The Rationality Gap between Cyber Security and Rule of Law in Extra-Territorial Processing of Classified Information on Cloud Environments
Sund, Peter (2020)
Sund, Peter
2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020080919690
https://urn.fi/URN:NBN:fi:amk-2020080919690
Tiivistelmä
Kysymys turvaluokiteltujen tietojen käsittelyn alueellisista rajoituksista on merkityksellinen ja jatkuva haaste puolustusalan, turvallisuuden ja tekniikan aloilla toimiville organisaatioille. Monikansallisissa ympäristöissä toimivien yritysten sääntelyvaatimuksiin ja kannattavuuteen liittyvien haasteiden vuoksi on perusteltua siirtyä kohti pilviratkaisuja myös salassa pidettävää tietoa koskevissa hankkeissa. Toisen maan viranomaisten aiheuttamaa tietoturvariskiä turvaluokiteltujen tietojen käsittelyssä ko. maassa sijaitsevissa pilviympäristöissä ei ole arvioitu asianmukaisesti.
Tässä tutkimuksessa keskitytään riskinarviointiin, joka liittyy valtiollisten toimijoiden aiheuttaman riskin validointiin oikeusvaltion puitteissa yhdistämällä oikeudellisten tekijöiden vaikutukset tietoturvaan salassa pidettävien tietojen käsittelyssä toisen maan pilviympäristöissä. Tavoitteena oli tutkia nykyisen riskinarviointimenetelmän laajuutta toisen valtion alueella tietojärjestelmissä käsitellyn turvaluokitellun tiedon suojaamiseksi. Toisena tavoitteena oli luoda laajennettu malli eri standardeissa ja normatiivisissa asiakirjoissa (kuten PiTuKri) käytettävälle riskinarvioinnille sisällyttämällä siihen myös olennaiset oikeudelliset riskitekijät. Tutkimus on rajattu kysymyksiin, jotka liittyvät turvaluokitellun tiedon suojaamista koskevan toimintapolitiikan ja käytänteiden kehittämiseen. Tutkimustavoitteiden saavuttamiseksi sovellettiin konstruktiivista tutkimusotetta vahvistettuna oikeusdogmaattisella menetelmällä.
Yrityksillä on laajasti oikeuksia, joista osaa voidaan pitää perusoikeuksien tasoisena, ja jotka ovat tasapainottava tekijä turvallisuusviranomaisten toimivallan arvioinnissa. Valtioiden vastuulla turvata näitä oikeuksia on vaikutusta todennäköisyyteen murtaa yksityisesti hallussa olevien turvaluokiteltujen tietojen luottamuksellisuus myös silloin, kun soveltuva toimivalta on laissa määritelty. Näihin realiteetteihin ja toimintaan on tarpeen perehtyä, ja se edellyttää monitieteistä lähestymistapaa. Johtopäätöksenä todetaan, että oikeusvaltioperiaatteen aiheuttamien oikeudellisten tekijöiden vaikutusten huomioiminen on tarpeellista riskin asianmukaiseksi arvioimiseksi.
Tutkimuksen tuloksena on laajennettu oikeudellinen riskinarviointimalli, jota voidaan käyttää eri standardien ja kriteeristöjen, kuten PiTuKri, kehittämisessä tai erillisenä komponenttina tietoriskien arvioinnille. Malli sisältää tekijöitä, jotka koskevat oikeusvaltion noudattamista ja tekijöitä, jotka koskevat valtion turvallisuussektorin valtuuksia ja toimintoja. Laajemmasta yhteiskunnallisesta ja teknologisesta näkökulmasta tutkimuspanos on yksi ääni ja yksi näkökulma keskustelussa digitaalisesta luottamuksesta.
Tässä tutkimuksessa keskitytään riskinarviointiin, joka liittyy valtiollisten toimijoiden aiheuttaman riskin validointiin oikeusvaltion puitteissa yhdistämällä oikeudellisten tekijöiden vaikutukset tietoturvaan salassa pidettävien tietojen käsittelyssä toisen maan pilviympäristöissä. Tavoitteena oli tutkia nykyisen riskinarviointimenetelmän laajuutta toisen valtion alueella tietojärjestelmissä käsitellyn turvaluokitellun tiedon suojaamiseksi. Toisena tavoitteena oli luoda laajennettu malli eri standardeissa ja normatiivisissa asiakirjoissa (kuten PiTuKri) käytettävälle riskinarvioinnille sisällyttämällä siihen myös olennaiset oikeudelliset riskitekijät. Tutkimus on rajattu kysymyksiin, jotka liittyvät turvaluokitellun tiedon suojaamista koskevan toimintapolitiikan ja käytänteiden kehittämiseen. Tutkimustavoitteiden saavuttamiseksi sovellettiin konstruktiivista tutkimusotetta vahvistettuna oikeusdogmaattisella menetelmällä.
Yrityksillä on laajasti oikeuksia, joista osaa voidaan pitää perusoikeuksien tasoisena, ja jotka ovat tasapainottava tekijä turvallisuusviranomaisten toimivallan arvioinnissa. Valtioiden vastuulla turvata näitä oikeuksia on vaikutusta todennäköisyyteen murtaa yksityisesti hallussa olevien turvaluokiteltujen tietojen luottamuksellisuus myös silloin, kun soveltuva toimivalta on laissa määritelty. Näihin realiteetteihin ja toimintaan on tarpeen perehtyä, ja se edellyttää monitieteistä lähestymistapaa. Johtopäätöksenä todetaan, että oikeusvaltioperiaatteen aiheuttamien oikeudellisten tekijöiden vaikutusten huomioiminen on tarpeellista riskin asianmukaiseksi arvioimiseksi.
Tutkimuksen tuloksena on laajennettu oikeudellinen riskinarviointimalli, jota voidaan käyttää eri standardien ja kriteeristöjen, kuten PiTuKri, kehittämisessä tai erillisenä komponenttina tietoriskien arvioinnille. Malli sisältää tekijöitä, jotka koskevat oikeusvaltion noudattamista ja tekijöitä, jotka koskevat valtion turvallisuussektorin valtuuksia ja toimintoja. Laajemmasta yhteiskunnallisesta ja teknologisesta näkökulmasta tutkimuspanos on yksi ääni ja yksi näkökulma keskustelussa digitaalisesta luottamuksesta.