Digitaalisen turvallisuuden yhteistoiminta- ja hallintamalliselvitys

Lausuntopyynnön diaarinumero: VN/14455/2020-VM-28

Yleisesti

Suomen Kuntaliitto ry, jäljempänä Kuntaliitto, kiittää mahdollisuudesta lausua Digitaalisen turvallisuuden yhteistoiminta- ja hallintamalliselvityksestä. Kuntaliitto pitää hyvänä selvityksen monipuolisuutta - nykytila, näkökulmia kansainväliseen toimintaan, EU:n digitaalisen turvallisuuden ja kyberturvallisuus toimien esille nostaminen ja tavoitetilan kautta edeten kehittämistoimenpiteisiin.

Selvitys tuo esille sen, että asioita edistetään nykyisellään julkisen hallinnon kokonaisuus huomioiden eri tahoilla sekä eri muodoissa, eri rytmissä. Selvitys on selkeä analyyttinen katsaus digitaaliseen tietoturvan tilanteeseen eri näkökulmista tarjoten informatiivisen kokonaiskuvan.

Selvityksessä todetaan digitaalisen turvallisuuden yhteistoiminnan kehittämisen edellyttävän jatkossa yhä vahvempaa ohjausta sekä keskeisten vastuiden ja toimintamallien olevan velvoittavia eri hallinnon aloilla. Merkityksellisen ohjauksen toteuttaminen toimintamalleineen edellyttää julkisen hallinnon digitaalisen turvallisuuden toimeenpanosuunnitelma 2020–2023 (Haukka) päättyessä v.2023 lopussa sitä, että digitaalisen turvallisuuden osa-alueita tulee edistää jatkossakin sekä niitä toteuttaville organisaatioille tarjota riittävää tukea. Tavoitteena tulee olla tasapainoinen lähestyminen julkisen hallinnon tietoturvallisuuteen.

Nykytilan kuvaus

Kuten selvityksessä todetaan

• julkisen hallinnon digitaalinen turvallisuuden kehittäminen on organisoitu hankkeisiin
• tiedonhallintayksiköitten (tiedonhallintalaki) tehtävänä on tietoturvallisuuden ja sen hallinnan kehittäminen

Haasteeksi onkin noussut hankkeitten tuotosten ja hyvien käytäntöjen jalkauttaminen organisaatiotasoisesti. Tiedonhallintayksiköitten lukumäärä kuntakentässä on n. 420, rakenteeltaan sekä resursseiltaan erilaisia toiminnallisia kokonaisuuksia. Tiedonhallintayksiköillä - viranomainen- on tiedonhallintalain mukaisesti velvoite kuvata toimintaansa ja toimintaympäristöään päivittyvän nykytilakuvauksen kautta - tiedonhallintamalli. Sisällöllisesti kuvaamalla ja esittämällä toimintaprosessien, tietoaineistojen, tietovarantojen, tietojärjestelmien sekä tietojärjestelmien tietoturvallisuuskäytäntöjen välisiä suhteita ja riippuvuuksia. Kuntakenttää kokonaisuutena tarkasteltaessa on tämä työ kesken.

Lisäksi se miltä osin digitaalisen turvallisuuden vastuuhenkilöt osallistuvat tiedonhallintayksikkö ”työhön” - muuten kuin erityisasiantuntijoina - on myös tarkentamatta koko kuntakenttää tarkasteltaessa. Käytännössä kuntien ja kuntatoimijoiden tekeminen, resurssit ja investoinnit kohdentuvat riskien käsittelyyn, toiminnan jatkuvuuteen, toipumiseen ja varautumiseen sekä tietosuojan ja tietoturvan osa-alueille säädösten mukaisia tehtäviä toteutettaessa käytännönlähtöisesti ja hyödyt tunnistaen. Toiminta ja käytössä olevat resurssit kohdennetaan arjen tekemisen tasolla - tason ollessa erilainen erilaisista lähtökohdista aloittaville kuntatoimijoille. Asioihin tartutaan reaktiivisesti ennakointia tukevan suunnitelmallisuuden - pitkäjänteisen kehittämisen - saadessa vähemmän resursseja, aikaa ja investointeja.

Eri hallinnon tahoilta tuleva ohjeistus asettaa kuntatoimijan varsin usein tilanteeseen missä arjen tasolla joudutaan tulkitsemaan asioita organisaatio tasoisesti tehtäviä toteutettaessa. Ohjaten näin toimimaan vain välittömiin asioihin. Käytännön tason tuki ja tarkoituksenmukainen, ajantasainen koordinoitu harjoitustoiminta ovat edesauttamassa organisaatiotasoisen tilannekuvan muodostumista. Näin mahdollistaen kohdennettujen investointien ja resurssien käytön toimintalähtöisesti - organisaation toimintaa palvelevaksi. Ja siten nostaen osaamista kansallisen tason palveluitten ja tarjonnan hyödyntämiseksi - julkisen hallinnon digitaalisen turvallisuuden kypsyystason nostamiseksi.

Kuntaliitto pitää hyvänä koordinaatioryhmän näkemystä yhtenäisen digitaalisen turvallisuuden tason saavuttamisen osalta - hyvinvointialueitten yhteistyötä ja kuntien huomioimista digitaalisen turvallisuuden kaikkien osa-alueitten tasoilla. Selvityksessä todetaan myös kuntien ja yksityisen sektorin välisen yhteistoiminnan olevan vähäistä. Keinoja tämän ’vähäisen yhteistoiminnan’ kehittämiseksi tulisi tunnistaa ja mahdollistaa.

Tilanne missä vähäisillä resursseilla tulisi saada enemmän aikaiseksi asettaa vaateita julkisen hallinnon (valtio-hyvinvointialue-kunta) digitaalisen turvallisuuden yhteistoiminta- ja hallintamallille - kiinteän, osallistavan, käytännön ratkaisuja tukevan kansallisen ohjauksen kautta.

Tavoitetilan kuvaus

Kuntaliitto pitää hyvänä selvityksessä esitettyä havaintoa toiminnallisten rakenteitten uudistamisesta. Yhteistoiminnan tulee perustua todellisten tarpeitten ja osaamisen tasoille.

Selvityksessä nostetaan esille tietoturvavastaavan tai digitaalisen turvallisuuden vastaavan viran perustaminen jokaiseen organisaatioon. Kuntakentän osalta tämä (1:1 arvioituna) merkitsisi karkeasti n. 420 digitaalisen turvallisuuden ammattilaisen rekrytointia. Laskennallisesti asiaa arvioitaessa julkisen hallinnon erityisasiantuntijan rekrytointi kestää ajallisesti 6-9 kuukautta. Kokeneenkin asiantuntijan hyödyntäminen organisaatiotasoisesti toiminnan kehittämiseksi ottaa oman aikansa - organisaation toimintakulttuurin omaksuminen. Lisäksi ’samoja’ asiantuntijoita tavoitellaan niin julkisen hallinnon tasolla (sisäisesti) kuin yksityisen sektorinkin puolella.

Huomiota tulee kiinnittää siihen, miten digitaalisen turvallisuuden kokonaisuutta organisaatio tasoisena kyvykkyytenä edistetään parhaiten ennakoivan ja suunnitelmallisen toimintamallin mahdollistamiseksi - lyhyellä tähtäimellä, osana käynnissä olevaa Haukka hankekokonaisuutta. Yksinomaan säädöstasolla keskityttäessä ’viran’ perustamiseen riski siitä, että ’kokonaisuutta’ edistetään yksittäisen henkilön tasolla, ja tämän henkilön poistuessa organisaatiosta joudutaan osittain aloittamaan kehittämisen tasolla alusta! Pitkällä tähtäimellä asiaa tarkasteltaessa rakentaa organisaatio varsin todennäköisesti toimintaansa kehittäessään toimialojaan palvelevan digitaalisen turvallisuuden vastuullisen toimenkuvan - organisaatio kyvykkyys vs. vastuujako(taulukko).

Hyvinvointialueiden joustava yhteistoimintamalli edesauttaa alueellista/seudullista digitaalisen turvallisuuden hallinnan kehittymistä. Hyvinvointialueiden ja kuntien tarkoituksenmukaista yhteistoimintaa tulee tukea niin varautumisen, häiriöitten hallinnan kuin toiminnan jatkumisen tasoilla. Arjen turvallisuus edellyttää yhteisten tavoitteitten osalta yhteentoimivia käytäntöjä ja yhdenmukaista ohjeistusta. Tämän toteutuminen edellyttää kansallisen tason kiinteää ohjausta.

Tavoitetilaan liittyvät odotukset ovat lähtökohtaisesti hyviä yhteistoimintamallin tasolla tarkasteltuna. Hallintamalli edellyttää kuitenkin niiden osalta tarkentamista käyttäjäorganisaatioitten tason toimijoille - edellyttäen konkreettisia toimenpiteitä.

Digitaalisen turvallisuuden eri osa-alueitten edellyttämät toimenpiteet ovat osittain organisaation toiminnan tasolla näkymättömiä mutta kuitenkin välttämättömiä. Ne edellyttävät investointeja, työvoimapanostusta ja ammatillista tukea - näistä resursseista on nykyisellään pulaa. Resurssit tulee voida oikeuttaa organisaation kehittämisen tasolla. Nykyisellään organisaation vastuuhenkilöt tekevätkin usein näitä tehtäviä oman päätyönsä ohessa.

Kehitysehdotuksessa (digitaalisen turvallisuuden ohjaus) todetaan, että jos hyvinvointialueilla olisi vain 2-3 potilastietojärjestelmää, digitaalinen turvallisuus olisi helpompi järjestettävissä - tähän huomioon tulee suhtautua ja sitä arvioida hyvinvointialueitten rakentuvan toimintaympäristön kautta. On syytä todeta, että vaikka hyvinvointialueilla olisi käytössään vain yksi järjestelmä, liitettäisiin siihen kymmeniä muita järjestelmiä (laboratorio, radiologia, sosiaalihuolto, ….), joiden tietoturvasta tulisi myös huolehtia. Lisäksi on yksityiset ja työterveydenhuollon toimijat, jotka myös tuottavat ison osan kertomusdatasta. Tietoturvallisuus on osiensa summa. Lisäksi on syytä huomioida, että yhteentoimivuuden kannalta järjestelmien sisältöjä vakioi Kanta-palvelut, joka on hyvinvointialueille erittäin keskeinen tietolähde.

Hyvinvointialueitten todetaan tarvitsevan tukea vastuutaholta. Hallintamallin tasolla tätä arvioitaessa on tätä osiota syytä tarkastella lähemmin, yksityiskohtaisemmin ja käytännönläheisesti.

Kehitysehdotuksessa (suositukset, ohjeet, vaatimukset ja työkalut) todetaan tiedonhallintamallin avulla varmistettavan tietojärjestelmien ja tietovarantojen yhteentoimivuus. Kuten edellä (kohdassa nykytila) on todettu on tiedonhallintayksiköillä tiedonhallintalain mukaisesti velvoite kuvata toimintaansa ja toimintaympäristöään päivittyvän nykytilakuvauksen kautta - tiedonhallintamalli. Tiedonhallintamalli on siten staattinen kuvaus organisaatiosta. Sen kehittämisessä auttaa muutostenarviointiprosessi menetelmänä, ohjaten organisaatiota kohdennettuihin investointeihin mm. digitaalisen turvallisuuden osa-alueilla - riskipohjaista päätöksentekoa tukien. Kuntakentän kannalta katsoen julkisen hallinnon toiminnan yhteentoimivuuden edistämisen odotukset kohdistuvat valtionvarainministeriön ylläpitämään tiedonhallintakarttaan keskeisten yhteisten resurssien kohdalla (perustietovarannot ja niiden sidokset, riippuvuuden kunnille asetettuihin lakisääteisiin tehtäviin) - yhteentoimivuuden huomioiminen toiminnanohjauksen tasolla. Tiedonhallintakartan toimiessa välineenä tiedonhallintamalleja kehitettäessä toimintalähtöisesti.

Kehittämistoimenpiteet

Kuntaliitto pitää esitettyjä kehittämistoimenpiteitä hyvinä. Asianmukaista huomiota tulee kuitenkin kiinnittää eri käyttäjäorganisaatioitten valmiuksiin, osaamisen ja olemassa oleviin resursseihin niin yhteistoiminnan ohjauksen (1-6) kuin digitaalisen turvallisuuden palvelujen (7-14) osalta. Tavoitteitten toteuttaminen ja tunnistettujen vaikutusten aikaansaaminen edellyttävät systemaattista sekä käytännönläheistä tukea arjen tehtävien tasolla. Tutkimuksen ja osaamisen kehittämisen tasolla ja kautta tulisi löytää keinoja ja toimintamalleja kuntien ja yksityisen sektorin yhteistoiminnan lisäämiseksi digitaalisen turvallisuuden osa-alueilla hyödyntäen hyväksi havaittua käytäntöä, Suomen digitaalisuuden menestystekijää - julkinen sektori kirittää yksityistä ja yksityinen julkista.

Lisäksi yhtenä toimenpide-ehdotuksena voisi ajatella arviointiselvityksen käytäntöönpanossa syntyvistä ratkaisuista tiedottaminen mahdollisimman laajan näkyvyyden aikaansaamiseksi. Tiedottaminen ei saisi jäädä pelkästään kunkin osahankkeen vastuulle. Toteutuksille voisi ajatella laadittavaksi seurantapohjan, joka olisi julkisesti nähtävillä ja kommentoitavissa.

SUOMEN KUNTALIITTO

Markus Pauni                                          Jari Ylikoski            
strategia- ja kehitysjohtaja                       erityisasiantuntija, strategiayksikkö