Pilvipalvelut julkisella sektorilla Hannu Ojala Julkisen hallinnon tieto- ja viestintätekninen toiminto 28.08.2013
Julkisen hallinnon näkökulma Voidaan tarkastella pilvipalveluiden ja teknologian hyödyntämistä kolmessa eri laajuudessa: - Koko julkinen sektori (valtio ja kunnat) - Valtionhallinto - Julkisen sektorin yksittäisen organisaation näkökulma - Lisäksi on EU digital agenda ja strategia 2
Julkisen hallinnon näkökulma Tietohallintolaki (634/2011) ja sen seurauksena luotava julkisen hallinnon kokonaisarkkitehtuuri (JHKA) ja siihen sisältyvä vaatimus yhteisten palvelujen käytöstä tarjoavat työkaluja ja mahdollisuuksia yhteisten pilvipalvelujen ja teknologioiden käytölle ja hyvien käytäntöjen levitykselle. 3
Digital agenda for EU EU komissio julakaisi 2010 digtal agendan, yksi sen seitsemästä avainalueesta koskee pilvipalveluja: Accelerate cloud computing through public sector buying power. 4
Arkkitehtuuriohjaus Hyviä käytäntöjä voidaan levittää julkisessa hallinnossa mm. määrittämällä viitearkkitehtuureja, joita organisaatiot voivat ottaa pohjaksi luodessaan omia palveluarkkitehtuurejaan. Pilvipalveluihin liittyviä viitearkkitehtuureja ei toistaiseksi ole tehty. 5
Lainsäädäntö ja tietoturva Usein pilvipalveluihin tallennetaan henkilötietoja, tällöin on huomioitava, että mm. henkilötietolain vaatimukset henkilön tietosuojalle toteutuvat. Sensitiivistä tietoa ovat lisäksi mm. maanpuolustukseen ja yritysten liikesalaisuuksiin liittyvä data. 6
Lainsäädäntö ja tietoturva Valtion hallinnossa on käytössä VAHTI ohjeistus, jonka mukaan viranomaisen tietojärjestelmät ja asiakirjat on luokiteltava niiden luottamuksellisuuden ja kriittisyyden perusteella. Luokituksesta on apua, kun suunnitellaan järjestelmien ja tietoaineistojen vientiä pilveen. Kuntasektorilla ei ole vastaavaa ohjeistusta. 7
TIETOTURVALLISUUS JA VARAUTUMINEN Tietoturvallisuus Varautumisen vaatimustaso Korkea taso Korotettu taso Suojaustaso Turvallisuusluokitusmerkintä Perustaso Avoin taso I Erittäin salainen Ei tiedonsiirtoa tietoverkossa II III IV Julkinen Salainen Luottamuksellinen Käyttö rajoitettu Korkea varautuminen ja/tai suojaustaso II Korotettu varautuminen ja/tai suojaustaso III Perustason varautuminen ja suojaustaso IV Perustason varautuminen ja julkinen tieto Jokaisen julkishallinnon viranomaisorganisaation on saavutettava ICTvarautumisen perustaso 3 8
Lainsäädäntö ja tietoturva Suomen henkilötietolain (1999/523) 22 mukaan Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso. Myös Euroopan alueelle tietoja siirrettäessä on pystyttävä takaamaan riittävä tietosuojan taso. USAn kanssa on tehty ns. Safe 9
Lainsäädäntö ja tietoturva Harbor-sopimus, EU komission päätös (2000/520/EY). Ruotsissa on voimassa FRA-laki, joka sallii dataliikenteen salakuuntelun tietyin edellytyksin. USA:sa on voimassa Patriot Act, mahdollistaa pääsyn pilvidataan, jos rikostutkinta tai kansallinen turvallisuus sitä edellyttää. 10
Tavoitellut hyödyt Palvelun skaalautuvuus. Perinteisesti uuden, yhteisen palvelun kehittäminen on vaatinut suuren taloudellisen panostuksen sen elinkaaren alussa mm. palvelinkapasiteettiin. Julkisessa pilvessä saavutetaan usein maksimaalinen skaalaetu, tarjotun palvelun yksikkökustannus saadaan hyvin alhaiseksi. Lisäksi asiakas voi 11
Tavoitellut hyödyt luopua palvelun käytöstä yleensä nopeasti ja edullisesti, esim. jo palvelulle ei tule käyttäjiä riittävästi. Tämä on tietysti huomioitava sopimuksessa. Lisäksi pilvipalvelu voi skaalautua myös kysyntäpiikkien mukaan, esim. kriisitilanteissa. 12
Tavoitellut hyödyt Palvelun hinnoittelu. Perinteisesti palvelun ensimmäiset käyttäjät joutuvat maksamaan kohtuuttomasti palvelusta ja palvelun käyttö leviä hitaasti. Julkisessa pilvessä maksetaan vain palvelun käytöstä, kiinteät kustannukset ovat pienet. 13
Tavoitellut hyödyt Kustannussäästöt: laiteinvestointien ja henkilöresurssien tarve pienenee. Palvelinten ja niiden hallintaan tarvittavat resurssit ja samalla kustannukset vähenevät. Time to market nopeutuu. Palvelut saadaan nopeammin pystyyn ja ne skaalautuvat nopeammin. 14
Haasteita pilvipalvelujen hankinnalle Vendor lock-in: avoimet standardit vähentäisivät tätä riskiä. Tietojen siirto onnistuisi pilvipalvelujen välillä luotettavasti ja palvelusta toiseen vaihtaminen olisi helppoa. Standardisopimusten puute, yleensä suuret toimijat tarjoavat käyttöön omia tarjousmallejaan. 15
Haasteita pilvipalvelujen hankinnalle Yhteisen, vakiintuneen terminologian puute Auditointi, erityisesti suurten toimijoiden palvelinkeskusten auditointi on tehtävä 3 osapuolen (big four) välityksellä. Auditointiraportit usein vaikealukuisia. Sopimuksen päättyessä on varmistuttava, että tiedot poistuvat toimittajan ympäristöstä. 16
Haasteita pilvipalvelujen hankinnalle Suomesta ulospäin suuntautuvien tietoliikenneyhteyksien kapasiteetti ja fyysinen turvallisuus pitää varmistaa, jos pilvipalvelu tuotetaan Suomen ulkopuolella. 17
Caseja julkisella sektorilla Hansel on kilpailuttanut puitesopimuksen pilvipalveluna toteutettavista valtion hallinnon konesali- ja kapasiteettipalveluista. VH organisaatiot voivat halutessaan ottaa palvelun käyttöönsä sopimuksen ehdoin. Palvelun tarjoajalle jää riski volyymistä. Tiera Oy on hankkinut useille kunnille Office365 palveluja. 18
Caseja julkisella sektorilla Forge palvelupaja: pilvipalveluiden luomisen laboratorio. Avoin ympäristö ja yhteisö kaikille kiinnostuneille (Tivit). EU Cloud for Europe. The project identifies obstacles, finds innovative solutions and builds trust in European cloud computing. 2013/6 2016/11. C4E establish suitable contractual terms and conditions for future cloud procurements. 19
Valtion konesali- ja kapasiteettiarkkitehtuuri Hallinnon turvallinen verkko Yhteydet virastoihin Valtion yhteinen verkko Yhteydet virastoihin Yhteydet Internetiin Puolustusvoimien operatiivinen verkko 1 Perustason varautuminen ja julkinen tieto Toimittajien laitetiloista 4 Korkea varautuminen ja suojaustaso II tai III 3 Korotettu varautuminen ja suojaustaso III tai IV 2 Perustason varautuminen ja suojaustaso IV Omista laitetiloista Omista tai toimittajien laitetiloista 20
Pohjoismainen yhteistyö Pohjoismaiden ministerineuvoston alaisena toimii työryhmä, joka on selvittänyt pohjoismaisella tasolla pilvipalvelujen edistämistä. Painopistealueina: jurdiset näkökohdat (mm. esteet) pilvipalveluiden hankinta hyvien käytäntöjen levittäminen 21
Pohjoismainen yhteistyö Tavoitteena mm. edistää hyviä käytäntöjä ja saada neuvotteluvoimaa suurten palvelutarjoajien kanssa käytävään vuoropuheluun ja yleensä tulla noteeratuksi (MS, Google, Amazon, IBM ym.) Yhteiset hankinnat, toistaiseksi vain tavoite Yhteiset sopimusmallit, Ruotsi on 22
Pohjoismainen yhteistyö panostanut paljon sopimusmallien luomiseen ja pilvipalvelujen kilpailuttamiseen. Toistaiseksi tavoite. Erot lainsäädännössä, esim. identifioiko IP-tunnus henkilön. Ruotsissa ínternetin salakuuntelu tietyissä tilanteissa mahdollista. 23
Pilvipalvelujen vaikutus kansantalouteen Lyhyellä aikavälillä pilviteknologian käyttöönotto vähentää työpaikkoja, USAssa arvioitu 200 000 vähennys. Pitkällä aikavälillä mm. innovaatioiden, uusien sähköisten palvelujen ja tuottavuuden kasvun arvioidaan korvaavan menetykset. Julkisen pilven palvelujen liikev. EUssa kasvaa 30 % /a, 11 000 000 000 /2014 24
LISÄTIETOA: Vm.fi Yhteentoimivuus.fi Norden.org Kiitoksia! Hannu.ojala@vm.fi 25