Jarovajan laki

Venäjän telemarkkinaa on viime vuosina ohjannut yksi realiteetti yli muiden, Jarovajan laki (FZ-374). Se teki tietoliikenteen tallentamisesta pakollista ja kallista myös pienille, alueellisille toimijoille, joilla ei ole omaa kapasiteettia tai osaamista rakentaa vaatimustenmukaisia tietovarastoja.

Laki hyväksyttiin ja allekirjoitettiin 6.7.2016. Suuri osa säännöksistä tuli voimaan saman vuoden heinäkuussa, mutta keskeiset datan massatallennusvelvoitteet (sisältö- ja metadatavarastointi) astuivat voimaan 1.7.2018 ja niitä on toteutettu vaiheittain.

Jarovajan lait ja SORM liittyvät suoraan toisiinsa. Molemmat koskevat Venäjän viranomaisten mahdollisuuksia valvoa ja tallentaa viestintää.

Jarovajan laki loi lainsäädännölliset puitteet ja tallennusvelvoitteet, kun taas SORM on tekninen infrastruktuuri, jolla valvonta toteutetaan. Yhdessä ne mahdollistavat Venäjällä sekä reaaliaikaisen että jälkikäteisen viestinnän valvonnan.

SORM (Система оперативно-разыскных мероприятий, "operatiivisen valvonnan järjestelmä") on Venäjän tiedusteluviranomaisten tekninen järjestelmä, jonka avulla voidaan seurata puhelin-, internet- ja muuta tietoliikennettä. Se on otettu käyttöön jo 1990-luvulla ja sen eri versiot (SORM-1, SORM-2, SORM-3) ovat laajentaneet valvonnan kohteita ja teknisiä kykyjä.

Jarovajan lakipaketti on virallisesti osa laajempaa terrorisminvastaista lainsäädäntöä. Se toi merkittäviä uusia velvoitteita teleoperaattoreille ja internet-palveluntarjoajille. Laki velvoittaa tallentamaan käyttäjien viestinnän sisältöä ja metadataa pitkiä aikoja (sisällöt jopa 6 kk, metadata jopa 3 vuotta, riippuen toimijasta).

Laki edellyttää myös, että viestintäpalvelut antavat viranomaisille salauksen purkuavaimet. Käytännössä tämä laajentaa ja vahvistaa SORM-järjestelmän käyttöä. Nyt ei ainoastaan seurata reaaliaikaisesti, vaan myös arkistoidaan valtava määrä viestintädataa viranomaisten saataville.

Viime vuosina lain rikkomisesta on alettu langettaa merkittäviä sanktioita, mikä on vauhdittanut investointeja ja avannut tilaa uudelle STaaS-palvelumarkkinalle (Storage-as-a-Service). Tälle markkinalle ovat tulleet mm. valtionyhtiö Rostelecom, rautatiekonserni RŽD:n TTK sekä nyt myös VimpelCom/Beeline, joka on päättänyt tuotteistaa tietovarastopalvelun.

Ajatus on yksinkertainen. Suuri operaattori rakentaa tallennusinfrastruktuurin ja myy siitä skaalautuvia “siivuja” pienemmille operaattoreille. Näin pienemmät toimijat voivat täyttää Jarovajan lain vaatimukset ilman omaa CapExia eli ilman suuria pääomamenoja (Capital Expenditures), joita oma järjestelmä-, laitteisto- ja infrastruktuuri-investointi vaatisi.

Beeline ja Jarovajan lain synnyttämä uusi markkina
Venäjän telemarkkinassa avautui erikoinen mutta looginen kapeikko. Jarovajan lain (FZ-374) ja siihen tehdyt muutokset terrorisminvastaisiin lakeihin merkitsivät teleliikenteen tallentamisesta pakollista kaikille operaattoreille, mutta sen toteuttaminen on monelle pienelle toimijalle taloudellisesti raskasta.

Kun velvoite on absoluuttinen, syntyy markkina ja palvelu sen täyttämiselle. Tälle markkinalle ovat asettuneet valtionyhtiö Rostelecom, rautatieyhtiö RŽD:n omistamaan konserniin kuuluva TTK, ja nyt myös VimpelCom/Beeline.

Lain logiikka ja kustannuspaine
Jarovajan laki velvoittaa operaattorit säilyttämään viestinnän sisältöä ja metatietoja: puhe- ja videoliikennettä kuukausia, viestien sisältöä myös kuukausia ja metatietoja vielä pidempään.
Velvoite koskee koko kenttää, valtakunnallisista mobiilijäteistä korttelitason kiinteän verkon tarjoajiin.

Jo aiemmin suurimmat operaattorit arvioivat, että datan tallennus syö 10–20 % verkkojen ylläpidon ja kehittämisen kustannuksista usean vuoden jaksolla. Pienelle alueelliselle ISP:lle oma, normien mukainen tallennusjärjestelmä (laitteet, kapasiteetti, ohjelmistot, ylläpito) on usein ylimitoitettu investointi.

Samaan aikaan sääntely kiristyy. Vuodesta 2024 alkaen viranomaisvalvonnan perustella on langetettu hallinnollisia seuraamuksia. Liikevaihtoperusteiset sakot kasvattavat konkreettisesti noudattamatta jättämisen hintaa. Kun kepin isku tuntuu kassassa, kiinnostus ostaa valmis palvelu kasvaa.

Beelinen malli
Beelinen operaattoriliiketoiminnasta vastaavan varajohtajan Sergei Bykovin mukaan yhtiö on tuotteistanut liikenteen tallennuksen ulkoistusmalliksi. Perusajatus on yksinkertainen. Beeline hankkii ja ylläpitää tallennusjärjestelmiä omiin konesaleihinsa ja myy niistä viipaleita (“slices”) pienille ja keskisuurille operaattoreille juuri sen verran kuin kunkin velvoitteet edellyttävät.

Asiakas saa yhden tai kaksi tallennusyksikköä tai laajemman kapasiteetin tarpeen mukaan; Beeline hoitaa laitteiston, ohjelmiston, päivitykset ja operoinnin.

Taloudellinen logiikka on kaksisuuntainen. Pienelle ISP:lle kokonaisen DSS-kokonaisuuden (storage, compute, ohjelmistot, tuki) hankinta omaan konesaliin on raskas ja hidas.

Ostopalvelu muuttaa CAPEXin OPEXiksi ja skaalautuu tarpeen mukaan. Beelinelle taas syntyy mittakaavaetu, kun samaa alustaa ja operatiivista kyvykkyyttä voi myydä kymmenille asiakkaille, jolloin lain noudattamisesta tulee osa liiketoimintaa, ei vain kuluerä.

Kilpailu ja asemoituminen
Beeline ei ole ensimmäinen. Rostelecom on jo tarjonnut “SORM operaattoreille” -palvelua, johon sisältyy liikenteen varastointi, ohjelmisto- ja laitealustat sekä käytännön vuorovaikutus sääntelijöiden kanssa. TTK on puolestaan paketoinut “374-lain mukaisen tallennuksen” osaksi laajempaa palvelukokonaisuutta (SORM-2/3, liikenteen välityksen reaaliaikainen seuranta). Molempien etu on olemassa oleva, valtakunnallinen runkoverkko- ja konesali-infrastruktuuri sekä institutionaalinen kokemus viranomaisten vaatimuksista.

Beeline tuo tähän kilpailuun operaattoritason kaupallistamisen. Modulaarinen kapasiteettimyynti “viipaleina” ja tuotteistettu, outsourcing-henkinen malli, joka on helppo ostaa. Etenkin alueelliselle tai taloyhtiöverkkoja ylläpitävälle toimijalle se on houkutteleva kompromissi. Lain velvoite täyttyy, mutta oma organisaatio ei huku hankintojen, päivitysten ja auditointien viidakkoon.

Kuka tätä palvelua tarvitsee?
Analyytikoiden arviot viittaavat siihen, että sadat regionaaliset ISP:t voisivat olla potentiaalisia asiakkaita. Nämä toimijat muodostavat merkittävän osan kiinteän laajakaistan saatavuudesta, mutta niiden taserakenne ja henkilöstö eivät ole luotuja raskaan sääntelyteknologian ylläpitoon. Moni iso toimija mukaan lukien MVNO:t, jotka nojaavat isäntäoperaattorin tekniseen kyvykkyyteen, on jo nyt ulkoistanut vastaavia osa-alueita. Jarovaja lain vaatimusten palvelullistaminen on jatkumoa tälle kehitykselle.

Käytännön reunaehdot ja jännitteet
Ulkoistus ei poista vastuuta. Vaikka iso operaattori tarjoaa tallennuksen, vastuu sääntelijän suuntaan jää edelleen palvelun ostavalle operaattorille. Tämä asettaa painetta sopimusehtoihin. Läpinäkyvä palvelukuvaus, auditointioikeudet, varautuminen kapasiteetin lisäämiseen, sekä selkeät roolit tietojen luovutuksessa viranomaisille. Teknisellä tasolla pitää olla ratkaistu integraatio SORM-järjestelmiin, tietoturvallinen siirtopolku ja toimintavarmuus (redundanssit, SLA).

Lisäksi henkilötietolain (ja muiden tietosuojasääntöjen) tulkinta vaikuttaa siihen, mitä ja missä voidaan säilyttää, miten kauan ja kenen vastuulla. Vaikka Jarovaja laki ohittaa monta yksityisyyttä suojaavaa periaatetta, palvelun tarjoaja ja ostaja joutuvat silti varmistamaan, että tallennus, käsittely ja raportointi tapahtuvat pykälien mukaisesti ja että tiedon minimoinnin ja pääsynhallinnan periaatteet on toteutettu.

Taloudellinen ja strateginen ulottuvuus
Velvoite synnyttää kustannuksia, mutta myös uuden tukkupalvelun. Isoille toimijoille tallennuskapasiteetin rakentaminen on ollut väistämätön investointi. Tämä voi tasapainottaa niiden kustannusrasitetta ja samalla lukita pieniä operaattoreita toimittajasuhteisiin, joissa data ja noudattaminen ovat käytännössä sidottuja yhteen alihankkijaan. Pienelle ISP:lle tämä on kaksiteräinen miekka, toisaalta helpotus ja riskin pienentyminen, toisaalta riippuvuus yhdestä kumppanista kriittisessä perustoiminnossa.

Normin sanelema palvelu
Beelinen tulo liikenteen tallennuksen ulkoistusmarkkinalle on johdonmukainen seuraus kahdesta asiasta, kovasta normiohjauksesta ja skaalaeduista.

Kun sakot ja tarkastukset tekevät noudattamisesta välttämättömän ja kiireellisen, markkina palkitsee toimijat, jotka pystyvät paketoimaan noudattamisen ostettavaksi “plug-and-play”-palveluksi.

Tässä asetelmassa voittajia ovat ne, jotka yhdistävät teknisen kyvykkyyden, maanlaajuisen infrastruktuurin ja valmiin asiointisuhteen viranomaisten kanssa.

Samalla avoimeksi jää kaksi kysymystä. Ensinnäkin, miten läpinäkyvästi ja turvallisesti ulkoistettu tallennus hoidetaan, kuka näkee mitäkin, millä valtuuksilla ja millaisin lokituksin? Toiseksi, missä määrin Jarovaja lain noudattaminen muuttaa kilpailudynamiikkaa.

Luoko se kustannus- ja osaamistarpeita, joita pienimmät toimijat eivät enää pysty täyttämään, vai vapauttaako se ne keskittymään siihen, minkä osaavat parhaiten, paikalliseen saatavuuteen ja asiakaspalveluun?

Varmaa on, että “Jarovajan lain” aikaan saamassa todellisuudessa noudattaminen ei ole sivujuonne. Se on Venäjällä uusi liiketoimintamarkkina, jossa Beeline, Rostelecom ja TTK eivät vain täytä velvoitteita, ne myyvät velvoitteen täyttämistä tukevaa STaaS (Storage-as-a-Service) palvelua muille. Tämä kuvaa Venäjällä aikakautta, jossa sääntely ei vain rajoita markkinoita, vaan myös muotoilee niitä.