat välttämättömiä Suomelle, mutta niitä voidaan joutua punnitsemaan tarkemmin etenkin, jos investoinneissa on kytköksiä autoritaarisiin maihin. Autoritaariset maat voivat pyrkiä kasvattamaan taloudellista vaikutusvaltaansa ja saamaan jalansijaa eri valtioiden yritysverkostoissa. Myös datakeskuksia voidaan käyttää tällaisena pehmeän vaikuttamisen välineenä. 

Datakeskus Suomessa voi mahdollistaa pääsyn länsimaiseen vientivalvottuun teknologiaan, kuten laskentasiruihin sekä laskentatehon ostamiseen. Autoritaariset maat voivat hyödyntää näitä esimerkiksi tekoälynsä kehittämiseen, simulaatiolaskentaan ja uusien materiaalien kehittämiseen. Monet ulkomaisessa omistuksessa olevat datakeskukset  tuottavat myös kaukolämpöä, jolloin niistä voi tulla keskeinen osa paikallista kriittistä infrastruktuuria ja ne voivat muodostaa taloudellisen riippuvuuden. Jos datakeskustoimija onnistuu peittämään yhteytensä autoritaariseen valtioon, voi se vaarantaa suomalaista dataa.