Selvitys kuntien yhteisestä tietoliikenneratkaisusta (KY-verkko) Tuomo Pigg Valtiovarainministeriö Julkisen hallinnon ICT-toiminto Yhteisten ratkaisujen ohjaus -yksikkö 28.2.2013
Luonnos julkisen hallinnon tietoliikenneratkaisusta Kuntien yhteinen verkko Julkisen hallinnon yhteinen verkko Yhteydet kuntien verkkoihin Yhteydet internettiin Valtion yhteinen verkko Yhteydet virastoihin Kuntien yhteiset palvelut (Tiera ym.) Puolustusvoimien Operatiivinen verkko TUVE-verkko Yhteydet internettiin Yhteydet palvelutaloihin
Selvityksen tausta liitto on asettanut Kuntien yhteisen tietoliikenneratkaisun selvitysprojektin Projektin toimikausi on 1.12.2012 31.3.2013 Taustalla JulkICT-strategian linjaukset ICT-infrastruktuurin keskittämisestä sekä toimenpide-ehdotus: Toimenpide 10: Julkisen hallinnon yhteinen tietoliikenneverkko. Selvitetään mahdollisuudet muun muassa kuntasektorilla tehtyä tietoliikenneverkon määrittelyä hyödyntämällä toteuttaa yhteen toimiva julkisen hallinnon verkkoratkaisu, joka varmistaisi siinä tarjottavien palveluiden mukaisen riittävän tietoturvan. (Linjausalue 5: Toimintavarma ja kustannustehokas ICT-infrastruktuuri) Projektia ohjaa VM / JulkICT-toiminto ja projektia toteuttaa liitto Projektille on myönnetty valtionavustus 11/2012 valtionhallinnon ja kuntasektorin yhteen toimivien tietoliikenneratkaisujen kehittämiseksi VM:n rahoitus liitolle 213 190 (alv 23%) Projektin omarahoitusosuus 30 000 Avustus maksetaan Valtion ja kuntien yhteiset tietojärjestelmähankkeet momentilta 28.90.20 Rahoitus sis. projektipäällikön, teknisen asiantuntijan, pelastustoimen asiantuntijan sekä sosiaali- ja terveystoimen asiantuntijan + muut kustannukset Asetetussa ohjausryhmässä edustus VM, STM, SM, KELA, pelastustoimen edustaja kunnasta, SoTe-edustaja kunnasta, peruskunnan edustaja ja liiton edustaja VM / JulkICT 3
Ohjausryhmän asettamispäätös Työtä ohjaamaan liitto nimeää seuraavat henkilöt: Tuomo Pigg, puheenjohtaja, Valtiovarainministeriö Olli Peltonen, varapuheenjohtaja, Valtiovarainministeriö Jari Nevalainen, Turun kaupunki Jari Porrasmaa, Sosiaali- ja terveysministeriö Teemu Luukko, SM/pelastusosasto Minna Bloigu, SM/hallintoyksikkö Kristiina Lammila, Kuntien Tiera Oy Kari Hyvönen, Kajaanin kaupunki Marko Monni, Lahden kaupunki Simo Tanner, Suomen liitto Ohjausryhmä voi omalla päätöksellään kutsua uusia henkilöitä ohjausryhmän jäseneksi tai asiantuntijaksi.
Tavoitteet Projektin tavoitteena on määritellä julkishallinnon tietoliikennekokonaisuuden vaatimukset kunta-toimijoiden osalta Selvityksen lopputuloksena syntyvät ratkaisut siitä, miten kuntasektorin tietoliikenneverkot yhdistetään ja liitetään valtion tietoliikennekokonaisuuteen: Valtion yhteiseen tietoliikenneverkkoon (VY-verkko) ja hallinnon turvallisuusverkkoon (TUVE) sekä Kuntien yhteisen verkkokokonaisuuden (KY-verkko) tarjouspyyntömateriaali ja suunnitelma palvelun käyttöönottoon tarvittavista toimenpiteistä Periaate: KY-perusverkko ja KY-turvaverkko, josta liittymät TUVEverkkoon (ST IV tasolla) KY-turvaverkon käyttäjiä mm. pelastuslaitokset, soster ja ensihoito (johtokeskukset), lisäksi liittymät myös KELAan, KANTaan KYTKYyn VM / JulkICT 5
Projektissa kuvattava ratkaisu tukee KA-työhön liittyvän tietoliikenteen viitearkkitehtuurin laatimista luo edellytykset yhdistää kuntien olemassa olevat tietoliikenneverkot niin, että julkishallinnon yhteisien palveluiden, kuntien yhteisten palveluiden sekä sektorikohtaisten palveluiden käyttäminen on luotettavaa toteuttaa riittävällä tasolla tietoturvavaatimukset on suorituskykyinen vastaa nykyisiin ja tuleviin monikäyttöisyyden haasteisiin on kustannustehokas vastaa ohjattavuuden osalta kuntakentän tarpeita sekä muodostaa valtionhallinnon kanssa toimivan kokonaisuuden, jotta helpotetaan perustietovarantojen yhteiskäyttöä. VM / JulkICT 6
Taustakuvia (ei esitetä) VM / JulkICT 7
Luonnos julkihallinnon tietoliikenneratkaisusta Periaatekuva kokonaisuudesta VM / JulkICT 8
Miksi: Kunnan tietoliikenne ja tietoliikennetarpeet Nyt jokaisen kunnan on monistettava yhteytensä sovelluspalveluihin, muihin verkkoihin sekä tuotettava samat verkkoihin liittyvät palvelut Yhteydet sovelluspalveluihin Yhteydet muihin verkkoihin Verkkoyhteydet Henkilöstö ja talous Terveydenhoito Sosiaalitoimi Karttasovellukset Teknisen sektorin palvelut KELA Tiera VRK SADe KanTa Sovellusliitännät laisten palvelut Muut sovellukset Kunnassa yleensä 50.. 200 sovellusta Palvelun tuottaja Internet B Seutuverkko C - tai seutu-/ alueverkko A Sairaanhoitopiiri Virasto Etäkäyttö Verkkopalvelut Verkkoinfrapalvelut Nimipalvelu (DNS) Aikapalvelu (NTP) Sähköpostin suodatus Palomuuri Tietoturvapalvelut SMTPvälitys HTTPvälitys Virussuojaus Valvonta ja seuranta Käyttäjän tunnistus Tunkeilijan tunnistus/ esto Palvelunestohyökkäyksen esto
Miksi: Tavoitteena yhteinen tietoliikenneratkaisu, KY-verkko Tavoitteena on että palvelu keskitetään sen sijaan, että kunnat tekevät itse samat ratkaisut. Kaikkien palvelujen saantiin riittää yksi, mieluiten varmennettu yhteys kytkentäpisteeseen. Tilanne nyt Tavoitetila Alueverkko Alueverkko KY-verkko Alueverkko Alueverkko Alueverkko Alueverkko Joukko neulatyynyjä Keskitetyt verkkoyhteydet ja palvelut
Miksi: KY-verkon tavoitteita Tavoitteet kunnalle Kustannukset Riittävä kapasiteetti Tietoturvallisuus Toimintavarmuus Liikenneluokat (QoS) Yhteys muihin palveluntarjoajiin Kuntien väliset yhteydet Oman palomuurin hallinta Liittymän ja siinä tarjottavien verkkopalvelujen kustannukset Minimi 100 Mbit/s tai 1 Gbit/ Mahdollistaa korotetun tietoturvatason (VAHTI sisäverkko-ohje) Liitännät ja runkoverkko vikasietoisia IP-puheelle ja videoneuvottelulle korkeampi prioriteetti Mahdollisuus kytkeytyä Tieran palveluiden lisäksi muihin palveluihin Pikaseutuverkko, helppo kuntaliitos Oma muuri, jos ei halua käyttää palveluntarjoajan palvelua Tavoitteet palveluntarjoajalle Hallinta: Joustava kytkentä Uusi asiakas liitetään uuteen palveluun helposti Hallinta: Paljon asiakkaita ja palveluita Mahdollisuus kymmeniin IT-palvelutoimittajayhteyksiin Hallinta: Muutoshallinta Kuinka monta osapuolta ja toimenpidettä muutoksessa on Palvelut: Toimittajien väliset yhteydet Sovellus saattaa tarvita toisella toimittajalla olevia palveluita Palvelut: Keskitetyt verkkopalvelut Internet, DNS, palomuurit, IDS, IPS, DoS-esto, ym. Palvelut: liittyminen valtion palveluihin Liitäntä valtion KYTKYn kautta Loogisesti suljettu rakenne Voidaan siirtää salaamatonta tietoa, "sisäverkko" Tietoturvallisuus Mahdollistaa korotetun tietoturvatason (VAHTI sisäverkko-ohje) Verkon valvonta päästä-päähän Päästä-päähän näkyvyys nopeuttaa vianselvitystä Palvelutaso päästä-päähän Voidaan ajaa aikakriittisiä sovelluksia palvelimelta asiakkaalle Joustava käyttöönotto Pienemmät muutoshallintahaasteet ratkaisun käyttöönotossa
Miten: KY-perusverkko hajautetulla kytkennällä Palveluun pääsyyn riittää muurin avaus. Palomuuria hallinnoi palvelun omistaja.. Palveluntarjoajien väliset yhteydet onnistuvat helposti. Verkko toimii hajautettuna reitittimenä ja tarjoaa loogiset yhteydet (MPLS VPN) joka kunnasta joka palveluun (hub-spoke-topologia) Kunnalla ao. operaattorin fyysinen yhteys. Jos ao. operaattorin liitäntä on jo olemassa, uutta ei tarvitse tehdä. Kuntien keskinäiset yhteydet onnistuvat helposti. voi ottaa Internet-yhteydet ja palomuurin myös palveluna. voi käyttää myös omaa Internet-yhteyttään. Internet A Valtion VYverkko Seutuverkko B Palvelun- Palveluntarjoaja 1 tarjoaja 2 C Internet Verkkopalvelut Seutuverkko D Yksikertainen ja edullinen kytkentä operaattorin verkossa Kytkentätoiminto kytkee kunnista tulevat yhteydet IT-palveluntarjoajien konesaleihin. Toiminto sisältää palvelupyyntöjen käsittelyn, häiriön, ongelman ja muutoksenhallinnan. Tämä voidaan toteuttaa keskitetyllä kytkentäpisteellä, mutta myös olevissa operaattoriverkoissa on jo nyt nämä palvelut, jolloin keskitetty pistettä ei tarvita. Ratkaisussa liittymien tulee olla samalta operaattorilta. Liittymä voi olla kunnassa jo käytettävä ao. operaattorin liittymä tai hankittava uusi liittymä. Ratkaisu tukee kuntien keskinäisiä ja IT-palveluntarjoajien välisiä suoria yhteyksiä. Palomuurina oma tai keskitetty Mallissa kustakin kunnasta muodostetaan valmiiksi loogiset yhteydet kaikkiin palveluntarjoajiin. Palvelu otetaan käyttöön avaamalla palomuurit kunnan ja ITpalveluntarjoajan päästä. Keskitetyn palomuurin lisääminen yhteydelle tuottaa vain vähän lisäarvoa, joten se on jätetty pois. Voidaan toisaalta tarjota kunnalle palomuuripalvelu korvaamaan kunnan oman muurin palveluna. Kuntien osoitteet yhtenäistetään kunnan päässä osoitemuuntimen avulla. Verkkopalvelut, Internet ja kuntien yhteydet KY-verkon kautta Verkkopalvelut ja Internet näkyvät yhtenä palveluna muiden joukossa. Palvelun voi toimittaa myös muu kuin verkon operaattori. Mahdollista on saada se esim. valtion KYTKYstä, tämän verkon operaattorilta, toiselta operaattorilta tai muulta ITpalveluiden tarjoajalta. Kuntien väliset yhteydet onnistuvat myös verkon kautta. Lisäykset ja muutokset nopeita Koska yhteydet on valmiiksi kunnasta kaikkiin palveluihin, riittää kunnan ja IT-palvelutuottajan palomuurien avaus yhteyden muodostamiseen. Lisäkustannukset olemattomat Jos kunnalla on jo saman operaattorin liittymä, kustannuksia tulee lähinnä yhteyksien avaamisesta. Jos joudutaan hankkimaan erillinen liittymä, lisäkustannus luokkaa 1000 /kk.
Miten: KY-perusverkko ja verkkopalvelut KY-verkko jakaantuu KY-perusverkkoon ja KY-verkkopalveluihin. Tämä kilpailutus koskee KY-perusverkkoja ja eräitä osia KY-verkkopalveluista (esim. Internet, palomuuripalvelut, DNS, ). Määriteltävänä oleva hallintomalli kertoo vastuut verkon hallinnoimisessa ja omistajuudesta. Valtion VYverkko Palveluntarjoaja Internet KY-perusverkko Palomuuripalvelu DNS NTP KY-verkkopalvelut SMTP HTTP Haittaohjelman suodatus DHCP AD VPN IAM IDS/IPS DDS Palvelupiste Verkonvalvonta A B Seutuverkko C KY-perusverkko Yhden operaattorin hallinnoima Kytkentä MPLS-verkon sisällä Kunnan verkko, seutuverkko liittyy nykyisellä verkolla Mahdollisesti tietoturva-auditointi KY-verkkopalvelut Operaattorin oma jaettu palvelu, KY-verkolle dedikoitu piste yksinkertaisena tai kahdennettuna Valinta riippuu hinnasta, toteutusajasta, palveluista ja riskitasosta Todennäköinen ratkaisu on vaiheittainen malli, jossa siirrytään järeämpään ratkaisuun kriittisyyden, asiakasmäärän ja palveluiden määrän kasvaessa
Erikoissairaanhoito/ Sairaanhoitopiiri (Perusterveydenhuolto) KY-verkko Virve ERICA KEJO Tuve Muut radioverkot (2/3/4G, @450) PV Turvallisuusviranomaiset Pelastus -/ alueverkko 1 SoTe, perusterveydenhuolto Virastoverkko Kouluverkko KY-verkko VY-verkko Palvelun tarjoajat ja perustietovarannot, esim. rekisterit, karttatiedot, Internet -/alueverkko 2 -/alueverkko 3 -/alueverkko 4 Kuntien palveluntarjoajat, palvelutalot, ym. Kela KanTA Kela KanSA Kela Soky
Projektiryhmä ja muut osallistujat sekä sidosryhmät ja heidän roolinsa Ydinprojektiryhmä: Jukka Kangasvieri, Keski-Pohjanmaan pelastuslaitos Markus Jokinen, Simo Tanner, liitto Kari Saarelainen, KPMG Harri Räisänen, CGI Laajempi projektiryhmä edellisten lisäksi: Jussi Rahikainen, liitto, pelastustoimi Karri Vainio, liitto, terveys ja sosiaalitoimi Aarne Hummelholm, VM/Tuve Yhteistyötahot: VM/Tuve: Aarne Hummelholm, Iiro Henttinen Kela: Aki Kokkinen, Jussi Kurki, Juha Lappalainen KL-hankinnat: Tapio Koivisto STM: nn KEJO: nn Tieto: nn CGI: Matti Parviainen Kunnat ja kuntainliitot sekä vastaavat: Kajaanin kaupunki Lapin Sairaanhoitopiiri Etelä-Savon Maakuntaliitto Saimaan talous ja tieto Oy Suupohjan Seutuverkko Oy Lapit Oy Pohjois-Karjalan Tietotekniikkakeskus Oy Istekki Oy Medi-IT Oy Medbit Oy
Riskit Riski Vakavuus Todennäköisyys Varotoimi Ratkaisulle ei saada isäntää 4 3 Varmistetaan mahdollisen isännän sitoutuminen aloittamalla asap neuvottelut sen kanssa kun taho on tunnistettu. Tarvittaessa hankinta kutistetaan puitesopimukseksi, jossa jokainen kunta/seutuverkko on oma verkkoliittymänsä isäntä. Hankinta-aikataulu viivästyy suunnitellusta 2 4 Aikataulu riippuu ERICAn ja KEJOn käyttöönotosta. Karsitaan tai vältetään toimia, jotka eivät suoraan edistä tarjouspyyntömateriaalin syntymistä. Aikaistetaan kilpailutusdokumentaation tuottamiseen tähtääviä toimia Varmistetaan, että edullinen varayhteys on käytettävissä, jos aikataulu viivästyy Tuloksessa on odottamattomia teknisia ongelmia 3 3 Aloitetaan syvemmät tekniset keskustelut operaattoreiden kanssa aikaisessa vaiheessa Hallintamallin roolitus epäonnistunut 2 3 Ollaan joustavia roolituksen suhteen KY-verkolle ei saada asiakkaita 3 2 Varmistetaan etukäteen, että KY-verkko olisi mahdollisimman monen suuren osallistujan ensisijainen tapa toteuttaa yhteytensä. Tarjotaan sitä alkuvaiheessa houkuttelevilla palveluilla edullisesti. Ratkaisusta tulee liian kallis tai ratkaisun kuukausihinnat kasvavat ajan myötä liittymien ja palvelujen hintarakenteen vuoksi Jokin toteutukseen vaikuttava taho jää tunnistamatta tai keskustelu jonkin tällaisen tahon kanssa jää vaillinaiseksi ja seurauksena on jonkin toteutukseen merkittävästä vaikuttavan seikan jääminen huomioimatta Kaikkien intressiryhmien tunnistamisen ja näiden kanssa käytävien keskustelujen viemä aika saattaa vaarantaa aikataulun. 3 2 Kilpailutetaan tiukasti Vältetään hintaa nostavia komponentteja sen rakenteessa 4 3 Käydään laajaa keskustelua kokoajan tunnistettujen tahojen kanssa kaikkien intressiryhmien tunnistamiseksi ja kontaktoimiseksi 4 3 Kaikkia osalliset tulee tunnistaa ja kontaktoida ajoissa ja keskustelut käydä tiiviillä aikataululla heidän kanssaan. Tunnistamisessa tulee kaikkien tahojen, myös muiden intressiryhmien tietämystä käyttää hyväkseen. Taho tulee jättää kontaktoimatta vain perustellusta syystä, mutta rajaamista joudutaan todennäköisesti käyttämään jos on aivan ilmeistä ettei jokin taho ole työn kannalta relevantti.
Lähtökohta: Jatkossa tietoliikenteelle asetettavat vaatimukset kasvavat mm. videon ja puheensiirron yleistyessä ja siirrettävien tietomassojen kasvaessa. Kriittisissä järjestelmissä käytettävyysvaatimukset saattavat olla erittäin korkeat. Linjaus: Ratkaisun tulee tukea kasvavia reaaliaikaisuus- ja kapasiteetti- ja käytettävyystarpeita. Lähtökohta: Jatkossa tietoliikenteelle asetettavat vaatimukset kasvavat mm. videon ja puheensiirron yleistyessä ja siirrettävien tietomassojen kasvaessa. Kriittisissä järjestelmissä käytettävyysvaatimukset saattavat olla erittäin korkeat. Linjaus: Ratkaisun tulee tukea kasvavia reaaliaikaisuus- ja kapasiteetti- ja käytettävyystarpeita. Lähtökohta: Yhteiskunta on riippuvainen tietoverkkoyhteyksistä sekä normaalioloissa että poikkeustilanteissa. Linjaus: KY-verkon tulee tukea kuntatoimijoiden vaatimia varautumistasoja. Lähtökohta: Kunnissa käytetään valtion tietovarantoja, joita säätelevät monet lait ja säädökset, erityisesti tietoturva-asetus Linjaukset: KY-verkon tulee tukea valtion materiaalin suojaustasoja vastaavia tietoturvatasoa. Erityisesti ratkaisun on sovelluttava vähintään tietoturvan perustason järjestelmän osaksi ja siinä tulee varautua korotetun tietoturvatason vaatimuksiin. Ratkaisun on tuettava valtion tietojärjestelmien muita vaatimuksia.
yhtymän-verkko + SoTePe Kunnan turvallisuusviranomaiset liittyvät kunta-alan turvallisuusviranomaisten omaan palvelupilveen ja TUVEpilven palveluihin PeIP Ver 2 Paloasemat ja ensihoidon päivystyspoliklinikat liittyvät oman organisaationsa alueverkon läpi, jossa alueverkon tietoliikenne reititetään PeIP ver 2- putkeen Erikoissairaanhoito/sairaanhoitopiirit (Perusterveydenhuolto) Yliopistollinen keskussairaala Asli Virve ERICA KEJO Tuve PeIP v2 -verkko Päivystyspoliklinikka Pelastus -/ alueverkko Viranomaisten palvelupilvi KYTKY Johtokeskus yhtymän -verkko Paloasema Isäntäkunnan/ KY-palvelut Fyysinen yhteys Vaihtoehtoinen yhteys VM / JulkICT 18
TUVE-DMZ: Pelastuksen ja muiden kuntatoimijoiden liittäminen TUVE:n TUVE_DMZ:n avulla. - ERICA - KEJO FMI PeIP V2 (vaihe 1) (ERVE-MPLS) TUVE ELS (TOTI) Viive 5min VITJA DMZ JOTKE PEKE MERLOT PK-seutu PRONTO Internet Heikko tunnistautuminen (KT/SS) Käyttäjäryhmät määritetty pelastuslaissa palomies opiskelija SM tutkija Turvallisuusverkkohanke 19 syksy 2010