Näkökulma: Politiikan tapahtumat heijastuvat teknologiaan
Teknologia-ala on vahvasti riippuvainen Yhdysvalloista. Maan arvaamaton politiikka keinuttaa nyt maailmantaloutta ja luo yleistä epävarmuutta teknologia-alustojen, -palveluiden ja -toimittajien luotettavuuteen. Esimerkit kertovat, miten suuria vaikutuksia yhden maan toimenpiteillä voi olla maailmanlaajuisesti.
Oma IT-toimittaja ei olekaan enää välttämättä luotettava kumppani, hinnat saattavat pompsahtaa ja tuotteiden saatavuuteen tulla ongelmia. Eurooppa on herännyt teknologiariippuvuuteensa Yhdysvalloista ja merkkejä itsenäistymishalusta on nähtävissä.
Palaavatko yritysverkon toimitusongelmat?
Yritysverkkotuotteissa Yhdysvallat jyrää. Kiinalaiset tuotteet on ajettu pois markkinoilta, ja yritykset ovat hiljaisesti luopuneet niiden käytöstä. Tullimaksut uhkaavat nyt nostaa hintoja, mutta suurin uhka liittyy tuotteiden saatavuuteen. Tulleista voi seurata uusi komponenttikaaos, joka johtaisi toimitusongelmiin samalla tavalla kuin pandemian aikana. Tilanne on arvaamaton ja valmistajat elävät päivä kerrallaan katsoen, mitä eteen tulee. Jonkinlaisia hinnankorotuksia varmasti ainakin.
HPE-Juniper-yrityskauppa on ollut kesken kohta jo puolentoista vuoden ajan. Molempien yritysten asiakkaat ovat eläneet pitkään epävarmuudessa, mitä tuotteille jatkossa tapahtuu. Alkuvuodesta Yhdysvaltain oikeusministeriö sotki jo pitkälle varmistunutta yritysjärjestelyä lisää haastamalla kaupan oikeuteen wifi-markkinan kilpailua rajoittavana tekijänä. Yhdysvallat haluaa myös varmistaa, että heille tärkeät verkkoratkaisut säilyvät markkinoilla yhdistymisen jälkeenkin, erityisesti operaattorituotteissa. Yrityskauppaa puidaan oikeudessa kesällä ja lopputulosta on vaikea arvata.
Millä ehdoilla pilvipalvelua saa jatkossa?
Tiedon suojausta pilvessä on yritetty hallita sopimuksin, joiden takana on kuitenkin aika vähän konkretiaa. Kaikki on ollut hyvin, kun maailmanjärjestys on pysynyt vakaana. Nyt eurooppalaisten luottamus amerikkalaisiin palveluihin on laskussa ja hermostuneisuus kasvaa. Pilvijätit toki yrittävät tehdä pilvestä paikallisempaa ja vakuuttavat alustojen olevan itsenäisiä. Tiedon säilöminen Euroopassa ei paljon auta, kun lähes kaikki pilvialustat rakentuvat amerikkalaisten tuotteiden varaan. Yksi Yhdysvaltojen mahtikäsky pilvijäteille tai sovellustoimittajille voisi sulkea koko Euroopan pilvipalvelut. Yksittäisiltä henkilöiltä on jo poliittisin perustein evätty pääsy palveluihin.
Euroopalla olisi kyllä omaa kilpailukykyistä pilvi-infraa, mutta palvelut ja sovellukset eivät vielä yllä samalle tasolle pilvijättien kanssa. Todellisia vaihtoehtoja ei synny kuin erityistapauksissa. Euroopassa puuhataan nyt myös omaa Linux-käyttöjärjestelmää julkisen sektorin tarpeisiin. Se korvaisi Windowsin avoimella koodilla ja toisi kustannustehokkuutta julkishallintoon. Tämä EU OS tosin perustuisi sekin amerikkalaiseen Fedora Linuxiin. EU OS täyttäisi GDPR-vaatimukset tiedon yksityisyydestä ja antaisi organisaatioille parempia mahdollisuuksia hallita omaa tietoa ja tietoturvaa kovennetulla alustalla.
Yhdysvallat hallitsee myös kybermarkkinaa
Euroopan kybermarkkinassa EU:lla on 25 % markkinaosuus ja lopuista vastaa pääsiassa Yhdysvallat. Amerikkalaiset yhtiöt ovat kuitenkin joutuneet haluamattaan mukaan politiikan peliin. Trumpin katkeruus 2020 vaaleista on purkautunut vuosien mittaisena vainona CISA:n silloiseen johtajaan Chris Krebsiin, joka savustettiin nyt ulos SentinelOnen johdosta. Krebs päätti jatkaa omaa taisteluaan sotkematta yritystä mukaan. Muut alan yritykset ovat olleet hiljaa ja varoneet suututtamasta Trumpia. Tapaus kyseenalaistaa koko kyberalan periaatteita ja uskottavuutta.
Muu maailma on ulkoistanut paljon kybertoimintoja Yhdysvaltain valtionhallinnon virastojen varaan ja käyttänyt ilmaisia palveluita hyödykseen. CISA on ollut maailmanlaajuisesti kyberalan suunnannäyttäjä, mutta nyt se ja muut virastot menettävät kybertyöntekijöitä hurjaa vauhtia mielivaltaisen politiikan vuoksi.
Koko maailman haavoittuvuustietojen kokoaminen ja julkaisu on keskittynyt täysin Yhdysvaltain hallinnoimaan kansalliseen NVD-järjestelmään. Huhtikuussa nähtiin, miten CVE-tietojen ylläpitosopimus oli tempoilevan politiikan vuoksi katkolla, ja koko järjestelmää uhkasi yhtäkkinen romahtaminen. Yksipuoleiseen järjestelmään on liittynyt myös epäilyksiä haavoittuvuuksien salailusta, koska erityisesti Yhdysvallat ja Kiina käyttävät haavoittuvuuksia hyväkseen. EU on onneksi kehittänyt jo parin vuoden ajan omaa EUVD-tietokantaa osana NIS2-sääntelyä. Kattavampi, luotettava ja riippumaton lähde on tervetullut alalle. EUVD toimii myös itse CNA:na ja voi näin määrittää ja julkaista haavoittuvuustietoja omatoimisesti.
Miten selvitä epävarmuudessa?
Yritysten on syytä miettiä keskittämisen riskiä. Olisiko sittenkin fiksumpaa hajauttaa avaintoimintoja muutamalle eri toimittajalle? Eurooppalaista tuotetta kannattaa suosia, jos vain kilpailukykyinen vaihtoehto löytyy. Palvelutoimittajien rooli on laajentaa asiakkaidensa vaihtoehtovalikoimaa ja myös avoimen koodin projektien tukeminen edesauttaa vaihtoehtojen syntyä. Suurin muutos tarvitaan asenteissa, jotta itsestään selvän valinnan tilalle voisi löytyä vaihtoehtoinen tuote tai palvelu. Avoimen ja standardoidun arkkitehtuurin ja teknologiavalintojen kautta ratkaisuihin voidaan saada siirreltävyyttä ja yhteensopivuutta, jolloin vaihtoehtojen määrä kasvaa ja palveluiden käyttö helpottuu.
Blogin kirjoittaja

Antti Leimio
Network Security Architect
PS. Haluaisitko sähköpostiisi tietoa ajankohtaisista aiheista? Kiinnostaako turvallisuusratkaisut tai AI & data vai kenties digitaaliset palvelut? Voit tilata uutiskirjeen juuri sinua kiinnostavista teemoista. Meidän uutiskirjeessä on Loihdetta!