”Pilvee pilvee pilvee” – Virtuaalipalvelut ovat tulleet jäädäkseen

(IPRinfo 3/2011)

Pilvipalveluilla tarkoitetaan internetpohjaista tietokoneteknologiaa, jossa tarjotaan virtualisoituja ja skaalautuvia palveluita.

Pilvipalvelu on terminä uudehko, mutta palveluja on ollut käytössä ennen varsinaisen termin yleistymistä. Aiemmat keskustietokonepohjaiset järjestelmät niin sanottuine tyhmine päätelaitteineen olivat nykyisten pilvipalveluiden esi-isiä.

Jo pitkään käytössä olleet internet-sähköpostipalvelut, esimerkiksi Hotmail, Luukku.com ja Gmail, ovat olleet pilvipalveluja, samoin myös erilaiset kuvien, videoiden ja tiedostojen tallennuspalvelut kuten Youtube.

Palvelu tulee käyttäjille ”pilvestä”, johon he ovat yhteydessä omilta laitteiltaan yleensä internetin kautta. Käyttäjät eivät tiedä, eikä heidän tarvitse tietää, palveluntarjoamiseen liittyviä teknisiä yksityiskohtia kuten palvelimien sijaintia tai teknistä toteutusta. Suurin houkutus loppukäyttäjille on pilvipalveluiden helppokäyttöisyys ja IT-kustannusten alentuminen.

Pilvipalveluina ovat tulleet käyttöön myös normaalit toimisto-ohjelmasovellukset, muun muassa tekstinkäsittely- ja tietokantasovellukset, sekä varmuuskopiointipalvelut, asiakastietojärjestelmät ja tietoturvasovellukset. Palveluita tarjoavat paitsi perinteiset ICT-talot kuten Microsoft, IBM, Fujitsu, myös Google ja operaattorit, kuten Elisa, Sonera ja DNA.

Pilvipalveluiden määritelmiä ja termejä on erilaisia. Palvelut voidaan jakaa teknisesti esimerkiksi seuraaviin kategorioihin: Application Service Provider (ASP), Platform as a Service (PaaS) ja Infrastructure as a Service (IaaS).

Miksi pilveä?
Pilvipalveluiden käyttäjä pyrkii helpottamaan ohjelmistojen ja tekniikan ylläpitoa ja päivittämistä, ja siten vähentämään omia kustannuksiaan. Palveluntarjoaja huolehtii riittävästä tekniikasta sekä palvelinkapasiteetin hankkimisesta ja ylläpidosta. Hän vastaa myös palvelun edellyttämän datan ja muun materiaalin tallennuksesta, tietoturvasta ja varmuuskopioinnista. Jos asiakkaan laitteisto rikkoutuu, datan tulisi olla tallessa tarjoajan palvelimella. Pilvipalvelussa tarjoaja lähtökohtaisesti vastaa kalliista laiteinvestoinneista sekä niiden ylläpidosta ja lisäinvestoinneista.

Palvelun ostaja ostaa haluamansa ja tarvitsemansa palvelun sekä varaa yleensä mahdollisuuden ostaa lisäpalvelua myöhemmin. Ostajan tulee huolehtia omien käyttäjiensä tietotekniikasta ja ohjelmistoista, jotka yleensä tarkoittavat perustekniikkaa ja perusselainohjelmia. Ostajan ei tarvitse huolehtia mahdollisesti lisääntyvän käyttötarpeensa vaatimasta lisäkapasiteetista.

Hallinta siirtyy käyttäjän ulkopuolelle
Pilvipalveluiden suurimpana haittana on tietojen ja sovellusten hallinnan siirtyminen ulkopuoliselle taholle. Palvelun ostajalla ei yleensä ole edes tietoa siitä, mihin hänen tietonsa ovat tallentuneet.

Käytetyn datan ja tiedon tietosuoja sekä toiminnan tietoturva ovat palveluntarjoajan ja hänen mahdollisten alihankkijoidensa varassa. Käyttäjän yrityssalaisuuksien ja muun arkaluontoisen ja kriittisen tiedon ulkopuolisista säilyttäjistä ja mahdollisista väärinkäyttäjistä ei ole tietoa.

Palvelun ostajalla ei yleensä ole edes teknistä mahdollisuutta ottaa varmuuskopioita datastaan. Eräissä tapauksissa ostajalla on mahdollisuus palvelua ostaessaan määrittää, että hänen henkilötietojaan säilytetään ja käsitellään ainoastaan Euroopan Unionissa sijaitsevilla palvelimilla. Tällöin vältytään näiden tietojen EU:n ulkopuoliseen hallinnointiin liittyviltä ongelmilta.

Pilvipalvelut ovat massapalveluja. Tarjoaja pyrkii myymään kaikille asiakkailleen samanlaisia vakiotuotteita vakioehdoilla. Pilvipalvelujen ostaja ei juuri voi vaikuttaa myyntiehtoihin tai palveluntarjoajan vastuuvapauslausekkeisiin. Palveluntarjoaja lupaa hyviä palvelutasoja, mutta näihin liittyvät sanktiot ja hyvitykset ovat yleensä pieniä. Kunkin palveluntarjoajan oma tekninen toteutustapa vaikeuttaa myös eri palveluiden keskinäistä vertaamista.

Palvelun ostaja tulee riippuvaiseksi palvelun tarjoajasta ja hänen palveluistaan. Monelle pilvipalvelulle ei yleensä ole vastaavaa korviketta itsenäisenä tuotteena ilman pilvipalvelua.

Osassa palveluista käyttäjän oma toiminta on hyvin rajoitettua. Tietojen siirto ja muuntaminen toiselle, vaihtoehtoiselle järjestelmälle voi olla vaikeaa tai mahdotonta ja ainakin ylimääräinen kuluerä. Palveluntarjoaja avustaa näissä siirtotilanteissa minimaalisesti, jos lainkaan.

Palvelujen käyttäminen edellyttää toimivaa tietoliikenneyhteyttä, joten ostajan on panostettava tähän liittyvään tekniikkaan. Myös palveluntarjoajan laitteisto on altis teknisille ongelmille, joten ostaja on käytännössä täysin riippuvainen palveluntarjoajan varmuuskopioinneista. On jo esiintynyt tilanteita, joissa palveluntarjoajan järjestelmistä on kadonnut kaikki palvelun ostajan data. Pilvipalveluiden hyödyntäminen ostajan kannalta kriittisen datan käyttöön ei kaikissa tilanteissa olekaan järkevää.

Palvelun lopettamisesta sovittava
Pilvipalvelusopimuksissa painotetaan käytön hallintaa ja palvelutasoja eli miten ja millaisena palvelu on käytettävissä. Kuten kaikissa IT-hankinnoissa, on tärkeä tietää, maksetaanko palveluista käyttömäärän, palveluresurssien vai käyttäjämäärän mukaan. Asiakkaan datan käsittely, kuten varmuuskopiointi, tietoturva ja henkilötietojen käsittely, liittyvät pilvipalvelusopimuksiin korostetusti. Jos pilvipalvelut ovat teknisesti vaikeasti korvattavia ja yrityksille kriittisiä, tulisi sopimuksessa ottaa huomioon niin sanotut exit-järjestelyt eli miten palveluhankinta voidaan lopettaa vaarantamatta ostajan liiketoimintaa.

Pilvipalvelusopimukset ovat palvelujenostosopimuksia, joissa sovelletaan palveluntarjoajan vakioehtoja. Palveluntarjoaja pyrkii minimoimaan omaa vastuutaan datan häviämisestä tai vahingoittumisesta sekä palvelutason laskemisesta ja tietoturvasta.

Erityisehtoja pilvipalveluille
Alan yleisissä sopimusehdoissa eli IT 2010 -ehdoista löytyy pilvipalveluja koskeva osuus, ”Erityisehdot tietoverkon välityksellä toimitettavasta palvelusta (ETP)”. Ehdot ovat yleisen käsityksen mukaan toimittajamyönteisiä kuten muutkin IT 2010-ehdot, mutta kuitenkin hyvä lähtökohta osapuolten yhteiselle sopimukselle.

ETP-ehtojen mukaan toimittajalla on oikeus tehdä palveluun mitä tahansa, esimerkiksi palvelua, hintoja tai palvelutasoa koskevia muutoksia. Toimittajalla on myös oikeus estää asiakkaan pääsy palveluun esimerkiksi jos asiakas ”kuormittaa palvelua”. Ostajan on sovittava tarkemmin näiden ETP-ehtojen mukaisista määrittelyistä sopimuksessaan. Pilvipalveluntarjoajien määrän lisääntyessä ostajilla on aiempaa paremmat mahdollisuudet vaikuttaa sopimuksiin ja omiin oikeuksiinsa. Myös alan sopimukset harmonisoituvat ja niitä on helpompi vertailla.

Pilvipalvelut ovat nykyisin hyvin yleisiä. Niiden avulla ostaja voi säästää kustannuksia ja vähentää huolenpitoa IT-toiminnoistaan. Pilvipalveluiden käyttämisessä on kuitenkin omat oikeudelliset ja tekniset yksityiskohtansa, jotka on käyttöä harkittaessa otettava huomioon. Pilvipalvelut ovat tulleet jäädäkseen.

 

Ilkka Vuorenmaa
Senior Associate
Asianajotoimisto Borenius Oy

Share: