Valtiontalouden tarkastusvirasto (VTV) tunnisti [2015] valtiontaloudellisen riskin,
että hallinnon rakenteissa ja niiden uudistamisessa ei saavuteta tuottavuus- ja taloudellisuustavoitteita.
Riski koski muun ohella tietoyhteiskunnan toimintavarmuutta ja turvallisuutta;
se otettiin teemaksi VTV:n vuoden 2016 tarkastussuunnitelmaan [--1--].
Teemaan liittyvistä tarkastuksista yksi koski kybersuojausta [--2--].
Tarkastus
Tarkastuksen pääkysymys oli, onko valtionhallinnon kybersuojaus järjestetty
mahdollisimman vaikuttavasti ja taloudellisesti tarkoituksenmukaisella tavalla [--3--].
Esiselvityksessä katsottiin tarkoituksenmukaiseksi tarkastaa
kybersuojauksen järjestelyjä ensisijaisesti valtionhallinnon tasolla,
koska valtionhallinnon tietotekniikkaan perustuvia palveluja on keskitetty ja keskitetään edelleen.
Esiselvitykseen [18.5.2016 - 22.9.2016] oli osoitettu 70 henkilötyöpäivää (htp; osuuteni 30 htp) ja
varsinaiseen tarkastukseen 223 hpt (80 htp).
Varsinainen tarkastus alkoi 22.9.2016 ja päättyi 4.9.2017.
Esiselvitykseen meni 69 htp (29 htp) ja varsinaiseen tarkastukseen 347 htp
(67 htp) eli yhteensä 416 htp (96 htp) [--4--].
Tarkastuksen työnjaon mukaan vastasin osakysymykseen 1 [--3--] ja
tarkastuskertomuksen esitelevä tuloksellisuustarkastaja vastasi osakysymyksiin 2 ja 3.
Tarkastuskertomuksen kolmanneksi tekijäksi ilmoitettu tuloksellisuustarkastaja ei osallistunut tarkastukseen.
Tarkastuskertomukseen tuli neljä suositusta, kaikki valtiovarainministeriölle (VM) [--5--].
Tarkastuksen vaikutukset
Tarkastusta pidettiin hyödyllisenä [--6--].
Valtion talousarviossa vuodelle 2020 määrärahoja lisättiin kyberturvallisuuden kannalta keskeisille valtion viranomaisille
- kuten valtioneuvostolle (VN), liikenne- ja viestintäministeriölle (LVM)
sekä Kyberturvallisuuskeskukselle (KTK) [--7--].
LVM:ään perustettiin kyberturvallisuusjohtajan virka sovittamaan yhteen toimintaa
VN:n 3.10.2019 hyväksymän kyberturvallisuusstrategian mukaisesti
(ks. jälkiseurantaraportti 16.1.2020).
Jälkiseurantaraportissa (16.1.2020) VTV katsoi, että VM ei ollut toteuttanut suosituksia.
Jälkiseurannan
toisen raportin
(7.4.2022) mukaan VM:ää koskevien suositusten toimeenpano oli edennyt niin, ettei VTV:llä ollut aihetta jatkaa jälkiseurantaa [--8--].
Tästä poikkeava arvio esitettiin
VN:n selvityksessä
vuotta myöhemmin (11.4.2023):
viranomaisilla ei ole riittäviä toimintaedellytyksiä tehokkaasti varautua ja torjua
vakavimpia, kansallista kyberturvallisuutta ja maanpuolustusta vaarantavia kyberuhkia.
Tarkastuksen jälkeen, kun KTK oltiin siirtämässä Liikenne- ja viestintävirastoon (Traficom),
valmistelin VTV:n lausunnon (28.3.2017; Dnro 142/31/2017),
joka koski KTK:n organisatorista asemaa LVM:n hallinnonalan uudelleenjärjestelyssä.
KTK säilytti aseman, jossa se on pystynyt hoitamaan eräät yhteiskuntaa laajasti palvelevat tärkeät tehtävät.
Omat kommentit
Tarkastuspäälliköstä ja teemavastaavasta ideoineen oli enemmän haittaa kuin hyötyä.
He halusivat, että tarkastuksessa käytetään NVivo-ohjelmistoa ja kahden tarkastuksen yhteishaastatteluja.
NVivon käytöstä luovuttiin parin viikon jälkeen aineistorajoitusten takia.
Yhteishaastatteluissa saman pöydän ääressä saattoi olla yli 20 henkilöä,
joista kaikille ei riittänyt aikaa yhteenkään puheenvuoroon.
Monet haastateltavat halusivat osallistujamäärältään suppeampia kokouksia,
koska heidän kertomansa tiedot olivat luottamuksellisia [--9--].
Sain tarkastuspäälliköltä ja teemavastaavalta moitteita menettelystä,
jolla validoin evidenssiä sitä mukaan kuin tarkastus eteni [--10--].
Tarkastusvastuuosuuteni käsitteli laajaa kokonaisuutta,
johon kuului mm. liikenne- ja viestintäministeriön (LVM) ja työ- ja elinkeinoministeriön (TEM) toimialan toimijoita
(ks. esiselvitysluonnokseni).
Tarkastuspäällikköni päätti tästä poiketen, että suositukset koskevat vain asioita,
jotka ovat VM:n vastuulla.
Tarkastuspäällikkö päätti muotoilla suositukset minua kuulematta
- yhdessä tarkastuskertomuksen esittelijän ja teemavastaavan kanssa.
En antanut sen kuitenkaan estää minua arvioimasta suositusten toteutumista
jälkiseurannassa
(raportti 16.1.2020) laajemmasta näkökulmasta.
------
[--1--]
Teemasuunnitelma 18.3.2015 Dnro: 287/54/2014.
Teeman pääkysymys kuului: "Onko tietoyhteiskunnan toimintavarmuuden ja turvallisuuden varmistaminen hoidettu tuloksekkaasti
ja kustannustehokkaasti?"
[--2--]
Alun perin VTV käytti käsitettä kyberpuolustus.
Termistä luovuttiin, koska se mielletään maanpuolustuksen alaan kuuluvaksi.
[--3--]
Tarkastuksen esiselvitysraportin (22.9.2016; Dnro: 185/54/2016) mukaan tarkastuksen pääkysymys
jakautuu seuraaviin osakysymyksiin:
* 1 Onko kybersuojausta organisoitaessa huomioitu riittävästi taloudellinen näkökulma?
* 2 Tukeeko kyberturvallisuuden tilannekuva kybersuojausta?
* 3 Onko reagointikyky kyberloukkauksiin riittävä?
[--4--]
Luvut sisältävät esiselvityksessä teemavastaavalta 2 htp ja
varsinaisessa tarkastuksessa tarkastuspäälliköltä 9 htp ja tukipalveluilta 17 htp.
Teemavastaava ei osallistunut varsinaiseen tarkastukseen.
[--5--]
Suositukset VM:lle ovat
tarkastuskertomuksen alussa olevan "Tarkastusviraston kannanotot" -kohdan lopussa.
[--6--]
Tarkastuksesta tuli hyvää palautetta erityisesti niiltä,
jotka kantoivat huolta kyberturvallisuuden kokonaisuudesta.
Eräs keskeinen toimija ehdotti jo tarkastuksen aikana [Korhoselle ja minulle], että VTV tekisi tarkastuksen uudelleen lähitulevaisuudessa.
Vastasin, että tuloksellisuustarkastuksista päätetään suunnittelujärjestelmässä ja
niistä kerrotaan VTV:n vuosittaisissa tarkastussuunnitelmissa.
Toki kerroimme ehdotuksesta myös VTV:ssä.
[--7--]
KTK sai pienen määrärahalisäyksen jo tarkastuksen meneillään ollessa.
Viestintävirasto, jossa KTK oli, oli pitkään yrittänyt saada määrärahalisäystä KTK:n toimintaan.
Tilannetta seurattuani kerroin VM:lle näkemykseni määrärahalisäyksen tarpeesta.
KTK sai määrärahan.
– Tarkastuskertomuksen jälkeen määrärahoja lisättiin moninkertaisesti pyyntöön verrattuna:
yhteensä 2 miljoonan euron tasokorotus [KTK:lle] tietoturvallisuuden, toimintavarmuuden ja yksityisyydensuojan varmentamiseksi ja kehittämiseksi
tavoitteena muun muassa digitaalisten alustojen ja palveluiden sujuva yhteen toimivuus.
[--8--]
Jälkiseuranta päätettiin.
[--9--]
Samalla kertaa yhdessä haastateltaviksi voitiin pyytää henkilöitä, jotka vastasivat kohdeasioista,
joita käsiteltiin tarkastuksissa "Kybersuojauksen järjestäminen" ja "Julkisen hallinnon sähköisten palveluiden toimintavarmuuden ohjaus".
Viimeksi mainitun tekijä oli teemavastaava.
Kokeilu oli tarkastuspäällikön ja teemavastaavan idea.
[--10--]
Pyysin kommentteja haastatelluilta johtopäätöksistä,
jotka tein haastattelun keskeisimmästä sisällöstä.
Haastatellut suhtautuivat tähän myönteisesti.
Palautteessani kommentteihin kerroin, miten tarkastus jatkuu.
Menettely varmisti perustaa seuraaville tarkastustoimenpiteille.
Lisäksi se säästi aikaa tarkastuksen loppuvaiheessa,
koska menettelyssä syntyi valmista johtopäätöspainotteista tekstiä tarkastuskertomusluonnokseen.
Tarkastuspäällikkö ja teemavastaava pelkäsivät, että valtion virastoissa aletaan odottaa VTV:ltä menettelyä, jota käytin.
Olin käyttänyt samaa menettelyä jo kahdessa aikaisemmin tekemässäni tuloksellisuustarkastuksessa
(1 ja 2).
| 