Ohjaustoimet ovat kohdistuneet yksittäisiin virastoihin, mutta tarve ohjata kokonaisuuksia kasvaa jatkuvasti. Strategioita laadittaessa on jatkossa tärkeää muodostaa yhteinen visio ja tavoitteet.
Tarkastusviraston kannanotot
Tarkastuksen tavoitteena oli varmistua siitä, että nykyistä ohjausjärjestelmää kehitetään siten, että ohjausjärjestelmä varmistaa julkisen hallinnon sähköisten palvelujen edellyttämän toimintavarmuuden ja oikea-aikaisen saatavuuden.
Tarkastuskohteena olivat sähköisten palvelujen toimintavarmuutta ohjaavat viranomaiset (valtioneuvoston kanslia, valtiovarainministeriö, liikenne- ja viestintäministeriö). Ohjauksen toimivuutta tarkastettiin seuraavissa viranomaisissa: valtioneuvoston kanslia ja sen hallintoyksikkö (VNHY), Valtori, Väestörekisterikeskus, Liikenteen turvallisuusvirasto Trafi, ulosottolaitos ja sen tulosohjaajana toimiva oikeusministeriö sekä ICT-palvelukeskus Oikeusrekisterikeskus.
Ohjaussuhteita tulee tarkistaa ja ohjeita päivittää vastaamaan nopeasti muuttuvan yhteiskunnan tarpeita
Valtiovarainministeriö ja liikenne- ja viestintäministeriö ovat ohjanneet palvelujen jatkuvuutta ja toimintavarmuutta omista lähtökohdistaan. Valtiovarainministeriön osastojen, kuten esimerkiksi JulkICT-osaston ja valtiovarain controller-toiminnon, välisessä työnjaossa vaikuttaa olevan jonkin verran päällekkäisyyttä, mikä näkyy osastojen antamissa ohjeissa ja suosituksissa. Ministeriöiden ohjaustoimet eivät ole aina tavoittaneet virastoissa oikeita kohderyhmiä. Esimerkiksi ohjaustoimet ovat kohdistuneet tietohallintoon silloinkin, kun oikea kohderyhmä olisi ollut viraston palveluista vastaava taho. Eri viranomaiset ovat tulkinneet ohjaustoimia eri tavoin. Sähköisiin palveluihin liittyvät ohjaussuhteet ja vastuut vaatisivat säännönmukaista tarkistamista, jotta ne vastaisivat nopeasti muuttuvan yhteiskunnan tarpeita. Erityisesti ministeriöiden toimialoja koskevien tulkintojen tulisi olla yhdenmukaisia. Ohjaustoimia tulisi lisäksi koordinoida tehokkaammin.
Toimintavarmuutta turvaavia strategioita on laadittu useita, mutta nykymuodossaan niiden ohjausteho on heikko. Strategioiden väliset suhteet ovat epäselviä. Toimeenpanoon liittyvillä toimilla on vain harvoin selkeä vastuutaho, eikä toimille ole asetettu aikatauluja. Strategian toimeenpanon ja tavoitteiden saavuttamista koskevaa seurantaa ei ole suunniteltu. Strategioita laadittaessa on jatkossa tärkeää muodostaa yhteinen visio ja tavoitteet.
Ohjaustoimet ovat kohdistuneet yksittäisiin virastoihin, mutta tarve ohjata kokonaisuuksia kasvaa jatkuvasti
Käytännön tietoturvallisuutta on valtionhallinnossa ohjattu erityisesti julkisen hallinnon digitaalisen turvallisuuden johtoryhmän antamilla VAHTI-ohjeilla. VAHTI-ohjeet tunnetaan valtionhallinnon tietohallinnosta vastaavien keskuudessa, mutta ei välttämättä kovin yksityiskohtaisesti, koska ne ovat niin laajoja. VAHTI-ohjeet on suunnattu ainoastaan yksittäisille viranomaisille, eikä niissä huomioida yhä verkostoituneemmin toimivan yhteiskunnan uusia vaatimuksia ja tarpeita. VAHTI-ohjeita olisi selkeytettävä helpommin ylläpidettäviksi ja hyödynnettäviksi sekä päivitettävä vastaamaan paremmin verkostomaisesti toimivaa palvelutuotantoa. Valtiovarainministeriö on ryhtynyt toimiin VAHTI-ohjeiden rakenteen uudistamiseksi. Työtä on päättäväisesti jatkettava, ja myös ohjeiden sisältöä on uudistettava.
Keskittämällä tietoturvan ja varautumisen osaaminen, hallinta ja tekniikat Valtoriin pyrittiin saavuttamaan hajautettua mallia merkittävästi parempi tietoturvan ja varautumisen taso. Valtori ei ole toistaiseksi pystynyt vastaamaan tähän tavoitteeseen. Keskitettyjen ratkaisujen toteuttaminen vaatii huolellista suunnittelua sekä taitavaa muutoksen- ja riskienhallintaa. Valtorin ongelmat indikoivat, että sen käynnistysvaiheen sisältämiin riskeihin ei ollut varauduttu riittävästi.
Keskitetyt ratkaisut edellyttäisivät myös koko valtionhallinnon käytänteiden yhdenmukaistamista. Valtiovarain controller -toiminto julkaisi suosituksena pidettävän riskienhallintapolitiikkamallin toukokuussa 2017, mutta toimintojen keskittäminen edellyttäisi riskienhallinnan puitteiden luontia myös hallinnonala- ja valtiotasoille.
Toimintavarmuuden turvaamisen kustannuksia, hyötyjä ja toimien riittävyyttä tulee arvioida suhteessa riskeihin
Viranomaiset pitävät palvelujensa toimintavarmuutta tärkeänä, mutta sen turvaaminen näkyy harvoin virastojen tulossopimuksissa tai strategioissa. Lisäksi ministeriöiden mahdollisesti asettamat toimintavarmuuteen tai tietoturvallisuuteen liittyvät hallinnonalan tavoitteet osoitetaan yleensä ICT-yksiköille. Toiminta-arkkitehtuuri ja strateginen palveluajattelu kehittäisivät toimintavarmuuden suunnittelua ja laajentaisivat näkökulmaa tietohallinnon ulkopuolelle.
Toimintavarmuutta parantavia riskienhallinnan toimia tunnistetaan ja toteutetaan. Tulisi kuitenkin arvioida ja dokumentoida myös toimien kustannukset, resurssivaatimukset ja hyödyt suhteessa riskiin sekä seurata toimien vaikutuksia, jotta toimintavarmuuden turvaaminen olisi kustannustehokkaampaa.
Toimitusketjujen läpinäkyvyydestä tulee huolehtia
Vastuu omien palvelujensa toimintavarmuudesta ja tietoturvallisuudesta on viime kädessä viranomaisella. Tilanteessa, jossa viranomainen ei voi itse valita palveluntoimittajiaan, mahdollisimman läpinäkyvä toiminta toimitusketjussa on välttämättömyys. Valtion omien palveluntoimittajien, joita ovat esimerkiksi Valtori ja Väestörekisterikeskus, tulee pystyä raportoimaan ja kuvaamaan, miten palvelujen jatkuvuus on turvattu ja kuinka mahdollisista häiriötilanteista toivutaan. Nyt tieto ei kulje toimitusketjuissa kaikin osin, eivätkä toimitusketjut ole riittävän läpinäkyviä toiminnan tarpeita ajatellen.
Viranomaiset asettavat tietojärjestelmien käytettävyyteen liittyviä vaatimuksia, mutta Valtorin palvelutarjonnan suppeus on rajoittanut niiden huomioimista. Valtorin kanssa on ollut vaikea neuvotella palveluihin liittyvästä tietoturvasta. Asiakkaiden on lain mukaan käytettävä Valtorin tarjoamia perustekniikkapalveluja. Asiakkaiden mahdollisuudet vaikuttaa Valtorin palveluihin tai palveluvalikoimaan ovat vähäiset.
Isoissa organisaatio- ja rakennemuutoksissa on turvattava palvelujen toimintavarmuus koko muutosprosessin ajan
Tarkastuksen kohteina olleissa organisaatioissa, jotka syntyivät isojen organisaatiomuutosten tuloksina, palvelujen jatkuvuudenhallinnassa koettiin olevan ongelmia. Erityisesti häiriötilanteisiin liittyvät vastuut jäävät helposti epäselviksi käytännön tasolla, jolloin ongelmien ratkaisuajat pitenevät. Vaikka muutoshankkeiden hankesuunnitelmissa oli korostettu palvelujen jatkuvuuden tärkeyttä, riskiä ei osattu riittävästi hallita. Suunnitteilla olevissa organisaatio- ja rakennemuutoksissa tulee ottaa huomioon erityisesti toimintavarmuuteen liittyvissä muutosprosesseissa mukana olleiden organisaatioiden kokemukset.
Tarkastusviraston suositukset
Tarkastusvirasto suosittaa, että
valtiovarainministeriö huolehtii siitä, että sen eri osastot ja yksiköt jatkavat riskienhallinnan ja tietohallinnon ohjaustoimien koordinointia ja yhteensovittamista.
valtiovarainministeriö luo menettelyt, joilla käytännön tueksi tarjotuista ohjekokonaisuuksista, kuten VAHTI, saadaan helpommin hyödynnettäviä, ylläpidettäviä ja toimintaympäristön muutoksiin nopeammin vastaavia.
valtiovarainministeriö suunnittelee ja ohjeistaa, miten riskienhallinnan puitteet ja käytännöt luodaan hallinnonala- ja valtiotasolle erilaiset käyttötarpeet huomioiden.
valtiovarainministeriö arvioi ja korjaa ohjaustoimiaan Valtorin tilanteen parantamiseksi ja yhdenmukaistaa valtionhallinnon yhteisien tieto- ja viestintäteknisten ratkaisujen ja sähköisten palvelujen tukipalvelujen ohjausta.
liikenne- ja viestintäministeriö varmistaa, että sen käyttämät yhteistyömuodot ja -tavat antavat hyvän lähtökohdan (mm. yhteinen visio, sitoutumisen varmistaminen) sellaisten (ohjaus)toimien onnistumiselle, jotka edellyttävät toimia muiden hallinnonalojen organisaatioilta. Lisäksi ministeriön tulisi suunnitella ohjaustoimiensa seuranta jatkuvan parantamisen periaatteita noudattaen.