Julkisen hallinnon digitaalinen turvallisuus ja toimeenpanosuunnitelma 2020-2023
Valtiovarainministeriö | 24.1.2020 | VN/1465/2020
Elinkeinoelämän Keskusliitto (”EK”) kiittää lausuntomahdollisuudesta ja toteaa julkisen hallinnon digitaalista turvallisuutta koskevasta luonnoksesta valtioneuvoston periaatepäätökseksi sekä siihen liittyvästä luonnoksesta digitaalisen turvallisuuden toimeenpanosuunnitelmaksi 2020-
2023 seuraavaa:
Jo se tosiseikka, että edellinen valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä on vuodelta 2009 tukee tarvetta saada asiasta uusi nykytilaa ja kehitystarpeita ja -tavoitteita linjaava valtioneuvoston periaatepäätös. Kuluneiden yli kymmenen vuoden aikana digitalisaatio ja siihen liittyvä teknologinen kehitys ovat edenneet vauhdikkaasti ja digitalisaatiokehityksen tarvitsema luottamus edellyttää linjauksia ja tukea riittävän korkealla yhteiskunnallisella tasolla. Digitalisaation laajamittainen hyödyntäminen on elinehto Suomessa tavoitellulle tuottavuuskehitykselle ja sitä kautta myös maan kansainväliselle kilpailukyvylle.
Turvallisuus ei yleisesti, kuten ei myöskään digitaalisten ympäristöjen turvallisuus rakennu vakiintuneiden organisaatiorajojen mukaisesti. Digitaalisten ympäristöjen turvallisuus on korostetun verkottunutta ja pitkälti myös kansainvälistä. Tästä näkökulmasta on kannatettavaa vakavasti harkita, miten sektoroituneessa valtionhallinnossa turvallisuutta kyetään jatkossa kehittämään niin, että sen taso kaikissa kriittisissä järjestelmissä kehittyy riittävästi siitä riippumatta, kenen vastuulla olevista järjestelmistä on kyse. Tästä näkökulmasta tarve riittävän keskitetylle mallille, jossa on huolehdittu vastuutahon tai -tahojen riittävästä resurssoinnista ja mandaatista sekä vastuiden selkeydestä on EK:n näkemyksen mukaan selvä. Tätä johtopäätöstä tukee myös tehty kansainvälinen vertailu.
Verkottuneen rakenteen takia on keskeistä, että kaikilla asiaan liittyvillä aktiivisilla toimijoilla on asiasta riittävä ymmärrys ja osaaminen. EK tukee vahvasti luonnoksessa valtioneuvoston periaatepäätökseksi esitettyä näkemystä siitä, että digitaalisen turvallisuuden taitojen kehittämisen tulee olla strateginen painopiste koko yhteiskunnan laajuisesti ja että sen tulee koskea niin julkista hallintoa, elinkeinoelämää, korkeakouluja ja tutkimuslaitoksia kuin kansalaisiakin.
Yksi turvallisuuden keskeisimmistä haasteista on käytettyjen termien kirjo ja niiden osin vakiintumaton merkitys. Tässä suhteessa EK oudoksuu luonnoksessa käytettyä termiä digitaalinen turvallisuus. Termi kyberturvallisuus on viimeisten vuosien aikana alkanut vakiintua käyttöön ja myös sen sisältö on alettu ymmärtää yhdenmukaisemmin. Lokakuussa 2019 hyväksyttiin myös Suomen uusi kyberturvallisuusstrategia, jota nyt lausuttavana olevan luonnoksen on tarkoitus osaltaan tukea. EK pelkää, että jos nyt kyberturvallisuus-termin rinnalla aletaan käyttää termiä digitaalinen turvallisuus pitkälti samaa tarkoittaen, tämä ei tue luonnoksen tavoitteita, vaan on omiaan heikentämään tavoitteeksi asetettua yhteistä ymmärrystä. Luonnoksessakin todetaan, että digitaalinen turvallisuus ymmärretään usein kyberturvallisuuden synonyymina. Myös kansainvälisessä vertailussa muiden valtioiden digitaalista turvallisuutta käsiteltiin ennen kaikkea niiden kansallisissa kyberturvallisuusstrategioissa. EK:n näkemyksen mukaan alan terminologinen kehitys huomioiden uuden samaa tarkoittavan termin lanseeraaminen kyberturvallisuuden rinnalle ei ole kannatettavaa.
Muilta osin EK haluaa painottaa erityisesti seuraavia näkökohtia:
EK kannattaa luonnoksissa tunnistettuja kehittämisalueita ja kirjattuja kehittämisen periaatteita.
Johtamisen tulee perustua kattavaan tilannetietoon ja tavoitteiden, vaatimusten sekä toimenpiteiden tulee perustua tunnistettuun ja arvioituun riskiin. Tavoitteiden ja vaatimusten riskiperusteisessa asettamisessa mm. valtionhallinnon hankinnoissa on vielä paljon kehitettävää ja yhdenmukaistettavaa. Onkin keskeistä huolehtia julkisista hankinnoista vastaavien työntekijöiden osaamisesta ja heidän soveltamiensa ohjeiden selkeydestä. Osaaminen ja mm. turvallisuusvaatimusten soveltaminen ovat vielä osin puutteellisia, joskin ne ovat kehittyneet hyvään suuntaan viime vuosina.
Vaikuttavuuden ja kustannusten suunnittelu ja seuraaminen ovat tärkeitä muutenkin, mutta erityisesti puhuttaessa julkisin verovaroin rahoitetuista palveluista. Kustannusten suunnittelu ja seuranta liittyvät myös riskiperusteiseen vaatimusten asettamiseen; mitä paremmin vaatimukset on asetettu suhteessa arvioituun riskiin, sitä järkevämmin ja läpinäkyvämmin julkisia varoja myös käytetään. Tämä puolestaan tukee luottamusta niin valtionhallintoon kuin digitalisaatioonkin.
Turvallisuuden kehittäminen on yhteistyötä. Siihen osallistuu keskeisesti myös elinkeinoelämä, jolle on siirtynyt enenevässä määrin myös julkisten digitaalisten palveluiden kehittämistä ja ylläpitoa. On tärkeää, että tämä tunnistetaan kaikessa tekemisessä. Tähän liittyen EK kiinnittää huomiota myös siihen, että lainsäädännön tulisi seurata tätä kehitystä. Esimerkiksi turvallisuusselvityslaki ei tällä hetkellä riittävästi tunnista sitä tosiseikkaa, että aiemmin valtionhallinnon tiloissa operoituja konesalipalveluita operoidaan nykyisin enenevässä määrin myös yksityisten palveluntuottajien konesaleissa, jolloin turvallisuusselvitys tulisi voida tehdä myös tällaisiin tiloihin pääsevistä työntekijöistä.
Digitaalisten palveluiden verkottuneen luonteen ja kansainvälisen toimintaympäristön vuoksi on tärkeää, että turvallisuuteen liittyviä lakeja, standardeja ja viitekehyksiä kehitetään ennen kaikkea kansainvälisellä tasolla, lakien osalta EU-tasolla, ja pelkästään Suomeen liittyvät lait ja standardit rajoitetaan minimiinsä. Turvallisuuden johtaminen organisaatiossa, oli se julkinen tai yksityinen, käy sitä vaikeammaksi, mitä enemmän johtamiseen on sovellettava keskenään eritasoisia ja ehkä ristiriitaisiakin vaatimuksia.