Kuntaliiton lausunto julkisen hallinnon pilvipalvelukriteereistä

Kriteeristön rakenne, kattavuus ja selkeys

Johdantokappaleet

Johdantokappaleista kaipaisi selkeämpää esitystä siitä, kenelle kriteeristö on tarkoitettu, mihin käyttötapauksiin ja millaisella prosessilla käytettäväksi. Samassa yhteydessä olisi hyvä pohtia realistisesti, millaisia toimijoita julkisen hallinnon eniten käyttämät pilvipalveluntarjoajat ovat, miten niiden sopimusehtoihin voi vaikuttaa ja miten niiden toimintaa voi auditoida. Lisäksi pohdintaa kaipaisi siitä, missä tilanteissa pienen tiedonhallintayksikön tietohallintoasiantuntija voisi hyödyntää kriteeristöä (millaisia hankintoja tai toiminnallisia arviointeja tehdessään) ja toisaalta milloin se ei olisi tarkoituksenmukaista tai realistista. 

Kriteeristön käyttötapausten osalta tarvittaisiin tarkennuksia myös sen suhteen, voiko sitä käyttää SaaS-palveluiden yhteydessä. Nyt tästä jää hieman ristiriitainen tuntuma. Kuvaajan (sivu 11) perusteella SaaS-käyttötapaus olisi rajattu ulos kriteeristöstä, jolloin se keskittyisi vain IaaS ja PaaS tapauksiin. 

Pilvipalvelukriteeristön nimeämistä kannattaisi myös pohtia. Julkisen hallinnon pilvipalvelukriteeristö luo oletuksen siitä, että kyseessä olisi kattava kokonaisuus. Kuitenkin rajaukset johdannossa viittaavat siihen, että nyt kyseessä on rajallisempiin käyttötapauksiin suunnattu kokonaisuus. Voisiko nimenä olla esim. ”IaaS ja PaaS muotoisesti toteutettujen pilvipalvelualustojen tietoturvakriteeristö julkisen hallinnon toimijoille”?

Dokumentti kaipaisi syvällisempää pohdintaa siitä, mitä ovat tietoturvan vähimmäisvaatimukset julkisen tiedon käsittelylle pilvipalvelussa (eli käytännössä tietoturvan vähimmäisvaatimukset mille tahansa pilvipalvelulle) sekä siitä, mitä ovat tietoturvan vähimmäisvaatimukset salassa pidettävän tiedon käsittelylle ja toisaalta TL IV -tasolle luokitellun tiedon käsittelylle pilvipalveluissa, ja miltä osin ne (salpid ja TL IV) eroavat toisistaan. Tämä auttaisi hahmottamaan dokumentissa tietoluokkien välille tehtyjä rajanvetoja yksittäisten kriteerien tai kriteeriosioiden osalta. 

Vaatimusten arvioinnin näkökulmasta olisi tärkeä saada kriteerikohtaiset lainsäädäntöviitteet mukaan kokonaisuuteen. Niissä tulisi huomioida ainakin tiedonhallintalaki (4 luku ja 4 a luku), digipalvelulaki, kyberturvallisuuslaki sekä (säädösten tultua voimaan) kyberkestävyysasetuksen kansallisen toimeenpanolaki. Pykäläviitteiden tulisi olla yhteensopivat em. vähimmäisvaatimuskokonaisuuksien kanssa.

Jatkokehittämisen kannalta olisi hyödyllistä saada samaan kokonaisuuteen myös tietosuojan säädösviitteet sekä henkilötietojen ja erityisten henkilötietojen käsittelyyn liitetyt vähimmäisvaatimuskokonaisuudet. Myös eheyden ja saatavuuden vaatimusten näkökulmia voisi tuoda mukaan kriteeristöön.

Kriteeristön johdannossa tehtyjä käsitevalintoja tulisi tarkistaa. Esimerkiksi nyt käytetty ”tietotyyppi” -käsite tuntuu oudolta. Vaikkapa dokumentissa paikoin käytetty synonyymi ”tietoluokka” tuntuisi paremmalta. Kannattaa yhdenmukaistaa käsitteet voimassa olevien sanastojen suhteen, ja tarvittaessa määritellä selkeästi uudet käsitteet, jos sellaisia tarvitsee luoda

Kriteeriosio

Kriteerit esittelevän osion otsikointi ja taulukointi on selkeä. Taulukoissa voisi olla omat kohtansa lainsäädäntöviittauksille ja tarvittaessa myös ristiinviittauksille kansallisiin kriteeristöihin. 

Kriteeritaulukoiden vastuukohdat ovat epäselvät siltä osin kuin niissä on nimetty sekä palveluntuottaja että asiakas. Joko johdantokappaleissa tai kriteerikohtaisten taulukoiden lisätietokohdissa tulisi tarkentaa, mitä jaettu vastuu tarkemmin tarkoittaa tai miten se tyypillisesti jakautuu. 

Mikäli kriteeristöä on tarkoitus hyödyntää arviointitoiminnassa, siihen tulisi sisällyttää myös kriteerikohtaiset todentamisesimerkit, joita tarvitaan arviointityön mahdollistamiseksi ja kriteeristön saattamiseksi akkreditointikelpoiseksi - eli kriteeristöksi, jonka auditoijaksi arviointilaitos voi hankkiutua.

Jos kriteeristön oletettu käyttäjäkunta on pieni ja koostuu syväosaajista, voi kriteeristö olla riittävä jo tällaisenaan. Jos potentiaalinen käyttäjäkunta on laajempi, kriteeristön käytettävyys vaatisi kriteerien viemistä sujuvasti suodatettavaan ja muokattavaan työkaluun - yksinkertaisimmillaan Exceliin. 

Työkalun tulisi mahdollistaa esivalinnat esim. tietoluokkien ja käyttötapausten mukaan, uusien käyttötapausten tallennuksen omiin tarpeisiin, kriteerien valinnan ja poisvalinnan sekä kriteerikohtaisten kommenttien ja tarkennusten kirjaamisen ja tallentamisen. 

Kriteeristön käytettävyyttä voisi parantaa myös liite, johon olisi koottu dokumentissa käytetyt lyhenteet ja niiden selitykset.

Kriteeristön soveltuvuus viranomaisten riskienhallinnan tueksi

Kuntakentän toimijoiden mahdollisuudet vaikuttaa pilvipalveluntarjoajien käyttöehtoihin ja pilvipalvelupohjaisten ohjelmistopalveluiden toimittajien käyttöehtoihin ovat rajalliset. Siksi tämän kriteeristön kaltaisen yksityiskohtaisen ja osin teoreettisen kriteeristön käytettävyys voi jäädä kuntakentässä vähäiseksi, ellei sitä käytetä pohjana kansallisille toimenpiteille, joiden avulla määritellään yhdessä toimittajien kanssa kansalliset vähimmäisvaatimukset keskeisille käyttötapauksille, niiden hankintaehdoille ja niiden mukaisille sertifikaateille. 

Kuntien näkökulmasta tarvittaisiinkin selkeät kansalliset ja/tai eurooppalaiset vähimmäisvaatimukset keskeisiin käyttötapauksiin (esim. julkinen / salassa pidettävä, käsitellään henkilötietoja / käsitellään erityisiä henkilötietoja) ja niitä vastaavat sertifikaatit. 

Ideaalitilanteessa sertifioitujen pilvipalveluiden vaatimustenmukaisuutta valvottaisiin kansalliselta tai EU-tasolta, kun taas kuntatasolla hankittaisiin kustannustehokkaalla hankintaprosessilla ja -sisällöllä suoraan tietylle tasolle sertifioituja pilvipalveluita. Kun uusi palveluntarjoaja tulisi markkinoille, se ei lähtisi kyselemään tietoturvan, tietosuojan ja varautumisen perustarpeita ja vähimmäisvaatimuksia sadoilta eri tiedonhallintayksiköiltä, vaan se hankkisi omien palveluidensa asiakasryhmien ja käyttötapausten kannalta relevantit eurooppalaiset tai kansalliset sertifikaatit.

Kuntakentän toimijoiden kannalta on myös tarvetta selkeälle ja ytimekkäälle tietoturvan, tietosuojan ja ICT-varautumisen yleiskriteeristölle, jonka avulla voisi arvioida oman toiminnan sekä ostopalveluiden vaatimustenmukaisuutta, ja joka tukisi tietoturvan hankintaehtojen määrittelyssä. Käytännössä Julkri toimii tällä hetkellä sellaisena. Olisikin tärkeää saada selkeä jatkonäkymä Julkrin ylläpidolle sekä Julkrin suhteelle muihin kansallisiin kriteeristöihin. Olisi toki hyvä myös yhdenmukaistaa ja soveltuvalta osin yhdistää kansallisia (ja jatkossa myös eurooppalaisia) enemmän tai vähemmän päällekkäisiä kriteeristöjä informaatio-ohjauksen tuottavuuden parantamiseksi. 

Olettaen, että pilvikriteeristön käyttötapaukset ovat IaaS ja PaaS ratkaisujen omatoiminen rakentaminen tai hankinta, sen käyttäjäkunta ja käytön määrä jäänee melko rajalliseksi kuntakentässä.

Kriteeristöluonnoksen jatkokäsittelyssä kriteerit tulisi käydä läpi kriteerikohtaisesti yhdessä teknisesti orientoituneiden loppukäyttäjien ja palveluntoimittajien edustajien kanssa, ja tarvittaessa päivittää niitä asianmukaisesti. 

Suhde voimassa olevaan lainsäädäntöön ja muuhun ohjeistukseen

Johdannosta puuttuu kattavampi pohdinta EU:n kriteeristö- ja sertifiointityön tilanteesta ja näkymistä sekä siitä, miten niitä yhteensovitetaan kansallisen kriteeristötyön kanssa. Edellä on käsitelty tarvetta tuoda kriteeristöön mukaan selkeät viitteet lainsäädännön vaatimuksiin.

Johdannosta toivoisi myös näkemystä siitä, miten kriteeristö suhtautuu Julkriin. Tulisiko pilvikriteeristön julkaisun jälkeen välttää joidenkin Julkrin osioiden, kriteerien tai käyttötapausten käyttöä? Ja voisiki Julkria käyttää pilvikriteeristön rinnalla yhtä aikaa joissakin käyttötapauksissa? 

Tähän liittyen olisi hyödyllistä tuoda kriteerien yhteyteen myös ristiviitteet yleisimmin käytössä olevien kansallisten kriteeristöjen ja pilvikriteeristön välille. Kansallisia huomioitavia kriteeristöjä ovat ainakin Julkri ja Katakri. Ristiviittaus myös Traficomin suositukseen NIS2 valvoville viranomaisille olisi hyödyllistä. Toisaalta sekin saattaisi olla järkevää, että pilvikriteeristö miellettäisiin nykymuodossaan Julkria, Katakria ja NIS2 suositusta syventäväksi dokumentiksi, ja siten ristiviittaus tulisikin viedä Julkriin, Katakriin ja NIS2 suositukseen ns. syventävän tiedon lähteenä. 

Myös viittauksia JIT-ehtoihin voisi pohtia, sekä ylipäätään JIT ehtojen roolia ja käyttöä pilvipalveluiden tietoturvallisuuden vähimmäissopimusehtojen alustana - sekä näiden vähimmäisehtojen rakentamista sekä julkinen että salassa pidettävä tasoille sekä mahdollisesti henkilötietojen ja erityisten henkilötietojen käsittelyn tasoille.

Saattaisi olla hyödyllistä laatia pilvikriteeristöön liite, jossa olisi vertailtu Julkri / Katakri / Pitukri / NIS2 suositus / JIT ehdot vs. Pilvikriteeristö. Se voisi helpottaa entisestään kriteeristön käyttöä.

Kehittämisehdotukset jatkovalmistelua varten

Yksittäistä kriteeristöä olennaisempaa olisi tunnistaa ja toimeenpanna nykyistä tuottavammat ja vaikuttavammat kansalliset toimintamallit lakisääteisten tietoturva-, tietosuoja- ja jatkuvuusvaatimusten yhdenmukaiseksi määrittämiseksi julkisen hallinnon keskeisissä tietojärjestelmähankinnoissa sekä kriittisten tietojärjestelmien ja tietoliikennejärjestelyiden vaatimustenmukaisuuden arviointien tekemiseksi kansallisena yhteistyönä palveluntarjoajien ja viranomaisten kesken. Samassa yhteydessä olisi hyvä kiteyttää kansallinen näkemys kriteeristöjen kehittämisestä.

Kriteeristötyötä tulisi tehdä jatkossa laajan sidosryhmäjoukon voimin. Eli mukaan tulisi osallistaa alusta lähtien riittävässä laajuudessa kriteeristön käyttäjät ja kriteeristön kohteena olevien palveluiden tuottajat.

Pilvikriteeristön jatkovalmistelun osalta muut keskeiset kehitysehdotukset ja -tarpeet on nostettu esiin edellä muiden kysymyskohtien alla.

Kuntaliitto kiittää mahdollisuudesta lausua julkisen hallinnon pilvipalvelukriteereistä! Kansallisten kriteeristöjen ylläpito on tärkeää yhteisen tietopohjan ja ymmärryksen kehittämiseksi sidosryhmien välillä. 

Kiitämme valtiovarainministeriötä, Liikenne- ja viestintävirasto Traficomia sekä muita pilvikriteeristön laatimiseen osallistuneita tahoja jo nyt sen eteen tehdystä tärkeästä työstä. Annamme oman roolimme ja resurssiemme rajoissa täyden tukemme kansalliselle tietoturvan kehittämiselle ja siihen liittyvälle kriteeristötyölle.

Annamme myös mielellämme lisätietoja lausunnostamme. 

SUOMEN KUNTALIITTO

Markus Pauni                                  
strategia- ja kehitysjohtaja              

Martti Setälä
erityisasiantuntija