Valtio osti ministeriöille yhteisen tietojärjestelmän – Puolustusministeriön it-pomo tyrmää: Tietoturva alle minimitason

Tietojärjestelmä on ministeriöiden “tärkeä ellei tärkein” tiedonhallintajärjestelmä, jossa säilytetään lähes kaikki ministeriöiden ja valtioneuvoston hallinnollinen tieto.

tietoturva
Tietokone serveri.
AOP

Valtion hankkiman laajan tietojärjestelmän tietoturva herättää harvinaisen jyrkkää arvostelua.

Vahva-nimisen tietojärjestelmän hankintaa on valmisteltu yhteistyössä ministeriöiden kanssa vuosia, mutta kaikissa ministeriöissä lopputulos ei herätä ihastusta.

Valtioneuvoston mukaan kyseessä on kuitenkin "yksi merkittävimmistä digitalisaatiohankkeista Suomessa (siirryt toiseen palveluun)".

Kaikki tieto yhteen koriin

Puolutusministeriön tietohallintojohtaja Teemu Anttila nostaa esiin vakavan näkökohdan: Hänen mukaansa järjestelmän tietoturva ei ole kohdallaan.

Kuulostaa huolestuttavalta, kun kyse on sentään järjestelmästä, jossa on tarkoitus säilyttää kaikkien ministeriöiden ja valtioneuvoston lähes kaikki hallinnollinen tieto.

– Kyse on tietojärjestelmän haavoittuvuuksista. Asiaa ei voi tässä avata tarkemmin, mutta niissä on puutteita, Anttila kuvailee huoltaan tietoturvan tasosta.

Teemu Anttila tietohallintojohtaja, Puolustusministeriö
Puolustusministeriön tietohallintojohtaja Teemu Anttila epäilee uuden järjestelmän tietoturvaa.Jouni Immonen / Yle

– Valtiolla on tietystä syystä tietoturvan minimikriteerit. Jos nämä eivät täyty, niin on syytä huolestua.

Asiakkaita ei kuunneltu ainakaan riittävästi

Anttilan mukaan puolustusministeriön näkemyksiä järjestelmän suunnittelun yhteydessä on kyllä kuultu, mutta toiveet "olisi pitänyt ottaa paremmin huomioon".

Hän arvelee että aikataulu- ja kustannnuspaineet ovat tilanteen taustalla, mutta myös se, miten vaadittava tietoturvan taso on kirjattu lainsäändäntöön. Anttilan mukaan säädökset ovat liian tulkinnanvaraisia.

– Meillä Suomessa kansalliseen tietoon liittyvä ohjeistus antaa mahdolisuuden tulkinnalle. Sen sijaan kansainvälistä tietoa koskeva lainssäädäntö on yksiselitteinen ja siinä sanotaan selvästi, että minimikriteerien pitää täyttyä

Nytkö ei täyty?

– Nyt ei täyty.

Säästöjä ja yhteistyötä

Nykyisin eri ministeriöillä on kullakin omat tietohallintojärjestelmänsä, joita on kiitelty helppokäyttöisiksi.

Yhteisessä järjestelmässä on kuitenkin etunsa ja siksi alettiin 2014 valmistella ministeriöille yhteistä järjestelmää. Lopulta Vahva tilattiin Tiedolta.

Se on ollut keväästä lähtien käytössä Puolutusministeriön lisäksi Oikeus- ja Ympäristöministeriöissä. Uusi järjestemä maksaa noin kahdeksan miljoonaa euroa. .

Max Hamberg, toimialajohtaja, Valtioneuvoston kanslia
Valtioneuvoston kanslian tietotoimialan johtaja Max Hamberg vakuuttaa, että turvataso on riittävä.Nella Nuora / Yle

Tilaaja puolustaa ostosta

Valtioneuvoston tietotoimialajohtaja Max Hamberg puolustaa hankintaa ja ihmettelee puolustuministeriöstä kantautuvaa Anttilan esittämää arvostelua.

– Hänen näkemyksensä tietoturvan tasosta poikkeaa meidän näkemyksestämme. Meidän mielestämme se on riittävän turvallinen siihen, mihin se on tarkoitettu.

Valtiolla on neliportainen luokitus tietoturva-aineistoille. Vahva-järjestelmään ei ole tarkoituskaan tallentaa kolmen korkeimman tietoturvatason materiaalia.

Tietoturvan puutteet tunnistettu

Hamberg kuitenkin myöntää, että hankitun järjestelmän tietoturva ei saanut täysin puhtaita papereita Viestintäviraston teettämässä ulkopuolisessa arvioinnissa.

– Tietoturva-arvioinnissa on havaittu muutamia puutteita. Me olemme katsoneet, miten puutteet voidaan hallita, ilman että aiheutuu vaaraa aineiston turvallisuudelle.

Hänen mukaansa puutteet eivät olleet kuitenkaan vakavia. Hankinta onkin ollut Hambergin ja "valtioneuvoston kanslian mielestä onnistunut".

– Kun asioita kehitetään tapahtuu yhtä ja toista - Kehityksen myötä asoita korjataan jos on puutteita.

Kalleinta korjata jälkeenpäin

Arvostelijoiden mukaan jo tilattujen järjestelmien korjailu jälkeenpäin on vaikeaa ja kallista, mutta juuri siihen valtio on nyt päätymässä.

Puolustusministeriössä tietohallintojohtaja ei täysin luota järjestelmään. Ministeriön hississäkin ilmoitus muistuttaa keskustelutilaisuudesta otsikolla "Ärsyttääkö Vahva".

Hambergin mukaan Vahvan tietoturva oli käyttöönottohetkellä riittävä alimman suojaustason aineiston käsittelyyn.

Kaikesta huolimatta Anttila sanoo uskaltavansa käyttää Vahvaa mutta muistuttaa, että "pitää ymmärtää sen rajoitukset ja käyttää sen mukaisesti".

Vahva-järjestelmästä on olemassa ministeriöiden käyttämä konesaliversio ja ministeriöiden alaisten virastojen käyttämä verkkoversio.

Tietoviikko-lehden (siirryt toiseen palveluun) mukaan Oikeusministeriössä on jopa keskeytetty verkkoversion käyttöönotto ja päätetty järjestää uusi kilpailutus, koska tietoturvan auditoiminen ei ole onnistunut.