The Rationality Gap between Cyber Security and Rule of Law in Extra-Territorial Processing of Classified Information on Cloud Environments

Abstract

Kysymys turvaluokiteltujen tietojen käsittelyn alueellisista rajoituksista on merkityksellinen ja jatkuva haaste puolustusalan, turvallisuuden ja tekniikan aloilla toimiville organisaatioille. Monikansallisissa ympäristöissä toimivien yritysten sääntelyvaatimuksiin ja kannattavuuteen liittyvien haasteiden vuoksi on perusteltua siirtyä kohti pilviratkaisuja myös salassa pidettävää tietoa koskevissa hankkeissa. Toisen maan viranomaisten aiheuttamaa tietoturvariskiä turvaluokiteltujen tietojen käsittelyssä ko. maassa sijaitsevissa pilviympäristöissä ei ole arvioitu asianmukaisesti.

Tässä tutkimuksessa keskitytään riskinarviointiin, joka liittyy valtiollisten toimijoiden aiheuttaman riskin validointiin oikeusvaltion puitteissa yhdistämällä oikeudellisten tekijöiden vaikutukset tietoturvaan salassa pidettävien tietojen käsittelyssä toisen maan pilviympäristöissä. Tavoitteena oli tutkia nykyisen riskinarviointimenetelmän laajuutta toisen valtion alueella tietojärjestelmissä käsitellyn turvaluokitellun tiedon suojaamiseksi. Toisena tavoitteena oli luoda laajennettu malli eri standardeissa ja normatiivisissa asiakirjoissa (kuten PiTuKri) käytettävälle riskinarvioinnille sisällyttämällä siihen myös olennaiset oikeudelliset riskitekijät. Tutkimus on rajattu kysymyksiin, jotka liittyvät turvaluokitellun tiedon suojaamista koskevan toimintapolitiikan ja käytänteiden kehittämiseen. Tutkimustavoitteiden saavuttamiseksi sovellettiin konstruktiivista tutkimusotetta vahvistettuna oikeusdogmaattisella menetelmällä.

Yrityksillä on laajasti oikeuksia, joista osaa voidaan pitää perusoikeuksien tasoisena, ja jotka ovat tasapainottava tekijä turvallisuusviranomaisten toimivallan arvioinnissa. Valtioiden vastuulla turvata näitä oikeuksia on vaikutusta todennäköisyyteen murtaa yksityisesti hallussa olevien turvaluokiteltujen tietojen luottamuksellisuus myös silloin, kun soveltuva toimivalta on laissa määritelty. Näihin realiteetteihin ja toimintaan on tarpeen perehtyä, ja se edellyttää monitieteistä lähestymistapaa. Johtopäätöksenä todetaan, että oikeusvaltioperiaatteen aiheuttamien oikeudellisten tekijöiden vaikutusten huomioiminen on tarpeellista riskin asianmukaiseksi arvioimiseksi.

Tutkimuksen tuloksena on laajennettu oikeudellinen riskinarviointimalli, jota voidaan käyttää eri standardien ja kriteeristöjen, kuten PiTuKri, kehittämisessä tai erillisenä komponenttina tietoriskien arvioinnille. Malli sisältää tekijöitä, jotka koskevat oikeusvaltion noudattamista ja tekijöitä, jotka koskevat valtion turvallisuussektorin valtuuksia ja toimintoja. Laajemmasta yhteiskunnallisesta ja teknologisesta näkökulmasta tutkimuspanos on yksi ääni ja yksi näkökulma keskustelussa digitaalisesta luottamuksesta.

The question on territorial limitations to processing classified information is pressing and ongoing challenge within the industries operating in the fields of defence, security and technology. Due to the complexities and concerns over profitability for companies operating in multi-national settings warrants for moving towards cloud solutions also in operations involving classified information. The risk posed by governmental actors to the information security in extra-territorial processing of classified information on cloud environments has not been appropriately addressed.

This study focuses on the risk assessment associated with the validation of risk posed by governmental actors in the context of rule of law by consolidating the effects of jurisprudential factors to the information security in extra-territorial processing of classified information on cloud environments. The objective was to examine the extent of present risk assessment methodology concerning the protection of classified information processed in computer systems in the territory of another state. The second objective was to construct a model to consolidate the risk assessment utilized in various standards and normative documents such as PiTuKri by incorporation of jurisprudential risk factors. The study is limited to the issues relating to the development of policy and practice on protecting and securing government-classified information. To fulfill the research objectives a constructive research approach was applied and reinforced by the method of legal dogmatism.

Companies enjoy a wide variety legal rights—even fundamental rights—that should be utilized as the balancing weight to security authorities’ intrusive and coercive powers. Hence, the responsibility of states to protect those rights have an effect on the probabilities of breaching the confidentiality of privately-held classified information—even when such legal powers would exist in the law. The findings of the study suggest for the inclusion of the element of rule of law by consolidating the effects of jurisprudential factors is to assess and validate the risk appropriately. The realities of states and how they operative should be examined and warrants for a multidisciplinary approach. The output of the study is the consolidated model “jurisprudential analysis framework” for the risk assessment that can be utilized in various standards and normative documents such as PiTuKri, or as a stand-alone risk analysis component for information risks. The framework introduces factors that concern the sate adherence to rule of law and factors concerning the powers and activities of the state security sector. From a wider societal and technological standpoint, the research contribution is one voice, one perspective in the discussion of trust in cyberspace.