Hallinnon turvallisuusverkkotoiminnan ohjaus

Toiminnallisten tarpeiden huomiointia on syytä parantaa, ja TUVE-ohjaus tulee sovittaa paremmin yhteen muun julkisen hallinnon ICT-ohjauksen kanssa. Tarkastuksen tavoitteena oli selvittää, tukeeko hallinnon turvallisuusverkon ohjaus tuloksellista toimintaa.

Tarkastusviraston kannanotot

Tarkastuksen tavoitteena oli selvittää, tukeeko hallinnon turvallisuusverkon (TUVE) ohjaus tuloksellista toimintaa. Kohteena oli valtiovarainministeriö turvallisuusverkkotoiminnan ohjauksesta vastaavana ministeriönä. Lisäksi tarkastettiin sisäministeriön ja sen alaisten poliisin ja Rajavartiolaitoksen, puolustusministeriön, Puolustusvoimien, Suomen Erillisverkot Oy:n ja sen tytäryhtiön Suomen Turvallisuusverkko Oy:n, Hallinnon tietotekniikkakeskuksen (HALTIK) sekä Valtion tieto- ja viestintätekniikkakeskuksen (Valtori) toimintaa osana turvallisuusverkkotoimintaa ja sen ohjausta. Tarkastuksen aikana hallinnon TUVE-toiminta oli vielä käynnistysvaiheessa, jonka on suunniteltu kestävän vuoden 2016 loppuun saakka.

Ohjausrakenteen mukainen turvallisuusverkkotoiminta käynnistyi ilman suurempia ongelmia

Hallinnon turvallisuusverkkotoiminta käynnistyi 15.1.2015. Ensimmäisenä toimintavuonna mukana olleet turvallisuusverkon eri osapuolet kokivat ohjausrakenteen mukaisen toiminnan lähteneen hyvin liikkeelle.

Hallituksen esitystä (HE 54/2013 vp) käsitellessään eduskunta oli ollut huolissaan siitä, että suunnitellun ohjausrakenteen monimutkaisuus aiheuttaisi ongelmia toiminnalle. Huoli kohdistui erityisesti verkko- ja infrastruktuuripalvelujen tuottajaan, Suomen Erillisverkot Oy:öön, ja sen tytäryhtiöön, Suomen Turvallisuusverkko Oy:öön. Tarkastuksessa verkko- ja infrastruktuuripalvelujen tuottajan organisaatiomuoto ei kuitenkaan ole osoittautunut toiminnan kannalta keskeiseksi. Suomen Erillisverkot Oy:n ohjauksen jakaminen kahdelle eri ministeriölle ei myöskään näytä muodostuneen esteeksi turvallisuusverkkotoiminnalle. Ministeriöiden edustuksesta Suomen Turvallisuusverkko Oy:n hallituksessa ei kuitenkaan näyttänyt olevan juurikaan hyötyä turvallisuusverkkotoiminnalle.

Säädetyillä ohjausrakenteilla pyrittiin vastaamaan turvallisuusverkkotoiminnan järjestämiseen liittyviin eri osapuolten mahdollisesti keskenään ristiriitaisiin tavoitteisiin. Käynnistysvaiheen päivittäisessä toiminnassa ei ilmennyt suurempia ongelmia, jotka olisivat seurausta ohjausrakenteista. Sen sijaan käyttäjäorganisaatiot ja palveluntuottajat kokivat päätöksenteon yksittäisissä asioissa hitaaksi.

Valtiovarainministeriö käynnisti keväällä 2015 Suomen Erillisverkot Oy:n ohjauksesta selvityksen, joka keskittyi erityisesti viranomaisradioverkkotoiminnan (VIRVE) ohjaukseen. Selvitystyötä voidaan pitää tarpeellisena, ja ohjausrakenteita tulisi jatkossakin arvioida säännöllisin väliajoin.

Toiminnallisten tarpeiden huomiointia on syytä parantaa

Hallinnon turvallisuusverkkotoimintaan on luotu rakenteita, joilla on mahdollista tuoda esille käyttäjäorganisaatioiden näkemyksiä ja vaatimuksia. Ohjausrakenteiden puitteissa käsitellään taloudellisia ja teknisiä asioita. Toiminnallisia tarpeita käydään läpi ainoastaan yleisesti ja harvemmin.

Käyttäjäorganisaatioiden palvelujen ja tehtävien kehittämisestä ja jatkuvuudesta käytännössä vastaavien henkilöiden kytkös turvallisuusverkkotoiminnan ohjaukseen on tarkastuksen perusteella etäinen ja välillinen. Toiminnallisten tarpeiden tunnistamiseen ja ymmärtämiseen sekä niistä johdettavien vaatimusten käsittelyyn ei vielä ole toimivia prosesseja. Riskinä on, että käyttäjäkunnan laajentuessa asiakastarpeet muuttuvat entistä kirjavammiksi ja niiden sovittaminen yhteen on vaikeaa. Tämä puolestaan voi lisätä kustannuksia tai aiheuttaa riskejä tai ongelmia käyttäjäorganisaatioiden omalle toiminnalle.

TUVE-ohjaus tulee sovittaa paremmin yhteen muun julkisen hallinnon ICT-ohjauksen kanssa

Valtiovarainministeriöllä tulisi olla toimivat menettelyt ylläpitää ja jakaa laaja-alaista näkemystä julkisen hallinnon ICT-kokonaisuudesta, joka muodostuu valtionhallinnon toimialariippumattomista ICT-palveluista (TORI), toimialasidonnaisista ICT-palveluista (TOSI) ja turvallisuusverkkoympäristön ICT-palveluista (TUVE). Valtionhallinnon tietojärjestelmähankkeiden arviointimenettely ja siihen liittyvä valtiovarainministeriön lausuntomenettely eivät nykymuodossaan tätä tee. Uusien käyttäjäorganisaatioiden liittyessä turvallisuusverkon käyttäjiksi on todennäköistä, että ainakin osa niistä tarvitsee sekä turvallisuusverkon palveluita että valtion yhteisiä tietoliikennepalveluita. Käyttäjäorganisaatioita ei välttämättä ole velvoitettu turvallisuusverkon käyttöön kaikessa toiminnassaan. Kokonaisnäkemyksen merkitys korostuu, jotta vältyttäisiin keskenään päällekkäisiltä tai ristiriitaisilta ratkaisuilta ja toimintamalleilta.

TUVE- ja TORI-lait eivät muodosta täysin saumatonta kokonaisuutta. Ne sisältävät periaatteellisia eroja, jotka voivat aiheuttaa ongelmia käyttäjäorganisaatioille. Yksi keskeinen ero koskee palvelumaksuja. Valtion yhteiset tieto- ja viestintätekniset (TORI) palvelut ja niihin liittyvät investoinnit on rahoitettava kokonaan palvelumaksuilla. Sen sijaan turvallisuusverkko-toiminnan (TUVE) palvelut voidaan rahoittaa kokonaan tai osin palvelumaksuilla tai kokonaan keskitetysti. Jokaisella vaihtoehdolla on vahvuuksia ja heikkouksia, joita tulee analysoida huolellisesti. Turvallisuusverkkotoiminnan rahoitusmalli oli väliaikainen. TUVE-toiminnan kustannukset eivät olleet kaikin osin läpinäkyviä. TUVE-toiminnan tarvitsemia määrä-rahoja ei ollut arvioitu riittävän hyvin kokonaisuutena. Uusien palvelujen kehittämisen budjettivaikutukset tunnettiin huonosti.

Tieto- ja viestintäteknisten palvelujen ja integraatiopalvelujen tuottaja HALTIK lakkautetaan virastona ja HALTIKin turvallisuusverkkotoiminnan tehtävät ja niitä tekevä henkilöstö siirretään Valtoriin vuoden 2016 aikana. Tarkastuksessa ilmeni, että Valtorin roolia osana turvallisuusverkko-toiminnan kokonaisuutta ei ollut mietitty huolellisesti. Toiminnan eriyttämistä Valtorin muusta toiminnasta ei ollut kaikin osin suunniteltu. Turvallisuusverkkotoimintaan liittyvän ohjauksen sovittaminen Valtorin ohjausrakenteisiin on edelleen kesken, minkä vuoksi turvallisuusverkkotoiminnassa tarvittava päätöksenteko voi hidastua. Epäselvyydet vastuissa voivat heikentää Valtorin asiakastyytyväisyyttä.

Ohjauksen prosessit ja toimintatavat vaativat kehittämistä

Hallinnon turvallisuusverkkotoiminnan arvioinnin, ohjauksen ja seurannan prosesseja ei ollut kuvattu kuin ainoastaan pienin osin tai karkeasti. Puutteellisen dokumentoinnin takia riskien hallinta voi osoittautua vaikeaksi, etenkin avainhenkilöiden mahdollisesti vaihtuessa. Dokumentoinnin puute lisää myös muun ohjauksen ja toiminnan henkilösidonnaisuutta ja sitä riskiä, että toiminta olisi tehotonta ja keskenään päällekkäistä.

Valtiovarainministeriön toiminta TUVE-ohjauksessa ei ole ollut läpinäkyvää. Muut TUVE-toimijat eivät ole osanneet arvioida, missä vaiheessa valtiovarainministeriössä kulloinkin valmisteilla olleet lausunnot tai määräykset ovat. Tämän koettiin vaikeuttavan oman toiminnan suunnittelua.

Sidosryhmille suunnattu viestintä ei ollut järjestelmällistä vaan tilannekohtaista. Tarkastuksessa ei havaittu palautemekanismeja, joiden avulla voitaisiin hallita eri sidosryhmien turvallisuusverkkotoimintaan liittyviä odotuksia. Viestintä tulisi kohdentaa sen mukaan, mikä on sidosryhmässä toimivien henkilöiden rooli (esimerkiksi loppukäyttäjä, tekninen asiantuntija tai johtaja). Kohdennettu viestintä oli jätetty sidosryhmien omaksi tehtäväksi eikä sitä ollut seurattu koordinoidusti.

Turvallisuusverkkotoimintaan liittyviä riskejä ei käsitelty kokonaisuutena eikä niitä ollut viestitty riittävästi käyttäjäorganisaatioille. On tärkeää tiedostaa, että turvallisuusverkkotoiminnan riskit ovat riskejä myös sidosryhmien toiminnalle.

On siirryttävä jatkuvaan kehittämiseen

Turvallisuusverkkotoiminnan kehityksen painopisteenä on ollut keskeneräisten vaatimusten toteuttaminen ja turvallisuustoiminnan järjestäminen lain edellyttämällä tavalla. Pidemmän aikavälin kehittäminen ja sen ohjaus oli jäänyt toiminnan käynnistämisen varjoon. Kehittämisprosessia ei ollut dokumentoitu. Palvelujen ja käytön laajentamissuunnitelmat eivät olleet riittävän selkeitä ja yksityiskohtaisia. Toistaiseksi on keskitytty seuraamaan turvallisuusverkon infrastruktuurin kehittämiseen vaikuttavaa yleistä teknologian kehitystä, mutta käyttäjäorganisaatioiden tarpeista lähtevää yhteisten turvallisuusverkkopalvelujen kehittämistä ei ollut käsitelty.

Korkean varautumisen ja turvallisuuden vaatimuksia todentavia auditointeja ei ole vielä tehty. Riskinä on, että toteutettu arkkitehtuuri ei käytännössä ole näiden vaatimusten mukainen. On myös olemassa riski, että käyttäjäorganisaatiot eivät saa määrärahojensa puitteissa kaikkia toimialasidonnaisia (TOSI) järjestelmiä täyttämään valtiovarainministeriön turvallisuusverkolle asettamia vaatimuksia, jolloin joudutaan joko tinkimään turvallisuusverkkotoiminnalle asetetusta vaatimustasosta tai sallimaan se, että käyttäjäorganisaatiot toimivat monessa eri teknisessä ympäristössä.

Tarkastusviraston suositukset

Tarkastusvirasto suosittaa, että valtiovarainministeriö

  1. varmistaa, että ohjauksessa ymmärretään ja huomioidaan käyttäjä-organisaatioiden toiminnalliset tarpeet

  2. huolehtii turvallisuusverkkotoiminnan ohjauksen tiiviistä kytkeytymisestä julkisen hallinnon ICT-kokonaisuuden ohjaukseen

  3. tekee päätöksen pysyvämmästä rahoitusmallista

  4. suunnittelee ja kuvaa ohjauksen prosessit.

Kategoriat

URN-tunniste

URN:ISBN:978-952-499-343-2