Digitaalinen itsenäisyys on noussut viimeisen vuoden aikana yhä näkyvämmäksi teemaksi sekä julkisessa keskustelussa että organisaatioiden strategisessa päätöksenteossa. Erityisesti huomion kohteena ovat olleet pilvipalvelut, joista merkittävä osa on amerikkalaisten teknologiayritysten hallussa. Nämä digitaaliset jättiläiset tarjoavat laajan kirjon palveluita aina perustavanlaatuisesta infrastruktuurista (IaaS) valmiisiin sovelluksiin ja alustoihin (SaaS ja PaaS), ja niiden asema globaalissa digitaalisessa ekosysteemissä on hallitseva.
Keskustelu pilvipalveluiden herättämistä riippuvuuksista ja riskeistä on kuitenkin usein jäänyt pinnalliseksi. Varsin usein oletetaan, että itsenäisyyteen liittyvät ongelmat palautuvat ennen kaikkea tietoturvaan tai tiedon yksityisyyteen: pelätään, että palveluntarjoaja murtaa tietoturvan, luovuttaa tietoja kolmansille osapuolille tai hyödyntää pilvessä olevaa dataa omiin kaupallisiin tai muihin tarkoituksiinsa. Tällaiset huolenaiheet ovat ymmärrettäviä, mutta monella tavalla epärealistisia.
On toki totta, että väärinkäytökset ovat periaatteessa mahdollisia. En kuitenkaan pidä tätä kaikkein todennäköisimpänä tai keskeisimpänä ongelmana. Nykyaikaisilla, hyvin toteutetuilla tietoturvakäytännöillä – kuten vahvalla salauksella, huolellisella käyttöoikeuksien hallinnalla ja sopimuksellisilla suojamekanismeilla – voidaan turvata kohtuullinen tietoturvan ja yksityisyyden taso, vaikka käytössä olisi amerikkalainen pilvipalvelu. Ainakaan yksittäisen organisaation näkökulmasta tämä ei useimmiten ole kriittinen kysymys.
Tärkein haaste liittyy rakenteelliseen riippuvuuteen ja vallankäyttöön. Kun keskeinen digitaalinen infrastruktuuri, datan käsittely ja liiketoimintakriittiset sovellukset ovat riippuvaisia muutaman globaalin toimijan tarjoamista palveluista, siirtyy päätösvaltaa huomaamatta pois käyttäjiltä ja organisaatioilta. Kyse ei ole niinkään tämän päivän ongelmista ja riskeistä vaan siitä, mitä huomenna voisi tapahtua – tai mitä kotivaltio voi pilvipalvelun tarjoajalta vaatia milloin tahansa tulevaisuudessa.
Pilvipalveluiden itsenäisyys onkin ennen kaikkea strateginen ja poliittinen kysymys, ei pelkästään tekninen. Erityisesti julkisten organisaatioiden pitää säilyttää kyky tehdä omia valintoja, hallita omaa digitaalista kehitystään ja välttää tilanteita, joissa vaihtoehtojen puute pakottaa hyväksymään ulkopuolelta määräytyvät ehdot. Digitaalinen itsenäisyys ei ole vain suojautumista uhkia vastaan, vaan myös aktiivista kyvykkyyttä rakentaa kestäviä ja joustavia digitaalisia ratkaisuja omista lähtökohdista ja omia tarpeita varten.
Kysymys ei siis lopulta ole vain teknologiasta, tietoturvasta ja yksityisyydestä, vaan ennen kaikkea vallasta, riippuvuuksista ja tulevaisuuden liikkumavarasta. Juuri tästä meidän pitäisi keskustella.
Sähköpostipalvelu konkreettisena esimerkkinä
Konkreettinen esimerkki pilvipalveluihin liittyvästä itsenäisyyskysymyksestä on amerikkalaisen sähköpostipalvelun käyttö viranomaisviestinnässä. Sähköposti on edelleen yksi keskeisimmistä hallinnon viestintävälineistä: sen kautta kansalaiset ja viranhaltijat välittävät päätöksiä, valmistelumateriaalia ja erilaista tietoa, joka voi olla myös arkaluonteista tai luottamuksellista. Kun tällainen viestintä nojaa ulkomaisen, Yhdysvaltoihin sijoittuvan palveluntarjoajan infrastruktuuriin, kysymys itsenäisyydestä konkretisoituu.
Teknisesti tarkasteltuna amerikkalainen sähköpostipalvelu voi olla erinomaisesti suojattu. Viestit voivat olla salattuja, palvelu auditoitu ja käyttöoikeudet huolellisesti hallittuja. Ongelma ei tällöinkään ole välitön tietoturvan pettäminen, vaan se, että viestinnän keskeinen infrastruktuuri sijaitsee toisen valtion lainsäädännön ja viranomaistoimivallan piirissä. Tämä tarkoittaa, että viime kädessä palveluntarjoajaa koskevat velvoitteet määräytyvät sen kotimaan lakien perusteella, eivät viestintää harjoittavan viranomaisen tarpeista tai eurooppalaisesta oikeusjärjestyksestä käsin. Esimerkiksi USA:n Cloud Act (2018) määrittää amerikkalaisten yritysten velvollisuuksien olevan palvelinten sijainnista riippumattomia.
Voiko julkinen valta uskottavasti väittää hallitsevansa omaa toimintaansa ja viestintäänsä, jos sen keskeiset digitaaliset työkalut ovat ulkopuolisen toimijan kontrollissa? Vaikka riski ei koskaan realisoituisi käytännössä, pelkkä mahdollisuus siihen, että ulkopuolinen taho voi vaikuttaa palvelun saatavuuteen, ehtoihin tai tietojen käsittelyyn, kaventaa toiminnan strategista autonomiaa.
Lisäksi sähköposti on hyvä esimerkki arkipäiväisestä riippuvuudesta. Kun koko organisaation viestintä, kalenterit ja dokumenttien jakaminen kytkeytyvät yhteen tiettyyn amerikkalaiseen pilvipalveluun, irtautuminen siitä muuttuu ajan myötä yhä vaikeammaksi. Tekninen lukkiutuminen yhdistyy organisatoriseen ja kulttuuriseen lukkiutumiseen: toimintatavat, prosessit ja osaaminen muotoutuvat palveluntarjoajan ehdoilla. Tällöin kyse ei ole enää yksittäisestä teknologiavalinnasta, vaan pitkälle tulevaisuuteen menevästä, viranomaisten toimintakykyyn vaikuttavasta sitoutumisesta.
Amerikkalaisen sähköpostipalvelun käyttö viranomaisviestinnässä näyttää miksi pilvipalveluiden itsenäisyyskysymys ei ole vain abstrakti tai ideologinen huoli. Se näkyy konkreettisissa arjen käytännöissä ja pakottaa pohtimaan, kenellä on todellinen määräysvalta julkisen vallan digitaalisista perustoiminnoista.
Yhdysvaltojen sanktiot konkreettisena riskinä
Vielä vakavammaksi rakenteellinen riippuvuus amerikkalaisista pilvipalveluista muuttuu, kun tarkasteluun tuodaan Yhdysvaltojen asettamat talous- ja henkilösanktiot sekä niiden käytännön vaikutukset globaaleihin teknologiayrityksiin. Yhdysvaltalaiset yritykset ovat velvollisia noudattamaan kotimaansa lainsäädäntöä ja viranomaisten määräämiä pakotteita riippumatta siitä, missä niiden asiakkaat sijaitsevat tai mihin tarkoitukseen palveluja käytetään.
Tämä ei ole hypoteettinen riski, vaan todellinen ilmiö. Vuonna 2020 Yhdysvallat asetti pakotteita Kansainvälisen rikostuomioistuimen (ICC) korkeille virkamiehille, koska se piti tuomioistuimen käynnistämiä tutkintoja poliittisesti motivoituneina. Vaikka kyseiset pakotteet sittemmin purettiin, tapaus osoitti selvästi, että pakotteita voidaan kohdistaa myös kansainvälisiin oikeusinstituutioihin ja niiden edustajiin.
Vuonna 2025 Yhdysvaltojen määräämät pakotteet katkaisivat ICC:n pääsyyttäjän ja hänen henkilökuntansa pääsyn amerikkalaisiin sähköposteihin ja muihin verkossa oleviin palveluihin, mukaan lukien pankki- ja matkavarauspalvelut. Lähes kaikki digitaalinen toiminta muuttui mahdottomaksi näille henkilöille. Pilvipalvelut katkaisivat pääsyn pakotelainsäädännön noudattamiseksi, ei teknisen vian tai tietoturvaloukkauksen vuoksi. Amerikkalaiset yritykset noudattivat lainsäädäntöään, mutta poliittisesti ja institutionaalisesti tilanne on hyvin paljastava.
Suomen kunnista noin 77 % käyttää Microsoftin pilvipohjaista sähköpostia. Jos viranomaisille, kunnallispoliitikoille tai poliittisille ryhmittymille asetettaisiin sanktioita, vaikutukset mahdollisista pakotepäätöksistä tai muista oikeudellisista rajoitteista olisivat kunnallisen itsehallinnon kannalta mahdottomia. Kyse ei olisi yksittäisen käyttäjän tai organisaation ongelmasta, vaan koko paikallishallinnon viestintäkyvyn häiriöstä. Juuri tämä erottaa pilvipalveluiden itsenäisyyden riskin tavallisesta tietoturvariskistä: se on systeeminen, ei operatiivinen.
Vertailu Suomen kuntiin ei tarkoita, että suomalaisviranomaiset olisivat realistisesti pakotelistojen kohteena. Oleellista on analogia: kun viestinnän ja hallinnon perusinfrastruktuuri on ulkoistettu amerikkalaiselle pilvipalvelulle, sen käytettävyys on viime kädessä sidottu Yhdysvaltojen ulkopoliittisiin ja oikeudellisiin päätöksiin. ICC:n tapauksessa tämä riippuvuus realisoitui äärimmäisessä muodossa, mutta sama mekanismi on periaatteessa olemassa myös vähemmän dramaattisissa tilanteissa.
ICC:n tuomareihin ja syyttäjiin kohdistuneet sanktiot osoittavat, että digitaalinen infrastruktuuri voi muuttua ulkopolitiikan välineeksi ilman, että yksikään tekninen turvamekanismi pettää. Palvelu voi lakata toimimasta milloin tahansa – täysin laillisesti ja sopimusten mukaisesti. Tämä tekee pilvipalveluiden itsenäisyyskysymyksestä olennaisesti oikeudellisen ja geopoliittisen, ei vain teknisen.
Amerikkalaiseen sähköpostialustan käyttö Suomen kunnissa asettuu outoon valoon. Sähköposti on viranomaisviestinnän väline. Kyse ei ole vain tehokkuudesta, kustannuksista tai käyttäjäystävällisyydestä. Voiko julkinen valta hyväksyä tilanteen, jossa viranomaisviestinnän perusedellytykset voivat olla toisen valtion poliittisten päätösten varassa? Korostan vielä kuitenkin, että ICC:n tapaus ei ole varoitus siitä, mitä todennäköisesti tapahtuu, vaan esimerkki siitä, mikä on mahdollista.
Kari Smolander on ohjelmistotuotannon professori LUT-yliopistossa. Hänontutkinut erityisesti organisaatioiden tietojärjestelmien kehittämistä, niiden arkkitehtuureja ja alustakysymyksiä. Ensimmäisen juttunsa Sytyke sanomiin hän kirjoitti vuonna 1990.
