Styrning av förvaltningens säkerhetsnätsverksamhet

De funktionella behoven bör beaktas i större mån och TUVE-styrningen bör samordnas bättre med den övriga ICT-styrningen inom den offentliga förvaltningen. Syftet med revisionen var att klarlägga om styrningen av förvaltningens säkerhetsnät stöder resultatrik verksamhet. Detta dokument innehåller en sammanfattning av de viktigaste resultaten av revisionen. Hela revisionsberättelsen finns endast på finska.

Revisionsverkets ställningstaganden

Syftet med revisionen var att klarlägga om styrningen av förvaltningens säkerhetsnät (TUVE) stöder resultatrik verksamhet. Föremålet för revisionen var Finansministeriet i egenskap av det ministerium som svarar för styrningen av säkerhetsnätsverksamheten. Dessutom granskades verksamheten vid Inrikesministeriet samt polisen och Gränsbevakningsväsendet som lyder under detta, Försvarsmakten, Suomen Erillisverkot Oy och dess dotterbolag Suomen Turvallisuus-verkko Oy, Förvaltningens IT-central (HALTIK) och Statens center för informations- och kommunikationsteknik (Valtori) som en del av säker-hetsnätsverksamheten och styrningen av den. Under revisionen var förvaltningens TUVE-verksamhet fortfarande i startskedet, vilket enligt planerna kommer att vara fram till utgången av 2016.

Säkerhetsnätsverksamhet enligt styrstrukturen inleddes utan större problem

Förvaltningens säkerhetsnätsverksamhet inleddes den 15 januari 2015. De olika parter som deltog i säkerhetsnätet under det första verksam-hetsåret ansåg att verksamheten enligt styrstrukturen fick en god start.

Vid behandlingen av regeringens proposition (PR 54/2013 rd) hade riksdagen uttryckt oro över att den planerade styrstrukturen var så komplicerad att detta skulle orsaka problem för verksamheten. Oron gällde särskilt tillhandahållaren av nät- och infrastrukturtjänster, Suo-men Erillisverkot Oy, och dess dotterbolag, Suomen Turvallisuusverkko Oy. Vid revisionen har dock denna tillhandahållares organisationsform inte visat sig vara central med tanke på verksamheten. Det faktum att styrningen av Suomen Erillisverkot Oy har fördelats på två olika ministe-rier verkar heller inte ha utgjort ett hinder för säkerhetsnätsverksam-heten. Ministeriernas representation i Suomen Turvallisuusverkko Oy:s styrelse verkade dock inte vara till någon större nytta för säkerhetsnäts-verksamheten.

Syftet med de föreskrivna styrstrukturerna var att leva upp till de olika parternas målsättningar vid ordnande av säkerhetsnätsverksam-heten, vilka eventuellt kan vara inbördes motstridiga. I den dagliga verksamheten under startskedet förekom det inga större problem som kunde ha varit en följd av styrstrukturerna. Däremot ansåg användaror-ganisationerna och tjänsteleverantörerna att beslutsfattandet i enskilda frågor var trögt.

Våren 2015 inledde Finansministeriet en utredning om styrningen av Suomen Erillisverkot Oy. Utredningen fokuserade särskilt på styrningen av verksamheten i myndigheternas radionät (VIRVE). Utredningsarbetet kan anses vara nödvändigt, och styrstrukturen bör även framöver utvärderas regelbundet.

De funktionella behoven bör beaktas i större mån

I förvaltningens säkerhetsnätsverksamhet har man skapat strukturer som gör det möjligt att föra fram användarorganisationernas syn-punkter och krav. Inom ramen för styrstrukturerna behandlas ekono-miska och tekniska frågor. De funktionella behoven genomgås endast på allmän nivå och mer sällan. 2

Revisionen visar att de personer som svarar för den praktiska ut-vecklingen av och kontinuiteten i användarorganisationernas tjänster och uppgifter har en avlägsen och indirekt koppling till styrningen av säkerhetsnätsverksamheten. Det saknas fortfarande fungerande pro-cesser för att identifiera och förstå de funktionella behoven samt för att hantera de krav som härleds ur dem. Risken är att kundbehoven blir än mer varierande när användarna blir fler, vilket gör behoven svåra att samordna. Detta kan i sin tur öka kostnaderna eller medföra risker eller problem för användarorganisationernas egen verksamhet.

TUVE-styrningen bör samordnas bättre med den övriga ICT-styrningen inom den offentliga förvaltningen

Finansministeriet bör ha fungerande rutiner för att upprätthålla och dela med sig av en övergripande syn på den offentliga förvaltningens ICT-helhet, som utgörs av statsförvaltningens branschoberoende ICT-tjänster (TORI), branschbundna ICT-tjänster (TOSI) och ICT-tjänster i säkerhetsnätet (TUVE). Bedömningsförfarandet för statsförvaltningens datasystemprojekt och Finansministeriets tillhörande remissförfarande gör det inte i sin nuvarande form. När nya användarorganisationer ansluter sig till säkerhetsnätet är det sannolikt att åtminstone en del av dem behöver såväl tjänster i säkerhetsnätet som statens gemensamma datakommunikationstjänster. Användarorganisationerna är inte nöd-vändigtvis skyldiga att använda säkerhetsnätet i all sin verksamhet. En övergripande syn är viktig för att undvika inbördes överlappande eller motstridiga lösningar och handlingsmodeller.

TUVE- och TORI-lagarna utgör inte en helt enhetlig helhet. De inne-håller principiella skillnader som kan medför problem för användarorga-nisationerna. En central skillnad gäller serviceavgifterna. Statens gemensamma informations- och kommunikationstekniska tjänster (TORI) och investeringarna i dem måste finansieras helt med serviceav-gifter. Tjänsterna inom säkerhetsnätsverksamheten (TUVE) kan däremot finansieras helt eller delvis med serviceavgifter eller helt centraliserat. Varje alternativ har styrkor och svagheter som bör analyseras noggrant. Finansieringsmodellen för säkerhetsnätsverksamheten är tillfällig. Kostnaderna för TUVE-verksamheten har inte varit transparenta till alla delar. De anslag som behövs i TUVE-verksamheten har inte bedömts tillräckligt noggrant ur helhetsperspektiv. Det fanns inte tillräcklig kännedom om budgeteffekterna av utveckling av nya tjänster.

HALTIK, tillhandahållaren av informations- och informationstekniska tjänster och integrationstjänster, kommer att läggas ned som myndig-het, och HALTIKs uppgifter inom säkerhetsnätsverksamheten och de personer som sköter dem överförs till Valtori under 2016. Vid revisionen framkom att Valtoris roll som en del av hela säkerhetsnätsverksamheten inte hade begrundats noggrant. Åtskiljandet av verksamheten från Valtoris övriga verksamhet var inte planerad till alla delar. Samordning-en av styrningen i anknytning till säkerhetsnätsverksamheten med Valtoris styrstrukturer är ännu inte klar, vilket kan bromsa upp nödvän-diga beslut i säkerhetsnätsverksamheten. Oklarheter i fråga om ansvar kan försämra Valtoris kundnöjdhet.

Styrprocesserna och -rutinerna kräver utveckling

Processerna för bedömning, styrning och uppföljning av förvaltningens säkerhetsnätsverksamhet hade inte beskrivits annat än till liten del eller i grova drag. På grund av bristfällig dokumentation kan riskhanteringen visa sig vara svår, särskilt om nyckelpersoner eventuellt byts ut. Bristen 3

på dokumentation ökar också personbundenheten i den övriga styr-ningen och verksamheten samt risken för att verksamheten är ineffektiv och inbördes överlappande.

Finansministeriets agerande i TUVE-styrningen har inte varit trans-parent. De övriga TUVE-aktörerna har inte kunnat bedöma i vilket skede utlåtanden och bestämmelser som Finansministeriet berett har befunnit sig. Detta ansågs försvåra planeringen av den egna verksamheten.

Kommunikationen till intressenterna var inte systematisk utan skilde sig från fall till fall. Vid revisionen upptäcktes inga responsmekanismer med vilka man skulle kunna hantera de olika intressenternas förvänt-ningar på säkerhetsnätsverksamheten. Kommunikationen bör riktas utifrån vilken roll de personer som företräder intressenten har (till exempel slutanvändare, teknisk expert eller direktör). Den riktade kommunikationen hade överlåtits på intressenterna och inte följts upp på ett samordnat sätt.

Riskerna i säkerhetsnätsverksamheten hade inte behandlats som en helhet och inte heller kommunicerats tillräckligt tydligt till användaror-ganisationerna. Det är viktigt att man är medveten om att riskerna med säkerhetsnätsverksamheten även utgör risker för intressenternas verksamhet.

Övergång till ständig utveckling nödvändig

Tyngdpunkten i utvecklingen av säkerhetsnätsverksamheten har varit att slutföra ofullbordade krav och att ordna säkerhetsverksamheten på det sätt som förutsätts i lag. På längre sikt har utvecklingen och styr-ningen av den hamnat i skuggan av inledandet av verksamheten. Ut-vecklingsprocessen har inte dokumenterats. Planerna på att utvidga tjänsterna och användningen var inte tillräckligt tydliga och detaljerade. Tills vidare har man fokuserat på att följa upp den allmänna tekniska utvecklingen, som påverkar utvecklingen av säkerhetsnätets infrastruk-tur, men man har inte behandlat utveckling av gemensamma tjänster i säkerhetsnätet utgående från användarorganisationernas behov.

Kvalitetsrevisioner som verifierar kraven på hög beredskap och sä-kerhet har ännu inte genomförts. Risken är att den implementerade arkitekturen i praktiken inte är förenlig med dessa krav. Det finns också en risk för att användarorganisationerna inom ramen för sina anslag inte får alla branschbundna (TOSI) system för att kunna uppfylla Finansmi-nisteriets krav på säkerhetsnätet. Detta leder till att man antingen tvingas ge avkall på den fastställda kravnivån för säkerhetsnätsverksam-heten eller tillåta att användarorganisationerna verkar i många olika tekniska miljöer.

Revisionsverkets rekommendationer

Revisionsverket rekommenderar att Finansministeriet

  1. säkerställer att man i styrningen förstår och beaktar användarorga-nisationernas funktionella behov

  2. sörjer för att styrningen av säkerhetsnätsverksamheten kopplas nära samman med styrningen av den offentliga förvaltningens ICT-helhet

  3. fattar beslut om en mer varaktig finansieringsmodell

  4. planerar och beskriver styrprocesserna.

 

kategorier