Pohjois-Atlantin liitto Nato, jonka 31. jäsenvaltio Suomi on ollut vuodesta 2023, on poliittis-sotilaallisen yhteisön ohella ennen kaikkea tiedonhallintaa tehokkaasti hyödyntävä organisaatio. Ymmärrettävistä syistä tieto resurssina on toimintavarman yhteiskunnan yleisen resilienssin sekä sotilaallisen varautumisen ja toiminnan vankka perusta.
Natossa tiedonkäsittelyn perustana käytettävät menettelyt on selkeästi määritelty. Ne on kattavasti koottu julkaisuun “Nato Policies and Directives Related to Information Management”. Se puolestaan jakautuu sisällöllisesti neljään osioon: tiedonhallinta, rekisterien hallinta, tiedon julkisuuden hallinta sekä turvallisuuskysymykset. Naton toimintaan liittyy myös runsaasti terminologiaa ja lyhenteitä. Valtioneuvoston kanslia on koonnut tähän liittyen erillisessä terminologiaprojektissa VNK:n verkkosivujen kautta löytyvän Nato-sanaston.
Pohjois-Atlantin neuvosto (NAC) on Naton korkein päättävä toimielin. Se koostuu jäsenvaltioiden pysyvistä edustajista kokoontuen vähintään kerran viikossa. Neuvoston puheenjohtajana toimii Naton pääsihteeri ja päätökset tehdään yksimielisesti. Naton neuvosto on ainoa järjestön elin, joka saa toimivaltuutensa suoraan Pohjois-Atlantin sopimuksesta. Se antaa neuvostolle muun muassa valtuuden asettaa muita toimielimiä, joita onkin ajan saatossa ja liittokunnan kasvaessa syntynyt suurehko määrä.
Nato-tiedon hallintaan käytettävistä tietojärjestelmistä
Nato tarjoaa organisaationa jäsenvaltioidensa käyttöön eräitä tietojärjestelmiä, joiden kautta on pääsy järjestön yhteisiin viestintäjärjestelmiin sekä tietovarantoihin. Näistä vastaa monen muun tehtävänsä ohella Natossa toimijana Naton tietojärjestelmävirasto (Nato Communication and Information Agency, NCIA). Edelleen jäsenvaltiota tarvitsevat omaan sisäiseen käyttöönsä tiedon turvatasovaateista riippuen sisäisiä järjestelmäratkaisuja. Naton käyttämät turvatasomääritelmät ovat kansallisia turvaluokkamäärityksiämme läheisesti vastaavasti Cosmic Top Secret, Secret, Confidential ja Restricted. Lisäksi käytössä ovat merkinnät Unclassified, joka on aineistona nimensä mukaan luokittelematonta, mutta ei julkista sekä Releasable to…, jolla ilmoitetaan dokumentissa liittokuntaan kuulumattomat maat, jolle kyseessä oleva aineisto voidaan jäsenmaiden lisäksi jaella. Nato antaa rajallisesti käyttöön tietojärjestelmäyhteyksiä ja -ratkaisuja myös kumppanimailleen.
Suomella on ollut edellä kuvatulla tavalla käytössään joitakin Naton yhteysjärjestelmiä käytössään liityttyään vuonna 1994 Naton rauhankumppanuusohjelmaan (Partnership for Peace, PfP). Täysjäsenyyden toteuduttua on tarvetta laajempaan tiedonvaihtoon. Toiminnallisesti, paitsi että välitetään aineistoa, on tarpeen omata kyvykkyyksiä myös erilaisiin viestinnällisiin palveluihin sekä kansalliseen sisäiseen työstöön otettaessa kantaa avoinna oleviin kysymyksiin täysivaltaisina puolustusliiton jäseninä. Pääosa Naton tietoaineistojakeluista kohdentuu Suomessa ulko- ja puolustusministeriölle sekä Puolustusvoimille.
Suomessa on siis tarpeen olla käytettävissä Nato-tietoa käsittelevien viranomaistahojen tarpeisiin toteutettuja tietoympäristöratkaisuja, joiden avulla esimerkiksi kansallinen kannanmuodostus esille nousseisiin Nato-liityntäisiin kysymyksiin on mahdollista valmistella. Lisäksi tarvitaan rajapintaratkaisuja, joiden ylitse kansallista ja Nato-luokiteltua aineistoa on mahdollista siirtää ympäristöstä toiseen hallitusti. Järjestelmien turvallisuuden todentaminen ja hyväksyntä käyttöön tapahtuu pitkälti vastaavasti kuin kansallisten turvallisuusluokiteltujen järjestelmien arviointi jäännösriskien tunnistamisineen ja hyväksymismenettelyineen.
Suomelle luovutetun luokitellun EU-aineiston ja Nato-aineiston asianmukaisesta käsittelystä vastaa ulkoministeriön yhteydessä toimiva Kansallinen turvallisuusviranomainen (NSA). Sen tehtävänä on kansainvälisen tietoturvallisuusvelvoitelain mukaisesti ohjata ja valvoa, että Suomelle toimitettu kansainvälinen turvallisuusluokiteltu tieto suojataan ja sitä käsitellään asianmukaisesti. NSA:n rooliin kuuluvat muun muassa määräajoin toistuvat auditoinnit käsittelyturvallisuuteen ja -asianmukaisuuteen liittyen. Auditointeihin osallistuu tiedon omistajan taholta Naton turvallisuustoimisto (Nato Office of Security, NOS) ja niitä toteutetaan muutaman vuoden välein kussakin jäsenvaltiossa.
Naton arkistokomitean tehtävät ja toiminta
Naton toiminta on jaoteltu sisäisesti toiminnallisesti siviili- (POL) ja sotilasrakenteisiin (MIL). Naton valmistelu- ja päätöksentekomalli perustuu pitkälti jäsenvaltioiden yhteistyötä korostavaan komiteatyöhön. Erilaisia komiteoita on noin kolmisenkymmentä ja tiedon hallinnan roolin suhteen siihen liittyviä on eri painotuksella lukuisia, kuten esimerkiksi digitaalipolitiikkakomitea ja vaikkapa kyberpuolustuskomitea. Tiedonhallinnan kannalta keskeisessä roolissa on Naton arkistokomitea.
Arkistokomitean toiminta on kuivahkosta nimestään huolimatta hyvin monipuolista. Sen tehtävänä on avustaa ja neuvoa Pohjois-Atlantin neuvostoa kaikissa arkistoihin ja rekisterien hallintaan liittyvissä asioissa. Näin pyritään varmistamaan pysyvästi säilytettäväksi arvotetun Nato-tiedon säilyminen ja myös julkinen saatavuus Naton arkistoissa. Komitea raportoi suoraan neuvostolle ja se on ainoa toimielin, jolle on määritelty järjestön laajuinen vastuu Naton rekistereistä ja arkistoista.
Arkistokomitean mandaattina on ylläpitää, kehittää ja implementoida rekisterinpito- ja arkistointipolitiikkaa ja toimintamalleja koko Nato-organisaation laajuisesti. Tällä varmistetaan, että tiedonhallinnan tarpeet esimerkiksi Naton operaatioihin liittyen täyttyvät ja kehittyvät. Komitea kokoontuu vuosittain, mutta tarvittaessa useamminkin. Kokousten yhteydessä järjestetään yleensä myös tiedon hallintaan liittyvä teemaseminaari. Naton jäsenvaltiot ovat edustettuna komiteassa; Suomen edustuksesta vastaavat ulkoministeriö ja valtioneuvoston kanslia.
Naton arkistonhoitaja vastaa komitean puolesta organisaation laajuisten tiedon hallintaan liittyvien politiikkojen ja direktiivien luonnostelusta, julkaisemisesta sekä soveltamisesta toimien organisaation institutionaalisen muistin hallinnoijana. Vastuukokonaisuuteen kuuluvat kahtena pääalueena, toisaalta tiedon hallinta ja säilyttäminen ja toisaalta deklassifiointi ja julkistamiseen liittyvät tehtävät. Deklassifioinnin suhteen 30 vuotta vanhempien aineistojen osalta tehdään julkisuusarviointi ja julkisiksi arvioidut dokumentit ovat tutkijoiden käytettävissä arkiston lukuhuoneessa Naton päämajassa Brysselissä. 30 vuotta nuorempaan aineistoon tehtyjen ad hoc -tietopyyntöjen arviointi jäsenvaltioiden viranomaistahojen toimesta kuuluu myös arkistokomitean tehtäviin.
Tiedon hallinnan ulottuvuuksista ja uhkatekijöistä
Naton omistaman tiedon käsittelyprosessiin kuuluu tiedon rekisteröinti sitä vastaanottavan tahon toimesta. Tämä on osa tiedon elinkaaren hallintaa; on tiedettävä tiedon saapuneen perille, minne se on edelleen jaeltu ja lopultakin tarpeettoman aineisto tuhoamisen yhteydessä toiminnon tapahtuneen asianmukaisesti sovitulla prosessilla. Nato korostaa vahvasti need-to-know-periaatetta. Tieto tulee saattaa nähtäville ja käyttöön ainoastaan niille henkilöille, jotka sitä työssään tarvitsevat.
Tiedon hallinta on ollut jo pitkään murroksessa sen johdosta, että paitsi sen käsittelyssä käytettävä teknologia, myös tiedon olomuodot ovat monipuolistuneet paljon siitä, kun aineisto liikkui pääsääntöisesti paperilla. Yksittäinen dokumentti oli mahdollista luokitella yksiselitteisesti, mutta muutos tähän tilanteeseen on ollut suuri. Tieto tallentuu rekistereihin, tietokantoihin, lokitiedostoihin. Se voi sisältää liikkuvaa kuvaa tai ääntä. Sitä on yhä helpompaa väärentää. Digitalisaatioon liittyvien mahdollisuuksien ohella myös uhat on tunnistettu myös Natossa osana kyberuhkiin liittyvää kehitystä ja Nato onkin perustanut lukuisia toimielimiä erityisesti tietoon kohdentuvien uhkien hallintaan. Suomea lähinnä toimintaan kytkeytyy naapurimaassamme Virossa kyberturvallisuuden kentällä yhteistyöhön ja yhteisen kyberpuolustuksen kehittämiseen paneutuva Nato Cooperative Cyber Defence Centre of Excellence, CCDCOE.
Nato on tiedon hallintaan liittyen nopea adaptoimaan uusia teknisiä välineistöjä ja tiedon hallinnan megatrendejä. Näitä ovat esimerkiksi pilvipalvelujen hyödyntäminen ja erityisesti tekoälyn tarjoamat mahdollisuudet tiedon analysoinnissa ja vaikkapa autonomisessa aseteknologiassa. Näiden osalta digitalisaation tuoman muutoksen hallintaan on esitetty Naton soveltamat periaatteet jo vuonna 2022 laaditussa yhteenveto- ja implementaatiomallissa.
Lisätietoja Natosta organisaationa ja sen toiminnasta myös tiedon hallintaan liittyen on löydettävissä kattavasti osoitteesta www.nato.int ja Suomen edustustosta organisaatiossa osoitteessa https://finlandabroad.fi/web/nato/etusivu
Kirjoittaja
Ari Uusikartano on työskennellyt ulkoministeriön tietohallintojohtajana vuodesta 2005. Hän on mukana lukuisissa kansallisissa ja EU-tason tieto- ja kyberturvallisuuden kehittämishankkeissa. Uusikartano on suorittanut 178. maanpuolustuskurssin.