Euroopassa käydään parhaillaan erittäin suurta keskustelua digitaalisesta suvereniteetista, GDPR-datan sijainnista ja riippuvuudesta Yhdysvaltalaisiin hyperscalereihin kuten Microsoftiin, Googleen ja AWS:ään. Samaan aikaan moni organisaatio pohtii, pitäisikö GDPR-alainen data siirtää eurooppalaiseen pilveen tai jopa paikallisiin alustoihin. Mutta ratkaiseeko datan fyysinen sijainti enää modernissa pilvimaailmassa varsinaista ongelmaa — vai syntyykö samalla riski heikentää Euroopan kilpailukykyä, AI-kehitystä ja pääsyä maailman parhaisiin ohjelmistoalustoihin?
Pilvimaailma ei enää ole fyysinen paikka
Perinteisessä konesalimaailmassa ajattelu oli yksinkertainen. palvelin sijaitsi yhdessä maassa, tallennus yhdessä konesalissa, ylläpito paikallisesti ja verkko paikallisesti. Silloin datan sijainti = datan kontrolli oli melko hyvä oletus. Modernissa pilvessä näin ei enää ole, koska data
- replikoituu
- cachettuu
- analysoidaan hajautetusti
- liikkuu control planejen mukana
- varmuuskopioidaan useisiin sijainteihin
Vaikka virtuaalikone sijaitsee Frankfurtissa tai Suomessa, se ei automaattisesti tarkoita että metadata pysyy Euroopassa, ylläpito on Eurooppalaista, support access on EU:n sisällä tai palveluntarjoaja ei voisi päästä dataan käsiksi. Juuri tästä syystä moderni “digital sovereignty” -keskustelu syntyi.
Miten viranomaiset käytännössä pääsevät dataan käsiksi?
Julkisessa keskustelussa syntyy joskus mielikuva, että ulkomainen valtio “murtautuu” eurooppalaiseen datacenteriin teknisesti. Käytännössä näin tapahtuu äärimmäisen harvoin. Todellinen mekanismi on yleensä juridinen eli virallinen oikeudellinen pyyntö, kansallinen tiedustelulaki tai palveluntarjoajalle annettu määräys.
Esimerkiksi yhdysvaltalainen yritys voi tietyissä tilanteissa joutua luovuttamaan hallussaan olevaa dataa tai metadataa Yhdysvaltain viranomaisille riippumatta siitä missä fyysisessä maassa data sijaitsee. Juuri tähän liittyvät: CLOUD Act, FISA 702 ja Schrems II. Tästä syntyy modernin pilvisuvereniteetin ydinongelma.
Todellinen kysymys ei ole missä data sijaitsee, vaan
- kuka kontrolloi dataa
- kuka hallitsee salausavaimia !
- kuka kontrolloi identiteettiä
- kuka operoi control planea
- voiko palveluntarjoaja decryptata datan
Jos palveluntarjoaja itse hallitsee salausavaimia, juridinen viranomaispyyntö voidaan käytännössä kohdistaa palveluntarjoajaan. Sen sijaan tilanteessa, jossa asiakas hallitsee avaimia täysin itse eikä palveluntarjoaja voi decryptata dataa, pelkkä juridinen pyyntö ei tarkoita käytännön pääsyä itse sisältöön. Avainten hallinta on paljon tärkeämpi kuin datacenterin sijainti.
Euroopan keskustelu ei ole pelkästään tekninen
Saksa ja Ranska erityisesti ajattelevat, että:Eurooppa on liian riippuvainen yhdysvaltalaisista hyperscalereista, digitaalinen infrastruktuuri on strategista valtaa ja AI ja cloud ovat geopoliittisia aseita. Kyse ei siis ole pelkästään “voiko joku lukea datan?” vaan “kuka kontrolloi Euroopan digitaalista infrastruktuuria?” Tästä syntyivät GAIA-X, Sovereign Cloud -hankkeet, Microsoft EU Data Boundary, AWS European Sovereign Cloud, Bleu ja Delos Cloud.
Euroopan dilemma on todellinen, mutta teknologinen reality on brutaali.
AWS, Microsoft ja Google investoivat satoja miljardeja globaaleihin datacenter-verkkoihin, AI-GPU-klustereihin, tietoturvaan, confidential computingiin ja ohjelmistoekosysteemeihin. Euroopassa ei tällä hetkellä ole toimijaa jolla olisi vastaava mittakaava, innovointinopeus, AI-ekosysteemi ja ohjelmistokehityksen kapasiteetti. Ja juuri tästä syntyy vaikea kysymys:
Heikentääkö Eurooppa itse omaa kilpailukykyään yrittämällä irtautua hyperscalereista?
Väärin ymmärretty sovereignty voi tulla erittäin kalliiksi
Kun poliittinen ja julkinen keskustelu typistyy ajatukseen: “kaiken pitää olla paikallista”, lopputulos on todennäköisesti korkeammat kustannukset, heikompi teknologia, hitaampi AI-kehitys, huonompi käyttäjäkokemus ja suurempi operointikompleksisuus.
Pahimmillaan organisaatiot voivat siirtää ratkaisuja moderneista hyperscaler-ympäristöistä teknisesti huomattavasti alkeellisempiin alustoihin ilman että varsinainen kontrolli- tai tietosuojahaaste oikeasti ratkeaa. Ja juuri tämä on erittäin todellinen riski Euroopalle.
Mitä “eurooppalainen” tai “yhdysvaltalainen” teknologia edes tarkoittaa?
Keskustelu yksinkertaistuu helposti ajatukseen, että eurooppalainen palvelu olisi automaattisesti turvallinen ja yhdysvaltalainen riski. Todellisuudessa moderni teknologiaekosysteemi on täysin globaali. Yritysten omistus, sijoittajat, kehitystiimit, alihankkijat, support-organisaatiot ja pilvi-infrastruktuuri voivat sijaita useissa eri maissa riippumatta siitä missä yrityksen pääkonttori sijaitsee. Siksi modernissa pilvimaailmassa yrityksen “kansallisuus” ei enää yksin kerro kuka teknologiaa, dataa tai infrastruktuuria todellisuudessa kontrolloi.
Moderni ratkaisu voi olla kontrolli ilman teknologista taantumaa
Tärkein kysymys ei ole “rakennetaanko eurooppalainen hyperscaler?” Vaan miten säilytetään kontrolli, miten hallitaan salausavaimia, miten vältetään vendor lock, miten rakennetaan avoimia standardeja, miten suojataan kriittiset sektorit ja miten säilytetään portability. Toisin sanoen sovereignty ilman että menetetään maailman parhaat ohjelmisto- ja AI-alustat.
Juuri tässä avainten hallinta, kryptografia ja confidential computing voivat muodostaa paljon realistisemman ja teknisesti vahvemman ratkaisun kuin pelkkä datan fyysinen lokalisaatio.
Tulevaisuus voi löytyä kompromissista
Todennäköisesti realistisin tulevaisuus ei ole täydellinen irtautuminen hyperscalereista eikä täydellinen riippuvuus niistä vaan yhdistelmä: hyperscaler cloud, sovereign controls, customer managed keys, confidential computing, EU operational boundaries sekä avoimet standardit.
Kyse on kontrollista, ei sijainnista
Ehkä tärkein havainto koko keskustelussa on ymmärtää, että modernissa pilvimaailmassa datan fyysinen sijainti ei tarkoita datan kontrollia. Todellinen turvallisuus syntyy yhä enemmän kryptografiasta, avainten hallinnasta, identiteetistä, auditoinnista ja control plane -hallinnasta eikä pelkästään siitä missä datacenterin seinät sijaitsevat.
Ja juuri tässä Euroopan pitäisi onnistua eli säilyttää kontrolli ilman että se samalla menettää kilpailukykynsä AI- ja pilviaikakaudella.
5Feet Networks Oy