Lausunto julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelma vuosille 2018-2021

Lukijalle

Yleisenä arviona Kuntaliitto toteaa, että koko julkishallintoa koskeva digitaalisen turvallisuuden ohjelma on tarpeellinen ja edistää toteutuessaan yhteentoimivuutta ja digitalisaatiota niin käsitteistön selkiinnyttämisen kuin tarvittavien osa-alueitten tunnistamisen kautta. Mikä kokonaisturvallisuuden kannalta on kansallisen tason tekemistä. Sekä mihin osa-alueisiin tulee julkishallinnon eri organisaatioitten omien toimintaympäristöjen kannalta varautua.  

Kuntaliitto haluaa kiinnittää huomiota siihen, että valmisteilla on myös lainsäädäntöä, jossa käsitellään ja määritellään tietojen hallintaa ja siihen liittyviä toimintoja. Näillä tulee olemaan vaikutuksensa organisaation tietoturvallisuus käytäntöihin ja menetelmiin sekä riskipohjaiseen arviointiin digitaalisia palveluita kehitettäessä ja toteutettaessa. Tällaisia kokonaisuuksia ovat muun muassa tietosuojalainsäädäntö, sote – ja maakuntauudistus, rakennuslain uudistaminen ja useat muut lainsäädäntöhankkeet. 

1. Digitaalinen toimintaympäristö muutoksessa

On hyvä, että esitetty ohjelma tunnistaa toimintaympäristön hallinnan olevan entistä tärkeämpää kokonaisuuden kannalta. Palvelualustojen kohdalla on hyvä huomioida, että ekosysteemit sisältävät yhden tai useamman alustatoteutuksen. Vallalla olevien käytänteitten mukaan ekosysteemi toteuttaa yhtenäisiä periaatteita ja linjauksia sekä politiikkoja (ekosysteemin sisäinen yhtenäinen tietoturvataso).

Kriittisen infrastruktuurin osalta (kappale 1.4) olisi hyvä tunnistaa NIS-direktiivin kansallinen soveltaminen koko laajuudessaan. Infrastruktuurin kannalta tulisi kehittämisohjelman tarkoituksenmukaisella tavalla huomioida hallittu toipuminen tietoturvaloukkauksien osalta.

Dokumenttia lukiessa hämmentää lukijaa hieman käsitetasolla termien digiturvallisuus, digitaalinen turvallisuus käyttö. Käsitetaso on avattu erillisessä johdanto-osiossa (mikä ei kuitenkaan ole osa varsinaista lausunnon kohteena olevaa dokumenttia). Määrittely on tärkeää dokumentissa myöhemmin esitetyn digiturvallisuuden hallintajärjestelmän näkökulmasta sekä parantaisi dokumentin ymmärrettävyyttä olemassa oleviin käsitteisiin nähden - kokonaisturvallisuus, kyberturvallisuus, digitaalinen turvallisuus.

2. Julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelma

Ohjelman lähtökohdat ovat hyvät. Kuntaliiton näkemyksen mukaan julkisen hallinnon digitaalisia palveluita tuleekin kehittää luotettavimmiksi sekä toimivammiksi.

Organisaatio vastaa omasta toimintaympäristöstään. On hyvä myös huomioida, että palvelutuotanto fokusoituu tuotteistukseen ja vaikka hyvät käytänteet myös tietoturvallisuuden/-suojan osalta kuuluvat siihen oleellisesti niin tietoturva-arkkitehtuuri näkökulman tulisi ensisijaisesti lähestyä asioita organisaation toimintaympäristö tulokulmasta kokonaisuus huomioiden. Riskinä muuten toimittaja-keskeisen tietoturva-arkkitehtuurin painottuminen (sarjassamme "häntä heiluttaa koiraa").

On hyvä huomioida se tosiasia, että tieto on hajaantunut eri tietojärjestelmille, alustoille, ekosysteemeihin - eri toimintaympäristöihin. Ja niille toteutetut palvelut ovat entistä enemmän riippuvaisia toisistaan.

Kehittämisohjelmaan liittyvät muutostekijät (Liite-1)? - listaus(?)

2.4.1 Digiturvallisuuden johtamisen ja riskienhallinnan kehittäminen

Kuntaliitto pitää tärkeänä sitä, että digitaalisen turvallisuuden johtamisen kannalta turvallisuuden/digiturvallisuuden osa-alueisiin kiinnitetään riittävä huomio toimintaympäristöjä kehitettäessä.  Oleellista on myös huomioida, että asioita kehitetään ja toteutetaan organisaatiossa eri ammattikuntien ja käytänteitten kautta. Onko tarkastelun kannalta osa-alue yhtä kuin painoalue?

Organisaation toiminnan ja vastuitten kannalta olisi parempi puhua toimintaympäristöstä kuin toimintaverkostosta.

Organisaation toiminnan ja toimintaympäristön arkkitehtuurikuvauksien hyödyntäminen  edesauttaisi tarvittavaa vuoropuhelua organisaation arkkitehtuurivastuullisten ja tietoturvallisuus asioihin keskittyvien toimintojen välillä. Tietoturva-arkkitehtuurin tulisi olla osa organisaation arkkitehtuurikuvauksia.

Vastuiden kuvaamisen ja määrittelyjen osalta olisi suotavaa käyttää selkeää esitystapaa esim. vastuujakomatriisia.

Digitaalisen turvallisuuden johtamisen ja hallinnan malli - geneerinen malli, mitä sitten kukin organisaatio soveltaa omassa toimintaympäristössään - osana tiedonhallintayksikön toimintaa (viitaten tiedonhallintalaki HE:ssä esitettyihin vastuisiin ja velvoitteisiin).

Organisaatioitten vastuita kehittää toimittajaverkon asiantuntemusta huomioimaan julkishallinnon toimintakulttuuri tulisi tarkastella laajemmin syystä, että riskinä voi olla asioitten viemistä suoraviivaisesti sopimuksiin. Esim. toimeksiannossa vaaditaan tietyn erityisosaamisalueen sertifiointi-tasoista kyvykkyyttä. Tällä on vaikutuksensa kokonaishintaan (yrityselämän haasteita). Arkkitehtuurikuvausten osalta esim. Suomi.fi-palveluiden teknologia-arkkitehtuurikuvausten yhtenä lähtökohtana on ollut tarjota riittävää informaatiota hankkeille ja niihin osallistuville osapuolille. Tavoitteena ymmärrys hankkeen alusta mitä ja minkä tasoista osaamista tarvitaan. Ja tällä on arvioitu olevan vaikutuksia niin hankkeen ajalliseen läpimenoon kuin kustannuksia madaltavana tekijänäkin.

Julkishallinnossa on aika ajoin keskusteltu siitä, että julkishallinnolle sähköisen asioinnin ja digitaalisuuteen perustuvia ratkaisuja tarjoavien tahojen edellytetään huolehtiman omasta riittävästä julkishallinnon osaamisestaan.  On myös hyvä pyrkiä välttämään tilanteita missä (käyttäjä)organisaatio kouluttaa palveluita toteuttavia tahoja yksipuolisesti. Näissä tapauksissa on kokemusperäistä näyttöä siitä, että osaavaa henkilökuntaa kierrätetään puhtaasti liiketoiminnallisin ehdoin (toimittaja puolella) aika ajoin. Tulisi miettiä tapoja käytäntöjä palveluntoimittajan sitouttamiselle.

Valtionhallinnossa osana toimenpide-ohjelman toteuttamista tulee varmistaa, miten tätä kehittämisohjelmaa voidaan toteuttaa tehokkaasti. Tämän ollessa lähtökohtana valtionhallinnossa, miten asiaa lähestytään kuntien ja maakuntien ollessa kyseessä? Tiedonhallintalain kautta(?)

3. Kehittämisohjelman odotettu vaikuttavuus ja mittarit

Vaatimukset digitaaliselle turvallisuudelle. Vaatimuksia voisi käsitellä, avata yleisellä tasolla organisaation toimintaympäristölle asetettuja/asettuvia vaatimuksia kautta - oleellinen lainsäädäntö, muut vaikuttavat sisäiset ja ulkoiset vaatimukset. Näkökulmana organisaatioitten sitouttaminen. Merkityksellistä koko julkishallinnon toiminta huomioiden sekä uusien toimintatapojen jalkauttamiseksi.

Liite 1. Julkisen hallinnon digitaalisen turvallisuuden toimenpideohjelma vuosille 2018-2021

Osana kehittämisohjelman toimeenpanoa, tarkoituksena on toteuttaa seuraavat viisi toimenpidettä, joiden avulla julkisen hallinnon organisaatioiden digitaalista turvallisuutta kehitetään.

Toimenpide 1 Digitaalisen turvallisuuden johtamisen ja riskienhallinnan kehittäminen

Kannatettava toimenpide edistettäessä kokonaisturvallisuutta julkishallinnossa.

Huomioitavia asioita:

• kohderyhmä=laaja
• tavoite=mittava
• toteutusvastuu=kuntien suuntaan rajallinen

Haasteista ja mahdollisuuksista:

1. Asetettu mittari: osallistuvien organisaatioitten määrä. Kuntakenttä huomioiden haasteellinen jo pelkästään karkealla jaolla (suuri - keskisuuri - pieni kunta). On syytä huomioida ettei pienien kuntien osalta digitalisaatio varsinaisesti ole tehnyt mitään "tiikerin loikkaa" (esim. sähköinen asiointi, sähköinen tunnistautuminen).
2. Uuden hallintamallin jalkauttaminen kuntakentässä on sekä ajallinen että resursseja vaativa tehtävä.
3. Kokonaisarkkitehtuuri menetelmänä sekä osaamisena on pääsääntöisesti kuntakentässä erityisasiantuntija tasoista. Kuntakenttää kokonaisuutena tarkasteltaessa ei voida puhua JHKA2.0-mallin mukaisesta järjestelmällisestä hyödyntämisestä.
4. Riskienhallinta - muusta näkökulmasta kuin talous- ja henkilöstöhallinta - vaatii kuntien osalta johtamisen kulttuuriin muutoksia.

Positiivista esitetyssä toimenpiteessä on organisaatioitten toimintaympäristön kehittämisen kannalta riskipohjaisen tarkastelun huomioiminen kokonaisvaltaisesti - ei pistemäisesti. Tämän tarkastelun kannalta on syytä huomioida kuntien eri valmiusasteet, eri kyvykkyystasot, resurssien käytettävyys.

Toimenpide 2 Digitaalisen turvallisuuden vaatimus- ja arviointikehikon toteuttaminen (esimerkiksi ns. "VAHTI 100-vaatimukset")

Yhtenäiset mallit julkishallinnolle niin vaatimustenhallinnan kuin arviointienkin osalta ovat tervetulleita. Nämä edesauttavat selkeyttämään niin vastuita kuin olemassa olevia malleja monitoimittajaympäristössä (kuntakenttä).

Tiedonhallintalaki (HE) lähtökohtaisesti asettaa tiedonhallintayksikön (esim. kunnan) vastuulliseksi omasta toimintaympäristöstään sekä toiminnastaan. Yleislain toimiessa näin ohjaavana tekijänä (informaatio-ohjaus).

Mikä on esitetyn arviointikehikon (arviointikriteerit) suhde kevätjaksolla 2018 JulkICT:n toteuttamien linjaus-tarkastelujen kanssa? - tiedon sijaintia ja hallintaa (pilvipalvelupohjaiset ratkaisut) ja tietoliikenneverkkoa koskevin tarkastelujen.  Ovatko esitetyt vaatimus- ja arviointikehikot periaatteita ja vahvoja suosituksia julkishallinnon eri organisaatioille?  Esitetyn käsikirjan rooli? ; JHS-suositus tasoinen

Toimenpide 3 Julkisen hallinnon digitaalisen turvallisuuden koulutusjärjestelmän sekä digiturvasovelluksen käyttöönotto

ICT- ja digitaalisen turvallisuuden eri osa-alueiden vastuuhenkilöt. Osaamisen kehittäminen tälle kohderyhmälle - miten konkretisoituu yhteishankkeen kautta?

Kuntakentässä on varsin tavallista, että erityisosa-alueilla toimivien toimihenkilöiden työpanos on 15-25%! Henkilöstön sitouttaminen. Koskeeko 'koulutusoikeus' myös kolmansia osapuolia jotka toimivat kuntatoimijoiden valtuuttamina (MSP-resurssit)?

Toimenpide 4 Julkisen hallinnon digitaalisen turvallisuuden kokonaiskuvan raportoinnin kehittäminen organisaation tarpeisiin

Toimenpide 5 Digitaalisen turvallisuuden harjoitussuunnitelma ja sen perusteella laadittava harjoitusohjelma vuosille 2018-2021 ja tämän toteuttaminen

Muuta palautetta

Koko kuntakenttää koskevissa uudistuksissa tulee huolehtia kaikenkokoisten kuntien tarpeista: varsinkin pienet kunnat tarvitsevat ohjeistusta ja koulutusta muun resursoinnin ohella.

Kunnille pitäisi taata tarvittava kyvykkyys säädettyjen tehtävien hoitamiseksi. Tässä tapauksessa osaamisesta huolehtiminen on jatkuvaa ja systemaattista toimintaa. Velvoitteiden toteuttaminen vaatii osilta kunnista kokonaan uusia resursseja. 

Kappale 2.5 (Kokonaisarkkitehtuurin kehittämisellä mahdollistetaan turvallinen digitalisaation edistäminen)

Digitalisaation hallintamalli tulisi määritellä selvyyden ja ymmärrettävyyden vuoksi. Mikä on digitalisaation hallintamallin suhde digiturvallisuuden hallintajärjestelmämalliin?

Kokonaisuuden kannalta oleelliset elementit on tunnistettu! Sovittamista kokonaisarkkitehtuuriin jää kaipaamaan itse tekstistä ja minkä muodon se saa? 

Kokonaisarkkitehtuurityö (KA-työ) ei varsinaisesti puutu työtapoihin! KA-työ julkishallinnossa on ensisijaisesti organisaatioitten toiminnan kuvausta ja tiedon käsittelyyn, hallintaan ja saatavuuteen liittyviä asioita (tietoarkkitehtuuri-tulokulma). Mahdollistaen tiedolla johtamisen osana toimintaa. Asioita tarkastellaan ja kokonaisuutta käsitellään sopivalla abstraktiotasolla, eri osien välinen yhteys - vuorovaikutus, ei itse osia. Hyväksytään, että kokonaisuuteen vaikuttaa erilaisia näkökulmia perustuen erilaisiin arvoihin, tavoitteisiin ja kulttuureihin.

KA-työ kuvaa kokonaisuuksia vuorovaikutusten, systeemi-työskentelyn kautta - Mikä on oleellista?, Mikä on kriittistä? Auttaen organisaatioita joutumasta omien ohjeittensa vangiksi (säännöt, linjaukset, politiikat) ja näin ollen olla huomioimatta oman toimintaympäristönsä muutoksia. Olemassa olevat ratkaisut "rämettyvät" ajan saatossa digitaalisessa maailmassa. Hyvä periaate on ettei "elefanttia syödä kerralla"! Systeemisuunnittelu -pohjainen tarkastelu verrattuna puhtaasti mekaaniseen tulokulmaan ei myöskään unohda noita muita osa-alueita ("elefantin").

Arkkitehtuurityön tukiessa organisaation toimintaympäristön kehittämistä olisi luontevaa tietoturva-arkkitehtuurin rakentuvan osana muuta arkkitehtuurityötä (kokonaisarkkitehtuuri näkökulma). Haasteelliseksi työssä muodostuu se miten yhdistetään tietoturva-arkkitehtuuri työ & kuvaukset jo olemassa olevaan rakenteeseen? Ja tämä siten ettei rajoiteta toimittajien näkemystä (liiketoimintamalleja) esim. ratkaisuarkkitehtuurien osa-alueella.

Kuvan 12 yleisperiaate on dokumentin rakenteen kannalta tarpeellinen ja kappaleen 2.5 kannalta keskeinen. Vaatimukset tulisi tässä ylätason kuvassa esittää vaatimustenhallinta toiminnallisuuden kautta. Ja tällä tasolla yhdistää eri tulokulmien vaatimukset. Asemoida 'vaatimukset' kuvassa havainnollisemmin visualisoituna (ulkoiset, sisäiset, lainsäädäntö, ...) - nyt kuva on vaikealukuinen informaatio sisällöltään. Vaatimusten hallitseminen tulisi olla johdonmukaista, ei eriytynyttä digitaalisuuden, kokonaisarkkitehtuurin tahi toteutusarkkitehtuurin näkökulmista. Kuinka vaatimuksia huomioidaan, toteutetaan ja millä tasolla niitä sitten tarkastellaan toki eroaa näkökulmittain.

Tunnistettujen osa-alueitten kannalta voisi "tukea" antaa taulukon kautta. Esim. ekosysteemit sisältävät yhden tai useamman alustapalvelun/-ratkaisun! Periytyvätkö käytänteet alustaratkaisuilta ekosysteemeille? Nykyajattelun mukaisesti ekosysteemi tasolla sovelletaan samoja käytänteitä, periaatteita ja politiikkoja (pääpiirteittäin tietoturvarakenteet mukaan lukien).

LISÄKSI

1. kokonaisuuden ja tietoturva-arkkitehtuuri tulokulmasta kohdetietojärjestelmät ovat yhtä lailla oleellisia lähdejärjestelmien rinnalla!
2. infrastruktuuri - mitä sisällytetään? - esim. KVH-ympäristöt/-toteutukset

Kappale 2.6 (Kehittämisohjelman osapuolten vastuut)

Rakenne sinällään selkeä. Jatko huomioiden voisi ajatella sitä tukemaan luoda RACI-charter muoto. Mikä on varsin yleinen esitystapa vastuualueita määriteltäessä. Kuten myös esitystapa olisi skaalautuva niin palvelutoimittajien kuin muiden kolmansien osapuolien kannalta katsoen, sekä organisaatioitten toimintaympäristöjen ratkaisutoteutusten kannalta aina operatiiviselle toiminnan tasolle.

Kappale 2.7 (Julkisen hallinnon digitaalisen turvallisuuden toimenpideohjelma)

Toimenpide-ohjelma vs. toimeenpano-ohjelma. Visualisointia jää kaipaamaan selkeyden vuoksi.

Tällä olisi merkitystä toimenpide-ohjelma vaiheessa. Eri kehittämisohjelmat/-toimenpiteet, eri päätöksentekovaiheet. Tiedon ja päätöksenteon läpinäkyvyys (mihin päätöksenteko, toimenpiteet perustuvat? miten ne on oikeutettu?)

SUOMEN KUNTALIITTO