IFLA 2012 : Osa 3 Pilvipalvelut ja yksityisyyden suoja verkossa

Pilvipalveluilla tarkoitetaan yleensä verkon kautta jaettavia palveluita tai tiedon säilytystä, jossa ohjelmistoja ja laitteita ylläpitää kolmas osapuoli. Palvelulle on näin olennaista, että tiedon varsinainen varastointipaikka voi olla hyvinkin kaukana, ja tietoa käytettäessä sitä joudutaan siirtämään erilaisten hallinnollisten alueiden läpi.

IFLA 2012 Helsingin ohjelmassa osallistuin Cloud computing -sessioon,  joissa pureuduttiin sekä pilvipalvelun teknisiin että juridisiin kysymyksiin, että käsiteltiin myös verkossa liikkuvan tiedon yksityisyyttä.

Internet Societyn edustajan Christine Runnegarin mukaan yksityisyyden suojaamiseksi Internetissä liikuttaessa on erilaisia keinoja, mutta myös erinäinen määrä tapoja kalastella käyttäjien henkilötietojen lisäksi myös kaupallisessa tarkoituksessa hyödyllisiä tietoja. Nettiä käyttäessämme jätämme sinne jalanjälkiä halukkaiden seurattavaksi. Tietoa annetaan monella tavalla rekisteröitymällä erilaisiin palveluihin tai vaikka rekisteröitymällä IFLA:an - useimmin lukematta sopimusta ennen hyväksymis-painikkeen painamista.  Amazonin ja Googlen e-kirjoja lukiessa järjestelmään tallentuu tieto miten pitkällä kirjassa ollaan menossa, mitä kirjasta haettiin ja monestiko se avattiin. Erilaisia tietoja keräämällä yritykset tunnistavat käyttäjiä ja näin esimerkiksi Mac-tietokoneen käyttäjälle tarjotaan palvelussa kalliimpia hotellihuoneita kuin muille. Runnegarin mukaan yksityisyyden suojaamiseen on kuitenkin todella herätty ja ei-toivottun seuraamisen estämiseksi kehitetään jatkuvasti uutta arsenaalia.

Kuva Manoj Kulkarnin esityksestä. 

Pilvipalveluiden avulla organisaatio voi keskittyä varsinaiseen osaamisalueeseensa IT-infrastruktuurin rakentamisen ja ylläpidon sijaan. Palvelun muita etuja ovat mm. halvat perustamiskustannukset, nopea käyttöönotto, muokattavuus, joustava käyttö ja mahdollisuus käyttää uusia innovaatioita. Pilvipalveluiden avulla organisaatio voi saada käyttöönsä myös asiantuntijuutta ja kehittyneitä palveluita, joihin sillä ei itse olisi mahdollisuuksia.

Cloud computing -sessiossa puhuneiden Clifford Lynchin että Patrick D. Flahertyn mukaan pilvipalveluiden käyttöön liittyy joukko riskejä, jotka kannattaa huomioida palvelua suunnitellessa. Lynchin mukaan palvelun hinnoittelussa tulee ottaa huomioon myös varsinaisen ylläpitomaksun lisäksi mahdolliset tiedonsiirtomaksut. Flahertyn lainsäädäntöön ja yksityisyyden ja datan suojaamiseen liittyvässä puheenvuorossa hän toi esille mahdollisuuden tiedon väärinkäyttöön ja altistumisen vieraan maan lainsäädännölle ja säännöksille kun tietoa siirretään. Toisaalta hän kysyi, miten organisaatioiden läpinäkyvyyden vaatimukset täyttyvät kun pilveen tallennetusta tiedosta ei useinkaan itse asiassa tiedetä mihin se on varastoitu ja miten sitä käsitellään ja jaetaan.

Kirjastojen näkökulmasta pilvipalveluiden turvallisuuteen kohdistuu erityisiä vaatimuksia, koska toisaalta kirjastoihin julkisina laitoksina kohdistuu tarkempia yksityisyyden suojan säännöksiä ja vastaavasti kirjastojen tietojärjestelmiin tallentuu henkilötietojen lisäksi yksilön mieltymyksiin ja toimintaan liittyvää sensitiivistä tietoa.

Pilvipalvelua suunnittelevan tulisikin selvittää mihin tieto lopulta varastoidaan ja miten siihen päästään käsiksi. Mikäli tieto siirtyy eri maiden verkkojen läpi, onko näissä maissa kunnolliset lait jotka suojaavat siirrettävää tietoa, ja missä määrin nämä lait eroavat oman maan lainsäädännöstä. Erona Flaherty mainitsi esim. Yhdysvaltain Patriot Act-lain, joka hänen mukaansa mahdollistaa tietojen luovutuksen viranomaisille useita muita maita herkemmin. Flaherty esitti lopuksi tarkistuslistan varmistettavista kysymyksistä, jotka löytyvät myös hänen artikkelistaan.