Digitaalinen suvereniteetti ja kyberturvallisuus nousevat yhä useammin keskusteluun, mutta harvemmin pysähdytään miettimään, mitä niillä oikeastaan tarkoitetaan käytännössä. Suvereniteetti liitetään helposti pilvipalveluihin, datan sijaintiin tai regulaatioon, vaikka todellisuudessa kyse on paljon laajemmasta asiasta.

Digitaalinen suvereniteetti ei tarkoita eristäytymistä tai teknologian rajaamista, vaan kykyä ymmärtää, hallita ja johtaa omaa digitaalista toimintaympäristöä myös silloin, kun riippuvuudet, teknologia tai geopoliittinen tilanne muuttuvat.

Maaliskuun Kybertutkassa aiheesta keskustelivat CGI:n tietoturva- ja kyberturvallisuuspalveluista vastaava johtaja Matti Vesterinen, kyberturvakonsultointipalveluiden johtaja Anne Hintzell sekä johtava digitalisaatioasiantuntija Tommi Gynther.

 

Keskustelussa nousee nopeasti esiin yksi keskeinen näkökulma: kyse ei ole teknologiasta, vaan päätösvallasta.

“Kyse on siitä, kuka viime kädessä päättää kyvykkyyksien käytöstä. Historiallisesti digitalisaatiota on rakennettu tehokkuus edellä: valitaan parhaat palvelut globaalisti, optimoidaan kustannuksia ja hyödynnetään valmiita ratkaisuja. Digitalisaatiota on tehty pitkään hankinta- ja tehokkuusnäkökulmasta, ei niinkään itsenäisyyskysymyksenä”, Gynther sanoo.

Maailman muuttuessa näkökulma on laajentunut. Kyse ei ole enää vain siitä, mikä on tehokkain ratkaisu, vaan siitä, kuinka riippuvaisia olemme valinnoistamme ja pystymmekö tarvittaessa muuttamaan suuntaa. Toisin sanoen suvereniteetti ei näy valinnoissa silloin, kun kaikki toimii, vaan siinä, mitä vaihtoehtoja on jäljellä silloin, kun tilanne muuttuu.

“Mulle tässä herää ennen kaikkea omistajuuden ja vastuun kysymys. Pitää olla ymmärrys siitä, mikä oma kokonaisuus on eli mitä pitää hallita, mitä johtaa ja mistä ollaan vastuussa. Tämä on johtamiskysymys, mutta myös kykyä ottaa vastuuta siitä, milloin nojataan kumppaneihin ja milloin ei”, Hintzell täydentää.

Hintzellin näkökulma siirtää keskustelun teknologiavalinnoista kohti johtamista ja kokonaisuuden hallintaa. Samalla se paljastaa toisen keskeisen haasteen: digitaalista suvereniteettia tarkastellaan usein liian kapeasti.

“Ja ehkä keskustelu on tällä hetkellä vähän liian kapeaa. Puhutaan paljon pilvipalveluista ja datan sijainnista, vaikka suvereniteettiin liittyy paljon muutakin, kuten kustannukset, vendor lock-in ja ylipäätään se, missä riippuvuudet syntyvät. Ei tämä ole kysymys siitä, onko on-prem vai pilvi, vaan siitä, miten kokonaisuutta hallitaan”, Gynther jatkaa.

Kyberturvallisuus tuo digitaalisen suvereniteetin käytäntöön

Digitaalinen suvereniteetti jää helposti abstraktiksi käsitteeksi. Kyberturvallisuuden kautta se konkretisoituu nopeasti: ei uutena ilmiönä, vaan tuttujen perusasioiden kautta.

“Mulle tämä näyttäytyy käytännössä riskienhallintana, ihan vanhana kunnon klassikkona”, Hintzell kiteyttää.

Hintzell vie keskustelun suoraan ytimeen: organisaatioiden roolit, vastuut ja toimintaympäristöt ovat erilaisia, ja siksi myös ratkaisut vaihtelevat. Kaikki data ei ole samanlaista, eivätkä kaikki kumppanit ole samanlaisia, eikä niiden pidäkään olla. Kaikki lähtee siitä, että tiedät, mitä sinulla on ja mitä sinun pitää hallita ja suojata.

Keskiössä ovat tutut kysymykset:

  • Mitä dataa meillä on
  • Missä se sijaitsee
  • Kuka siihen pääsee käsiksi
  • Mitä riippuvuuksia meillä on kumppaneihin

Digitaalinen suvereniteetti ei siis vaadi uusia konsepteja, vaan kykyä tehdä perusasiat systemaattisesti ja viedä ne läpi koko ekosysteemin. Gynther vie keskustelun seuraavaan vaiheeseen: mitä tapahtuu, kun tilanne muuttuu.

“Me tehdään päätöksiä ja valitaan kumppaneita, joihin luotetaan. Mutta jos tilanne muuttuu ja halutaan pois, siihen pitää olla kyky. Se on myös digitaalista suvereniteettia.”

Riskit syntyvät monimutkaisuudesta, eivät yksittäisistä päätöksistä

Digitaalinen suvereniteetti kaventuu usein pilveen tai datan sijaintiin. Todellinen kysymys on:

  • ymmärrämmekö riippuvuudet
  • hallitsemmeko niitä
  • ja pystymmekö toimimaan myös poikkeustilanteissa

Riskit eivät synny yksittäisistä valinnoista, vaan kokonaisuuden monimutkaisuudesta ja erityisesti siitä, että näkyvyys ei kata koko ympäristöä.

Hintzell tuo tämän käytäntöön: “Tiedon luokittelu on edelleen yksi tärkeimmistä asioista. Pitää ymmärtää, mitä dataa meillä on, mikä on sen kriittisyys ja mitä pitää suojata. Sama pätee työkuormiin, sillä kaikki eivät ole samanarvoisia, osa pidetään omissa käsissä ja osa voidaan ulkoistaa.”

Monimutkaisuus kasvaa erityisesti pääsynhallinnassa.

“On helppo tietää, ketkä ovat omia työntekijöitä. Mutta kun mukaan tulee kumppaneita ja toimitusketjuja, kokonaiskuva hämärtyy nopeasti. Kenellä on pääsy mihinkin – ja tiedämmekö sen oikeasti?”

Ilman systemaattista hallintaa organisaatio ei hallitse kokonaisuutta, vaan ainoastaan osia siitä.

Gynther palauttaa keskustelun suvereniteetin ytimeen: “Cloud first on perustunut ajatukseen, että keskinäisriippuvuus lisää turvallisuutta. Mutta elämmekö enää samassa ajassa? Kaikkia tarvitaan – joskus pilveä, joskus jotain muuta. Oleellista on, että pystytään liikkumaan tilanteen mukaan.”

Suvereniteetti ei ole valinta pilven ja konesalin välillä, vaan kyky toimia molemmissa ja siirtyä niiden välillä tarvittaessa. Jos organisaatio ei tiedä, missä data on, kenellä siihen on pääsy ja miten riippuvuudet rakentuvat, suvereniteetti jää oletukseksi.

Hybridiympäristö lisää vaatimuksia, ei poista vastuuta

Keskeinen harhaluulo on, että kontrolli siirtyy palveluntarjoajalle. Todellisuudessa vastuu säilyy organisaatiolla, vaikka toteutustapa muuttuu. Kyse ei ole valinnasta pilven ja konesalin välillä, vaan kyvystä käyttää molempia tilanteen mukaan.

“Kaikkia tarvitaan. Jos tilanne on vakaa, voidaan olla pilvessä. Jos tilanne muuttuu, voi olla tarve siirtyä toiseen ympäristöön. Se on aina tilannekohtaista”, Gynther sanoo.

Sama pätee riskienhallintaan: ympäristö ei määritä riskiä, vaan se, kuinka hyvin organisaatio ymmärtää kokonaisuutensa ja siihen liittyvät riippuvuudet.

Hintzell nostaa esiin arkkitehtuurin haasteen: “Kun ympäristö rakentuu ajan myötä, mukana on sekä uusia että vanhoja ratkaisuja. Silloin kokonaisuus monimutkaistuu nopeasti.”

Tämä näkyy suoraan osaamisvaatimuksissa. Perinteisten ympäristöjen tietoturva ja pilven tietoturva ovat osin samoja asioita, mutta käytännössä erilaisia. Tarvitaan sekä arkkitehtuurin hallintaa että syvällistä pilviosaamista.

“Pitää pystyä kehittämään ja muuttamaan ympäristöä tilanteessa kuin tilanteessa”, Gynther lisää. ”Hybridiympäristö ei ole vain tekninen ratkaisu, vaan yhdistelmä valintoja, riippuvuuksia ja osaamista, jota on pystyttävä johtamaan.”

Mistä liikkeelle? Kolme käytännön askelta

Digitaalinen suvereniteetti ei vaadi uusia rakenteita, vaan kykyä hyödyntää olemassa olevia käytäntöjä systemaattisesti. Monessa organisaatiossa perusta on jo olemassa – kysymys on siitä, kuinka johdonmukaisesti sitä hyödynnetään ja kehitetään.

Keskustelun pohjalta kehittäminen voidaan tiivistää kolmeen lähtökohtaan:

  1. Ota kokonaisuus haltuun
    Ymmärrä, mitä organisaatioosi kuuluu: data, järjestelmät, laitteet ja kumppanit. Ilman kokonaiskuvaa ei ole mahdollista johtaa riskejä eikä tehdä tietoisia päätöksiä.

  2. Luo systemaattinen riskienhallinta
    Hyödynnä olemassa olevia johtamismalleja. Käsittele uudet ilmiöt kuten muutkin riskit: arvioi vaikutukset, päivitä linjaukset ja tee tarvittavat päätökset. Tiedon luokittelu, pääsynhallinta ja toimittajahallinta ovat edelleen keskiössä.

  3. Varmista toimintakyky myös poikkeustilanteissa
    Erityisesti exit-suunnittelu on monessa organisaatiossa vielä kesken. Suvereniteetti ei näy normaalitilanteessa, vaan siinä, pystytäänkö toimintaa muuttamaan, kun tilanne sitä vaatii.

Lopulta kyse on luottamuksesta ja kestävyydestä

Digitaalinen suvereniteetti ei ole irrallinen tavoite, vaan osa organisaation kokonaiskyvykkyyttä.

Se rakentuu kyvystä:

  • ymmärtää oma toimintaympäristö
  • hallita riippuvuudet
  • ja tehdä päätöksiä muuttuvassa tilanteessa

Kun nämä ovat kunnossa, syntyy luottamusta, turvallisuutta ja jatkuvuutta. Digitaalinen suvereniteetti ja kyberturvallisuus kulkevat käytännössä käsi kädessä: ilman kyberturvallisuutta ei ole hallintaa, ja ilman hallintaa ei ole suvereniteettia.