Datasuvereniteetti ja teknologiariippuvuus Suomen ja EU:n ulkopuolisista tahoista ovat pyörineet keskusteluissa maailmanpolitiikan velloessa ja erityisesti transatlanttisen tilanteen kupliessa. Isojen ja mannerlaattoja hallinnoivien valtioiden ylimpien päättäjien tehdessä linjauksia ja toimia me muut vikisemme. Samalla uutisvirrassa on alkanut näkyä häivähdyksiä ja epäilyksiä tämän kehityksen vaikutuksesta dataan ja teknologiaan. Onpa muutamassa EU valtiossa tehty jo päätöksiäkin luopua US teknologiasta lähitulevaisuudessa.
Otsikoita lukemalla voi päätyä pahimmillaan siihen tulkintaan, että Grönlannin takia meillä ei kohta ole dataa käytössä, jos nyt vähän kärjistän asiaa. Tämän vuoksi yritysten hallitusten ja toimivan johdon vihkojen kulmalla saattaakin lukea vaikkapa Microsoft 365 ja Azure riski isolla kysymysmerkillä ja vähintään tietohallinnon sekä kyberturvallisuuden vastuulliset ovat edes kahvikupin ääressä uhranneet näille asioille ajatuksen tai kaksi.
Huoltovarmuuskeskus Digipooli ja Teknologiateollisuus ovat selvittäneet yritysten näkemyksiä datasuvereniteetin ja teknologiariippuvuuden tiimoilta. Raportti on perin tuore ja julkaistu 26.2.2026. Tuoreus näkyy mm. siten, että raportille oli tehty päivitys myös Grönlannin tilanteen osalta. Yhdysvalloissa julkaistiin hiljan myös presidentillinen kyberturvallisuusstrategia mikä ei suoraan ota kantaa näihin asioihin, mutta sen kautta ilmenee, miten Yhdysvallat näkee tilanteen.
Näiden kautta muodostin seuraavanlaisen tilannekuvan
1) Kyberturvallisuus on geopoliittinen väline ja teknologinen kilpajuoksu suurten välillä. Teknologian hallitsija voittaa kisan.
2) Geopolitiikka näkyy siinä, että mm. Yhdysvallat ja Kiina ovat jo toteuttaneet datasuvereniteettia ja teknologiariippuvuutta reippaalla otteella eikä se tule vähenemään. Suomalaiset yritykset ovat kohdanneet tämän.
3) Yritykset tunnistavat asian, riskit nähdään kuitenkin vielä vaikeasti hahmotettavina eikä toimiin ole ryhdytty. Huonoista vaihtoehdoista paras on US pohjaiset ratkaisut mitkä vahvasti nyt käytössä.
4) EU vaihtoehdot vähissä. Vaatisi osassa tuotantoketjua valtavan ponnistuksen, että EU:ssa voitaisiin tarjota vastaavia palvelukokonaisuuksia mihin US toimijat kykenevät.
5) US näkee yritykset veturina ja purkaa sääntelyä, EU lisää sitä. Kumpi edistää markkinaehtoista toimintaa enemmän?
Tilannetta ei mielestäni ole yleisesti PK-yrityksen kannalta verrattavissa tulipaloon tai muuhun äkilliseen kriisiin. Tämä ei missään tapauksessa tarkoita, etteikö asian osalta tarvitsisi tehdä mitään. Päinvastoin etupainotteinen harkinta ja valmistautuminen antavat aina eniten pelimerkkejä, jos tilanne iskee päälle.
PK-yrityksen päättäjänä tämän kaltainen geopolitiikan osanen voi tuntua kaukaiselta ja etenkin täysin oman vaikutusvallan ulkopuolella olevalta. Sitähän se juuri on ja siksi kannattaakin keskittyä asioihin, joihin voi vaikuttaa.
Ensimmäisenä toimenpiteenä suositan tekemään BIA lyhenteellä kulkevan arvion minkä vapaa suomennos on liiketoiminnan vaikutusanalyysi (Business Impact Assessment). Tekisin sen siten, että asettaisin keskeiseksi kysymykseksi:
Miten toimintamme jatkuu ja mitä meidän tulisi tehdä, että se jatkuisi, mikäli ulkomaiset pilvipalvelut ja niiden data olisi poissa käytöstä.
Tekemällä tämän arvion organisaatio tunnistaa mitkä kriittiset toiminnot ovat haavoittuvaisia järjestelmien ja niiden datan vuoksi, mikäli pääsy niihin estyy politiikan laineiden lyödessä riittävän korkealle. Tämä arvio antaa keinon rakentaa oma aallon murtaja ja turvasatama niillä keinoilla, joihin me voimme vaikuttaa.
Arvion tekemisen jälkeen näkymä on selkeämpi ja voidaan toden teolla ryhtyä miettimään keinovalikoimaa tilanteeseen hintalappujen kautta. Tässä vaiheessa se voi olla vaihtoehtoisten datasijaintien määrittelyä, kriittisen datan siirtoa pilvestä toiseen (US -> EU) tai laajimmillaan suuremman tietojärjestelmiin kohdistuvan muutoksen käynnistämistä.
Osalle yrityksistä tuo arvio kertoo sen, että toistaiseksi emme tarvitse toimia. BIA:n arvo tuleekin siitä, että sen jälkeen tehdyt päätökset toimista tai niiden tekemättä jättämisestä perustuvat aidosti yrityksen liiketoimintaan eikä uutisvirran kautta tulleeseen yleiseen epätietoisuuteen.
Päästäänkö liiketoiminnan vaikutusanalyysilla ja hyvällä suunnitelmalla siihen, että ääritilanteessa kaikki toimii sormia napsauttamalla 100%?
Ei varmasti mutta sillä päästään siihen, että ääritilanteessa toiminta jatkuu siedettävällä tasolla siedettävässä ajassa jos sen perusteella on tehty toimia. Arvion jäädessä fläppitaulun keltaisten muistilappujen tasolle voi olla varma, että jos teknologiariippuvuuden ja datan sijainnin riskit alkavat oikeasti toteutua, niin kyyti on kylmää.
Kirjoittaja: Mika Lindberg, Opsec Oy liiketoimintajohtaja
Mika Lindberg on Opsec Oy:n kyberturvallisuudesta vastaava ja liiketoimintajohtaja. Mika on toiminut IT-alalla yli 25 vuotta, joista viimeiset 15 kyberturvaan painottuen. Hänellä on laaja-alaisesti kokemusta pk-yritysten kyberturvallisuuden järjestämisestä ISO27001 perusteisesti ja hän tuntee myös hallitustyöskentelyn. Mikalla on useita kansainvälisesti tunnettuja kyberturvallisuussertifiointeja ja HHJ-tutkinto. Tällä hetkellä hänellä on työn alla kyberturvallisuuden maisteriopintojen pro gradu työ minkä aiheena kyberturvallisuus pk-yritysten kilpailuedun tekijänä.