Nyky-yhteiskunta on äärimmäisen riippuvainen ohjelmistoista. Tuhansien kriittisten järjestelmien jatkuvan saatavuuden varmistaminen on digitaalista huoltovarmuutta. Väitän, että avoin lähdekoodi on yksi parhaista tavoista parantaa ohjelmistojen huoltovarmuutta.
Eurooppalaisessa keskustelussa on viime aikoina noussut voimakkaasti esiin digitaalisen suvereniteetin vaatimus, eli ajatus miten Euroopan pitäisi kyetä tuottamaan tarvitsemiaan tietojärjestelmiä itsenäisesti - erityisesti ilman riippuvuutta Yhdysvaltoihin. Tavoite on vaikea tai jopa mahdoton ainakin lyhyellä aikavälillä.
Suomessa ajatus on ottanut vähemmän tulta. On kaikille selvää, ettemme koskaan kykenisi kehittämään kaikkia tarvitsemiamme ohjelmistoja kotimaassa. Suvereniteetin kaltainen mahtipontinen käsite myös sopii huonosti kotimaiseen keskusteluun.
Sen sijaan pitäisi puhua digitaalisesta huoltovarmuudesta. Huoltovarmuus on sitä, että vatumalla ennakkoon selviämme kriiseistä jos niitä tulee. Digitaalinen huoltovarmuus on siis varautumista siihen, että jonkin keskeisen tietojärjestelmän käyttö estyy eri syistä.
Vahvimmin digitaalisen huoltovarmuuden ongelma on tullut viime aikoina esiin keskustelussa hävittäjistä ja muista asejärjestelmistä. Jos hävittäjän toimittajavaltio voi etänä lopettaa päivitykset, sammuttaa koneen ominaisuuksia tai jopa estää sen käytön kokonaan, muodostaa tämä ilmeisen riskin, johon käyttäjävaltion on pakko varautua poliittisesti ja teknisesti.
Aivan sama koskee kuitenkin lähes kaikkia ohjelmistojärjestelmiä. Ja koska kaikki maailman asiat toimivat ohjelmistojen varassa, tämä koskee ihan kaikkea. Ruuantuotantomme, terveydenhoitomme, julkinen liikenne ja sähköjakelumme perustuvat kymmenien tai satojen tietojärjestelmien toimintaan. Lukuisat näistä järjestelmistä ovat välttämättömiä tai yhteiskunnan toiminta menee sekaisin hyvinkin nopeasti.
Näitä riippuvuuksia on eri suuntiin ja mikä pahinta, osa niistä ei ole edes tiedossa. Merkittävin kysymys juuri nyt ovat riippuvuudet yhdysvaltalaisiin yrityksiin. Jokaisella organisaatiolla olisi syytä olla ajantasainen käsitys, mitä tarkoittaisi, jos henkilötietoja ei saisi enää säilyttää amerikkalaisten yritysten hallitsemissa järjestelmissä kuten AWS tai Salesforce. Tai vielä pahempana skenaariona, jos joidenkin järjestelmien tai ohjelmistojen saatavuutta Eurooppaan rajoitettaisiin osana kauppasotaa. Taloudellisesti tuollaisessa rajauksessa ei tietenkään olisi mitään järkeä, mutta eipä ole Kanadan valtausuhkauksissakaan. Myös järjettömään pitää varautua.
Monimutkaisessa maailmassa ajatus omavaraisuudesta ei ole realistinen. Meitä on Suomessa viisi miljoonaa ja vaikka kaikki ryhtyisimme koodereiksi tänään, ei se riittäisi siihen että kykenisimme tuottamaan kaikki järjestelmät, joita tekninen sivilisaatiomme käyttää. Euroopan 500 miljoonaa asukasta on jo vahvempi väestöpohja, mutta teknistä velkaa on niin paljon, että jopa Euroopan tasolla on pakko priorisoida mitä kriittisiä ohjelmistoja tehdään itsenäisesti. Loppujen osalta riippuvuuksia pitää hallita.
Yksi tärkeimmistä keinoista riskien rajaamisessa on käyttää avoimen lähdekoodin järjestelmiä. Avoimen koodin ydinajatus on, että järjestelmän käyttäjä VOI ylläpitää järjestelmää ja tarvittaessa kehittää sitä eteenpäin itsenäisesti. Äärimmäisen pieni osa useimpien järjestelmien käyttäjistä tekee tällaista itsenäistä kehitystä, mutta mahdollisuus on olemassa.
Perinteisen suljetun ohjelmiston tai pilvipalvelun lähdekoodi, johon järjestelmän toiminta on määritelty, on vain sen kehittäjäyrityksen hallussa. Usein järjestelmää ei voi edes operoida ilman kehittäjäyrityksen aktiivista myötävaikutusta. Avoimella lähdekoodilla tämä ehdoton riippuvuus poistuu. Jos järjestelmää kehittänyt tai operoinut yritys katoaa, seuraa siitä varmasti hankaluuksia, mutta korvaava ratkaisu on mahdollinen - ja hyvällä varautumisella siirtymä voi olla jopa sujuva.
Avoin koodi mahdollistaa tai helpottaa varautumissuunnitelmia useita erilaisia riskiskenaarioita vastaan. Jos amerikkalaisten kanssa yhteistyö täytyy lopettaa, voidaan toimia vain Euroopassa. Jos lainsäädäntö kieltää henkilötietojen viennin maasta, voidaan pilvessä toimiva palvelu siirtää kotimaahan. Jos yritys joutuu pakotteiden kohteeksi, voidaan hakea uusi tomittaja. Ja niin edelleen.
Kaikkiin käyttötarpeisiin ei ole olemassa sopivaa avoimen lähdekoodin järjestelmää, mutta yhä useampiin on. Jos kriittinen palvelu on mahdollista toteuttaa perustuen avoimen lähdekoodin järjestelmään, se on yleensä huoltovarmempaa perustaa siihen.
Kaikkien julkisten toimijoiden ja myös yritysten pitäisi tunnistaa digitaaliset riippuvuutensa ja laatia digitaalinen huoltovarmuussuunnitelma, jossa määritellään erilaisten riskien hallintatavat ja toimintasuunnitelmat riskien toteutuessa.
Kirjoittaja toimii toimitusjohtajana yrityksessä, joka mielellään auttaa ottamaan käyttöön ja ylläpitämään avoimen lähdekoodin järjestelmiä.
Otso Kivekäs, toimitusjohtaja, +358 44 3336338, otso.kivekas@haltu.fi
