Lausunto 28.06.2017 VNK/983/03/201 7 Viite: Julkisen hallinnon ICT-linjauksia VM/711/00.01.00.01/2015 Valtioneuvoston kanslian lausunto julkisen hallinnon ICT-linjauksiin Valtioneuvoston kanslia näkee tärkeäksi tehdä linjauksia näistä ICT-palveluista ja kiittää mahdollisuudesta antaa lausunto näistä linjauksista. Tavoitteiden asettaminen tulisi olla kunnianhimoista, mutta samalla realistista. Jos tavoitteet asetetaan liian kunnianhimottomasti, ei saavuteta parasta tulosta. Toisaalta liian kunnianhimoinen tavoite voi toimijoista vaikuttaa liian haastavalta sitoutumisen kannalta, joka johtaa kuiluun tavoitteiden asettajan ja toimijoiden välillä. Valtioneuvoston kanslian arvion mukaan nykyisessä valtion ICT:n kehitystilanteessa haaste ei ole tässä linjauksessa kuvattujen ylimmän tason tavoitteiden puuttuminen, vaan käytännön toimintaa tukevien linjauksien tekeminen toiminnan tuloksellisuuden varmistamiseksi. Valtioneuvoston kanslia toivoo, että valtiovarainministeriön JulkICT-osaston toimintaa ja resursseja kohdennettaisiin linjauksissa olevien osa-alueiden haasteiden ratkaisemiseen ja tukeen. Näistä esimerkkeinä nostamme tässä lausunnossa esiin mm. pilvipalveluiden käyttämisen periaatteet, tietoteknisten palveluiden tietoturvallisuuden vähimmäistasot ja valtionhallinnon osalta Valtion tieto- ja viestintätekniikkakeskus Valtorin ohjaus tehtyjen linjauksien puitteissa. Tuottavuuden kasvu saavutetaan linjattujen palveluiden nopealla ja vaivattomalla käyttöönotolla. Luonnosversiossa olevien linjausten taso on aika vaatimaton. Linjaukset ovat pääsääntöisesti itsestäänselvyyksiä eivätkä todellisia linjauksia ja lisäksi linjausten tavoite ja visio ovat aivan liian kunnianhimottomia. Toiveemme on, että näissä linjauksissa otettaisiin asioihin oikeasti kantaa, jolloin näistä linjauksista olisi oikeasti apua ohjaajille ja palveluntuottajille. Lausunnolla olevassa versiossa lähes kaikki päätöksenteko jää yksittäisen viraston vastuulle. Toimintaympäristömme ja loppukäyttäjien vaatimukset kuitenkin edellyttävät konkreettisia ratkaisuja ja linjauksia jokaiselta linjauksen osa-alueelta. Esimerkiksi ICT-palveluiden sijainti ja hallinta kohdassa olevat linjaukset pilvipalveluiden käytöstä vaativat vielä erityisen paljon viilausta. Nykyinen epäyhtenäinen tilanne on johtanut laajaan määrään yksittäisratkaisuja, joiden kokonaistaloudellisuus, valtion tasoinen yhtenäisyys ja tietoturvanäkemykset voidaan haastaa. Lisäksi palvelutuottajille ei ole ohjaajien toimesta asetettu riittävän kovia ja konkreettisia vaatimuksia käytännön toimien ratkaisemiseksi haastavassa toimintaympäristössä. Valtioneuvoston toiminnan kehittämiseen liittyvässä digitaalisen valtioneuvoston hankkeessa on tunnistettu merkittäviä ministeriöiltä tulevia toiminnallisia vaatimuksia löytää uusia työn tekemisen tapoja ja muotoja tietoturvallisten pilvipalveluratkaisujen kautta. Jos tällaisia selkeitä toimintapoliittisia linjauksia ei saada, niin tilanne ei myöskään kokonaistaloudellisesti Sähköisesti allekirjoitettu Signerad elektroniskt Signed digitally
johda järkeviin ratkaisuihin. Valtioneuvoston kanslian arvion mukaan useissa virastoissa ei tällä hetkellä ole eikä myöskään ole tarkoituksenmukaista olla niin laajaa osaamista ja riittäviä resursseja, joita toiminta liian yleisten valtiontasoistenlinjausten takia edellyttää. 2 (5) Valtioneuvoston kanslia on valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä annetun lain (1226/2013, TORI-laki) käyttövelvoitteen takia velvoitettu hankkimaan perustietotekniikkapalvelut Valtorilta. Valtion palvelutuotannon osalta linjausten olisi syytä ohjata erityisesti Valtorin tuotekehitystä ja palveluvalikoiman kehitystä. Nyt kun vapausasteita on runsaasti, tämä ohjaus ei toteudu. Valtioneuvoston kanslia on valmis antamaan entistä enemmän resursseja näiden tärkeiden linjausten jatkovalmisteluun. Nykymuodossaan näitä linjauksia ei valtioneuvoston kanslian näkemyksen mukaan tule julkaista. Asia on näkemyksemme mukaan tärkeä, joiden avulla valtioneuvoston kanslia pystyy kehittämään omaa toimintaansa. Valtioneuvoston kanslian käytössä on ollut kyseisen linjausten aikaisempia versioita ja valtioneuvoston kanslian arvion mukaan asiakirja on edellisissä vaiheissa ollut selkeästi yksityiskohtaisempi ja näin vastannut paremmin valtioneuvoston kanslian haasteisiin. Yksityiskohtaisia kommentteja linjausten asiakohtiin 2.2 Linjausten tavoitteet Linjausten tavoitteita tulisi vielä selventää ja erottaa hallinnon tarvitsemat palvelut ja julkisen hallinnon tarjoamat palvelut toisistaan. Ensimmäinen kappale lyhyesti kuvaa linjausten tavoitetta, mutta toisessa kappaleessa olevat digitalisoinnin yhdeksän periaatetta jäävät irralliseksi varsinaisista linjauksista ja ne tuovat vain yhden kansalais- ja järjestönäkökulman asiaan. 2.3 Keitä nämä linjaukset koskevat Yleistasoisina luonnoksessa olevat linjaukset eivät tue kohderyhmien työtä. Jotta linjaukset tukisivat kohderyhmien työtä, tulisi niissä ottaa selkeästi kantaa asioihin. 3. Visio 2025 Tämä visio on liian kunniahimoton. Näiden asioiden tulisi olla kunnossa jo huomattavasti nopeammin. Lisäksi visiossa tulee ottaa paremmin huomioon palvelu- ja asiakaskeskeisyys. Visiossa tulisi huomioida paremmin ICT-ratkaisujen kehittyminen maailmalla Suomen julkisesta hallinnosta riippumatta ja varmistaa julkisen hallinnon kyvykkyys pysyä tässä kehityksessä mukana. 4.1 Tietoliikennepalveluiden tavoite 2015 Tietoliikennepalveluiden tavoite 2025 on liian kunniahimoton ja lähes itsestään selvä. 4.2 Tietoliikennepalvelulinjaukset Kohdassa yksi linjataan, että julkisella hallinnolla on käytössä tietoliikennepalvelujen kehittämistä ohjaava hyväksytty arkkitehtuuri. Tätä kirjausta pitäisi laajentaa siten, että julkisella hallinnolla olisi käytössään yhteinen tietoliikennepalvelujen kehittämistä ohjaava
3 (5) hyväksytty arkkitehtuuri. Yhteisen arkkitehtuurin pohjalta investoituja kuituja ja muuta verkkoa tulisi hyödyntää kaikkien toimijoiden tarpeisiin. Kohdassa kolme todetaan, että tietoliikennepalvelussa hyödynnetään kilpailluilta markkinoilta hankittuja palveluita. Otsikko antaa vahvasti ymmärtää, että palvelut tulisi lähtökohtaisesti ulkoistaa, mutta asiaa kuvaavassa tekstissä asiaa linjataan lievemmin. Kohdassa neljä kirjoitetaan palveluiden kriittisyystarpeista. Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) edellyttää, että viranomaisen tietojenkäsittely on saatettava vastaamaan asetuksen 5 :ssä säädettyjä perustason tietoturvallisuusvaatimuksia. Tietoliikennepalvelut tulee virallisesti auditoida tai tarkastaa tietoturvan ja varautumisen osalta vähintään perustasolle. 4.3 Linjausten kuvakset ja vaikutukset Julkisella hallinnolla on käytössään tietoliikennepalvelujen kehittämistä ohjaava hyväksytty arkkitehtuuri kohdassa injataan valtion konesaliverkkojen välisestä tehokkaasta verkosta. Näkemyksemme konesalien väliset yhteydet tulee toteuttaa erillisellä tehokkaalla verkolla. Lisäksi valtion keskeiset palvelut tulee tuotteistaa riittävään määrään eri konesaleja varautumissyistä. 5. Päätelaitteet Julkishallinnossa tulisi ohjata päätelaitteiden sijaan palveluita. Tämän asiakohdan otsikko ja muiden alakohtien focus tulisi muuttaa päätelaiteraudasta päätelaitepalveluksi, jossa otetaan huomioon hyvä käyttäjäkokemus. Palveluiden tulisi olla mahdollisimman suuressa määrin päätelaiteriippumattomia ja kokonaisuutta tulisi suunnitella näistä lähtökohdista.. 5.2 Paatelaitelinjaukset Linjauksen kohdassa kaksi määritellään, että kaikki päätelaitteiden ja mobiililaitteiden data replikoidaan verkkoon ja sama tieto sijaitsee lokaalisti päätelaitteissa ja puhelimissa. Tämä on hyvä linjaus ja helpottaa laiterikkotapauksissa toimintaa. Palvelukeskuksilla tulee olla velvoite tarjota tämän uuden mallin mukaiset ratkaisut. Olemassa olevat tietoturvalinjaukset tulee tarkistaa, jotta ne mahdollistavat tämän toimintamallin. Linjauksissa tulisi ottaa selkeämmin kantaa siihen, mitä tietoa voidaan replikoida ulkomaille, ETA alueelle tai sen ulkopuolelle tai kaupallisten palvelutoimittajien palveluihin Linjauksen kohdan kolme voi tulkita siten, että laitevalikoima on todella laaja. Näkemyksemme mukaan laitevalikoiman tulee olla rajattu siten, että käyttäjä voi valikoida puhelimensa ja tietokoneensa vain rajatusta valikoimasta. Linjauksen kohdan neljä otsikko on kirjoitettu leipätekstin ensimmäisen virkkeen mukaisesti hieman negatiiviseen sävyyn, vaikka toisessa virkkeessä sama asia ilmaistaan paljon positiivisemmassa valossa. Otsikointia olisi hyvä miettiä uudestaan. Esim. kaikille päätelaitteille pyritään tarjoamaan kaikki palvelut päätelaiteriippumattomasti. Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) edellyttää, että viranomaisen tietojenkäsittely on saatettava vastaamaan asetuksen 5 :ssä säädettyjä perustason tietoturvallisuusvaatimuksia. Päätelaitepalveluiden tulee täyttää nämä vaatimukset. Linjauksessa olisi hyvä ottaa kantaa myös siihen, miten samalla
päätelaitepalvelulla voidaan käsitellä useamman eri suojaustason tietoa. Tavoitteemme on, että samalla päätelaitteella pystyy käsittelemään mahdollisimman monen eri suojaustasojen tietoa. Kohdan viisi malli on hyvä jättää organisaation päätettäväksi. Linjausten tulisi kuitenkin kuvata puitteet, jossa tämän on mahdollista. Julkisen hallinnon kokonaisarkkitehtuurityössä tulisi huomioida BYOD-käyttö sovellusarkkitehtuureissa. Lisäksi VAHTI-ohjeissa tulisi ottaa paremmin huomioon BYOD-käyttö. BYOD-laitteiden hyödyntäminen edellyttäisi sovellusten suunnittelua selainkäyttöisiksi ja internetin kautta saataviksi. Viraston sisäverkossa olevat palvelu tulee tuotteistaa siten, että BYOD laitteeseen asennetaan vain työnantajan tarjoama hiekkalaatikko, jonka toimivuudesta työnantaja vastaa. BYOD-laitteiden tietoturva tulee tarkistaa jokaisen kirjautumisen yhteydessä. 6.1 Viestintäratkaisut Tavoite 2025 4 (5) Tavoite on liian kunniahimoton. Viestintäratkaisujen tulee tukea yli sidosryhmien tapahtuvaa verkostomaista työskentelyä. Nykyiset videoneuvotteluratkaisut eivät tue tätä riittävästi. Videoneuvottelupalvelut tulee rakentaa siten, että ne toimivat ilman lisäosien asentamista ja käyttävät yleisesti käytössä olevia portteja. Tässä kohtaa olisi hyvä määritellä mitä viestintäratkaisuja tämä linjaus koskettaa. 6.2 linjaukset Todelliset linjaukset puuttuvat. Tämä kohta kaipaa vielä mietintää. Uusi teknologia älylaseineen tekee kovaa vauhtia tuloaan ja se olisi hyvä ottaa tässä paremmin huomioon. 7. ICT-palveluiden sijainti ja hallinta Julkisen hallinnon palvelutuotanto pitäisi rakentaa siten, että julkisen hallinnon omassa ohjauksessa olevalla turvaselvitetyllä työvoimalla tuotetaan turvallisuus- ja/tai varautumiskriittinen palvelutuotanto ja bulkkituotanto (lähituki, asiakastuki) ostetaan kaupallisilta palveluntuottajilta. Lisäksi linjauksissa tulisi ottaa kantaa palveluiden tuotantomaahan. Julkisen hallinnon ICT-palvelut tulee tietoturvan ja varautumisen osalta auditoida ja VM:ltä odotetaan valtionhallinnon palveluiden osalta riskienhallintamenettelyä ja käyttöönottopäätöksiä. Globaalien pilvipalveluiden auditointien osalta kansallisia tietoturvavaatimuksia pitäisi muuttaa siten, että julkinen hallinto voisi luottaa kolmansien osapuolien tekemiin auditointeihin. Tämä mahdollistaisi palveluiden auditoinnit luokiteltujen tietojen käsittelyyn. Pitäisi rakentaa kansallinen salausratkaisu avaintenhallintoineen, joka mahdollistaisi globaalien pilvipalveluiden käytön myös luokiteltujen tietojen tallennuspaikaksi. Kerkelä Janne Osastopäällikkö, Ylijohtaja Janne Kerkelä
5 (5) Yksikön päällikkö, Neuvotteleva virkamies, Tommi Kangasaho Jakelu Tiedoksi valtiovarainministeriö Anna-Maija Karjalainen, Aku Hilve, Pauli Kartano