EU:ssa kaavaillaan VPN-kieltoa, jonka puolesta on intohimolla puhunut Henna Virkkunen, joka (ironista kyllä) on ”teknologisesta suvereniteetista, turvallisuudesta ja demokratiasta vastaava EU-komission varapuheenjohtaja”. Kieltoa ajetaan oikeuttamalla se lasten edulla, sometrollauksen estämisellä ym. Kiellon seuraukset heijastuisivat kuitenkin laajalle ja jotkut toimialat ja yritykset kärsisivät siitä kohtuuttomasti. Jyrkin mahdollinen toteutus söisi Euroopan kilpailukykyä ja yritysten tuottavuutta entisestään.
Toteuttamisen yksityiskohdista ei ole tiedotettu, mutta varmaa on, että toteutuessaan kielto nostaisi yritysten kustannuksia, laskisi tuottavuutta ja jyrkimmillään toteutettuna tekisi etätyöstä lopullisesti selvää. (Jalojen tavoitteiden jäädessä silti toteutumatta.) Toteutuksen taso määrää vain sen, miten paljon kustannukset nousevat ja yrittäminen hankaloituu. Tilanne siis heikkenee joka tapauksessa.
Tulee mieleen vanha suomalainen sanonta siitä, että sutta karkuun juostessa tuleekin karhu vastaan. Pohdiskelin, mitä kielto pahimmillaan tarkoittaisi konserniyrityksille, monikansallisille yrityksille ja pienille sote-alan yrittäjille. Wellcome to my nightmare, kuten Alice Cooper sanoisi.
ulkomaalaisomisteiset yritykset ja Konserniyritykset kärsivät
Kansainväliset teknologia-, teollisuus-, rahoitus- ja konsulttiyhtiöt ynnä muut vastaavat käyttävät VPN:ää tai muita vastaavia ratkaisuja (Zero Trust, SASE tms.) päivittäin. Ja tässä listassa on vain ilmeisimmät toimialat, muitakin toki löytyy.
VPN tarvitaan, koska on oleellista, että yrityksellä on turvallinen etäyhteys konsernin sisäisiin järjestelmiin, SAP:iin, CRM:ään, tuotekehitystietoihin, talousraportteihin jne. Tällä varmistetaan, että työntekijät Suomessa, Intiassa, Saksassa tai USA:ssa pääsevät käsiksi samoihin resursseihin turvallisesti. Lisäksi compliance- ja tietosuojavaatimukset (GDPR, tietoturvastandardit, toimialakohtaiset vaatimukset) edellyttävät turvalllista yhteyttä.
Monilla aloilla on oleellista, että käytössä on salattu yhteys, kun käsitellään henkilötietoja tai liikesalaisuuksia. Lisäksi maailmanlaajuisesti operoivat yritykset soveltavat omia sääntöjään eli ulkomaiset emoyhtiöt ohjaavat liikennettä keskitetysti oman tietoturvakäytäntönsä mukaisesti.
Mitä kiellosta voi pahimmillaan seurata?
Etä- ja hybridityömahdollisuudet romahtaisivat. Monet yritykset joutuisivat kutsumaan ihmiset takaisin toimistolle tai rajoittamaan etätyötä rajusti. Lisäksi kustannukset tietysti nousisivat ja tuottavuus laskisi. Uudet vaihtoehtoiset ratkaisut, kuten dedikoidut yhteydet tai täysi siirto sertifioituihin pilvipalveluihin ovat kalliimpia ja monimutkaisempia.
Ja kuten arvata saattaa, EU sahaa tässä jälleen omaa oksaansa. Kuinka pahasti, riippuu toki kiellon toteuttamisen tavasta. Yksikään toteuttamistapa ei kuitenkaan ole yrityksille nykytilannetta edullisempi. Vain haittojen suuruus vaihtelee.
Täysi VPN-kielto merkitsisi sijoitus- ja operointiriskiä niin Suomelle kuin muillekin EU-maille. Ulkomaiset omistajat saattavat siirtää toimintoja maihin, joissa VPN:t ovat vapaampia. Lisäksi kiellon toteuttaminen merkitsisi joissain tapauksissa lakisääteisten velvoitteiden (esim. kyberturvallisuutta koskevien) rikkomista, jos vaihtoehtoja ei ole.
Monet konsernit käyttävät jo nyt VPN:ää ”split tunnelingilla” tai muulla modernilla ratkaisulla, mutta perinteinen ja laaja etäkäyttö nojaa perinteiseen VPN:ään.
Yrittäjät ja sote-palvelujen pienet toimijat
Lääkärit, psykoterapeutit, muut terapeutit ja muiden alan etäpalvelun tarjoajien asema hankaloituisi merkittävästi. Kyllä, juuri ne samat toimialat, joiden taakkaa halutaan helpottaa digitaalisella asioimisella, kärsivät tästä ehkä eniten. Tämä ryhmä on nimittäin erityisen haavoittuvainen, koska kyse on henkilökohtaisten ja arkaluonteisten tietojen käsittelystä.
Turvallinen yhteys vaaditaan potilastietojärjestelmien takia. Potilastietojärjestelmien, kuten Kantarekisterin, omien EHR-järjestelmien ja videovastaanottojen tiedot eivät nimittäin yksinkertaisesti saa vuotaa julkiseseen verkkoon.
Lisäksi meidän täytyy huomioida GDPR:n ja potilaslain asettamat vaatimukset. Salattu yhteys on usein osa tietoturva-arviointia. Ilman VPN:ää riski kasvaa merkittävästi (man-in-the-middle -hyökkäykset, ISP:n näkeminen liikennettä jne.). Lisäksi osa näistä toimijoista tarjoaa palvelujaan myös kansainvälisesti esim. ulkomailla asuville suomalaisille tai käyttää ulkomaisia alustoja.
Mitä kiellosta voi pahimmillaan seurata sote-yrittäjille?
Monen etäyrittäjän toiminta supistuisi tai loppusi kokonaan. Erityisesti yksinyrittäjät ja pienet klinikat eivät välttämättä pysty investoimaan kalliisiin vaihtoehtoisiin ratkaisuihin (esim. omat dedikoidut linjat tai sertifioidut pilvipalvelut). Tietoturvariskit kasvaisivat, koska tietomurtoriski kasvaa ja tästä voi seurata yritykselle sakkoja tai mainehaittoja.
Palvelujen saatavuus erityisesti syrjäseuduilla heikkenisi merkittävästi. Ihmiset, jotka tarvitsevat etävastaanottoa vaikkapa mielenterveysongelmien tai harvinaisten sairauksien kanssa eivät enää saisi tarvitsemiaan palveluja joutumatta matkustamaan niiden perässä. Tämä taas on koko digitalisotumisen ideaa vastaan.
Kuten arvata saattaa, myös byrokratian määrä kasvaisi. Olisimme taas askeleen lähempänä sosialistista idylliä, jossa synnyteään tarve erikseen hakea kaikenlaisia uusia lupia tai käyttää viranomaisten hyväksymiä yhteyksiä, joka hidastaa toimintaa. Mutta EU:ssa ilmeisesti koetaan, että meillä on liian vähän byrokratiaa (ja byrokraatteja).
Yleiset käytännön ongelmat kaikille
Vaihtoehdot VPN:lle ovat huonompia tai kalliimpia: MPLS-yhteydet, SD-WAN, täysi Zero Trust -arkkitehtuuri tai pilvipalveluiden siirto vaativat rahaa ja osaamista. Pienemmät toimijat kärsivät tietysti eniten. Pahimmillaan koko liiketoiminnan tulevaisuus vaarantuisi.
Tuottavuus ja joustavuus heikkenevät. Etätyö, joka on Suomessa hyvin yleistä, vaikeutuisi. Moni yritys on jo luopunut isoista toimistotiloista. Pitäisikö yritysten nyt uudestaan inevstoida sellaisiin toimitloihin, joihin kaikki palkkalistoilla olevat varmasti mahtuvat välillä 09-17? Ei kuulosta kovin kätevältä liiketaloudellisesti eikä muutenkaan.
Kilpailuasetelma vääristyy, koska suuret yhtiöt selviävät paremmin uusilla ratkaisuilla, pienet ja ulkomaiset toimijat kärsivät.
Innovaatiot hidastuvat digitaalisissa terveyspalveluissa (telelääketiede kasvaa voimakkaasti, mutta kyllä tällä sitäkin kasvua saadaan leikattua tai jopa estettyä).
Kuten tiedämme, tällä hetkellä Suomessa ei ole mitään VPN-kieltoa. Tiedämme kuitenkin myös sen, että EU-tasolla keskustellaan nyt rajoituksista innokkaasti. Näitä ovat mm. ikäverifiointi, chat control ja datan säilytysvaatimukset, jotka voivat tehdä ”no-log”-VPN:istä tai kiertämisestä vaikeampaa.
Historiallisesti VPN:ää on pidetty Suomessa täysin laillisena ja jopa suositeltavana etätyön tietoturvaratkaisuna. Ystävissäni on ulkomaisissa firmoissa työskenteleviä, joiden arkeen VPN kuuluu työasioissa oleellisesti. Itse olen istunut päivittäin toimistossa viimeksi vuonna 2014. Pidän etätyöstä ja siitä, että joka päivästä ei mene puoltatoista tuntia matkustamiseen työpaikalle ja takaisin. Siinä ajassa ehtii käydä bodypumpissa ja suihkussa ja voi omistaa loppuillan mille haluaa.
Olen yllättynyt, että jostain VPN-kiellosta edes keskustellaan noin korkealla tasolla. Mutta EU haluaa profiloitua lasten lasten sankarina ja sometrollien kurinpalauttajana. Eli toisin sanoen halutaan näyttää, että siellä näprätään edes jotain eli uusia rajoituksia. Kokemukset niistä eivät tähän mennessä ole olleet rohkaisevia.
VPN-kielto ei olisi ”vain some-trollien ja pedofiilien ongelma”, vaan se iskisi suoraan Suomen kilpailukykyyn kansainvälisessä bisneksessä, etätyömalliin ja erityisesti digitaalisten sote-palveluiden saatavuuteen. Se pakottaisi monia yrityksiä ja yrittäjiä muuttamaan toimintamallejaan radikaalisti tai siirtymään muualle. Vaihtoehdot ovat olemassa, mutta ne ovat kalliimpia ja monimutkaisempia. Kustannukset tästä ”edistysaskeleesta” siirtyisivät lopulta asiakkaille tai veronmaksajille. Kuten tavallista.
Viimeisimmät kommentit