Valtiovarainministeriö julkaisi lokakuussa valtionhallinnon päivitetyt pilvipalvelulinjaukset. Uusissa linjauksissa ja niiden perusteluissa on pyritty selkeyttämään eri tietoluokkia sisältävien tietojen käsittelyyn liittyviä periaatteita kansainvälisissä julkipilvipalveluissa.
Tiedonluokittelua valtionhallinnossa ohjataan säädöksillä (mm. Suomen perustuslaki, Laki viranomaisten toiminnan julkisuudesta, Valtioneuvoston asetus asiakirjojen turvallisuusluokittelusta valtionhallinnossa, EU:n yleinen tietosuoja-asetus). Näiden perusteella voidaan tunnistaa mm. seuraavat osin päällekkäin menevät tietoluokat: ’julkinen tieto’, ’tieto, johon ei sovelleta julkisuuslakia’, ’salassa pidettävä tieto’, ’turvallisuusluokiteltu tieto’, ’henkilötieto’ ja ’salassa pidettävä henkilötieto’.
Onko turvallisuusluokiteltu tieto turvassa pilvessä?
Toistaiseksi pilvipalvelujen hyödyntämistä on rajoittanut erityisesti tietosuojaa koskevan lainsäädännön tulkintaa koskevat epäselvyydet sekä Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) asettamat erittäin tiukat vaatimukset turvallisuusluokkaan IV (TLIV) luokitellun tiedon käsittelylle. Nyt päivitetyt valtionhallinnon pilvilinjaukset ovat tuoneet valonpilkahduksen erityisesti TLIV-tiedon osalta.
Salaus korottaa pilvipalveluiden tietoturvaa.
Päivitettyihin pilvipalvelulinjauksiin on saatu aiempien erittäin tiukkojen vaatimusten rinnalle uusi käytännöllisempi tulkinta: ”Käytännössä voidaan katsoa riittävän salauksen olevan riittävä suojauskeino tiedon oikeudettoman käytön estämiseksi. Salauksen voidaan katsoa olevan rinnakkainen suojauskeino turva-alueen kanssa”. Salauksesta on siis tulossa keskeinen pilvipalveluiden tietoturvaa korottava ratkaisu, jolla voidaan varmistaa, että turvallisuusluokiteltu tieto on turvassa pilvessä. Valtori onkin käynnistänyt näiden ratkaisujen kehittämisen yhteistyössä asiakkaidensa kanssa.
Kuitenkin uudistetuissakin linjauksissa on mahdollisesti erittäin kova vaatimus: ”Tiedon salaamisessa ja sen siirtämisessä pilvipalveluun tulee huomioida, että tiedon on oltava salattuna koko sen elinkaaren ajan” . Tästä vaatimuksesta on käynnistynyt uusi tulkintakeskustelu, mitä perustelun teksti käytännössä tarkoittaa. Tiukimmillaan se tarkoittaisi sitä, ettei TLIV-tieto saa olla pilvipalvelussa edes käsittelyn aikana salaamattomassa muodossa. Joka tapauksessa olemme päässeet askeleen eteenpäin, ja tähän jäänee liikkumavaraa organisaatioiden omille jäännösriskipäätöksille.
Luottamuksellisuustunnisteet tiedon luokittelun ja suojaamisen avuksi
Microsoftin palveluissa tiedon luokitteluun voidaan käyttää luottamuksellisuustunnisteita (sensitivity label), jotka auttavat suojaamaan luottamuksellista tietoa luvattomalta käytöltä, jakamiselta tai vuotamiselta. Tunnisteilla voidaan merkitä sekä yksittäisiä tiedostoja että kokonaisia sivustoja tai Teams-tiimejä. Tunnisteisiin on mahdollista liittää tietoturvaa korottavia toimintoja. Näitä ovat mm. jakamisen, tulostamisen tai tallentamisen rajoittaminen sekä salaaminen. Esimerkiksi TLIV-tunnisteella merkityt tiedostot on mahdollista salata omilla salausavaimilla ennen pilveen tallentamista ja niiden tallentaminen pilveen ilman salausta estää.
Salauksella on kuitenkin myös varjopuolensa. Dokumenttien salaaminen niin, ettei tieto ole lainkaan salaamattomana pilvipalvelun käytössä rajaa merkittävästi pilvipalvelujen hyödyntämismahdollisuuksia. Tällöin esim. edistyksellisten tekoälyyn perustuvien palveluiden käyttö voi jäädä haaveeksi. Tämän vuoksi vahvinta salausta kannattaa hyödyntää harkiten ja kohdentaa sitä esimerkiksi vain TLIV-luokiteltuun aineistoon.
Yhteinen malli luottamuksellisen tiedon suojaamiseen.
Luottamuksellisuustunnisteet ja erityisesti niihin liittyvät tietoturvaa parantavat ominaisuudet voivat muodostua haasteeksi myös silloin, kun tehdään virastojen välistä yhteistyötä. Erityisesti M365-kollaboraatiopalveluissa eri toimijoiden välinen yhteistyö voi käydä hankalaksi, mikäli luottamuksellisuustunnisteiden nimet ja toiminnot poikkeavat toisistaan ja pahimmassa tapauksessa toiminnot voivat jopa estää yhteistyön. Tämän problematiikan vuoksi olemme lähteneet Valtorin asiakasvirastojen kanssa määrittelemään yhteistä sabluunaa luottamuksellisuustunnisteiden hyödyntämiselle M365-palveluissa.
Yhteistyö ja kehitys näiden teemojen ympärillä siis jatkuu. Henkilökohtaisesti olen ollut erittäin tyytyväinen Valtorin asiakasneuvottelukunnan alaisten pilviyhteistyöryhmien toimintaan. Joidenkin kuluvan vuoden teemojen edistäminen jatkuu myös ensi vuonna, mutta luvassa on myös uusia mielenkiintoisia teemoja seuraavien kehitysaskelten saavuttamiseksi.
Kirjoittaja
Marita Risku
Neuvotteleva virkamies
Valtioneuvoston kanslia, IT-yksikkö
* * *
”Yhdessä kohti pilviä” -blogisarja avaa erilaisia näkökulmia valtionhallinnon pilvipalveluiden kehittämiseen. Kirjoittajina toimivat Pilvipalveluiden yhteistyöryhmissä mukana olevat asiantuntijat ja kirjoituksia julkaistaan Näköaloja-blogissa viikon välein.
