Suvereeni pilvi puolustukselle: EU:n vaihtoehdot Yhdysvaltain hyperscalereille

Eurooppalaiset puolustusorganisaatiot, jotka luottavat Yhdysvaltain pilvi-hyperscalereihin — Amazon Web Services, Microsoft Azure, Google Cloud Platform — kohtaavat suvereeniusriskin, joka on ollut pääosin teoreettinen viime aikoihin asti: Yhdysvaltain hallituksen kyky pakottaa nuo palveluntarjoajat paljastamaan ulkomaisten hallitusten ja armeijoiden tallentama data tai rajoittamaan palvelujen käyttöä Yhdysvaltain vientivalvonnan tai seuraamusjärjestelmien nojalla.

CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) antaa Yhdysvaltain liittovaltion lainvalvontaviranomaisille mahdollisuuden pakottaa yhdysvaltalaiset pilvipalveluntarjoajat tuottamaan missä tahansa maailmassa tallennettua dataa riippumatta paikallisista tietosuojalaeista. Eurooppalaiselle puolustusdatalle — jopa luokittelemattomalle operatiiviselle datalle — tämä luo oikeudellisen reitin Yhdysvaltain hallituksen pääsyyn, joka on yhteensopimaton tietojen suvereeniusvaatimusten kanssa. Riski ei ole teoreettinen: EU:n tuomioistuimet ovat toistuvasti kyseenalaistaneet EU-US-tiedonsiirtojen oikeusperustan juuri CLOUD Act -altistumisen vuoksi.

Suvereeniusongelma Euroopan puolustukselle

Yhdysvaltain hyperscaler-infrastruktuurilla toimivien eurooppalaisten puolustusorganisaatioiden suvereeniushuoli on kolmiulotteinen: pakotettu paljastaminen (CLOUD Act ja vastaavat oikeudelliset välineet mahdollistavat Yhdysvaltain hallituksen pääsyn dataan), yksipuoliset palvelurajoitukset (seuraamusjärjestelmät tai poliittiset päätökset voivat johtaa siihen, että yhdysvaltalaiset palveluntarjoajat rajoittavat tai lopettavat palvelun tietyille eurooppalaisille tahoille) ja teknologiariippuvuus (syvä tekninen integrointi omistuksellisiin Yhdysvaltain pilvipalveluihin luo vaihtokustannuksia ja strategisia riippuvuuksia, jotka ovat geopoliittisesti ongelmallisia puolustusorganisaatioille).

Ensimmäinen ulottuvuus on oikeudellinen ja pysyvä — se on inhärenttinen hyperscaler-palveluntarjoajien Yhdysvaltain yritysrakenteessa eikä sitä voi lieventää pelkästään sopimuspohjaisilla tietojen asuinpaikkalausekkeilla. Toinen ulottuvuus on tällä hetkellä hypoteettinen eurooppalaisille liittolaisille, mutta geopoliittinen ympäristö on muuttunut riittävästi, että pitkäikäisiä infrastruktuuripäätöksiä tekevien puolustusorganisaatioiden on harkittava skenaarioita, joissa Yhdysvaltain ja EU:n poliittiset suhteet heikkenevät. Kolmatta ulottuvuutta voidaan hallita harkittujen arkkitehtuurivalintojen kautta, mutta se edellyttää disipliiniä alusta alkaen.

EU:n suvereeni pilvimaisema

OVHcloud SecNumCloud-sertifioinnilla on johtava ranskalainen pilvipalveluntarjoaja ANSSI:n korkeimmalla pilviturvallisuussertifioinnilla (SecNumCloud, qualifié niveau élevé). SecNumCloud edellyttää, että palveluntarjoaja on EU-yhteisöjen hallinnassa, tietojenkäsittely pysyy Euroopan oikeudellisessa toimivallassa, ja palveluntarjoajan infrastruktuuri ja toiminta ovat Ranskan/EU:n viranomaisten tarkastettavissa. OVHcloud operoi datakeskuksia ympäri Eurooppaa ja tarjoaa IaaS-, PaaS- ja hallitun Kubernetesin palveluja. Sen SecNumCloud-sertifiointi tekee siitä uskottavimman EU-suvereeniusvaihtoehdon Ranskan puolustuksen ja hallituksen kuormituksille sekä yhä enenevässä määrin EU:n laajuisille puolustusohjelmille, jotka priorisoivat suvereeniyttä.

DELOS Cloud (T-Systemsin/Deutsche Telekomin kumppanuus Microsoftin kanssa) on saksalainen suvereeniuspilvi, joka ajaa Azure-palveluja T-Systemsin (Deutsche Telekomin tytäryhtiö) omistamalla ja hallitsemalla infrastruktuurilla Saksan lain mukaisesti, teknisellä trustee-järjestelyllä, joka on suunniteltu estämään Yhdysvaltain hallituksen CLOUD Act -pääsy. DELOS-malli mahdollistaa pääsyn Microsoftin pilvipalveluportfolioon — mukaan lukien Entra ID, Azure Kubernetes Service ja Azure Monitor — käsitellen tietojen suvereeniushuolen trustee-rakenteen kautta. BSI (Bundesamt für Sicherheit in der Informationstechnik) on osallistunut DELOS-arkkitehtuurin turvallisuusarviointiin.

Hetzner ja IONOS ovat saksalaisia pilvipalveluntarjoajia, jotka tarjoavat suoraviivaista EU-toimivaltaista IaaS:ia ilman yhdysvaltalaisia emoyhtiörakenteita. Niiltä puuttuu suurten hyperscalereiden hallittujen palveluiden laajuus eivätkä ne vastaa OVHcloud SecNumCloudin tai DELOSin turvallisuussertifioinnin syvyyttä, mutta puolustuskuormituksille, joilla on vaatimattomia pilvipalveluvaatimuksia ja vahvoja suvereeniusrajoituksia, ne tarjoavat puhtaan oikeudellisen aseman. Molemmat pitävät ISO 27001 -sertifioinnin ja tavoittelevat lisää EU-sertifiointiohjelmia.

GAIA-X: Mitä se todella toimittaa

GAIA-X, joka käynnistettiin vuonna 2019 ranskalais-saksalaisena aloitteena ja laajennettiin laajemmaksi EU-pyrkimykseksi, pyrkii luomaan federoitua, yhteentoimivaa eurooppalaista pilvi-infrastruktuuriekosysteemiä. On tärkeää olla tarkka siitä, mitä GAIA-X on ja ei ole.

GAIA-X ei ole pilvipalveluntarjoaja — se ei operoi tietokoneinfrastruktuuria. Se on hallinto- ja standardikehys: joukko spesifikaatioita siitä, miten pilvipalveluntarjoajat ja datapalvelut voivat rekisteröidä tarjouksensa, sertifioida vaatimustenmukaisuutensa tietohallintavaatimuksiin ja osallistua federoituihin markkinapaikkoihin. GAIA-X Trust Framework määrittää vaatimukset tietojen suvereeniudelle, siirrettävyydelle, läpinäkyvyydelle ja yhteentoimivuudelle, jotka palveluntarjoajien on täytettävä GAIA-X-vaatimustenmukaisuusetikettien näyttämiseksi.

Puolustushankinnalle GAIA-X-vaatimustenmukaisuus on indikaattori — ei takuu — EU:n suuntautuneesta suvereeniusasemasta. Palveluntarjoaja, joka on saavuttanut GAIA-X-vaatimustenmukaisuuden, on alistunut määriteltyyn hallintokehykseen, mutta GAIA-X-vaatimustenmukaisuus ei korvaa kansallisia turvallisuussertifikaatioita kuten SecNumCloud tai BSI C5. Puolustusorganisaatioiden tulisi kohdella GAIA-X-statusta yhtenä datapisteinä laajemmassa toimittaja-arvioinnissa, ei riittävänä pätevyyskriteerinä sinänsä.

EUCS: Eurooppalainen kyberturvallisuuden sertifiointiohjelma pilville

Eurooppalainen kyberturvallisuuden sertifiointiohjelma pilvipalveluille (EUCS) on ENISA:n (Euroopan unionin kyberturvallisuusvirasto) kehitteillä EU:n kyberturvallisuuslain nojalla. EUCS luo harmonisoidun pilviturvallisuuden sertifiointiohjelman EU:n jäsenvaltioiden kesken korvaten nykyisen kansallisten sertifikaatioiden pirstoutuneen kirjon (Ranskan SecNumCloud, Saksan C5 jne.).

EUCS määrittää kolme varmuustasoa: Perus, Merkittävä ja Korkea. Korkea varmuustaso on puolustuskuormituksille relevantti: se edellyttää EU:n oikeudellista hallintaa palveluntarjoajasta, tietojenkäsittelyä rajoitettuna EU:n alueelle, teknisiä ja organisatorisia toimenpiteitä, jotka estävät EU:n ulkopuolisen hallituksen pääsyn, ja auditointia EU:n jäsenvaltion kansallisen akkreditointielimen akkreditoiman vaatimustenmukaisuuden arviointielimen toimesta.

EUCS High on edelleen viimeistelemättä vuodesta 2026 alkaen, ja poliittinen keskustelu jatkuu siitä, tulisiko EU-pohjaisten tytäryhtiöiden omaavien Yhdysvaltain hyperscalereiden olla oikeutettuja Korkea-varmuustasoon. Eurooppalaisille puolustusorganisaatioille käytännön ohje on: suosi palveluntarjoajia, joilla on tällä hetkellä kansalliset korkeat varmuussertifikaatiot (SecNumCloud qualifié élevé, BSI C5 suvereeniusattestaatilla) ja jotka ovat hyvin asemoituneita EUCS High -sertifiointiin sen viimeistelyyn jälkeen.

Valintakriteerit EU:n puolustukselle

Pilvipalveluntarjoajan valinta EU:n puolustuskuormituksille edellyttää arviointia viiden kriteerin mukaan: toimivalta (palveluntarjoajan on oltava EU-yhteisöjen hallinnassa ilman laillisesti tehokasta ulkomaisen hallituksen pääsyreittiä); tietojen asuinpaikka (datan on pysyttävä EU:n alueella, sopimuksellisesti ja teknisesti täytäntöönpanokelpoisesti); salausavaimen hallinta (puolustusorganisaation on säilytettävä yksinomainen hallinta salausavaimista, estäen palveluntarjoajan pääsyn datan sisältöön jopa pakottamisen yhteydessä); auditointioikeudet (puolustusorganisaation on voitava auditoida palveluntarjoajan infrastruktuuri, toiminta ja käyttölokeja itsenäisesti tai akkreditoidun kolmannen osapuolen kautta); ja turvallisuussertifiointi (palveluntarjoajalla on oltava asianmukainen kansallinen tai EU-sertifiointi kuormituksen luokitukseen sopivalla varmuustasolla).

Salausavaimen hallinta on erityisen tärkeää ja usein alispesifioitu hankinnassa. Palveluntarjoaja, joka tallentaa dataa palveluntarjoajan hallitsemilla avaimilla salattuna, ei tarjoa merkityksellistä suojaa pakotettua paljastamista vastaan — datan salauksen purkaminen on triviaalia palveluntarjoajalle oikeudellisen pakottamisen yhteydessä. Puolustusorganisaation on operoitava omaa HSM:ää (Hardware Security Module) tai käytettävä asiakkaan hallitsemaa avainpalvelua, jossa palveluntarjoaja todistettavasti ei pysty käyttämään avaimia, ja on varmistettava teknisen ja oikeudellisen tarkastelun kautta, että tämä arkkitehtuuri on todella pakotettu päästä päähän.