Valtiontalouden tarkastusvirasto (VTV) tunnisti [2015] valtiontaloudellisen riskin,
että hallinnon rakenteissa ja niiden uudistamisessa ei saavuteta tuottavuus- ja taloudellisuustavoitteita.
Riski koski muun ohella tietoyhteiskunnan toimintavarmuutta ja turvallisuutta;
se otettiin teemaksi VTV:n vuoden 2016 tarkastussuunnitelmaan [--1--].
Teemaan liittyvistä tarkastuksista yksi koski kybersuojausta [--2--].
Tarkastus
Tarkastuksen pääkysymys oli, onko valtionhallinnon kybersuojaus järjestetty
mahdollisimman vaikuttavasti ja taloudellisesti tarkoituksenmukaisella tavalla [--3--].
Esiselvityksessä katsottiin tarkoituksenmukaiseksi tarkastaa
kybersuojauksen järjestelyjä ensisijaisesti valtionhallinnon tasolla,
koska valtionhallinnon tietotekniikkaan perustuvia palveluja on keskitetty ja keskitetään edelleen.
Esiselvitykseen [18.5.2016 - 22.9.2016] oli osoitettu 70 henkilötyöpäivää (htp; osuuteni 30 htp) ja
varsinaiseen tarkastukseen 223 hpt (80 htp).
Varsinainen tarkastus alkoi 22.9.2016 ja päättyi 4.9.2017.
Esiselvitykseen meni 69 htp (29 htp) ja varsinaiseen tarkastukseen 347 htp
(67 htp) eli yhteensä 416 htp (96 htp) [--4--].
Tarkastuksen työnjaon mukaan vastasin osakysymykseen 1 [--3--] ja
tarkastuskertomuksen esitelevä tuloksellisuustarkastaja vastasi osakysymyksiin 2 ja 3.
Tarkastuskertomuksen kolmanneksi tekijäksi ilmoitettu tuloksellisuustarkastaja ei osallistunut tarkastukseen.
Tarkastuskertomukseen tuli neljä suositusta, kaikki valtiovarainministeriölle (VM) [--5--].
Tarkastuksen vaikutukset
Tarkastusta pidettiin hyödyllisenä [--6--].
Valtion talousarviossa vuodelle 2020 määrärahoja lisättiin kyberturvallisuuden kannalta keskeisille valtion viranomaisille
- kuten valtioneuvostolle (VN), liikenne- ja viestintäministeriölle (LVM)
sekä Kyberturvallisuuskeskukselle (KTK) [--7--].
LVM:ään perustettiin kyberturvallisuusjohtajan virka sovittamaan yhteen toimintaa
VN:n 3.10.2019 hyväksymän kyberturvallisuusstrategian mukaisesti
(ks. jälkiseurantaraportti 16.1.2020).
Jälkiseurantaraportissa (16.1.2020) VTV katsoi, että VM ei ollut toteuttanut suosituksia.
Jälkiseurannan
toisen raportin
(7.4.2022) mukaan VM:ää koskevien suositusten toimeenpano oli edennyt niin, ettei VTV:llä ollut aihetta jatkaa jälkiseurantaa [--8--].
Tästä poikkeava arvio esitettiin
VN:n selvityksessä
vuotta myöhemmin (11.4.2023):
viranomaisilla ei ole riittäviä toimintaedellytyksiä tehokkaasti varautua ja torjua
vakavimpia, kansallista kyberturvallisuutta ja maanpuolustusta vaarantavia kyberuhkia.
Tarkastuksen jälkeen, kun KTK oltiin siirtämässä Liikenne- ja viestintävirastoon (Traficom),
valmistelin VTV:n lausunnon (28.3.2017; Dnro 142/31/2017),
joka koski KTK:n organisatorista asemaa LVM:n hallinnonalan uudelleenjärjestelyssä.
Omat kommentit
Tarkastusvastuuosuuteni käsitteli laajaa kokonaisuutta,
johon kuului mm. liikenne- ja viestintäministeriön (LVM) ja työ- ja elinkeinoministeriön (TEM) toimialan toimijoita.
Tarkastuspäällikköni päätti tästä poiketen, että suositukset koskevat vain asioita, jotka ovat VM:n vastuulla [--9--].
En antanut tämän estää minua arvioimasta suositusten toteutumista
jälkiseurannassa
(raportti 16.1.2020) laajemmasta näkökulmasta.
Sain tarkastuspäälliköltä moitteita menettelystä,
jolla validoin evidenssiä sitä mukaan kuin tarkastus eteni.
Pyysin kommentteja haastatelluilta johtopäätöksistä,
jotka tein haastattelun keskeisimmästä sisällöstä.
Haastatellut suhtautuivat tähän myönteisesti.
Palautteessani kommentteihin kerroin, miten tarkastus jatkuu.
Menettely varmisti perustaa seuraaville tarkastustoimenpiteille.
Lisäksi se säästi aikaa tarkastuksen loppuvaiheessa,
koska menettelyssä syntyi valmista johtopäätöspainotteista tekstiä tarkastuskertomusluonnokseen [--10--].
Koin enemmän haittaa kuin hyötyä kokeilusta, jossa hankittiin evidenssiä tarkastusteemaan tarkastuksiin
[--11--] yhteishaastatteluissa.
Saman pöydän ääressä saattoi olla yli 20 henkilöä, joista kaikille ei riittänyt aikaa yhteenkään puheenvuoroon.
Monet haastateltavat halusivat osallistujamäärältään suppeampia kokouksia jo siksi,
että heidän kertomansa tiedot olivat luottamuksellisia.
------
[--1--]
Teemasuunnitelma 18.3.2015 Dnro: 287/54/2014.
Teeman pääkysymys kuului: "Onko tietoyhteiskunnan toimintavarmuuden ja turvallisuuden varmistaminen hoidettu tuloksekkaasti
ja kustannustehokkaasti?"
[--2--]
Alun perin VTV käytti käsitettä kyberpuolustus.
Termistä luovuttiin, koska se mielletään maanpuolustuksen alaan kuuluvaksi.
[--3--]
Tarkastuksen esiselvitysraportin (22.9.2016; Dnro: 185/54/2016) mukaan tarkastuksen pääkysymys
jakautuu seuraaviin osakysymyksiin:
* 1 Onko kybersuojausta organisoitaessa huomioitu riittävästi taloudellinen näkökulma?
* 2 Tukeeko kyberturvallisuuden tilannekuva kybersuojausta?
* 3 Onko reagointikyky kyberloukkauksiin riittävä?
[--4--]
Luvut sisältävät esiselvityksessä teemavastaavalta 2 htp ja
varsinaisessa tarkastuksessa tarkastuspäälliköltä 9 htp ja tukipalveluilta 17 htp.
Teemavastaava ei osallistunut varsinaiseen tarkastukseen.
[--5--]
Suositukset VM:lle ovat
tarkastuskertomuksen alussa olevan "Tarkastusviraston kannanotot" -kohdan lopussa.
[--6--]
Tarkastuksesta tuli hyvää palautetta erityisesti niiltä,
jotka kantoivat huolta kyberturvallisuuden kokonaisuudesta.
[--7--]
KTK sai pienen määrärahalisäyksen jo tarkastuksen meneillään ollessa.
Viestintävirasto, jossa KTK oli, oli pitkään yrittänyt saada määrärahalisäystä KTK:n toimintaan.
Tilannetta seurattuani kerroin VM:lle näkemykseni määrärahalisäyksen tarpeesta.
KTK sai määrärahan.
☆ Tarkastuskertomuksen jälkeen määrärahoja lisättiin moninkertaisesti pyyntöön verrattuna:
yhteensä 2 miljoonan euron tasokorotus [KTK:lle] tietoturvallisuuden, toimintavarmuuden ja yksityisyydensuojan varmentamiseksi ja kehittämiseksi
tavoitteena muun muassa digitaalisten alustojen ja palveluiden sujuva yhteentoimivuus.
[--8--]
Jälkiseuranta päätettiin.
[--9--]
En täysin ymmärtänyt tarkastuspäällikön toimintatapaa.
Hän päätti muotoilla suositukset minua kuulematta, vain tarkastuskertomuksen esittelijän ja teemavastaavan kanssa.
[--10--]
Tarkastuspäällikkö ja teemavastaava pelkäsivät, että valtion virastoissa aletaan odottaa VTV:ltä menettelyä, jota käytin.
Olin käyttänyt samaa menettely jo kahdessa aikaisemmin tekemässäni tuloksellisuustarkastuksessa
(1 ja 2).
[--11--]
Esimerkiksi samalla kertaa yhdessä haastateltaviksi voitiin pyytää henkilöitä, jotka vastasivat kohdeasioista,
joita käsiteltiin tarkastuksissa "Kybersuojauksen järjestäminen" ja "Julkisen hallinnon sähköisten palveluiden toimintavarmuuden ohjaus".
| 