Lausunto Sistiministerid on pyytiinyt viiteasiakiq'allun, effe valtiovarainministerid: 1. antaa lausunnon matrdollistaako valtiovarainministeridn valmistelema lainsiiiidiintd (TORI-laki, tietohaliintolaki, hallituksen esitys TuvE-laiksi) esitetyn ratkaisun toteuttamisen 2- vie ratkaisun TUVE-arkkitehtuuriryhmiin sekii muiden tarvittavien valtiovarainministeridn ohj auksessa olevien arkkitehtuuriryhmien kiisittelyyn. Valtiovarainministeridn Julkisen hallinnon tieto- ja viestintzitekninen toiminto toteaa lausuntonaan, ett6 esitetystii ratkaisusta on saatu liihinnii teknillinen kuvaus. Lausuntopyynn<in kohdassa yksi ( 1 ) tarkoitetussa lainstiiidiinndssii ei siiiidetfl teknillisistii toteutustavoista. Ntiin ollen kysymyksessd tarkoitetun lainsii6deinndn ei katsota vaikuttavan esitetyn teknillisen ratkaisun toteuttamiseen- Lausuntopyynndn kohdan kaksi (2) osalta todetaan, ettii TUVE - arkkitehtuuriryhmtin asettaminen on edelleen valmistelussa yhteistyd ssii hallinnon turvallisuusverkkotydhdn osallistuvien tahoj en kuten sisiiministeri<in kanssa. Samoin tuodaan tiissii esille, ettei HE laiksi hallinnon turvallisuusverkkotoiminnasta on edelleen eduskunnas sa kiisittelys sii. Valtiovarainmini steririn Julkisen hallinnon tieto- j a viestintiitekni sen toiminnon teknilliset asiantuntij at ovat tarkastelleet lausuntopyynnon kohteena olevaa ratkaisua. Ratkaisusta on pyydetty myds hallinnon tur- Valtiovarainm in isterid Sn llmaninkatu 1 A, Helsinki PL 28, 00023 Valtioneuvosto www.vm.fi
2 (4) Liite vallisuusverkkohankkeen teknillisenii asiantuntij atahona toimineen Aalto Yliopiston Tietoliikenne- j a tietoverkkotekniikan I aitoksen edustaj an lausunto, joka on Uimiin asiakirjan liitteene. Liitteenii oleva lausunto on myds valtiovarainministeridn Julkisen hallinnon tieto- ja viestintfltekninen toiminnon nilkemys asiasta Tietohallintoneuvos, yksikdn peellikhd Liitteet: Aalto Yliopiston lausunto
LAUSUNTO: Hdtikeskusjiriestelmin kiytdn mahdollistaminen pelastustoimessa seki sosiaali- ja terveystoimessa -hanke (KUNTU) Tiivistelml KUNTU-hanke ja sen tuottama liitosmalli TUVEn STlll-kayft6ymp[rist<in ja ulkoisen TUVE STIVktiyttdympiiristdn viilillii perustuu vallitsevaan lainsiiiidiintdrin ja normitukseen erillisten valtion ICTtoimintaa ohjaavien ohjeiden valossa. Jfiestelyn keskeiset piirteet erottavat STIII ja STIV tasolla toimivat ytimet toisistaan ja estti5 suoran liikenndinnin niiiden vrilillii. Jiirjestely taltaa niiiltti osin sekd asetukset, VAHTI-ohjeet ettii auditointikriteeristrit. Ehdotetut tiedonvaihto- ja yhdyskiiyttiviiratkaisut ovat mytis linjassa Viestintiiviraston tuottaman yhdyskiiytiiv[ohjeen kanssa. Perustelut KUNTU-hankkeen valmistelema T[fVEn sisiiisen ST[Il-kayttdympiiristdn ja ulkoisen STIVk6yttdymptirisdn erottaminen kahdeksi erilliseksi saarekkeeksi on voimassa olevien normien mukainen tapa toteuttaa suojattuja tietoliikenne- ja tietojerjestelmiipalveluita. Taustalla on STIVkiiytt<iymptirist<in huomattavasti kevyemmiit tietoturvavaatimukset niin henkil6-, tila- kuin tietojiirjestelmiisuojauksen osalta. K6yttdymp2iristdjen erottaminen ei tarkoita toiminnallisten raja-aitojen muodostamista vaan tiedonvaihdon tarkastelua kriittisemmin silloin, kun se ylittzia tietoturvaluokkien viilisiii raja-aitoja. Ehdotuksen mukaisessa rakenteessa STIII ja STIV tiedonvaihto on mahdollistettu erillisilld yhdyskdyt[viiratkaisuilla, jotka perustuvat keyftejalle tarjottaviin terminoituihin sovelluspalveluihin joka on Citrix-tyyppinen terminointi, sekii suodatettuun keyftajanakymiizin, jossa pelkiisttiiin sallittu tietoaineisto visuaalisesti nlytetiiiin STlv-kaftdymp2iristddn. Niimii kayftdtavat ovat rinnakkaisia ja tarjoavat hieman erilaisen saavutettavuuden tietoaineistoon. Edellti mainitut toiminteet edellyttavat tiettyj6 teknisizija prosessireunaehtoja: (1) terminoitu sovelluspalvelu edellyttaa TUVE tunnistautumista eli kayttajalla tulee olla TuvE-kayttdympiiristrin tunnistautumismenetelmrit (korttitunnistus perustuen TUVEfederoituun lam-ratkaisuun); (2) suodatettu kaftejandkymii edellyttiiii kflyttlj[tunusta TUVEn IDPj 2irj estelm?i[n, j oka j akaa ka]ttej en tunni stetiedon sovelluspalvelulle. Kumpikaan kiiyttdtapaus ei edellytii TUVEtydaseman kayttde, koska l[htdkohtaisesti TUVEtydasema on tarkoiteffu STlll-kiiytt6ympfirist6<in eikii kenttiijohtamisen kannalta tiirkeisiin operatiivisiin/liikkuviin yksikdihin. Kaikissa kiiytt<itapauksissa on tiirke?itii, ettii KEJO-hanke miizirittelee itse tarvittavat reunaehdot eri toimijoiden tyciasemaratkaisuille, eikd nojaudu TUVE-ty0asemaan, jonka kiiyttdtarkoitus on eri ja toisaalta, jonka hallinnollinen kustannus on liian korkea pelastuksen ja sairaankuljetuksen yksikdille. Toisekseen TUVE-ty<iasemien levittiiminen laajalle kayftajajoukolle vaarantaa tyciasemien integriteetin, koska kayttljdkunta koostuu my<is muista kuin virkasuhteisista toimijoista. Edellii mainituilla ratkaisuilla kiiyttdympiiristdn kommunikaatio pysyy hallittavana ja valtion kriittinen STlll-kayftOympdristd siiilyy eheiinii. Vaihtoehtoisena tapana tiedon saantiin ja vaihtoon on KEJO-jiirjestelm?in sisiiinen pilkkominen kahteen osaan, joista toinen edustaa STlv-kayftdympiiristdn KEJO-palvelua ja toinen STIIIk2iytt<iympiiristdn KEJO-palvelua. Ndiden viilillii vaihdetaan tietoa siten, ettii
4 (4) Liite o STlV-kiiyttdympiiristrin KEJO-palvelu voi siirtiiii oman tietoaineistonsa STIIIkeyttdympiiristd<in datadiodin ltipi o STlll-k6ytt<iympilristdn KEJO-palvelu voi siirtaii rajoitetun osan omasta tietoaineistostaan S TIV -keyft Oympiiri st66n datadiodin IEG : n liipi. Kiiytiinnd,ssii jiirjestelmtin jakaminen kahteen osaan tarkoittaisi sitli, ette esimerkiksi sairaanhoidon ja pelastuksen yksikoillii ei olisi mahdollisuutta samaan ntikymiiiin kuin natiivisti STIIIktiyttdympliristdssii toimivilla poliisin ja rajan yksikdillii olisi. Vaihtoehtoisessa mallissa piiiitelaite ja kdytt<ioikeuksien hallinta pitrie rakentaa TUVE STlv-kAyttdympiiristcin mukaisesti. Piiiitelaitteeksi voisi kelvata auditoitu KEJO-pzietelaite. Yhteenveto Kumpikin toimintamalli edellyttiie sekii prosessi- ettii tietoj?irjestelmfltasolla toiminteiden ja funktioiden tarkastelua. On ensiarvoisen tiirkedtii tunnistaa mi&ii ktiytttitapaukset ovat tyypillisia ja toisaalta mitkii k6ytt6tapaukset ovat kansalaisten tai viranomaisten suojelun niikdkulmasta kriittisiti. Teknisell[ tasolla kumpikin tapa toimia on mahdollista toteuttaa jfiestelmiin oikealla sovittamisella. Toiminnan Iuotettavuus ja joustavuus ei vaarannu kummallakaan toteuffamistavalla ja kumpikin tapa ohjaa viranomaistoimintaa tietoaineiston tietoturvalliseen k6sittelyyn ja luokitteluun. Sek6 niikymiin tuottaminen ettii aineiston jakaminen STIII ja STlv-kayftriympiirist0jen palveluytimien viilillii edellyttiid tietoaineiston rakenteellista suojaustasomerkintiifi, mikii on valtiollisten ja toisaalta kunnallisten turvallisuusviranomaisten etu. Tiime my6s palvelee kansalaisten tietosuojaa, koska se automatisoi tietoaineiston niikyvyyden rajoittumisen tehtdvien edellyttiimiin osajoukkoihin. Tietoaineiston rakenteellinen suojaustasoluokittelu mahdollistaa myds palveluviiyliihankkeen helpomman integraation, koska palveluviiylii ei voi hyddyntiid tietoa, jolla ei ole hallittua suojaustaso- ja levitys-tietoa. Marko Luoma Erikoistutkija Aalto Yliopisto / Tietoliikenne ja tietoverkkotekniikan laitos VM TwE-yksiktin asiantuntija
Valtiovarainm inisteri6 Julkisen hallinnon ICT-toiminto Hitikeskusjlriestelmlin kiytiin mahdollistaminen pelastustolmessa sekl sosiaali- ja terveystoimessa -hanke (KUNTU) SisdministeriO kdynnistdnyt hankkeen, jonka tehtdvdnd on suunnitella ja toteuttaa ratkaisut, jotka mahdollistavat uuden hallinnon turvallisuusverkkoon (TUVE) sijoitettavan hdtdkeskustietojdrjestelmdn kdytdn pelastustoimessa ja sosiaali- ja terveystoimessa. Samalla luodaan edellytyksii my6s mm. viranomaisten yhteise n ke nttdjohtqdrjestelmdn (KEJO) kdytt60 notolle. HdtSkeskustietojdrjestelm 5n kdyttd pelastustoimessa ja sosiaal i- ja terveystoimessa edellyttd6, etti hallinnon turvallisuusverkkoympdrist66n sijoitettuja korotetulle s uoj austasol Ie I I I m ddriteltyjd jd rjestelm i5 (hdtikeskustietojdrjestelmdn portaalikdytt6, kenttdjohtojdrjestelmd) voidaan k6yttdii myds alemman suojaustason lv ympdristdsti. KUNTU-hankkeessa on suunniteltu ratkaisu, joka mahdollistaa hallinnon turvallisuusverkkoympdrist66n sijoitettujen jirjestelmien kdyt6n suojaustasolle sekd ST lll ettd ST lv luokitelluilla terminaaleilla. Ratkaisu on konseptitasolla kuvattu liitteessd. Ratkaisu esiteltiin valtiovarainministeri6n Julk-lCT toiminnon edustajille 10.6.201 4 pidetyssd kokouksessa. Viitaten kokouksessa kiytyyn keskusteluun sisdministeridn tietohallintoyksikko pyytdd, ettd valtiovarainm inisteri6 : 1. antaa lausunnon mahdollistaako valtiovarainministeridn valmistelema lainsddddnt6 (TORI-laki, tietohallintolaki, hallituksen esitys TUVElaiksi) esitetyn ratkaisun toteuttamisen. 2. vie ratkaisun TUVE-arkkitehtuuriryhmdn sekd muiden tarvittavien valtiovarai nm inisteri6n ohjauksessa olevien arkkitehtuuriryhmien kdsittelyyn. Lausunto pyydetddn toimittamaan sis6ministerion kirjaamoon kiriaamo@intermin.fi 30.9.2014 mennessd