Riskejä valtion varmennetoiminnan uudistamishankeissa

Transkriptio

1 Riskejä valtion varmennetoiminnan uudistamishankeissa Riskianalyysi Raportin sivumäärä KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

2 2

3 Sisällys 1 Johdanto Raportin rakenne Tarkastuksen kohde: uudistamishankkeen vaiheet 1 ja Käytettyjä tunnistus- ja Public Key Infrastructure järjestelmien (PKI-järjestelmien) käsitteitä Eroja Valviran ja VRK:n varmennepalveluissa Taustaa juridisista kysymyksistä Tarkastusprosessi Menetelmät 9 2 Yhteenveto ja kokonaisarvio riskeistä eri vaihtoehdoissa 14 3 Riskejä nykytilan pitkittyessä: Valvira jatkaa itsenäistä varmennetoimintaa Riskit 1a ja 1b: Valvira joutuu kilpailuttamaan korttijärjestelmänsä Riski 2: Valviran ja VRK:n päällekkäisten varmennejärjestelmien pitkittyvät kustannukset Riski 4: Paikallisen korttituotannon kontrolliriski Riski 5: Eri tahojen juridinen kelpoisuus laatuvarmentajana 17 4 Riskejä vaiheessa 1: Valviran varmennepalvelun siirto VRK:lle Riskit 8a ja 8b: VRK ei kykene tarjoamaan suunniteltua varmennejärjestelmää ajoissa Riski 8c: edes välttämätöntä perusjärjestelmää ei saada valmiiksi yhdeksässä (9) kuukaudessa Riski 9: Päätösten ja lainsäädännön hitaus Riski 11a: Henkilöresurssien optimointi (vaiheessa 1) Riski 12: Avainhenkilö jättää projektin (vaiheessa 1) Riski 13a: Terveydenhuollon osaaminen ei siirry VRK:lle Riski 16 ja 17: VRK joutuu kilpailuttamaan varmennepalvelun Riski 18: Terveydenhuollon toimijat eivät voi ostaa VRK:lta suorahankintana Riski 19: Valvira ja VRK ovat valmiit siirtämään varmennetoiminnan VRK:lle, VM ei halua 20 5 Riskejä vaiheessa 2: vaiheessa 1 yhdistetyn varmennepalvelun siirtäminen VIPille Riski 11b: Henkilöresurssien optimointi (vaihe 2) 21 3

4 5.2 Riski 13b: Tarvittava VRK:n terveydenhuollon toimialaosaaminen ei siirry VIPille Riski 15: Juurivarmenteisiin kirjatun varmentajaorganisaation nimen vaihtuminen vastuun siirtyessä VRK:lta VIPille 21 6 Riski mikäli Valviran ja VRK:n varmennetoiminta siirretään suoraan VIPille, ilman että käydään Valvira- VRK-integraation kautta 23 7 Taustariskejä kaikissa vaihtoehdoissa Riski 7: Tunnistamisesta aiheutuvien kustannusten jakautuminen osapuolten välille Riski 14: Muutokset EU lainsäädännössä Riski 20: Varmenneteknologian markkinatilanne vaikeutuu ja uusittavat sopimukset eivät ole yhtä edullisia kuin vanhat 24 8 Yksityiskohtainen riskitaulukko 25 9 Liite A Toimeksianto Liite B Työsuunnitelma 35 4

5 1 Johdanto 1.1 Raportin rakenne Tämä raportti on tulos riskianalyysistä, jonka KPMG teki Valtiokonttorin toimeksiannosta tammi-helmikuussa Taustana on valtionhallinnon hanke tehostaa ja yhtenäistää varmennetoimintaansa. Analyysi koskee mahdollisia eri vaiheita, jotka liittyisivät Valviran (Sosiaali- ja terveysalan lupa- ja valvontavirasto) varmennepalvelun siirtoon Väestörekisterikeskukselle (VRK) ja/tai yhdistetyn varmennepalvelun siirtoon VIPille (Valtion IT-palvelukeskus). Kuvaamme toimeksiannon kohteen, laajuuden ja näkökulman. Määrittelemme varmennepalveluun liittyviä käsitteitä. Esitämme ensin yleisen kokonaisarvion riskeistä. Sitten jäsennämme riskejä mahdollisten projektivaiheiden mukaan ryhmiteltynä. Käsittelemme kunkin riskin taustatekijät ja vaikutukset ja esitämme niiden todennäköisyys- ja vaikutuksen vakavuusarviot. Lopussa on taulukko, johon on koottu numeroituna riskit, syyt, vaikutukset,. hallintakeinot ja suuruusluokka-arviot. 1.2 Tarkastuksen kohde: uudistamishankkeen vaiheet 1 ja 2 Valtiovarainministeriö (VM) on asettanut työryhmän selvittämään valtion varmennetuotannon uudelleen organisointia. Eräänä vaihtoehtona on esitetty Valviran ja VRK:n varmennepalveluinfran keskittämistä VIPille vuoden 2012 loppuun mennessä. Sosiaali- ja Terveysministeriö (STM), Valvira ja VRK ovat suunnitelleet, että vaiheessa 1 Valviran varmennepalvelutuotanto siirrettäisiin vuoden 2010 elokuun loppuun mennessä VRK:lle. Valvira, VRK ja VIP ovat lisäksi selvittämässä mahdollisuutta siihen, että vaiheessa 2 VIPiin perustettaisiin tarvittavat toiminnot varmennepalvelutuotannon keskitettyä hoitamista varten vuoden 2012 loppuun mennessä. Työryhmän selvitys on vielä valmisteilla. Työryhmä oli päättänyt kartoittaa näihin toimenpiteisiin liittyvät riskit ulkopuolisen konsultin avulla ja KPMG sai tehtävän hoitaakseen. Toimeksiannossa sovittiin, että keskitymme ensisijaisesti vaiheeseen 1 eli Valviran varmennepalvelun siirtoon VRK:lle, mutta myös toisesta vaiheesta tehdään karkea riskikartoitus. Riskien kartoituksessa KPMG huomioi Valtiokonttorin pyynnöstä mm. seuraavat seikat: VRK:n valmiudet ottaa Valviran varmennetuotanto vastaan Kelan KanTa-palvelujen (ensivaiheessa eresepti, myöhemmin earkisto) rakentamisen ja käyttöönoton aikataulut suhteessa tähän hankkeeseen tarvittavat lainsäädännön muutokset Valviran varmenteiden käyttöönoton eteneminen sairaanhoitopiireissä resurssit ja osaaminen tarvittavat virkasiirrot kokonaisaikataulu kustannukset lisenssi- ja sopimusasiat 5

6 1.2.1 Käytettyjä tunnistus- ja Public Key Infrastructure järjestelmien (PKIjärjestelmien) käsitteitä Varmennejärjestelmien ja PKI-järjestelmien teknologia ja siihen liittyvät haasteet ovat osoittautunut yleisesti melko hankalaksi ymmärtää. Teknisesti sitä ymmärtää suppea asiantuntijajoukko. Asiaan liittyy myös sopimusoikeudellisia ja luottamuksen hallintaan liittyviä seikkoja, joista ei edes ole olemassa vakiintunutta oikeuskäytäntöä. Määrittelemme siksi aluksi raportissa käytettyjä teknisiä käsitteitä ja luomme katsauksen asian juridiseen taustaan. Teknistä taustaa PKI tarkoittaa kryptografista julkisen ja yksityisen avaimen parin käyttöä ja niiden käyttöön liittyvän julkisten avainten luottamusongelman ratkaisua (Perustietoa ks. PKI-tekniikkaan perustuvaa järjestelmää käyttöön otettaessa tarvitaan teknisesti ja juridisesti luotettava organisaatio eli varmentaja (engl. Certification Authority, CA), joka toimii tunnistetietojen ja niihin liittyvän julkisen avaimen allekirjoittajana (ikään kuin notaarina). CA tarvitsee teknisen varmenteiden hallinta- ja jakelujärjestelmän (engl. Certification Authority järjestelmä, eli CA-järjestelmä). Lisäksi sulkulistan käsite tuo mukanaan vaatimuksen, että (pieni) osa keskitettyä järjestelmää eli sulkulistapalvelimet ovat verkon yli aina saavutettavissa sieltä, missä korttia käytetään, ja että sulkulistatietoja ylläpidetään lähes reaaliajassa. Kortin käytön aikana siis tarvitaan yhteys keskitettyyn sulkulistapalvelimeen, mutta ei muuhun keskitettyyn CA-järjestelmään. Olemassa olevan kortin käyttämiseksi tarvitaan: avainlaite/korttialusta eli fyysinen korttitoteutus ja sen varusohjelmisto (kortin käyttöjärjestelmä) kortille (käyttöönotettaessa tai jälkikäteen) asennetut yksi tai useampia korttisovelluksia, jotka mahdollistavat tietyn tyyppisten avainten ja varmenteiden käytön tietyissä työaseman ja verkon tarjoamissa sovellusjärjestelmissä, tunnistus- ja allekirjoitustarkoituksessa. avainlaitteen luku/kirjoituslaite (kortinlukija) ja sen ohjainohjelmisto (laiteajuri ja mahdollinen muu tarvittava jokaiseen työasemaan asennettava kortin ohjelmisto) työasema ja sen käyttöjärjestelmä, joka mahdollisesti tarjoaa valmista tukea tietylle avainlaite/korttisovellus/sovellusjärjestelmä-yhdistelmille käytössä olevat mahdolliset lisäkomponentit, joiden avulla muuten yhtyeensopimattomat laite- ja ohjelmistokomponentit saadaan toimimaan halutulla tavalla yhteen PKI-järjestelmän riskien arvioinnista yleensä Kustannusriskit ja toiminnallisuuteen ja tietoturvaan liittyvät riskit kietoutuvat toisiinsa. Niitä mietittäessä on syytä korostaa, että PKI-järjestelmä jakautuu kustannuksiltaan ja operointivaatimuksiltaan selvästi eriluonteisiin osa-alueisiin. Monimutkaisin ja kallein osa järjestelmää on varmenteiden hallinta- ja jakelujärjestelmä. Silti vain osa siitä eli varmentajan yksityisen avaimen hallintaan liittyvä osa on luottamuksellisuudeltaan erityisen kriittinen ja aiheuttaa siksi välttämättä kustannuksia, koska se pitää toteuttaa huolellisesti. Tätä järjestelmää ja siten CA:n yksityistä avainta saa 6

7 käyttää vain luotettava ja vahvasti tunnistettu henkilö, joka aina voi varmistua varmennettavan henkilön (tai muun tunnistettavan subjektin) tunnistetietojen eheydestä eli oikeellisuudesta uutta varmennetta luotaessa. Vastaavasti toinen sinänsä melko kevyt osa järjestelmää eli sulkulistapalvelin on käytettävyydeltään kriittinen, joten se aiheuttaa jonkin verran kustannuksia palvelinten ja tietoliikenteen varmistamisessa. Sen sijaan koko järjestelmä ei ole sekä luottamuksellisuudeltaan että saatavuudeltaan kriittinen: Varmenne ei ole väärennettävissä, mikäli se käytettäessä tarkistetaan normaalisti, ja se on julkinen eli sitä ei tarvitse säilyttää tai siirtää huolellisesti tai turvatusti Työasemajärjestelmien häiriöt ovat paikallisia ja koskevat yhtä korttia ja käyttäjää kerrallaan. Yhden sovellusjärjestelmän häiriöt eivät vaikuta muihin mahdollisiin kortin käyttötapoihin. Varmenteiden hallinta- ja jakelujärjestelmän pelkkä saatavuushäiriö häiritsee uusien korttien luomista mutta ei vanhojen käyttöä, olettaen että siihen ei liity CA-järjestelmän luottamuksellisuuden tai eheyden murtumista. Sulkulistapalvelimen häiriöt taas estävät vanhojen korttien käytön (tai se on mahdollista mutta siihen liittyy suljetun kortin käyttöriski), mutta eivät vaaranna CA-järjestelmän muuta tietoturvaa (koska vaikka sulkulistapalvelimeen olisi murtauduttu sulkulistoja ei voi vaihtaa tai väärentää ilman CA:n yksityistä avainta). Varmenne ja sulkulista sisältävät pääasiassa julkista tietoa, joten varmenteiden jakelu voidaan toteuttaa luottamuksellisuuden suhteen kevein vaatimuksin. Tosin henkilövarmennehakemisto on väistämättä myös henkilörekisteri, joten sitä pitää operoida lain vaatimukset huomioon ottaen Eroja Valviran ja VRK:n varmennepalveluissa VRK:n CA-järjestelmä on aikaisemmin toteutettu niin, että julkisen ja yksityisen avaimen pari ja varmenne tuotetaan ja asennetaan tyhjään korttiaihioon eli kortti "yksilöidään" keskitetysti "korttitehtaassa" etukäteen tehdyn tilauksen mukaan ja toimitetaan sen jälkeen käyttäjälle luotettavasti esim. postissa niin, että tarvittavat tunnusluvut lähetetään erikseen. Sairaanhoitopiirien ja Valviran järjestelmissä tyhjät korttiaihiot ovat olleet paikallisesti valmiina, ja kortit on yksilöity tarvittaessa ja annettu suoraan käyttäjän käteen. Vakiintuneen käytännön mukaan varmentajan yksityinen avain on talletettu vain turvalliseen keskusjärjestelmään. Paikallisen korttituotannon tapauksessa sitä pitää pystyä käyttämään turvallisesti etäyhteydellä. Tämä tekee paikallisen korttituotannon siinä mielessä haastavaksi, että se on riippuva siitä, että CA-keskusjärjestelmään saadaan kortteja luotaessa turvallinen yhteys. VRK on kuitenkin Valviran pyynnöstä rakentanut valmiuksia myös paikallista korttituotantoa varten, ja Valvira vastaavasti on päättänyt, että jatkossa myös terveydenhuollon kortteja voidaan pääasiassa käyttöön niin, että ne tilataan korttitehtaasta ja toimitetaan postitse. 7

8 1.2.3 Taustaa juridisista kysymyksistä PKI-tunnistamiseen ja allekirjoitusten käyttöön ja erityisesti Valviran ja VRK:n hankkeisiin liittyvät mm. seuraavat lait: Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) ja siihen liittyvä maksuasetus Laki sähköisestä lääkemääräyksestä ( /61) Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain 2 ja 9 :n muuttamisesta (619/2009) Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) Laki sähköisestä asioinnista viranomaistoiminnassa annetun lain muuttamisesta (618/2009) Lisäksi Valviralla ja VRK:lla on alihankkijasopimuksia, joihin liittyy ehtoja ja mahdollisuuksia, jotka piti ottaa huomioon eri vaihtoehtoja mietittäessä. Keskeinen lakitekninen seikka on, että tällä hetkellä terveydenhuollon valtakunnallinen ammattivarmennetoiminta on lainsäädöllä määrätty Valviralle, ja VRK tai VIP eivät voi sitä hoitaa ilman lakimuutosta. Vastaavasti VRK:n sopimuksen alihankkijoiden kanssa osittain rajoittavat toiminnan VRK:n lakisääteisiin tehtäviin. Jotta VRK voisi edullisesti laajentaa alihankkijatoimintaa terveydenhuollon varmennepalvelun toteuttamiseksi, tarvitaan tälle tuki laissa. Muuten VRK:lle aiheutuu merkittävä kustannuksia, jos olemassa olevien sopimusten tulkinta ei kattaisi uusia toimintoja. 1.3 Tarkastusprosessi Työskentelyssä hyödynnettiin työryhmän aiempaa dokumentaatiota ja mm. seuraavia dokumentteja: Valtionhallinnon varmennetoiminnan uudelleenorganisointityöryhmien I ja II sekä lisäselvitystyöryhmän väliraportti ja kokousmuistiinpanot VTV:n tarkastusraportti liittyen mm. varmennetoiminnan organisointiin ja kustannuksiin Edellä mainitut lakitekstit VRK:n kuvaus nykyisestä varmennejärjestelmästä Valviran kuvaus nykyisestä varmennejärjestelmästä (vedos) Suunnitelma Valviran varmennetoiminnan integroimiseksi VRK:een (vedos) Haastattelimme useita VRK:n ja Valviran edustajia sekä yhtä Valtiokonttorin, STM:n ja VM:n edustajaa. Haastateltuja olivat: Pekka Jelekäinen, VRK Erkki Wuoma, VRK Antti Partanen, VRK Tapani Puisto, VIP Teemupekka Virtanen, STM 8

9 Maijaliisa Aho, Valvira Mika Pohjolainen, Valvira Jukka Kuha, Valvira Riku Jylhänkangas, VM Lisäksi järjestimme haastattelujen jälkeen riskityöpajan, jossa olivat läsnä edellä mainituista muut paitsi VM:n edustaja ja Valviran nuorempi asiantuntija. Riskityöpajassa kävimme läpi KPMG:n haastattelujen perusteella tunnistamia riskejä. Selkeytimme niiden kuvausta ja terävöitimme niiden jäsentelyä. Varmistimme, että kaikilla osallisilla oli sama näkemys faktoista ja toistensa mielipiteet tiedossa. Riskityöpajassa osallistujat yhdessä KPMG:n edustajien kanssa arvioivat lisäksi kunkin tunnistetun riskin todennäköisyyttä ja seurausten vakavuutta, periaatteessa kolmiportaisella asteikolla: pieni, kohtalainen, suuri Menetelmät Riskianalyysiä voidaan käyttää toiminnan kehityksen eri vaiheissa riskien selvittämiseksi sekä sen varmistamiseksi, että kaikki oleelliset riskit on huomioitu, eikä uusia oleellisia riskejä ole ilmaantunut kehityksen aikana. Riskianalyysi on säännöllistä toimintaa, johon apua ja ohjeita löytyy esimerkiksi VAHTI ohjeesta 7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa sekä standardista ISO Nämä kuvaavat tietoturvariskien hallintaa, mutta ovat annettuja esimerkkejä lukuun ottamatta varsin yleisiä ja soveltuvat myös projektiriskien ja muiden organisaation toiminnan riskien erittelyyn. Esim, ISO kuvaa seuraavanlaisen riskienhallinnan prosessin: 9

10 LÄHDE: ISO7IEC 27005:2008 Riskien arvioinnin suunnittelu ja toteutus (VAHTI 7/2003 luku 3.4) Erilaiset riskianalyysit noudattavat tyypillisesti seuraavaa toimintamallia: Kohteesta tarvittavan tiedon hankkiminen Työryhmän / avainhenkilöiden kokoaminen Työryhmän perehdyttäminen analyysimenetelmään Työryhmäkokousten ("riskityöpajojen") vetäminen Tulosten raportointi ja tiedottaminen 10

11 Riskienarvioinnin organisointi ja osallistujat (VAHTI 7/2003 luku 3.5) KPMG:n puolelta vastuuhenkilönä toimi Anssi Porttikivi, jonka tehtävänä oli valita oikeat riskianalyysimenetelmät, valmistella riskianalyysissä käytettävät avainhenkilönhaastattelut ja riskiarviointityöpajat. Häntä avusti haastatteluissa, riskityöpajassa ja raportoinnissa Mikko Kinnanen. Asiakkaan puolelta riskianalyysiin pyrittiin saamaan mukaan hankkeen avainhenkilöt, joilla on tietämystä kohteeseen kohdistuvista ulkoisista ja sisäisistä vaatimuksista, kohteen toteutuksesta ja prosesseista sekä riskeistä. Riskianalyysi sisälsi taustahaastatteluja ja erillisen, avainhenkilöt yhteen kokoavan riskiarviointityöpajan. Riskienhallinnan keinot (Vahti 7/2003 luku 4) Riskejä voidaan hallita monin keinoin. Keskeiset toimintavaihtoehdot ovat: Riskin välttäminen Riskin poistaminen Riskin pienentäminen Riskin siirtäminen Riskin pitäminen omalla vastuulla Riskianalyysityöpajoissa käydään kunkin tunnistetun riskin osalta vaihtoehtoja riskin hallitsemiseksi. Uhkien määrittely ja tunnistaminen (Vahti 7/2003 luku 5) Uhkien tunnistamiseen on olemassa erilaisia menetelmiä, joita voidaan käyttää rinnakkain. Tässä toimeksiannossa käytetään seuraavia menetelmiä: Dokumentaation läpikäynti Tarkastuksen kohteeseen ja sen käyttöön tutustuminen Avainhenkilöhaastattelut Riskienarviointityöpaja Uhkien tunnistaminen Menetelmien valinta (Vahti 7/2003 luku 5.1 ja 5.2) Uhkien ja vaarojen tunnistamiseen on kehitetty useita riskianalyysimenetelmiä, kuten esimerkiksi seuraavat: Poikkeamatarkastelu Potentiaalisten ongelmien analyysi Toimintovirheanalyysi Vaarallisten skenaarioiden analyysi Vika- ja vaikutusanalyysi Tässä toimeksiannossa uhkien tunnistaminen tapahtui KPMG:n asiantuntijoiden toimesta sekä haastateltavien henkilöiden ja riskinarviointityöpajan osallistujien toimesta. Työssä käytettiin soveltuvin osin edellä mainittuja menetelmiä. 11

12 Riskin suuruuden arviointi (Vahti 7/2003 luku 6) Riskin suuruuteen vaikuttavat mahdollisten seurausten vakavuus ja todennäköisyys. Riskin suuruuteen vaikuttavat sen toteutumisen todennäköisyys ja toteutumisen aiheuttamien seurausten vakavuus. Työssä käytettiin VAHTI //2003 määrittelemiä todennäköisyyden ja seurausten vakavuuden sekä niiden perusteella määritettävien riskien suuruuden määrittelyn menetelmiä. Riskin suuruus on todennäköisyys x seurausten vakavuus, ja riskit voidaan luokitella esim. seuraavan karkean luokituksen mukaan: Kriittisyys Seurausten vakavuus Vähäinen (1) Vakava (2) Erittäin vakava (3) Uhkan toteutumisen todennäköisyys Korkea (3) 3. Kohtalainen riski 4. Merkittävä riski 5. Sietämätön riski Keskimääräinen (2) 2. Vähäinen riski 3. Kohtalainen riski 4. Merkittävä riski Alhainen (1) 1.Merkityksetön riski 2. Vähäinen riski 3. Kohtalainen riski Toimenpiteiden määrittely (Vahti 7/2003 luku 7) KPMG antaa suositukset riskien käsittelemiseksi. Riskiarviointityöpajassa on käyty läpi mitkä ovat eri mahdollisuudet kunkin riskin käsittelemiseksi. Tämän lisäksi KPMG raportoi tulokset ja kuhunkin riskiin liittyvät konkreettiset suositukset. Projektiriskien hallinnasta Projektin hallintaan ja resursointiin liittyvien riskien yhteydessä käytimme apuna KPMG:n kehittämää metodia Project risk Assessment and Monitoring (PRAM), jonka lähestymistapaa kuvaa seuraava kaavio. Erityisesti haastattelut oli rakennettu tämän kaavion mukaan: 12

13 Hardware, software Data conversion System architecture Networking Performance Sizing Security Availability Disaster recovery Commitment Support Sponsorship Alignment with other initiatives Executive Risk Project Technical Management Risk Project management Programme management Planning Monitoring Controls Scope Tools and methodologies Decision making Organisational alignment Business process redesign Change management Communication Application control Staffing Training Business continuity Organisational Risk Functional Risk Resource Risk Time schedules Budgets Resources Consultants Missed milestones Missing requirements Business process controls Promised functionality Reliability, usability Legacy system integration 13

14 2 Yhteenveto ja kokonaisarvio riskeistä eri vaihtoehdoissa Iso, mahdollisesti satoja tuhansia käyttäjiä koskettava PKI- ja sirukorttiprojekti on aina teknisesti ja juridisesti vaikea, ja aiheuttaa siten huomattavia kustannuksia. Myös organisaatioja projektiriskit kumpuavat asioiden teknisen ja juridisen hallitsemisen ja ymmärtämisen vaikeudesta. Lisäksi terveydenhuoltoalaan sinänsä liittyy lukuisia tarkoin valvottavia oikeudellisia kysymyksiä. Tutustuttumme varmennetoiminnan uudistamishankkeen kokonaisuuteen näyttää siltä, että VRK selvästi haluaa ottaa Valviran varmennetoiminnan hoitaakseen, ja heillä mitä ilmeisemmin on teknistä kykyä ja uskottava, kustannuksiltaan varsin edullinen kokonaissuunnitelma sen varalta. Tärkein motivaatio ja hyöty on Valviran ja VRK:n nykyjärjestelmien päällekkäisyyden ja päällekkäisten kustannusten karsiminen. Siirtoon liittyy teknisiä ja juridisia riskejä, jotka voivat aiheuttaa myöhästymistä, lisää kustannuksia tai toiminnallisia puutteita. Kuitenkin kokonaisuuden huomioon ottaen ja vaihtoehtoisiin ratkaisuihin verrattuna merkittävää VRK:en siirrosta suoraan aiheutuvaa riskiä Valviran varmennetoimintoja sinne siirrettäessä KPMG ei näe. Tärkein asia on, että STM ja VM tekevät päätöksen nopeasti ja lakia uusitaan tarpeen mukaan, jotta VRK ja Valvira ehtivät hoitaa projektin valmiiksi sovittuun ajankohtaan mennessä (alustavasti elokuun loppuun) mennessä ja joka tapauksessa niin, että se ei viivästytä eresepti-hanketta. HUOM! julkisuudessa olleen tiedon mukaan eresepti-hanke siirtyy joka tapauksessa. Siirtymä vaikuttanee niin, että tässä riskianalyysissä käsiteltävät viivästymisriskit eivät ole aivan niin kriittisiä kuin oli arvioitu. Valvira on jo jonkun aikaa yhteisymmärryksessä VRK:n kanssa valmistellut siirtoa. Valviralle sinänsä kelpaisivat muutkin ratkaisut, esim. nykytilassa jatkaminen. STM on viimeistään tämän riskianalyysin kuluessa saanut melko selkeän viestin Valviralta ja VRK:lta, että he haluavat ensisijaisesti yhdistämistä, ja se onkin STM:n mielestä vähintään hyväksyttävä ratkaisu, parempien vaihtoehtojen puuttuessa. STM on avainasemassa tarvittavan lainsäädännön muuttamiseksi, ja he ovatkin valmiita menemään hankkeessa eteenpäin melko nopeastikin. VM ei ole vielä muodostanut lopullista mielipidettään asiassa. Mikäli siirto VRK:lle ei toteudu, asiaan liittyy omat merkittävät riskinsä. Tärkeimpänä näistä se, että Valvira joutuisi äkkiä kilpailuttamaan EU-tasoisena kilpailutuksena korttialustansa ja kortinlukijaohjelmistonsa sekä toden näköisesti rekisteröintipisteiden laitteistot ja sulkupalvelun ennen laajaa käyttöönottoa, jonka yhteydessä on myös todennäköistä, että korttialusta jouduttaisiin vaihtamaan. Tästä aiheutuisi melko todennäköisesti viivästystä ja lisäkustannuksia. Lisäksi päällekkäisten järjestelmien operointi ja maksaminen jatkuisi varmaankin huomattavasti pidempään, jos Valvira-VRK-integraatiota ei tehdä nyt. Vaihe 2 eli siirto VIPille on ongelmallisempi, vaikka se tuntuukin olevan VM:n mielessä ensimmäisenä vaihtoehtona. Ensinnäkin siirron varsinainen hyöty verrattuna Valvira-VRKintegraatioon ei ole selvä, varsinkin kun VIP on vasta syntymässä. On vaikea sanoa, mitä siirto käytännössä merkitsisi, ja mitä lisähyötyä se tarjoaisi Valvira-VRK-integraatioon nähden. Lisäksi siihen saattaa liittyä varmentajan identiteetin vaihtumiseen liittyviä riskejä. Mikäli yritetään siirtoa suoraan VIPiin, menemättä Valvira-VRK-integraation kautta, riskinä ovat edellä mainitut nykytilan pitkittymisen riskit. Ja joka tapauksessa saattaisi olla hyvin luonnollinen ratkaisu, että samat (nyt Fujitsun operoimat) päällekkäiset Valviran ja VRK:n 14

15 järjestelmät integroitaisiin ihan samalla tavalla kuin vaiheessa 1 on tarkoitus, ennen kuin VIP olisi valmis ottamaan ne vastuulleen. KPMG näkee, että vaihe 1, Valvira-VRK-integraatio, on mielekäs ja vaikka siihenkin liittyy riskejä, ne eivät ole ainakaan suurempia kuin nykytilan pitkittymisen riskit. Välitön, nopea ja riskitön Valviran ja VRK toimintojen siirto suoraan VIPiin ei näytä realistiselta. Kun vaihe 1 on saatu tehtyä, on syytä rauhassa miettiä, miten mielekäs vaihe 2, yhdistetyn Valvira-VRKvarmennetoiminnan siirto VIPille olisi.. 15

16 3 Riskejä nykytilan pitkittyessä: Valvira jatkaa itsenäistä varmennetoimintaa 3.1 Riskit 1a ja 1b: Valvira joutuu kilpailuttamaan korttijärjestelmänsä Tuotantotasoisissa määrissä kortteja ei voida tilata ennen kilpailutusta, koska Valvira ei ole itse kilpailuttanut pilottivaiheeseen edennyttä ratkaisuaan. Kilpailutus on mahdollisesti tehtävä EUtasoisena. Valvira ei mahdollisesti saa hoidettua sitä määräaikaan mennessä, mikäli kilpailutusprosessi syystä tai toisesta viivästyy. Tällöin myös KanTo-hankkeen aikataulu viivästyy. VRK:en integroitumalla siirryttäisiin VRK:n kilpailuttamaan järjestelmään, eikä ongelmaa samassa muodossa ole, ks. kuitenkin riskit 16 ja 17. Mikäli nykytilaan jäädään, riski viivästymisestä on kohtalainen ja vakavuus kohtalainen. On suuresti todennäköistä, että Valvira joutuisi myös vaihtamaan korttialustaa, ja kustannusseuraukset olisivat kohtalaisen vakavia, vaikka viivästystä ei tulisikaan. 3.2 Riski 2: Valviran ja VRK:n päällekkäisten varmennejärjestelmien pitkittyvät kustannukset Valtio maksaa nyt alihankkijoille kahden varmenneympäristön (valviran ja VRK:n) ylläpidosta. Valviran tuottamien varmenteiden sopimushinta ei nyt ja jatkossa liene yhtä edullinen kuin VRK:n. Valviralla ei myöskään ole samanlaista edullista kortinlukijaohjelmistolisenssiä kuin VRK:lla, joten satojen tuhansien kortinlukijoiden hankkiminen tulisi todennäköisesti kalliimmaksi Valviran tekemänä. Valviralta vaadittaisiin vielä merkittäviä lisäpanostuksia rekisteröintipisteiden kehittämiseen ja poikkeustilanteisiin varautuminen ja sulkulistajärjestelmän kehittämiseen. Joudutaan siis rakentamaan lisäpäällekkäisyyttä. Mikäli jatkossa Valviran järjestelmä ja VRK:n järjestelmä molemmat siirrettäisiin suoraan VIPiin, hanke kenties ei ehtisi toteutua niin, että Valvira ei joutuisi jo sitä ennen rakentamaan itse tätä päällekkäisyyttä. Todennäköisyys tälle nykytilanteen jatkuessa on erittäin suuri, ja kustannusseuraukset ovat vakavuudeltaan suuria. 3.3 Riski 4: Paikallisen korttituotannon kontrolliriski KPMG arvioi ensin, että täysin hajautetun paikallisen korttien myöntöprosessin hallinta Valviran nykyjärjestelmässä saattaa olla nykytilanteen riski verrattuna tulevaan mahdollisesti keskitetympään VRK-vetoiseen järjestelmään. Riskityöpajassa, joka pidettiin , asianomaisten keskuudessa vallitsi yksimielisyys siitä, että tämä ei ole riski, sillä paikalliset korttien myöntäjät ovat aina koulutettuja ja päteviä, ja prosessi on varmistettu. 16

17 3.4 Riski 5: Eri tahojen juridinen kelpoisuus laatuvarmentajana Nykyiset Valviran myöntämät varmenteet eivät ole "laatuvarmenteita", VRK on Suomen ainoa laatuvarmentaja. Laatuvarmenteen kelpoisuus sähköistä allekirjoitusta tehtäessä on lainsäädännössä yksiselitteisesti määritelty. Muiden menetelmien ja muiden kuin virallisten laatuvarmenteiden käyttäminen sähköistä allekirjoitusta tehtäessä ei ole lainsäädännössä selkeästi määritelty, mutta ei kiellettykään. Nimenomaan allekirjoituksen kiistämättömyys saattaisi olla juridisen riitelyn aihe, jos sitä ei verifioida laatuvarmentajan antamalla varmenteella. Arvioimme kuitenkin, että myös varmenteen, joka ei ole virallisesti laatuvarmenne, juridinen asema sähköisissä allekirjoituksissa on melko vahva, ja riski on pieni ja seuraukset olisivat vakavuudeltaan pieniä, koska ne koskisivat kuitenkin vain yhtä riitautettua allekirjoitustapahtumaa. 17

18 4 Riskejä vaiheessa 1: Valviran varmennepalvelun siirto VRK:lle 4.1 Riskit 8a ja 8b: VRK ei kykene tarjoamaan suunniteltua varmennejärjestelmää ajoissa Valviran ja VRK:n järjestelmissä erona on se, että Valviran järjestelmä käyttää paikallista korttituotantoa ja VRK:n järjestelmä keskitettyä. VRK on jo rakentanut tuen paikallisen tuotannon mahdollistavalle varakorttijärjestelmälle, mutta tällä hetkellä järjestelmä ei vielä ole yhtä kattava kuin Valviran oma paikallinen tuotanto. Esim. pysyvien korttien paikallista tuotantovalmiutta VRK:lla ei vielä ole, toisaalta sen tarpeellisuus jatkossa on vielä auki. Lisäksi osittain juridisista syistä varakortteihin VRK:n ei ole tällä hetkellä mielekästä laittaa allekirjoitusavaimia, koska ilman lain muutosta korteille jouduttaisiin asentamaan turhia ylimääräisiä avainpareja. Edelleen Valviran tarjoama järjestelmäallekirjoitusvarmenne ei ole vielä tuettu VRK:n nykyisessä järjestelmässä. Mikäli päätös tehdään, VRK tarvitsee aikaa lopullisten vaatimusten tyydyttämiseen. Arvioimme, että mikäli VRK:lla on yhdeksän (9) kuukautta aikaa toteuttaa loput muutokset, on vielä olemassa kohtalainen riski siitä, että järjestelmä ei ole täysin Valviran KanTo-hankkeen tarpeita vastaavassa kunnossa, mutta vaihtoehdon toteutuessa ongelmat olisivat vakavuudeltaan kohtuullisia. Perusjärjestelmä keskeisine toimintoineen saataneen suurella todennäköisyydellä toimimaan tässä ajassa. Mikäli VRK saa aikaa vain kuusi (6) kuukautta, on suuresti todennäköistä, että järjestelmä on puutteellinen, ja puutteet ovat vakavuudeltaan kohtuullisia tai suuria, mutta silti tärkein ydinjärjestelmä (tunnistus ja allekirjoitusvarmenteita voidaan tuottaa ja käyttää) saadaan toimimaan suurella todennäköisyydellä. 4.2 Riski 8c: edes välttämätöntä perusjärjestelmää ei saada valmiiksi yhdeksässä (9) kuukaudessa Kortit pitäisi saada tehtyä ja niitä käytettyä niin, että ainakin perustoiminnallisuus on toteutettu: ereseptien allekirjoitus on mahdollista, palvelinvarmenteet toimivat ja paikallista korttituotantoa tuetaan ainakin varakorttien osalta. Kaikkia keskitetyn CA-järjestelmän varajärjestelmiä ei silti välttämättä saada toteutettua ajoissa. Arvioimme että mikäli VRK:lla on yhdeksän (9) kuukautta aikaa, niin riski siitä, että edes suppea perusjärjestelmä ei toimi, on pieni. Mikäli näin kuitenkin käy ennen ehdottomasti vaadittua määräaikaa, seuraukset ovat vakavuudeltaan suuria, koska koko eresepti-hanke saattaa myöhästyä tämän takia. 18

19 4.3 Riski 9: Päätösten ja lainsäädännön hitaus Hitaus lainsäädännössä vaarantaa hankkeen aikataulun. Aloite on tällä hetkellä paljolti VM:n käsissä, koska Valviralla, VRK:lla ja STS:llä tuntuu olevan valmius päättää, että vaihe 1 toteutetaan. Riskin toteutuessa projekti viivästyy. Mikäli lainsäädännössä ei määritellä selkeästi ja ajoissa sitä, että VRK vastaa myös terveydenhuollon varmennepalveluista, se vaikuttaa alihankkijoiden kanssa tehtyihin sopimuksiin ja aiheuttaa jatkossa lisäkustannuksia ja saattaa vaarantaa koko vaiheen 1 mielekkyyden. Arvioimme, että todennäköisyys että lainsäädäntö viivästyy on suuri, ja seuraukset ovat vakavuudeltaan suuria hankkeen aikataulun kannalta. Mikäli laki ei tule olemaan VRK:n alihankkijasopimusten kanssa yhteensopiva, on tämä myös vakava kustannusriski. 4.4 Riski 11a: Henkilöresurssien optimointi (vaiheessa 1) Miten toteutetaan henkilöresurssien siirto organisaatioiden välillä? Miten voidaan siirtää osaaikaisen henkilön työtehtävät virastosta toiseen, jos henkilöä ei voida kokonaan siirtää? Miten varmistetaan, että riittävän osaamisen säilyy myös Valvirassa, koska Valvira edelleen valvoo toimintaa roolinsa mukaisesti ja osallistuu siihen attribuuttipalvelun tarjoajana? Riskinä on, että osaaminen hajoaa liian ohuesti eri organisaatioihin ja kaikki osapuolet eivät kykene suoriutumaan velvollisuuksistaan. Jos Valviraan ei jää riittävästi tunnistukseen liittyvää osaamista, resursseja pitää hankkia ulkopuolelta, mistä aiheutuu kustannuksia. Arvioimme, että riski on vaiheessa 1 kuitenkin pieni. Ja jos näin kävisikin, seuraukset olisivat vakavuudeltaan kohtuullisia ja hallittavissa. 4.5 Riski 12: Avainhenkilö jättää projektin (vaiheessa 1) Muutamalla avainhenkilöillä on paljon osaamista, jota ei ole helppo korvata. Mikäli joku tai jotkut heistä lähtevät pois nykyisistä organisaatioistaan saattaa varmennetoiminnan uudelleen organisointi viivästyä tai epäonnistua kokonaan. Tiedon jakaminen ja dokumentointi auttaa. Valviralla on varahenkilö opettelemassa varmennetoimintaa, joten jos avainhenkilö poistuu Valviralta varamies jatkaa varmennetoiminnan kehitystyötä. VRK ei ole yhden hengen varmenneosaajan varassa. Sekä avainhenkilöriskin todennäköisyyden että seurausten vakavuus arvioidaan vaiheessa 1 olevan kohtalaisia. 4.6 Riski 13a: Terveydenhuollon osaaminen ei siirry VRK:lle Henkilöresurssien organisoinnista riippuen, on mahdollista, että varmennetoiminnan siirtymisen myötä, tarvittava terveydenhuollon toimialaosaaminen ei siirry VRK:lle. Seurauksena 19

20 tunnistuspalveluiden käyttäminen ja kehittäminen terveydenhuoltopalveluissa monimutkaistuu tulevissa hankkeissa. VRK:lla kuitenkin on tällä hetkellä ainakin yksi ihminen, joka tuntee Valviran järjestelmän erittäin hyvin. Näin ollen arvioimme riskin pieneksi ja toteutuessaankin sen seuraukset vakavuudeltaan pieniksi. 4.7 Riski 16 ja 17: VRK joutuu kilpailuttamaan varmennepalvelun Vaikka laki muutettaisiin tukemaan Valviran varmennetoiminnan siirtoa VRK:lle, saattaa kilpailutukseen tyytymätön osapuoli valittaa lopputuloksesta markkinaoikeuteen, esimerkiksi vedoten siihen, ettei alkuperäinen kilpailutus ole enää juridisesti pätevä esimerkiksi varmennetuotannon laajuuden muuttuessa (vanhan VRK:n varmennetoiminta lisäksi Valviran varmennetoiminta). Seurauksena olisi ainakin viivästys, pahimmassa tapauksessa tarve vaihtaa alihankkijoita ja/tai teknologiaa. VRK on kuitenkin tutkinut sopimuksensa, eikä tällaista oikeudellista ongelmaa pitäisi tulla. Arvioimme viivästymisriskin todennäköisyyden pieneksi, mutta seuraukset viivästymisestä vakavuudeltaan kohtalaisiksi. Toisaalta todennäköisyys siihen, että varmennetuotannon järjestelmät joudutaan vaihtamaan kilpailutuksen seurauksena, on verrattain pieni mutta seurauksiltaan vähintään kohtalainen. 4.8 Riski 18: Terveydenhuollon toimijat eivät voi ostaa VRK:lta suorahankintana VIP on "yhteishankintayksikkö", joka tekee kilpailutuksen ostohankkijoiden puolesta. Tutkimme oikeudellista riskiä siitä, VRK olisi jotenkin eri asemassa terveydenhuollon toimijoihin. Totesimme, että riskiä ei ole, ja VRK:n asema on oikeudellisesti tarkistettu, terveydenhuolto voi vaiheen 1 jälkeen ostaa VRK:lta varmennepalveluja ilman eri kilpailutusta, kunhan laki näin selkeästi määrittelee. 4.9 Riski 19: Valvira ja VRK ovat valmiit siirtämään varmennetoiminnan VRK:lle, VM ei halua Mikäli varmennetoimintojen uudelleenorganisoinnista ei päästä yksimielisyyteen kaikkien osapuolten välillä mahdollisimman nopeasti, ei kantahanke voi edetä suunnitellussa aikataulussa. Mikäli VM joutuu tekemään päätöksen VRK:n tahdon vastaisesti, tämä heikentää työmoraalia, jolloin varmennetuotannon siirtäminen viivästyttää hanketta entisestään. Arvioimme riskin todennäköisyyden suureksi ja seuraukset vakavuudeltaan suureksi. 20

21 5 Riskejä vaiheessa 2: vaiheessa 1 yhdistetyn varmennepalvelun siirtäminen VIPille 5.1 Riski 11b: Henkilöresurssien optimointi (vaihe 2) Vertaa riskiin 11a edellä. Arvioimme, että henkilökunnan sijoittamisen optimointi vaiheessa 2 on hieman haasteellisempaa erityisesti tilanteessa, jossa henkilökunta joutuisi muuttamaan toiselle paikkakunnalle työn perässä. (Helsinki vs. Lappeenranta). Arvioimme riskin siitä, että ongelmia tulee tässä vaiheessa todennäköisyydeltään kohtalaiseksi ja vakavuudeltaan kohtalaiseksi. 5.2 Riski 13b: Tarvittava VRK:n terveydenhuollon toimialaosaaminen ei siirry VIPille On olemassa riski, että varmennetoiminnan siirtymisen myötä VIP:lle ei siirry tarvittavaa terveydenhuollon toimialaosaamista. Arvioimme riskin todennäköisyydeltään kohtalaiseksi ja vakavuudeltaan kohtalaiseksi. 5.3 Riski 15: Juurivarmenteisiin kirjatun varmentajaorganisaation nimen vaihtuminen vastuun siirtyessä VRK:lta VIPille Tällä hetkellä Valviran myöntämissä varmenteissa varmentajana toimii TEO. Pienessä pilotissa tällainen ei ole ollut ongelma konfiguraatioiden, ohjelmistojen eikä juridiikan kannalta. Mikäli varmennetoiminnot siirretään Valviralta VRK:lle, kaikki nykyiset valtakunnalliset terveydenhuollon varmennekortit (verrattain pieni määrä, noin 3000 kpl) on tarkoitus uusia. Uudet kortit ja niiden sisältämät varmenteet vaihdetaan yhtenäiseen VRK-juuren alla toimivaan PKI-ketjuun, jonka jälkeen varmenteen myöntäjä ja varmentaja ovat sama organisaatio. Koko VRK:n varmennetoiminnan edelleen siirtäminen VIP:lle tulee ongelmaksi, kun olemassa olevien suurten korttimäärien korttien juurivarmenteelta katoaa entinen varmentajaorganisaatio, jonka jälkeen kaikki liikkeellä olevat kortit pitäisi jälleen uusia. Kun Valviran myöntämiä terveydenhuollon valtakunnallisen järjestelmän varmenteita on noin 3000 ja VRK:n myöntämiä sähköisiä henkilökortteja (ja muita varmenteita) noin , kaikkien korttien uusiminen tulee olemaan hankalaa ja kallista. Arveluttavaa olisi myös se, että varmennetoimintaa operoisi juridisesti VIP, mutta teknisenä varmentajana toimisi VRK. Tämä ei välttämättä ole edes mahdollista, joten tätä asiaa tulee selvittää jatkossa ennen varmennetoimintojen siirtämistä VIP:lle. (Esimerkki: hyväksyvätkö Microsoft ja Mozilla projekti, jotka vastaavat yleisempien Web-selainten varmenneluottamussuhteista, varmentajaksi juridisen henkilön VIP, jos sen varmenteissa lukee eri varmentaja, VRK. Vai pitääkö kaikki VRK:n tähän mennessä jakamat varmenteet uusia VIPin nimellä?) 21

22 Riski, että ongelmia tulee VIP-siirtymän yhteydessä on todennäköisyydeltään suuri ja vakavuudeltaan suuri. 22

23 6 Riski mikäli Valviran ja VRK:n varmennetoiminta siirretään suoraan VIPille, ilman että käydään Valvira-VRKintegraation kautta 6.1 Riski 21: Valviran ja VRK toimintojen siirto suoraan VIPiin Näyttäisi siltä, että VM ensisijaisesti haluaisi siirtää varmennetuotannon VIPiin, eikä jättää sitä VRK:hon. VRK haluaisi siirtää Valviran varmennetoiminnot itselleen, ja operoida varmennetoimintaa myös jatkossa. VM ajattelee että Valvira jatkaisi omillaan, kunnes kaikki varmennetoiminta siirtyy VIPiin. Kuten edellä on käynyt ilmi, Valviralle VRK.n suunnitelma sopii. Mutta Valvira olisi kyllä myös valmis jatkamaan toistaiseksi omillaan ja mahdollisesti siirtämään toimintansa jatkossa suoraan VIPiin, kunhan vain VM tulee aidosti tehtävää ratkaisua nyt ja tulevaisuudessa, mikä se sitten onkin Välitön, nopea ja riskitön Valviran ja VRK toimintojen siirto suoraan VIPiin ei kuitenkaan näytä KPMG:n mielestä kovin realistiselta, jos ei muusta syystä niin eri tahoilla koetun haluttomuuden vuoksi. Varsinkaan VRK mutta myöskään Valvira ei pidä sitä parhaana vaihtoehtona, eikä Valtiokonttorin edustajakaan ole siitä mitenkään erityisen innostunut. Kun vaihe 1 on saatu tehtyä, on mahdollisuus tarkistaa tilanne ja arvioida, miten mielekäs vaihe 2, yhdistetyn Valvira-VRK-varmennetoiminnan siirto VIPille, olisi. Riski, että aiheutuu viivästystä ja lisäkustannuksia, mikäli yritetään siirtyä suoraan VIPiin, on todennäköisyydeltään suuri ja vakavuudeltaan suuri.. 23

24 7 Taustariskejä kaikissa vaihtoehdoissa 7.1 Riski 7: Tunnistamisesta aiheutuvien kustannusten jakautuminen osapuolten välille Kustannukset jakautuminen yksityiselle terveyden huollolle, yksityisille apteekeille, kunnalliselle terveydenhuollolle ja Valtiollisille toimijoille (KELA, VRK, Valvira, VIP) on asia, jota ei ole täysin päätetty ja neuvoteltu. Epäselvyys maksajasta ja kustannuksista saattaa viivästyttää hankkeita, Sekä valvira-vrk hanketta että muita asiaan liittyviä terveydenhuollon hankkeita. Riski on olemassa, mutta sen käsittely on varmennetuotannon uudistamisprojektista riippumatonta. Vaikka mainitsemme riskin tässä, se ei ole tämän selvityksen kannalta keskeinen asia, joten sen riski tässä yhteydessä on katsottava pieneksi, ja seuraukset vakavuudeltaan pieniksi. 7.2 Riski 14: Muutokset EU lainsäädännössä EU-lainsäädäntö, egovernment- ja STORK-projektit ja EU:n terveydenhuollon korttihankkeet täytyisi pystyä ennakoimaan, ja aina on olemassa riski, että suomalaisia nykyjärjestelmiä joudutaan uusimaan niiden vaatimuksesta. Seurantaa on kuitenkin tehty, ja nykyiset suomalaiset hankkeet ovat nähtävästi linjassa EU-hankkeiden kanssa. Valvira/VRK/VIP-integraatio ei vaikuta sinänsä oleellisesti riskiin. Arvoimme riskin todennäköisyydeltään pieneksi ja vakavuudeltaan pieneksi. 7.3 Riski 20: Varmenneteknologian markkinatilanne vaikeutuu ja uusittavat sopimukset eivät ole yhtä edullisia kuin vanhat Jos nykyiset laskelmat kustannuksista perustuvat optimismiin, mutta esim. alihankkijan X kanssa tehdyt sopimukset ovatkin uusintakierroksen jälkeen suuremmat, tulee ainakin kustannusongelmia. Teknologia yleensä kuitenkin halpenee eikä kallistu, ja arvioimme riskin todennäköisyyden pieneksi ja vakavuuden pieneksi. 24

25 8 Yksityiskohtainen riskitaulukko Riskinumero # Riski Syyt riskin taustalla Projektin vaihe Vaikutuksia riskin toteutuessa Kontrollit / Nykyiset hallintakeinot Riskin todennäköisyys Seurauste n vakavuus Riskin merkittäv yys 1a 1b Valviran korttialustan kilpailuttamisesta aiheutuvat viivästymisriski Valviran korttialustan vaihtamisesta aiheutuvat riski Tuotantotasoisissa määrissä kortteja ei voida tilata ennen kilpailutusta Varmennepalvelun tuotantoon siirto viivästyy Tuotantotasoisissa määrissä kortteja ei voida tilata ennen kilpailutusta Varmennepalvelun tuotantoon siirto viivästyy Nykytila Nykytila 1. Valvira ei saa kilpailutettua korttialustaa määräaikaan mennessä, mikäli kilpailutusprosessi syystä tai toisesta viivästyy. Tällöin myös KanTo-hankkeen aikataulu viivästyy. 2. Mahdollisesti toimiva korttialusta joudutaan vaihtamaan kilpailutuksen jälkeen, joka aiheuttaa paitsi viivästystä myös kustannuksia. HUOM! Korttialusta ei ole yhdenmukainen VRK:n varmennetuotan non järjestelmien kanssa. Yhdistämisellä pyritään välttämään mahdolliset ongelmat kilpailutuksen tuloksesta riippumatta Päällekkäiset varmennejärjestelmät Valviran ja VRK:n jäävät toimintaan, Valviran puolella joudutaan rakentamaan nykytilanteeseen nähden vielä lisää toimintoja, jotka VRK:lla olisi jo Aikaisemmin VRK:n järjestelmät eivät ole täyttäneet Valviran vaatimuksia Yhteistyö Valviran ja VRK:n välillä ei ole onnistunut aikaisemmin. Nykytila Varmennepalvelusta maksetaan toimittajalle kahden ympäristön ylläpidosta. Valviran tuottamien varmenteiden sopimushinta (Kustannukset) Kortinlukijaohjelmistolisenssikustann ukset Vaaditaan merkittäviä lisäpanostuksia rekisteröintipisteiden kehittämiseen ja poikkeustilanteisiin Tilaajien ja toimittajan väliset sopimukset. X = ainakin

26 Riskinumero # Riski Syyt riskin taustalla Projektin vaihe Vaikutuksia riskin toteutuessa Kontrollit / Nykyiset hallintakeinot Riskin todennäköisyys Seurauste n vakavuus Riskin merkittäv yys varautuminen + sulkulistat (Joudutaan rakentamaan lisäpäällekkäisyyttä) 3 Poistettu riskinumero 4 Turvallisuuspuutteet korttien paikallisesti hajautetuissa myöntämisproseduureis sa haluttu/vaadittu voimakkaasti hajautettu korttien myöntämisjärjestelmä Nykykäytäntö Kortteja (Erityisesti varakortteja) myönnetään henkilöille, jotka eivät ole oikeutettuja käyttämään / vastaanottamaan niitä. 1. Lääkärikortti myönnetään väärälle henkilölle (Haetaan korttia väärällä nimellä) 2. Terveydenhuollon ammattikortti annetaan väärälle henkilölle (Suurempi riski, koska prosessi ei automaattisesti tarkasta henkilön oikeuksia Terhikistä) Kuvatut kortin myöntämisprose ssit Eri virastojen asema laatuvarmentajana Nykyiset Valviran myöntämät varmenteet eivät ole "laatuvarmenteita" Nykykäytäntö Laatuvarmenteen asema sähköistä allekirjoitusta tehtäessä on lainsäädännössä yksiselitteisesti määritelty. Muiden menetelmien käyttäminen sähköistä allekirjoitusta tehtäessä ei ole lainsäädännössä selkeästi määritelty. Kiistämättömyys on ongelma jos joku on PKI-teknologian monimutkaisuus Ei saa palkattua PKIosaajia/työntekijöitä; "8/10 ei ihmisestä ei ymmärrä asiasta mitään, vaikka kuinka selittäisi" Kaikki vaiheet Kustannuksia ja viivästyksiä 26

27 Riskinumero # Riski Syyt riskin taustalla Projektin vaihe Vaikutuksia riskin toteutuessa Kontrollit / Nykyiset hallintakeinot Riskin todennäköisyys Seurauste n vakavuus Riskin merkittäv yys 7 Tunnistamisesta aiheutuvien kustannusten jakautuminen osapuolten välille 8a 8b VRK ei ehdi rakentaa täysin Valviran vaatimuksia vastaavaa varmennejärjestelmää 6:ssa kuukaudessa päätöksen teosta VRK ei kykene tarjoamaan täysin Valviran vaatimuksia vastaavaa varmennetuotantoa 9:ssa kuukaudessa päätöksenteosta Kustannukset jakautuminen yksityiselle terveyden huollolle, yksityisille apteekeille, kunnalliselle terveydenhuollolle ja Valtiollisille toimijoille (KELA, VRK, Valvira, VIP) VRK ei pysty organisoimaan sairaanhoitopiirien paikallista korttituotantoa. Järjestelmäallekirjoitusvar menteet ei ole mahdollisia VRK:n nykyisessä palveluvalikoimasta. Kaikki vaiheet Vaihe 1 Epäselvyys maksajasta ja kustannuksista viivästyttää hankkeita (Sekä Valvira-VRK hanketta että muita asiaan liittyviä terveydenhuollon hankkeita) 1. Väliaikaisilla korteilla ei voida toteuttaa nykykäytännön mukaista sähköistä allekirjoitusta ( mennessä) 2. VRK ei pysty toimittamaan tarvittavia Järjestelmäallekirjoitusvarmenteita ( mennessä). 3. lopullisten korttien paikallinen tuotanto ei ole nykykäytännössä mahdollista (Tätä ei ole vielä päätetty tarvitaanko) 4. Aikataulu VRK:n toteuttama Varakorttijärjeste lmä ,5 7,5 Vaihe

28 Riskinumero # Riski Syyt riskin taustalla Projektin vaihe Vaikutuksia riskin toteutuessa Kontrollit / Nykyiset hallintakeinot Riskin todennäköisyys Seurauste n vakavuus Riskin merkittäv yys 8c Ei saada edes perusjärjestelmää pystyyn 9 kuukaudessa Kortit saadaan tehtyä Perustoiminnallisuus toteutettu (siten, että kaikkia ekanto -hankeen vaatimia ominaisuuksia. Reseptien allekirjoitus mahdollista Organisaatio- ja Palvelinvarmenteet toimivat Paikallista korttituotantoa ainoastaan poikkeuksellisesti) Vaihe 1 (Kaikkia varajärjestelmiä ei saada toteutettua) Päätösten ja lainsäädännön hitaus Hitaus lainsäädännön käsittelyssä. Aloite paljolti STM:n käsissä, myös VM:n. Mutta STM haluaa "selvän viestin Valviralta ja VRK:lta" että valmiina ollaan. Vaihe 1 1. Projekti viivästyy 2. Mikäli lainsäädännössä ei määritellä selkeästi sitä, että VRK vastaa myös terveydenhuollon varmennepalveluista, se vaikuttaa alihankkijoiden kanssa tehtyihin sopimuksiin ja aiheuttaa jatkossa lisäkustannuksia Attribuuttipalvelun tietojen ajantasaisuuden varmistaminen Varmennetta varten tarvittavan Terhikistä ja attribuuttipalvelusta saatavan tiedon ajan tasaisuutta ei varmisteta. (Miten varmistutaan, että Terhikin / attribuuttipalvelun antamat tiedot on ajan tasalla, onko esim. vastaanotetut tiedot allekirjoitettu) Vaihe 1 ja 2 1. Kortteja myönnetään henkilöille, joita ei löydy Terhikki kannasta tai attribuuttien tarkastaminen terhikkikannasta korruptoituu. 2. Jatkossa mukaan tulevat VRK:n hallinnoimat verkkoyhteydet, jotka tekevät varmennepalvelun vaatima verkkoinfran ongelmallisemmaksi hallita. (Mukana entistä useampia organisaatioita) Varmistetaanko Terhikkipalvelust a, että reseptin myöntäjä on oikea henkilö?

29 Riskinumero # Riski Syyt riskin taustalla Projektin vaihe Vaikutuksia riskin toteutuessa Kontrollit / Nykyiset hallintakeinot Riskin todennäköisyys Seurauste n vakavuus Riskin merkittäv yys 11a Henkilöresurssien optimointi Henkilöresurssien siirto virastojen välillä Miten voidaan siirtää osaaikainen henkilö virastosta toiseen, jos henkilöä ei voida kokonaan siirtää? Riittävän osaamisen säilyminen kaikissa virastossa Vaihe 1 1. Osaajat hajautuvat eri organisaatioihin 2. Kaikki osapuolet eivät kykene suoriutumaan velvollisuuksistaan 3. Kaikissa organisaatioissa ei ole riittävästi tunnistukseen liittyvää osaamista, jolloin resursseja pitää hankkia organisaatioiden ulkopuolelta b Henkilöresurssien optimointi 12 Avainhenkilö jättää projektin Erityisesti teknisillä avainhenkilöillä on paljon osaamista, jota ei ole helppo korvata Vaihe Vaiheet 1 ja 2 1. Projektit viivästyvät tai niissä on toiminnallisia ongelmia Tiedon jakaminen Dokumentointi Nykytila: 2 Vaihe 1: 2 Vaihe 2: 3* * erityisesti alueellistamisri ski Nykytila: 3 Vaihe 1: 1 Vaihe 2: 1 Nykytila: 6 Vaihe 1: 2 Vaihe 2: 3 13a Tarvittava Valviran terveydenhuollon toimialaosaaminen ei siirry VRK:lle Varmennetoiminnan siirtymisen myötä VRK:lle ei siirry terveyden huollon toimialaosaamista. Vaihe 1 Tunnistuspalveluiden käyttäminen ja kehittäminen terveydenhuoltopalveluissa monimutkaistuu tulevissa hankkeissa b Tarvittava VRK:n terveydenhuollon toimialaosaaminen ei siirry VIPille Varmennetoiminnan siirtymisen myötä VIP:lle ei siirry terveyden huollon toimialaosaamista. Vaihe Muutokset EU lainsäädännössä Tulevat muutokset EU lainsäädännössä Linjausten epäyhteneväisyys Esim. Healtprocard hankkeen kanssa Vaiheet 1 ja 2 Asioita joudutaan tekemään uudelleen, jolloin järjestelmiin tulee muutostarpeita (lisää kustannuksia, mahdollisia toiminnallisia ongelmia) Hyvä yhteistyö EU päättäjien kanssa Muutosten seuranta

30 Riskinumero # Riski Syyt riskin taustalla Projektin vaihe Vaikutuksia riskin toteutuessa Kontrollit / Nykyiset hallintakeinot Riskin todennäköisyys Seurauste n vakavuus Riskin merkittäv yys 15 Juurivarmenteisiin kirjatun juridisen henkilön (varmentajan nimi) vaihtuminen vastuun siirtyessä toiselle organisaatiolle 16 VRK joutuu kilpailuttamaan varmennepalvelun alihankkijat uudelleen Tällä hetkellä Valviran myöntämien juuurivarmenteissa lukee TEO. Tästä syystä toiminnan edelleen siirtäminen VIP:lle tulee ongelmia kun olemassa olevien korttien juurivarmenteelta lähtee varmentaja pois. Tällaista tilannetta ei saa syntyä vaan tässä tilanteessa kortit pitää uusia. Valviran myöntämiä varmenteita on noin 3 tuhatta ja VRK:n myöntämiä noin Kaikkien näiden korttien uusiminen maksaa. Vaikka laki muutettaisiin tukemaan Valviran varmennetoiminnan siirtoa VRK:lle, joku voi valittaa, että alkuperäinen kilpailutus ei päde laajempaan hankintaan (vanha varmennetoiminta + Valviran v.-t.) Vaiheet 1 ja 2 1. Nykyiset terveydenhuollon kortit pitää vaihtaa mikä ei ole suuri ongelma Valvira-VRK projektissa (Niin kauan kuin ollaan vielä pilottivaiheessa) 2. Mikäli VRK:n varmennepalvelut siirtyvät VIPille, tämä on suurempi ongelma. Olemassa olevia HST kortteja ei voi käytännössä vaihtaa uusiin. (Voimassa 5 vuotta, jonka ajan olisi pyöritettävä kahta teknistä varmentajaa VRK:ta ja VIP:iä) Vaihtoehtoisesti VIP näkyisi teknisesti VRK:na mikä saattaa aiheuttaa juridisia ongelmia jatkossa. 3. Toimittajan kilpailuttaminen siinä vaiheessa jos VIP:stä tulee sopimuksen osapuoli Vaihe 1 Seuraus 1: Viivästys Sopimukset katselmoitu ja tämä ei ole ongelma " - - " - Vaihe 1 Seuraus 2: Kilpailuttamisen tuloksena VRK:n täytyy vaihtaa alihankkijaa ja tekniikkaa. Tästä aiheutuu lisää viivästystä ja kustannuksia